Tööstuslik andmeside kodutöö 1 aruanne (1)

Daniel Tuulik 111618 IASM12
Kodutöö 1 aines Tööstuslik Andmeside ISP0050 Kodutöö teostamiseks kasutan Elioni telefoniliinil töötavat ADSL ühendust. Kasutusel on ka ruuter , seega PPP paketid jäävad analüüsimata. Avatavaks veebileheks valisin www.ttu.ee
Wireshark capture : http://web.zone.ee/dants/TA/Kodu1_111618IASM.pcap
1. ARP, DNS päringud
1.1. Defineerige ARP päringute ja ARP vastuste leidmiseks Display filter . Kitsendage filtrit nii, et näidataks ainult neid ARP pakette, mis olid vajalikud teie valitud webilehekülje avamiseks (nimekirjast peavad välja jääma teie webilehekülje avamiseks mittevajalike lokaalvõrgu node 'de ARP paketid).
ARP ( Adress Resolution Protocol ) päringute filtreerimiseks kasutasin filtrit ,,arp", mis näitab kõiki ARP pakette. Vajalike ARP pakettide kuvamise jaoks (võrgus on veel seadmeid) laiendasin ,,arp.src.proto_ipv4 == 192.168.1.64 or arp.dst.proto_ipv4 == 192.168.1.64" mis näitab minu arvuti ip aadressile või aadressilt saadetud ARP pakette. Esialgu küll ei näinud kinnipüütud pakettide hulgas ühtki ARP päringut ega vastust. Selleks siis püüdsin juhendile vastavalt ARP tabeli tühjendada. Käsuga arp ­d * see ei õnnestunud. Lahenduse leidsin siit: http://www.windowsreference.com/windows-2000/how-to-clear-arp-cache-in-windows - vistaxp20032000/. Käsuga netsh interface ip delete arpcache sain ARP tabeli puhtaks. Käsk vajab Command Prompt käivitamist administraatori õigustega. Kasutatav operatsioonisüsteem Windows Vista on väga paranoiline ja seda tuleb eraldi öelda, et soovin cmd.exe käivitada just nimelt administraatoriõigustega, kuigi minu sisselogitud kasutajal on administraatoriõigused niigi olemas.
1.2. Millist transpordikihi protokolli kasutati DNS päringus? Milline 10nd süsteemi number võrgukihi päises tähistab seda protokolli?
DNS päringus kasutati UDP protokolli. Seda näitab number 17 (Hex 11).
1.3. Defineerige DNS päringute ja DNS vastuste leidmiseks display filter. Kitsendage filtrit nii, et näidataks ainult neid DNS pakette, mis olid vajalikud teie valitud webilehekülje avamiseks (nimekirjast peavad välja jääma muude rakenduste/klientide tegevusega seotud DNS paketid).
Filter: dns.qry.name contains "www.ttu.ee" or dns.resp.name contains "www.ttu.ee"
1.4. Kasutades eelmistes punktides loodud filtreid, loetlege kõik ARP päringu/vastuse paarid ja DNS päringu/vastuse paarid, mis olid vajalikud teie valitud webilehekülje avamiseks. Näidake iga ARP päringu/vastuse paari ja iga DNS päringu/vastuse paari jaoks (soovi korral grupeerige päringud/vastused, et vältida kordusi oma selgitustes):
Filter: dns.qry.name contains "www.ttu.ee" or dns.resp.name contains "www.ttu.ee" or arp.src.proto_ipv4 == 192.168.1.64 or arp.dst.proto_ipv4 == 192.168.1.64 Daniel Tuulik 111618 IASM12
Selle filtri tulemusena kuvatakse üks ARP paar ja DNS paar. Viimased kaks DNS vastust defineerivad ttu.ee alamdomeene video.ttu.ee ja sise.ttu.ee.
3: Who has 192.168.1.64? Tell 192.168.1.254 ­ ruuter (.254) küsib üle kogu võrgu ( broadcast ), missugune MAC aadress kuulub IP-le 192.168.1.64. Päringut on vaja, kuna ruuter vajab MAC aadresse liikluse suunamiseks.
4: 192.168.1.64 is at 00:1d:09:da:34:a1 ­ vastava IP-ga masin (minu arvuti) vastab, et temal on MAC aadress 00:1d:09:da:34:a1
17: Minu arvuti küsib ruuteri käest, missugune IP kuulub aadressile www.ttu.ee. See on vajalik, kuna võrguseadmed suhtlevad IP-dega, mitte meile tuttavate www-tüüpi nimedega. www-kuju on vaja lihtsalt inimesele arusaadavama ja meeldejäävama esituse jaoks.
19: Ruuter vastab, et sellele aadressile vastab IP 193.40.254.185
2. TCP ühendused 2.1. Defineerige TCP pakettide leidmiseks display filter. Kitsendage filtrit nii, et näidataks ainult neid TCP pakette, mis on seotud teie valitud webilehekülje avamisega (nimekirjast peavad välja jääma muude rakenduste/klientide TCP paketid). Kitsendage filtrit veelgi nii, et näidataks ainult neid TCP pakette, millega luuakse uus TCP ühendus (nimekirjast peavad välja jääma TCP ühenduse loomisele järgnevad TCP paketid).
