PA_TANet_Review_01
Download
Report
Transcript PA_TANet_Review_01
TANet
PROTOCOL ANALYSIS
- WIRESHARK -
350
1
TANet
PROTOCOL
ANALYSIS
1-1
自我簡介
安裝使用
課程目的
觀念釐清
課程安排
封包過濾
軟體簡介
課堂練習
進階擷取
1-2
LAB – PING
S.P.- DHCP
LAB – DNS
LAB – FTP
S.P. - HTTP S.P. - MSN
自我簡介
姓
名
工作經歷
3 5 0 ( 張瑋麟 )
2002.03 ~ 2004.02 愛維斯廣告股份有限公司
2004.05 ~ 2006.12 大偉建設企業股份有限公司
2007.10 ~ 2010.03 文壹數碼資訊服務公司 (HK)
教學經歷
2010.04 ~ Now
吉X股份有限公司
2007.09 ~ Now
中央大學資策會 – 網路管理
2008.10 ~ 2010.03 文壹數碼資訊服務公司 - 新進人員訓練
2008.12 ~ 2009.02 恆逸教育訓練中心 – 電腦入門 (代課)
2009.01 ~ Now
中央大學資策會 – 網路協定分析
2
TANet
PROTOCOL
ANALYSIS
1-1
自我簡介
安裝使用
課程目的
觀念釐清
課程安排
封包過濾
軟體簡介
課堂練習
進階擷取
1-2
LAB – PING
S.P.- DHCP
LAB – DNS
LAB – FTP
S.P. - HTTP S.P. - MSN
課程目的
幫助學習及了解網路
TCP/IP 的理論與實際的差異
瞭解網路封包的實際交換方式
暸解網路資訊傳遞的真實狀態
從網路封包找出可用訊息或資訊
有效進行網路相關問題排除 ( Trouble shooting )
3
TANet
PROTOCOL
ANALYSIS
1-1
自我簡介
安裝使用
課程目的
觀念釐清
課程安排
封包過濾
軟體簡介
課堂練習
進階擷取
1-2
LAB – PING
S.P.- DHCP
LAB – DNS
LAB – FTP
S.P. - HTTP S.P. - MSN
課程安排
D AY 1 - 1
INTRODUCTION
S T U D Y 1
S T U D Y 2
S T U D Y 3
S P E C I A L
課程目的與簡介
安裝與使用 Wireshark
網路相關觀念釐清
使用條件過濾封包
進階擷取*
D AY 1 - 2
L
A
B
-
1
L
A
B
-
2
L
A
B
-
3
S P E C I A L
S P E C I A L
S P E C I A L
PING
DNS
FTP
DHCP*
HTTP*
MSN*
4
TANet
PROTOCOL
ANALYSIS
1-1
自我簡介
安裝使用
課程目的
觀念釐清
課程安排
封包過濾
軟體簡介
課堂練習
進階擷取
軟體簡介(WIRESHARK ,
1-2
LAB – PING
S.P.- DHCP
before Ethereal
LAB – DNS
LAB – FTP
S.P. - HTTP S.P. - MSN
)
觀察封包進出狀態
線上抓取封包,可離線解析封包內容
即時解讀 Ethernet*, IEEE 802.11, PPP/HDLC,
ATM, Bluetooth… 資料內容
即時解密 IPsec, ISAKMP, Kerberos, SNMPv3,
SSL/TLS, WEP, and WPA/WPA2 資訊內容
支援 Windows*, Linux, OS X, Solaris, FreeBSD,
NetBSD… 等平台
5
web:http://www.wireshark.org
TANet
PROTOCOL
ANALYSIS
1-1
自我簡介
安裝使用
課程目的
觀念釐清
課程安排
封包過濾
軟體簡介
課堂練習
進階擷取
1-2
LAB – PING
S.P.- DHCP
LAB – DNS
LAB – FTP
S.P. - HTTP S.P. - MSN
軟體安裝與使用
Wireshark 軟體下載
- http://www.wireshark.org/download.html
Wireshark 使用說明文件
- http://www.wireshark.org/docs/
本講義之安裝示範與使用教學*
6
P R O T O C O L
A N A L Y S I S
INSTALL
WIRESHARK
7
TANet
PROTOCOL
ANALYSIS
1-1
自我簡介
安裝使用
課程目的
觀念釐清
課程安排
封包過濾
軟體簡介
課堂練習
進階擷取
1-2
LAB – PING
S.P.- DHCP
LAB – DNS
LAB – FTP
S.P. - HTTP S.P. - MSN
觀念釐清
OSI ref. model v.s. TCP/IP stack
Application
Presentation
Application
Session
Transport
Transport
Netwrok
Internet
Data Link
Physical
Network
Access
OSI
