Hvordan Nettverkstrafikken Flyter-Komme I Gang
Gideon T. Rasmussen-CISSP, CFSO, CFSA, SCSA
hvis du vil feilsøke et problem, må du vite hvordan nettverkstrafikken flyter under normale omstendigheter. Denne artikkelen beskriver hva som skjer når En nettleser brukes til å få tilgang til Et Nettsted.
Når Navnet På Nettstedet er angitt i en nettleser, skjer det en rekke kommunikasjoner over ulike protokoller. Tabellen nedenfor viser hvordan nettverkstrafikken flyter:
|
Linje:
|
Protokoll:
|
Kilde:
|
Destinasjon:
|
Data:
|
|
1
|
ARP
|
10.0.1.13
|
Kringkasting
|
hvem har 10.0.1.1? Fortell 10.0.1.13
|
|
2
|
ARP
|
10.0.1.1
|
10.0.1.13
|
10.0.1.1 er på 00:80:c8: 57: d3: aa
|
|
3
|
DNS
|
10.0.1.13
|
10.0.1.1
|
Standard spørring A www.cyberguard.com
|
|
4
|
DNS
|
10.0.1.1
|
10.0.1.13
|
STANDARD spørringsrespons CNAME cyberguard.com A 64.94.50.88
|
|
5
|
TCP
|
10.0.1.13
|
64.94.50.88
|
1939 > http
|
|
6
|
TCP
|
64.94.50.88
|
10.0.1.13
|
http > 1939
|
|
7
|
TCP
|
10.0.1.13
|
64.94.50.88
|
1939 > http
|
|
8
|
HTTP
|
10.0.1.13
|
64.94.50.88
|
GET / HTTP/1.1
|
|
9
|
HTTP
|
64.94.50.88
|
10.0.1.13
|
HTTP/1.1 200 OK
|
|
10
|
HTTP
|
64.94.50.88
|
10.0.1.13
|
HTTP Continuation
|
|
11
|
TCP
|
10.0.1.13
|
64.94.50.88
|
2577 > http Seq=388864 Ack=37076821 Win=8241 Len=0
|
|
12
|
TCP
|
10.0.1.13
|
64.94.50.88
|
2577 > http Seq=388864 Ack=37077089 Seier=0 Len=0
|
ARP-Protokollen
før systemer kan kommunisere, må de kjenne hverandres maskinvareadresser. Address Resolution Protocol (ARP) brukes til dette formålet. Fra konfigurasjonen kjenner arbeidsstasjonen IP-adressen til DNS-serveren.
Linje # 1
| Protokoll: | Kilde: | Destinasjon: | Data: |
| ARP | 10.0.1.13 | Broadcast | hvem har 10.0.1.1? Fortell 10.0.1.13 |
arbeidsstasjonen sender en forespørsel til enhetene på nettverket og spør «hvem har» IP-adressen den trenger å kommunisere med.
Linje # 2
| Protokoll: | Kilde: | Destinasjon: | Data: |
| ARP | 10.0.1.1 | 10.0.1.13 | 10.0.1.1 er på 00:80:c8: 57: d3: aa |
det eksterne systemet reagerer på å gi sin maskinvareadresse. Nå som arbeidsstasjonen kjenner maskinvareadressen til det eksterne systemet, kan det kommunisere med det.
DNS-Protokollen
dns-protokollen (Domain Name System) brukes til å løse systemnavn TIL IP-adresser. Når Et nettstedsnavn legges inn i en nettleser, må arbeidsstasjonen kjenne den tilsvarende IP-adressen for å nå Webserveren som er vert for nettstedet.
Linje # 3
| Protokoll: | Kilde: | Destinasjon: | Data: |
| DNS | 10.0.1.13 | 10.0.1.1 | Standard spørring en www.cyberguard.com |
arbeidsstasjonen ber DNS-serveren om å gi IP-adressen til Webserveren hosting www.cyberguard.com.
Linje # 4
| Protokoll: | Kilde: | Destinasjon: | Data: |
| DNS | 10.0.1.1 | 10.0.1.13 | STANDARD spørringsrespons CNAME cyberguard.com A 64.94.50.88 |
DNS-serveren svarer MED IP-adressen som svarer til www.cyberguard.com.
