Laboratuvar - Ethernet Çerçevelerini İnceleme için Wireshark Kullanma
Topoloji
Hedefler
1. Bölüm: Ethernet II Çerçevesinde Başlık Alanlarını İnceleme
2. Bölüm: Ethernet Çerçevelerini Yakalamak ve Analiz Etmek için Wireshark Kullanma
Arka Plan / Senaryo
Üst katman protokolleri birbirleriyle iletişim kurduğunda, veriler Open Systems Interconnection (OSI) katmanlarından aşağı akar ve bir 2. Katman çerçevesinde kapsüllenir. Çerçeve bileşenleri, medya erişim türüne bağlıdır. Örneğin, üst katman protokolleri TCP ile IP ve medya erişimi Ethernet ise, 2. Katman çerçeve kapsüllemesi Ethernet II olur. LAN ortamında genellikle bu şekilde olur.
2. Katman kavramlarını öğrenirken çerçeve başlığı bilgilerini analiz etmek yararlıdır. Bu laboratuvarın ilk bölümünde, bir Ethernet II çerçevesindeki alanları gözden geçireceksiniz. 2. Bölüm'de, yerel ve uzak trafik için Ethernet II çerçeve başlık alanlarını yakalamak ve analiz etmek için Wireshark'ı kullanacaksınız.
Gerekli Kaynaklar
• 1 bilgisayar (İnternet erişimine sahip ve Wireshark yüklü Windows 7, Vista veya XP)
1. Bölüm: Ethernet II Çerçevesinde Başlık Alanlarını İnceleme
1. Bölüm'de bir Ethernet II Çerçevesindeki başlık alanlarını ve içeriği inceleyeceksiniz. Bu alanlardaki içeriği incelemek için bir Wireshark yakalaması kullanılacaktır.
1. Adım: Ethernet II başlık alanı açıklamalarını ve uzunluklarını gözden geçirin.
Giriş Hedef
Adres Kaynak
Adres Çerçeve
Türü Veri FCS
8 Bayt 6 Bayt 6 Bayt 2 Bayt 46 - 1500 Bayt 4 Bayt
2. Adım: Bilgisayarın ağ yapılandırmasını inceleyin.
Bu host IP adresi 10.20.164.22 ve varsayılan ağ geçidi IP adresi 10.20.164.17'dir.
3. Adım: Bir Wireshark yakalamasındaki Ethernet çerçevelerini inceleyin.
Aşağıdaki Wireshark yakalamasında, hosttan varsayılan ağ geçidine gönderilen bir ping tarafından
oluşturulan paketleri göstermektedir. Sadece ARP ve ICMP protokollerini görüntülemek için Wireshark'a bir filtre uygulanmıştır. Oturum ağ geçidi yönlendiricisinin MAC adresi için bir ARP sorgusuyla başlar ve dört ping isteği ve yanıtıyla devam eder.
4. Adım: ARP isteğinin Ethernet II başlık içeriğini inceleyin.
Aşağıdaki tabloda Wireshark yakalamasının ilk çerçevesi alınmakta ve Ethernet II başlık alanlarındaki verileri görüntülenmektedir.
Alan Değer Açıklama
Giriş Yakalamada
gösterilmiyor Bu alan, NIC donanımı tarafından işlenen senkronizasyon bitlerini içermektedir.
Hedef Adres Genel Yayın
(ff:ff:ff:ff:ff:ff) Çerçeve için 2. katman adresleri. Her bir adres, 48 bit veya 6 sekizli uzunluğundadır ve 12 onaltılı basamak (0-9,A- F)olarak ifade edilir.
Genel olarak kullanılan bir format 12:34:56:78:9A:BC.
İlk altı onaltılı sayı, ağ arayüz kartının üreticisini (NIC), son altı onaltılı sayı ise NIC'nin seri numarasını içerir.
Hedef adres, hepsi bir olan bir genel yayın veya tekil yayın olabilir. Kaynak adres her zaman tekil yayındır.
