Übung - Mit Wireshark FTP- und TFTP-Aufzeichnungen …œbung - Mit Wireshark FTP- und TFTP-Captures...

14
© 2013 Cisco und / oder ihre Tochtergesellschaften. Alle Rechte vorbehalten. Dieses Dokument ist eine öffentlich zugängliche Information von Cisco. Seite 1 von 14 Übung - Mit Wireshark FTP- und TFTP-Aufzeichnungen untersuchen Topologie - Teil 1 (FTP) Teil 1 wird eine TCP-Erfassung von einer FTP-Sitzung zeigen. Diese Topologie besteht aus einem PC mit Internetzugang. Topologie - Teil 2 (TFTP) Teil 2 wird eine UDP-Erfassung von einer TFTP-Sitzung zeigen. Der PC muss sowohl einen Ethernet- Anschluss als auch eine Konsolenverbindung zu Switch S1 haben. Adressierungstabelle (Teil 2) Gerät Schnittstelle IP-Adresse Subnetzmaske Default Gateway S1 VLAN 1 192.168.1.1 255.255.255.0 N/A PC-A Netzwerkkarte 192.168.1.3 255.255.255.0 192.168.1.1 Lernziele Teil 1: Identifizieren und Funktionsweise der TCP-Header-Felder mit einem Wireshark-Capture einer FTP-Sitzung Teil 2: Identifizieren und Funktionsweise der UDP-Header-Felder mit einem Wireshark-Capture einer TFTP-Sitzung Hintergrund / Szenario Die beiden Protokolle in der TCP/IP-Transportschicht sind TCP, definiert in RFC 761, und UDP, definiert in RFC 768. Beide Protokolle unterstützen die Kommunikation mit Protokollen der höheren Schichten. Beispielsweise wird TCP unter anderem verwendet, um Transportschicht-Unterstützung für das Hypertext

Transcript of Übung - Mit Wireshark FTP- und TFTP-Aufzeichnungen …œbung - Mit Wireshark FTP- und TFTP-Captures...

Page 1: Übung - Mit Wireshark FTP- und TFTP-Aufzeichnungen …œbung - Mit Wireshark FTP- und TFTP-Captures untersuchen © 2013 Cisco und / oder ihre Tochtergesellschaften. Alle Rechte vorbehalten.

© 2013 Cisco und / oder ihre Tochtergesellschaften. Alle Rechte vorbehalten. Dieses Dokument ist eine öffentlich zugängliche Information von Cisco. Seite 1 von 14

Übung - Mit Wireshark FTP- und TFTP-Aufzeichnungen

untersuchen

Topologie - Teil 1 (FTP)

Teil 1 wird eine TCP-Erfassung von einer FTP-Sitzung zeigen. Diese Topologie besteht aus einem PC mit Internetzugang.

Topologie - Teil 2 (TFTP)

Teil 2 wird eine UDP-Erfassung von einer TFTP-Sitzung zeigen. Der PC muss sowohl einen Ethernet-Anschluss als auch eine Konsolenverbindung zu Switch S1 haben.

Adressierungstabelle (Teil 2)

Gerät Schnittstelle IP-Adresse Subnetzmaske Default Gateway

S1 VLAN 1 192.168.1.1 255.255.255.0 N/A

PC-A Netzwerkkarte 192.168.1.3 255.255.255.0 192.168.1.1

Lernziele

Teil 1: Identifizieren und Funktionsweise der TCP-Header-Felder mit einem Wireshark-Capture einer FTP-Sitzung

Teil 2: Identifizieren und Funktionsweise der UDP-Header-Felder mit einem Wireshark-Capture einer TFTP-Sitzung

Hintergrund / Szenario

Die beiden Protokolle in der TCP/IP-Transportschicht sind TCP, definiert in RFC 761, und UDP, definiert in RFC 768. Beide Protokolle unterstützen die Kommunikation mit Protokollen der höheren Schichten. Beispielsweise wird TCP unter anderem verwendet, um Transportschicht-Unterstützung für das Hypertext

Page 2: Übung - Mit Wireshark FTP- und TFTP-Aufzeichnungen …œbung - Mit Wireshark FTP- und TFTP-Captures untersuchen © 2013 Cisco und / oder ihre Tochtergesellschaften. Alle Rechte vorbehalten.

