Professional Documents
Culture Documents
Lab 4
Lab 4
Lab 4
Tabela adresacji
Urzdzenie R1-ISP Fa0/0 S0/0/0 R2-Central Fa0/0 Serwer Eagle hostPod#A hostPod#B S1-Central 172.16.255.254 255.255.0.0 Nie dotyczy 192.168.254.253 Nie dotyczy 172.16.255.254 172.16.255.254 172.16.255.254 Nie dotyczy 192.168.254.254 255.255.255.0 Nie dotyczy 172.31.24.254 Nie dotyczy 172.16.Pod#.1 Nie dotyczy 172.16.Pod#.2 Nie dotyczy 172.16.254.1 255.255.255.0 255.255.0.0 255.255.0.0 255.255.0.0 192.168.254.253 255.255.255.0 10.10.10.5 255.255.255.252 Nie dotyczy Nie dotyczy Interfejs S0/0/0 Adres IP 10.10.10.6 Maska podsieci Domylna brama 255.255.255.252 Nie dotyczy
Caa zawarto niniejszych materiaw jest wasnoci Cisco Systems, Inc. 1992-2007 Wszelkie prawa zastrzeone. Ten dokument zawiera publicznie dostpne informacje firmy Cisco. Strona 1 z 9
Cele nauczania
Po zakoczeniu tego wiczenia bdziesz potrafi: Zrozumie formaty pakietw ICMP. Uy programu Wireshark do przechwycenia komunikatw ICMP.
Wprowadzenie
Protok ICMP (Internet Control Message Protocol) zosta po raz pierwszy zdefiniowany w dokumencie RFC 792, we wrzeniu 1981. Typy komunikatw ICMP opisano pniej w dokumencie RFC 1700. Protok ICMP dziaa w warstwie sieci modelu TCP/IP i jest uywany do wymiany informacji pomidzy urzdzeniami. Komunikaty ICMP s bardzo uyteczne w dzisiejszych sieciach komputerowych. Kiedy router nie moe dostarczy pakietw do sieci lub hosta docelowego, informacje o tym fakcie s zwracane do nadawcy. Zarwno komenda ping jak i tracert wysya komunikaty ICMP do urzdzenia przeznaczenia. Rwnie odbiorcy odpowiadaj komunikatami ICMP.
Scenariusz
Korzystajc z pierwszego laboratorium oraz programu Wireshark bdziemy przechwytywa pakiety ICMP przesyane pomidzy urzdzeniami sieciowymi.
Rysunek 1. Nagwek komunikatu ICMP Przedstawione na rysunku 1 pola nagwka ICMP s wsplne dla kadego typu wiadomoci ICMP. Kady komunikat ICMP rozpoczyna si 8-bitowym polem typu, 8-bitowym polem kodu oraz 16-sto bitow sum kontroln. Pozostae pola zale od typu komunikatu ICMP. W tabeli na rysunku 2 przedstawiono typy wiadomoci ICMP opisane w dokumencie RFC 792: Warto 0 3 Znaczenie Echo Reply (odpowied na danie echo) Destination Unreachable (Miejsce docelowe nieosigalne) Source Quench (Tumienie rda) Redirect (Przekierowanie) Echo Time Exceeded (Przekroczenie czasu) Parameter Problem (Problem z parametrem) Timestamp (Znacznik
4 5 8 11 12 13
Caa zawarto niniejszych materiaw jest wasnoci Cisco Systems, Inc. 1992-2007 Wszelkie prawa zastrzeone. Ten dokument zawiera publicznie dostpne informacje firmy Cisco. Strona 2 z 9
Warto 14
15 16
Znaczenie czasowy) Timestamp Reply (Odpowied na danie znacznika czasowego) Information Request (danie informacji) Information Reply (Odpowied na danie przesania informacji)
Rysunek 2. Typy komunikatw ICMP Kody dostarczaj dodatkowych informacji dla komunikatw danego typu. Dla przykadu, jeli pole typ wynosi 3 - cel jest nieosigalny - dodatkowe informacje zwizane z tym problemem s zawarte w postaci odpowiedniej wartoci pola kod. W tabeli na rysunku 3 pokazano kody wiadomoci dla komunikatu o typie 3 - cel nieosigalny (na podstawie RFC 1700):
Kod Warto 0 1 2 3 4 5 6 7 8 9 10 11 12
Znaczenie Sie nieosigalna Host nieosigalny Protok nieosigalny Port niedostpny Wymagana fragmentacja i ustawiony bit DF Trasa rdowa niedostpna Nieznana sie docelowa Nieznany host docelowy rdowy host izolowany Komunikacja z sieci docelow jest administracyjnie zablokowana Komunikacja z komputerem docelowym jest administracyjnie zablokowana Siec docelowa niedostpna dla tego typu usugi Host docelowy niedostpny dla tego typu usugi Rysunek 3. Kody wiadomoci ICMP o typie 3
Korzystajc z pokazanej na rysunku 4 przechwyconej wiadomoci ICMP, wypenij pola pakietu dania ICMP echo. Wartoci zaczynajce si od 0x s liczbami w kodzie szesnastkowym:
Caa zawarto niniejszych materiaw jest wasnoci Cisco Systems, Inc. 1992-2007 Wszelkie prawa zastrzeone. Ten dokument zawiera publicznie dostpne informacje firmy Cisco. Strona 3 z 9