TCP/IP
8
TANet
PROTOCOL
ANALYSIS
1-1
自我簡介
安裝使用
課程目的
觀念釐清
課程安排
封包過濾
1-2
軟體簡介
課堂練習
進階擷取
LAB – PING
S.P.- DHCP
LAB – DNS
LAB – FTP
S.P. - HTTP S.P. - MSN
觀念釐清
function of TCP/IP stack
Application
Transport
Internet
Network
Access
DHCP
FTP
HTTP
DNS
TCP
ICMP IGMP
SNMP
……
UDP
IP
Ethernet FDDI X.25
ARP
RARP
Token Frame
ISDN …
Ring Relay
TCP/IP
9
TANet
PROTOCOL
ANALYSIS
1-1
自我簡介
安裝使用
課程目的
觀念釐清
課程安排
封包過濾
1-2
軟體簡介
課堂練習
進階擷取
LAB – PING
S.P.- DHCP
LAB – DNS
LAB – FTP
S.P. - HTTP S.P. - MSN
觀念釐清
IP Address v.s. Mac Address
Application
Transport
DHCP
FTP
HTTP
DNS
TCP
SNMP
……
UDP
IP Address
Internet
ICMP IGMP
IP
FF.FF.FF.FF / FF
ARP
RARP
Mac Address
Network
Access
Ethernet FDDI X.25
Token Frame
ISDN …
Ring Relay
FF:FF:FF:FF:FF:FF
TCP/IP
10
TANet
PROTOCOL
ANALYSIS
1-1
自我簡介
安裝使用
課程目的
觀念釐清
課程安排
封包過濾
1-2
軟體簡介
課堂練習
進階擷取
LAB – PING
S.P.- DHCP
LAB – DNS
LAB – FTP
S.P. - HTTP S.P. - MSN
觀念釐清
Protocol Number v.s. Port Number
Port Number_
Application
Transport
Internet
Network
Access
DHCP
FTP
HTTP
DNS
TCP
SNMP
……
SMTP=25 FTP=20,21
HTTP=80 DNS=53
SNMP=161,162
Protocol Number
UDP
TCP=6 UDP=17
ICMP IGMP
IP
Ethernet FDDI X.25
ARP
RARP
Token Frame
ISDN …
Ring Relay
TCP/IP
11
TANet
PROTOCOL
ANALYSIS
1-1
自我簡介
安裝使用
課程目的
觀念釐清
課程安排
封包過濾
軟體簡介
課堂練習
進階擷取
1-2
LAB – PING
S.P.- DHCP
LAB – DNS
LAB – FTP
S.P. - HTTP S.P. - MSN
觀念釐清
Hub v.s. Switch
集線器
交換器
Application
Presentation
Session
Transport
Netwrok
Switch_
Data Link
Physical
OSI
Hub_
12
TANet
PROTOCOL
ANALYSIS
1-1
自我簡介
安裝使用
課程目的
觀念釐清
課程安排
封包過濾
軟體簡介
課堂練習
進階擷取
1-2
LAB – PING
S.P.- DHCP
LAB – DNS
LAB – FTP
S.P. - HTTP S.P. - MSN
觀念釐清
Hub (Layer 1)
-訊號複製 (放大),廣播式傳出
-電腦越多,頻寬利用率越差,碰撞容易越多
-共用固有頻寬
HUB
PORT 1
PORT 2
PORT 3
PORT 4
PC A
PC B
PC C
PC D
13
TANet
PROTOCOL
ANALYSIS
1-1
自我簡介
安裝使用
課程目的
觀念釐清
課程安排
封包過濾
軟體簡介
課堂練習
進階擷取
1-2
LAB – PING
S.P.- DHCP
LAB – DNS
LAB – FTP
S.P. - HTTP S.P. - MSN
觀念釐清
Switch (Layer 2)
-訊號轉送,點對點傳出 (MAC learning)
-電腦多寡不影響傳輸速率
(Cut through、Store-and-forward、Fragment free…)
-各 Port 固定頻寬
Switch
PORT 1
PORT 2
PORT 3
PORT 4
PC A
PC B
PC C
PC D
14
P R O T O C O L
A N A L Y S I S
Quick Start With
WIRESHARK
15
TANet
PROTOCOL
ANALYSIS
1-1
自我簡介
安裝使用
課程目的
觀念釐清
課程安排
封包過濾
軟體簡介
課堂練習
進階擷取
1-2
LAB – PING
S.P.- DHCP
LAB – DNS
LAB – FTP
S.P. - HTTP S.P. - MSN
為什麼需要封包過濾?
