CCNA-1 Lab: Wireshark

From Datateknik
(Difference between revisions)
Jump to: navigation, search
(MAC-adress/IP-adress)
 
(44 intermediate revisions by 2 users not shown)
Line 3: Line 3:
 
Denna laboration skall utföras i par. Ni sitter vid en dator och analyserar paketinnehåll tillsammans. Den andra datorn används vid enstaka tillfällen för att skickas trafik till.
 
Denna laboration skall utföras i par. Ni sitter vid en dator och analyserar paketinnehåll tillsammans. Den andra datorn används vid enstaka tillfällen för att skickas trafik till.
  
I denna labb använder vi ett program som heter Wireshark. Det är ett program som används för paketanalyser vid bl a felsökning, forensik och utbildning. Här har ni möjlighet att se innehållet i den trafik som skickas samt få en bild av de olika lagren i TCP/IP- och OSI-modellen. Här finns en hel del att läsa om Wireshark och fin hjälp att få: https://wiki.wireshark.org/ och https://www.wireshark.org/docs/wsug_html_chunked/
+
I denna labb använder vi ett program som heter Wireshark. Det är ett program som används för paketanalyser vid bl a felsökning, forensik och utbildning. Här har ni möjlighet att se innehållet i den trafik som skickas samt få en bild av de olika lagren i TCP/IP- och OSI-modellen. <br>
 +
Här finns en hel del att läsa om Wireshark och fin hjälp att få: https://wiki.wireshark.org/ och https://www.wireshark.org/docs/wsug_html_chunked/
 
<br><br>
 
<br><br>
  
 
=Topologi=
 
=Topologi=
 
<br><br>
 
<br><br>
[[File:WS-topologi.png|x100px|baseline|WS-topologi]]
+
[[File:WS-topologi.png|x1200px|center|WS-topologi]]
 
<br><br>
 
<br><br>
 
<p style="page-break-after: always;">&nbsp;</p>
 
<p style="page-break-after: always;">&nbsp;</p>
Line 14: Line 15:
 
=Wireshark=
 
=Wireshark=
  
1. Koppla enligt topologin ovan <br>
+
1. Koppla enligt topologin <br>
 
2. Starta programmet Wireshark på en av era datorer. Föreslås en uppdatering så installera gärna den. Finns inte programmet på datorn så får ni gå till wireshark.org, välja Download och sedan Windows install (64-bit). Välj vid ev. fråga att även installera WinPcap, men inte USB-verktyget. Starta programmet. <br>
 
2. Starta programmet Wireshark på en av era datorer. Föreslås en uppdatering så installera gärna den. Finns inte programmet på datorn så får ni gå till wireshark.org, välja Download och sedan Windows install (64-bit). Välj vid ev. fråga att även installera WinPcap, men inte USB-verktyget. Starta programmet. <br>
3.  Mitt på sidan ser ni nu namnet på era nätverksanslutningar. En del av er har fler än en. Se då till att det interface som används för datatrafik är det samma som är valt (ex Ethernet el Local Area Connection). Kontrollera namnet i nätverksinställningarna på din dator om du är osäker. <br><br>
+
3.  Mitt på sidan ser ni nu namnet på era nätverksanslutningar. En del av er har fler än en. Se då till att det interface som används för datatrafik är det samma som är valt (ex Ethernet el Local Area Connection). Kontrollera namnet i nätverksinställningarna på din dator om du är osäker. <br>
[[File:StartWireshark.png|x200px|none|StartWireshark]] <br><br>
+
[[File:StartWireshark.png|x200px|none|StartWireshark]]<br>
  
 
4. Starta en datainsamling genom att klicka på den blå hajfenan högt upp till vänster. <br><br>
 
4. Starta en datainsamling genom att klicka på den blå hajfenan högt upp till vänster. <br><br>
[[File:StartCaption.png|x200px|none|StartWireshark]] <br><br>
+
[[File:StartCaption.png|x200px|none|StartWireshark]] <br>
  
