TANet PROTOCOL ANALYSIS - WIRESHARK - 350
TANet P R O T O C O L A N A L Y S I S 1-1 1-2 TANet P R O T O C O L A N A L Y S I S 自我簡介 課程目的 課程安排 軟體簡介 LAB – PING LAB – DNS LAB – FTP 安裝使用 觀念釐清 封包過濾 課堂練習 進階擷取 S.P.- DHCP S.P. - HTTP S.P. - MSN 自我簡介 姓 名 3 5 0 ( 張瑋麟 ) 工作經歷 2002.03 ~ 2004.02 愛維斯廣告股份有限公司 2004.05 ~ 2006.12 大偉建設企業股份有限公司 2007.10 ~ 2010.03 文壹數碼資訊服務公司 (HK) 2010.04 ~ Now 吉X股份有限公司 教學經歷 2007.09 ~ Now 中央大學資策會 – 網路管理 2008.10 ~ 2010.03 文壹數碼資訊服務公司 - 新進人員訓練 2008.12 ~ 2009.02 恆逸教育訓練中心 – 電腦入門 (代課) 2009.01 ~ Now 中央大學資策會 – 網路協定分析
TANet P R O T O C O L A N A L Y S I S 1-1 1-2 TANet P R O T O C O L A N A L Y S I S 自我簡介 課程目的 課程安排 軟體簡介 LAB – PING LAB – DNS LAB – FTP 安裝使用 觀念釐清 封包過濾 課堂練習 進階擷取 S.P.- DHCP S.P. - HTTP S.P. - MSN 課程目的 幫助學習及了解網路 TCP/IP 的理論與實際的差異 瞭解網路封包的實際交換方式 暸解網路資訊傳遞的真實狀態 從網路封包找出可用訊息或資訊 有效進行網路相關問題排除 ( Trouble shooting )
TANet P R O T O C O L A N A L Y S I S 1-1 1-2 TANet P R O T O C O L A N A L Y S I S 自我簡介 課程目的 課程安排 軟體簡介 LAB – PING LAB – DNS LAB – FTP 安裝使用 觀念釐清 封包過濾 課堂練習 進階擷取 S.P.- DHCP S.P. - HTTP S.P. - MSN 課程安排 DAY1-1 DAY1-2 課程目的與簡介 安裝與使用 Wireshark 網路相關觀念釐清 使用條件過濾封包 進階擷取* PING DNS FTP DHCP* HTTP* MSN* INTRODUCTION STUDY1 S T U D Y 2 S T U D Y 3 SPECIAL LAB-1 LAB-2 LAB-3
TANet P R O T O C O L A N A L Y S I S 1-1 1-2 TANet P R O T O C O L A N A L Y S I S 自我簡介 課程目的 課程安排 軟體簡介 LAB – PING LAB – DNS LAB – FTP 安裝使用 觀念釐清 封包過濾 課堂練習 進階擷取 S.P.- DHCP S.P. - HTTP S.P. - MSN 軟體簡介(WIRESHARK , before Ethereal) 觀察封包進出狀態 線上抓取封包,可離線解析封包內容 即時解讀 Ethernet*, IEEE 802.11, PPP/HDLC, ATM, Bluetooth… 資料內容 即時解密 IPsec, ISAKMP, Kerberos, SNMPv3, SSL/TLS, WEP, and WPA/WPA2 資訊內容 支援 Windows*, Linux, OS X, Solaris, FreeBSD, NetBSD… 等平台 web:http://www.wireshark.org
TANet P R O T O C O L A N A L Y S I S 1-1 1-2 TANet P R O T O C O L A N A L Y S I S 自我簡介 課程目的 課程安排 軟體簡介 LAB – PING LAB – DNS LAB – FTP 安裝使用 觀念釐清 封包過濾 課堂練習 進階擷取 S.P.- DHCP S.P. - HTTP S.P. - MSN 軟體安裝與使用 Wireshark 軟體下載 - http://www.wireshark.org/download.html Wireshark 使用說明文件 - http://www.wireshark.org/docs/ 本講義之安裝示範與使用教學*
P R O T O C O L A N A L Y S I S INSTALL WIRESHARK