Übung - Mit Wireshark FTP- und TFTP-Captures untersuchen

© 2013 Cisco und / oder ihre Tochtergesellschaften. Alle Rechte vorbehalten. Dieses Dokument ist eine öffentlich zugängliche Information von Cisco. Seite 2 von 14

Transfer Protocol (HTTP) und FTP-Protokoll bereitzustellen. UDP bietet unter anderem Transportschicht-Unterstützung für das Domain Name System (DNS) und TFTP.

Hinweis: Die Teile des TCP- und UDP-Headers und ihre Funktion zu verstehen sind eine entscheidende Fähigkeit für Netzwerkingenieure.

In Teil 1 dieser Übung werden Sie das Wireshark Open-Source-Tool verwenden, um TCP-Protokoll-Header-Felder für FTP-Dateitransfer zwischen dem Host-Computer und einem anonymen FTP-Server zu erfassen und zu analysieren. Das Windows-Kommandozeilenprogramm wird verwendet, um mit einem anonymen FTP-Server zu verbinden und eine Datei herunterzuladen. In Teil 2 dieser Übung werden Sie Wireshark nutzen, um UDP-Protokoll-Header-Felder für TFTP-Dateiübertragungen zwischen dem Host-Computer und Switch S1 zu erfassen und zu analysieren,.

Hinweis: Der verwendete Switch ist ein Cisco Catalyst 2960s mit Cisco IOS Release 15.0(2) (lanbasek9 image). Andere Switche und Cisco IOS-Versionen können verwendet werden. Je nach Modell und Cisco IOS-Version können die verfügbaren Befehle und Ausgaben von dem, was in den Übungen gezeigt wird, abweichen.

Hinweis: Stellen Sie sicher, dass der Switch gelöscht wurde und keine Startup Configuration hat. Wenn Sie unsicher sind, wenden Sie sich an Ihren Instruktor.

Hinweis: Teil 1 setzt voraus, dass der PC einen Internetzugang hat, er kann nicht mit Netlab durchgeführt werden. Teil 2 ist Netlab-kompatibel.

Benötigte Ressourcen - Teil 1 (FTP)

1 PC (Windows 7, Vista oder XP mit Zugang zur Eingabeaufforderung, Internet und installiertem Wireshark)

Benötigte Ressourcen - Teil 2 (TFTP)

1 Switch (Cisco 2960 mit Cisco IOS Release 15.0(2) lanbasek9 image oder vergleichbar)

1 PC (Windows 7, Vista oder XP mit Wireshark und einem TFTP-Server, wie z. B. tftpd32 installiert)

Konsolenkabel, um das Cisco IOS-Gerät über den Konsolenport zu konfigurieren

Ethernet-Kabel wie in der Topologie gezeigt

Part 1: Identifizieren und Funktionsweise der TCP-Header-Felder mit

einem Wireshark-Capture einer FTP-Sitzung

In Teil 1 verwenden Sie Wireshark, um eine FTP-Sitzung aufzuzeichnen und die TCP-Header-Felder zu untersuchen.

Step 1: Start einer Wireshark-Aufzeichnung

a. Beenden Sie allen unnötigen Netzwerkverkehr, wie z. B. Webbrowser, um die Menge des Verkehrs während des Wireshark-Captures zu begrenzen.

b. Starten Sie das Wireshark-Capture.

Step 2: Herunterladen der Readme-Datei

a. Geben Sie an der Eingabeaufforderung ftp ftp.cdc.gov ein.

b. Melden Sie sich bei der FTP-Site für Disease Control and Prevention (CDC) als User anonymous und ohne Kennwort an.

c. Suchen Sie die Readme-Datei und laden sie herunter.