網路上流竄的封包太多、又雜
-各種服務 ( Server/Client ) 的廣播封包 ( NetBIOS、ARP… )
-各種軟體的狀態資訊交換 ( ERP-App、IM-App… )
快速找到所要的封包
-只要找 ping 的封包
-只要找某台主機有關的封包
-只要找特定 Port 、 IP 封包
16
TANet
PROTOCOL
ANALYSIS
1-1
自我簡介
安裝使用
課程目的
觀念釐清
課程安排
封包過濾
軟體簡介
課堂練習
進階擷取
1-2
LAB – PING
S.P.- DHCP
LAB – DNS
LAB – FTP
S.P. - HTTP S.P. - MSN
過濾封包的優點
你要的封包是哪一個?
過濾封包的優點
-減少看錯封包的機會
-節省找封包的時間
17
TANet
PROTOCOL
ANALYSIS
1-1
自我簡介
安裝使用
課程目的
觀念釐清
課程安排
封包過濾
軟體簡介
課堂練習
進階擷取
1-2
LAB – PING
S.P.- DHCP
LAB – DNS
LAB – FTP
S.P. - HTTP S.P. - MSN
過濾的方式
擷取過濾 ( Capture Filter )
-擷取封包過程當中過濾
顯示過濾* ( Display Filter )
-擷取封包完畢之後過濾
18
TANet
PROTOCOL
ANALYSIS
1-1
自我簡介
安裝使用
課程目的
觀念釐清
課程安排
封包過濾
軟體簡介
課堂練習
進階擷取
1-2
LAB – PING
S.P.- DHCP
LAB – DNS
LAB – FTP
S.P. - HTTP S.P. - MSN
顯示過濾
正確 Filter 條件過濾
19
TANet
PROTOCOL
ANALYSIS
1-1
自我簡介
安裝使用
課程目的
觀念釐清
課程安排
封包過濾
軟體簡介
課堂練習
進階擷取
1-2
LAB – PING
S.P.- DHCP
LAB – DNS
LAB – FTP
S.P. - HTTP S.P. - MSN
顯示過濾
錯誤 Filter 條件過濾
20
TANet
PROTOCOL
ANALYSIS
1-1
自我簡介
安裝使用
課程目的
觀念釐清
課程安排
封包過濾
軟體簡介
課堂練習
進階擷取
1-2
LAB – PING
S.P.- DHCP
LAB – DNS
LAB – FTP
S.P. - HTTP S.P. - MSN
顯示過濾:語法表示法
Protocol . [String1] . [String2] [Comparison Operator] [Value] [Logical Operations] [Other Expression]
協 定 . [ 字串1 ] . [ 字串2 ] [
比
較
值
表示
符號
=============
等於
不等於
大於
小於
大於等於
小於等於
eq
ne
gt
lt
ge
lt
==
!=
>
<
>=
<=
] [ 值 ] [ 邏 輯 運 算 ] [其他 表 達 式 ]
表示
符號
=============
與
或
異
非
字串
and
or
xor
not
[???]
&&
||
^^
!
21
TANet
PROTOCOL
ANALYSIS
1-1
自我簡介
安裝使用
課程目的
觀念釐清
課程安排
封包過濾
軟體簡介
課堂練習
進階擷取
1-2
LAB – PING
S.P.- DHCP
LAB – DNS
LAB – FTP
S.P. - HTTP S.P. - MSN
範例一:顯示 ARP 廣播封包
Protocol . [String1] . [String2] [Comparison Operator] [Value] [Logical Operations] [Other Expression]
協 定 . [ 字串1 ] . [ 字串2 ] [
比
較
值
] [ 值 ] [ 邏 輯 運 算 ] [其他 表 達 式 ]
arp
22
TANet
PROTOCOL
ANALYSIS
1-1
自我簡介
安裝使用
課程目的
觀念釐清
課程安排
封包過濾
軟體簡介
課堂練習
進階擷取
1-2
LAB – PING
S.P.- DHCP
LAB – DNS
LAB – FTP
S.P. - HTTP S.P. - MSN
範例二:顯示封包 IP 為 192.168.0.1
位置的封包
Protocol . [String1] . [String2] [Comparison Operator] [Value] [Logical Operations] [Other Expression]
協 定 . [ 字串1 ] . [ 字串2 ] [
ip . addr
比
較
==
值
] [ 值 ] [ 邏 輯 運 算 ] [其他 表 達 式 ]
192.168.0.1
23
TANet
PROTOCOL
ANALYSIS
1-1
自我簡介
安裝使用
課程目的
觀念釐清
課程安排
封包過濾
軟體簡介
課堂練習
進階擷取
1-2
LAB – PING
S.P.- DHCP
LAB – DNS
LAB – FTP
S.P. - HTTP S.P. - MSN
範例三:顯示有關 SSL 加密封包與一般
網頁封包
Protocol . [String1] . [String2] [Comparison Operator] [Value] [Logical Operations] [Other Expression]
協 定 . [ 字串1 ] . [ 字串2 ] [
tcp . port
比
較
==
值
] [ 值 ] [ 邏 輯 運 算 ] [其他 表 達 式 ]
443
or