TANet P R O T O C O L A N A L Y S I S 1-1 1-2 TANet P R O T O C O L A N A L Y S I S 自我簡介 課程目的 課程安排 軟體簡介 LAB – PING LAB – DNS LAB – FTP 安裝使用 觀念釐清 封包過濾 課堂練習 進階擷取 S.P.- DHCP S.P. - HTTP S.P. - MSN 觀念釐清 OSI ref. model v.s. TCP/IP stack Application Presentation Session Transport Netwrok Data Link Physical Internet Network Access OSI TCP/IP
TANet P R O T O C O L A N A L Y S I S 1-1 1-2 TANet P R O T O C O L A N A L Y S I S 自我簡介 課程目的 課程安排 軟體簡介 LAB – PING LAB – DNS LAB – FTP 安裝使用 觀念釐清 封包過濾 課堂練習 進階擷取 S.P.- DHCP S.P. - HTTP S.P. - MSN 觀念釐清 function of TCP/IP stack Application Transport Internet Network Access TCP/IP Ethernet IP ICMP TCP ARP RARP UDP DHCP FTP HTTP DNS SNMP …… IGMP FDDI X.25 Token Ring Frame Relay ISDN …
TANet P R O T O C O L A N A L Y S I S 1-1 1-2 TANet P R O T O C O L A N A L Y S I S 自我簡介 課程目的 課程安排 軟體簡介 LAB – PING LAB – DNS LAB – FTP 安裝使用 觀念釐清 封包過濾 課堂練習 進階擷取 S.P.- DHCP S.P. - HTTP S.P. - MSN 觀念釐清 IP Address v.s. Mac Address Application Transport Internet Network Access TCP/IP Ethernet IP ICMP TCP ARP RARP UDP DHCP FTP HTTP DNS SNMP …… IGMP FDDI X.25 Token Ring Frame Relay ISDN … Mac Address FF:FF:FF:FF:FF:FF IP Address FF.FF.FF.FF / FF
TANet P R O T O C O L A N A L Y S I S 1-1 1-2 TANet P R O T O C O L A N A L Y S I S 自我簡介 課程目的 課程安排 軟體簡介 LAB – PING LAB – DNS LAB – FTP 安裝使用 觀念釐清 封包過濾 課堂練習 進階擷取 S.P.- DHCP S.P. - HTTP S.P. - MSN 觀念釐清 Protocol Number v.s. Port Number Application Transport Internet Network Access TCP/IP Ethernet IP ICMP TCP ARP RARP UDP DHCP FTP HTTP DNS SNMP …… IGMP FDDI X.25 Token Ring Frame Relay ISDN … Port Number_ SMTP=25 FTP=20,21 HTTP=80 DNS=53 SNMP=161,162 Protocol Number TCP=6 UDP=17
TANet P R O T O C O L A N A L Y S I S 1-1 1-2 TANet P R O T O C O L A N A L Y S I S 自我簡介 課程目的 課程安排 軟體簡介 LAB – PING LAB – DNS LAB – FTP 安裝使用 觀念釐清 封包過濾 課堂練習 進階擷取 S.P.- DHCP S.P. - HTTP S.P. - MSN 觀念釐清 Hub v.s. Switch 集線器 交換器 Application Presentation Session Transport Netwrok Data Link Physical OSI Hub_ Switch_
TANet P R O T O C O L A N A L Y S I S 1-1 1-2 TANet P R O T O C O L A N A L Y S I S 自我簡介 課程目的 課程安排 軟體簡介 LAB – PING LAB – DNS LAB – FTP 安裝使用 觀念釐清 封包過濾 課堂練習 進階擷取 S.P.- DHCP S.P. - HTTP S.P. - MSN 觀念釐清 Hub (Layer 1) -訊號複製 (放大),廣播式傳出 -電腦越多,頻寬利用率越差,碰撞容易越多 -共用固有頻寬 PC A PC B PC C PC D HUB PORT 1 PORT 2 PORT 3 PORT 4
