Laboratorium 6.7.

2: ledzenie pakietw ICMP

Topologia sieci

Tabela adresacji
Urzdzenie R1-ISP Fa0/0 S0/0/0 R2-Central Fa0/0 Serwer Eagle hostPod#A hostPod#B S1-Central 172.16.255.254 255.255.0.0 Nie dotyczy 192.168.254.253 Nie dotyczy 172.16.255.254 172.16.255.254 172.16.255.254 Nie dotyczy 192.168.254.254 255.255.255.0 Nie dotyczy 172.31.24.254 Nie dotyczy 172.16.Pod#.1 Nie dotyczy 172.16.Pod#.2 Nie dotyczy 172.16.254.1 255.255.255.0 255.255.0.0 255.255.0.0 255.255.0.0 192.168.254.253 255.255.255.0 10.10.10.5 255.255.255.252 Nie dotyczy Nie dotyczy Interfejs S0/0/0 Adres IP 10.10.10.6 Maska podsieci Domylna brama 255.255.255.252 Nie dotyczy

Caa zawarto niniejszych materiaw jest wasnoci Cisco Systems, Inc. 1992-2007 Wszelkie prawa zastrzeone. Ten dokument zawiera publicznie dostpne informacje firmy Cisco. Strona 1 z 9

Kurs CCNA Exploration Podstawy sieci komputerowych Adresowanie sieci - IPv4

Laboratorium 6.7.2: ledzenie pakietw ICMP

Cele nauczania
Po zakoczeniu tego wiczenia bdziesz potrafi: Zrozumie formaty pakietw ICMP. Uy programu Wireshark do przechwycenia komunikatw ICMP.

Wprowadzenie
Protok ICMP (Internet Control Message Protocol) zosta po raz pierwszy zdefiniowany w dokumencie RFC 792, we wrzeniu 1981. Typy komunikatw ICMP opisano pniej w dokumencie RFC 1700. Protok ICMP dziaa w warstwie sieci modelu TCP/IP i jest uywany do wymiany informacji pomidzy urzdzeniami. Komunikaty ICMP s bardzo uyteczne w dzisiejszych sieciach komputerowych. Kiedy router nie moe dostarczy pakietw do sieci lub hosta docelowego, informacje o tym fakcie s zwracane do nadawcy. Zarwno komenda ping jak i tracert wysya komunikaty ICMP do urzdzenia przeznaczenia. Rwnie odbiorcy odpowiadaj komunikatami ICMP.

Scenariusz
Korzystajc z pierwszego laboratorium oraz programu Wireshark bdziemy przechwytywa pakiety ICMP przesyane pomidzy urzdzeniami sieciowymi.

Zadanie1: Zapoznanie si z formatami pakietw ICMP

Rysunek 1. Nagwek komunikatu ICMP Przedstawione na rysunku 1 pola nagwka ICMP s wsplne dla kadego typu wiadomoci ICMP. Kady komunikat ICMP rozpoczyna si 8-bitowym polem typu, 8-bitowym polem kodu oraz 16-sto bitow sum kontroln. Pozostae pola zale od typu komunikatu ICMP. W tabeli na rysunku 2 przedstawiono typy wiadomoci ICMP opisane w dokumencie RFC 792: Warto 0 3 Znaczenie Echo Reply (odpowied na danie echo) Destination Unreachable (Miejsce docelowe nieosigalne) Source Quench (Tumienie rda) Redirect (Przekierowanie) Echo Time Exceeded (Przekroczenie czasu) Parameter Problem (Problem z parametrem) Timestamp (Znacznik

4 5 8 11 12 13

Caa zawarto niniejszych materiaw jest wasnoci Cisco Systems, Inc. 1992-2007 Wszelkie prawa zastrzeone. Ten dokument zawiera publicznie dostpne informacje firmy Cisco. Strona 2 z 9

Kurs CCNA Exploration Podstawy sieci komputerowych Adresowanie sieci - IPv4

Laboratorium 6.7.2: ledzenie pakietw ICMP

Warto 14

15 16

Znaczenie czasowy) Timestamp Reply (Odpowied na danie znacznika czasowego) Information Request (danie informacji) Information Reply (Odpowied na danie przesania informacji)

Rysunek 2. Typy komunikatw ICMP Kody dostarczaj dodatkowych informacji dla komunikatw danego typu. Dla przykadu, jeli pole typ wynosi 3 - cel jest nieosigalny - dodatkowe informacje zwizane z tym problemem s zawarte w postaci odpowiedniej wartoci pola kod. W tabeli na rysunku 3 pokazano kody wiadomoci dla komunikatu o typie 3 - cel nieosigalny (na podstawie RFC 1700):

