Методика выполнения работы. 1.Захватите сетевой трафик при обращении к стартовой странице сервера www.google.com

1. Захватите сетевой трафик при обращении к стартовой странице сервера www.google.com.

Для отображения в буфере кадров с протоколом TCP примените соответствующее выражение фильтрации.

В буфере захвата у вас находятся кадры, принадлежащие обмену клиента с сервером по протоколу HTTP, но в рамках текущего упражнения прикладной протокол нас не интересует, поэтому отключите анализ протокола HTTP, ARP.

Рис. 1. Отображение информации о протоколе TCP

Каждая TCP-сессия (причем при обращении к одной странице сессий может быть несколько) начинается с обмена тремя TCP-сегментами с установленными битами SYN, SYN-ACK и ACK. На рис. 1 можно видеть открытие трех сессий TCP (кадры с номерами 1, 2, 3; 9, 14, 15; 30, 31, 32 соответственно).

2. Определите количество сеансов TCP в буфере захваченных пакетов.

На рис. 1 также видно, что сеансы TCP начинаются с относительных последовательных номеров, равных нулю. Для того чтобы отобразить реальные последовательные номера, выбранные узлами при взаимодействии, необходимо выполнить команду меню Edit -> Preferences, в появившемся диалоговом окне (фрагмент диалогового окна см. на рис. 2) выбрать протокол TCP и убрать маркер в строке параметра «Relative sequence numbers and window scaling».

Рис. 2. Параметры анализа протокола TCP

1. Отобразите реальные последовательные номера в рамках сеансов TCP.
2. Проанализируйте третий кадр в рамках какого-либо сеанса TCP и ответьте на следующие вопросы:

- Какие порты используются клиентом и сервером?

- Какой начальный последовательный номер выбран клиентом?

- Присутствует ли в этом кадре поле подтверждения, каково его значение?

- Какая длина заголовка TCP, присутствуют ли данные в этом кадре?

- Какой бит флагов установлен и для чего он служит?

- Какие дополнительные опции TCP передаются клиентом в этом кадре?

- Сохраните кадр и выделите различным цветом поля заголовка TCP, пояснив их назначение.

Немаловажная возможность программы Wireshark по анализу TCP трафика состоит в том, что с помощью команды меню Statistics -> Conversations можно быстро определить все сеансы, имеющиеся в буфере. В диалоговом окне для отображения сеансов TCP необходимо выбрать закладку TCP (рис. 3).

Рис. 3. Статистика по сеансам TCP

1. Отобразите статистику сеансов TCP.
2. Выберите первый сеанс и с помощью контекстного меню Apply as Filter -> Selected -> A<—>B отобразите в буфере кадры, принадлежащие этому сеансу.

Для того чтобы быстро просмотреть передаваемые данные в рамках того или иного сеанса, используют команду меню Analyze -> Follow TCP Stream. После выполнения команды на экране появится диалоговое окно, в котором разными цветами будут отображены как запросы клиента, так и ответы сервера.

Кнопка «Entire conversation» с раскрывающимся списком позволяет отобразить обе стороны, участвующие в обмене, или только одну из них.

Определите, что передавалось в рамках захваченных вами сеансов TCP.

В отчете привести:

1. схему рабочего места с проставленными IP-адресами всех задействованных интерфейсов устройств,
2. анализ третьего кадра сеанса TCP и ответы на вопросы пункта 4,
3. окно статистики по TCP,
4. результат выполнения пункта 7,
5. выводы.