Просмотр захваченных  кадров

Интерфейс программы состоит из пяти окон (рис. 6.3):

· Network Conversations – содержит иерархическую классификацию захваченного сетевого траффика по его источникам.

· Display Filter – служит для управления фильтрами захваченных пакетов.

· Frame Summary – содержит сведения о захваченных пакетах (кадрах) в виде таблицы со следующими столбцами:

o Frame Number – номер захваченного кадра

o Time Date Local Adjusted – дата и время захвата кадра

o Time Offset – время захвата кадра от начала захвата

o Process Name – имя файла процесса, являющегося источником или приемником пакета верхнего уровня, содержащегося в кадре.

o Source – IP-адрес (сетевой адрес) источника пакета

o Destination – IP-адрес (сетевой адрес) назначения пакета

o Protocol Name –  наименование протокола верхнего уровня, содержащегося в кадре

· Frame Details – подробная структура кадра перечнем заголовков пакетов всех уровней и значением всех полей.

· Hex Details – отображает содержимое кадра в шестнадцатиричном и символьном виде.

Рис. 6.3. Просмотр захваченных кадров

6.3.Порядок выполнения работы

1. В командной строке выполнить команду ipconfig /all. Просмотреть и записать имя, MAC-адрес (физический адрес) и IP- адрес вашего компьютера.

2. Захватить небольшое количество пакетов (100-200). При этом после запуска захвата пакетов необходимо инициировать сетевую активность своего компьютера – например, запустить Интернет-браузер, браузер для просмотра сетевого окружения, обратиться к сетевому диску.

3. Перейти в режим просмотра захваченных кадров.

4. Из общего количества захваченных кадров выбрать пять кадров содержащих IP-пакеты и имеющих различную структуру вложенных заголовков. В окне Frame Details, просмотреть поля заголовка кадра (Рис. 6.4)

Рис. 6.4. Просмотр полей заголовка кадра

5. Выписать и оформить в виде таблицы следующую информацию о кадрах:

§ MAC-адрес источника (Source address)

§ MAC-адрес назначения (Destination address)

§ Тип протокола верхнего уровня (Ethernet Type)

§ Общий размер пакета (Total Frame Lengths)

§ Порядок вложенности протоколов.

Пример заполнения строки таблицы для кадра, содержимое которого представлено на рис. 6.4., приведен в таблице 6.1.

Таблица 6.1. Информация о захваченных кадрах Ethernet

6. При помощи кнопки Save As сохранить захваченные пакеты в файле, имя которого совпадает с вашим именем пользователя с индексом 1,  например, 60961xyz1.cap.

6.4.Контрольные вопросы

1. Можно ли при помощи сетевого монитора захватить пакет, если в нем ни MAC-адрес источника, ни MAC-адрес назначения не являются МАС-адресом компьютера, с которого производится захват? Объяснить.

2. Что такое MAC-адрес?

3. Что такое сетевой адрес?

4. Приведите краткое описание алгоритма передачи пакетов по сети Ethernet.

5. Из каких полей состоит заголовок кадра Ethernet?

6. Какой размер имеет заголовок кадра Ethernet?

7. Что такое инкапсуляция пакетов?

Лабораторная работа 7Состав стека протоколов TCP/IP. Изучение протоколов ARP, IP, ICMP.

7.1.Введение

Стек протоколов TCP/IP в настоящее время является наиболее популярным средством организации составных сетей. На основе этого стека протоколов организована глобальная сеть Internet. Поэтому именно на примере этого стека целесообразно проводить изучение средств сетевого уровня. В данной лабораторной работе приводится краткая характеристика стека TCP/IP, назначение и функции протокола межсетевого взаимодействия IP, протокола разрешения адреса ARP, протокола управляющих сообщений Internet ICMP.

7.2.Протокол межсетевого взаимодействия IP

Основу транспортных средств стека протоколов TCP/IP составляет протокол межсетевого взаимодействия (Internet Protocol, IP). Он обеспечивает передачу дейтаграмм от отправителя к получателям через объединенную систему компьютерных сетей.