Page 3: Übung - Mit Wireshark FTP- und TFTP-Aufzeichnungen …œbung - Mit Wireshark FTP- und TFTP-Captures untersuchen © 2013 Cisco und / oder ihre Tochtergesellschaften. Alle Rechte vorbehalten.

Übung - Mit Wireshark FTP- und TFTP-Captures untersuchen

© 2013 Cisco und / oder ihre Tochtergesellschaften. Alle Rechte vorbehalten. Dieses Dokument ist eine öffentlich zugängliche Information von Cisco. Seite 3 von 14

Step 3: Stoppen Sie die Aufzeichnung.

Step 4: Sehen Sie sich das Wireshark-Hauptfenster an.

Wireshark hat viele Pakete während der FTP-Sitzung mit ftp.cdc.gov erfasst. Um die Menge der Daten für die Analyse zu begrenzen, geben Sie tcp und ip.addr == 198.246.112.54 in das Eingabefeld Filter ein und klicken Sie auf Apply. Die IP-Adresse 198.246.112.54 ist die Adresse von ftp.cdc.gov.

Page 4: Übung - Mit Wireshark FTP- und TFTP-Aufzeichnungen …œbung - Mit Wireshark FTP- und TFTP-Captures untersuchen © 2013 Cisco und / oder ihre Tochtergesellschaften. Alle Rechte vorbehalten.

Übung - Mit Wireshark FTP- und TFTP-Captures untersuchen

© 2013 Cisco und / oder ihre Tochtergesellschaften. Alle Rechte vorbehalten. Dieses Dokument ist eine öffentlich zugängliche Information von Cisco. Seite 4 von 14

Step 5: Analysieren der TCP-Felder

Nachdem der TCP -Filter angewendet wurde, zeigen die ersten drei Frames im Fenster Packet List (oberer Teil), wie das Transportschichtprotokoll TCP eine zuverlässige Sitzung erstellt. Die Reihenfolge von [SYN], [SYN, ACK] und [ACK] zeigt den Drei-Wege-Handshake.

TCP wird routinemäßig während einer Sitzung verwendet, um die Datagramm-Zustellung zu überwachen, die Datagramm-Ankunft zu bestätigen und die Fenstergröße zu verwalten. Für jeden Datenaustausch zwischen dem FTP-Client und dem FTP-Server wird eine neue TCP-Sitzung gestartet. Bei Abschluss der Datenübertragung wird die TCP-Sitzung geschlossen. Wenn die FTP-Sitzung schließlich beendet ist, fährt TCP ordnungsgemäß herunter und schließt die Sitzung.

Bei Wireshark stehen detaillierte TCP-Informationen im Fenster packet details (Mittelteil) zur Verfügung. Markieren Sie das erste TCP-Datagramm vom Host-Computer und erweitern Sie die TCP-Aufzeichnung. Das erweiterte TCP-Datagramm scheint dem unten gezeigten Fenster packet detail ähnlich zu sehen.

Das Bild oben ist ein TCP-Datagramm-Diagramm. Eine Erklärung der einzelnen Felder wird als Referenz zur Verfügung gestellt:

Page 5: Übung - Mit Wireshark FTP- und TFTP-Aufzeichnungen …œbung - Mit Wireshark FTP- und TFTP-Captures untersuchen © 2013 Cisco und / oder ihre Tochtergesellschaften. Alle Rechte vorbehalten.

Übung - Mit Wireshark FTP- und TFTP-Captures untersuchen

© 2013 Cisco und / oder ihre Tochtergesellschaften. Alle Rechte vorbehalten. Dieses Dokument ist eine öffentlich zugängliche Information von Cisco. Seite 5 von 14

Die TCP-Absender-Port-Nummer gehört zu dem TCP-Session Host, der eine Verbindung geöffnet hat.