TANet P R O T O C O L A N A L Y S I S 1-1 1-2 TANet P R O T O C O L A N A L Y S I S 自我簡介 課程目的 課程安排 軟體簡介 LAB – PING LAB – DNS LAB – FTP 安裝使用 觀念釐清 封包過濾 課堂練習 進階擷取 S.P.- DHCP S.P. - HTTP S.P. - MSN 觀念釐清 Switch (Layer 2) -訊號轉送,點對點傳出 (MAC learning) -電腦多寡不影響傳輸速率 (Cut through、Store-and-forward、Fragment free…) -各 Port 固定頻寬 PC A PC B PC C PC D Switch PORT 1 PORT 2 PORT 3 PORT 4
Quick Start With WIRESHARK P R O T O C O L A N A L Y S I S Quick Start With WIRESHARK
TANet P R O T O C O L A N A L Y S I S 1-1 1-2 TANet P R O T O C O L A N A L Y S I S 自我簡介 課程目的 課程安排 軟體簡介 LAB – PING LAB – DNS LAB – FTP 安裝使用 觀念釐清 封包過濾 課堂練習 進階擷取 S.P.- DHCP S.P. - HTTP S.P. - MSN 為什麼需要封包過濾? 網路上流竄的封包太多、又雜 -各種服務 ( Server/Client ) 的廣播封包 ( NetBIOS、ARP… ) -各種軟體的狀態資訊交換 ( ERP-App、IM-App… ) 快速找到所要的封包 -只要找 ping 的封包 -只要找某台主機有關的封包 -只要找特定 Port 、 IP 封包
TANet P R O T O C O L A N A L Y S I S 1-1 1-2 TANet P R O T O C O L A N A L Y S I S 自我簡介 課程目的 課程安排 軟體簡介 LAB – PING LAB – DNS LAB – FTP 安裝使用 觀念釐清 封包過濾 課堂練習 進階擷取 S.P.- DHCP S.P. - HTTP S.P. - MSN 過濾封包的優點 你要的封包是哪一個? 過濾封包的優點 -減少看錯封包的機會 -節省找封包的時間
TANet P R O T O C O L A N A L Y S I S 1-1 1-2 TANet P R O T O C O L A N A L Y S I S 自我簡介 課程目的 課程安排 軟體簡介 LAB – PING LAB – DNS LAB – FTP 安裝使用 觀念釐清 封包過濾 課堂練習 進階擷取 S.P.- DHCP S.P. - HTTP S.P. - MSN 過濾的方式 擷取過濾 ( Capture Filter ) -擷取封包過程當中過濾 顯示過濾* ( Display Filter ) -擷取封包完畢之後過濾
TANet P R O T O C O L A N A L Y S I S 1-1 1-2 TANet P R O T O C O L A N A L Y S I S 自我簡介 課程目的 課程安排 軟體簡介 LAB – PING LAB – DNS LAB – FTP 安裝使用 觀念釐清 封包過濾 課堂練習 進階擷取 S.P.- DHCP S.P. - HTTP S.P. - MSN 顯示過濾 正確 Filter 條件過濾
TANet P R O T O C O L A N A L Y S I S 1-1 1-2 TANet P R O T O C O L A N A L Y S I S 自我簡介 課程目的 課程安排 軟體簡介 LAB – PING LAB – DNS LAB – FTP 安裝使用 觀念釐清 封包過濾 課堂練習 進階擷取 S.P.- DHCP S.P. - HTTP S.P. - MSN 顯示過濾 錯誤 Filter 條件過濾
TANet P R O T O C O L A N A L Y S I S 1-1 1-2 TANet P R O T O C O L A N A L Y S I S 自我簡介 課程目的 課程安排 軟體簡介 LAB – PING LAB – DNS LAB – FTP 安裝使用 觀念釐清 封包過濾 課堂練習 進階擷取 S.P.- DHCP S.P. - HTTP S.P. - MSN 顯示過濾:語法表示法 表示 符號 ============= 等於 eq == 不等於 ne != 大於 gt > 小於 lt < 大於等於 ge >= 小於等於 lt <= 表示 符號 ============= 與 and && 或 or || 異 xor ^^ 非 not ! 字串 [???] Protocol . [String1] . [String2] [Comparison Operator] [Value] [Logical Operations] [Other Expression] 協 定 . [ 字串1 ] . [ 字串2 ] [ 比 較 值 ] [ 值 ] [ 邏 輯 運 算 ] [ 其 他 表 達 式 ]