Название данного протокола — Intrenet Protocol — отражает его суть: он должен передавать пакеты между сетями. В каждой очередной сети, лежащей на пути перемещения пакета, протокол IP вызывает средства транспортировки, принятые в этой сети, чтобы с их помощью передать этот пакет на маршрутизатор, ведущий к следующей сети, или непосредственно на узел-получатель.

Протокол IP относится к протоколам без установления соединений. Перед IP не ставится задача надежной доставки сообщений от отправителя к получателю. Протокол IP обрабатывает каждый IP-пакет как независимую единицу, не имеющую связи ни с какими другими IP-пакетами. В протоколе IP нет механизмов, обычно применяемых для увеличения достоверности конечных данных: отсутствует квитирование — обмен подтверждениями между отправителем и получателем, нет процедуры упорядочивания, повторных передач или других подобных функций. Если во время продвижения пакета произошла какая-либо ошибка, то протокол IP по своей инициативе ничего не предпринимает для исправления этой ошибки. Например, если на промежуточном маршрутизаторе пакет был отброшен по причине истечения времени жизни или из-за ошибки в контрольной сумме, то модуль IP не пытается заново послать испорченный или потерянный пакет. Все вопросы обеспечения надежности доставки данных по составной сети в стеке TCP/IP решает протокол TCP, работающий непосредственно над протоколом IP. Именно TCP организует повторную передачу пакетов, когда в этом возникает необходимость.

Важной особенностью протокола IP, отличающей его от других сетевых протоколов (например, от сетевого протокола IPX), является его способность выполнять динамическую фрагментацию пакетов при передаче их между сетями с различными, максимально допустимыми размерами поля данных кадров MTU (Maximum Transfer Unit – максимальный размер передаваемого блока данных). Свойство фрагментации во многом способствовало тому, что протокол IP смог занять доминирующие позиции в сложных составных сетях. Следует отметить, что при передаче пакетов внутри локальной сети фрагментация IP-пакетов не используется за ненадобностью (все компьютеры имеют дело с одной и той же канальной технологией, следовательно и размер MTU одинаков). Имеется прямая связь между функциональной сложностью протокола и сложностью заголовка пакетов, которые этот протокол использует. Это объясняется тем, что основные служебные данные, на основании которых протокол выполняет то или иное действие, переносятся между двумя модулями, реализующими этот протокол на разных машинах, именно в полях заголовков пакетов. Поэтому очень полезно изучить назначение каждого поля заголовка IP-пакета, и это изучение дает не только формальные знания о структуре пакета, но и объясняет все основные режимы работы протокола по обработке и передаче IP-дейтаграмм.

СтруктураIP-пакета

IP-пакет состоит из заголовка и поля данных. Заголовок, как правило, имеющий длину 20 байт, имеет следующую структуру (рис. 7.1).

Рис. 7.1. Структура заголовкаIP-пакета

Поле Номер версии (Version), занимающее 4 бит, указывает версию протокола IP. Сейчас повсеместно используется версия 4 (IPv4), и готовится переход на версию 6 (IPv6).

Поле Длина заголовка (IHL) IP-пакета занимает 4 бит и указывает значение длины заголовка, измеренное в 32-битовых словах. Обычно заголовок имеет длину в 20 байт (пять 32-битовых слов), но при увеличении объема служебной информации эта длина может быть увеличена за счет использования дополнительных байт в поле Опции (IP Options). Наибольший заголовок занимает 60 октетов.

