Szablon laboratorium, Wersja Studencka,Wymagane składniki

Transkrypt

Laboratorium 6.7.2: Śledzenie pakietów ICMP
Topologia sieci
Tabela adresacji
Urządzenie
Interfejs
Adres IP
Maska podsieci Domyślna brama
S0/0/0
10.10.10.6
255.255.255.252
Fa0/0
192.168.254.253 255.255.255.0
Nie dotyczy
S0/0/0
10.10.10.5
255.255.255.252
Nie dotyczy
Fa0/0
172.16.255.254
255.255.0.0
Nie dotyczy
Nie dotyczy
R1-ISP
R2-Central
Nie dotyczy 192.168.254.254 255.255.255.0
Serwer Eagle
192.168.254.253
Nie dotyczy 172.31.24.254
255.255.255.0
hostPod#A
Nie dotyczy 172.16.Pod#.1
255.255.0.0
172.16.255.254
hostPod#B
Nie dotyczy 172.16.Pod#.2
255.255.0.0
172.16.255.254
S1-Central
Nie dotyczy 172.16.254.1
255.255.0.0
172.16.255.254
Nie dotyczy
Cała zawartość niniejszych materiałów jest własnością Cisco Systems, Inc. ©1992-2007 Wszelkie prawa zastrzeżone. Ten dokument zawiera
publicznie dostępne informacje firmy Cisco.
Strona 1 z 9
Kurs CCNA Exploration
Podstawy sieci komputerowych
Adresowanie sieci - IPv4
Cele nauczania
Po zakończeniu tego ćwiczenia będziesz potrafił:
•
Zrozumieć formaty pakietów ICMP.
•
Użyć programu Wireshark do przechwycenia komunikatów ICMP.
Wprowadzenie
Protokół ICMP (Internet Control Message Protocol) został po raz pierwszy zdefiniowany w dokumencie
RFC 792, we wrześniu 1981. Typy komunikatów ICMP opisano później w dokumencie RFC 1700.
Protokół ICMP działa w warstwie sieci modelu TCP/IP i jest używany do wymiany informacji pomiędzy
urządzeniami.
Komunikaty ICMP są bardzo użyteczne w dzisiejszych sieciach komputerowych. Kiedy router nie może
dostarczyć pakietów do sieci lub hosta docelowego, informacje o tym fakcie są zwracane do nadawcy.
Zarówno komenda ping jak i tracert wysyła komunikaty ICMP do urządzenia przeznaczenia.
Również odbiorcy odpowiadają komunikatami ICMP.
Scenariusz
Korzystając z pierwszego laboratorium oraz programu Wireshark będziemy przechwytywać pakiety ICMP
przesyłane pomiędzy urządzeniami sieciowymi.
Zadanie1: Zapoznanie się z formatami pakietów ICMP
Rysunek 1. Nagłówek komunikatu ICMP
Przedstawione na rysunku 1 pola nagłówka ICMP są wspólne dla każdego typu wiadomości ICMP. Każdy
komunikat ICMP rozpoczyna się 8-bitowym polem typu, 8-bitowym polem kodu oraz 16-sto bitową sumą
kontrolną. Pozostałe pola zależą od typu komunikatu ICMP. W tabeli na rysunku 2 przedstawiono typy
wiadomości ICMP opisane w dokumencie RFC 792:
Wartość
0
3
4
5
8
11
12
13
Znaczenie
Echo Reply (odpowiedź
na żądanie echo)
Destination Unreachable
(Miejsce docelowe
nieosiągalne)
Source Quench
(Tłumienie źródła)
Redirect
(Przekierowanie)
Echo
Time Exceeded
(Przekroczenie czasu)
Parameter Problem
(Problem z parametrem)
Timestamp (Znacznik
Strona 2 z 9
Wartość
14
15
16
Znaczenie
czasowy)
Timestamp Reply
(Odpowiedź na żądanie
znacznika czasowego)
Information Request
(Żądanie informacji)
Information Reply
(Odpowiedź na żądanie
przesłania informacji)
Rysunek 2. Typy komunikatów ICMP
Kody dostarczają dodatkowych informacji dla komunikatów danego typu. Dla przykładu, jeśli pole typ
wynosi 3 - cel jest nieosiągalny - dodatkowe informacje związane z tym problemem są zawarte w postaci
