GNI102 Lab 9,10=Wireshark
Denna laboration skall utföras i par. Ni sitter vid en dator och analyserar paketinnehåll tillsammans. Den andra datorn används vid enstaka tillfällen för att skickas trafik till.
I denna labb använder vi ett program som heter Wireshark. Det är ett program som används för paketanalyser vid bl a felsökning, forensik och utbildning. Här har ni möjlighet att se innehållet i den trafik som skickas samt få en bild av de olika lagren i TCP/IP- och OSI-modellen.
Här finns en hel del att läsa om Wireshark och fin hjälp att få: https://wiki.wireshark.org/ och https://www.wireshark.org/docs/wsug_html_chunked/
Contents |
Topologi
Wireshark
1. Koppla enligt topologin
2. Starta programmet Wireshark på en av era datorer. Föreslås en uppdatering så installera gärna den. Finns inte programmet på datorn så får ni gå till wireshark.org, välja Download och sedan Windows install (64-bit). Välj vid ev. fråga att även installera WinPcap, men inte USB-verktyget. Starta programmet.
3. Mitt på sidan ser ni nu namnet på era nätverksanslutningar. En del av er har fler än en. Se då till att det interface som används för datatrafik är det samma som är valt (ex Ethernet el Local Area Connection). Kontrollera namnet i nätverksinställningarna på din dator om du är osäker.
4. Starta en datainsamling genom att klicka på den blå hajfenan högt upp till vänster.
5. Maximera fönstret så du kan se så mycket som möjligt.
6. Undersök de tre sektionerna på skärmen. I den översta rutan (Packet List) rullar nu en översikt av all trafik som passerar ditt nätverkskort. I den andra rutan, i mitten (Packet Detail), kan ni se detaljerad information om det paket ni markerar i översikten ovan. I den tredje rutan, längst ner (Packet Bytes), ser du det faktiska innehållet i den pdu som är markerad i mittenfältet.
7. När du känner dig klar med undersökningen kan du stoppa insamlingen med den röda fyrkanten bredvid den blå hajfenan.
8. Välj ett paket (PDU) i den övre delen som har ett IP-nummer, genom att klicka en gång på det.
9. Klicka på alla [>] i mittenrutan så att du ser samtliga fält.
9. Prova att klicka på HEX-talen i nedersta rutan och se vad som blir markerat (highlightat) i mittenrutan.
11. Vilket HEX-tal i ordningen innehåller avsändande IP-nummer?
DHCP
För att se hur dchp-processen går till ska ni nu låna en ip-adress från dhcp-servern.
1. Öppna command prompt (cmd)
2. Släpp din IPv4-adress genom att skriva ipconfig /release
3. Starta en ny insamling genom att klicka på den blå hajfenan (alt den gröna om du inte stoppat föregående mätning). Fortsätt utan att spara.
4. Gå tillbaka till cmd och skriv ipconfig /renew
5. När ni fått en ny ip-adress kan ni stoppa insamlingen i Wireshark
6. Filtrera ut dhcp-trafiken genom att fylla i bootp i filterrutan. (Läs gärna mer om dhcp/bootp i Wireshark här: https://wiki.wireshark.org/DHCP )
7. Utifrån flödet i wireshark kan ni nu se fyra olika dhcp-meddelanden som skickas för att få en adress. Skriv upp namnen på dessa meddelanden i ordning här nedan och ange också UDP eller TCP. Notera också vilka portar som används.
1 DHCP _________________ __________(tcp/udp) sourceport:_____ destinationport:_____
2 DHCP _________________ __________(tcp/udp) sourceport:_____ destinationport:_____
3 DHCP _________________ __________(tcp/udp) sourceport:_____ destinationport:_____
4 DHCP _________________ __________(tcp/udp) sourceport:_____ destinationport:_____
ARP
1. Kontrollera IPv4-adressen på den andra datorn. Notera den här:______________________________________________
2. Öppna cmd på Wireshark-datorn och rensa din arp-tabell.
- Vilket kommando används för att ta bort samtliga rader ur arp-tabellen? ___________________
3. Kontrollera att tabellen är hyfsat tom med kommandot __________________.
4. Starta en ny Wireshark-insamling igen. Fortsätt utan att spara.
5a. Töm ARP-tabellen igen.
5b. Skicka ping från Wireshark-datorn till den andra datorn.
6. Stoppa insamlingen
7. Skriv nu in arp i filterrutan
8. Leta upp just era arp-meddelanden genom att titta i Info-kolumnen längst till höger. Markera ett meddelande för att se mer information om det in rutorna under.
9. Fyll i tabellen nedan:
- Vad heter de två olika arpmeddelanden som skickas (Hint: Titta i Packet Detail-fältet)?
- Vilka mac-adresser används som avsändare resp mottagare?
- Vilken trafiktyp används för respektive meddelande (unicast/multicast/broadcast)?
