Įvadas į tinklų stebėjimą ir perimtų paketų analizę

Įvadas į tinklų stebėjimą ir perimtų paketų analizę 4 laboratorinio darbo ataskaita Atliko: KT– 5/1 gr. st. Tikrino: doc. Julius Skardžius 1. Darbo tikslas: Susipažinti su programomis vietinių tinklų diagnostikai ir paketų srautų juose stebėjimui bei išmokti su jomis dirbti ir taikyti tinklo analizei. 2. Kompiuterio "tinklinių" parametrų nustatymas. Ipconfig programos aprašymas (su raktų sąrašu) ir gauti rezultatai. 1 pav. Kompiuterio tinkliniai parametrai Ipconfig programa pateikia informaciją apie interfeisus. 1 lentelė. Ipconfig programos raktai ir jų trumpas aprašymas Raktas Paaiškinimas /? Ekrane rodoma pagalbos žinutė /all Ekrane rodoma pilna informacija apie konfigūraciją. /release Paleisti IP adresą apibūdinto adabterio. /renew Atnaujinti IP adresa apibudinto adapterio. /flushdns Išvalyti DNS apsprendėjo talpyklą. /registerdns Atnaujinti visus DHCP ir perregistruoti DNS vardus. /displaydns Ekrane DNS apsprendejo (resolver) talpyklos turinys. /setclassid Keisti dhcp klases id /showclassid Ekrane visi dhcp klasės ID leidžiamos adapteriui. 3. Ryšio su kitais kompiuteriais tyrimas ping komanda. Gauti rezultatai ir ping aprašymas (nurodant raktus). Pagrindinė PING komandos funkcija - nustatyti ar nurodytas objektas yra pasiekiamas kompiuterių tinkle. Sintaksė: ping [-t] [-a] [-n count] [-l size] [-f] [-i TTL] [-v TOS] [-r count] [-s count] [[-j host-list] | [-k host-list]] [-w timeout] destination Raktai Pagrindinių raktų, reikalingų darbo metu, paaiškinimas: -t Ciklinis paketų siuntimas. Control-Break parodo statistiką ir tęsia siuntimą, Control-C nutraukia. -a Išrišamas įrenginio vardas. -n count Nustato kiek ECHO užklausos paketų išsiųsti. Pagal nutylėjimą– 4. -l size Nustato siunčiamų paketų dydį. -f Set don't Fragment flag in paket. -i TTL Gyvavimo trukme. -v TOS Serviso tipas. -r count Record route for count hops. -s count Timestamp for count hops. -j host-list Loose source route along host-list. -k host-list Strict source route along host-list. -w timeout Nustato kas kiek laiko siųsti paketus kai negaunamas atsakymas destination Nutolusio objekto IP adresas arba DNS vardas Programos veikimas: Kas sekundę vienas ICMP ECHO užklausos paketas siunčiamas nurodyto mazgo adresu. Kai ping programa iš nutolusio mazgo gauna atsakymą, ji išveda tokią informaciją: 1.IP adresas iš kurio atėjo ECHO užklausos atsakymas.Jei ping programoje nurodomas nutolusio mazgo DNS vardas, jis išrišamas į IP adresą. 2. Siųsto paketo dydis baitais. Pagal nutylėjimą– 32 baitai, maksimalus dydis– 8192. Didelių paketų siuntimas gali būti problemiškas– pamesti paketai, spartos sumažėjimas. Taip pat apskaičiuojant paketo ilgį, reikia turėti omenyje, kad prie čia nurodyto skaičiaus prisideda 8 ICMP antraštės baitai, bei 20 IP antraštės baitų. 3. Laikas nuo užklausos išsiuntimo iki atsakymo gavimo. Matuojamas milisekundėmis. Geras rezultatas - iki 200 milisekundžių. Didelės laiko variacijos vienos komandos ribose, indikuoja galimas tinklo problemas. 4. TTL (time to live) laukas.Kiekvienas siunčiamas paketas turi TTL lauką– skaitinę reikšmę, kuri sumažėja vienetu, kiekvieną kartą, kai paketas tinkle praeina pro mazgą, serverį ar maršrutizatorių. Kad “neužkimštų” tinklo, paketai, kurių TTL reikšmė susilygina su nuliu, toliau neperduodami. Skirtinga TTL reikšmė išvedamoje ping programos informacijoje, reiškia, kad atsakymai į užklausą grįžta skirtingais maršrutais. O tai gali būti rodiklis, jog tam tikruose tinklo maršrutuose yra problemų. 