 
5. Maximera fönstret så du kan se så mycket som möjligt. <br>
 
5. Maximera fönstret så du kan se så mycket som möjligt. <br>
 
6. Undersök de tre sektionerna på skärmen. I den översta rutan (Packet List) rullar nu en översikt av all trafik som passerar ditt nätverkskort. I den andra rutan, i mitten (Packet Detail), kan ni se detaljerad information om det paket ni markerar i översikten ovan. I den tredje rutan,  längst ner (Packet Bytes), ser du det faktiska innehållet i den pdu som är markerad i mittenfältet. <br>
 
6. Undersök de tre sektionerna på skärmen. I den översta rutan (Packet List) rullar nu en översikt av all trafik som passerar ditt nätverkskort. I den andra rutan, i mitten (Packet Detail), kan ni se detaljerad information om det paket ni markerar i översikten ovan. I den tredje rutan,  längst ner (Packet Bytes), ser du det faktiska innehållet i den pdu som är markerad i mittenfältet. <br>
7. När du känner dig klar med undersökningen kan du stoppa insamlingen med den röda fyrkanten bredvid den blå hajfenan. <br><br>
+
7. När du känner dig klar med undersökningen kan du stoppa insamlingen med den röda fyrkanten bredvid den blå hajfenan. <br>
[[File:StopCaption.png|x250px|none|StopCaption]] <br>
+
[[File:StopCaption.png|x260px|none|StopCaption]]<br>
 +
8. Välj ett paket (PDU) i den övre delen som har ett IP-nummer, genom att klicka en gång på det.<br>
 +
9. Klicka på alla [>] i mittenrutan så att du ser samtliga fält.<br>
 +
9. Prova att klicka på HEX-talen i nedersta rutan och se vad som blir markerat (highlightat) i mittenrutan.<br>
 +
11. Vilket HEX-tal i ordningen innehåller avsändande IP-nummer?<br>
 
<p style="page-break-after: always;">&nbsp;</p>
 
<p style="page-break-after: always;">&nbsp;</p>
  
 
= DHCP =
 
= DHCP =
 
För att se hur dchp-processen går till ska ni nu låna en ip-adress från dhcp-servern.
 
För att se hur dchp-processen går till ska ni nu låna en ip-adress från dhcp-servern.
1. Öppna command prompt (cmd) <br>
+
<br>1. Öppna command prompt (cmd) <br>
 
2. Släpp din IPv4-adress genom att skriva ipconfig /release <br>
 
2. Släpp din IPv4-adress genom att skriva ipconfig /release <br>
 
3. Starta en ny insamling genom att klicka på den blå hajfenan (alt den gröna om du inte stoppat föregående mätning). Fortsätt utan att spara.<br>
 
3. Starta en ny insamling genom att klicka på den blå hajfenan (alt den gröna om du inte stoppat föregående mätning). Fortsätt utan att spara.<br>
Line 37: Line 42:
 
5. När ni fått en ny ip-adress kan ni stoppa insamlingen i Wireshark <br>
 
5. När ni fått en ny ip-adress kan ni stoppa insamlingen i Wireshark <br>
 
6. Filtrera ut dhcp-trafiken genom att fylla i bootp i filterrutan. (Läs gärna mer om dhcp/bootp i Wireshark här: https://wiki.wireshark.org/DHCP ) <br>
 
6. Filtrera ut dhcp-trafiken genom att fylla i bootp i filterrutan. (Läs gärna mer om dhcp/bootp i Wireshark här: https://wiki.wireshark.org/DHCP ) <br>
7. Utifrån flödet i wireshark kan ni nu se fyra olika dhcp-meddelanden som skickas för att få en adress (ej DHCP Inform). Skriv upp namnen på dessa meddelanden i ordning här nedan och ange också trafiktypen (unicast, multicast eller broadcast). Notera också vilka portar som används. <br>
+
7. Utifrån flödet i wireshark kan ni nu se fyra olika dhcp-meddelanden som skickas för att få en adress. Skriv upp namnen på dessa meddelanden i ordning här nedan och ange också UDP eller TCP. Notera också vilka portar som används. <br>
 
