Лабораторна робота.

Аналіз кадрів Ethernet за допомогою

програми Wireshark
Топологія Mininet

Завдання
Частина 1. Вивчення полів заголовків у кадрі Ethernet II
Частина 2. Захоплення та аналіз кадрів Ethernet за допомогою програми Wireshark

Загальні відомості та сценарій

При взаємодії протоколів верхнього рівня дані проходять рівні моделі взаємодії відкритих систем (OSI) і
інкапсулюються у кадрі 2. Структура кадру залежить від типу доступу до середовища передачі даних.
Наприклад, якщо протоколами верхнього рівня використовуються TCP і IP, а тип доступу до
середовища передачі — Ethernet, то інкапсуляція кадрів рівня 2 відбувається через Ethernet II. Це
притаманно середовища локальних мереж.
Під час вивчення концепцій рівня 2 буде корисно проаналізувати дані заголовків кадрів. У першій
частині цієї лабораторної роботи ви зможете переглянути поля в кадрі Ethernet II. У другій частині вам
доведеться перехопити та проаналізувати поля заголовків кадру Ethernet II для локального та
віддаленого трафіку за допомогою програми Wireshark.

Cisco та/або її дочірні компанії. Всі права захищені.

Конфіденційна інформація компанії Cisco Стор.1з8 www.netacad.com
Лабораторна робота. Аналіз кадрів Ethernet за допомогою програми Wireshark

Необхідні ресурси
 Віртуальна машина робочої станції CyberOps
 Доступ до Інтернету

Часть 1: Вивчення полів заголовків у кадрі Ethernet II

У частині 1 ви вивчите поля та зміст заголовків у наданому вам кадрі Ethernet II. Для цього буде
використано перехоплення даних програмою Wireshark.

Шаг 1: Перегляньте довжини та описи полів заголовків Ethernet II.

Адреса Адреса Тип

Преамбула призначення джерела кадру Дані FCS

8 байт 6 байт 6 байт 2 байти від 46 до 1500 байт 4 байти

Шаг 2: Вивчіть кадри Ethernet у даних, перехоплених програмою Wireshark.

Наведений нижче результат захоплення даних у програмі Wireshark відображає пакети, які були
згенеровані за допомогою команди ping, надісланої з вузла ПК на стандартний шлюз. У програмі
Wireshark увімкнено фільтр для перегляду тільки ARP- та ICMP-протоколів. Сеанс починається з ARP-
запиту МАС-адреси маршрутизатора шлюзу, за яким слідують чотири ехозапроси та відповіді.

Cisco та/або її дочірні компанії. Всі права захищені.

Конфіденційна інформація компанії Cisco Стор.2з8 www.netacad.com
Лабораторна робота. Аналіз кадрів Ethernet за допомогою програми Wireshark

Шаг 3: Вивчіть зміст заголовків Ethernet II в ARP-запиті.

У наведеній нижче таблиці вибрано перший кадр даних, перехоплених програмою Wireshark, і
відображаються дані в полях заголовків Ethernet II.

Поле Значення Опис

Преамбула Не показано у Це поле містить синхронізовані біти, оброблені

перехопленні даних мережевою платою.
Адреса призначення Широкомовне Адреси рівня 2 для кадру. Довжина кожної адреси
розсилання становить 48 біт або 6 октетів, виражених 12
(ff:ff:ff:ff:ff:ff) шістнадцятковими цифрами: 0-9, AF.
Загальний формат - 12:34:56:78:9A:BC.
Адреса джерела IntelCor_62:62:6d
Перші шість шістнадцяткових чисел позначають
(f4:8c:50:62:62:6d) виробника мережної плати, а останні її серійний номер.
Адреса призначення може бути адресою широкомовної
розсилки (що складається лише з одиниць) або
одноадресної розсилки. Адреса джерела завжди є
адресою одноадресної розсилки.
Тип кадру 0x0806 У кадрах Ethernet II поле містить шістнадцяткове значення,
яке використовується для вказівки типу протоколу
верхнього рівня в полі даних. Ethernet II підтримує безліч
протоколів верхнього рівня. Найбільш поширені такі два
типи кадрів:
Значення Опис
0x0800Протокол IPv4
0x0806 Протокол дозволу адрес (ARP)

Дані ARP Містить інкапсульований протокол верхнього рівня. Поле

даних у діапазоні від 46 до 1500 байт.
FCS Не показано у Контрольна послідовність кадру (FCS), використовувана
перехопленні даних мережевою платою виявлення помилок під час передачі
даних. Значення обчислюється комп'ютером
відправника, включає адреси, тип та поле даних кадру та
перевіряється одержувачем.

