How Network Traffic Flows

How Network Traffic Flows-Getting Started
Gideon T. Rasmussen-CISSP, CFSO, CFSA, SCSA

om een probleem op te lossen, moet u weten hoe netwerk traffic flows onder normale omstandigheden. Dit artikel beschrijft wat er gebeurt wanneer een webbrowser wordt gebruikt om toegang te krijgen tot een website.

zodra de naam van de website in een webbrowser wordt ingevoerd, vindt een reeks communicatie plaats via verschillende protocollen. De tabel hieronder geeft aan hoe de netwerkverkeerstromen:

regel:
Protocol:
Bron:
Bestemming:
Gegevens:
1
ARP
10.0.1.13
Uitzending
Die heeft 10.0.1.1? Vertellen 10.0.1.13
2
ARP
10.0.1.1
10.0.1.13
10.0.1.1 op 00:80:c8:57:d3:aa
3
DNS –
10.0.1.13
10.0.1.1
Standaard query Een www.cyberguard.com
4
DNS –
10.0.1.1
10.0.1.13
Standaard query response CNAME cyberguard.com Een 64.94.50.88
5
TCP
10.0.1.13
64.94.50.88
1939 > http
6
TCP
64.94.50.88
10.0.1.13
http > 1939
7
TCP
10.0.1.13
64.94.50.88
1939 > http
8
HTTP
10.0.1.13
64.94.50.88
GET / HTTP/1.1
9
HTTP
64.94.50.88
10.0.1.13
HTTP/1.1 200 OK
10
HTTP
64.94.50.88
10.0.1.13
HTTP Continuation
11
TCP
10.0.1.13
64.94.50.88
2577 > http Seq=388864 Ack=37076821 Win=8241 Len=0
12
TCP
10.0.1.13
64.94.50.88
2577 > http Seq = 388864 Ack=37077089 Win=0 Len=0

het ARP-Protocol

voordat systemen kunnen communiceren, moeten ze elkaars hardware-adressen kennen. Het Address Resolution Protocol (ARP) wordt hiervoor gebruikt. Vanuit de configuratie weet het werkstation het IP-adres van de DNS-server.

Regel # 1

Protocol: bron: bestemming: gegevens:
ARP 10.0.1.13 Broadcast Wie heeft 10.0.1.1? Tell 10.0.1.13

het werkstation zendt een verzoek uit naar de apparaten op het netwerk met de vraag “Wie heeft” het IP-adres waarmee het moet communiceren.

Lijn # 2

Protocol: Bron: Bestemming: Gegevens:
ARP 10.0.1.1 10.0.1.13 10.0.1.1 op 00:80:c8:57:d3:aa

Het externe systeem reageert met het verstrekken van de hardware-adres. Nu het werkstation het hardware-adres van het externe systeem kent, kan het ermee communiceren.

het DNS-Protocol
het DNS-protocol (Domain Name System) wordt gebruikt om systeemnamen naar IP-adressen om te zetten. Wanneer een Websitenaam in een browser wordt ingevoerd, moet het werkstation het bijbehorende IP-adres kennen om de webserver te bereiken die de site host.

regel # 3

Protocol: bron: bestemming: gegevens:
DNS 10.0.1.13 10.0.1.1 Standaard zoekopdracht A www.cyberguard.com

De werkplek vraagt de DNS-server het IP-adres van de Web server hosting www.cyberguard.com.

Lijn # 4

Protocol: Bron: Bestemming: Gegevens:
DNS – 10.0.1.1 10.0.1.13 Standaard query response CNAME cyberguard.com Een 64.94.50.88

Reageert de DNS-server met het IP-adres overeenkomt met www.cyberguard.com.

het TCP-Protocol

het Transmission Control Protocol (TCP) – protocol wordt gebruikt om gegevens over te dragen. Deze drie lijnen bestaan uit de TCP three-way handshake:

Lijn # 5

Protocol: Bron: Bestemming: Gegevens:
TCP 10.0.1.13 64.94.50.88 1939 > http

Het werkstation wordt de verbinding met de webserver (SYN). SYN is een afkorting voor “synchroniseren.”