<br>
 
<br>
  
&nbsp; &nbsp; &nbsp; &nbsp; 1 DHCP _________________ &nbsp; &nbsp; &nbsp; __________-cast &nbsp; &nbsp; &nbsp; sourceport:____ &nbsp; destinationport:____
+
&nbsp; &nbsp; &nbsp; &nbsp; 1 DHCP _________________ &nbsp; &nbsp; &nbsp; __________(tcp/udp) &nbsp; &nbsp; &nbsp; sourceport:_____ &nbsp; destinationport:_____
  
&nbsp; &nbsp; &nbsp; &nbsp; 2 DHCP _________________ &nbsp; &nbsp; &nbsp; __________-cast &nbsp; &nbsp; &nbsp; sourceport:____ &nbsp; destinationport:____
+
&nbsp; &nbsp; &nbsp; &nbsp; 2 DHCP _________________ &nbsp; &nbsp; &nbsp; __________(tcp/udp) &nbsp; &nbsp; &nbsp; sourceport:_____ &nbsp; destinationport:_____
  
&nbsp; &nbsp; &nbsp; &nbsp; 3 DHCP _________________ &nbsp; &nbsp; &nbsp; __________-cast &nbsp; &nbsp; &nbsp; sourceport:____ &nbsp; destinationport:____
+
&nbsp; &nbsp; &nbsp; &nbsp; 3 DHCP _________________ &nbsp; &nbsp; &nbsp; __________(tcp/udp) &nbsp; &nbsp; &nbsp; sourceport:_____ &nbsp; destinationport:_____
  
&nbsp; &nbsp; &nbsp; &nbsp; 4 DHCP _________________ &nbsp; &nbsp; &nbsp; __________-cast &nbsp; &nbsp; &nbsp; sourceport:____ &nbsp; destinationport:____
+
&nbsp; &nbsp; &nbsp; &nbsp; 4 DHCP _________________ &nbsp; &nbsp; &nbsp; __________(tcp/udp) &nbsp; &nbsp; &nbsp; sourceport:_____ &nbsp; destinationport:_____
 
<br>
 
<br>
 
<p style="page-break-after: always;">&nbsp;</p>
 
<p style="page-break-after: always;">&nbsp;</p>
Line 53: Line 58:
  
 
1. Kontrollera IPv4-adressen på den andra datorn. Notera den här:______________________________________________<br>
 
1. Kontrollera IPv4-adressen på den andra datorn. Notera den här:______________________________________________<br>
2. Öppna cmd på Wireshark-datorn och rensa din arp-tabell. Vilket kommando används för att ta bort samtliga rader ur arp-tabellen? ___________________ <br>
+
2. Öppna cmd på Wireshark-datorn och rensa din arp-tabell.  
3. Kontrollera att tabellen är hyfsat tom med kommandot __________________<br>
+
*Vilket kommando används för att ta bort samtliga rader ur arp-tabellen? ___________________ <br>
 +
3. Kontrollera att tabellen är hyfsat tom med kommandot __________________.<br>
 
4. Starta en ny Wireshark-insamling igen. Fortsätt utan att spara.<br>
 
4. Starta en ny Wireshark-insamling igen. Fortsätt utan att spara.<br>
5. Skicka ping från Wireshark-datorn till den andra datorn.<br>
+
5a. Töm ARP-tabellen igen.
 +
5b. Skicka ping från Wireshark-datorn till den andra datorn.<br>
 
6. Stoppa insamlingen<br>
 
6. Stoppa insamlingen<br>
 
7. Skriv nu in arp i filterrutan <br>
 
7. Skriv nu in arp i filterrutan <br>
[[File:arp.png|x150px|none|ARP]]
+
[[File:arp.png|x300px|none|ARP]]
 
8. Leta upp just era arp-meddelanden genom att titta i Info-kolumnen längst till höger. Markera ett meddelande för att se mer information om det in rutorna under. <br>
 
