hogyan folyik a hálózati forgalom – első lépések
Gideon T. Rasmussen – CISSP, CFSO, CFSA, SCSA
egy probléma elhárításához tudnia kell, hogyan folyik a hálózati forgalom normál körülmények között. Ez a cikk részletezi, hogy mi történik, ha egy webböngészőt használnak egy webhely eléréséhez.
miután a webhely nevét beírta egy webböngészőbe, egy sor kommunikáció történik különböző protokollokon keresztül. Az alábbi táblázat bemutatja a hálózati forgalom áramlását:
|
vonal:
|
jegyzőkönyv:
|
forrás:
|
rendeltetési hely:
|
adatok:
|
|
1
|
ARP
|
10.0.1.13
|
adás
|
kinek van 10.0.1.1? Mondja 10.0.1.13
|
|
2
|
ARP
|
10.0.1.1
|
10.0.1.13
|
10.0.1.1 00:80:c8:57: d3: aa
|
|
3
|
DNS
|
10.0.1.13
|
10.0.1.1
|
szabványos lekérdezés A www.cyberguard.com
|
|
4
|
DNS
|
10.0.1.1
|
10.0.1.13
|
Standard lekérdezési válasz CNAME cyberguard.com A 64.94.50.88
|
|
5
|
TCP
|
10.0.1.13
|
64.94.50.88
|
1939 > http
|
|
6
|
TCP
|
64.94.50.88
|
10.0.1.13
|
http > 1939
|
|
7
|
TCP
|
10.0.1.13
|
64.94.50.88
|
1939 > http
|
|
8
|
HTTP
|
10.0.1.13
|
64.94.50.88
|
GET / HTTP/1.1
|
|
9
|
HTTP
|
64.94.50.88
|
10.0.1.13
|
HTTP/1.1 200 OK
|
|
10
|
HTTP
|
64.94.50.88
|
10.0.1.13
|
HTTP Continuation
|
|
11
|
TCP
|
10.0.1.13
|
64.94.50.88
|
2577 > http Seq=388864 Ack=37076821 Win=8241 Len=0
|
|
12
|
TCP
|
10.0.1.13
|
64.94.50.88
|
2577 > http Seq=388864 Ack=37077089 Win=0 Len=0
|
az ARP protokoll
mielőtt a rendszerek kommunikálni tudnának, ismerniük kell egymás hardvercímeit. Erre a célra a Címfeloldási protokollt (Arp) használják. Konfigurációjából a munkaállomás ismeri a DNS-kiszolgáló IP-címét.
vonal # 1
| jegyzőkönyv: | forrás: | rendeltetési hely: | adatok: |
| ARP | 10.0.1.13 | Broadcast | kinek van 10.0.1.1? Mondja 10.0.1.13 |
a munkaállomás kérést küld a hálózatán lévő eszközökhöz, amelyben megkérdezi ,hogy “kinek van” az IP-címe, amellyel kommunikálni kell.
vonal # 2
| jegyzőkönyv: | forrás: | rendeltetési hely: | adatok: |
| ARP | 10.0.1.1 | 10.0.1.13 | 10.0.1.1 00:80:c8:57: d3: aa |
a távoli rendszer válaszol, megadva a hardver címét. Most, hogy a munkaállomás ismeri a távoli rendszer hardvercímét, kommunikálhat vele.
a DNS protokoll
A Domain Name System (DNS) protokoll a rendszernevek IP-címekké történő feloldására szolgál. Amikor egy webhely nevét beírja a böngészőbe, a munkaállomásnak ismernie kell a megfelelő IP-címet, hogy elérje a webhelyet tároló webszervert.
vonal # 3
| jegyzőkönyv: | forrás: | rendeltetési hely: | adatok: |
| DNS | 10.0.1.13 | 10.0.1.1 | normál lekérdezés a www.cyberguard.com |
a munkaállomás arra kéri a DNS-kiszolgálót, hogy adja meg a webszerver tárhelyének IP-címét www.cyberguard.com.
vonal # 4
| jegyzőkönyv: | forrás: | rendeltetési hely: | adatok: |
| DNS | 10.0.1.1 | 10.0.1.13 | Standard lekérdezési válasz CNAME cyberguard.com A 64.94.50.88 |
a DNS-kiszolgáló a következő IP-címmel válaszol www.cyberguard.com.
a TCP protokoll
a Transmission Control Protocol (TCP) protokollt használják az adatok továbbítására. A következő három sor tartalmazza a TCP háromirányú kézfogását:
vonal # 5
| jegyzőkönyv: | forrás: | rendeltetési hely: | adatok: |
| TCP | 10.0.1.13 | 64.94.50.88 | 1939 > http |
a munkaállomás kezdeményezi a kapcsolatot a webszerverrel (SYN). A SYN a “szinkronizálás” rövidítése.”
