Тема: Аналіз пакетів даних протоколів Ethernet та ARP.
(4 години)
Мета: Навчитися аналізувати пакети даних протоколів Ethernet та ARP (за допомогою програмних засобів аналізу пакетів даних – програми-сніфера Wireshark).
Питання до вивчення
1. Аналіз пакетів протоколу Ethernet.
2. Аналіз пакетів протоколу ARP.
Короткі теоретичні відомості
Для ознайомлення з інтерфейсом програми Wireshark скористайтесь документом «Аналізатор пакетів Wireshark» або документацією користувача «Wireshark User’s Guide».
Завдання до виконання
1. Запустіть програму Wireshark.
2. Відкрийте файл із записом пакетів протоколів «ethernet-ethereal-trace-1». Це запис сеансу одержання Інтернет-сторінки http://gaia.cs.umass.edu/wireshark-labs/HTTP-ethereal-lab-file3.html.
3. Оскільки нас цікавлять протоколи Ethernet і ARP, можна змінити список перехоплених протоколів так, щоб він містив лише протоколи рівнів нижче IP. Для цього вибирають пункт меню Analyze Enabled Protocols (Аналіз Дозволені протоколи) і знімають прапорець протоколу IP.
4. Виберіть Ethernet фрейм, що містить повідомлення HTTP GET. Розгорніть інформацію Ethernet II у вікні подробиць пакету. Зверніть увагу, що вміст кадру Ethernet (заголовок та дані) відображаються у вікні вмісту пакету. Дослідіть вікна подробиць заголовку пакета та вмісту пакетів (середнє і нижнє вікна Wireshark).
5. Дайте відповіді на наступні питання, виходячи зі змісту Ethernet-кадру, що містить повідомлення HTTP GET. a) Яка 48-бітна Ethernet-адреса відправника (вашого комп’ютера)? b) Яка 48-бітна адреса призначення в Ethernet кадрі? Це Ethernet-адреса сервера gaia.cs.umass.edu? Що за пристрій має цю Ethernet-адресу? c) Визначте шістнадцяткове значення двобайтового поля типу кадру. d) Скільки байт від самого початку кадру Ethernet до літери “G” у слові “GET”? Чому так багато?
6. Дослідіть кадр Ethernet який надійшов у відповідь. Дайте відповіді на наступні питання. e) Яке значення Ethernet-адреси відправника? Це адреса вашого комп’ютера, чи сервера gaia.cs.umass.edu?. Відповідь аргументуйте. Що за пристрій має цю Ethernet-адресу? f) Яка адреса призначення в Ethernet кадрі? Це Ethernet-адреса Вашого комп’ютера? g) Визначте шістнадцяткове значення двобайтового поля типу кадру. h) Скільки байт від самого початку кадру Ethernet до літери “O” в слові “OK”?
7. Дослідіть перших два кадри даних, що містять повідомлення протоколу ARP. Дайте відповіді на наступні питання: i) Які шістнадцяткові значення адрес відправника і одержувача в Ethernet-фреймі, що містить запит протоколу ARP? j) Визначте шістнадцяткове значення двобайтового поля типу Ethernet-кадру. k) Скільки байт від самого початку кадру Ethernet до поля коду операції ARP? l) Яке значення поля коду операції кадру Ethernet із ARP-запитом? m) Чи повідомлення ARP містить адресу IP відправника? n) Де у запиті ARP міститься “питання” про Ethernet адресу вузла, яка відповідає заданій IP адресі?
8. Знайти ARP-відповідь, яку було надіслано на запит ARP. Дайте відповіді на питання? o) Скільки байт від початку кадру Ethernet до поля коду операції ARP? p) Яке значення поля коду операції в Ethernet кадрі, що містить відповідь на запит ARP? q) Де в повідомленні ARP міститься “відповідь” із MAC-адресою, що відповідає запиту із IP-адресою? r) Які шістнадцяткові значення адрес відправника і одержувача в Ethernet-фреймі, що містить відповідь на ARP-запит?