Яка особливість змісту поля адреси призначення?

Широкомовна розсилка

Чому перед першим відлунням ПК надсилає широкомовне розсилання ARP?

Щоб дізнатись кому відправляти дані
Назвіть MAC-адресу джерела у першому кадрі. f4:8c:50:62:62:6d
Назвіть ідентифікатор виробника (OUI) мережної плати джерела. 0x0806
Яка частина МАС-адреси відповідає OUI? 62:62:6d
Назвіть серійний номер плати джерела. _________________________________________
________________________________________________________________________________________

Cisco та/або її дочірні компанії. Всі права захищені.

Конфіденційна інформація компанії Cisco Стор.3з8 www.netacad.com
Лабораторна робота. Аналіз кадрів Ethernet за допомогою програми Wireshark

Часть 2: Перехоплення та аналіз кадрів Ethernet за допомогою

програми Wireshark
У частині 2 ви скористаєтеся програмою Wireshark для перехоплення локальних та віддалених кадрів
Ethernet. Потім ви вивчите відомості, які містяться в полях заголовків кадрів.

Шаг 1: Вивчіть конфігурацію мережі H3.

a. Запустіть і виконайте вхід у свою робочу станцію CyberOps, використовуючи наступні облікові дані.
Ім'я користувача: analyst Пароль:cyberops
b. Відкрийте емулятор терміналу для запуску mininet і введіть наступну команду в командному рядку.
У відповідь на запит введіть cyberops як пароль.
[ analyst@secOps ~]$ sudo ./lab.support.files/scripts/cyberops_topo.py
[Sudo] пароль для analyst:
c. У командному рядку mininet запустіть вікна терміналу на вузлі H3.
*** Запуск CLI:
mininet> xterm H3
d. У командному рядку на вузлі H3 введіть ifconfig для перевірки IPv4-адреси та запишіть MAC-
адресу.

Інтерфейс
вузла IP-адреса MAC-адреса

H3-eth0 10,0,0,13/24

e. У командному рядку на вузлі H3 введіть netstat - r , щоб показати інформацію про шлюз за
промовчанням.
[ root@secOps ~]# netstat -r
Таблиця IP-маршрутизації
Destination Gateway Genmask Flags MSS Window irtt Iface
default 10.0.0.1 0.0.0.0 UG 0 0 0 H3-eth0
10.0.0.0 0.0.0.0 255.255.255.0 U 0 0 0 H3-eth0

f. Яка IP-адреса призначена шлюзу за замовчуванням для хоста H3? 10,0,0,0

Шаг 2: Очистіть кеш ARP на H3 та почніть захоплення трафіку на H3-eth0.

a. У вікні терміналу H3 введіть arp - n, щоб показати вміст кеша ARP.
[ root@secOps analyst]# arp -n
b. Якщо в кеші є якісь відомості ARP, очистіть їх, ввівши таку команду: arp -d IP-адреса. Повторіть,
поки кешовані відомості не будуть видалені.
[ root@secOps analyst]# arp -n
Address HWtype HWaddress Flags Mask Iface
10.0.0.11 ether 5a:d0:1d:01:9f:be C H3-eth

Cisco та/або її дочірні компанії. Всі права захищені.

Конфіденційна інформація компанії Cisco Стор.4з8 www.netacad.com
Лабораторна робота. Аналіз кадрів Ethernet за допомогою програми Wireshark

[ root@secOps analyst]# arp -d 10.0.0.11

Address HWtype HWaddress Flags Mask Iface
10.0.0.11 (incomplete) C H3-eth0

c. У вікні терміналу H3 відкрийте Wireshark і почніть перехоплення пакетів для інтерфейсу H3-eth0.
[ root@secOps analyst]# wireshark-gtk &

Шаг 3: Егозапит для H1 від H3.

a. У терміналі на H3 відправте ехозапрос на шлюз за замовчуванням і зупиніться після відправки 5
пакетів ехозапроса.
[ root@secOps analyst]# ping -c 5 10.0.0.1
b. Після завершення команди ping зупиніть перехоплення даних програмою Wireshark.
c.

Cisco та/або її дочірні компанії. Всі права захищені.

Конфіденційна інформація компанії Cisco Стор.5з8 www.netacad.com
Лабораторна робота. Аналіз кадрів Ethernet за допомогою програми Wireshark

Шаг 4: За допомогою фільтрів Wireshark відобразіть на екрані лише трафік ICMP.

Застосуйте фільтр icmp для перехопленого трафіку, щоб у результатах відображався лише трафік
ICMP.