8. Leta upp just era arp-meddelanden genom att titta i Info-kolumnen längst till höger. Markera ett meddelande för att se mer information om det in rutorna under. <br>
9. a) Vad heter de två olika arpmeddelanden som skickas (Hint: Titta i header-fältet)? <br>
+
9. Fyll i tabellen nedan:
&nbsp; &nbsp; b) Vilka mac-adresser används som avsändare resp mottagare? <br>
+
* Vad heter de två olika arpmeddelanden som skickas (Hint: Titta i Packet Detail-fältet)? <br>
&nbsp; &nbsp; c) Vilken trafiktyp används för respektive meddelande (unicast/multicast/broadcast)?<br><br>
+
* Vilka mac-adresser används som avsändare resp mottagare? <br>
# a)__________________ b) från MAC-adress: _________________ till MAC-adress: __________________ c) _________-cast <br><br>
+
* Vilken trafiktyp används för respektive meddelande (unicast/multicast/broadcast)?<br><br>
# a)__________________ b) från MAC-adress: _________________ till MAC-adress: __________________ c) _________-cast
+
(Iväg skickas) Namn: __________________ <br><br>
 +
från MAC-adress: _____________________ till MAC-adress: ______________________  MAC _________-cast <br><br>
 +
från IP -adress: _______________________ till IP -adress: ________________________  IP _________-cast <br><br><br><br>
 +
(Vi får tillbaka) Namn: __________________ <br><br>
 +
från MAC-adress: _____________________ till MAC-adress: ______________________  MAC _________-cast <br><br>
 +
från IP -adress: _______________________ till IP -adress: ________________________  IP _________-cast <br><br>
 
<br>
 
<br>
10. Vilken MAC-adress hade då den enhet ni frågade efter?_______________________________________
 
 
<p style="page-break-after: always;">&nbsp;</p>
 
<p style="page-break-after: always;">&nbsp;</p>
  
 
= MAC-adress/IP-adress =
 
= MAC-adress/IP-adress =
  
1. Filtrera nu istället ut pingpaketen genom att skriva något i filterrutan. Vad skrev ni?______________________<br>
+
1. Filtrera nu istället ut pingpaketen genom att skriva något annat i filterrutan. Vad skrev ni?______________________<br>
2. Markera ett av pingpaketen ni skickade, leta upp avsändarens IP-adress och MAC-adress samt mottagarens IP-adress och MAC-adress. Leta sedan upp pingsvaret och kontrollera MAC- och IP-adress från både avsändare och mottagare. Notera det omvända förhållandet.<br>
+
2. Markera ett av pingpaketen ni skickade till den andra datorn, leta upp avsändarens IP-adress och MAC-adress samt mottagarens IP-adress och MAC-adress. Leta sedan upp pingsvaret och kontrollera MAC- och IP-adress från både avsändare och mottagare. Vilka adresser byter plats?.<br>
 
3. Starta en ny inspelning<br>
 
3. Starta en ny inspelning<br>
4. Skicka ping till tre valfria webservrar runt om i världen. <br>
+
4. Skicka ping till nedanstående servrar. Använd <tt> PING -4 </tt> kommandot för att tvinga fram IPv4-paket, inte IPv6.<br>
 
5. Stoppa inspelningen och filtrera pingpaketen. <br>
 
5. Stoppa inspelningen och filtrera pingpaketen. <br>
6. Leta upp pingpaket till de tre olika webservrarna, skriv ner destinationens IP-adress och MAC-adress.<br><br>
+
6. Leta upp pingpaket till de tre olika servrarna, skriv ner destinationens IP-adress och MAC-adress.<br><br>
Webserver: &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; IPadress (mottagare)  
+
Server: &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; IPadress (mottagare)  
 
&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; MAC-adress (mottagare)<br><br>
 
&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; MAC-adress (mottagare)<br><br>
1. www. ________________________._____ &nbsp;&nbsp;_______._______._______._______ &nbsp;&nbsp;____:____:____:____:____:____<br><br>
+
1. www.darknet.org &nbsp;&nbsp;_______._______._______._______ &nbsp;&nbsp;____:____:____:____:____:____<br><br>
2. www. ________________________._____ &nbsp;&nbsp;_______._______._______._______ &nbsp;&nbsp;____:____:____:____:____:____<br><br>
+
2. www.makemoney.com &nbsp;&nbsp;_______._______._______._______ &nbsp;&nbsp;____:____:____:____:____:____<br><br>
3. www. ________________________._____ &nbsp;&nbsp;_______._______._______._______ &nbsp;&nbsp;____:____:____:____:____:____<br><br>
+
3. google-public-dns-a.google.com &nbsp;&nbsp;_______._______._______._______ &nbsp;&nbsp;____:____:____:____:____:____<br><br><br>
 
