Лабораторный эксперимент для случая расположения хоста-отправителя и хоста-получателя в одной сети Схема эксперимента подобна показанной на рис. 3. Используйте два компьютера локальной сети, один из которых будет хостом A (отправителем) – физическая машина с Windows XP, а другой – хостом B (получателем) – виртуальная машина с Windows Server 2003. В эксперименте нужно будет очистить таблицу ARP хоста A, послать эхо-запрос (используя команду ping) на хост B и с помощью демонстрационной версии анализатора протоколов EtherPeek захватить и проанализировать кадры, переданные между хостами A и B. Ниже приведен порядок действий.
1. Определите MAC-адреса и IP-адреса хостов A и B. Для этого на узле A введите в командной строке команду ipconfig/all. Сделайте скриншот и запишите MAC и IP адреса. Для узла B можно сделать то же самое. Однако в эксперименте необходимо сделать иначе (например, прямого доступа к узлу нет). По известному IP адресу выясните его MAC адрес, «пропинговав» его, а затем просмотрев ARP – кеш узла A с помощью команды arp–a. Сделайте скриншот и проанализируйте результат.
Все перечисленные ниже действия выполняйте на хосте A.
2. Удалите записи таблицы ARP, введя команду arp–d, после чего снова введите arp–a, чтобы убедиться, что таблица пуста. Введите в командной строке команду pingIP-адрес_хоста_B. После получения ответа от хоста B снова введите в командной строке команду arp–a, чтобы убедиться в появлении в таблице ARP динамической записи, устанавливающей соответствие между IP-адресом и MAC-адресом хоста B.
3. Запустите демонстрационную версию программы анализатора протоколов EtherPeek. В появившемся диалоговом окне перечисляются отличия демонстрационной версии программы EtherPeek от полной версии. Для выполнения данной лабораторной работы следует учесть два основных отличия – время захвата пакетов ограничено тридцатью секундами и после запуска программы можно открыть не более пяти окон захвата. Для полной версии таких ограничений нет. Нажмите OK.
Если открылось окно Monitor Options (необязательно), в нем будет выделен адаптер Ethernet, обнаруженный программой в используемом вами компьютере. Анализатор будет захватывать пакеты, поступающие на этот адаптер и передаваемые им. Нажмите OK. Окно Monitor Options закроется. Если окно Monitor Options автоматически не открылось, то адаптер, пакеты которого будет захватывать анализатор, можно определить из строки состояния в низу экрана или выбрав в меню Monitor строки главного меню опцию Select Monitor Adapter…, чтобы открыть окно Monitor Options.
4. Выберите в меню View строки главного меню опцию Filters. Появится список фильтров, которые могут использоваться при захвате пакетов анализатором EtherPeek. Без дополнительной настройки эти “встроенные” фильтры позволяют фильтровать пакеты только по протоколам. Однако, как указывалось ранее, в лабораторной работе понадобятся фильтры, фильтрующие пакеты не только по протоколам, но и по адресам (MAC и IP).
В частности, в соответствии с приведенным выше планом эксперимента нужно создать четыре фильтра: первый – для захвата ARP-запросов от хоста A, второй – для захвата ARP-ответов хоста B хосту A, третий – для захвата эхо-запросов от хоста A к хосту B и четвертый – для захвата эхо-ответов хоста B хосту A (чтобы обеспечить возможность использования созданных в данном пункте фильтров и для следующего эксперимента, рекомендуется третий фильтр создать для захвата эхо-запросов от хоста A не к хосту B, а к любому хосту, а четвертый – для захвата эхо-ответов не от хоста B, а от любого хоста к хосту A).
Чтобы создать фильтр для ARP-запросов от хоста A, сделайте следующее.
– Расположив указатель мыши в области списка фильтров, нажмите правую кнопку мыши и щелкните на Insert. Появится окно Edit Filter.
– В поле Filter введите имя фильтра для ARP-запросов от хоста A (например, ARP Requests).
– В поле Comment введите комментарий, описывающий назначение фильтра.
– Отметьте рамку Address filter.
– В ниспадающем списке поля Type выберите Physical.
– В поле Address 1 введите MAC-адрес хоста A.
– Отметьте верхнюю кнопку-флажок рядом с полем Address 2.
– Нажмите на направленной вправо стрелке рядом с полем Address 2 и в появившемся меню щелкните на Name Table. В таблице открывшегося окна Select Name выделите строку Ethernet Broadcast и нажмите кнопку Select. В поле Address 2 появится Ethernet Broadcast, что означает широковещательный адрес Ethernet.
– Нажмите кнопку Both directions и в появившемся меню щелкните на Address 1 to 2.
– Отметьте рамку Protocol Filter и нажмите кнопку Protocol… В появившемся окне Protocol Filter нажмите на знаке “+” рядом с опцией Ethernet Type 2 (идентифицирующей кадр формата Ethernet II, используемый в операционных системах Windows по умолчанию), затем на знаке “+” рядом с элементом ARP, выделите элемент Request и нажмите OK. Рядом с кнопкой Protocol… появится ARP Request. Результат будет примерно таким, как показано на рис. 10.