Kod Warto 0 1 2 3 4 5 6 7 8 9 10 11 12

Znaczenie Sie nieosigalna Host nieosigalny Protok nieosigalny Port niedostpny Wymagana fragmentacja i ustawiony bit DF Trasa rdowa niedostpna Nieznana sie docelowa Nieznany host docelowy rdowy host izolowany Komunikacja z sieci docelow jest administracyjnie zablokowana Komunikacja z komputerem docelowym jest administracyjnie zablokowana Siec docelowa niedostpna dla tego typu usugi Host docelowy niedostpny dla tego typu usugi Rysunek 3. Kody wiadomoci ICMP o typie 3

Korzystajc z pokazanej na rysunku 4 przechwyconej wiadomoci ICMP, wypenij pola pakietu dania ICMP echo. Wartoci zaczynajce si od 0x s liczbami w kodzie szesnastkowym:

Rysunek 4. Pakiet ICMP Request

Caa zawarto niniejszych materiaw jest wasnoci Cisco Systems, Inc. 1992-2007 Wszelkie prawa zastrzeone. Ten dokument zawiera publicznie dostpne informacje firmy Cisco. Strona 3 z 9

Kurs CCNA Exploration Podstawy sieci komputerowych Adresowanie sieci - IPv4

Laboratorium 6.7.2: ledzenie pakietw ICMP

Korzystajc z przechwyconej wiadomoci ICMP pokazanej na rysunku 5, wypenij pola pakietu ICMP Echo Reply:

Rysunek 5. Pakiet ICMP Reply

Warstwa Sieci modelu TCP/IP nie daje gwarancji dostarczenia pakietu do celu. Jednak ICMP zapewnia minimaln kontrol poprzez generowanie odpowied odpowiadajcej danemu daniu. Na podstawie informacji zawartej w wiadomoci ICMP przedstawionej powyej, odpowied skd nadawca wie, e odpowied jest na dane zapytanie? ___________________________________________________________________________________ ___________________________________________________________________________________

Zadanie 2: Uycie programu Wireshark do przechwycenia komunikatw ICMP.

Rysunek 6 Strona, z ktrej mona pobra program Wireshark.

Caa zawarto niniejszych materiaw jest wasnoci Cisco Systems, Inc. 1992-2007 Wszelkie prawa zastrzeone. Ten dokument zawiera publicznie dostpne informacje firmy Cisco. Strona 4 z 9

Kurs CCNA Exploration Podstawy sieci komputerowych Adresowanie sieci - IPv4

Laboratorium 6.7.2: ledzenie pakietw ICMP

Jeeli wczeniej nie pobrano programu Wireshark na lokalny komputer zestawu, moesz go pobra z serwera Eagle. 1. Otwrz przegldark internetow i wpisz adres URL FTP://eagleserver.example.com/pub/eagle_labs/eagle1/chapter6, jak pokazano na rysunku 6. 2. Kliknij prawym przyciskiem myszy na plik Wireshark, wybierz Zapisz element docelowy jako i zapisz plik na komputerze pod. 3. 4. Po cigniciu pliku, uruchom instalacj Wireshark. Krok 1: Przechwycenie i analiza wiadomoci ICMP echo kierowanych do serwera Eagle. W tym kroku program Wireshark bdzie uyty do analizowania wiadomoci ICMP echo. 1. Otwrz okno linii polece Windows na komputerze zestawu. 2. Jeli jeste gotw, wcz przechwytywanie pakietw. C:\> ping eagle-server.example.com Badanie eagle-server.example.com [192.168.254.254] z uyciem 32 bajtw danych: Odpowied z 192.168.254.254: bajtw=32 czas<1ms TTL=63 Odpowied z 192.168.254.254: bajtw=32 czas<1ms TTL=63 Odpowied z 192.168.254.254: bajtw=32 czas<1ms TTL=63 Odpowied z 192.168.254.254: bajtw=32 czas<1ms TTL=63 Statystyka badania ping dla 192.168.16.2: Pakiety: Wysane = 4, Odebrane = 4, Utracone = 0 (0% straty) Szacunkowy czas przesyania pakietw w obie strony w milisekundach: Minimum = 0ms, Maksimum = 0ms, Czas redni = 0ms C:\> Rysunek 7. Pozytywne odpowiedzi ping z serwera Eagle. 3. Z linii polece Windows wylij ping do serwera Eagle. Powinny zosta odebrane cztery pozytywnie odpowiedzi jak pokazano na rysunku 7. 4. Zatrzymaj przechwytywanie w programie Wireshark. Powinny by cztery dania ICMP echo i cztery odpowiadajce im odpowiedzi (podobnie jak na rysunku 8).

