Szablon laboratorium, Wersja Studencka,Wymagane składniki
Transkrypt
Szablon laboratorium, Wersja Studencka,Wymagane składniki
Laboratorium 6.7.2: Śledzenie pakietów ICMP Topologia sieci Tabela adresacji Urządzenie Interfejs Adres IP Maska podsieci Domyślna brama S0/0/0 10.10.10.6 255.255.255.252 Fa0/0 192.168.254.253 255.255.255.0 Nie dotyczy S0/0/0 10.10.10.5 255.255.255.252 Nie dotyczy Fa0/0 172.16.255.254 255.255.0.0 Nie dotyczy Nie dotyczy R1-ISP R2-Central Nie dotyczy 192.168.254.254 255.255.255.0 Serwer Eagle 192.168.254.253 Nie dotyczy 172.31.24.254 255.255.255.0 hostPod#A Nie dotyczy 172.16.Pod#.1 255.255.0.0 172.16.255.254 hostPod#B Nie dotyczy 172.16.Pod#.2 255.255.0.0 172.16.255.254 S1-Central Nie dotyczy 172.16.254.1 255.255.0.0 172.16.255.254 Nie dotyczy Cała zawartość niniejszych materiałów jest własnością Cisco Systems, Inc. ©1992-2007 Wszelkie prawa zastrzeżone. Ten dokument zawiera publicznie dostępne informacje firmy Cisco. Strona 1 z 9 Kurs CCNA Exploration Podstawy sieci komputerowych Adresowanie sieci - IPv4 Laboratorium 6.7.2: Śledzenie pakietów ICMP Cele nauczania Po zakończeniu tego ćwiczenia będziesz potrafił: • Zrozumieć formaty pakietów ICMP. • Użyć programu Wireshark do przechwycenia komunikatów ICMP. Wprowadzenie Protokół ICMP (Internet Control Message Protocol) został po raz pierwszy zdefiniowany w dokumencie RFC 792, we wrześniu 1981. Typy komunikatów ICMP opisano później w dokumencie RFC 1700. Protokół ICMP działa w warstwie sieci modelu TCP/IP i jest używany do wymiany informacji pomiędzy urządzeniami. Komunikaty ICMP są bardzo użyteczne w dzisiejszych sieciach komputerowych. Kiedy router nie może dostarczyć pakietów do sieci lub hosta docelowego, informacje o tym fakcie są zwracane do nadawcy. Zarówno komenda ping jak i tracert wysyła komunikaty ICMP do urządzenia przeznaczenia. Również odbiorcy odpowiadają komunikatami ICMP. Scenariusz Korzystając z pierwszego laboratorium oraz programu Wireshark będziemy przechwytywać pakiety ICMP przesyłane pomiędzy urządzeniami sieciowymi. Zadanie1: Zapoznanie się z formatami pakietów ICMP Rysunek 1. Nagłówek komunikatu ICMP Przedstawione na rysunku 1 pola nagłówka ICMP są wspólne dla każdego typu wiadomości ICMP. Każdy komunikat ICMP rozpoczyna się 8-bitowym polem typu, 8-bitowym polem kodu oraz 16-sto bitową sumą kontrolną. Pozostałe pola zależą od typu komunikatu ICMP. W tabeli na rysunku 2 przedstawiono typy wiadomości ICMP opisane w dokumencie RFC 792: Wartość 0 3 4 5 8 11 12 13 Znaczenie Echo Reply (odpowiedź na żądanie echo) Destination Unreachable (Miejsce docelowe nieosiągalne) Source Quench (Tłumienie źródła) Redirect (Przekierowanie) Echo Time Exceeded (Przekroczenie czasu) Parameter Problem (Problem z parametrem) Timestamp (Znacznik Cała zawartość niniejszych materiałów jest własnością Cisco Systems, Inc. ©1992-2007 Wszelkie prawa zastrzeżone. Ten dokument zawiera publicznie dostępne informacje firmy Cisco. Strona 2 z 9 Kurs CCNA Exploration Podstawy sieci komputerowych Adresowanie sieci - IPv4 Laboratorium 6.7.2: Śledzenie pakietów ICMP Wartość 14 15 16 Znaczenie czasowy) Timestamp Reply (Odpowiedź na żądanie znacznika czasowego) Information Request (Żądanie informacji) Information Reply (Odpowiedź na żądanie przesłania informacji) Rysunek 2. Typy komunikatów ICMP Kody dostarczają dodatkowych informacji dla komunikatów danego typu. Dla przykładu, jeśli pole typ wynosi 3 - cel jest nieosiągalny - dodatkowe informacje związane z tym problemem są zawarte w postaci odpowiedniej wartości pola kod. W tabeli na rysunku 3 pokazano kody wiadomości dla komunikatu o typie 3 - cel nieosiągalny (na podstawie RFC 1700): Kod Wartość 0 1 2 3 4 5 6 7 8 9 10 11 12 Znaczenie Sieć