Förklara resultatet ovan:<br><br>_____________________________________________________________________________________________________________<br><br>_____________________________________________________________________________________________________________<br><br>_____________________________________________________________________________________________________________<br><br>_____________________________________________________________________________________________________________<br><br>_____________________________________________________________________________________________________________<br>
 
Förklara resultatet ovan:<br><br>_____________________________________________________________________________________________________________<br><br>_____________________________________________________________________________________________________________<br><br>_____________________________________________________________________________________________________________<br><br>_____________________________________________________________________________________________________________<br><br>_____________________________________________________________________________________________________________<br>
 
<br>_____________________________________________________________________________________________________________<br>
 
<br>_____________________________________________________________________________________________________________<br>
Line 94: Line 105:
 
2. Skriv sedan in ipconfig /flushdns för att glömma alla DNS-uppslagningar <br>
 
2. Skriv sedan in ipconfig /flushdns för att glömma alla DNS-uppslagningar <br>
 
3. Starta en ny insamling i Wireshark <br>
 
3. Starta en ny insamling i Wireshark <br>
4. Surfa till www.warriorsofthe.net <br>
+
4. Surfa till www.warriorsofthe.net med Firefox<br>
5. Stoppa insamlingen när sidan är inladdad<br>
+
5. Stäng sidan när den laddat färdigt <br>
6. Filtrera DNS-trafiken <br>
+
6. Stoppa Wireshark-insamlingen <br>
7. Leta upp DNS queryn (förfrågan) som skickades till er DNS-server (se punkt 1) ang www.warriorsofthe.net. Markera den. <br><br>
+
7. Filtrera DNS-trafiken <br>
[[File:dnsquery.png|x300px|baseline|DNS]] <br><br>
+
8. Leta upp DNS queryn (förfrågan) som skickades till er DNS-server (se punkt 1) ang www.warriorsofthe.net. Markera den. <br>
8. Utifrån informationen som ni nu hittar i mittersta fältet (Packet Detail), svara på följande frågor: <br>
+
TIPS: A betyder IPv4 och AAAA betyder IPv6-adress<br><br>
 +
[[File:dnsquery.png|x500px|baseline|DNS]] <br><br>
 +
9. Utifrån informationen som ni nu hittar i mittersta fältet (Packet Detail), svara på följande frågor: <br>
 
* Hur stor är hela framen? ________________________________________________________________________ <br><br>
 
* Hur stor är hela framen? ________________________________________________________________________ <br><br>
 
* Använder sig DNS av UDP eller TCP som transportprotokoll?__________________________________________ <br><br>
 
* Använder sig DNS av UDP eller TCP som transportprotokoll?__________________________________________ <br><br>
 
* Varför?_____________________________________________________________________________________ <br><br>
 
* Varför?_____________________________________________________________________________________ <br><br>
 
* Vilken port skickades DNS-förfrågan till? _________________________________________________________ <br><br>
 
* Vilken port skickades DNS-förfrågan till? _________________________________________________________ <br><br>
* Vilket portspann tillhör denna port?_______________________________________________________________ <br><br>
+
* Vilket portspann tillhör denna port?_______________________________________________________________ (se materialet, kapitel 9.1.2.8)<br><br>
 
* Vilken port skickades DNS-förfrågan från? _________________________________________________________ <br><br>
 
* Vilken port skickades DNS-förfrågan från? _________________________________________________________ <br><br>
 
* Vilket portspann tillhör denna port?_______________________________________________________________ <br><br>
 
* Vilket portspann tillhör denna port?_______________________________________________________________ <br><br>
9. Leta upp DNS-svaret <br>
+
10. Leta upp DNS-svaret <br>
* Vilken IP-adress fick ni till www.warriorsofthe.net-servern?____________________________________________ <br>
+
* Vilken IP-adress har www.warriorsofthe.net-servern enligt DNS-svaret?____________________________________________ <br>
 