2 pav. Ping į gretimą kompiuterį, kurio IP 192.168.10.35, rezultatai 3 pav. Ping į gretimą kompiuterį, kurio IP 192.168.10.36, rezultatai 4 pav. Ping į gretimą kompiuterį, kurio IP 192.168.10.40, rezultatai 5 pav. Ping į gretimą kompiuterį, kurio IP 192.168.10.42, rezultatai 4. Ryšio su kitais kompiuteriais tyrimas tracert komanda. Gauti rezultatai ir tracert aprašymas (nurodant raktus). Tracert komanda skirta kelio, iki nurodyto įrenginio kompiuterių tinklo topologijoje, nustatymui. Sintaksė: tracert [-d] [-h maximum_hops] [-j host-list] [-w timeout] target_name Raktai Pagrindinių raktų, reikalingų darbo metu, paaiškinimas: -d Do not resolve addresses to hostnames. Neišrišinėti IP adresų į internetinius vardus. Paprastai šis raktas yra naudinga, nes tarpiniai taškai nevisada turi vardus, o ir pats išrišimas užima laiko. -h maximum_hops Maximum number of hops to search for target. Maksimalus maršrutizuojamų įrenginių skaičius. Pagal nutylėjimą imama kad šis parametras lygus 30, tačiau esant sudėtingai topologijai galimas toks variantas, kad bus daugiau nei 30 tarpinių mazgų iki bus pasiektas galutinis įrenginys. -j host-list Loose source route along host-list. Panaudoti nurodytą įrenginį kaip tarpinį mazgą. -w timeout Wait timeout milliseconds for each reply. Laikas, kurio reikia laukti iki atsakymo gavimo. Šiam laikui pasibaigus manoma, kad paketas yra pamestas. Programos veikimas Tracert siunčia po 3 paketus programoje nurodyto įrenginio neegzistuojančiam UDP portui. Naudojamas parametras TTL– “šuoliukų” arba nuoseklių mazgų pro kuriuos leidžiama praeiti paketui skaičius. Išsiunčiamų pirmų 3 paketų TTL reikšmė =1. Sekančių =2 ir t.t. Siunčiamų paketų TTL reikšmė didinama vienetu tol, kol jie nepasiekia nurodyto mazgo arba TTL nepasiekia maksimalios reikšmės, pagal nutylėjimą =30. Po kiekvieno “šuoliuko”, tarpinis mazgas sumažina gauto paketo TTL reikšmę 1.Kai pasiekiamas TTL =0, maršrutizatorius paketą sunaikina, ir išsiunčia atgal ICMP TTL_EXPIRED pranešimą, iš kurio tracert sužino koks tai mazgas ir kiek trunka jį pasiekti. Kai pasiekiamas nurodytas IP, atgal išsiunčiamas ICMP PORT_UNREACHABLE pranešimas ir programa baigia darbą. Saugumo sumetimais kai kurie mazgai blokuoja ICMP ECHO užklausą, todėl, nagrinėjamų komandų išvedamoje informacijoje aptinktos eilutės su žvaigždutėmis (*), arba pranešimais "Destination net unreachable" , "Destination host unreachable" ar "Request time out", dar nereiškia tinklo problemų. Tikėtini tinklo sutrikimai, jei vienos komandos darbo metu, nepraeina keli siųsti paketai arba ilgas atsakymo laikas, taip pat, jei stipriai skiriasi TTL reikšmės. 6 pav. Programos tracert rezultatai, nustatant tarpinių mazgų sakaičių iki gretimo kompiuterio. 7 pav. Programos tracert rezultatai, nustatant tarpinių mazgų sakaičių iki tinklo kelvedžio. 8 pav. Programos Ping, pagal IP adresą 192.168.0.61, rezultatai 9 pav. Programos tracert rezultatai, nustatant tarpinių mazgų sakaičių iki įrenginio, kuro IP adresas 192.168.0.61. 5. Paketų stebėjimas windump programa. Glaustas programos aprašymas ir gauti rezultatai (atlikus  ping  komandą  ir  užkrovus svetainę). Programos windump pagrindinė paskirtis srauto stebėjimas tinkle. Santrauka: windump [ -aBdDeflnNOpqRStvxX ] [ -c count ] [ -F file ]          [ -i interface ] [ -m module ] [ -r file ]          [ -s snaplen ] [ -T type ] [ -w file ]          [ -E algo:secret ] [ expression ] 2 lentelė. Programos windump pagrindiniai raktai ir trumpas aprašymas. Raktas Paaiškinimas -c count Exit after receiving count packets. Baigiamas sąsajos stebėjimas kai gaunamas nurodytas skaičius paketų. -F file Use file as input for the filter expression. An additional expression given on the command line is ignored. Naudoti nurodyta failą, kaip įėjimą filtrui. -i interface Listen on interface. Nurodoma kurią sąsaja stebėti. -m module Load SMI MIB module definitions