Поле Тип сервиса (Type of Service) занимает один байт и задает приоритетность пакета и вид критерия выбора маршрута. Первые три бита этого поля образуютподполе приоритета пакета (Precedence). Приоритет может иметь значения от самого низкого — 0 (нормальный пакет) до самого высокого — 7 (пакет управляющей информации). Маршрутизаторы и компьютеры могут принимать во внимание при­оритет пакета и обрабатывать более важные пакеты в первую очередь. Поле Тип сервиса содержит также три бита, определяющие критерий выбора маршрута. Реально выбор осуществляется между тремя альтернативами: малой задержкой, высокой достоверностью и высокой пропускной способностью. Установленный бит D (delay) говорит о том, что маршрут должен выбираться для минимизации задержки доставки данного пакета, бит Т — для максимизации пропускной способности, а бит R — для максимизации надежности доставки. Во многих сетях улучшение одного из этих параметров связано с ухудшением другого, кроме того, обработка каждого из них требует дополнительных вычислительных затрат. Поэтому редко, когда имеет смысл устанавливать одновременно хотя бы два из этих трех критериев выбора маршрута. Зарезервированные биты имеют нулевое значение.

Поле Общая длина (Total Length) занимает 2 байта и означает общую длину пакета с учетом заголовка и поля данных. Максимальная длина пакета ограничена разрядностью поля, определяющего эту величину, и составляет 65 535 байт, однако в большинстве хост-компьютеров и сетей столь большие пакеты не используются. При передаче по сетям различного типа длина пакета выбирается с учетом максимальной длины пакета протокола нижнего уровня, несущего IP-пакеты. Если это кадры Ethernet, то выбираются пакеты с максимальной длиной в 1500 байт, умещающиеся в поле данных кадра Ethernet. В стандарте предусматривается, что все хосты должны быть готовы принимать пакеты вплоть до 576 байт длиной (приходят ли они целиком или по фрагментам). Хостам рекомендуется отправлять пакеты размером более чем 576 байт, только если они уверены, что принимающий хост или промежуточная сеть готовы обслуживать пакеты такого размера.

Поле Идентификатор пакета (Identification) занимает 2 байта и используется для распознавания пакетов, образовавшихся путем фрагментации исходного пакета. Все фрагменты должны иметь одинаковое значение этого поля.

Поле Флаги (Flags) занимает 3 бита и содержит признаки, связанные с фрагментацией. Установленный бит DF (Do not Fragment) запрещает маршрутизатору фрагментировать данный пакет, а установленный бит MF (More Fragments) говорит о том, что данный пакет является промежуточным (не последним) фрагментом. Оставшийся бит зарезервирован.

Поле Смещение фрагмента (Fragment Offset) занимает 13 бит и задает смещение • в байтах поля данных этого пакета от начала общего поля данных исходного пакета, подвергнутого фрагментации. Используется при сборке/разборке фрагментов пакетов при передачах их между сетями с различными величинами MTU. Смеще­ние должно быть кратно 8 байт.

Поле Время жизни (Time to Live) занимает один байт и означает предельный срок, в течение которого пакет может перемещаться по сети. Время жизни данного пакета измеряется в секундах и задается источником передачи. На маршрутизато­рах и в других узлах сети по истечении каждой секунды из текущего времени жизни вычитается единица; единица вычитается и в том случае, когда время задер­жки меньше секунды. Поскольку современные маршрутизаторы редко обрабаты­вают пакет дольше, чем за одну секунду, то время жизни можно считать равным максимальному числу узлов, которые разрешено пройти данному пакету до того, как он достигнет места назначения. Если параметр времени жизни станет нулевым до того, как пакет достигнет получателя, этот пакет будет уничтожен. Время жизни можно рассматривать как часовой механизм самоуничтожения. Значение этого поля изменяется при обработке заголовка IP-пакета.

Идентификатор Протокол верхнего уровня (Protocol) занимает один байт и ука­зывает, какому протоколу верхнего уровня принадлежит информация, размещен­ная в поле данных пакета (например, это могут быть сегменты протокола TCP, дейтаграммы UDP, пакеты ICMP или OSPF). Значения идентификаторов для раз­личных протоколов приводятся в документе RFC «Assigned Numbers».