TANet P R O T O C O L A N A L Y S I S 1-1 1-2 TANet P R O T O C O L A N A L Y S I S 自我簡介 課程目的 課程安排 軟體簡介 LAB – PING LAB – DNS LAB – FTP 安裝使用 觀念釐清 封包過濾 課堂練習 進階擷取 S.P.- DHCP S.P. - HTTP S.P. - MSN 範例一:顯示 ARP 廣播封包 Protocol . [String1] . [String2] [Comparison Operator] [Value] [Logical Operations] [Other Expression] 協 定 . [ 字串1 ] . [ 字串2 ] [ 比 較 值 ] [ 值 ] [ 邏 輯 運 算 ] [ 其 他 表 達 式 ] arp
TANet P R O T O C O L A N A L Y S I S 1-1 1-2 TANet P R O T O C O L A N A L Y S I S 自我簡介 課程目的 課程安排 軟體簡介 LAB – PING LAB – DNS LAB – FTP 安裝使用 觀念釐清 封包過濾 課堂練習 進階擷取 S.P.- DHCP S.P. - HTTP S.P. - MSN 範例二:顯示封包 IP 為 192.168.0.1 位置的封包 Protocol . [String1] . [String2] [Comparison Operator] [Value] [Logical Operations] [Other Expression] 協 定 . [ 字串1 ] . [ 字串2 ] [ 比 較 值 ] [ 值 ] [ 邏 輯 運 算 ] [ 其 他 表 達 式 ] ip . addr == 192.168.0.1
TANet P R O T O C O L A N A L Y S I S 1-1 1-2 TANet P R O T O C O L A N A L Y S I S 自我簡介 課程目的 課程安排 軟體簡介 LAB – PING LAB – DNS LAB – FTP 安裝使用 觀念釐清 封包過濾 課堂練習 進階擷取 S.P.- DHCP S.P. - HTTP S.P. - MSN 範例三:顯示有關 SSL 加密封包與一般 網頁封包 Protocol . [String1] . [String2] [Comparison Operator] [Value] [Logical Operations] [Other Expression] 協 定 . [ 字串1 ] . [ 字串2 ] [ 比 較 值 ] [ 值 ] [ 邏 輯 運 算 ] [ 其 他 表 達 式 ] tcp . port == 443 or tcp.port==80
P R O T O C O L A N A L Y S I S Filter With WIRESHARK
TANet P R O T O C O L A N A L Y S I S 1-1 1-2 TANet P R O T O C O L A N A L Y S I S 自我簡介 課程目的 課程安排 軟體簡介 LAB – PING LAB – DNS LAB – FTP 安裝使用 觀念釐清 封包過濾 課堂練習 進階擷取 S.P.- DHCP S.P. - HTTP S.P. - MSN 課堂練習題目 01.請找出所有UDP的封包 02.請找出所有有關DNS的封包 03.請找出所有有關DNS和 ICMP的封包 04.請找出所有自己IP發出去的封包 05.請找出所有非自己IP的封包 06.請找出所有UDP 80 Port的封包 07.請找出所有port 為 21 和 20 的封包 08.請找出有關自己IP的 TCP Port 80 的封包 09.請找出由自己發出的廣播封包 10.請找出是Gateway的封包,但是不是廣播 的封包 11.請找出是自己發出的封包,但是目的地不 是給 168.95.1.1 的封包 12.請找出所有非自己發出,也非 Gateway 發出 13.請找出所有來源 IP 的 80 Port 封包 14.請找出TCP Port 大於 1000 的封包 15.請找出 沒有使用 IP 協定的封包 16.請找出 ARP 的查詢的封包,不要回覆的封包 17.請找出 ICMP 的回應封包 18.請找出所有發給自己的封包,且 IP 封包長 度超過 1000 bytes 的封包 19.請找出本網段所有的封包 20.請找出有關 DNS 查詢 www.google.com 的 查詢往來封包 21.請找出所有D-Link網卡接收到的封包 22.請找出非本網段的廣播封包
