Warstwa fizyczna, łącza danych

Warstwa fizyczna, łącza danych
ćwiczenie 3
Warstwa fizyczna, łącza danych
Zadania
1. Z wykorzystaniem okablowania prostego oraz koncentratora lub przełącznika należy
zorganizować dwie sieci lokalne obejmujące odpowiednio dwie połowy klasy laboratoryjnej. W
obrębie jednej grupy należy skonfigurować interfejsy sieciowe nadając im adresy z rodziny
192.168.1.0/24, drugiej połowie z rodziny 192.168.2.0/24. Poprawność konfiguracji należy
wykazać wykorzystując polecenie ping.
2. Należy podjąć próbę podsłuchania ruchu generowanego w sieci z wykorzystaniem koncentratora
oraz przełącznika. Jaka część ruchu jest widoczna w jednym i w drugim przypadku? Jak
wytłumaczyć zaistniałą sytuację?
3. Po zbadaniu osiągalności kilku komputerów sieci lokalnej za pomocą narzędzia ping, należy
przeanalizować wpisy w tablicy ARP. O czym świadczy dynamiczny typ wpisu? Po
wyczyszczeniu tablicy ARP zbadaj kiedy pojawiają się nowe wpisy?
4. Za pomocą sniffera należy prześledzić dialog ARP między dwoma stacjami i odpowiedzieć na
poniższe pytania:
1. Jak nazywają się komunikaty w trakcie dialogu ARP?
2. Jaka jest kolejność pól adresowych MAC - źródłowego oraz docelowego (Source oraz
Destination)? Jak wytłumaczyć celowość powyższego rozwiązania?
3. Czy po dokonaniu statycznego wpisu do tablicy ARP, powyższy dialog występuje nadal?
5. Połącz ze sobą obydwie sieci (192.168.1.0/24 i 192.168.2.0/24) łącząc obydwa przełączniki. Czy
widoczne są wszystkie komputery w laboratorium? Jak wytłumaczyć taką sytuację?
6. Dokonując odpowiedniej modyfikacji maski podsieci należy wydzielić podsieć w rozpatrywanej
sieci lokalnej w taki sposób, aby komputery z rodziny 192.168.1.0 oraz 192.168.2.0 wzajemnie
się „widziały”. Poprawność konfiguracji należy wykazać pingujac pozostałe komputery.
7. Po zestawieniu pętli fizycznej na przełączniku i wygenerowaniu komunikatu broadcastowego
należy zaobserwować dowolnym programem sniffującym zjawisko burzy broadcastów
(broadcast storm). Czym można wytłumaczyć zaistniałą sytuację?
8. Skonfiguruj bramę dla tej sieci, udostępniając połączenie z Internetem.
Urządzenia warstwy fizycznej
Urządzenia warstwy fizycznej stanowią grupę urządzeń transmisyjnych nie dokonujących analizy
przesyłanych danych. Ich podstawowym zadaniem jest retransmisja danych pozyskanych na jednym z
portów komunikacyjnych na wszystkie pozostałe. Warstwa fizyczna definiująca niskopoziomowe
standardy komunikacyjne w aspektach mechanicznym, elektrycznym, funkcjonalnym, umożliwia
jedynie (re-) transmisję strumienia bitów w różnych standardach. Urządzenia pracujące w tej warstwie
stanowią więc podstawowe realizacje elementów agregujących (koncentratory), retransmitujących
(wzmacniaki) oraz konwertujących (konwertery). Elementy agregujące tej warstwy mogą dokonywać
wzmocnienia sygnału (koncentratory aktywne, wymagają zasilania) bądź też dokonywać jedynie
retransmisji bez wzmocnienia sygnału (koncentratory pasywne). Z uwagi na własności i zadania
definiowane w tej warstwie, urządzenia te umożliwiają również konwersje sygnału z jednego standardu
na inny.
Wszystkie urządzenia warstwy pierwszej rozszerzają domenę kolizyjną i rozgłoszeniową, stąd ich
stosowanie winno być szczególnie przemyślane już podczas projektowania sieci komunikacyjnej.