Контрольная сумма (Header Checksum) занимает 2 байта и рассчитывается толь­ко по заголовку. Поскольку некоторые поля заголовка меняют свое значение в процессе передачи пакета по сети (например, время жизни), контрольная сумма проверяется и повторно рассчитывается при каждой обработке IP-заголовка. Кон­трольная сумма — 16 бит — подсчитывается как дополнение к сумме всех 16-бито­вых слов заголовка. При вычислении контрольной суммы значение самого поля «контрольная сумма» устанавливается в нуль. Если контрольная сумма неверна, то пакет будет отброшен, как только ошибка будет обнаружена.

Поля IP-адрес источника (Source IP Address) и IP-адрес назначения (Destination IP Address) имеют одинаковую длину — 32 бита — и одинаковую структуру.

Поле Опции (IP Options) является необязательным и используется обычно только при отладке сети. Механизм опций предоставляет функции управления, которые необходимы или просто полезны при определенных ситуациях, однако он не ну­жен при обычных коммуникациях. Это поле состоит из нескольких подполей, каж­дое из которых может быть одного из восьми предопределенных типов. В этих подполях можно указывать точный маршрут прохождения маршрутизаторов, ре­гистрировать проходимые пакетом маршрутизаторы, помещать данные системы безопасности, а также временные отметки. Так как число подполей может быть произвольным, то в конце поля Опции должно быть добавлено несколько байт для выравнивания заголовка пакета по 32-битной границе.

Поле Выравнивание (Padding) используется для того, чтобы убедиться в том, что IP-заголовок заканчивается на 32-битной границе. Выравнивание осуществля­ется нулями.

7.3.Протокол разрешения адреса ARP

Так как IP-адрес узла, назначаемый администратором не зависит от локального адреса (MAC-адреса) этого узла, то каждый раз при доставке IP-пакета средствами канального уровня необходимо ответить на вопрос «по какому MAC-адресу должен быть отправлен кадр, содержащий в себе IP-пакет?» или иначе «какой MAC-адрес имеет узел с IP-адресом назначения, указанным в пакете?». Для определения локального адреса по IP-адресу используется протокол разрешения адреса (Address Resolution Protocol, ARP). Протокол ARP работает различным образом в зависимости от того, какой протокол канального уровня работает в данной сети — протокол локальной сети (Ethernet, Token Ring, FDDI) с возможностью широковещательного доступа одновременно ко всем узлам сети или же протокол глобальной сети (Х.25, frame relay), как правило не поддерживающий широковещательный доступ. Существует также протокол, решающий обратную задачу — нахождение IP-адреса по известному локальному адресу. Он называется реверсивным ARP (Reverse Address Resolution Protocol, RARP) и используется при старте бездисковых станций, не знающих в начальный момент своего IP-адреса, но знающих адрес своего сетевого адаптера.

Необходимость в обращении к протоколу ARP возникает каждый раз, когда модуль IP передает пакет на уровень сетевых интерфейсов, например драйверу Ethernet. IP-адрес узла назначения известен модулю IP. Требуется на его основе найти МАС-адрес узла назначения.

ARP-таблица

Работа протокола ARP начинается с просмотра так называемой ARP-таблицы. Каждая строка таблицы устанавливает соответствие между IP-адресом и МАС-адресом. Для каждой сети, подключенной к сетевому адаптеру компьютера или к порту маршрутизатора, строится отдельная ARP-таблица. Ниже приведен пример ARP-таблицы.