Der Wert ist in der Regel ein Zufallswert über 1.023.

Der Ziel-TCP-Port wird verwendet, um das Protokoll der höheren Schicht oder Anwendung am Remote-

Standort zu identifizieren. Die Werte im Bereich 0-1.023 stellen "gängige Ports" dar und sind mit

populären Diensten und Anwendungen verbunden (wie in RFC 1700 beschrieben, z.B. Telnet, FTP,

HTTP, usw.). Die Kombination aus Absender-IP-Adresse, Absender-Port, Ziel-IP-Adresse und Ziel-Port

identifizieren die Sitzung eindeutig sowohl für den Sender als auch für den Empfänger.

Hinweis: Im untenstehenden Wireshark-Capture ist der Zielport 21, d.h. FTP. Der FTP-Server hört auf Port 21 für FTP-Client-Verbindungen.

Die Sequenznummer gibt die Nummer des letzten Oktetts in einem Segment an.

Die Bestätigungsnummer gibt das nächste Oktett an, das vom Empfänger erwartet wird.

Die Code-Bits haben eine besondere Bedeutung bei der Sitzungssteuerung und bei der Behandlung von

Segmenten. Interessante Werte sind unter anderem:

- ACK - Bestätigung des Empfangs eines Segments.

- SYN - Synchronisieren, nur gesetzt, wenn eine neue TCP-Sitzung während des TCP-Drei-Wege-

Handshakes ausgehandelt wird.

- FIN - Beendigung, Anforderung, die TCP-Sitzung zu schließen.

Das Feld Window size ist der Wert des "sliding window", der bestimmt, wie viele Bytes gesendet werden

können, bevor auf eine Bestätigung gewartet wird.

Der Urgent Pointer wird nur mit einem Urgent Flag (URG) verwendet, wenn der Absender dringend

Daten an den Empfänger senden muss.

Das Feld Options hat derzeit nur eine Option, es ist als die maximale TCP-Segmentgröße (optionaler

Wert) definiert.

Bei der Benutzung des Wireshark-Captures beim ersten Start der TCP-Sitzung (SYN Bit auf 1 gesetzt), tragen Sie Informationen über den TCP-Header ein:

Vom PC auf den CDC-Server (nur das SYN-Bit ist auf 1 gesetzt):

Absender-IP-Adresse:

Ziel-IP-Adresse:

Absender-Port-Nummer:

Ziel-Port-Nummer:

Sequenznummer.

Bestätigungsnummer:

Header-Länge:

Fenstergröße:

In der zweiten gefilterten Wireshark Capture bestätigt der CDC FTP-Server die Anfrage vom PC. Beachten Sie die Werte von SYN- und ACK-Bit.

Page 6: Übung - Mit Wireshark FTP- und TFTP-Aufzeichnungen …œbung - Mit Wireshark FTP- und TFTP-Captures untersuchen © 2013 Cisco und / oder ihre Tochtergesellschaften. Alle Rechte vorbehalten.

Übung - Mit Wireshark FTP- und TFTP-Captures untersuchen

© 2013 Cisco und / oder ihre Tochtergesellschaften. Alle Rechte vorbehalten. Dieses Dokument ist eine öffentlich zugängliche Information von Cisco. Seite 6 von 14

Tragen Sie die folgenden Informationen bezüglich der SYN-ACK-Nachricht ein.

Absender-IP-Adresse:

Ziel-IP-Adresse:

Absender-Port-Nummer:

Ziel-Port-Nummer:

Sequenznummer.

Bestätigungsnummer:

Header-Länge:

Fenstergröße:

In der letzten Phase des Aushandelns, um die Kommunikation einzurichten, sendet der PC eine Bestätigungsnachricht an den Server. Beachten Sie, dass nur das ACK-Bit auf 1 gesetzt ist und die Sequenznummer um 1 erhöht worden ist.

