Федеральное агентство по образованию Государственное образовательное учреждение высшего профессионального образования «ТОМСКИЙ ПОЛИТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ» Факультет – Институт кибернетики Направление – Информатика и вычислительная техника Кафедра - Информатики и проектирования систем АНАЛИЗ ПАКЕТОВ ЛОКАЛЬНОЙ СЕТИ Лабораторная работа №5 по курсу «Сети ЭВМ и ТК» Выполнил: Студент гр. 8В72 Толстопятов А.Е Проверил: Преподаватель Дорофеев В.А. Томск 2010 Тема работы: Анализ пакетов локальной сети. Цель работы: Провести анализ пакетов локальной сети при помощи программы-сниффера wireshark. Задание: Выполнить захват трафика, произвести его анализ. Ход работы: Анализатор трафика (сниффер) – это программа, предназначенная для перехвата и анализа сетевого трафика. Анализатор трафика использует так называемый неразборчивый режим работы сетевой карты (Promiscuous mode), при котором устройство не отбрасывает пакеты, предназначенные другим устройствам, а передаёт их операционной системе. В большинстве операционных систем перевод сетевой карты в этот режим требует привилегий администратора, поэтому данная лабораторная работа проводится в виртуальной машине. Для получения данных был запущен wireshark, затем в браузере Opera было произведено подключение к сайту debian.org, далее это подключение было разорвано. Проанализируем пакеты. Установка соединения: Сначала браузер отправляет запрос на синхронизацию номеров последовательности. Сервер в случае успешного создания сокета отправляет номер последовательности. Затем браузер запоминает номер последовательности и посылает сегмент с флагом ASC. No. Time 20 4.019797 Source 192.168.3.214 Destination Protocol Info 91.203.99.45 TCP 54440 > http [SYN] Seq=0 TCP 37015 > http [SYN] Seq=0 Win=5840 Len=0 MSS=1460 TSV=761044 TSER=0 WS=6 21 4.019896 192.168.3.214 128.31.0.51 Win=5840 Len=0 MSS=1460 TSV=761044 TSER=0 WS=6 22 4.206982 91.203.99.45 192.168.3.214 TCP http > 54440 [SYN, ACK] Seq=0 Ack=1 Win=4380 Len=0 MSS=1460 WS=0 TSV=4230659563 TSER=761044 23 4.207025 192.168.3.214 91.203.99.45 Ack=1 Win=5888 Len=0 TSV=761091 TSER=4230659563 TCP 54440 > http [ACK] Seq=1 24 4.223293 128.31.0.51 192.168.3.214 TCP http > 37015 [SYN, ACK] Seq=0 Ack=1 Win=5792 Len=0 MSS=1460 TSV=307816972 TSER=761044 WS=6 25 4.223310 192.168.3.214 128.31.0.51 TCP 37015 > http [ACK] Seq=1 Ack=1 Win=5888 Len=0 TSV=761095 TSER=307816972 Передача данных: Сначала клиент отправляет серверу последний запомненный номер последовательности, а затем начинается передача данных. 