tcp.port==80
24
P R O T O C O L
A N A L Y S I S
Filter With
WIRESHARK
25
TANet
PROTOCOL
ANALYSIS
1-1
自我簡介
安裝使用
課程目的
觀念釐清
課程安排
封包過濾
軟體簡介
課堂練習
進階擷取
1-2
LAB – PING
S.P.- DHCP
LAB – DNS
LAB – FTP
S.P. - HTTP S.P. - MSN
課堂練習題目
02.請找出所有有關DNS的封包
12.請找出所有非自己發出,也非 Gateway 發出
的封包
13.請找出所有來源 IP 的 80 Port 封包
03.請找出所有有關DNS和 ICMP的封包
14.請找出TCP Port 大於 1000 的封包
04.請找出所有自己IP發出去的封包
15.請找出 沒有使用 IP 協定的封包
05.請找出所有非自己IP的封包
16.請找出 ARP 的查詢的封包,不要回覆的封包
06.請找出所有UDP 80 Port的封包
17.請找出 ICMP 的回應封包
07.請找出所有port 為 21 和 20 的封包
18.請找出所有發給自己的封包,且 IP 封包長
度超過 1000 bytes 的封包
19.請找出本網段所有的封包
01.請找出所有UDP的封包
08.請找出有關自己IP的 TCP Port 80 的封包
09.請找出由自己發出的廣播封包
10.請找出是Gateway的封包,但是不是廣播
的封包
11.請找出是自己發出的封包,但是目的地不
是給 168.95.1.1 的封包
20.請找出有關 DNS 查詢 www.google.com 的
查詢往來封包
21.請找出所有D-Link網卡接收到的封包
22.請找出非本網段的廣播封包
26
TANet
PROTOCOL
ANALYSIS
1-1
自我簡介
安裝使用
課程目的
觀念釐清
課程安排
封包過濾
軟體簡介
課堂練習
進階擷取
1-2
LAB – PING
S.P.- DHCP
LAB – DNS
LAB – FTP
S.P. - HTTP S.P. - MSN
課堂練習參考答案 01-11
01.請找出所有UDP的封包
udp
02.請找出所有有關DNS的封包
tcp.port == 53 or udp.port == 53
03.請找出所有有關DNS和 ICMP的封包
dns or icmp
04.請找出所有自己IP發出去的封包
ip.src == 192.168.0.175
05.請找出所有非自己IP的封包
!(ip.addr == 192.168.0.175)
06.請找出所有UDP 80 Port的封包
udp.port == 80
07.請找出所有port 為 21 和 20 的封包
tcp.port == 20 or tcp.port == 21
08.請找出有關自己IP的 TCP Port 80 的封包
ip.addr == 192.168.0.175 and tcp.port == 80
09.請找出由自己發出的廣播封包
ip.src == 192.168.0.175 and eth.addr == ff:ff:ff:ff:ff:ff
10.請找出是Gateway的封包,但是不是廣播
的封包
11.請找出是自己發出的封包,但是目的地不
是給 168.95.1.1 的封包
ip.addr == 192.168.0.1 and !(eth.addr == ff:ff:ff:ff:ff:ff)
ip.src == 192.168.0.175 and !(ip.dst == 168.95.1.1)
27
TANet
PROTOCOL
ANALYSIS
1-1
自我簡介
安裝使用
課程目的
觀念釐清
課程安排
封包過濾
軟體簡介
課堂練習
進階擷取
1-2
LAB – PING
S.P.- DHCP
LAB – DNS
LAB – FTP
S.P. - HTTP S.P. - MSN
課堂練習參考答案 12-22
12.請找出所有非自己發出,也非 Gateway 發出 !(ip.src == 192.168.0.175) and !(ip.src == 192.168.0.1)
的封包
13.請找出所有來源 IP 的 80 Port 封包
tcp.srcport == 80 and udp.srcport == 80
14.請找出TCP Port 大於 1000 的封包
tcp.port > 1000
15.請找出 沒有使用 IP 協定的封包
not eth.type == 0x0800
16.請找出 ARP 的查詢的封包,不要回覆的封包 arp.opcode == 0x1
17.請找出 ICMP 的回應封包
icmp.type == 0x0
18.請找出所有發給自己的封包,且 IP 封包長
度超過 1000 bytes 的封包
19.請找出本網段所有的封包
ip.dst == 192.168.0.175 and ip.len > 1000
20.請找出有關 DNS 查詢 www.google.com 的
查詢往來封包
21.請找出所有D-Link網卡接收到的封包
dns.qry.name == www.google.com
22.請找出非本網段的廣播封包
ip.addr == 192.168.0.0/24 and !(eth.addr == ff:ff:ff:ff:ff:ff)
28
ip.addr == 192.168.0.0/24
eth.dst [0-2] == 00:0d:88 and eth.addr [0-2] == 00:0d:88
P R O T O C O L
A N A L Y S I S