odpowiedniej wartości pola kod. W tabeli na rysunku 3 pokazano kody wiadomości dla komunikatu o typie
3 - cel nieosiągalny (na podstawie RFC 1700):
Kod
Wartość
0
1
2
3
4
5
6
7
8
9
10
11
12
Znaczenie
Sieć nieosiągalna
Host nieosiągalny
Protokół nieosiągalny
Port niedostępny
Wymagana fragmentacja i ustawiony bit DF
Trasa źródłowa niedostępna
Nieznana sieć docelowa
Nieznany host docelowy
Źródłowy host izolowany
Komunikacja z siecią docelową jest administracyjnie
zablokowana
Komunikacja z komputerem docelowym jest
administracyjnie zablokowana
Siec docelowa niedostępna dla tego typu usługi
Host docelowy niedostępny dla tego typu usługi
Rysunek 3. Kody wiadomości ICMP o typie 3
Korzystając z pokazanej na rysunku 4 przechwyconej wiadomości ICMP, wypełnij pola pakietu żądania
ICMP echo. Wartości zaczynające się od 0x są liczbami w kodzie szesnastkowym:
Rysunek 4. Pakiet ICMP Request
Strona 3 z 9
Korzystając z przechwyconej wiadomości ICMP pokazanej na rysunku 5, wypełnij pola pakietu ICMP
Echo Reply:
Rysunek 5. Pakiet ICMP Reply
Warstwa Sieci modelu TCP/IP nie daje gwarancji dostarczenia pakietu do celu. Jednak ICMP zapewnia
minimalną kontrolę poprzez generowanie odpowiedź odpowiadającej danemu żądaniu. Na podstawie
informacji zawartej w wiadomości ICMP przedstawionej powyżej, odpowiedź skąd nadawca wie, że
odpowiedź jest na dane zapytanie?
___________________________________________________________________________________
___________________________________________________________________________________
Zadanie 2: Użycie programu Wireshark do przechwycenia komunikatów ICMP.
Rysunek 6 Strona, z której można pobrać program Wireshark.
Strona 4 z 9
Jeżeli wcześniej nie pobrano programu Wireshark na lokalny komputer zestawu, możesz go pobrać z
serwera Eagle.
1. Otwórz przeglądarkę internetową i wpisz adres URL FTP://eagleserver.example.com/pub/eagle_labs/eagle1/chapter6, jak pokazano na rysunku 6.
2. Kliknij prawym przyciskiem myszy na plik Wireshark, wybierz Zapisz element docelowy jako i
zapisz plik na komputerze pod.
3.
4. Po ściągnięciu pliku, uruchom instalację Wireshark.
Krok 1: Przechwycenie i analiza wiadomości ICMP echo kierowanych do serwera Eagle.
W tym kroku program Wireshark będzie użyty do analizowania wiadomości ICMP echo.
1. Otwórz okno linii poleceń Windows na komputerze zestawu.
2. Jeśli jesteś gotów, włącz przechwytywanie pakietów.
C:\> ping eagle-server.example.com
Badanie eagle-server.example.com [192.168.254.254] z użyciem 32 bajtów
danych:
Odpowiedź z 192.168.254.254: bajtów=32 czas<1ms TTL=63
Statystyka badania ping dla 192.168.16.2:
Pakiety: Wysłane = 4, Odebrane = 4, Utracone = 0 (0% straty)
Szacunkowy czas przesyłania pakietów w obie strony w milisekundach:
Minimum = 0ms, Maksimum = 0ms, Czas średni = 0ms
C:\>
Rysunek 7. Pozytywne odpowiedzi ping z serwera Eagle.
3. Z linii poleceń Windows wyślij ping do serwera Eagle. Powinny zostać odebrane cztery
pozytywnie odpowiedzi jak pokazano na rysunku 7.
4. Zatrzymaj przechwytywanie w programie Wireshark. Powinny być cztery żądania ICMP echo i