from file module. This option can be used several times to load several MIB modules into tcpdump. Pakrauna SMI MIB moduli apibrėžtą faile module. Šis raktas galima naudoti keletą kartų pakrauti keletui MIB modulių į tcpdump. -r file Read packets from file (which was created with the -w option). Standard input is used if file is ``-''. Skaito packetus iš failo( kuris buvo sukurtas su -w raktu) -s snaplen Snarf snaplen bytes of data from each packet rather than the default of 68. Snarf snaplen baitai duomenų nuo kiekvieno paketo, pagal nutylėjimą 68. -T type Force packets selected by "expression" to be interpreted the specified type. Currently known types are cnfp (Cisco NetFlow protocol), rpc (Remote Procedure Call), rtp (Real-Time Applications protocol), rtcp (Real-Time Applications control protocol), snmp (Simple Network Management Protocol), vat (Visual Audio Tool), and wb (distributed White Board). Atrinkti paketai "posakio" interpretuojami apibrėžtu tipu. Šiuo metu žinomi tipai... -w file Write the raw packets to file rather than parsing and printing them out. They can later be printed with the -r option. Standard output is used if file is ``-''. Iš eilės neapdoroti paketai rašomi į failą file. Vėliau juos galima juos galima atspausdinti naudojant raktą -r.Standartė išvestis yra naudojamas jei file yra ``-''. -D Print the list of the interface cards available on the system. Parodomas sąrašas sąsajų prieinamų sistemos. -E algo:secret Use algo:secret for decrypting IPsec ESP packets. Algorithms may be des-cbc, 3des-cbc, blowfish-cbc, rc3-cbc, cast128-cbc, or none. The default is des-cbc. Naudojama algo:secret tam, kad iššifruotumėte IPsec YPAČ paketus. Algoritmai gali būti des-cbc, 3des-cbc, blowfish-cbc, rc3-cbc, cast128-cbc, arba jokio. Pagal nutylėjimą yra des-cbc. Rezultatai gauti atliekant ping iš gretimo kompiuterio: C:\WinDump>windump -i2 windump: listening on \Device\NPF_{91C0CFD0-62D1-472B-AC94-4A1B61B88682} 11:02:56.144836 IP L441-10 > l441-12: ICMP echo request, id 512, seq 18688, leng th 40 11:02:56.144878 IP l441-12 > L441-10: ICMP echo reply, id 512, seq 18688, length 40 11:02:56.407499 IP l441-12.137 > L441-10.137: UDP, length 50 11:02:56.407751 IP L441-10.137 > l441-12.137: UDP, length 193 11:02:57.139823 IP L441-10 > l441-12: ICMP echo request, id 512, seq 18944, leng th 40 11:02:57.139868 IP l441-12 > L441-10: ICMP echo reply, id 512, seq 18944, length 40 11:02:58.139818 IP L441-10 > l441-12: ICMP echo request, id 512, seq 19200, leng th 40 11:02:58.139862 IP l441-12 > L441-10: ICMP echo reply, id 512, seq 19200, length 40 11:02:59.139810 IP L441-10 > l441-12: ICMP echo request, id 512, seq 19456, leng th 40 11:02:59.139851 IP l441-12 > L441-10: ICMP echo reply, id 512, seq 19456, length 40 10 packets captured 10 packets received by filter 0 packets dropped by kernel Rezultatai gauti interneto naršyklėje atidarant www.google.lt C:\WinDump>windump -i2 windump: listening on \Device\NPF_{91C0CFD0-62D1-472B-AC94-4A1B61B88682} 11:10:22.613153 IP l441-12.1035 > alfa.vgtu.lt.53: 34485+ A? www.google.lt. (31 ) 11:10:22.617456 IP alfa.vgtu.lt.53 > l441-12.1035: 34485 5/7/7 CNAME[|domain] 11:10:22.618350 IP l441-12.1086 > nf-in-f147.google.com.80: S 1839737535:1839737 535(0) win 65535

Daugiau informacijos...

★ Klientai rekomenduoja

Šį rašto darbą rekomenduoja mūsų klientai. Ką tai reiškia?

Mūsų svetainėje pateikiama dešimtys tūkstančių skirtingų rašto darbų, kuriuos įkėlė daugybė moksleivių ir studentų su skirtingais gabumais. Būtent šis rašto darbas yra patikrintas specialistų ir rekomenduojamas kitų klientų, kurie po atsisiuntimo įvertino šį mokslo darbą teigiamai. Todėl galite būti tikri, kad šis pasirinkimas geriausias!