Caa zawarto niniejszych materiaw jest wasnoci Cisco Systems, Inc. 1992-2007 Wszelkie prawa zastrzeone. Ten dokument zawiera publicznie dostpne informacje firmy Cisco. Strona 5 z 9

Kurs CCNA Exploration Podstawy sieci komputerowych Adresowanie sieci - IPv4

Laboratorium 6.7.2: ledzenie pakietw ICMP

Rysunek 8. dania i odpowiedzi ping przechwycone w programie Wireshark. Ktre z urzdze sieciowych odpowiada na dania ICMP echo? __________________________________ 5. Rozwi rodkow cze okna programu Wireshark i rozwi pole dotyczce protokou ICMP. Dolne okno bdzie potrzebne do zbadania pola danych. 6. Zanotuj informacje z pierwszego pakietu dania ICMP echo kierowanego do serwera Eagle: Pole Typ Kod Suma kontrolna Identyfikator Numer sekwencyjny Dane Warto

Czy dane zawieraj 32 bajty? _____ 7. Zanotuj informacje z pierwszego pakietu odpowiedzi ICMP echo, odebranego od serwera Eagle: Pole Typ Kod Suma kontrolna Identyfikator Numer sekwencyjny Dane Warto

Ktre pola ulegy zmianie w porwnaniu z daniem ICMP echo? ___________________________________________________________________________________

Caa zawarto niniejszych materiaw jest wasnoci Cisco Systems, Inc. 1992-2007 Wszelkie prawa zastrzeone. Ten dokument zawiera publicznie dostpne informacje firmy Cisco. Strona 6 z 9

Kurs CCNA Exploration Podstawy sieci komputerowych Adresowanie sieci - IPv4

Laboratorium 6.7.2: ledzenie pakietw ICMP

8. Przeanalizuj zawarto pozostaych pakietw z daniami i odpowiedziami ICMP echo. Uzupenij nastpujce informacje dla kadego z tych komunikatw ping: Pakiet danie # 2 Odpowied # 2 danie # 3 Odpowied # 3 danie # 4 Odpowied # 4 Suma kontrolna Identyfikator Numer sekwencyjny

Dlaczego warto sumy kontrolnej zmienia si przy kadym kolejnym daniu ? ___________________________________________________________________________________ Krok 2: Przechwycenie i analiza wiadomoci ICMP echo do 192.168.253.1. W tym kroku, zapytania ping bd wysyane do fikcyjnego miejsca w sieci. Bdziemy analizowa rezultaty przechwytywania pakietw przez program Wireshark i mog by one zadziwiajce. Sprbuj wysa ping na adres 192.168.253.1 C:\> ping 192.168.253.1

C:\> ping 192.168.253.1 Badanie 192.168.16.2 z uyciem 32 bajtw danych: Odpowied z 172.16.255.254: Docelowy host nieosigalny. Odpowied z 172.16.255.254: Docelowy host nieosigalny. Odpowied z 172.16.255.254: Docelowy host nieosigalny. Odpowied z 172.16.255.254: Docelowy host nieosigalny. Statystyka badania ping dla 192.168.16.2: Pakiety: Wysane = 4, Odebrane = 4, Utracone = 0 (0% straty), Szacunkowy czas bdzenia pakietw w milisekundach: Minimum = 0ms, Maksimum = 0ms, Czas redni = 0ms C:\> Rysunek 9. Rezultat badania ping do fikcyjnego miejsca docelowego Popatrz na rysunek 9. Zamiast upynicia limitu czasu dania pojawiaj si odpowiedzi. Jakie urzdzenie sieciowe odpowiada na ping do fikcyjnego miejsca docelowego ? ___________________________________________________________________________________

Rysunek 10. Przechwycone przez Wireshark pakiety wysyane do fikcyjnego celu

Caa zawarto niniejszych materiaw jest wasnoci Cisco Systems, Inc. 1992-2007 Wszelkie prawa zastrzeone. Ten dokument zawiera publicznie dostpne informacje firmy Cisco. Strona 7 z 9