Page 7: Übung - Mit Wireshark FTP- und TFTP-Aufzeichnungen …œbung - Mit Wireshark FTP- und TFTP-Captures untersuchen © 2013 Cisco und / oder ihre Tochtergesellschaften. Alle Rechte vorbehalten.

Übung - Mit Wireshark FTP- und TFTP-Captures untersuchen

© 2013 Cisco und / oder ihre Tochtergesellschaften. Alle Rechte vorbehalten. Dieses Dokument ist eine öffentlich zugängliche Information von Cisco. Seite 7 von 14

Tragen Sie die folgenden Informationen über die ACK-Nachricht ein.

Ziel-IP-Adresse:

Ziel-Port-Nummer:

Sequenznummer.

Bestätigungsnummer:

Header-Länge:

Fenstergröße:

Wie viele andere TCP-Datagramme enthalten ein SYN-Bit?

_______________________________________________________________________________________

Nachdem eine TCP-Sitzung aufgebaut ist, kann FTP-Datenverkehr zwischen PC und FTP-Server erfolgen. Der FTP-Client und -Server kommunizieren untereinander, ohne zu wissen, dass TCP die Kontrolle und Verwaltung über die Sitzung hat. Wenn der FTP-Server eine Antwort: 220 zum FTP-Client sendet, sendet die TCP-Sitzung auf dem FTP-Client eine Bestätigung an die TCP-Sitzung auf dem Server. Diese Sequenz ist im untenstehenden Wireshark-Capture zu sehen.

Page 8: Übung - Mit Wireshark FTP- und TFTP-Aufzeichnungen …œbung - Mit Wireshark FTP- und TFTP-Captures untersuchen © 2013 Cisco und / oder ihre Tochtergesellschaften. Alle Rechte vorbehalten.

Übung - Mit Wireshark FTP- und TFTP-Captures untersuchen

© 2013 Cisco und / oder ihre Tochtergesellschaften. Alle Rechte vorbehalten. Dieses Dokument ist eine öffentlich zugängliche Information von Cisco. Seite 8 von 14

Wenn die FTP-Sitzung beendet ist, sendet der FTP-Client einen Befehl zum Beenden ("quit"). Der FTP-Server bestätigt die FTP-Beendigung mit einer Antwort: 221 Goodbye. Jetzt sendet die TCP-Sitzung des FTP-Servers ein TCP-Datagramm an den FTP-Client, das die Beendigung der TCP-Session ankündigt. Die TCP-Sitzung des FTP-Clients bestätigt den Empfang des Beendigung-Datagramms, sendet dann seine eigene TCP-Sitzungsbeendigung. Wenn der Absender der TCP-Beendigung, der FTP-Server, eine Bestätigung der Beendigung erhält, wird ein ACK-Datagramm gesendet, um die Beendigung zu bestätigen und die TCP-Sitzung wird geschlossen. Diese Abfolge wird im untenstehenden Diagramm und Capture gezeigt.

Durch die Anwendung eines FTP-Filters kann die gesamte Sequenz des FTP-Datenverkehrs mit Wireshark untersucht werden. Beachten Sie die Reihenfolge der Ereignisse während dieser FTP-Sitzung. Der Benutzername anonymous wurde verwendet, um die Readme-Datei abzurufen. Nachdem die Übertragung der Datei abgeschlossen ist, beendet der Benutzer die FTP-Sitzung.

Page 9: Übung - Mit Wireshark FTP- und TFTP-Aufzeichnungen …œbung - Mit Wireshark FTP- und TFTP-Captures untersuchen © 2013 Cisco und / oder ihre Tochtergesellschaften. Alle Rechte vorbehalten.