Z uwagi na fakt, że wszystkie urządzenia warstwy fizycznej działają rozgłoszeniowo, dane
transmitowane przez jedną ze stacji, docierają do wszystkich pozostałych, ich odrzucenie następuje
dopiero lokalnie, w obrębie karty sieciowej, po sprawdzeniu danych adresata (stąd możliwe jest
Źródło: wiki.kis.p.lodz.pl
1
Warstwa fizyczna, łącza danych
ćwiczenie 3
przestawienie trybu pracy karty sieciowej na ignorujący w/w mechanizm sprawdzający, tzw. tryb
promiscuous).
Wzmacniak (ang. repeater) jest urządzeniem, którego podstawowym zadaniem jest regeneracja
sygnałów w sieci. Regeneracja, realizowana w drodze wzmocnienia umożliwia wydłużenie rozmiarów
sieci. Brak analizy wzmacnianych danych sprawia, że wzmocnieniu podlega zarówno sygnał informacji,
jak i niesione wraz z nim zakłócenia.
Koncentrator (ang. HUB) jest urządzeniem, którego podstawową funkcją jest retransmisja sygnału
otrzymanego na jednym porcie na wszystkie pozostałe porty, umożliwiając utworzenie topologii
gwiazdy. Wyróżnia się koncentratory aktywne oraz pasywne.
Konwerter (ang. converter, transceiver) jest urządzeniem umożliwiającym konwersję standardu
transmitowanego sygnału (Ethernet UTP - Ethernet FO).
Urządzenia warstwy łącza danych
Rys. 1. Mosty sieciowe
Rys. 2. Tablica przełączania mostu
Rys. 3. Przełączniki sieciowe
Rys. 4. Tablica przełączania switcha
Rys. 5. Mikrosegmentacja
Źródło: wiki.kis.p.lodz.pl
2
Warstwa fizyczna, łącza danych
ćwiczenie 3
Rys. 6. Różnorodność adapterów sieciowych
Rys. 7. Interfejsy sieciowe routera Cisco
Urządzenia warstwy łącza danych stanowią grupę urządzeń transmisyjnych dokonujących analizy
danych na podstawie adresów fizycznych zawartych w nagłówkach ramek. Dokonują segmentacji sieci
przepuszczając jedynie ruch dedykowany pomiędzy segmentami. Decyzje o przepuszczaniu ruchu
podejmowane są w oparciu o reguły przełączania zawarte w tablicach przełączania definiujące
mapowania pomiędzy adresami fizycznymi stacji przyłączonych a numerami portów wyjściowych.
Praca mostu bądź przełącznika może zachodzić w kilku trybach, zarówno w najwolniejszym,
aczkolwiek najbardziej bezpiecznym - Store and forward, przesyłającym ramki dopiero po ich
całkowitym otrzymaniu, co umożliwia kontrolę błędów, jak również w trybie Cut and through
transmitującym ramki już po otrzymaniu kilku pierwszych bajtów nagłówka (ułożenie pól adresowych
nagłówka nie jest bezcelowe - początkowy adres celu, a następnie źródła). Urządzenia warstwy drugiej
umożliwiają podział domeny kolizyjnej, choć nadal nie separują ruchu rozgłoszeniowego.
Most (ang. Bridge) jest urządzeniem łączącym segmenty sieci, podejmującym inteligentne decyzje o
przepuszczaniu sygnałów lub nie do pozostałych segmentów sieci. Urządzenie rozdziela ruch w
segmentach i filtruje pakiety na podstawie adresów MAC, przepuszczając tylko pasujące, umożliwia
pracę z różnymi protokołami. Zastosowanie mostu jest przezroczyste dla warstw wyższych - filtracja
ruchu w sieci odbywa się tylko na podstawie adresów fizycznych MAC, a nie protokołów. Sterowanie
wybiórcze ruchem w sieci odbywa się na podstawie tablicy adresów fizycznych budowanej przez
urządzenie (wpisy w tablicy zawierają adres MAC oraz identyfikator segmentu sieci --> adres +
lokalizacja, rys. 1). Po otrzymaniu pakietu, bridge porównuje adres docelowy MAC zawarty w pakiecie
z własną tablicą adresów. Jeśli adres docelowy leży w tym samym segmencie, pakiet nie jest
forwardowany do pozostałych segmentów, jeśli natomiast adres docelowy leży w innym segmencie niż
adres nadawcy, podejmowana jest decyzja o forwardowaniu. Jeśli most nie zna adresu fizycznego stacji
docelowej, rozsyła dane rozgłoszeniowo. Otrzymawszy odpowiedź, uzupełnia swoją tablicę
przełączania. W przypadku, gdy ruch międzysegmentowy jest duży, mosty wprowadzają opóźnienia.
