CCNA-1 Lab: Wireshark

From Datateknik
(Difference between revisions)
Jump to: navigation, search
(ARP)
(ARP)
Line 68: Line 68:
 
[[File:arp.png|x300px|none|ARP]]
 
[[File:arp.png|x300px|none|ARP]]
 
8. Leta upp just era arp-meddelanden genom att titta i Info-kolumnen längst till höger. Markera ett meddelande för att se mer information om det in rutorna under. <br>
 
8. Leta upp just era arp-meddelanden genom att titta i Info-kolumnen längst till höger. Markera ett meddelande för att se mer information om det in rutorna under. <br>
9. a) Vad heter de två olika arpmeddelanden som skickas (Hint: Titta i Packet Detail-fältet)? <br>
+
9. Fyll i tabellen nedan:
 +
* Vad heter de två olika arpmeddelanden som skickas (Hint: Titta i Packet Detail-fältet)? <br>
 
&nbsp; &nbsp; b) Vilka mac-adresser används som avsändare resp mottagare? <br>
 
&nbsp; &nbsp; b) Vilka mac-adresser används som avsändare resp mottagare? <br>
 
&nbsp; &nbsp; c) Vilken trafiktyp används för respektive meddelande (unicast/multicast/broadcast)?<br><br>
 
&nbsp; &nbsp; c) Vilken trafiktyp används för respektive meddelande (unicast/multicast/broadcast)?<br><br>
# a)__________________ b) från MAC-adress: _________________ till MAC-adress: __________________ c) _________-cast <br><br>
+
# Namn: __________________ <br><br>
# a)__________________ b) från MAC-adress: _________________ till MAC-adress: __________________ c) _________-cast
+
från MAC-adress: _________________ till MAC-adress: __________________ c) MAC _________-cast <br><br>
 +
från IP -adress: _________________ till IP -adress: __________________ c) IP _________-cast <br><br>
 +
# Namn: __________________  <br><br>
 +
från MAC-adress: _________________ till MAC-adress: __________________ c) MAC _________-cast <br><br>
 +
från IP -adress: _________________ till IP -adress: __________________ c) IP _________-cast <br><br>
 
<br>
 
<br>
 
10. Vilken MAC-adress hade då den enhet ni frågade efter?_______________________________________
 
10. Vilken MAC-adress hade då den enhet ni frågade efter?_______________________________________

Revision as of 09:10, 11 October 2018

Networking Academy   LAB 910: Wireshark
University West

Denna laboration skall utföras i par. Ni sitter vid en dator och analyserar paketinnehåll tillsammans. Den andra datorn används vid enstaka tillfällen för att skickas trafik till.

I denna labb använder vi ett program som heter Wireshark. Det är ett program som används för paketanalyser vid bl a felsökning, forensik och utbildning. Här har ni möjlighet att se innehållet i den trafik som skickas samt få en bild av de olika lagren i TCP/IP- och OSI-modellen.
Här finns en hel del att läsa om Wireshark och fin hjälp att få: https://wiki.wireshark.org/ och https://www.wireshark.org/docs/wsug_html_chunked/

Contents

Topologi



WS-topologi



 

Wireshark

1. Koppla enligt topologin
2. Starta programmet Wireshark på en av era datorer. Föreslås en uppdatering så installera gärna den. Finns inte programmet på datorn så får ni gå till wireshark.org, välja Download och sedan Windows install (64-bit). Välj vid ev. fråga att även installera WinPcap, men inte USB-verktyget. Starta programmet.
3. Mitt på sidan ser ni nu namnet på era nätverksanslutningar. En del av er har fler än en. Se då till att det interface som används för datatrafik är det samma som är valt (ex Ethernet el Local Area Connection). Kontrollera namnet i nätverksinställningarna på din dator om du är osäker.

StartWireshark

4. Starta en datainsamling genom att klicka på den blå hajfenan högt upp till vänster.

StartWireshark

5. Maximera fönstret så du kan se så mycket som möjligt.
6. Undersök de tre sektionerna på skärmen. I den översta rutan (Packet List) rullar nu en översikt av all trafik som passerar ditt nätverkskort. I den andra rutan, i mitten (Packet Detail), kan ni se detaljerad information om det paket ni markerar i översikten ovan. I den tredje rutan, längst ner (Packet Bytes), ser du det faktiska innehållet i den pdu som är markerad i mittenfältet.
7. När du känner dig klar med undersökningen kan du stoppa insamlingen med den röda fyrkanten bredvid den blå hajfenan.