nieosiągalna Host nieosiągalny Protokół nieosiągalny Port niedostępny Wymagana fragmentacja i ustawiony bit DF Trasa źródłowa niedostępna Nieznana sieć docelowa Nieznany host docelowy Źródłowy host izolowany Komunikacja z siecią docelową jest administracyjnie zablokowana Komunikacja z komputerem docelowym jest administracyjnie zablokowana Siec docelowa niedostępna dla tego typu usługi Host docelowy niedostępny dla tego typu usługi Rysunek 3. Kody wiadomości ICMP o typie 3 Korzystając z pokazanej na rysunku 4 przechwyconej wiadomości ICMP, wypełnij pola pakietu żądania ICMP echo. Wartości zaczynające się od 0x są liczbami w kodzie szesnastkowym: Rysunek 4. Pakiet ICMP Request Cała zawartość niniejszych materiałów jest własnością Cisco Systems, Inc. ©1992-2007 Wszelkie prawa zastrzeżone. Ten dokument zawiera publicznie dostępne informacje firmy Cisco. Strona 3 z 9 Kurs CCNA Exploration Podstawy sieci komputerowych Adresowanie sieci - IPv4 Laboratorium 6.7.2: Śledzenie pakietów ICMP Korzystając z przechwyconej wiadomości ICMP pokazanej na rysunku 5, wypełnij pola pakietu ICMP Echo Reply: Rysunek 5. Pakiet ICMP Reply Warstwa Sieci modelu TCP/IP nie daje gwarancji dostarczenia pakietu do celu. Jednak ICMP zapewnia minimalną kontrolę poprzez generowanie odpowiedź odpowiadającej danemu żądaniu. Na podstawie informacji zawartej w wiadomości ICMP przedstawionej powyżej, odpowiedź skąd nadawca wie, że odpowiedź jest na dane zapytanie? ___________________________________________________________________________________ ___________________________________________________________________________________ Zadanie 2: Użycie programu Wireshark do przechwycenia komunikatów ICMP. Rysunek 6 Strona, z której można pobrać program Wireshark. Cała zawartość niniejszych materiałów jest własnością Cisco Systems, Inc. ©1992-2007 Wszelkie prawa zastrzeżone. Ten dokument zawiera publicznie dostępne informacje firmy Cisco. Strona 4 z 9 Kurs CCNA Exploration Podstawy sieci komputerowych Adresowanie sieci - IPv4 Laboratorium 6.7.2: Śledzenie pakietów ICMP Jeżeli wcześniej nie pobrano programu Wireshark na lokalny komputer zestawu, możesz go pobrać z serwera Eagle. 1. Otwórz przeglądarkę internetową i wpisz adres URL FTP://eagleserver.example.com/pub/eagle_labs/eagle1/chapter6, jak pokazano na rysunku 6. 2. Kliknij prawym przyciskiem myszy na plik Wireshark, wybierz Zapisz element docelowy jako i zapisz plik na komputerze pod. 3. 4. Po ściągnięciu pliku, uruchom instalację Wireshark. Krok 1: Przechwycenie i analiza wiadomości ICMP echo kierowanych do serwera Eagle. W tym kroku program Wireshark będzie użyty do analizowania wiadomości ICMP echo. 1. Otwórz okno linii poleceń Windows na komputerze zestawu. 2. Jeśli jesteś gotów, włącz przechwytywanie pakietów. C:\> ping eagle-server.example.com Badanie eagle-server.example.com [192.168.254.254] z użyciem 32 bajtów danych: Odpowiedź z 192.168.254.254: bajtów=32 czas<1ms TTL=63 Odpowiedź z 192.168.254.254: bajtów=32 czas<1ms TTL=63 Odpowiedź z 192.168.254.254: bajtów=32 czas<1ms TTL=63 Odpowiedź z 192.168.254.254: bajtów=32 czas<1ms TTL=63 Statystyka badania ping dla 192.168.16.2: Pakiety: Wysłane = 4, Odebrane = 4, Utracone = 0 (0% straty) Szacunkowy czas przesyłania pakietów w obie strony w milisekundach: Minimum = 0ms, Maksimum = 0ms, Czas średni = 0ms C:\> Rysunek 7. Pozytywne odpowiedzi ping z serwera Eagle. 3. Z linii poleceń Windows wyślij ping do serwera Eagle. Powinny zostać odebrane cztery pozytywnie odpowiedzi jak pokazano na rysunku 7. 