<p style="page-break-after: always;">&nbsp;</p>
 
<p style="page-break-after: always;">&nbsp;</p>
  
 
= TCP-session =
 
= TCP-session =
 
1. Ta bort DNS-filtreringen och skriv istället TCP. <br>
 
1. Ta bort DNS-filtreringen och skriv istället TCP. <br>
2. Se nu om ni kan hitta '''3-way-handshake'''-processen i konversationen med www.warriorsofthe.net. <br>
+
2. Se nu om ni kan hitta '''3-way-handshake'''-processen i konversationen med www.warriorsofthe.net. Använd Firefox<br>
 
3. Vilka slags paket är det ni letar efter?____________________________________________________________ <br>
 
3. Vilka slags paket är det ni letar efter?____________________________________________________________ <br>
 
[[File:3wayhandshake.png|x200px|none|3-way-handshake]] <br>
 
[[File:3wayhandshake.png|x200px|none|3-way-handshake]] <br>
Line 139: Line 152:
 
7. När ni stängde webbläsaren avslutades tcp-sessionen. <br>
 
7. När ni stängde webbläsaren avslutades tcp-sessionen. <br>
 
* Vilka flaggor används då?_________________________________________ Leta upp dessa paket och bekräfta att det stämmer. <br><br>
 
* Vilka flaggor används då?_________________________________________ Leta upp dessa paket och bekräfta att det stämmer. <br><br>
<p style="page-break-after: always;">&nbsp;</p>
 

Latest revision as of 07:58, 11 October 2019

Networking Academy   LAB 910: Wireshark
University West

Denna laboration skall utföras i par. Ni sitter vid en dator och analyserar paketinnehåll tillsammans. Den andra datorn används vid enstaka tillfällen för att skickas trafik till.

I denna labb använder vi ett program som heter Wireshark. Det är ett program som används för paketanalyser vid bl a felsökning, forensik och utbildning. Här har ni möjlighet att se innehållet i den trafik som skickas samt få en bild av de olika lagren i TCP/IP- och OSI-modellen.
Här finns en hel del att läsa om Wireshark och fin hjälp att få: https://wiki.wireshark.org/ och https://www.wireshark.org/docs/wsug_html_chunked/

Contents

[edit] Topologi



WS-topologi



 

[edit] Wireshark

1. Koppla enligt topologin
2. Starta programmet Wireshark på en av era datorer. Föreslås en uppdatering så installera gärna den. Finns inte programmet på datorn så får ni gå till wireshark.org, välja Download och sedan Windows install (64-bit). Välj vid ev. fråga att även installera WinPcap, men inte USB-verktyget. Starta programmet.
3. Mitt på sidan ser ni nu namnet på era nätverksanslutningar. En del av er har fler än en. Se då till att det interface som används för datatrafik är det samma som är valt (ex Ethernet el Local Area Connection). Kontrollera namnet i nätverksinställningarna på din dator om du är osäker.

StartWireshark

4. Starta en datainsamling genom att klicka på den blå hajfenan högt upp till vänster.

StartWireshark

5. Maximera fönstret så du kan se så mycket som möjligt.
6. Undersök de tre sektionerna på skärmen. I den översta rutan (Packet List) rullar nu en översikt av all trafik som passerar ditt nätverkskort. I den andra rutan, i mitten (Packet Detail), kan ni se detaljerad information om det paket ni markerar i översikten ovan. I den tredje rutan, längst ner (Packet Bytes), ser du det faktiska innehållet i den pdu som är markerad i mittenfältet.
7. När du känner dig klar med undersökningen kan du stoppa insamlingen med den röda fyrkanten bredvid den blå hajfenan.

StopCaption

8. Välj ett paket (PDU) i den övre delen som har ett IP-nummer, genom att klicka en gång på det.
9. Klicka på alla [>] i mittenrutan så att du ser samtliga fält.
9. Prova att klicka på HEX-talen i nedersta rutan och se vad som blir markerat (highlightat) i mittenrutan.
11. Vilket HEX-tal i ordningen innehåller avsändande IP-nummer?