Kaynak Adres Dell_24:2a:60 (5c:26:0a:24:2a:60)
Çerçeve Türü 0x0806 Ethernet II çerçeveleri için bu alan, veri alanındaki üst- katman protokol türünü göstermek için kullanılan onaltılı bir değer içerir. Ethernet II tarafından desteklenen çok sayıda üst katman protokolü vardır. İki yaygın çerçeve türü aşağıda belirtilmektedir:
Değer Açıklama 0x0800 IPv4 Protokol
0x0806 Adres çözünürlüğü protokolü (ARP)
Veri ARP Kapsüllenen üst düzey protokolünü içerir. Veri alanı, 46 – 1500 bayt arasındadır.
FCS Yakalamada
gösterilmiyor İletim sırasında hataları tanımlamak için NIC tarafından kullanılan Çerçeve Kontrol Sırası. Gönderen makine tarafından hesaplanan ve çerçeve adreslerini, türü ve veri alanını kapsayan değer. Alıcı tarafından alınır.
Hedef adres alanının içeriğiyle ilgili olarak önemli olan nedir?
_______________________________________________________________________________________
_______________________________________________________________________________________
Bilgisayar, ilk ping isteğini göndermeden önce neden bir genel yayın ARP'si gönderir?
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
İlk addaki kaynağın MAC adresi nedir? _______________________
Kaynak NIC'sinin Tedarikçi No'su (OUI) nedir? __________________________
MAC adresinin hangi kısmı OUI'dir?
_______________________________________________________________________________________
Kaynak NIC seri numarası nedir? _________________________________
2. Bölüm: Ethernet Çerçevelerini Yakalamak ve Analiz Etmek için Wireshark Kullanma
2. Bölüm'de, yerel ve uzak Ethernet çerçevelerini yakalamak için Wireshark'ı kullanacaksınız. Daha sonra, çerçeve başlık alanlarında bulunan bilgileri inceleyeceksiniz.
1. Adım: Bilgisayarınızdaki varsayılan ağ geçidinin IP adresini belirleyin.
Bir komut istemi penceresi açın ve ipconfig komutunu verin.
Bilgisayar Varsayılan Ağ Geçidinin IP Adresi nedir? ________________________
2. Adım: Bilgisayarınızın NIC'sinde trafik yakalamaya başlayın.
a. Wireshark'ı açın.
b. Wireshark Network Analyzer araç çubuğundaki Interface List (Arayüz Listesi) simgesine tıklayın.
c. Wireshark: Capture Interfaces (Wireshark: Arayüzleri Yakala) penceresinde, uygun onay kutusuna tıklayarak trafik yakalamaya başlanacak arayüzü seçin ve Start (Başlat) öğesine tıklayın. Hangi arayüzü işaretleyeceğinizden emin değilseniz, listelenen her bir arayüzle ilgili daha fazla bilgi için Details
(Ayrıntılar) öğesine tıklayın.
d. Packet List (Paket Listesi) penceresinde görüntülenen trafiği gözlemleyin.
3. Adım: Wireshark'ı sadece ICMP trafiğini görüntüleyecek şekilde listeleyin.
İstenmeyen trafiğin görünürlüğünü engellemek için Wireshark'taki filtreyi kullanabilirsiniz. Filtre, istenmeyen verilerin yakalanmasını engellemez; sadece ekranda gösterilecek öğeleri filtreler. Şimdilik, sadece ICMP trafiği görüntülenecektir.
Wireshark Filter kutusuna icmp yazın. Filtreyi doğru yazdığınızda kutunun rengi yeşile döner. Kutu yeşilse, filtreyi uygulamak için Apply (Uygula) düğmesine tıklayın.
4. Adım: Komut istemi penceresinde, bilgisayarınızın varsayılan ağ geçidine ping gönderin.
Komut penceresinde, 1. Adım'da kaydettiğiniz IP adresini kullanarak varsayılan ağ geçidine ping gönderin.
5. Adım: NIC'de trafik yakalamayı durdurun.
Trafik yakalamayı durdurmak için Stop Capture(Yakalamayı Durdur) simgesine tıklayın.