N:\>arp -a

Интерфейс: 192.168.36.16 on Interface 0x1000003

Адрес IP         Физический адрес Тип

192.168.36.1     00-50-ba-b0-d5-2c динамический

192.168.36.3     00-e0-18-03-ac-22 динамический

192.168.36.13    00-50-ba-00-d2-2c динамический

192.168.36.60    00-50-ba-b0-d5-3e динамический

Поле «Тип записи» может содержать одно из двух значений — «динамический» или «статический». Статические записи создаются вручную с помощью утилиты агр и не имеют срока устаревания. Динамические же записи создаются модулем протокола ARP, использующим широковещательные возможности локальных сетевых технологий. Запись в ARP-таблице считается устаревшей, если она не использовалась какой-либо исходящей датаграммой в течение определенного интервала времени (обычно несколько минут). Устаревшая запись удаляется из таблицы автоматически. Статические записи не устаревают. Таким образом, в ARP-таблице содержатся записи не обо всех узлах сети, а только о тех, которые активно участвуют в сетевых операциях. Поскольку такой способ хранения информации называют кэшированием, ARP-таблицы иногда называют ARP-кэш.

После того как модуль IP обратился к модулю ARP с запросом на разрешение адреса, происходит поиск в ARP-таблице указанного в запросе IP-адреса.

Запросы и ответыARP

Если таковой адрес в ARP-таблице отсутствует, то исходящий IP-пакет, для которого нужно было определить локальный адрес, ставится в очередь. Далее протокол ARP формирует свой запрос (ARP-запрос), вкладывает его в кадр протокола канального уровня и рассылает запрос широковещательно.

Все узлы локальной сети получают ARP-запрос и сравнивают указанный там IP-адрес с собственным. В случае их совпадения узел формирует ARP-ответ, в котором указывает свой IP-адрес и свой локальный адрес, а затем отправляет его уже направленно, так как в ARP-запросе отправитель указывает свой локальный адрес. ARP-запросы и ответы используют один и тот же формат пакета. На рисунке 7.2 приведены значения полей примера ARP-запроса для передачи по сети Ethernet.

Рис. 7.2. Пример запросаARP

Рис. 7.3. Пример ответаARP

В поле «тип сети» для сетей Ethernet указывается значение 1. Поле «тип протокола» позволяет использовать протокол ARP не только для протокола IP, но и для других сетевых протоколов. Для IP значение этого поля равно 2048.

Длина локального адреса для протокола Ethernet равна 6 байт, а длина IP-адреса — 4 байт. В поле операции для ARP-запросов указывается значение 1, если это запрос, и 2, если это ответ.

Из этого запроса видно, что в сети Ethernet узел с IP-адресом 194.85.135.75 пытается определить, какой МАС-адрес имеет другой узел той же сети, сетевой адрес которого 194.85.135.65. Поле искомого локального адреса заполнено нулями.

Ответ присылает узел, опознавший свой IP-адрес. Если в сети нет машины с искомым IP-адресом, то ARP-ответа не будет. Протокол IP уничтожает IP-пакеты, направляемые по этому адресу. (Заметим, что протоколы верхнего уровня не могут отличить случай повреждения сети Ethernet от случая отсутствия машины с искомым IP-адресом.). На рисунке 7.3 приведены значения полей ARP-ответа, который мог бы поступить на приведенный выше пример ARP-запроса.

Этот ответ получает машина, сделавшая ARP-запрос. Модуль ARP анализирует ARP-ответ и добавляет запись в свою ARP. В результате обмена этими двумя ARP-сообщениями модуль IP-узла 194.85.135.75 определил, что IP-адресу 194.85.135.65 соответствует МАС-адрес OOEOF77F1920. Новая запись в ARP-таблице появляется автоматически, спустя несколько миллисекунд после того, как она потребовалась.

7.4.Протокол управляющих сообщений Internet ICMP

Протокол управляющих сообщений Internet (Internet Control Message Protocol, ICMP) — это протокол, описанный в RFC 792, и обычно его рассматривают как часть уровня IP. Сообщения ICMP инкапсулируются в пакеты IP, чтобы они могли маршрутизироваться в сети. Windows NT использует ICMP для следующих целей:

- Построение и поддержка таблиц маршрутизации

- Оказание помощи при определении величины максимального передаваемого блока по маршруту (PMTU)

- Диагностика проблем (использование утилит ping и tracert)

- Управление контролем потока для предотвращения насыщения передающих линий и маршрутизаторов