Übung - Mit Wireshark FTP- und TFTP-Captures untersuchen

© 2013 Cisco und / oder ihre Tochtergesellschaften. Alle Rechte vorbehalten. Dieses Dokument ist eine öffentlich zugängliche Information von Cisco. Seite 9 von 14

Tragen Sie den TCP-Filter wieder in Wireshark ein, um die Beendigung der TCP-Sitzung zu untersuchen. Vier Pakete werden für die Beendigung der TCP-Sitzung übertragen. Da die TCP-Verbindung voll-duplex ist, muss jede Richtung unabhängig beendigen. Untersuchen Sie die Absender- und Zieladressen.

In diesem Beispiel muss der FTP-Server keine Daten mehr senden; er sendet in Frame 63 ein Segment mit gesetztem FIN-Flag. Der PC sendet ein ACK, um den Empfang des FIN zu bestätigen, um die Sitzung vom Server zum Client in Frame 64 zu beenden.

In Frame 65 sendet der PC einen FIN an den FTP-Server, um die TCP-Sitzung zu beenden. Der FTP-Server antwortet mit einem ACK, um das FIN vom PC in Frame 67 zu bestätigen. Jetzt ist die Sitzung zwischen dem FTP-Server und dem PC beendet.

Part 2: Teil 2: Identifizieren und Funktionsweise der UDP-Header-Felder

mit einem Wireshark Capture einer TFTP-Sitzung

In Teil 2 verwenden Sie Wireshark, um eine TFTP-Sitzung zu erfassen und UDP-Header-Felder zu untersuchen.

Step 1: Richten Sie diese physische Topologie ein und bereiten Sie sie für ein TFTP-Capture

vor.

Page 10: Übung - Mit Wireshark FTP- und TFTP-Aufzeichnungen …œbung - Mit Wireshark FTP- und TFTP-Captures untersuchen © 2013 Cisco und / oder ihre Tochtergesellschaften. Alle Rechte vorbehalten.

Übung - Mit Wireshark FTP- und TFTP-Captures untersuchen

© 2013 Cisco und / oder ihre Tochtergesellschaften. Alle Rechte vorbehalten. Dieses Dokument ist eine öffentlich zugängliche Information von Cisco. Seite 10 von 14

a. Stellen Sie eine Konsolen- und Ethernet-Verbindung zwischen PC-A und Switch S1 her.

b. Falls noch nicht geschehen, konfigurieren Sie manuell die IP-Adresse 192.168.1.3 auf dem PC. Das Default Gateway muss nicht eingetragen werden.

c. Konfigurieren Sie den Switch. Weisen Sie VLAN 1 die IP-Adresse 192.168.1.1 zu. Prüfen Sie die Verbindung mit dem PC, indem Sie 192.168.1.3 anpingen. Beheben Sie eventuelle Fehler.

Switch> enable

Switch# conf t

Enter configuration commands, one per line. End with CNTL/Z.

Switch(config)# host S1

S1(config)# interface vlan 1

S1(config-if)# ip address 192.168.1.1 255.255.255.0

S1(config-if)# no shut

*Mar 1 00:37:50.166: %LINK-3-UPDOWN: Interface Vlan1, changed state to up

*Mar 1 00:37:50.175: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1,

changed state to up

S1(config-if)# end

S1# ping 192.168.1.3

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.1.3, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 1/203/1007 ms

Page 11: Übung - Mit Wireshark FTP- und TFTP-Aufzeichnungen …œbung - Mit Wireshark FTP- und TFTP-Captures untersuchen © 2013 Cisco und / oder ihre Tochtergesellschaften. Alle Rechte vorbehalten.

Übung - Mit Wireshark FTP- und TFTP-Captures untersuchen

© 2013 Cisco und / oder ihre Tochtergesellschaften. Alle Rechte vorbehalten. Dieses Dokument ist eine öffentlich zugängliche Information von Cisco. Seite 11 von 14

Step 2: Bereiten Sie den TFTP-Server auf dem PC vor.

a. Falls noch nicht vorhanden, erstellen Sie einen Ordner auf dem PC-Desktop namens TFTP. Die Dateien vom Switch werden an diese Stelle kopiert.

b. Starten Sie tftpd32 auf dem PC.

c. Klicken Sie auf Browse und wechseln Sie in das Verzeichnis C:\Users\Benutzer1\Desktop\TFTP durch Austausch von Benutzer1 mit Ihrem Benutzernamen.