TCP-Protokollen
Tcp-protokollen (Transmission Control Protocol) brukes til å overføre data. Disse neste tre linjene omfatter tcp treveis håndtrykk:
Linje # 5
| Protokoll: | Kilde: | Destinasjon: | Data: |
| TCP | 10.0.1.13 | 64.94.50.88 | 1939 > http |
arbeidsstasjonen starter tilkoblingen TIL Webserveren (SYN). SYN er en forkortelse for » synchronize.»
Linje # 6
| Protokoll: | Kilde: | Destinasjon: | Data: |
| TCP | 64.94.50.88 | 10.0.1.13 | http > 1939 |
Webserveren svarer tilbake og indikerer at DEN er klar for overføring (SYN ACK). SYN ACK er en forkortelse for » synchronize acknowledgement.»
Linje # 7
| Protokoll: | Kilde: | Destinasjon: | Data: |
| DNS | 10.0.1.13 | 64.94.50.88 | 1939 > http |
arbeidsstasjonen sender Til Webserveren som indikerer at den begynner å sende trafikk (ACK). Denne bekreftelsen indikerer AT tcp-tilkoblingen er etablert og trafikken kan begynne å flyte.
HTTP-Protokollen
HYPER Text Transfer Protocol (HTTP) brukes til å betjene Nettsider. Du kan se bevis på dette fra Nettstedets adresse i nettleseren din (dvs. http://www.cyberguard.com).
Linje # 8
| Protokoll: | Kilde: | Destinasjon: | Data: |
| HTTP | 10.0.1.13 | 64.94.50.88 | GET / HTTP/1.1 |
nettleseren åpner en tilkobling til Webserveren.
Linje # 9
| Protokoll: | Kilde: | Destinasjon: | Data: |
| HTTP | 64.94.50.88 | 10.0.1.13 | HTTP / 1.1 200 OK |
Webserveren godtar tilkoblingen.
Linje # 10
| Protokoll: | Kilde: | Destinasjon: | Data: |
| HTTP | 64.94.50.88 | 10.0.1.13 | HTTP Fortsettelse |
HTTP-Fortsettelseslinjene representerer hvor innholdet på html-siden sendes over. Den inneholder tekst, lenker, etc.
Tilbake TIL Tcp-Protokollen
Linje # 11
| Protokoll: | Kilde: | Destinasjon: | Data: |
| TCP | 10.0.1.13 | 64.94.50.88 | 2577 > http Seq=388864 Ack=37076821 Seier=8241 Len=0 |
denne linjen gjentas faktisk fire ganger. Arbeidsstasjonen anerkjenner den siste pakken.
Linje # 12 (FØRST)
| Protokoll: | Kilde: | Destinasjon: | Data: |
| TCP | 10.0.1.13 | 64.94.50.88 | 2577 > http Seq=388864 Ack=37077089 Seier=0 Len=0 |
arbeidsstasjonen sender en tilbakestilling, som effektivt slår NED TCP-tilkoblingen.
Tcpdump Og Ethereal
det er viktig å merke seg at tcpdump vil gi forskjellige detaljer avhengig av hvor den kjører på nettverket ditt. I dette eksemplet ble tcpdump kjørt på det interne grensesnittet til brannmuren med en direkte tilkoblet arbeidsstasjon. Hvis tcpdump ble brukt til å overvåke den samme trafikkflyten på det eksterne grensesnittet, ville kildens IP-adresse vises som det eksterne grensesnittet til brannmuren, forutsatt At DYNAMIC Network Address Translation (DNAT) var på plass. For å observere hvordan proxy-trafikk flyter, er det fornuftig å kjøre tcpdump på både interne og eksterne grensesnitt, da proxyen fungerer som mellommann mellom kilde og destinasjon.
kilden til tabellen var en tcpdump-fil sett gjennom Eterisk. Den eksakte syntaksen som ble brukt var: «tcpdump-vvpni dec1-s1514-w / archive2 / dec1.dmp vert 10.0.1.13». Tcpdump-kommandoen har omfattende muligheter for å registrere svært spesifikk trafikkflyt (dvs.kilde/destinasjon, porter og Boolske uttrykk). For mer informasjon, skriv inn «man tcpdump» på kommandolinjen. Windows-versjonen Er Windump (http://windump.polito.it).
Ethereal er et godt verktøy for å vise tcpdump-filer. Den er fritt tilgjengelig fra http://www.ethereal.com.
Noen av portene som er tilstede i en tcpdump, kan være ukjente for deg. Den nyeste listen over portnumre finnes på http://www.iana.org/assignments/port-numbers (PER RFC 3232).