CCNA-1 Lab: Wireshark
Denna laboration skall utföras i par. Ni sitter vid en dator och analyserar paketinnehåll tillsammans. Den andra datorn används vid enstaka tillfällen för att skickas trafik till.
I denna labb använder vi ett program som heter Wireshark. Det är ett program som används för paketanalyser vid bl a felsökning, forensik och utbildning. Här har ni möjlighet att se innehållet i den trafik som skickas samt få en bild av de olika lagren i TCP/IP- och OSI-modellen. Här finns en hel del att läsa om Wireshark och fin hjälp att få: https://wiki.wireshark.org/ och https://www.wireshark.org/docs/wsug_html_chunked/
Contents |
Topologi
Wireshark
1. Koppla enligt topologin ovan
2. Starta programmet Wireshark på en av era datorer. Föreslås en uppdatering så installera gärna den. Finns inte programmet på datorn så får ni gå till wireshark.org, välja Download och sedan Windows install (64-bit). Välj vid ev. fråga att även installera WinPcap, men inte USB-verktyget. Starta programmet.
3. Mitt på sidan ser ni nu namnet på era nätverksanslutningar. En del av er har fler än en. Se då till att det interface som används för datatrafik är det samma som är valt (ex Ethernet el Local Area Connection). Kontrollera namnet i nätverksinställningarna på din dator om du är osäker.
4. Starta en datainsamling genom att klicka på den blå hajfenan högt upp till vänster.
5. Maximera fönstret så du kan se så mycket som möjligt.
6. Undersök de tre sektionerna på skärmen. I den översta rutan (Packet List) rullar nu en översikt av all trafik som passerar ditt nätverkskort. I den andra rutan, i mitten (Packet Detail), kan ni se detaljerad information om det paket ni markerar i översikten ovan. I den tredje rutan, längst ner (Packet Bytes), ser du det faktiska innehållet i den pdu som är markerad i mittenfältet.
7. När du känner dig klar med undersökningen kan du stoppa insamlingen med den röda fyrkanten bredvid den blå hajfenan.
DHCP
För att se hur dchp-processen går till ska ni nu låna en ip-adress från dhcp-servern.
1. Öppna command prompt (cmd)
2. Släpp din IPv4-adress genom att skriva ipconfig /release
3. Starta en ny insamling genom att klicka på den blå hajfenan (alt den gröna om du inte stoppat föregående mätning). Fortsätt utan att spara.
4. Gå tillbaka till cmd och skriv ipconfig /renew
5. När ni fått en ny ip-adress kan ni stoppa insamlingen i Wireshark
6. Filtrera ut dhcp-trafiken genom att fylla i bootp i filterrutan. (Läs gärna mer om dhcp/bootp i Wireshark här: https://wiki.wireshark.org/DHCP )
7. Utifrån flödet i wireshark kan ni nu se fyra olika dhcp-meddelanden som skickas för att få en adress (ej DHCP Inform). Skriv upp namnen på dessa meddelanden i ordning här nedan och ange också trafiktypen (unicast, multicast eller broadcast). Notera också vilka portar som används.
1 DHCP _________________ __________-cast sourceport:____ destinationport:____
2 DHCP _________________ __________-cast sourceport:____ destinationport:____
3 DHCP _________________ __________-cast sourceport:____ destinationport:____
4 DHCP _________________ __________-cast sourceport:____ destinationport:____
ARP
1. Kontrollera IPv4-adressen på den andra datorn. Notera den här:______________________________________________
2. Öppna cmd på Wireshark-datorn och rensa din arp-tabell. Vilket kommando används för att ta bort samtliga rader ur arp-tabellen? ___________________
3. Kontrollera att tabellen är hyfsat tom med kommandot __________________
4. Starta en ny Wireshark-insamling igen. Fortsätt utan att spara.
5. Skicka ping från Wireshark-datorn till den andra datorn.
6. Stoppa insamlingen
7. Skriv nu in arp i filterrutan
8. Leta upp just era arp-meddelanden genom att titta i Info-kolumnen längst till höger. Markera ett meddelande för att se mer information om det in rutorna under.
9. a) Vad heter de två olika arpmeddelanden som skickas (Hint: Titta i header-fältet)?
b) Vilka mac-adresser används som avsändare resp mottagare?
c) Vilken trafiktyp används för respektive meddelande (unicast/multicast/broadcast)?