Der TFTP-Server sollte wie folgt aussehen:

Beachten Sie, dass im aktuellen Verzeichnis der Benutzer und die Serverschnittstelle (PC-A) als IP-Adresse 192.168.1.3 angezeigt werden.

d. Testen Sie die Möglichkeit, eine Datei über TFTP vom Switch auf den PC zu kopieren. Beheben Sie eventuelle Fehler.

S1# copy start tftp

Address or name of remote host []? 192.168.1.3

Destination filename [s1-confg]?

!!

1638 bytes copied in 0.026 secs (63000 bytes/sec)

Wenn Sie sehen, dass die Datei (wie in der obigen Ausgabe) kopiert wurde, dann sind Sie bereit für den

nächsten Schritt. Wenn nicht, dann beheben Sie den Fehler. Wenn Sie den Fehler %Error opening

tftp(Permission denied) erhalten, stellen Sie zuerst sicher, dass Ihre Firewall TFTP nicht blockiert

und dass Sie sie an einen Ort kopieren, wo Ihr Benutzername ausreichende Berechtigung hat, wie z. B. auf dem Desktop.

Step 3: Eine TFTP-Sitzung mit Wireshark aufzeichnen

a. Öffnen Sie Wireshark. Gehen Sie im Menü Edit auf Preferences und klicken Sie auf das Zeichen (+), um auf Protokolle zu erweitern. Scrollen Sie nach unten und wählen Sie UDP. Klicken Sie auf das

Page 12: Übung - Mit Wireshark FTP- und TFTP-Aufzeichnungen …œbung - Mit Wireshark FTP- und TFTP-Captures untersuchen © 2013 Cisco und / oder ihre Tochtergesellschaften. Alle Rechte vorbehalten.

Übung - Mit Wireshark FTP- und TFTP-Captures untersuchen

© 2013 Cisco und / oder ihre Tochtergesellschaften. Alle Rechte vorbehalten. Dieses Dokument ist eine öffentlich zugängliche Information von Cisco. Seite 12 von 14

Kontrollkästchen Validate the UDP checksum if possible und klicken Sie auf Apply. Dann klicken Sie auf OK.

b. Start einer Wireshark-Aufzeichnung

c. Führen Sie den Befehl copy start tftp am Switch aus.

d. Stoppen Sie die Aufzeichnung.

e. Setzen Sie den Filter auf TFTP. Die Ausgabe sollte ähnlich wie die oben gezeigte Ausgabe aussehen. Diese TFTP-Übertragung wird verwendet, um Transportschicht-UDP-Operationen zu analysieren.

In Wireshark stehen detaillierte Information über UDP im Wireshark-Feld Paket-Detailbereich zur Verfügung. Markieren Sie das erste UDP-Datagramm vom Host-Computer und bewegen Sie den Mauszeiger auf das Feld packet details. Es kann notwendig sein, den Paket-Detailbereich anzupassen und den UDP-Datensatz zu erweitern, indem Sie auf das Feld "protocol expand" klicken. Das erweiterte UDP-Datagramm sollte ähnlich wie die untenstehende Abbildung aussehen.

Die folgende Abbildung ist ein UDP-Datagramm. Die Header-Information ist im Vergleich zum TCP-Datagramm spärlich. Ähnlich wie bei TCP wird jedes UDP-Datagramm durch den UDP-Absender-Port- und den UDP-Ziel-Port identifiziert.

Page 13: Übung - Mit Wireshark FTP- und TFTP-Aufzeichnungen …œbung - Mit Wireshark FTP- und TFTP-Captures untersuchen © 2013 Cisco und / oder ihre Tochtergesellschaften. Alle Rechte vorbehalten.