Korzystajc z przechwyconej wiadomoci ICMP pokazanej na rysunku 5, wypenij pola pakietu ICMP Echo Reply:
Warstwa Sieci modelu TCP/IP nie daje gwarancji dostarczenia pakietu do celu. Jednak ICMP zapewnia minimaln kontrol poprzez generowanie odpowied odpowiadajcej danemu daniu. Na podstawie informacji zawartej w wiadomoci ICMP przedstawionej powyej, odpowied skd nadawca wie, e odpowied jest na dane zapytanie? ___________________________________________________________________________________ ___________________________________________________________________________________
Jeeli wczeniej nie pobrano programu Wireshark na lokalny komputer zestawu, moesz go pobra z serwera Eagle. 1. Otwrz przegldark internetow i wpisz adres URL FTP://eagleserver.example.com/pub/eagle_labs/eagle1/chapter6, jak pokazano na rysunku 6. 2. Kliknij prawym przyciskiem myszy na plik Wireshark, wybierz Zapisz element docelowy jako i zapisz plik na komputerze pod. 3. 4. Po cigniciu pliku, uruchom instalacj Wireshark. Krok 1: Przechwycenie i analiza wiadomoci ICMP echo kierowanych do serwera Eagle. W tym kroku program Wireshark bdzie uyty do analizowania wiadomoci ICMP echo. 1. Otwrz okno linii polece Windows na komputerze zestawu. 2. Jeli jeste gotw, wcz przechwytywanie pakietw. C:\> ping eagle-server.example.com Badanie eagle-server.example.com [192.168.254.254] z uyciem 32 bajtw danych: Odpowied z 192.168.254.254: bajtw=32 czas<1ms TTL=63 Odpowied z 192.168.254.254: bajtw=32 czas<1ms TTL=63 Odpowied z 192.168.254.254: bajtw=32 czas<1ms TTL=63 Odpowied z 192.168.254.254: bajtw=32 czas<1ms TTL=63 Statystyka badania ping dla 192.168.16.2: Pakiety: Wysane = 4, Odebrane = 4, Utracone = 0 (0% straty) Szacunkowy czas przesyania pakietw w obie strony w milisekundach: Minimum = 0ms, Maksimum = 0ms, Czas redni = 0ms C:\> Rysunek 7. Pozytywne odpowiedzi ping z serwera Eagle. 3. Z linii polece Windows wylij ping do serwera Eagle. Powinny zosta odebrane cztery pozytywnie odpowiedzi jak pokazano na rysunku 7. 4. Zatrzymaj przechwytywanie w programie Wireshark. Powinny by cztery dania ICMP echo i cztery odpowiadajce im odpowiedzi (podobnie jak na rysunku 8).
Caa zawarto niniejszych materiaw jest wasnoci Cisco Systems, Inc. 1992-2007 Wszelkie prawa zastrzeone. Ten dokument zawiera publicznie dostpne informacje firmy Cisco. Strona 5 z 9
Rysunek 8. dania i odpowiedzi ping przechwycone w programie Wireshark. Ktre z urzdze sieciowych odpowiada na dania ICMP echo? __________________________________ 5. Rozwi rodkow cze okna programu Wireshark i rozwi pole dotyczce protokou ICMP. Dolne okno bdzie potrzebne do zbadania pola danych. 6. Zanotuj informacje z pierwszego pakietu dania ICMP echo kierowanego do serwera Eagle: Pole Typ Kod Suma kontrolna Identyfikator Numer sekwencyjny Dane Warto
Czy dane zawieraj 32 bajty? _____ 7. Zanotuj informacje z pierwszego pakietu odpowiedzi ICMP echo, odebranego od serwera Eagle: Pole Typ Kod Suma kontrolna Identyfikator Numer sekwencyjny Dane Warto
Caa zawarto niniejszych materiaw jest wasnoci Cisco Systems, Inc. 1992-2007 Wszelkie prawa zastrzeone. Ten dokument zawiera publicznie dostpne informacje firmy Cisco. Strona 6 z 9
8. Przeanalizuj zawarto pozostaych pakietw z daniami i odpowiedziami ICMP echo. Uzupenij nastpujce informacje dla kadego z tych komunikatw ping: Pakiet danie # 2 Odpowied # 2 danie # 3 Odpowied # 3 danie # 4 Odpowied # 4 Suma kontrolna Identyfikator Numer sekwencyjny
Dlaczego warto sumy kontrolnej zmienia si przy kadym kolejnym daniu ? ___________________________________________________________________________________ Krok 2: Przechwycenie i analiza wiadomoci ICMP echo do 192.168.253.1. W tym kroku, zapytania ping bd wysyane do fikcyjnego miejsca w sieci. Bdziemy analizowa rezultaty przechwytywania pakietw przez program Wireshark i mog by one zadziwiajce. Sprbuj wysa ping na adres 192.168.253.1 C:\> ping 192.168.253.1