Kurs CCNA Exploration Podstawy sieci komputerowych Adresowanie sieci - IPv4

Laboratorium 6.7.2: ledzenie pakietw ICMP

Przechwycone przez program Wireshark pakiety wysyane do fikcyjnego miejsca docelowego pokazuje rysunek 10. W rodkowym oknie programu Wireshark rozwi rekord dotyczcy protokou ICMP. Jaki typ wiadomoci ICMP jest przesyany w informacji zwrotnej do nadawcy ? ___________________________________________________________________________________ Jaki kod jest zwizany z tym typem komunikatu? ___________________________________________________________________________________ Krok 3: Przechwycenie i analiza wiadomo ICMP echo z przekroczeniem wartoci TTL. W tym kroku bd wysyane pakiety ping z nisk wartoci TTL, eby zasymulowa nieosigalno miejsca docelowego. Wylij ping do serwera Eagle i ustaw warto TTL rwn1: C:\> ping -i 1 192.168.254.254 C:\> ping -i 1 192.168.254.254 Badanie 192.168.16.2 z uyciem 32 bajtw danych: Odpowied z 172.16.255.254: Limit czasu wyganicia TTL upyn podczas tranzytu. Odpowied z 172.16.255.254: Limit czasu wyganicia TTL upyn podczas tranzytu. Odpowied z 172.16.255.254: Limit czasu wyganicia TTL upyn podczas tranzytu. Odpowied z 172.16.255.254: Limit czasu wyganicia TTL upyn podczas tranzytu. Statystyka badania ping dla 192.168.16.2: Pakiety: Wysane = 4, Odebrane = 4, Utracone = 0 (0% straty), Szacunkowy czas bdzenia pakietw w milisekundach: Minimum = 0ms, Maksimum = 0ms, Czas redni = 0ms C:\> Rysunek 11. Rezultat badania bing w przypadku przekroczenia TTL Rysunek 11 pokazuje odpowiedzi w przypadku przekroczenia wartoci TTL. Ktre urzdzenie sieciowe odpowiada na pingi, ktre przekroczyy warto TTL? ___________________________________________________________________________________

Rysunek 12. Przechwycone przez Wireshark pakiety, ktre przekroczyy warto TTL Przechwycone za pomoc Wireshark pakiety kierowane do fikcyjnego miejsca docelowego pokazuje rysunek 12. W rodkowym oknie programu Wireshark rozwi rekord dotyczcy protokou ICMP. Jaki typ wiadomoci ICMP jest przesyany w informacji zwrotnej do nadawcy ? ___________________________________________________________________________________ Jaki kod jest zwizany z tym typem komunikatu? ___________________________________________________________________________________ Jakie urzdzenie sieciowe jest odpowiedzialne za zmniejszanie wartoci TTL ?
Caa zawarto niniejszych materiaw jest wasnoci Cisco Systems, Inc. 1992-2007 Wszelkie prawa zastrzeone. Ten dokument zawiera publicznie dostpne informacje firmy Cisco. Strona 8 z 9

Kurs CCNA Exploration Podstawy sieci komputerowych Adresowanie sieci - IPv4

Laboratorium 6.7.2: ledzenie pakietw ICMP

___________________________________________________________________________________

Zadanie 3: Wyzwanie
Korzystajc z programu Wireshark przechwy sesj tracert do serwera Eagle oraz do 192.168.254.251. Zbadaj wiadomo ICMP przekroczona warto TTL. To pokae w jaki sposb komenda tracert ledzi ciek do miejsca docelowego.

Zadanie 4: Do przemylenia
Protok ICMP jest bardzo uyteczny przy usuwaniu problemw z cznoci w sieci. Bez komunikatw ICMP, nadawca nie ma adnego rodka umoliwiajcego ustalenie przyczyn braku cznoci. Podczas badania ping , rne typy komunikatw ICMP byy przechwycone i poddane analizie.

Zadanie 5: Porzdkowanie i zakoczenie

By moe program Wireshark by specjalnie instalowany na potrzeby tego wiczenia. Jeli program powinien by odinstalowany, wybierz Start > Panel Sterowania > Dodaj lub usu programy i przewi do Wireshark. Wybierz odpowiedni nazw pliku, nastpnie Usu, a potem postpuj zgodnie z instrukcjami. Usu pliki pcap (pliki programu Wireshark) utworzone na komputerze. Jeli instruktor nie poleci inaczej, wycz komputery. Zabierz wszystkie rzeczy przyniesione do laboratorium. Pozostaw pomieszczenie w stanie gotowym do rozpoczcia zaj z nastpn grup studentw.

Caa zawarto niniejszych materiaw jest wasnoci Cisco Systems, Inc. 1992-2007 Wszelkie prawa zastrzeone. Ten dokument zawiera publicznie dostpne informacje firmy Cisco. Strona 9 z 9