Filter With
WIRESHARK
29
P R O T O C O L
A N A L Y S I S
1-1-SP : 進階擷取
30
TANet
PROTOCOL
ANALYSIS
1-1
自我簡介
安裝使用
課程目的
觀念釐清
課程安排
封包過濾
軟體簡介
課堂練習
進階擷取
1-2
LAB – PING
S.P.- DHCP
LAB – DNS
LAB – FTP
S.P. - HTTP S.P. - MSN
你應該知道:
*
*
31
P R O T O C O L
A N A L Y S I S
1-1-SP : 進階擷取
START
32
P R O T O C O L
A N A L Y S I S
1-2-1 : PING
33
1-1
TANet
PROTOCOL
ANALYSIS
自我簡介
安裝使用
課程目的
觀念釐清
課程安排
封包過濾
軟體簡介
課堂練習
進階擷取
1-2
LAB – PING
S.P.- DHCP
LAB – DNS
LAB – FTP
S.P. - HTTP S.P. - MSN
Ping to Gateway 演示
TYPE : 8
0
DATA : abcdefghijklmnopqr……
TYPE : 0
8
DATA : abcdefghijklmnopqr……
ICMP
Tx Time :
ICMP
PC/Workstation
Gateway
192.168.0.175
192.168.0.1
2015/4/13 10:06:28.1100
2015/4/13 10:06:28.1130
: Rx Time
3ms
34
TANet
PROTOCOL
ANALYSIS
1-1
自我簡介
安裝使用
課程目的
觀念釐清
課程安排
封包過濾
軟體簡介
課堂練習
進階擷取
1-2
LAB – PING
S.P.- DHCP
LAB – DNS
LAB – FTP
S.P. - HTTP S.P. - MSN
Ping to Gateway
Frame header : data
802.3 ( Ethernet II * )
PREAMBLE
SFD
10101010 x7 10101011
DESTINATIONS
MAC ADDRESS
SOURCE
MAC ADDRESS
LENGTH
( TYPE )
DATA
FCS
000D88B0E36F
001DD96019C2
0800
{ DATA }
?
35
TANet
PROTOCOL
ANALYSIS
1-1
自我簡介
安裝使用
課程目的
觀念釐清
課程安排
封包過濾
軟體簡介
課堂練習
進階擷取
1-2
LAB – PING
S.P.- DHCP
LAB – DNS
LAB – FTP
S.P. - HTTP S.P. - MSN
Internetworking Protocol (0x0800)
IP header : data
VERS
HLEN
SERVER TYPE
IDENTIFICATION
TIME TO LIVE
TOTAL LENGTH
FLAGS
PROTOCOL
FRAGMENT OFFSET
HEADER CHECKSUM
SOURCE IP ADDRESS
DESTINATION IP ADDRESS
IP OPTIONS
PADDING
DATA
36
TANet
PROTOCOL
ANALYSIS
1-1
自我簡介
安裝使用
課程目的
觀念釐清
課程安排
封包過濾
軟體簡介
課堂練習
進階擷取
1-2
LAB – PING
S.P.- DHCP
LAB – DNS
LAB – FTP
S.P. - HTTP S.P. - MSN
Internet Control Message Protocol (0x01)
ICMP header : data
TYPE
CODE
CHECKSUM
DATA
37
TANet
PROTOCOL
ANALYSIS
1-1
自我簡介
安裝使用
課程目的
觀念釐清
課程安排
封包過濾
軟體簡介
課堂練習
進階擷取
1-2
LAB – PING
S.P.- DHCP
LAB – DNS
LAB – FTP
S.P. - HTTP S.P. - MSN
Ping to Gateway (Frame datagram)
FRAME { IP ( ICMP : data ) }
FRAME DATA
IP
DATA
ICMP
data
38
TANet
PROTOCOL
ANALYSIS
1-1
自我簡介
安裝使用
課程目的
觀念釐清
課程安排
封包過濾
軟體簡介
課堂練習
進階擷取
1-2
LAB – PING
S.P.- DHCP
LAB – DNS
LAB – FTP
S.P. - HTTP S.P. - MSN
Address Resolution Protocol (0x0806)
ARP header
HARDWARE TYPE
HLEN
PLEN
PROTOCOL TYPE
OPERATION
SENDER MAC ADDRESS
SENDER IP ADDRESS
TARGET MAC ADDRESS
TARGET IP ADDRESS
39
TANet
PROTOCOL
ANALYSIS
1-1
自我簡介
安裝使用
課程目的
觀念釐清
課程安排
封包過濾
軟體簡介
課堂練習
進階擷取
1-2
LAB – PING
S.P.- DHCP
LAB – DNS
LAB – FTP
S.P. - HTTP S.P. - MSN
Ping to Other (Frame datagram)
FRAME { ARP }
FRAME DATA
ARP
40
TANet
PROTOCOL