(Iväg skickas) Namn: __________________
från MAC-adress: _____________________ till MAC-adress: ______________________ MAC _________-cast
från IP -adress: _______________________ till IP -adress: ________________________ IP _________-cast
(Vi får tillbaka) Namn: __________________
från MAC-adress: _____________________ till MAC-adress: ______________________ MAC _________-cast
från IP -adress: _______________________ till IP -adress: ________________________ IP _________-cast
MAC-adress/IP-adress
1. Filtrera nu istället ut pingpaketen genom att skriva något annat i filterrutan. Vad skrev ni?______________________
2. Markera ett av pingpaketen ni skickade till den andra datorn, leta upp avsändarens IP-adress och MAC-adress samt mottagarens IP-adress och MAC-adress. Leta sedan upp pingsvaret och kontrollera MAC- och IP-adress från både avsändare och mottagare. Vilka adresser byter plats?.
3. Starta en ny inspelning
4. Skicka ping till nedanstående servrar. Använd PING -4 kommandot för att tvinga fram IPv4-paket, inte IPv6.
5. Stoppa inspelningen och filtrera pingpaketen.
6. Leta upp pingpaket till de tre olika servrarna, skriv ner destinationens IP-adress och MAC-adress.
Server: IPadress (mottagare)
MAC-adress (mottagare)
1. www.darknet.org _______._______._______._______ ____:____:____:____:____:____
2. www.makemoney.com _______._______._______._______ ____:____:____:____:____:____
3. google-public-dns-a.google.com _______._______._______._______ ____:____:____:____:____:____
Förklara resultatet ovan:
_____________________________________________________________________________________________________________
_____________________________________________________________________________________________________________
_____________________________________________________________________________________________________________
_____________________________________________________________________________________________________________
_____________________________________________________________________________________________________________
_____________________________________________________________________________________________________________
_____________________________________________________________________________________________________________
_____________________________________________________________________________________________________________
_____________________________________________________________________________________________________________
DNS
1. Öppna cmd och skriv in ipconfig /all för att notera IP-adressen till er DNS-server
2. Skriv sedan in ipconfig /flushdns för att glömma alla DNS-uppslagningar
3. Starta en ny insamling i Wireshark
4. Surfa till www.warriorsofthe.net med Firefox
5. Stäng sidan när den laddat färdigt
6. Stoppa Wireshark-insamlingen
7. Filtrera DNS-trafiken
8. Leta upp DNS queryn (förfrågan) som skickades till er DNS-server (se punkt 1) ang www.warriorsofthe.net. Markera den.
TIPS: A betyder IPv4 och AAAA betyder IPv6-adress
9. Utifrån informationen som ni nu hittar i mittersta fältet (Packet Detail), svara på följande frågor:
- Hur stor är hela framen? ________________________________________________________________________
- Använder sig DNS av UDP eller TCP som transportprotokoll?__________________________________________
- Varför?_____________________________________________________________________________________
- Vilken port skickades DNS-förfrågan till? _________________________________________________________
- Vilket portspann tillhör denna port?_______________________________________________________________ (se materialet, kapitel 9.1.2.8)
- Vilken port skickades DNS-förfrågan från? _________________________________________________________
- Vilket portspann tillhör denna port?_______________________________________________________________
10. Leta upp DNS-svaret
- Vilken IP-adress har www.warriorsofthe.net-servern enligt DNS-svaret?____________________________________________
TCP-session
1. Ta bort DNS-filtreringen och skriv istället TCP.
2. Se nu om ni kan hitta 3-way-handshake-processen i konversationen med www.warriorsofthe.net. Använd Firefox
3. Vilka slags paket är det ni letar efter?____________________________________________________________
4. Markera det första paketet i handskakningen. Fokusera nu på Packet Details-fältet.
- Vem är avsändare av detta paket?______________________________________________________________________
- Vilken port är det skickat från?______________________________________________________________________
- Vilket portspann tillhör denna port?__________________________________________________________________
- Vilken port är det skickat till? _____________________________________________________________________
- Vilket protokoll använder denna port?_________________________________________________________________
- Vilket portspann tillhör denna port? _________________________________________________________________
- Vilket relativt sekvensnummer har paketet?____________________________________________________________
- Vilken/vilka flagga/flaggor är satta?_________________________________________________________________
5. Markera nästa paket i handskakningen. I det här fallet ligger troligen nästa paket direkt under det första. Vill man vara helt säker kan man klicka på "Go" uppe i menyfältet och sedan "Next Packet in Conversation".
- Vem är avsändare?_____________________________________________________________________________________
- Vilken port är det skickat från?______________________________________________________________________
- Vilken port är det skickat till?______________________________________________________________________
- Vad är det relativa sekvensnumret? ___________________________________________________________________
- Vilken/Vilka flagga/flaggor är satta här?_____________________________________________________________
6. Markera det tredje och sista paketet i handskakningen.
- Vem är avsändare?_____________________________________________________________________________________
- Vilken port är det skickat från?______________________________________________________________________
- Vilken port är det skickat till?______________________________________________________________________
- Vad är det relativa sekvensnumret? ___________________________________________________________________
- Vilken/Vilka flagga/flaggor är satta här?_____________________________________________________________
7. När ni stängde webbläsaren avslutades tcp-sessionen.
- Vilka flaggor används då?_________________________________________ Leta upp dessa paket och bekräfta att det stämmer.