cztery odpowiadające im odpowiedzi (podobnie jak na rysunku 8).
Strona 5 z 9
Rysunek 8. Żądania i odpowiedzi ping przechwycone w programie Wireshark.
Które z urządzeń sieciowych odpowiada na żądania ICMP echo?
__________________________________
5. Rozwiń środkową cześć okna programu Wireshark i rozwiń pole dotyczące protokołu ICMP.
Dolne okno będzie potrzebne do zbadania pola danych.
6. Zanotuj informacje z pierwszego pakietu żądania ICMP echo kierowanego do serwera Eagle:
Pole
Typ
Kod
Suma kontrolna
Identyfikator
Numer
sekwencyjny
Dane
Wartość
Czy dane zawierają 32 bajty? _____
7. Zanotuj informacje z pierwszego pakietu odpowiedzi ICMP echo, odebranego od serwera Eagle:
Pole
Typ
Kod
Suma kontrolna
Identyfikator
Numer
sekwencyjny
Dane
Wartość
Które pola uległy zmianie w porównaniu z żądaniem ICMP echo?
___________________________________________________________________________________
Strona 6 z 9
8. Przeanalizuj zawartość pozostałych pakietów z żądaniami i odpowiedziami ICMP echo. Uzupełnij
następujące informacje dla każdego z tych komunikatów ping:
Pakiet
Żądanie # 2
Odpowiedź #
2
Żądanie # 3
Odpowiedź #
3
Żądanie # 4
Odpowiedź #
4
Suma
kontrolna
Identyfikator
Numer
sekwencyjny
Dlaczego wartość sumy kontrolnej zmienia się przy każdym kolejnym żądaniu ?
___________________________________________________________________________________
Krok 2: Przechwycenie i analiza wiadomości ICMP echo do 192.168.253.1.
W tym kroku, zapytania ping będą wysyłane do fikcyjnego miejsca w sieci. Będziemy analizować rezultaty
przechwytywania pakietów przez program Wireshark i mogą być one zadziwiające.
Spróbuj wysłać ping na adres 192.168.253.1
C:\>
ping 192.168.253.1
C:\> ping 192.168.253.1
Badanie 192.168.16.2 z użyciem 32 bajtów danych:
Odpowiedź z 172.16.255.254: Docelowy host nieosiągalny.
Pakiety: Wysłane = 4, Odebrane = 4, Utracone = 0 (0% straty),
Szacunkowy czas błądzenia pakietów w milisekundach:
C:\>
Rysunek 9. Rezultat badania ping do fikcyjnego miejsca docelowego
Popatrz na rysunek 9. Zamiast upłynięcia limitu czasu żądania pojawiają się odpowiedzi.
Jakie urządzenie sieciowe odpowiada na ping do fikcyjnego miejsca docelowego ?
___________________________________________________________________________________
Rysunek 10. Przechwycone przez Wireshark pakiety wysyłane do fikcyjnego celu
Strona 7 z 9
Przechwycone przez program Wireshark pakiety wysyłane do fikcyjnego miejsca docelowego pokazuje
rysunek 10. W środkowym oknie programu Wireshark rozwiń rekord dotyczący protokołu ICMP.
Jaki typ wiadomości ICMP jest przesyłany w informacji zwrotnej do nadawcy ?
___________________________________________________________________________________
Jaki kod jest związany z tym typem komunikatu?
___________________________________________________________________________________
Krok 3: Przechwycenie i analiza wiadomość ICMP echo z przekroczeniem wartości TTL.
W tym kroku będą wysyłane pakiety ping z niską wartością TTL, żeby zasymulować nieosiągalność
miejsca docelowego. Wyślij ping do serwera Eagle i ustaw wartość TTL równą1:
C:\> ping -i 1 192.168.254.254
C:\> ping -i 1 192.168.254.254
Badanie 192.168.16.2 z użyciem 32 bajtów danych:
Odpowiedź z 172.16.255.254: Limit czasu wygaśnięcia TTL upłynął podczas
tranzytu.
tranzytu.
tranzytu.
tranzytu.
Pakiety: Wysłane = 4, Odebrane = 4, Utracone = 0 (0% straty),
Szacunkowy czas błądzenia pakietów w milisekundach:
C:\>
Rysunek 11. Rezultat badania bing w przypadku przekroczenia TTL
Rysunek 11 pokazuje odpowiedzi w przypadku przekroczenia wartości TTL.
Które urządzenie sieciowe odpowiada na pingi, które przekroczyły wartość TTL?
___________________________________________________________________________________
Rysunek 12. Przechwycone przez Wireshark pakiety, które przekroczyły wartość TTL
Przechwycone za pomocą Wireshark pakiety kierowane do fikcyjnego miejsca docelowego pokazuje
rysunek 12. W środkowym oknie programu Wireshark rozwiń rekord dotyczący protokołu ICMP.
Jaki typ wiadomości ICMP jest przesyłany w informacji zwrotnej do nadawcy ?
___________________________________________________________________________________
Jaki kod jest związany z tym typem komunikatu?
___________________________________________________________________________________
Jakie urządzenie sieciowe jest odpowiedzialne za zmniejszanie wartości TTL ?
Strona 8 z 9
___________________________________________________________________________________
Zadanie 3: Wyzwanie
Korzystając z programu Wireshark przechwyć sesję tracert do serwera Eagle oraz do
192.168.254.251. Zbadaj wiadomość ICMP przekroczona wartość TTL. To pokaże w jaki sposób
komenda tracert śledzi ścieżkę do miejsca docelowego.
Zadanie 4: Do przemyślenia
Protokół ICMP jest bardzo użyteczny przy usuwaniu problemów z łącznością w sieci. Bez komunikatów
ICMP, nadawca nie ma żadnego środka umożliwiającego ustalenie przyczyn braku łączności. Podczas
badania ping , różne typy komunikatów ICMP były przechwycone i poddane analizie.
Zadanie 5: Porządkowanie i zakończenie
Być może program Wireshark był specjalnie instalowany na potrzeby tego ćwiczenia. Jeśli program
powinien być odinstalowany, wybierz Start > Panel Sterowania > Dodaj lub usuń programy i przewiń
do Wireshark. Wybierz odpowiednią nazwę pliku, następnie Usuń, a potem postępuj zgodnie z
instrukcjami.
Usuń pliki pcap (pliki programu Wireshark) utworzone na komputerze.
Jeśli instruktor nie polecił inaczej, wyłącz komputery. Zabierz wszystkie rzeczy przyniesione do
laboratorium. Pozostaw pomieszczenie w stanie gotowym do rozpoczęcia zajęć z następną grupą
studentów.
Strona 9 z 9

Szablon laboratorium, Wersja Studencka,Wymagane składniki

Transkrypt

Podobne dokumenty

Zadanie programistyczne nr 1 z Sieci komputerowych

Zastosowania protokołu ICMP - Politechnika Częstochowska

Wykrywanie i usuwanie uszkodzeń w sieci

Przykładowa krzyżówka komunikacyjna (stare zadanie z egzaminu)

1. Wprowadzenie

Ćwiczenia nt firewalli i wykrywania prób włamań

Warsztaty z Sieci komputerowych Lista 5

Diagnozowanie połączenia sieciowego Utrata pakietów

Sieci komputerowe - laboratorium

ICMP