How Network Traffic Flows-Getting Started
Gideon T. Rasmussen-CISSP, CFSO, CFSA, SCSA
om een probleem op te lossen, moet u weten hoe netwerk traffic flows onder normale omstandigheden. Dit artikel beschrijft wat er gebeurt wanneer een webbrowser wordt gebruikt om toegang te krijgen tot een website.
zodra de naam van de website in een webbrowser wordt ingevoerd, vindt een reeks communicatie plaats via verschillende protocollen. De tabel hieronder geeft aan hoe de netwerkverkeerstromen:
|
regel:
|
Protocol:
|
Bron:
|
Bestemming:
|
Gegevens:
|
|
1
|
ARP
|
10.0.1.13
|
Uitzending
|
Die heeft 10.0.1.1? Vertellen 10.0.1.13
|
|
2
|
ARP
|
10.0.1.1
|
10.0.1.13
|
10.0.1.1 op 00:80:c8:57:d3:aa
|
|
3
|
DNS –
|
10.0.1.13
|
10.0.1.1
|
Standaard query Een www.cyberguard.com
|
|
4
|
DNS –
|
10.0.1.1
|
10.0.1.13
|
Standaard query response CNAME cyberguard.com Een 64.94.50.88
|
|
5
|
TCP
|
10.0.1.13
|
64.94.50.88
|
1939 > http
|
|
6
|
TCP
|
64.94.50.88
|
10.0.1.13
|
http > 1939
|
|
7
|
TCP
|
10.0.1.13
|
64.94.50.88
|
1939 > http
|
|
8
|
HTTP
|
10.0.1.13
|
64.94.50.88
|
GET / HTTP/1.1
|
|
9
|
HTTP
|
64.94.50.88
|
10.0.1.13
|
HTTP/1.1 200 OK
|
|
10
|
HTTP
|
64.94.50.88
|
10.0.1.13
|
HTTP Continuation
|
|
11
|
TCP
|
10.0.1.13
|
64.94.50.88
|
2577 > http Seq=388864 Ack=37076821 Win=8241 Len=0
|
|
12
|
TCP
|
10.0.1.13
|
64.94.50.88
|
2577 > http Seq = 388864 Ack=37077089 Win=0 Len=0
|
het ARP-Protocol
voordat systemen kunnen communiceren, moeten ze elkaars hardware-adressen kennen. Het Address Resolution Protocol (ARP) wordt hiervoor gebruikt. Vanuit de configuratie weet het werkstation het IP-adres van de DNS-server.
Regel # 1
| Protocol: | bron: | bestemming: | gegevens: |
| ARP | 10.0.1.13 | Broadcast | Wie heeft 10.0.1.1? Tell 10.0.1.13 |
het werkstation zendt een verzoek uit naar de apparaten op het netwerk met de vraag “Wie heeft” het IP-adres waarmee het moet communiceren.
Lijn # 2
| Protocol: | Bron: | Bestemming: | Gegevens: |
| ARP | 10.0.1.1 | 10.0.1.13 | 10.0.1.1 op 00:80:c8:57:d3:aa |
Het externe systeem reageert met het verstrekken van de hardware-adres. Nu het werkstation het hardware-adres van het externe systeem kent, kan het ermee communiceren.
het DNS-Protocol
het DNS-protocol (Domain Name System) wordt gebruikt om systeemnamen naar IP-adressen om te zetten. Wanneer een Websitenaam in een browser wordt ingevoerd, moet het werkstation het bijbehorende IP-adres kennen om de webserver te bereiken die de site host.
regel # 3
| Protocol: | bron: | bestemming: | gegevens: |
| DNS | 10.0.1.13 | 10.0.1.1 | Standaard zoekopdracht A www.cyberguard.com |
De werkplek vraagt de DNS-server het IP-adres van de Web server hosting www.cyberguard.com.
Lijn # 4
| Protocol: | Bron: | Bestemming: | Gegevens: |
| DNS – | 10.0.1.1 | 10.0.1.13 | Standaard query response CNAME cyberguard.com Een 64.94.50.88 |
Reageert de DNS-server met het IP-adres overeenkomt met www.cyberguard.com.
het TCP-Protocol
het Transmission Control Protocol (TCP) – protocol wordt gebruikt om gegevens over te dragen. Deze drie lijnen bestaan uit de TCP three-way handshake:
Lijn # 5
| Protocol: | Bron: | Bestemming: | Gegevens: |
| TCP | 10.0.1.13 | 64.94.50.88 | 1939 > http |
Het werkstation wordt de verbinding met de webserver (SYN). SYN is een afkorting voor “synchroniseren.”