Vonal # 6
| Jegyzőkönyv: | forrás: | rendeltetési hely: | adatok: |
| TCP | 64.94.50.88 | 10.0.1.13 | http > 1939 |
a webszerver válaszol, jelezve, hogy készen áll az átvitelre (SYN ACK). A SYN ACK a “szinkronizálás nyugtázás” rövidítése.”
vonal # 7
| jegyzőkönyv: | forrás: | rendeltetési hely: | adatok: |
| DNS | 10.0.1.13 | 64.94.50.88 | 1939 > http |
a munkaállomás elküldi a webkiszolgálónak, jelezve, hogy elkezdi küldeni a forgalmat (ACK). Ez a nyugtázás azt jelzi, hogy a TCP kapcsolat létrejött, és a forgalom megkezdődhet.
a HTTP protokoll
a Hyper Text Transfer Protocol (HTTP) weboldalak kiszolgálására szolgál. Ennek bizonyítékát a böngészőjében található webhely címéből láthatja (azaz http://www.cyberguard.com).
Vonal # 8
| Jegyzőkönyv: | Forrás: | Rendeltetési Hely: | Adatok: |
| HTTP | 10.0.1.13 | 64.94.50.88 | GET / HTTP/1.1 |
a böngésző kapcsolatot nyit meg a webszerverrel.
vonal # 9
| jegyzőkönyv: | forrás: | rendeltetési hely: | adatok: |
| HTTP | 64.94.50.88 | 10.0.1.13 | HTTP / 1.1 200 OK |
a webszerver elfogadja a kapcsolatot.
Vonal # 10
| Jegyzőkönyv: | Forrás: | Rendeltetési Hely: | Adatok: |
| HTTP | 64.94.50.88 | 10.0.1.13 | HTTP Folytatás |
a HTTP folytatási sorok azt jelzik,hogy a html oldal tartalma hova kerül. Szöveget, linkeket stb.
vissza a TCP protokollhoz
vonal # 11
| jegyzőkönyv: | forrás: | rendeltetési hely: | adatok: |
| TCP | 10.0.1.13 | 64.94.50.88 | 2577 > http Seq=388864 Ack=37076821 Win=8241 Len=0 |
ez a sor valójában négyszer megismétlődik. A munkaállomás nyugtázza az utolsó csomagot.
12. sor (RST)
| jegyzőkönyv: | forrás: | rendeltetési hely: | adatok: |
| TCP | 10.0.1.13 | 64.94.50.88 | 2577 > http Seq=388864 Ack=37077089 Win=0 Len=0 |
a munkaállomás visszaállítást küld, hatékonyan lebontva a TCP kapcsolatot.
Tcpdump és Ethereal
fontos megjegyezni, hogy a tcpdump különböző részleteket ad meg attól függően, hogy hol fut a hálózaton. Ebben a példában a tcpdump a tűzfal belső felületén futott egy közvetlenül csatlakoztatott munkaállomással. Ha a tcpdump-ot a külső interfészen ugyanazon forgalom ellenőrzésére használják, akkor a forrás IP-címe a tűzfal külső interfészeként jelenik meg, feltéve, hogy a dinamikus hálózati címfordítás (Dnat) a helyén volt. A proxy forgalom áramlásának megfigyeléséhez érdemes a tcpdump-ot futtatni mind a belső, mind a külső interfészeken, mivel a proxy közvetítőként működik a forrás és a cél között.
a táblázat forrása az Ethereal-on keresztül megtekintett tcpdump fájl volt. A pontos szintaxis a következő volt: “tcpdump-vvpni dec1-s1514-w /archive2/dec1.dmp host 10.0.1.13″. A tcpdump parancs számos lehetőséget kínál a nagyon specifikus forgalom rögzítésére (pl. forrás/cél, portok és logikai kifejezések). További információért írja be a” man tcpdump ” parancsot a parancssorba. A Windows verzió Windump (http://windump.polito.it).
Ethereal egy jó eszköz, hogy megtekinthesse tcpdump fájlokat. Szabadon elérhető a http://www.ethereal.com – tól.
a tcpdump-ban található portok némelyike ismeretlen lehet az Ön számára. A portszámok legfrissebb listája a http://www.iana.org/assignments/port-numbers címen található (RFC 3232 szerint).