Анализ протокола TCP

ВЫПОЛНИТЬ!

39. Захватите сетевой трафик при обращении к стартовой странице сервера www.ethereal.com. Для отображения в буфере кадров с протоколом TCP примените соответствующее выражение фильтрации.

В буфере захвата у вас находятся кадры, принадлежащие обмену клиента с сервером по протоколу HTTP, но в рамках текущего упражнения прикладной протокол нас не интересует, поэтому по аналогии с упражнением № 21 отключите анализ протокола HTTP. Фрагмент панелей со списком кадров после отключения анализа протокола FTP показан на рис. 1.9:

Рис. 1.9. Отображение информации о протоколе TCP

Обратите внимание, что теперь по каждому захваченному кадру приводится информация, касающаяся только протокола TCP. Например, для пакета № 4 (рис. 1.9) запись «1061> ftp» означает порты источника и назначения, «[PSH, ACK]» — установленные биты флагов, «Seq=1» — последовательный номер, «Ack=1» — номер подтверждения, «Win=16560» — размер приемного окна, «Len=398» — размер пересылаемого блока данных.

Каждая TCP-сессия (причем при обращении к одной странице сессий может быть несколько!) начинается с обмена тремя TCP-сегментами с установленными битами SYN, SYN-ACK и ACK. На рис. 1.9 можно видеть открытие трех сессий TCP (кадры с номерами 1, 2, 3; 9, 14, 15; 30, 31, 32 соответственно).

ВЫПОЛНИТЬ!

40. Определите количество сеансов TCP в буфере захваченных пакетов.

На рис. 1.9 также видно, что сеансы TCP начинаются с относительных последовательных номеров, равных нулю. Для того чтобы отобразить реальные последовательные номера, выбранные узлами при взаимодействии, необходимо выполнить команду меню Edit ⇒ Preferences, в появившемся диалоговом окне (фрагмент диалогового окна см. на рис. 1.10) выбрать протокол TCP и убрать маркер в строке параметра «Relative sequence numbers and window scaling».

Рис. 1.10. Параметры анализа протокола TCP

ВЫПОЛНИТЬ!

41. Отобразите реальные последовательные номера в рамках сеансов TCP.

42. Проанализируйте третий кадр в рамках какого-либо сеанса TCP и ответьте на следующие вопросы:

a. Какие порты используются клиентом и сервером?

b. Какой начальный последовательный номер выбран клиентом?

c. Присутствует ли в этом кадре поле подтверждения, каково его значение?

d. Какая длина заголовка TCP, присутствуют ли данные в этом кадре?

e. Какой бит флагов установлен и для чего он служит?

f. Какие дополнительные опции TCP передаются клиентом в этом кадре?

g. Сохраните кадр и выделите различным цветом поля заголовка TCP, пояснив их назначение.

Немаловажная возможность программы Ethereal по анализу TCP трафика состоит в том, что с помощью команды меню Statistics ⇒ Conversations можно быстро определить все сеансы, имеющиеся в буфере. В диалоговом окне для отображения сеансов TCP необходимо выбрать закладку TCP (рис. 1.11).

Рис. 1.11. Статистика по сеансам TCP

ВЫПОЛНИТЬ!

43. Отобразите статистику сеансов TCP.

44. Выберите первый сеанс и с помощью контекстного меню Apply as Filter ⇒ Selected ⇒ A<—>B отобразите в буфере кадры, принадлежащие этому сеансу.

Для того чтобы быстро просмотреть передаваемые данные в рамках того или иного сеанса, используют команду меню Analyze ⇒ Follow TCP Stream. После выполнения команды на экране появится диалоговое окно, в котором разными цветами будут отображены как запросы клиента, так и ответы сервера (рис. 1.12).

Рис. 1.12. Восстановленный сеанс TCP

Кнопка «Entire conversation» с раскрывающимся списком позволяет отобразить обе стороны, участвующие в обмене, или только одну из них. Диалоговое окно позволяет отобразить данные в различных форматах (ASCII, EBCDIC, Hex Dump, C Arrays, Raw) и сохранить их в файл. При обнаружении в сеансе кадров с каким-либо файлом можно отобразить лишь поток соответствующего направления, выбрать необходимый формат и сохранить его на диск.

ВЫПОЛНИТЬ!

45. Определите, что передавалось в рамках захваченных вами сеансов TCP.

Дата добавления: 2014-01-15; Просмотров: 1640; Нарушение авторских прав?; Мы поможем в написании вашей работы!