- a)__________________ b) från MAC-adress: _________________ till MAC-adress: __________________ c) _________-cast
- a)__________________ b) från MAC-adress: _________________ till MAC-adress: __________________ c) _________-cast
10. Vilken MAC-adress hade då den enhet ni frågade efter?_______________________________________
MAC-adress/IP-adress
1. Filtrera nu istället ut pingpaketen genom att skriva något i filterrutan. Vad skrev ni?______________________
2. Markera ett av pingpaketen ni skickade, leta upp avsändarens IP-adress och MAC-adress samt mottagarens IP-adress och MAC-adress. Leta sedan upp pingsvaret och kontrollera MAC- och IP-adress från både avsändare och mottagare. Notera det omvända förhållandet.
3. Starta en ny inspelning
4. Skicka ping till tre valfria webservrar runt om i världen.
5. Stoppa inspelningen och filtrera pingpaketen.
6. Leta upp pingpaket till de tre olika webservrarna, skriv ner destinationens IP-adress och MAC-adress.
Webserver: IPadress (mottagare)
MAC-adress (mottagare)
1. www. ________________________._____ _______._______._______._______ ____:____:____:____:____:____
2. www. ________________________._____ _______._______._______._______ ____:____:____:____:____:____
3. www. ________________________._____ _______._______._______._______ ____:____:____:____:____:____
Förklara resultatet ovan:
_____________________________________________________________________________________________________________
_____________________________________________________________________________________________________________
_____________________________________________________________________________________________________________
_____________________________________________________________________________________________________________
_____________________________________________________________________________________________________________
_____________________________________________________________________________________________________________
_____________________________________________________________________________________________________________
_____________________________________________________________________________________________________________
_____________________________________________________________________________________________________________
DNS
1. Öppna cmd och skriv in ipconfig /all för att notera IP-adressen till er DNS-server
2. Skriv sedan in ipconfig /flushdns för att glömma alla DNS-uppslagningar
3. Starta en ny insamling i Wireshark
4. Surfa till www.warriorsofthe.net
5. Stoppa insamlingen när sidan är inladdad
6. Filtrera DNS-trafiken
7. Leta upp DNS queryn (förfrågan) som skickades till er DNS-server (se punkt 1) ang www.warriorsofthe.net. Markera den.
8. Utifrån informationen som ni nu hittar i mittersta fältet (Packet Detail), svara på följande frågor:
- Hur stor är hela framen? ________________________________________________________________________
- Använder sig DNS av UDP eller TCP som transportprotokoll?__________________________________________
- Varför?_____________________________________________________________________________________
- Vilken port skickades DNS-förfrågan till? _________________________________________________________
- Vilket portspann tillhör denna port?_______________________________________________________________
- Vilken port skickades DNS-förfrågan från? _________________________________________________________
- Vilket portspann tillhör denna port?_______________________________________________________________
9. Leta upp DNS-svaret
- Vilken IP-adress fick ni till www.warriorsofthe.net-servern?____________________________________________
TCP-session
1. Ta bort DNS-filtreringen och skriv istället TCP.
2. Se nu om ni kan hitta 3-way-handshake-processen i konversationen med www.warriorsofthe.net.
3. Vilka slags paket är det ni letar efter?____________________________________________________________
4. Markera det första paketet i handskakningen. Fokusera nu på Packet Details-fältet.
- Vem är avsändare av detta paket?______________________________________________________________________
- Vilken port är det skickat från?______________________________________________________________________
- Vilket portspann tillhör denna port?__________________________________________________________________
- Vilken port är det skickat till? _____________________________________________________________________
- Vilket protokoll använder denna port?_________________________________________________________________
- Vilket portspann tillhör denna port? _________________________________________________________________
- Vilket relativt sekvensnummer har paketet?____________________________________________________________
- Vilken/vilka flagga/flaggor är satta?_________________________________________________________________
5. Markera nästa paket i handskakningen. I det här fallet ligger troligen nästa paket direkt under det första. Vill man vara helt säker kan man klicka på "Go" uppe i menyfältet och sedan "Next Packet in Conversation".
- Vem är avsändare?_____________________________________________________________________________________
- Vilken port är det skickat från?______________________________________________________________________
- Vilken port är det skickat till?______________________________________________________________________
- Vad är det relativa sekvensnumret? ___________________________________________________________________
- Vilken/Vilka flagga/flaggor är satta här?_____________________________________________________________
6. Markera det tredje och sista paketet i handskakningen.
- Vem är avsändare?_____________________________________________________________________________________
- Vilken port är det skickat från?______________________________________________________________________
- Vilken port är det skickat till?______________________________________________________________________
- Vad är det relativa sekvensnumret? ___________________________________________________________________
- Vilken/Vilka flagga/flaggor är satta här?_____________________________________________________________
7. När ni stängde webbläsaren avslutades tcp-sessionen.
- Vilka flaggor används då?_________________________________________ Leta upp dessa paket och bekräfta att det stämmer.