6. Adım: Wireshark'taki ilk Yankı (ping) isteğini inceleyin.
Wireshark ana penceresi, üç bölmeye ayrılır: Packet List (Paket Listesi) bölmesi (üst), Packet Details (Paket Ayrıntıları) bölmesi (orta) ve Packet Bytes (Paket Bayt Sayısı) bölmesi (alt). 3. Adım'da paket yakalamak için doğru arayüzü seçtiyseniz, Wireshark, aşağıdaki örneğe benzer şekilde Wireshark'ın Packet List (Paket Listesi) bölmesinde ICMP bilgilerini görüntülemelidir.
b. Packet Details (Paket Ayrıntıları) bölmesindeki (orta bölüm) ilk satırı inceleyin. Bu satırda, çerçevenin uzunluğu görüntülenir. Bu örnekte 74 bayttır.
c. Packet Details (Paket Ayrıntıları) bölmesindeki ikinci satırda bunun bir Ethernet II çerçevesi olduğu gösterilir. Kaynak ve hedef MAC adresleri de görüntülenir.
Bilgisayarın NIC'sinin MAC adresi nedir? ________________________
Varsayılan ağ geçidinin MAC adresi nedir? ______________________
d. Ethernet II çerçevesiyle ilgili daha fazla bilgi edinmek için ikinci satırın başındaki artı (+) işaretine tıklayabilirsiniz. Artı işareti, eksi (-) işaretine dönüşür.
Ne tür çerçeve görüntüleniyor? ________________________________
e. Orta bölümde görüntülenen son iki satır, çerçevenin veri alanıyla ilgili bilgiler sağlıyor. Veriler, kaynak ve hedef IPv4 adres bilgilerini içeriyor.
Kaynak IP adresi nedir? _________________________________
Hedef IP adresi nedir? ______________________________
f. Packet Bytes (Paket Bayt Sayısı) bölmesinde (alt bölüm) orta bölümdeki herhangi bir satıra tıklayarak çerçevenin o kısmını (onaltılı ve ASCII) vurgulayabilirsiniz. Orta bölümdeki Internet Control Message Protocol (İnternet Kontrol Mesajı Protokolü) satırına tıklayın ve Packet Bytes (Paket Bayt Sayısı) bölmesinde görüntülenenleri inceleyin.
Vurgulanan son iki sekizlide ne yazıyor? ______
g. Üst bölümdeki sonraki çerçeveye tıklayın ve Yankı yanıtı çerçevesini inceleyin. Bu çerçeve ilk pinge yanıt olarak varsayılan ağ geçidi yönlendiricisinden gönderildiğinden, kaynak ve hedef MAC adresleri ters çevrilmiştir.
Hedef adres olarak hangi cihaz ve MAC adresleri görüntülenir?
___________________________________________
7. Adım: Wireshark'ta paket yakalamayı yeniden başlatın.
Yeni bir Wireshark yakalaması başlatmak için Start Capture (Yakalama Başlat) simgesine tıklayın. Yeni bir yakalama başlatmadan önce, önceki yakalanan paketleri bir dosyaya kaydetmek isteyip istemediğinizi soran bir açılan pencere görüntülenir. Continue without Saving (Kaydetmeden Devam Et) öğesine tıklayın.
8. Adım: Komut istemi penceresinde www.cisco.com adresine ping gönderin.
9. Adım: Paket yakalamayı durdurun.
10. Adım: Wireshark'ın paket listesi bölmesindeki yeni verileri inceleyin.
İlk yankı (ping) isteği çerçevesinde, kaynak ve hedef MAC adresleri nelerdir?
Kaynak: _________________________________.
Hedef: ______________________________.
Çerçevenin veri alanında bulunan kaynak ve hedef IP adresleri nelerdir?
Kaynak: _________________________________
Hedef: ______________________________
Bu adresleri, 7. Adım'da aldığınız adreslerle karşılaştırın. Değişen tek adres, hedef IP adresidir. Hedef MAC adresi aynı kalmasına rağmen hedef IP adresi neden değişti?
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
Değerlendirme
Wireshark, çerçeve başlığının giriş alanını görüntülemez. Giriş alanı ne içerir?
_______________________________________________________________________________________
_______________________________________________________________________________________