Regel # 6
| Protocol: | Bron: | Bestemming: | Gegevens: |
| TCP | 64.94.50.88 | 10.0.1.13 | http > 1939 |
De webserver reageert weer aangeeft dat het klaar is voor verzending (SYN ACK). SYN ACK is een afkorting voor “synchronize recognition.”
regel # 7
| Protocol: | bron: | bestemming: | gegevens: |
| DNS | 10.0.1.13 | 64.94.50.88 | 1939 > http |
het werkstation stuurt naar de webserver om aan te geven dat het verkeer (ACK) begint te verzenden. Deze bevestiging geeft aan dat de TCP-verbinding tot stand is gebracht en dat het verkeer kan beginnen te stromen.
het HTTP-Protocol
Het Hyper Text Transfer Protocol (HTTP) wordt gebruikt om webpagina ‘ s aan te bieden. U kunt het bewijs hiervan zien op het adres van de website in uw browser (bijv. http://www.cyberguard.com).
Regel # 8
| Protocol: | Bron: | Bestemming: | Gegevens: |
| HTTP | 10.0.1.13 | 64.94.50.88 | GET / HTTP/1.1 |
de browser opent een verbinding met de webserver.
Lijn # 9
| Protocol: | Bron: | Bestemming: | Gegevens: |
| HTTP | 64.94.50.88 | 10.0.1.13 | HTTP/1.1 200 OK |
De Web server accepteert de verbinding.
Regel # 10
| Protocol: | Bron: | Bestemming: | Gegevens: |
| HTTP | 64.94.50.88 | 10.0.1.13 | HTTP-voortzetting |
de HTTP-vervolgregels geven aan waar de inhoud van de html-pagina wordt verzonden. Het bevat tekst, links, enz.
Terug naar het TCP-Protocol
Lijn # 11
| Protocol: | Bron: | Bestemming: | Gegevens: |
| TCP | 10.0.1.13 | 64.94.50.88 | 2577 > http Seq = 388864 Ack=37076821 Win=8241 Len=0 |
deze lijn wordt eigenlijk vier keer herhaald. Het werkstation erkent het laatste pakket.
Regel # 12 (EERSTE)
| Protocol: | Bron: | Bestemming: | Gegevens: |
| TCP | 10.0.1.13 | 64.94.50.88 | 2577 > http Seq=388864 Ack=37077089 Win=0 Len=0 |
Het werkstation stuurt een reset, effectief het neerhalen van de TCP-verbinding.
Tcpdump en Ethereal
het is belangrijk op te merken dat de tcpdump verschillende details zal geven, afhankelijk van waar het op uw netwerk draait. In dit voorbeeld werd tcpdump uitgevoerd op de interne interface van de firewall met een direct verbonden werkstation. Als tcpdump werden gebruikt om dezelfde verkeersstroom op de externe interface te controleren, zou het bron-IP-adres verschijnen als de externe interface van de firewall, op voorwaarde dat Dynamic Network Address Translation (DNAT) op zijn plaats was. Om te zien hoe proxy verkeer stroomt, is het zinvol om tcpdump uit te voeren op zowel de interne als externe interfaces, omdat de proxy fungeert als een tussenpersoon tussen de bron en de bestemming.
de bron van de tabel was een tcpdump-bestand bekeken via Ethereal. De exacte gebruikte syntaxis was: “tcpdump-vvpni dec1-s1514-w /archive2/dec1.dmp host 10.0.1.13”. Het tcpdump commando heeft uitgebreide opties voor het opnemen van zeer specifieke verkeersstromen (dat wil zeggen bron/bestemming, poorten en Booleaanse expressies). Voer voor meer informatie “man tcpdump” in op de commandoregel. De Windows-versie is Windump (http://windump.polito.it).
Ethereal is een goed hulpmiddel om tcpdump-bestanden te bekijken. Het is vrij verkrijgbaar vanaf http://www.ethereal.com.
sommige poorten in een tcpdump zijn mogelijk onbekend voor u. De meest recente lijst van poortnummers is te vinden op http://www.iana.org/assignments/port-numbers (per RFC 3232).