FACULDADE LOURENO FILHOCURSO DE SISTEMAS DE INFORMAO(NOTURNO)

Carlos ChrystianJos Clenilton

Wireshark Lab(Ethernet and ARP)

FORTALEZA/2015

Carlos ChrystianJos Clenilton

Wireshark Lab(Ethernet and ARP)

Trabalho apresentado ao CursoDe Sistemas de Informao daFaculdade Loureno Filho,Como requisito parcial paraConcluso da disciplinaRedes2. sob orientao doProfessor Rafael Guimares

FORTALEZA - 2015Trabalho de Wireshark Lab

Utilizando o link para tal trabalho:

http://gaia.cs.umass.edu/wireshark-labs/HTTP-ethereal-lab-file3.html

1 - Capturando e analisando os quadros Ethernet.Vamos comear capturando quadros Ethernet para estudo. Faa o seguinte:

Primeiramente, tenha certeza que o cache de seu browser est vazio. Inicie o Wireshark. Entre na seguinte URL no seu browser (ou em qualquer outra que voc quiser, se entrar em outra URL, indique qual foi) http://gaia.cs.umass.edu/wireshark-labs/HTTP-ethereal-lab-file3.html Pare a captura de pacotes do Wireshark. Primeiro, ache os nmeros de pacote (a coluna mais a esquerda da tela de cima do Wireshark) da mensagem HTTP GET que foi enviada do seu computador para gaia.cs.umass.edu, bem como o comeo da resposta HTTP enviada pelo gaia.cs.umass.edu para seu computador. Voc deve ver uma tela parecida com esta (na qual o pacote 4 contm amensagem HTTP GET)

Para responder as questes seguintes, voc deve olhar nos detalhes dos pacotes e na janela de contedo do pacote (as janelas do meio e de baixo no Wireshark). Selecione o quadro Ethernet que contm a mensagem HTTP GET. (Lembre-se que a mensagem HTTP GET carregada dentro de um segmento TCP, o qual encapsulado dentro de um datagrama IP que, por sua vez, encapsulado em um quadro Ethernet). Expanda a informao Ethernet II na janela de detalhes do pacote. Perceba que o contedo do quadro Ethernet mostrado na janela de contedo de pacotes. Responda as seguintes questes, baseando-se no contedo do quadro Ethernet que contm a mensagem HTTP GET.

1 Qual o endereo Ethernet de 48 bits do seu computador?

Src: Asustekc_f2:88:bb (14:da:e9:f2:88:bb).

2 Qual o endereo Ethernet de 48 bits do destino? Este o endereo Ethernet degaia.cs.umass.edu? Por que ? A que dispositivo pertence este endereo Ethernet?

Dst: Dell_33:6c:3b (00:15:c5:33:6c:3b). Poderia ser, pois identificado no quadro abaixo, na coluna mais a direita, como ... .Host g aia.cs.umass.edu ... e ele o destino, porm NO o servidor gaia pois provavelmente deva ser de algum endereo Ethernet de algum roteador ou servidor proxy da rede da FLF no qual realizei os testes.

3 D o valor hexadecimal para o campo Tipo de Quadro de dois bytes.

Type: IP (0x0800).

4 A quantos bytes do incio do quadro Ethernet o valor ASCII de G em GET aparece no quadro Ethernet?

A 54 bytes at chegar na sequncia ...47 45 54... da GE T.

Agora, responda as prximas questes baseando-se no contedo do quadro Ethernet quecontm o primeiro byte da mensagem de resposta HTTP.

5 Qual o valor do endereo Ethernet de fonte? o endereo do seu computador ou degaia.cs.umass.edu ? A qual dispositivo pertence este endereo?

Source: Dell_33:6c:3b (00:15:c5:33:6c:3b). o endereo de gaia.cs.umass.edu pois como ele que mandou a resposta 200 OK ele a fonte. O dispositivo pode ser de endereo Ethernet de algum roteador ou servidor proxy.

6 Qual o destino do quadro Ethernet? o endereo Ethernet de seu computador?

Destination: Asustekc_f2:88:bb (14:da:e9:f2:88:bb). Sim, pois foi ele quem fez a solicitao e que agora recebe a resposta do 200 OK.