Übung - Mit Wireshark FTP- und TFTP-Captures untersuchen

© 2013 Cisco und / oder ihre Tochtergesellschaften. Alle Rechte vorbehalten. Dieses Dokument ist eine öffentlich zugängliche Information von Cisco. Seite 13 von 14

Füllen Sie mit Wireshark Capture des ersten UDP-Datagramms die Informationen über den UDP-Header aus. Die Prüfsumme ist ein hexadezimaler Wert (Basis 16), gekennzeichnet durch ein vorangestelltes 0x:

Absender-IP-Adresse:

Ziel-IP-Adresse:

Absender-Port-Nummer

Ziel-Port-Nummer:

UDP-Nachrichtenlänge:

UDP-Prüfsumme:

Wie überprüft UDP die Integrität des Datagramms?

____________________________________________________________________________________

____________________________________________________________________________________

Untersuchen Sie den ersten Frame, der vom tftpd -Server zurückkam. Notieren Sie die Informationen über den UDP-Header:

Absender-IP-Adresse:

Ziel-IP-Adresse:

Absender-Port-Nummer:

Ziel-Port-Nummer:

UDP-Nachrichtenlänge:

UDP-Prüfsumme:

Beachten Sie, dass das zurückkehrende UDP-Datagramm einen anderen UDP-Absender-Port hat, aber dieser Absender-Port für den Rest der TFTP-Übertragung verwendet wird. Da es keine zuverlässige Verbindung gibt, wird nur der ursprüngliche Absender-Port, der verwendet wurde, um die TFTP-Sitzung zu beginnen, für die weitere TFTP-Übertragung verwendet.

Page 14: Übung - Mit Wireshark FTP- und TFTP-Aufzeichnungen …œbung - Mit Wireshark FTP- und TFTP-Captures untersuchen © 2013 Cisco und / oder ihre Tochtergesellschaften. Alle Rechte vorbehalten.

Übung - Mit Wireshark FTP- und TFTP-Captures untersuchen

© 2013 Cisco und / oder ihre Tochtergesellschaften. Alle Rechte vorbehalten. Dieses Dokument ist eine öffentlich zugängliche Information von Cisco. Seite 14 von 14

Beachten Sie auch, dass die UDP-Prüfsumme falsch ist. Dies wird wahrscheinlich durch UDP-checksum-offload verursacht. Sie können mehr darüber erfahren, warum dies geschieht, wenn Sie nach "UDP checksum offload" suchen.

Reflexion

Diese Übung bot die Möglichkeit, TCP- und UDP-Protokoll-Operationen aus erfassten FTP- und TFTP-Sitzungen zu analysieren. Wie verwaltet TCP eine Kommunikation anders als UDP?

_______________________________________________________________________________________

_______________________________________________________________________________________

_______________________________________________________________________________________

_______________________________________________________________________________________

Anspruchsvolle Übung

Da weder FTP noch TFTP sichere Protokolle sind, werden alle übertragenen Daten im Klartext gesendet. Dies umfasst alle Benutzer-IDs, Kennwörter oder Klartext-Datei-Inhalte. Die Analyse der höheren Schichten einer FTP-Sitzung wird schnell die Benutzer-ID, das Kennwort und Konfigurationsdatei-Kennwörter aufzeigen. Die Untersuchung von TFTP-Daten der höheren Schichten ist ein bisschen komplizierter, aber das Datenfeld kann untersucht werden und die Benutzer-ID der Konfiguration und Kennwort-Informationen können extrahiert werden.

Aufräumen

Soweit nicht anders von Ihrem Instruktor angeordnet:

1) Löschen Sie die Dateien, die auf Ihren PC kopiert wurden.

2) Löschen Sie die Konfigurationen auf dem Switch S1.

3) Entfernen Sie die manuelle IP-Adresse vom PC-und stellen Sie die Internet-Konnektivität wieder her.