C:\> ping 192.168.253.1 Badanie 192.168.16.2 z uyciem 32 bajtw danych: Odpowied z 172.16.255.254: Docelowy host nieosigalny. Odpowied z 172.16.255.254: Docelowy host nieosigalny. Odpowied z 172.16.255.254: Docelowy host nieosigalny. Odpowied z 172.16.255.254: Docelowy host nieosigalny. Statystyka badania ping dla 192.168.16.2: Pakiety: Wysane = 4, Odebrane = 4, Utracone = 0 (0% straty), Szacunkowy czas bdzenia pakietw w milisekundach: Minimum = 0ms, Maksimum = 0ms, Czas redni = 0ms C:\> Rysunek 9. Rezultat badania ping do fikcyjnego miejsca docelowego Popatrz na rysunek 9. Zamiast upynicia limitu czasu dania pojawiaj si odpowiedzi. Jakie urzdzenie sieciowe odpowiada na ping do fikcyjnego miejsca docelowego ? ___________________________________________________________________________________
Przechwycone przez program Wireshark pakiety wysyane do fikcyjnego miejsca docelowego pokazuje rysunek 10. W rodkowym oknie programu Wireshark rozwi rekord dotyczcy protokou ICMP. Jaki typ wiadomoci ICMP jest przesyany w informacji zwrotnej do nadawcy ? ___________________________________________________________________________________ Jaki kod jest zwizany z tym typem komunikatu? ___________________________________________________________________________________ Krok 3: Przechwycenie i analiza wiadomo ICMP echo z przekroczeniem wartoci TTL. W tym kroku bd wysyane pakiety ping z nisk wartoci TTL, eby zasymulowa nieosigalno miejsca docelowego. Wylij ping do serwera Eagle i ustaw warto TTL rwn1: C:\> ping -i 1 192.168.254.254 C:\> ping -i 1 192.168.254.254 Badanie 192.168.16.2 z uyciem 32 bajtw danych: Odpowied z 172.16.255.254: Limit czasu wyganicia TTL upyn podczas tranzytu. Odpowied z 172.16.255.254: Limit czasu wyganicia TTL upyn podczas tranzytu. Odpowied z 172.16.255.254: Limit czasu wyganicia TTL upyn podczas tranzytu. Odpowied z 172.16.255.254: Limit czasu wyganicia TTL upyn podczas tranzytu. Statystyka badania ping dla 192.168.16.2: Pakiety: Wysane = 4, Odebrane = 4, Utracone = 0 (0% straty), Szacunkowy czas bdzenia pakietw w milisekundach: Minimum = 0ms, Maksimum = 0ms, Czas redni = 0ms C:\> Rysunek 11. Rezultat badania bing w przypadku przekroczenia TTL Rysunek 11 pokazuje odpowiedzi w przypadku przekroczenia wartoci TTL. Ktre urzdzenie sieciowe odpowiada na pingi, ktre przekroczyy warto TTL? ___________________________________________________________________________________
Rysunek 12. Przechwycone przez Wireshark pakiety, ktre przekroczyy warto TTL Przechwycone za pomoc Wireshark pakiety kierowane do fikcyjnego miejsca docelowego pokazuje rysunek 12. W rodkowym oknie programu Wireshark rozwi rekord dotyczcy protokou ICMP. Jaki typ wiadomoci ICMP jest przesyany w informacji zwrotnej do nadawcy ? ___________________________________________________________________________________ Jaki kod jest zwizany z tym typem komunikatu? ___________________________________________________________________________________ Jakie urzdzenie sieciowe jest odpowiedzialne za zmniejszanie wartoci TTL ?
Caa zawarto niniejszych materiaw jest wasnoci Cisco Systems, Inc. 1992-2007 Wszelkie prawa zastrzeone. Ten dokument zawiera publicznie dostpne informacje firmy Cisco. Strona 8 z 9
___________________________________________________________________________________
Zadanie 3: Wyzwanie
Korzystajc z programu Wireshark przechwy sesj tracert do serwera Eagle oraz do 192.168.254.251. Zbadaj wiadomo ICMP przekroczona warto TTL. To pokae w jaki sposb komenda tracert ledzi ciek do miejsca docelowego.
Zadanie 4: Do przemylenia
Protok ICMP jest bardzo uyteczny przy usuwaniu problemw z cznoci w sieci. Bez komunikatw ICMP, nadawca nie ma adnego rodka umoliwiajcego ustalenie przyczyn braku cznoci. Podczas badania ping , rne typy komunikatw ICMP byy przechwycone i poddane analizie.
Caa zawarto niniejszych materiaw jest wasnoci Cisco Systems, Inc. 1992-2007 Wszelkie prawa zastrzeone. Ten dokument zawiera publicznie dostpne informacje firmy Cisco. Strona 9 z 9