4. Zatrzymaj przechwytywanie w programie Wireshark. Powinny być cztery żądania ICMP echo i cztery odpowiadające im odpowiedzi (podobnie jak na rysunku 8). Cała zawartość niniejszych materiałów jest własnością Cisco Systems, Inc. ©1992-2007 Wszelkie prawa zastrzeżone. Ten dokument zawiera publicznie dostępne informacje firmy Cisco. Strona 5 z 9 Kurs CCNA Exploration Podstawy sieci komputerowych Adresowanie sieci - IPv4 Laboratorium 6.7.2: Śledzenie pakietów ICMP Rysunek 8. Żądania i odpowiedzi ping przechwycone w programie Wireshark. Które z urządzeń sieciowych odpowiada na żądania ICMP echo? __________________________________ 5. Rozwiń środkową cześć okna programu Wireshark i rozwiń pole dotyczące protokołu ICMP. Dolne okno będzie potrzebne do zbadania pola danych. 6. Zanotuj informacje z pierwszego pakietu żądania ICMP echo kierowanego do serwera Eagle: Pole Typ Kod Suma kontrolna Identyfikator Numer sekwencyjny Dane Wartość Czy dane zawierają 32 bajty? _____ 7. Zanotuj informacje z pierwszego pakietu odpowiedzi ICMP echo, odebranego od serwera Eagle: Pole Typ Kod Suma kontrolna Identyfikator Numer sekwencyjny Dane Wartość Które pola uległy zmianie w porównaniu z żądaniem ICMP echo? ___________________________________________________________________________________ Cała zawartość niniejszych materiałów jest własnością Cisco Systems, Inc. ©1992-2007 Wszelkie prawa zastrzeżone. Ten dokument zawiera publicznie dostępne informacje firmy Cisco. Strona 6 z 9 Kurs CCNA Exploration Podstawy sieci komputerowych Adresowanie sieci - IPv4 Laboratorium 6.7.2: Śledzenie pakietów ICMP 8. Przeanalizuj zawartość pozostałych pakietów z żądaniami i odpowiedziami ICMP echo. Uzupełnij następujące informacje dla każdego z tych komunikatów ping: Pakiet Żądanie # 2 Odpowiedź # 2 Żądanie # 3 Odpowiedź # 3 Żądanie # 4 Odpowiedź # 4 Suma kontrolna Identyfikator Numer sekwencyjny Dlaczego wartość sumy kontrolnej zmienia się przy każdym kolejnym żądaniu ? ___________________________________________________________________________________ Krok 2: Przechwycenie i analiza wiadomości ICMP echo do 192.168.253.1. W tym kroku, zapytania ping będą wysyłane do fikcyjnego miejsca w sieci. Będziemy analizować rezultaty przechwytywania pakietów przez program Wireshark i mogą być one zadziwiające. Spróbuj wysłać ping na adres 192.168.253.1 C:\> ping 192.168.253.1 C:\> ping 192.168.253.1 Badanie 192.168.16.2 z użyciem 32 bajtów danych: Odpowiedź z 172.16.255.254: Docelowy host nieosiągalny. Odpowiedź z 172.16.255.254: Docelowy host nieosiągalny. Odpowiedź z 172.16.255.254: Docelowy host nieosiągalny. Odpowiedź z 172.16.255.254: Docelowy host nieosiągalny. Statystyka badania ping dla 192.168.16.2: Pakiety: Wysłane = 4, Odebrane = 4, Utracone = 0 (0% straty), Szacunkowy czas błądzenia pakietów w milisekundach: Minimum = 0ms, Maksimum = 0ms, Czas średni = 0ms C:\> Rysunek 9. Rezultat badania ping do fikcyjnego miejsca docelowego Popatrz na rysunek 9. Zamiast upłynięcia limitu czasu żądania pojawiają się odpowiedzi. Jakie urządzenie sieciowe odpowiada na ping do fikcyjnego miejsca docelowego ? ___________________________________________________________________________________ Rysunek 10. Przechwycone przez Wireshark pakiety wysyłane do fikcyjnego celu Cała zawartość niniejszych materiałów jest własnością Cisco Systems, Inc. ©1992-2007 Wszelkie prawa zastrzeżone. Ten dokument zawiera publicznie dostępne informacje firmy Cisco. Strona 7 z 9 Kurs CCNA Exploration Podstawy sieci komputerowych Adresowanie sieci - IPv4 Laboratorium 6.7.2: Śledzenie pakietów ICMP Przechwycone przez program Wireshark pakiety wysyłane do fikcyjnego miejsca docelowego pokazuje rysunek 10. W środkowym oknie programu Wireshark rozwiń rekord dotyczący protokołu ICMP. Jaki typ wiadomości ICMP jest przesyłany w informacji zwrotnej do nadawcy ? ___________________________________________________________________________________ Jaki kod jest związany z tym typem komunikatu? ___________________________________________________________________________________ Krok 3: Przechwycenie i analiza wiadomość ICMP echo z przekroczeniem wartości TTL. W tym kroku będą wysyłane pakiety ping z niską wartością TTL, żeby zasymulować nieosiągalność miejsca docelowego. Wyślij ping do serwera Eagle i ustaw wartość TTL równą1: C:\> ping -i 1 192.168.254.254 C:\> ping -i 1 192.168.254.254 Badanie 192.168.16.2 z użyciem 32 bajtów danych: Odpowiedź z 172.16.255.254: Limit czasu wygaśnięcia TTL upłynął podczas tranzytu. Odpowiedź z 172.16.255.254: Limit czasu wygaśnięcia TTL upłynął podczas tranzytu. Odpowiedź z 172.16.255.254: Limit czasu wygaśnięcia TTL upłynął podczas tranzytu. Odpowiedź z 172.16.255.254: Limit czasu wygaśnięcia TTL upłynął podczas tranzytu. Statystyka badania ping dla 192.168.16.2: Pakiety: Wysłane = 4, Odebrane = 4, Utracone = 0 (0% straty), Szacunkowy czas błądzenia pakietów w milisekundach: Minimum = 0ms, Maksimum = 0ms, Czas średni = 0ms C:\> Rysunek 11. Rezultat badania bing w przypadku przekroczenia TTL Rysunek 11 pokazuje odpowiedzi w przypadku przekroczenia wartości TTL. Które urządzenie sieciowe odpowiada na pingi, które przekroczyły wartość TTL? ___________________________________________________________________________________ Rysunek 12. Przechwycone przez Wireshark pakiety, które przekroczyły wartość TTL Przechwycone za pomocą Wireshark pakiety kierowane do fikcyjnego miejsca docelowego pokazuje rysunek 12. W środkowym oknie programu Wireshark rozwiń rekord dotyczący protokołu ICMP. Jaki typ wiadomości ICMP jest przesyłany w informacji zwrotnej do nadawcy ? ___________________________________________________________________________________ Jaki kod jest związany z tym typem komunikatu? ___________________________________________________________________________________ Jakie urządzenie sieciowe jest odpowiedzialne za zmniejszanie wartości TTL ? Cała zawartość niniejszych materiałów jest własnością Cisco Systems, Inc. ©1992-2007 Wszelkie prawa zastrzeżone. Ten dokument zawiera publicznie dostępne informacje firmy Cisco. Strona 8 z 9 Kurs CCNA Exploration Podstawy sieci komputerowych Adresowanie sieci - IPv4 Laboratorium 6.7.2: Śledzenie pakietów ICMP ___________________________________________________________________________________ Zadanie 3: Wyzwanie Korzystając z programu Wireshark przechwyć sesję tracert do serwera Eagle oraz do 192.168.254.251. Zbadaj wiadomość ICMP przekroczona wartość TTL. To pokaże w jaki sposób komenda tracert śledzi ścieżkę do miejsca docelowego. Zadanie 4: Do przemyślenia Protokół ICMP jest bardzo użyteczny przy usuwaniu problemów z łącznością w sieci. Bez komunikatów ICMP, nadawca nie ma żadnego środka umożliwiającego ustalenie przyczyn braku łączności. Podczas badania ping , różne typy komunikatów ICMP były przechwycone i poddane analizie. Zadanie 5: Porządkowanie i zakończenie Być może program Wireshark był specjalnie instalowany na potrzeby tego ćwiczenia. Jeśli program powinien być odinstalowany, wybierz Start > Panel Sterowania > Dodaj lub usuń programy i przewiń do Wireshark. Wybierz odpowiednią nazwę pliku, następnie Usuń, a potem postępuj zgodnie z instrukcjami. Usuń pliki pcap (pliki programu Wireshark) utworzone na komputerze. Jeśli instruktor nie polecił inaczej, wyłącz komputery. Zabierz wszystkie rzeczy przyniesione do laboratorium. Pozostaw pomieszczenie w stanie gotowym do rozpoczęcia zajęć z następną grupą studentów. Cała zawartość niniejszych materiałów jest własnością Cisco Systems, Inc. ©1992-2007 Wszelkie prawa zastrzeżone. Ten dokument zawiera publicznie dostępne informacje firmy Cisco. Strona 9 z 9