TANet P R O T O C O L A N A L Y S I S 1-1 1-2 TANet P R O T O C O L A N A L Y S I S 自我簡介 課程目的 課程安排 軟體簡介 LAB – PING LAB – DNS LAB – FTP 安裝使用 觀念釐清 封包過濾 課堂練習 進階擷取 S.P.- DHCP S.P. - HTTP S.P. - MSN 課堂練習參考答案 01-11 01.請找出所有UDP的封包 02.請找出所有有關DNS的封包 03.請找出所有有關DNS和 ICMP的封包 04.請找出所有自己IP發出去的封包 05.請找出所有非自己IP的封包 06.請找出所有UDP 80 Port的封包 07.請找出所有port 為 21 和 20 的封包 08.請找出有關自己IP的 TCP Port 80 的封包 09.請找出由自己發出的廣播封包 10.請找出是Gateway的封包,但是不是廣播 的封包 11.請找出是自己發出的封包,但是目的地不 是給 168.95.1.1 的封包 udp tcp.port == 53 or udp.port == 53 dns or icmp ip.src == 192.168.0.175 !(ip.addr == 192.168.0.175) udp.port == 80 tcp.port == 20 or tcp.port == 21 ip.addr == 192.168.0.175 and tcp.port == 80 ip.src == 192.168.0.175 and eth.addr == ff:ff:ff:ff:ff:ff ip.addr == 192.168.0.1 and !(eth.addr == ff:ff:ff:ff:ff:ff) ip.src == 192.168.0.175 and !(ip.dst == 168.95.1.1)
TANet P R O T O C O L A N A L Y S I S 1-1 1-2 TANet P R O T O C O L A N A L Y S I S 自我簡介 課程目的 課程安排 軟體簡介 LAB – PING LAB – DNS LAB – FTP 安裝使用 觀念釐清 封包過濾 課堂練習 進階擷取 S.P.- DHCP S.P. - HTTP S.P. - MSN 課堂練習參考答案 12-22 12.請找出所有非自己發出,也非 Gateway 發出 的封包 13.請找出所有來源 IP 的 80 Port 封包 14.請找出TCP Port 大於 1000 的封包 15.請找出 沒有使用 IP 協定的封包 16.請找出 ARP 的查詢的封包,不要回覆的封包 17.請找出 ICMP 的回應封包 18.請找出所有發給自己的封包,且 IP 封包長 度超過 1000 bytes 的封包 19.請找出本網段所有的封包 20.請找出有關 DNS 查詢 www.google.com 的 查詢往來封包 21.請找出所有D-Link網卡接收到的封包 22.請找出非本網段的廣播封包 !(ip.src == 192.168.0.175) and !(ip.src == 192.168.0.1) tcp.srcport == 80 and udp.srcport == 80 tcp.port > 1000 not eth.type == 0x0800 arp.opcode == 0x1 icmp.type == 0x0 ip.dst == 192.168.0.175 and ip.len > 1000 ip.addr == 192.168.0.0/24 dns.qry.name == www.google.com eth.dst [0-2] == 00:0d:88 and eth.addr [0-2] == 00:0d:88 ip.addr == 192.168.0.0/24 and !(eth.addr == ff:ff:ff:ff:ff:ff)
P R O T O C O L A N A L Y S I S Filter With WIRESHARK
P R O T O C O L A N A L Y S I S 1-1-SP : 進階擷取
TANet P R O T O C O L A N A L Y S I S 1-1 1-2 TANet P R O T O C O L A N A L Y S I S 自我簡介 課程目的 課程安排 軟體簡介 LAB – PING LAB – DNS LAB – FTP 安裝使用 觀念釐清 封包過濾 課堂練習 進階擷取 S.P.- DHCP S.P. - HTTP S.P. - MSN 你應該知道: * *
P R O T O C O L A N A L Y S I S 1-1-SP : 進階擷取 START
P R O T O C O L A N A L Y S I S 1-2-1 : PING