Filter webilehe avamisega seotud pakettide jaoks (37 tcp paketti 44-st): tcp and ip.addr == 193.40.254.185 Uue TCP ühenduse loomisel saadetakse välja SYN (synchronisation) sõnum. Selliseid pakette leidub kokku 6. Nende leidmiseks filter: tcp and ip.addr == 193.40.254.185 and tcp.flags.syn == 1 Daniel Tuulik 111618 IASM12 2.2. Kasutades eelnevas punktis loodud filtrit, loetlege kõik TCP ühendused, mis loodi teie arvutist valitud webilehekülje täielikuks avamiseks. Näidake iga TCP ühenduse jaoks (soovi korral grupeerige ühendused, et vältida kordusi oma selgitustes):
8: Source port: 49386 Destination port: 80 Destination IP: 193.40.254.185
9: Source port: 80 Destination port: 49386 Destination IP: 192.168.1.64
20: Source port: 49387 Destination port: 80 Destination IP: 193.40.254.185
21: Source port: 80 Destination port: 49387 Destination IP: 192.168.1.64
37: Source port: 49388 Destination port: 80 Destination IP: 193.40.254.185
38: Source port: 80 Destination port: 49388 Destination IP: 192.168.1.64
2.3. Kasutades sama filtrit, näidake, milline on esimese loodud TCP ühenduse initial sequence number(ISN) 10nd numbrina. Wireshark näitab default seadistuse korral ISN relative sequence number = 0. Tegeliku seq nr leidmiseks vaadake tegelikke püütud andmeid (oktette).
e0 70 fc f3hex = 3765501171dec
2.4. Kasutades sama filtrit, näidake,
2.4.1. Väljasaadetavad paketid:
· millisele MAC aadressile kõik väljasaadetavad paketid saadetakse?
00:26:44:73:fd:3c
· miks paketid just sellele MAC aadressile saadetakse?
See on ruuteri MAC aadress. Kogu liiklus toimub läbi ruuteri, kuhu on ka ühendatud arvutist väljuv võrgukaabel. Ruuter suhtleb edasi serveriga.
· milline IP aadress vastab sellele MAC aadressile?
192.168.1.254 (sisevõrgu aadress).
2.4.2. Sissetulevad paketid: milliselt MAC aadressilt on pärit kõik sissetulevad paketid?
Kuna kogu liiklus käib läbi ruuteri, siis ka sissetulevad paketid tulevad samalt aadressilt 00:26:44:73:fd:3c Daniel Tuulik 111618 IASM12
3. HTTP sessioonid
3.1. Millist HTTP protokolli versiooni toetas/kasutas klient ? Millist HTTP protokolli versiooni toetas/kasutas server ?
Klient küsis, kas HTTP 1.1 on toetatav. Server vastas, et HTTP 1.1 is found. Seega kasutasid mõlemad verisooni 1.1.
3.2. Kas mõni HTTP sessioon oli püsiv ( persistent HTTP connection )? Põhjendage oma JAH/EI vastust. NB! " Keep - alive " olemasolu ei garanteeri, et sessioon oli püsiv.
Tundub, et viimane HTTP-sessioon oli püsiv. Kõikidele eelnevatele saadeti serveri poolt kohe ,, close " sõnum, viimane serveri vastus seda ei sisalda. Kuna kasutusel on HTTP 1.1, siis võib eeldada, et sessioon oli püsiv.
3.3. Defineerige filter, mis aitaks sellele küsimusele vastata: Kui mitu objekti(html/css/ jpeg jne) kokku HTTP abil alla laeti ? (ainult valitud leheküljega seotud objektid)
Filter: http.request. method =="GET" and http. host contains "ttu.ee"
Antud filtri alusel laeti alla kokku 3 objekti. Kui eemaldada filtrist http.host piirang, selgub, et laeti alla 4 objekti. Lisandunud objekt on laetud google-analytics.com ja ,,referer" on ttu.ee. Seega on siiski tegemist antud lehega seotud objektiga.
Kokkuvõte, järeldused Töö tegemine osutus harivaks ja põnevaks. Sain oluliselt targemaks, mis minu brausimise käigus tegelikult toimub. Oskasin küll arvata, aga nüüd olen kindel. Pakettide rohkus on siiski üllatav. Selle alusel sai ka leht ttu.ee valitud, kuna selle avamisel tuli vaid ~100 paketti. Delfi.ee või muu selline põhjustab mõnetuhandese pakettide tulva, kust oluliselt tülikam on vajalikku kaevata. Ka see kui kiiresti see kõik toimub, kuigi arvutitehnikas on see tavapärane.
Töö laiendamiseks võiks ka mõnd turvatud ühendust, ssh näiteks, proovida ja vaadata, mis paketid seal liiguvad.