7 D o valor hexadecimal para o campo Tipo de Quadro de dois bytes.

Type: IP (0x0800)

2 - O Protocolo de Resoluo de Endereos (ARP)

Antes de prosseguir, recomenda-se a leitura da seo 5.4.2 do livro texto. ARP Caching Lembre que o protocolo ARP tipicamente mantm um cache da traduo dos pares de endereos IP-para-Ethernet no seu computador. O comando arp (tanto para MS-DOS como para Linux/Unix) usado para visualizar e manipular o contedo deste cache. Como o comando arp e o protocolo ARP possuem o mesmo nome, fcil de confundilos. O comando arp utilizado para visualizar e manipular o contedo do cache ARP, j o protocolo ARP define o formato e o significado das mensagens enviadas e recebidas, e define as aes tomadas na recepo e transmisso de mensagens.

Vamos observar agora o contedo do cache ARP no seu computador

MS-DOS. O comando arp est em c:\windows\system32, ento digite arp ouc:\windows\system32\arp na linha de comando do MS-DOS (sem aspas). Linux/Unix. O executvel para o comando arp pode estar em vrios locais. Aslocalizaes mais comuns so /sbin/arp (para linux) e /usr/etc/arp (para algumasvariantes do Unix). O comando arp sem argumentos mostrar o contedo do cache ARP no seu computador. Rode o comando arp

8 Escreva o contedo do cache do seu computador. Qual o significado do valor decada coluna?

O contedo do cache est na figura abaixo. A primeira coluna significa o valor do Endereo IP, como por exemplo, 192.168.14.54 da rede em questo. A segunda coluna o Endereo fsico, como por exemplo, 14-da-e9-f2-ce-b1 da mquina em questo. E a terceira coluna determina o tipo, se dinmico ou esttico.

Para observar o envio e recepo de mensagens ARP, precisamos limpar o cache, casocontrrio o seu computador encontrar o par IP-endereo Ethernet e no enviarnenhuma mensagem ARP.

MS-DOS. O comando arp d* do MS-DOS limpar o cache ARP do seucomputador. O flag d indica uma operao de remoo, e o * indica para quetodas as entradas da tabela sejam excludas.

Linux/Unix. O comando arp d* limpar seu cache se voc possuir privilgiosde administrador do sistema.

Observando o ARP em ao

Faa o seguinte:

Limpe seu cache ARP como descrito acima. Depois tenha certeza que o cache do seu browser est vazio Rode o sniffer de pacotes do Wireshark. Entre na seguinte URL http://gaia.cs.umass.edu/wireshark-labs/HTTPwireshark-lab-file3.html. Seu browser deve mostrar a Bill of Rights dos Estados Unidos. Pare a captura de pacotes do Wireshark. Mais uma vez no estamos interessadosno IP ou protocolos de altas camadas, ento mude a lista de pacotes capturados do Wireshark para mostrar apenas protocolos abaixo do IP. Para queo Wireshark faa isso, selecione Analyze->Enabled Protocols.Ento desmarquea box IP e selecione OK.

Responda aos seguintes questionamentos:

9 Quais os valores em hexadecimal do endereo de fonte e destino do quadro Ethernetque contem uma mensagem de ARP request?

Source: Dell_33:6c:3b (00:15:c5:33:6c:3b) e Type: ARP (0x0806)Destination: Broadcast (ff:ff:ff:ff:ff:ff)

10 D o valor hexadecimal para o campo tipo de dois bytes do quadro Ethernet.

Type: ARP (0x0806)

11 Agora encontre o ARP reply que foi enviado em resposta ao ARP request. Aonde na mensagem ARP aparece a resposta a requisio ARP e qual essa resposta?

No Info da tabela de cima do Wireshark. Pois quando um request ele mostra uma Info semelhante a esta: 60 Who has 192.168.15.1?. Porm no reply ele mostra 60 192.168.15.1 is at 00:15:c5:33:6c:3b como resposta. Alm da parte do Address Resolution Protocol que mostra o (reply).

12 Quais os valores hexadecimais do endereo fonte e destino do quadro Ethernet quecontm a mensagem ARP replay?

Source: Dell_33:6c:3b (00:15:c5:33:6c:3b) e Type: ARP (0x0806)Destination: Asustekc_6e:dd:a8 (14:da:e9:6e:dd:a8)

13 Abra o arquivo ethernet-ethereal-trace-1. O primeiro e o segundo pacotes ARPneste arquivo correspondem a uma requisio e uma resposta ARP. Mas existe outrocomputador nesta rede, como indicado pelo pacote 6 (outra requisio ARP). Por queno existe nenhuma resposta ARP (enviada em resposta ao ARP request no pacote 6)pare este pacote?

Porque nenhum outro computador de fato o que poderia lhe fornecer a resposta ARP desejada.