 

[edit] DHCP

För att se hur dchp-processen går till ska ni nu låna en ip-adress från dhcp-servern.
1. Öppna command prompt (cmd)
2. Släpp din IPv4-adress genom att skriva ipconfig /release
3. Starta en ny insamling genom att klicka på den blå hajfenan (alt den gröna om du inte stoppat föregående mätning). Fortsätt utan att spara.

DHCPfilterbootp

4. Gå tillbaka till cmd och skriv ipconfig /renew
5. När ni fått en ny ip-adress kan ni stoppa insamlingen i Wireshark
6. Filtrera ut dhcp-trafiken genom att fylla i bootp i filterrutan. (Läs gärna mer om dhcp/bootp i Wireshark här: https://wiki.wireshark.org/DHCP )
7. Utifrån flödet i wireshark kan ni nu se fyra olika dhcp-meddelanden som skickas för att få en adress. Skriv upp namnen på dessa meddelanden i ordning här nedan och ange också UDP eller TCP. Notera också vilka portar som används.

        1 DHCP _________________       __________(tcp/udp)       sourceport:_____   destinationport:_____

        2 DHCP _________________       __________(tcp/udp)       sourceport:_____   destinationport:_____

        3 DHCP _________________       __________(tcp/udp)       sourceport:_____   destinationport:_____

        4 DHCP _________________       __________(tcp/udp)       sourceport:_____   destinationport:_____

 

[edit] ARP

1. Kontrollera IPv4-adressen på den andra datorn. Notera den här:______________________________________________
2. Öppna cmd på Wireshark-datorn och rensa din arp-tabell.

  • Vilket kommando används för att ta bort samtliga rader ur arp-tabellen? ___________________

3. Kontrollera att tabellen är hyfsat tom med kommandot __________________.
4. Starta en ny Wireshark-insamling igen. Fortsätt utan att spara.
5a. Töm ARP-tabellen igen. 5b. Skicka ping från Wireshark-datorn till den andra datorn.
6. Stoppa insamlingen
7. Skriv nu in arp i filterrutan

ARP

8. Leta upp just era arp-meddelanden genom att titta i Info-kolumnen längst till höger. Markera ett meddelande för att se mer information om det in rutorna under.
9. Fyll i tabellen nedan:

  • Vad heter de två olika arpmeddelanden som skickas (Hint: Titta i Packet Detail-fältet)?
  • Vilka mac-adresser används som avsändare resp mottagare?
  • Vilken trafiktyp används för respektive meddelande (unicast/multicast/broadcast)?

(Iväg skickas) Namn: __________________

från MAC-adress: _____________________ till MAC-adress: ______________________ MAC _________-cast

från IP -adress: _______________________ till IP -adress: ________________________ IP _________-cast



(Vi får tillbaka) Namn: __________________

från MAC-adress: _____________________ till MAC-adress: ______________________ MAC _________-cast

från IP -adress: _______________________ till IP -adress: ________________________ IP _________-cast


 

[edit] MAC-adress/IP-adress

1. Filtrera nu istället ut pingpaketen genom att skriva något annat i filterrutan. Vad skrev ni?______________________
2. Markera ett av pingpaketen ni skickade till den andra datorn, leta upp avsändarens IP-adress och MAC-adress samt mottagarens IP-adress och MAC-adress. Leta sedan upp pingsvaret och kontrollera MAC- och IP-adress från både avsändare och mottagare. Vilka adresser byter plats?.
3. Starta en ny inspelning
4. Skicka ping till nedanstående servrar. Använd PING -4 kommandot för att tvinga fram IPv4-paket, inte IPv6.
5. Stoppa inspelningen och filtrera pingpaketen.
6. Leta upp pingpaket till de tre olika servrarna, skriv ner destinationens IP-adress och MAC-adress.