26 4.270888 192.168.3.214 91.203.99.45 HTTP GET /?host=debian.org&hdn=bm5Pml8s66937NZWX7B5%2Bg== HTTP/1.1 27 4.271001 192.168.3.214 128.31.0.51 HTTP GET / HTTP/1.1 28 4.468607 91.203.99.45 192.168.3.214 HTTP HTTP/1.1 200 OK 29 4.468645 192.168.3.214 91.203.99.45 TCP 54440 > http [ACK] Seq=806 Ack=649 Win=7168 Len=0 TSV=761156 TSER=4230659820 30 4.476794 128.31.0.51 192.168.3.214 TCP http > 37015 [ACK] Seq=1 Ack=418 Win=6912 Len=0 TSV=307817035 TSER=761107 31 4.479304 128.31.0.51 192.168.3.214 HTTP HTTP/1.1 301 Moved Permanently (text/html) 32 4.479314 192.168.3.214 128.31.0.51 TCP 37015 > http [ACK] Seq=418 Ack=522 Win=6912 Len=0 TSV=761159 TSER=307817035 37 4.481163 192.168.3.214 91.203.99.45 HTTP GET /?host=www.debian.org&hdn=UTa7Kp3EnnY1tzyZ4o%2BF6A== HTTP/1.1 38 4.482119 192.168.3.214 141.76.2.5 TCP 50996 > http [SYN] Seq=0 Win=5840 Len=0 MSS=1460 TSV=761160 TSER=0 WS=6 39 4.623982 141.76.2.5 192.168.3.214 TCP http > 50996 [SYN, ACK] Seq=0 Ack=1 Win=5792 Len=0 MSS=1460 TSV=1513891372 TSER=761160 WS=4 40 4.624009 192.168.3.214 141.76.2.5 TCP 50996 > http [ACK] Seq=1 Ack=1 Win=5888 Len=0 TSV=761195 TSER=1513891372 41 4.662847 192.168.3.214 141.76.2.5 42 4.684356 91.203.99.45 192.168.3.214 43 4.722746 192.168.3.214 91.203.99.45 HTTP HTTP GET / HTTP/1.1 HTTP/1.1 200 OK TCP 54440 > http [ACK] Seq=1667 Ack=1299 Win=8448 Len=0 TSV=761220 TSER=4230660032 44 4.813779 141.76.2.5 192.168.3.214 TCP http > 50996 [ACK] Seq=1 Ack=422 Win=6864 Len=0 TSV=1513891390 TSER=761205 45 4.824591 141.76.2.5 192.168.3.214 TCP [TCP segment of a reassembled PDU] 46 4.824602 192.168.3.214 141.76.2.5 TCP 50996 > http [ACK] Seq=422 Ack=1449 Win=8768 Len=0 TSV=761245 TSER=1513891391 47 4.826356 192.168.3.214 141.76.2.5 TCP 50997 > http [SYN] Seq=0 Win=5840 Len=0 MSS=1460 TSV=761245 TSER=0 WS=6 48 4.831769 141.76.2.5 192.168.3.214 TCP [TCP segment of a reassembled PDU] 49 4.831796 192.168.3.214 141.76.2.5 TCP 50996 > http [ACK] Seq=422 Ack=2897 Win=11648 Len=0 TSV=761247 TSER=1513891391 50 4.850365 192.168.3.214 141.76.2.5 TCP 50998 > http [SYN] Seq=0 Win=5840 Len=0 MSS=1460 TSV=761252 TSER=0 WS=6 51 4.969194 141.76.2.5 192.168.3.214 TCP [TCP Previous segment lost] [TCP segment of a reassembled PDU] 52 4.969217 192.168.3.214 141.76.2.5 TCP [TCP Dup ACK 49#1] 50996 > http [ACK] Seq=422 Ack=2897 Win=11648 Len=0 TSV=761281 TSER=1513891391 SLE=4345 SRE=5793 53 4.976044 141.76.2.5 192.168.3.214 TCP http > 50997 [SYN, ACK] Seq=0 Ack=1 Win=5792 Len=0 MSS=1460 TSV=1513891406 TSER=761245 WS=4 54 4.976082 192.168.3.214 141.76.2.5 TCP 50997 > http [ACK] Seq=1 Ack=1 Win=5888 Len=0 TSV=761283 TSER=1513891406 55 4.977498 141.76.2.5 192.168.3.214 192.168.3.214 141.76.2.5 TCP [TCP segment of a reassembled PDU] 56 4.977520 TCP [TCP Dup ACK 49#2] 50996 > http [ACK] Seq=422 Ack=2897 Win=11648 Len=0 TSV=761283 TSER=1513891391 SLE=4345 SRE=7241 57 4.983094 141.76.2.5 192.168.3.214 192.168.3.214 141.76.2.5 TCP [TCP segment of a reassembled PDU] 58 4.983119 TCP [TCP Dup ACK 49#3] 50996 > http [ACK] Seq=422 Ack=2897 Win=11648 Len=0 TSV=761285 TSER=1513891391 SLE=4345 SRE=8689 59 4.988962 192.168.3.214 60 4.993917 141.76.2.5 141.76.2.5 192.168.3.214 HTTP TCP GET /favicon.ico HTTP/1.1 http > 50998 [SYN, ACK] Seq=0 Ack=1 Win=5792 Len=0 MSS=1460 TSV=1513891409 TSER=761252 WS=4 61 4.993940 192.168.3.214 141.76.2.5 Win=5888 Len=0 TSV=761287 TSER=1513891409 TCP 50998 > http [ACK] Seq=1 Ack=1 62 5.011203 192.168.3.214 141.76.2.5 63 5.129180 141.76.2.5 192.168.3.214 192.168.3.214 141.76.2.5 HTTP GET /debian.css HTTP/1.1 TCP [TCP segment of a reassembled PDU] 64 5.129210 TCP [TCP Dup ACK 49#4] 50996 > http [ACK] Seq=422 Ack=2897 Win=11648 Len=0 TSV=761321 TSER=1513891391 SLE=4345 SRE=10137 65 5.139054 141.76.2.5 192.168.3.214 192.168.3.214 141.76.2.5 TCP [TCP segment of a reassembled PDU] 66 5.139064 TCP [TCP Dup ACK 49#5] 50996 > http [ACK] Seq=422 Ack=2897 Win=11648 Len=0 TSV=761324 TSER=1513891391 SLE=4345 SRE=11585 67 5.150642 141.76.2.5 192.168.3.214 TCP [TCP Fast Retransmission] [TCP segment of a reassembled PDU] 68 5.150655 192.168.3.214 141.76.2.5 TCP 50996 > http [ACK] Seq=422 Ack=11585 Win=14528 Len=0 TSV=761327 TSER=1513891422 69 5.150661 141.76.2.5 192.168.3.214 TCP http > 50997 [ACK] Seq=1 Ack=518 Win=6864 Len=0 TSV=1513891422 TSER=761286 70 5.167239 141.76.2.5 192.168.3.214 TCP http > 50998 [ACK] Seq=1 Ack=517 Win=6864 Len=0 TSV=1513891425 TSER=761292 71 5.286668 141.76.2.5 192.168.3.214 TCP [TCP segment of a reassembled PDU] 72 5.286693 192.168.3.214 141.76.2.5 TCP 50996 > http [ACK] Seq=422 Ack=13033 Win=17472 Len=0 TSV=761360 TSER=1513891437 73 5.301524 141.76.2.5 192.168.3.214 TCP [TCP segment of a reassembled PDU] 74 5.301534 192.168.3.214 141.76.2.5 TCP 50996 > http [ACK] Seq=422 Ack=14481 Win=20352 Len=0 TSV=761364 TSER=1513891438 75 5.445025 76 5.445053 141.76.2.5 192.168.3.214 192.168.3.214 141.76.2.5 HTTP HTTP/1.1 200 OK (text/html) TCP 50996 > http [ACK] Seq=422 Ack=15130 Win=23232 Len=0 TSV=761400 TSER=1513891452 77 5.624936 141.76.2.5 192.168.3.214 TCP [TCP segment of a reassembled PDU] 78 5.624970 192.168.3.214 141.76.2.5 TCP 50997 > http [ACK] Seq=518 Ack=1449 Win=8768 Len=0 TSV=761445 TSER=1513891472 79 5.657286 141.76.2.5 192.168.3.214 TCP [TCP segment of a reassembled PDU] 80 5.657313 192.168.3.214 141.76.2.5 TCP 50998 > http [ACK] Seq=517 Ack=1449 Win=8768 Len=0 TSV=761453 TSER=1513891474 81 5.770034 141.76.2.5 192.168.3.214 TCP [TCP Previous segment lost] [TCP segment of a reassembled PDU] 82 5.770045 192.168.3.214 141.76.2.5 TCP [TCP Dup ACK 78#1] 50997 > http [ACK] Seq=518 Ack=1449 Win=8768 Len=0 TSV=761481 TSER=1513891472 SLE=2897 SRE=4345 83 5.776344 141.76.2.5 192.168.3.214 192.168.3.214 141.76.2.5 TCP [TCP segment of a reassembled PDU] 84 5.776353 TCP [TCP Dup ACK 78#2] 50997 > http [ACK] Seq=518 Ack=1449 Win=8768 Len=0 TSV=761483 TSER=1513891472 SLE=2897 SRE=5015 85 5.804917 141.76.2.5 192.168.3.214 TCP [TCP Previous segment lost] [TCP segment of a reassembled PDU] 86 5.804928 192.168.3.214 141.76.2.5 TCP [TCP Dup ACK 80#1] 50998 > http [ACK] Seq=517 Ack=1449 Win=8768 Len=0 TSV=761490 TSER=1513891474 SLE=2897 SRE=4345 87 5.812043 141.76.2.5 192.168.3.214 192.168.3.214 141.76.2.5 TCP [TCP segment of a reassembled PDU] 88 5.812053 TCP [TCP Dup ACK 80#2] 50998 > http [ACK] Seq=517 Ack=1449 Win=8768 Len=0 TSV=761492 TSER=1513891474 SLE=2897 SRE=5793 89 5.913647 141.76.2.5 192.168.3.214 HTTP [TCP Retransmission] HTTP/1.1 200 OK (image/x-icon) 90 5.913678 192.168.3.214 141.76.2.5 TCP 50997 > http [ACK] Seq=518 Ack=5015 Win=11648 Len=0 TSV=761517 TSER=1513891500 91 5.914353 141.76.2.5 192.168.3.214 TCP [TCP Retransmission] [TCP segment of a reassembled PDU] 92 5.914366 192.168.3.214 141.76.2.5 TCP [TCP Dup ACK 90#1] 50997 > http [ACK] Seq=518 Ack=5015 Win=11648 Len=0 TSV=761517 TSER=1513891500 SLE=4345 SRE=5015 93 5.949039 141.76.2.5 192.168.3.214 TCP [TCP Retransmission] [TCP segment of a reassembled PDU] 94 5.949082 192.168.3.214 141.76.2.5 TCP 50998 > http [ACK] Seq=517 Ack=5793 Win=11648 Len=0 TSV=761526 TSER=1513891504 95 5.954004 141.76.2.5 192.168.3.214 TCP [TCP Retransmission] [TCP segment of a reassembled PDU] 96 5.954034 192.168.3.214 141.76.2.5 TCP [TCP Dup ACK 94#1] 50998 > http [ACK] Seq=517 Ack=5793 Win=11648 Len=0 TSV=761527 TSER=1513891504 SLE=4345 SRE=5793 97 5.955858 141.76.2.5 192.168.3.214 TCP [TCP segment of a reassembled PDU] 98 5.955873 192.168.3.214 141.76.2.5 TCP 50998 > http [ACK] Seq=517 Ack=7241 Win=14528 Len=0 TSV=761528 TSER=1513891504 99 5.972094 141.76.2.5 192.168.3.214 TCP [TCP segment of a reassembled PDU] 100 5.972129 192.168.3.214 141.76.2.5 TCP 50998 > http [ACK] Seq=517 Ack=8689 Win=17472 Len=0 TSV=761532 TSER=1513891505 101 6.090371 141.76.2.5 192.168.3.214 TCP [TCP segment of a reassembled PDU] 102 6.090388 192.168.3.214 141.76.2.5 TCP 50998 > http [ACK] Seq=517 Ack=10137 Win=20352 Len=0 TSV=761561 TSER=1513891518 103 6.101084 141.76.2.5 192.168.3.214 TCP [TCP segment of a reassembled PDU] 104 6.101093 192.168.3.214 141.76.2.5 TCP 50998 > http [ACK] Seq=517 Ack=11585 Win=23232 Len=0 