Regel # 6

Protocol: Bron: Bestemming: Gegevens:
TCP 64.94.50.88 10.0.1.13 http > 1939

De webserver reageert weer aangeeft dat het klaar is voor verzending (SYN ACK). SYN ACK is een afkorting voor “synchronize recognition.”

regel # 7

Protocol: bron: bestemming: gegevens:
DNS 10.0.1.13 64.94.50.88 1939 > http

het werkstation stuurt naar de webserver om aan te geven dat het verkeer (ACK) begint te verzenden. Deze bevestiging geeft aan dat de TCP-verbinding tot stand is gebracht en dat het verkeer kan beginnen te stromen.

het HTTP-Protocol

Het Hyper Text Transfer Protocol (HTTP) wordt gebruikt om webpagina ‘ s aan te bieden. U kunt het bewijs hiervan zien op het adres van de website in uw browser (bijv. http://www.cyberguard.com).

Regel # 8

Protocol: Bron: Bestemming: Gegevens:
HTTP 10.0.1.13 64.94.50.88 GET / HTTP/1.1

de browser opent een verbinding met de webserver.

Lijn # 9

Protocol: Bron: Bestemming: Gegevens:
HTTP 64.94.50.88 10.0.1.13 HTTP/1.1 200 OK

De Web server accepteert de verbinding.

Regel # 10

Protocol: Bron: Bestemming: Gegevens:
HTTP 64.94.50.88 10.0.1.13 HTTP-voortzetting

de HTTP-vervolgregels geven aan waar de inhoud van de html-pagina wordt verzonden. Het bevat tekst, links, enz.

Terug naar het TCP-Protocol

Lijn # 11

Protocol: Bron: Bestemming: Gegevens:
TCP 10.0.1.13 64.94.50.88 2577 > http Seq = 388864 Ack=37076821 Win=8241 Len=0

deze lijn wordt eigenlijk vier keer herhaald. Het werkstation erkent het laatste pakket.

Regel # 12 (EERSTE)

Protocol: Bron: Bestemming: Gegevens:
TCP 10.0.1.13 64.94.50.88 2577 > http Seq=388864 Ack=37077089 Win=0 Len=0

Het werkstation stuurt een reset, effectief het neerhalen van de TCP-verbinding.

Tcpdump en Ethereal

het is belangrijk op te merken dat de tcpdump verschillende details zal geven, afhankelijk van waar het op uw netwerk draait. In dit voorbeeld werd tcpdump uitgevoerd op de interne interface van de firewall met een direct verbonden werkstation. Als tcpdump werden gebruikt om dezelfde verkeersstroom op de externe interface te controleren, zou het bron-IP-adres verschijnen als de externe interface van de firewall, op voorwaarde dat Dynamic Network Address Translation (DNAT) op zijn plaats was. Om te zien hoe proxy verkeer stroomt, is het zinvol om tcpdump uit te voeren op zowel de interne als externe interfaces, omdat de proxy fungeert als een tussenpersoon tussen de bron en de bestemming.

de bron van de tabel was een tcpdump-bestand bekeken via Ethereal. De exacte gebruikte syntaxis was: “tcpdump-vvpni dec1-s1514-w /archive2/dec1.dmp host 10.0.1.13”. Het tcpdump commando heeft uitgebreide opties voor het opnemen van zeer specifieke verkeersstromen (dat wil zeggen bron/bestemming, poorten en Booleaanse expressies). Voer voor meer informatie “man tcpdump” in op de commandoregel. De Windows-versie is Windump (http://windump.polito.it).

Ethereal is een goed hulpmiddel om tcpdump-bestanden te bekijken. Het is vrij verkrijgbaar vanaf http://www.ethereal.com.

sommige poorten in een tcpdump zijn mogelijk onbekend voor u. De meest recente lijst van poortnummers is te vinden op http://www.iana.org/assignments/port-numbers (per RFC 3232).

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.