StopCaption

8. Välj ett paket (PDU) i den övre delen som har ett IP-nummer, genom att klicka en gång på det.
9. Klicka på alla [+] i mittenrutan så att du ser samtliga fält.
9. Prova att klicka på HEX-talen i nedersta rutan och se vad som blir markerat (highlightat) i mittenrutan.
11. Vilket HEX-tal i ordningen innehåller avsändande IP-nummer?

 

DHCP

För att se hur dchp-processen går till ska ni nu låna en ip-adress från dhcp-servern.
1. Öppna command prompt (cmd)
2. Släpp din IPv4-adress genom att skriva ipconfig /release
3. Starta en ny insamling genom att klicka på den blå hajfenan (alt den gröna om du inte stoppat föregående mätning). Fortsätt utan att spara.

DHCPfilterbootp

4. Gå tillbaka till cmd och skriv ipconfig /renew
5. När ni fått en ny ip-adress kan ni stoppa insamlingen i Wireshark
6. Filtrera ut dhcp-trafiken genom att fylla i bootp i filterrutan. (Läs gärna mer om dhcp/bootp i Wireshark här: https://wiki.wireshark.org/DHCP )
7. Utifrån flödet i wireshark kan ni nu se fyra olika dhcp-meddelanden som skickas för att få en adress. Skriv upp namnen på dessa meddelanden i ordning här nedan och ange också UDP eller TCP. Notera också vilka portar som används.

        1 DHCP _________________       __________(tcp/udp)       sourceport:_____   destinationport:_____

        2 DHCP _________________       __________(tcp/udp)       sourceport:_____   destinationport:_____

        3 DHCP _________________       __________(tcp/udp)       sourceport:_____   destinationport:_____

        4 DHCP _________________       __________(tcp/udp)       sourceport:_____   destinationport:_____

 

ARP

1. Kontrollera IPv4-adressen på den andra datorn. Notera den här:______________________________________________
2. Öppna cmd på Wireshark-datorn och rensa din arp-tabell.

  • Vilket kommando används för att ta bort samtliga rader ur arp-tabellen? ___________________

3. Kontrollera att tabellen är hyfsat tom med kommandot __________________.
4. Starta en ny Wireshark-insamling igen. Fortsätt utan att spara.
5a. Töm ARP-tabellen igen. 5b. Skicka ping från Wireshark-datorn till den andra datorn.
6. Stoppa insamlingen
7. Skriv nu in arp i filterrutan

ARP

8. Leta upp just era arp-meddelanden genom att titta i Info-kolumnen längst till höger. Markera ett meddelande för att se mer information om det in rutorna under.
9. Fyll i tabellen nedan:

  • Vad heter de två olika arpmeddelanden som skickas (Hint: Titta i Packet Detail-fältet)?

    b) Vilka mac-adresser används som avsändare resp mottagare?
    c) Vilken trafiktyp används för respektive meddelande (unicast/multicast/broadcast)?

  1. Namn: __________________

från MAC-adress: _________________ till MAC-adress: __________________ c) MAC _________-cast

från IP -adress: _________________ till IP -adress: __________________ c) IP _________-cast

  1. Namn: __________________

från MAC-adress: _________________ till MAC-adress: __________________ c) MAC _________-cast

från IP -adress: _________________ till IP -adress: __________________ c) IP _________-cast


10. Vilken MAC-adress hade då den enhet ni frågade efter?_______________________________________

 

MAC-adress/IP-adress

1. Filtrera nu istället ut pingpaketen genom att skriva något annat i filterrutan. Vad skrev ni?______________________
2. Markera ett av pingpaketen ni skickade till den andra datorn, leta upp avsändarens IP-adress och MAC-adress samt mottagarens IP-adress och MAC-adress. Leta sedan upp pingsvaret och kontrollera MAC- och IP-adress från både avsändare och mottagare. Notera det omvända förhållandet.
3. Starta en ny inspelning
4. Skicka ping till tre valfria webservrar runt om i världen.
5. Stoppa inspelningen och filtrera pingpaketen.
6. Leta upp pingpaket till de tre olika webservrarna, skriv ner destinationens IP-adress och MAC-adress.