ANALYSIS
1-1
自我簡介
安裝使用
課程目的
觀念釐清
課程安排
封包過濾
軟體簡介
課堂練習
進階擷取
1-2
LAB – PING
S.P.- DHCP
LAB – DNS
LAB – FTP
S.P. - HTTP S.P. - MSN
成果目標
ICMP 的 Request 與 Reply。
由 ICMP 衍申出的其他協定 ARP。
Ping 已知電腦的情況分析。
Ping 未知電腦的情況分析。
Ping 錯誤網段的情況分析。
41
P R O T O C O L
A N A L Y S I S
1-2-1 : PING
START
42
P R O T O C O L
A N A L Y S I S
1-2-1 : DNS
43
TANet
PROTOCOL
ANALYSIS
1-1
自我簡介
安裝使用
課程目的
觀念釐清
課程安排
封包過濾
軟體簡介
課堂練習
進階擷取
1-2
LAB – PING
S.P.- DHCP
LAB – DNS
LAB – FTP
S.P. - HTTP S.P. - MSN
什麼是 DNS
Domain Name System
UDP 53 Port*, TCP 53 Port
以有意義的名稱取代無意義的數字
44
TANet
PROTOCOL
ANALYSIS
1-1
自我簡介
安裝使用
課程目的
觀念釐清
課程安排
封包過濾
軟體簡介
課堂練習
進階擷取
1-2
LAB – PING
S.P.- DHCP
LAB – DNS
LAB – FTP
S.P. - HTTP S.P. - MSN
UDP 演示
HELLO
Server
Client
Application
Application
H
Transport
Internet
Network
Access
TCP
IP
E
L
UDP
L
O
Transport
Internet
UDP
TCP
IP
Network
Access
45
TANet
PROTOCOL
ANALYSIS
1-1
自我簡介
安裝使用
課程目的
觀念釐清
課程安排
封包過濾
軟體簡介
課堂練習
進階擷取
1-2
LAB – PING
S.P.- DHCP
LAB – DNS
LAB – FTP
S.P. - HTTP S.P. - MSN
User Datagram Protocol (0x11)
UDP header : DATA
SOURCE PORT
DESTINATION PORT
LENGTH
CHECKSUM
DATA
46
TANet
PROTOCOL
ANALYSIS
1-1
自我簡介
安裝使用
課程目的
觀念釐清
課程安排
封包過濾
軟體簡介
課堂練習
進階擷取
1-2
LAB – PING
S.P.- DHCP
LAB – DNS
LAB – FTP
S.P. - HTTP S.P. - MSN
沒有 DNS 時…
Wireshark 的網站 IP 是 67.228.110.120。
好記憶嗎?能記住多久?
使用 DNS 時…
Wireshark 的網址是 www.wireshark.org。
host
.
Domain Name
好記憶嗎?能記住多久?
47
TANet
PROTOCOL
ANALYSIS
1-1
自我簡介
安裝使用
課程目的
觀念釐清
課程安排
封包過濾
1-2
軟體簡介
課堂練習
進階擷取
LAB – PING
S.P.- DHCP
LAB – DNS
LAB – FTP
S.P. - HTTP S.P. - MSN
DNS 查詢演示 ( 以 ping 為例 )
Intranet
Internet
_OX
C:\>
ping www.wireshark.org
Pinging www.wireshark.org [67.228.110.120] with 32 bytes of data:
Reply from 67.228.110.120: bytes=32 time=304ms
Reply from 67.228.110.120: bytes=32 time=226ms
Reply from 67.228.110.120: bytes=32 time=250ms
Reply from 67.228.110.120: bytes=32 time=274ms
TTL=45
TTL=45
TTL=45
TTL=45
www.wireshark.org
67.228.110.120
Ping statistics for 67.228.110.120:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 226ms, Maximum = 304ms, Average = 263ms
Answer : It’s
67.228.110.120
Question
: Who are ‘www.wireshark.org’ ?
Function1:XXXXXXXXXXX
Query : 168.95.1.1
Function2:XXXXXX
Function3:XXXXXXXXXX
.......?
ICMP
DNS
PC/Workstation
Answer : It’s 67.228.110.120
Function1:XXXXXXXXXXX
Question : Who are ‘www.wireshark.org’ ?
Function2:XXXXXX
Query : 168.95.1.1
Function3:XXXXXXXXXX
Gateway
192.168.0.175
192.168.0.1
Question
:
Who
are ‘www.wireshark.org’ ?