Przełacznik (ang. Switch) - urządzenie sieciowe służące redukcji zbędnego ruchu sieciowego,
dokonujące podstawowych operacji przełączania (forwardowanie ramki na określony port wyjściowy)
oraz budowania i zarządzania tabelami przełączeń (rys. 4). Switche łączą segmenty sieci LAN w
topologii gwiazdy używając adresów fizycznych MAC jako kryterium decyzji o przesłaniu ramki do
konkretnego segmentu, operując ze znacznie większymi prędkościami niż mosty. Przełączniki
umożliwiają komunikację równoległą wielu użytkowników w dedykowanych segmentach domen
bezkolizyjnych (mikrosegmentacja, rys. 5) zestawianych w sposób stały. Umożliwia to maksymalizację
wykorzystania łącza. Jednocześnie zapewnia efektywność ekonomiczną poprzez możliwość
wykorzystania istniejącego okablowania, prostotę i efektywność zarządzania siecią.
Karta sieciowa (ang. Network Interface Card) - karta rozszerzająca montowana na płycie głównej,
umożliwiająca podłączenie do sieci komunikacyjnej. Karty sieciowe różnią się typem w zależności od
Źródło: wiki.kis.p.lodz.pl
3
Warstwa fizyczna, łącza danych
ćwiczenie 3
technologii (Ethernet, FDDI, Token Ring, ...), przyłączami (UTP, STP, kabel koncentryczny, FO, ...),
magistralą wewnętrzną oraz zewnętrzną.
Adresacja fizyczna
Definicja 1
Adres MAC (Medium Access Control) jest adresem fizycznym nadawanym urządzeniu przez
producenta i obowiązującym w obrębie mechanizmów warstwy drugiej modelu ISO / OSI. Jest
to adres unikatowy, stanowiący identyfikator 48-bitowy, w którym zawarta jest informacja
dotycząca producenta (pierwsze 24 bity) oraz samego układu (kolejne 24).
Rys. 8. Program Packetyzer - nagłówki warstwy drugiej i trzeciej
Rys. 9 Podmiana adresów MAC podczas kolejnych hopów na trasie pakietu
Rys. 10 Narzędzie ipconfig
Adres MAC pozwala na lokalizację komputera podczas komunikacji w jednym segmencie sieci i ulega
zmianie przy każdym kolejnym przekazaniu pakietu (rys. 9). W przypadku, gdy docelowy komputer nie
Źródło: wiki.kis.p.lodz.pl
4
Warstwa fizyczna, łącza danych
ćwiczenie 3
znajduje się w określonym segmencie sieci, docelowy adres MAC pakietu jest ustawiany na domyślną
bramę sieci (o ile konfiguracja uwzględnia routing na zewnątrz sieci i trasa jest znana).
Adresacja fizyczna jest mechanizmem płaskim, nie uwzgledniającym hierarchizacji, stąd niemożliwa
jest jej adaptacja jako mechanizmu adresacji globalnej (każdy węzeł w sieci musiałby znać wszelkie
trasy do możliwych urządzeń).
Adres fizyczny możliwy jest do sprawdzenia za pomocą polecenia ipconfig (rys.10), ifconfig. Niektórzy
producenci umożliwiają modyfikację adresów MAC poprzez odpowiedni software konfiguracyjny
(BIOS, ...).