Webserver:                                                         IPadress (mottagare)                             MAC-adress (mottagare)

1. www. ________________________._____   _______._______._______._______   ____:____:____:____:____:____

2. www. ________________________._____   _______._______._______._______   ____:____:____:____:____:____

3. www. ________________________._____   _______._______._______._______   ____:____:____:____:____:____


Förklara resultatet ovan:

_____________________________________________________________________________________________________________

_____________________________________________________________________________________________________________

_____________________________________________________________________________________________________________

_____________________________________________________________________________________________________________

_____________________________________________________________________________________________________________

_____________________________________________________________________________________________________________

_____________________________________________________________________________________________________________

_____________________________________________________________________________________________________________

_____________________________________________________________________________________________________________

 

DNS

1. Öppna cmd och skriv in ipconfig /all för att notera IP-adressen till er DNS-server
2. Skriv sedan in ipconfig /flushdns för att glömma alla DNS-uppslagningar
3. Starta en ny insamling i Wireshark
4. Surfa till www.warriorsofthe.net
5. Stäng sidan när den laddat färdigt
6. Stoppa Wireshark-insamlingen
7. Filtrera DNS-trafiken
8. Leta upp DNS queryn (förfrågan) som skickades till er DNS-server (se punkt 1) ang www.warriorsofthe.net. Markera den.

DNS

9. Utifrån informationen som ni nu hittar i mittersta fältet (Packet Detail), svara på följande frågor:

  • Hur stor är hela framen? ________________________________________________________________________

  • Använder sig DNS av UDP eller TCP som transportprotokoll?__________________________________________

  • Varför?_____________________________________________________________________________________

  • Vilken port skickades DNS-förfrågan till? _________________________________________________________

  • Vilket portspann tillhör denna port?_______________________________________________________________

  • Vilken port skickades DNS-förfrågan från? _________________________________________________________

  • Vilket portspann tillhör denna port?_______________________________________________________________

10. Leta upp DNS-svaret

  • Vilken IP-adress har www.warriorsofthe.net-servern enligt DNS-svaret?____________________________________________

 

TCP-session

1. Ta bort DNS-filtreringen och skriv istället TCP.
2. Se nu om ni kan hitta 3-way-handshake-processen i konversationen med www.warriorsofthe.net.
3. Vilka slags paket är det ni letar efter?____________________________________________________________

3-way-handshake

4. Markera det första paketet i handskakningen. Fokusera nu på Packet Details-fältet.

  • Vem är avsändare av detta paket?______________________________________________________________________

  • Vilken port är det skickat från?______________________________________________________________________

  • Vilket portspann tillhör denna port?__________________________________________________________________

  • Vilken port är det skickat till? _____________________________________________________________________

  • Vilket protokoll använder denna port?_________________________________________________________________

  • Vilket portspann tillhör denna port? _________________________________________________________________

  • Vilket relativt sekvensnummer har paketet?____________________________________________________________

  • Vilken/vilka flagga/flaggor är satta?_________________________________________________________________

5. Markera nästa paket i handskakningen. I det här fallet ligger troligen nästa paket direkt under det första. Vill man vara helt säker kan man klicka på "Go" uppe i menyfältet och sedan "Next Packet in Conversation".

  • Vem är avsändare?_____________________________________________________________________________________

  • Vilken port är det skickat från?______________________________________________________________________

  • Vilken port är det skickat till?______________________________________________________________________

  • Vad är det relativa sekvensnumret? ___________________________________________________________________

  • Vilken/Vilka flagga/flaggor är satta här?_____________________________________________________________

6. Markera det tredje och sista paketet i handskakningen.

  • Vem är avsändare?_____________________________________________________________________________________

  • Vilken port är det skickat från?______________________________________________________________________

  • Vilken port är det skickat till?______________________________________________________________________

  • Vad är det relativa sekvensnumret? ___________________________________________________________________

  • Vilken/Vilka flagga/flaggor är satta här?_____________________________________________________________

7. När ni stängde webbläsaren avslutades tcp-sessionen.

  • Vilka flaggor används då?_________________________________________ Leta upp dessa paket och bekräfta att det stämmer.

 

Personal tools
Namespaces

Variants
Actions
Navigation
Tools