Server:                                                         IPadress (mottagare)                             MAC-adress (mottagare)

1. www.darknet.org   _______._______._______._______   ____:____:____:____:____:____

2. www.makemoney.com   _______._______._______._______   ____:____:____:____:____:____

3. google-public-dns-a.google.com   _______._______._______._______   ____:____:____:____:____:____


Förklara resultatet ovan:

_____________________________________________________________________________________________________________

_____________________________________________________________________________________________________________

_____________________________________________________________________________________________________________

_____________________________________________________________________________________________________________

_____________________________________________________________________________________________________________

_____________________________________________________________________________________________________________

_____________________________________________________________________________________________________________

_____________________________________________________________________________________________________________

_____________________________________________________________________________________________________________

 

[edit] DNS

1. Öppna cmd och skriv in ipconfig /all för att notera IP-adressen till er DNS-server
2. Skriv sedan in ipconfig /flushdns för att glömma alla DNS-uppslagningar
3. Starta en ny insamling i Wireshark
4. Surfa till www.warriorsofthe.net med Firefox
5. Stäng sidan när den laddat färdigt
6. Stoppa Wireshark-insamlingen
7. Filtrera DNS-trafiken
8. Leta upp DNS queryn (förfrågan) som skickades till er DNS-server (se punkt 1) ang www.warriorsofthe.net. Markera den.
TIPS: A betyder IPv4 och AAAA betyder IPv6-adress

DNS

9. Utifrån informationen som ni nu hittar i mittersta fältet (Packet Detail), svara på följande frågor:

  • Hur stor är hela framen? ________________________________________________________________________

  • Använder sig DNS av UDP eller TCP som transportprotokoll?__________________________________________

  • Varför?_____________________________________________________________________________________

  • Vilken port skickades DNS-förfrågan till? _________________________________________________________

  • Vilket portspann tillhör denna port?_______________________________________________________________ (se materialet, kapitel 9.1.2.8)

  • Vilken port skickades DNS-förfrågan från? _________________________________________________________

  • Vilket portspann tillhör denna port?_______________________________________________________________

10. Leta upp DNS-svaret

  • Vilken IP-adress har www.warriorsofthe.net-servern enligt DNS-svaret?____________________________________________

 

[edit] TCP-session

1. Ta bort DNS-filtreringen och skriv istället TCP.
2. Se nu om ni kan hitta 3-way-handshake-processen i konversationen med www.warriorsofthe.net. Använd Firefox
3. Vilka slags paket är det ni letar efter?____________________________________________________________

3-way-handshake

4. Markera det första paketet i handskakningen. Fokusera nu på Packet Details-fältet.

  • Vem är avsändare av detta paket?______________________________________________________________________

  • Vilken port är det skickat från?______________________________________________________________________

  • Vilket portspann tillhör denna port?__________________________________________________________________

  • Vilken port är det skickat till? _____________________________________________________________________

  • Vilket protokoll använder denna port?_________________________________________________________________

  • Vilket portspann tillhör denna port? _________________________________________________________________

  • Vilket relativt sekvensnummer har paketet?____________________________________________________________

  • Vilken/vilka flagga/flaggor är satta?_________________________________________________________________

5. Markera nästa paket i handskakningen. I det här fallet ligger troligen nästa paket direkt under det första. Vill man vara helt säker kan man klicka på "Go" uppe i menyfältet och sedan "Next Packet in Conversation".

  • Vem är avsändare?_____________________________________________________________________________________

  • Vilken port är det skickat från?______________________________________________________________________

  • Vilken port är det skickat till?______________________________________________________________________

  • Vad är det relativa sekvensnumret? ___________________________________________________________________

  • Vilken/Vilka flagga/flaggor är satta här?_____________________________________________________________

6. Markera det tredje och sista paketet i handskakningen.

  • Vem är avsändare?_____________________________________________________________________________________

  • Vilken port är det skickat från?______________________________________________________________________

  • Vilken port är det skickat till?______________________________________________________________________

  • Vad är det relativa sekvensnumret? ___________________________________________________________________

  • Vilken/Vilka flagga/flaggor är satta här?_____________________________________________________________

7. När ni stängde webbläsaren avslutades tcp-sessionen.

  • Vilka flaggor används då?_________________________________________ Leta upp dessa paket och bekräfta att det stämmer.

Personal tools
Namespaces

Variants
Actions
Navigation
Tools