TSV=761564 TSER=1513891519 105 6.110275 141.76.2.5 106 6.110285 192.168.3.214 192.168.3.214 141.76.2.5 HTTP HTTP/1.1 200 OK (text/css) TCP 50998 > http [ACK] Seq=517 Ack=12151 Win=26112 Len=0 TSV=761567 TSER=1513891521 Завершение соединения: Сначала осуществляется посылка серверу от клиента флагов FIN и ACK на завершения соединения. Затем сервер посылает клиенту флаги ответа ACK , FIN, что соединение закрыто. После получения этих флагов клиент закрывает соединение и в подтверждение отправляет серверу ACK , что соединение закрыто. 110 9.817552 192.168.3.214 91.203.99.45 TCP 54440 > http [FIN, ACK] Seq=1667 Ack=1299 Win=8448 Len=0 TSV=762493 TSER=4230660032 111 9.817652 192.168.3.214 128.31.0.51 TCP 37015 > http [FIN, ACK] Seq=418 Ack=522 Win=6912 Len=0 TSV=762493 TSER=307817035 112 9.817710 192.168.3.214 141.76.2.5 TCP 50996 > http [FIN, ACK] Seq=422 Ack=15130 Win=23232 Len=0 TSV=762493 TSER=1513891452 113 9.817760 192.168.3.214 141.76.2.5 TCP 50997 > http [FIN, ACK] Seq=518 Ack=5015 Win=11648 Len=0 TSV=762494 TSER=1513891500 114 9.817804 192.168.3.214 141.76.2.5 TCP 50998 > http [FIN, ACK] Seq=517 Ack=12151 Win=26112 Len=0 TSV=762494 TSER=1513891521 115 9.968394 141.76.2.5 192.168.3.214 TCP http > 50998 [FIN, ACK] Seq=12151 Ack=518 Win=6864 Len=0 TSV=1513891905 TSER=762494 116 9.968434 192.168.3.214 141.76.2.5 TCP 50998 > http [ACK] Seq=518 Ack=12152 Win=26112 Len=0 TSV=762531 TSER=1513891905 117 9.968452 141.76.2.5 192.168.3.214 TCP http > 50997 [FIN, ACK] Seq=5015 Ack=519 Win=6864 Len=0 TSV=1513891905 TSER=762494 118 9.968461 192.168.3.214 141.76.2.5 TCP 50997 > http [ACK] Seq=519 Ack=5016 Win=11648 Len=0 TSV=762531 TSER=1513891905 119 9.968468 141.76.2.5 192.168.3.214 TCP http > 50996 [FIN, ACK] Seq=15130 Ack=423 Win=6864 Len=0 TSV=1513891905 TSER=762493 120 9.968477 192.168.3.214 141.76.2.5 TCP 50996 > http [ACK] Seq=423 Ack=15131 Win=23232 Len=0 TSV=762531 TSER=1513891905 121 10.007803 91.203.99.45 192.168.3.214 TCP http > 54440 [ACK] Seq=1299 Ack=1668 Win=6046 Len=0 TSV=4230665361 TSER=762493 122 10.007853 91.203.99.45 192.168.3.214 TCP http > 54440 [FIN, ACK] Seq=1299 Ack=1668 Win=6046 Len=0 TSV=4230665361 TSER=762493 123 10.007870 192.168.3.214 91.203.99.45 TCP 54440 > http [ACK] Seq=1668 Ack=1300 Win=8448 Len=0 TSV=762541 TSER=4230665361 124 10.032465 128.31.0.51 192.168.3.214 TCP http > 37015 [FIN, ACK] Seq=522 Ack=419 Win=6912 Len=0 TSV=307818421 TSER=762493 125 10.032484 192.168.3.214 128.31.0.51 TCP 37015 > http [ACK] Seq=419 Ack=523 Win=6912 Len=0 TSV=762547 TSER=307818421 Вывод: В ходе выполнения работы были проанализированы пакеты локальной сети, а также изучена структура этих пакетов.