– Нажмите кнопку OK в окне Edit Filter. В списке фильтров EtherPeek появится фильтр с именем, введенным в поле Filter окна Edit Filter.
Создайте аналогичным образом три других фильтра (на рис. 11, 12 и 13 приведены соответствующие примеры окон Edit Filter). При создании фильтров для эхо-запросов и эхо-ответов, для передачи которых используется протокол ICMP, после нажатия в окне Edit Filter кнопки Protocol и разворачивания дерева Ethernet Type 2 следует нажать на знаке “+” рядом с элементом IP, затем на знаке “+” рядом с элементом ICMP, после чего выделить элемент Echo Req или Echo Reply и нажать OK.
5. После создания фильтров выберите в меню Capture строки главного меню опцию Start Capture. Появится окно Capture Options. Перейдите в нем на закладку Filters. По умолчанию никакие фильтры не используются, что подтверждается сообщением Accept all packets (Принимаются все пакеты) в верхней части окна. В списке фильтров должны присутствовать четыре созданных вами фильтра. Отметьте их. Сообщение в верхней части окна должно измениться на Accept only packets matching at least one of 4 filters (Принимаются только пакеты, соответствующие хотя бы одному из четырех фильтров). Нажмите OK. Откроется окно захвата Capture 1.
6. Нажмите в окне захвата Capture 1 анализатора кнопку Start Capture и, не теряя времени (захват в EtherPeek Demo продолжается только 30 секунд!), введите в командной строке команду arp–d, чтобы очистить таблицу ARP, и затем сразу команду ping–n1IP-адрес_хоста_B.
7. Проанализируйте содержимое окна захвата анализатора, где должно быть захвачено четыре пакета (если щелкнуть мышью в строке заголовка таблицы полученных данных анализатора, появится окно Packets List Options, в списке закладки Columns которого можно отметить различные опции и нажать OK, в результате чего в таблице появятся другие столбцы с информацией о захваченных пакетах). Зачем хост A посылает ARP-запрос перед передачей эхо-запроса? Что сообщает хост B в своем ARP-ответе?
Примечание. Если вы не успели в течение 30 секунд после нажатия кнопки Start Capture в окне Capture 1 анализатора выполнить действия, указанные на шаге 6, то на фоне пустого окна захвата анализатора появится диалоговое окно с сообщением об останове захвата. Нажмите в этом окне кнопку OK и выберите в меню File строки главного меню анализатора опцию New. Появится окно Capture Options с открытой закладкой Filters. Отметьте в этом окне созданные вами фильтры и нажмите OK. Откроется окно захвата Capture 2 и можно будет повторить действия, начиная с шага 5, для окна Capture 2.
8. Отобразите содержимое захваченного кадра ARP-запроса, дважды щелкнув в первой строке таблицы данных окна захвата, и проанализируйте выведенную на экран информацию. Почему поле Target Hardware Addr (Аппаратный адрес получателя) ARP-пакета содержит одни нули? Для чего нужны дополнительные байты (секция Extra bytes), состоящие из одних нулей, и почему их 18?
9. Закройте окно содержимого захваченного кадра ARP-запроса и дважды щелкните мышью во второй строке таблицы данных окна захвата. Появится содержимое кадра ARP-ответа. Проанализируйте выведенную на экран информацию. В каком поле ARP-пакета хосту A сообщается MAC-адрес хоста B?
Задание на лабораторную работу
Выполнить эксперименты с целью изучения работы протокола ARP в сети Ethernet, используя для захвата пакетов демонстрационную версию анализатора EtherPeek.
1. Расположение хоста-отправителя и хоста-получателя в одной сети
Содержание отчета
Отчет должен содержать по пунктам схемы экспериментов, таблицы окон захвата анализатора, а также содержимое захваченных кадров ARP-запросов и ARP-ответов в виде, показанном на рис. 5 и 6. Кроме того, в Указаниях к выполнению в некоторых пунктах содержатся вопросы по ходу экспериментов. Ответы на эти вопросы также должны содержаться в отчете.
Контрольные вопросы
1. В чем заключается суть метода доступа CSMA/CD к физической среде передачи данных?
2. Что такое коллизия?
3. Каков формат кадра Ethernet II?
4. Каков формат и структура MAC-адреса?
5. Какова длина Поля данных кадра Ethernet II?
6. Какова минимальная длина Поля данных кадра Ethernet II?
7. Каков механизм определения MAC-адреса по IP-адресу?
8. Что содержит таблица ARP-кэша?
9. Как просмотреть таблицу ARP-кэша? Как ее очистить?
10. Как занести запись в таблицу ARP-кэша?
11. Для чего предназначены фильтры, используемые в анализаторе протоколов?
12. Какие протоколы использует команда Ping, если в ARP-кэше не содержится адрес назначения?
13. Какие протоколы использует команда Ping, если в ARP-кэше содержится адрес назначения?
14. Почему не используются порты в фильтрах для протоколов ARP и ICMP?
|