Protokół ARP
Definicja 1
ARP (Address Resolution Protocol) jest protokołem komunikacyjnym przekształcania adresów
logicznych IP (ustalanych autorytarnie przez administratora) na fizyczne, 48-bitowe adresy
fizyczne MAC w obrębie jednego segmentu sieci lokalnej. Specyfikacja ARP zawarta jest w
[RFC 826].
Funkcjonowanie ARP
Adresacja fizyczna wykorzystywana jest w obrębie jednego segmentu sieci lokalnej i zachodzi w
warstwie łącza danych. Mechanizm pozyskiwania adresu MAC na podstawie adresu IP hosta, z którym
ma zachodzić komunikacja reguluje protokół ARP. Powiązania między adresami logicznymi a
fizycznymi przechowywane są w tablicy ARP. Jeśli wpis dotyczący konkretnego hosta nie występuje,
konieczne jest odpytanie go o adres fizyczny.
Rys. 11. Działanie protokołu ARP
Zapytanie o adres fizyczny hosta docelowego (ARP Request, rys. 12) transmitowane jest przez stację
źródłową w sposób rozgłoszeniowy. Stacja docelowa, otrzymawszy w/w zapytanie odpowiada ramką
ARP Reply z ustawionym własnym adresem fizycznym (rys. 13).
Źródło: wiki.kis.p.lodz.pl
5
Warstwa fizyczna, łącza danych
ćwiczenie 3
Rys. 12. ARP Request
Rys. 13. ARP Reply
Po otrzymaniu odpowiedzi, dane umieszczane są w tablicy powiązań adresów logicznych z fizycznymi
(tablicy ARP, rys. 14). Przechowywane wpisy mogą mieć charakter dynamiczny (usuwane po upływie
określonego czasu), jak również statyczny. W przypadku wpisów statycznych nie występuje dialog ARP
Request - ARP Reply.
Rys. 14. Przykładowa tablica ARP
Źródło: wiki.kis.p.lodz.pl
6
Warstwa fizyczna, łącza danych
ćwiczenie 3
Ramka ARP
Budowa ramki ARP:
HTYPE (Hardware type)
typ sieci (Ethernet - 0x0001)
PTYPE (Protocol type)
typ protokołu (IP - 0x0800)
HLEN (Hardware length)
długość adresu fizycznego (w bajtach)
PLEN (Protocol length)
długość adresu zależnego od protokołu (w bajtach)
OPER (Operation)
operacja (zapytanie - 0x0001, odpowiedź - 0x0002)
SHA (Sender Hardware Address)
adres fizyczny nadawcy
SPA (Sender Protocol Address)
adres logiczny (zależny od protokołu) nadawcy
THA (Target Hardware Address)
adres fizyczny odbiorcy
TPA (Target Protocol Address)
adres logiczny (zależny od protokołu) odbiorcy
Rys. 15. Ramka ARP
Słabości ARP
Mechanizm ARP zakłada, iż zapytanie o adres fizyczny określonej stacji transmitowane jest
broadcastowo. Oznacza to, iż odbierze go każda stacja w obrębie pojedynczego segmentu sieci (domeny
rozgłoszeniowej). Odbiorca po otrzymaniu w/w komunikatu odpowiada ramką zawierającą jego adres
fizyczny. Jeśli nadejdzie więcej niż jedna ramka ARP Reply, jest ona ignorowana. Powyższa sytuacja
stanowi podstawę metody ataków sieciowych przeprowadzanych w obrębie warstwy drugiej, tzw. ARP
spoofing. ARP spoofing jest bardzo skuteczną metodą ataku bazującą na modyfikacji. Atak nie dotyczy
urządzeń pośrednich (agregujących), lecz samej ofiary, gdyż funkcjonowanie ataku opiera się o
systemowy bufor przypisań adresów MAC przez protokół ARP – intruz staje się pośrednikiem w
komunikacji między dwoma stacjami.
Rys. 16. Przykładowy atak man in the middle
Źródło: wiki.kis.p.lodz.pl
7