Шаг 5: Вивчіть перший эгозапрос у програмі Wireshark.

Головне вікно програми Wireshark складається з трьох розділів: панель списку пакетів (вгорі), панель
відомостей про пакет (посередині) та панель відображення пакета у вигляді послідовності байтів (внизу).
Якщо ви правильно вибрали інтерфейс для захоплення пакетів у кроці 3, програма Wireshark відобразить
дані протоколу ICMP на панелі списку пакетів, як показано в наведеному нижче прикладі.

a. На панелі списку пакетів (верхній розділ) виберіть перший кадр. У стовпці Info (Інформація)
з'явиться значення Echo (ping) request (Егозапит за допомогою команди ping). Рядок стане синім.
b. Вивчіть перший рядок на панелі відомостей про пакет у середній частині екрана. У цьому рядку
показано довжину кадру (у цьому прикладі 98 байт).
c. Другий рядок на панелі Packet Details (Відомості про пакет) показує, що це кадр Ethernet II. Також
відображаються MAC-адреси джерела та призначення.
Назвіть MAC-адресу плати цього ПК.
_____________________________________________________________________________________
Назвіть MAC-адресу шлюзу за промовчанням.
_____________________________________________________________________________________
d. Щоб отримати більше інформації про кадр Ethernet II, натисніть стрілку на початку другого рядка.
Назвіть тип кадру, що відображається.
_____________________________________________________________________________________
e. Останні два рядки середнього розділу містять інформацію про поле даних кадру. Зверніть увагу на
те, що дані містять IPv4-адреси джерела та призначення.
Назвіть IP-адресу джерела.
_____________________________________________________________________________________
Назвіть IP-адресу призначення.
_____________________________________________________________________________________

Cisco та/або її дочірні компанії. Всі права захищені.

Конфіденційна інформація компанії Cisco Стор.6з8 www.netacad.com
Лабораторна робота. Аналіз кадрів Ethernet за допомогою програми Wireshark

f. Щоб виділити цю частину кадру (в шістнадцятковій системі та ASCII) на панелі відображення

пакета у вигляді послідовності байтів (нижній розділ), клацніть будь-який рядок у середньому
розділі. Натисніть рядок Internet Control Message Protocol у середньому розділі та перегляньте, що
буде виділено на панелі відображення пакета у вигляді послідовності байтів.

g. Натисніть наступний кадр у верхньому розділі та вивчіть кадр відлуння. МАС-адреси джерела та
призначення помінялися місцями, оскільки маршрутизатор, який служить шлюзом за
замовчуванням, відправив цей кадр у відповідь на перший ехозапрос.
Який пристрій та MAC-адреса відображаються як адреса призначення?

____________________________________________________________________________________

Шаг 6: Почніть нове перехоплення даних програмою Wireshark.

a. Натисніть Start Capture (Почати перехоплення), щоб розпочати нове перехоплення даних у
програмі Wireshark. Відкриється спливаюче вікно із пропозицією зберегти попередні перехоплені
пакети у файл перед початком нового перехоплення. Натисніть Continue without Saving
(Продовжити без збереження).
b. У вікні терміналу вузла H3 надішліть 5 пакетів ехозапроса на 172.16.0.40.
c. Зупиніть пакети після завершення команд ping.

Cisco та/або її дочірні компанії. Всі права захищені.

Конфіденційна інформація компанії Cisco Стор.7з8 www.netacad.com
Лабораторна робота. Аналіз кадрів Ethernet за допомогою програми Wireshark

d.

Шаг 7: Вивчіть нові дані на панелі списку пакетів у програмі Wireshark.

Назвіть МАС-адреси джерела та призначення у першому кадрі ехозапроса.

Джерело:

Призначення:
Назвіть IP-адреси джерела та призначення у полі даних кадру.

Джерело:

Призначення:
Порівняйте ці адреси з адресами, отриманими на кроці 5. Змінилася лише IP-адреса призначення.
Чому IP-адреса призначення змінилася, а MAC-адреса призначення залишилася колишньою?
Перехід між роутером, але МАС-адреса одна.

Запитання для повторення

Програма Wireshark не відображає поле преамбули заголовка кадру. Що містить преамбула?
Преамбула - це частина кадру у бездротовій мережі, яка розташована перед заголовком фізичного
рівня. Вона містить синхронізаційну інформацію, яка допомагає приймачу синхронізувати свій
приймальний годинник з часом передачі.

Cisco та/або її дочірні компанії. Всі права захищені.

Конфіденційна інформація компанії Cisco Стор.8з8 www.netacad.com