GW:192.168.0.1
DNS:168.95.1.1 Query : 168.95.1.1
DNS
DNS Server
168.95.1.1
48
TANet
PROTOCOL
ANALYSIS
1-1
自我簡介
安裝使用
課程目的
觀念釐清
課程安排
封包過濾
軟體簡介
課堂練習
進階擷取
1-2
LAB – PING
S.P.- DHCP
Domain Name System Protocol
LAB – DNS
LAB – FTP
S.P. - HTTP S.P. - MSN
(53)
DNS header : option
IDENTIFICATION
QR
OPCODE
AA
TC
RD
RA
Z
AD
QUESTIONS
ANSWER RRS
AUTHORITY RRS
ADDITIONAL RRS
CD
RCODE
49
TANet
PROTOCOL
ANALYSIS
1-1
自我簡介
安裝使用
課程目的
觀念釐清
課程安排
封包過濾
軟體簡介
課堂練習
進階擷取
1-2
LAB – PING
S.P.- DHCP
LAB – DNS
LAB – FTP
S.P. - HTTP S.P. - MSN
DNS (Frame datagram)
FRAME { IP ( UDP < DNS > ) }
FRAME DATA
IP
DATA
UDP
DATA
DNS
50
TANet
PROTOCOL
ANALYSIS
1-1
自我簡介
安裝使用
課程目的
觀念釐清
課程安排
封包過濾
軟體簡介
課堂練習
進階擷取
1-2
LAB – PING
S.P.- DHCP
LAB – DNS
LAB – FTP
S.P. - HTTP S.P. - MSN
成果目標
UDP 運作方式與優缺點。
DNS 協定內容。
查詢方式為何?
查詢不到的狀況為何?
沒有 DNS 時的狀況為何?
51
P R O T O C O L
A N A L Y S I S
1-2-2 : DNS
START
52
P R O T O C O L
A N A L Y S I S
1-2-3 : FTP
53
TANet
PROTOCOL
ANALYSIS
1-1
自我簡介
安裝使用
課程目的
觀念釐清
課程安排
封包過濾
軟體簡介
課堂練習
進階擷取
1-2
LAB – PING
S.P.- DHCP
LAB – DNS
LAB – FTP
S.P. - HTTP S.P. - MSN
Server Port
Data Port → 20
Command Port → 21
Client Port
Data Port → Random Port (1024↑)
Command Port → Random Port (1024↑)
54
TANet
PROTOCOL
ANALYSIS
1-1
自我簡介
安裝使用
課程目的
觀念釐清
課程安排
封包過濾
軟體簡介
課堂練習
進階擷取
1-2
LAB – PING
S.P.- DHCP
LAB – DNS
LAB – FTP
S.P. - HTTP S.P. - MSN
FTP 演示
Ya, I’m
Hey,
Yes,
there.Connection?
you
rightthere
! go ?
!
Ya, I’m
Hey,
Yes,
there.Connection?
you
rightthere
! go ?
!
Data Transmission
TCP
FTP
PC/Workstation
TCP
FTP Server
55
TANet
PROTOCOL
ANALYSIS
1-1
自我簡介
安裝使用
課程目的
觀念釐清
課程安排
封包過濾
軟體簡介
課堂練習
進階擷取
1-2
LAB – PING
S.P.- DHCP
LAB – DNS
LAB – FTP
S.P. - HTTP S.P. - MSN
three-way handshaking 演示 (Time Line)
TIME
PC/Workstation
FTP Server
56
TANet
PROTOCOL
ANALYSIS
1-1
自我簡介
安裝使用
課程目的
觀念釐清
課程安排
封包過濾
軟體簡介
課堂練習
進階擷取
1-2
LAB – PING
S.P.- DHCP
LAB – DNS
LAB – FTP
S.P. - HTTP S.P. - MSN
TCP 演示 (three-way handshaking - Ready)
HELLO
Server
Client
Application
Application
?
H
E
L
L
SEQ:1
ACK:122
SEQ:123
ACK:122
SEQ:245
ACK:122
SEQ:367
ACK:122
Transport
Internet
Network
Access
HELLO
O
SEQ:489
ACK:1
TCP
UDP
IP
Transport
Internet
ACK
SEQ=122
ACK=245
ACK=123
ACK=367
ACK=489
TCP
UDP
IP
Network
Access
57
TANet
PROTOCOL
ANALYSIS
1-1
自我簡介
安裝使用
課程目的
觀念釐清
課程安排
封包過濾
1-2
軟體簡介
課堂練習
進階擷取
LAB – PING
S.P.- DHCP
LAB – DNS
LAB – FTP
S.P. - HTTP S.P. - MSN
Transmission Control Protocol (0x06)
TCP header : OPTION : DATA
SOURCE PORT
DESTINATION PORT
SEQUENCE NUMBER
ACKNOWLEDGMENT NUMBER
DATA OFFSET
RESERVED
FLAGS
CHECKSUM
WINDOW SIZE
URGENT POINTER
OPTION
DATA
58
TANet
PROTOCOL
ANALYSIS
1-1
自我簡介
安裝使用
課程目的
觀念釐清
課程安排
封包過濾
軟體簡介
課堂練習
進階擷取
1-2
LAB – PING
S.P.- DHCP
LAB – DNS
LAB – FTP
S.P. - HTTP S.P. - MSN
FTP 連線模式(A)
主動模式 (Active Mode)
PORT
Hello 21, I’m 11276.
I want “$”.
“@” .
Hello 11278,
11280, I’m 20,
Please give 11278
11280 ! That’s “@”.
“$”.
11276
OK, I've got it .
@20
$
11278
21
PC/Workstation 11280
FTP Server
59
TANet
PROTOCOL
ANALYSIS
1-1
自我簡介
安裝使用
課程目的
觀念釐清
課程安排
封包過濾
軟體簡介
課堂練習
進階擷取
1-2
LAB – PING
S.P.- DHCP
LAB – DNS
LAB – FTP
S.P. - HTTP S.P. - MSN
FTP 連線模式(B)
被動模式 (Passive Mode)
PASV
Hello 21, I’m 1071.
I want “*” Please,
We are PASV !
OK, I've got it .
Hello 2259, I’mAnd
5305.
your “*”
1071 Get me “*” Please.
in 2259.
5305
21
PC/Workstation
OK, That’s “*”.
FTP Server
2259
*
60
TANet
PROTOCOL
ANALYSIS
1-1
自我簡介
安裝使用
課程目的
觀念釐清
課程安排
封包過濾
軟體簡介
課堂練習
進階擷取
File Transfer Protocol
1-2
LAB – PING
S.P.- DHCP
LAB – DNS
LAB – FTP
S.P. - HTTP S.P. - MSN
(default data: 20; control: 21)
FTP header
FTP Message
61
TANet
PROTOCOL
ANALYSIS
1-1
自我簡介
安裝使用
課程目的
觀念釐清
課程安排
封包過濾
軟體簡介
課堂練習
進階擷取
1-2
LAB – PING
S.P.- DHCP
LAB – DNS
LAB – FTP
S.P. - HTTP S.P. - MSN
FTP (Frame datagram)
FRAME { IP ( TCP < FTP > ) }
FRAME DATA
IP
DATA
TCP
DATA
FTP
62
TANet
PROTOCOL
ANALYSIS
1-1
自我簡介
安裝使用
課程目的
觀念釐清
課程安排
封包過濾
軟體簡介
課堂練習
進階擷取
1-2
LAB – PING
S.P.- DHCP
LAB – DNS
LAB – FTP
S.P. - HTTP S.P. - MSN
成果目標
主動 / 被動模式的差別應用。
TCP 運作方式為何?
三方交握協定的方式。
FTP 的封包交換與隱憂。
63
P R O T O C O L
A N A L Y S I S
1-2-3 : FTP
START
64
P R O T O C O L
A N A L Y S I S
1-2-SP : DHCP
65
TANet
PROTOCOL
ANALYSIS
1-1
自我簡介
安裝使用
課程目的
觀念釐清
課程安排
封包過濾
軟體簡介
課堂練習
進階擷取
1-2
LAB – PING
S.P.- DHCP
LAB – DNS
LAB – FTP
S.P. - HTTP S.P. - MSN
你應該知道:
DHCP Header。
查詢的方式為何?
TCP ? UDP ?
新租約的封包交換分析。
續租的封包交換分析。
租約過時的處理狀態與封包交換分析。
找不到 DHCP的狀況與分析。
66
P R O T O C O L
A N A L Y S I S
1-2-SP : DHCP
START
67
P R O T O C O L
A N A L Y S I S
1-2-SP : HTTP
68
TANet
PROTOCOL
ANALYSIS
1-1
自我簡介
安裝使用
課程目的
觀念釐清
課程安排
封包過濾
軟體簡介
課堂練習
進階擷取
1-2
LAB – PING
S.P.- DHCP
LAB – DNS
LAB – FTP
S.P. - HTTP S.P. - MSN
你應該知道:
使用 HTTP 會衍伸出的協定有哪些?
Mail 的傳遞方式?
需要哪些協定配合?
有何優缺點?
69
P R O T O C O L
A N A L Y S I S
1-2-SP : HTTP
START
70
P R O T O C O L
A N A L Y S I S
1-2-SP : MSN
71
TANet
PROTOCOL
ANALYSIS
1-1
自我簡介
安裝使用
課程目的
觀念釐清
課程安排
封包過濾
軟體簡介
課堂練習
進階擷取
1-2
LAB – PING
S.P.- DHCP
LAB – DNS
LAB – FTP
S.P. - HTTP S.P. - MSN
你應該知道:
Port 和連線方式?
缺點?解決方式?
72
P R O T O C O L
A N A L Y S I S
1-2-SP : MSN
START
73