TANet P R O T O C O L A N A L Y S I S 1-1 1-2 TANet P R O T O C O L A N A L Y S I S 自我簡介 課程目的 課程安排 軟體簡介 LAB – PING LAB – DNS LAB – FTP 安裝使用 觀念釐清 封包過濾 課堂練習 進階擷取 S.P.- DHCP S.P. - HTTP S.P. - MSN Ping to Gateway 演示 TYPE : 8 DATA : abcdefghijklmnopqr…… TYPE : 0 DATA : abcdefghijklmnopqr…… TYPE : 0 DATA : abcdefghijklmnopqr…… TYPE : 8 DATA : abcdefghijklmnopqr…… Gateway 192.168.0.1 PC/Workstation 192.168.0.175 ICMP ICMP Tx Time : 2019/2/28 06:50:56.1100 2019/2/28 06:50:56.1130 : Rx Time 3ms
TANet P R O T O C O L A N A L Y S I S 1-1 1-2 TANet P R O T O C O L A N A L Y S I S 自我簡介 課程目的 課程安排 軟體簡介 LAB – PING LAB – DNS LAB – FTP 安裝使用 觀念釐清 封包過濾 課堂練習 進階擷取 S.P.- DHCP S.P. - HTTP S.P. - MSN Ping to Gateway Frame header : data 802.3 ( Ethernet II * ) PREAMBLE SFD DESTINATIONS MAC ADDRESS SOURCE MAC ADDRESS LENGTH ( TYPE ) DATA FCS 10101010 x7 10101011 000D88B0E36F 001DD96019C2 0800 ? { DATA }
TANet P R O T O C O L A N A L Y S I S 1-1 1-2 TANet P R O T O C O L A N A L Y S I S 自我簡介 課程目的 課程安排 軟體簡介 LAB – PING LAB – DNS LAB – FTP 安裝使用 觀念釐清 封包過濾 課堂練習 進階擷取 S.P.- DHCP S.P. - HTTP S.P. - MSN Internetworking Protocol (0x0800) IP header : data VERS HLEN SERVER TYPE TOTAL LENGTH IDENTIFICATION FLAGS FRAGMENT OFFSET TIME TO LIVE PROTOCOL HEADER CHECKSUM SOURCE IP ADDRESS DESTINATION IP ADDRESS IP OPTIONS PADDING DATA
TANet P R O T O C O L A N A L Y S I S 1-1 1-2 TANet P R O T O C O L A N A L Y S I S 自我簡介 課程目的 課程安排 軟體簡介 LAB – PING LAB – DNS LAB – FTP 安裝使用 觀念釐清 封包過濾 課堂練習 進階擷取 S.P.- DHCP S.P. - HTTP S.P. - MSN Internet Control Message Protocol (0x01) ICMP header : data TYPE CODE CHECKSUM DATA
TANet P R O T O C O L A N A L Y S I S 1-1 1-2 TANet P R O T O C O L A N A L Y S I S 自我簡介 課程目的 課程安排 軟體簡介 LAB – PING LAB – DNS LAB – FTP 安裝使用 觀念釐清 封包過濾 課堂練習 進階擷取 S.P.- DHCP S.P. - HTTP S.P. - MSN Ping to Gateway (Frame datagram) FRAME { IP ( ICMP : data ) } FRAME DATA IP ICMP data
TANet P R O T O C O L A N A L Y S I S 1-1 1-2 TANet P R O T O C O L A N A L Y S I S 自我簡介 課程目的 課程安排 軟體簡介 LAB – PING LAB – DNS LAB – FTP 安裝使用 觀念釐清 封包過濾 課堂練習 進階擷取 S.P.- DHCP S.P. - HTTP S.P. - MSN Address Resolution Protocol (0x0806) ARP header HARDWARE TYPE PROTOCOL TYPE HLEN PLEN OPERATION SENDER MAC ADDRESS SENDER IP ADDRESS TARGET MAC ADDRESS TARGET IP ADDRESS
TANet P R O T O C O L A N A L Y S I S 1-1 1-2 TANet P R O T O C O L A N A L Y S I S 自我簡介 課程目的 課程安排 軟體簡介 LAB – PING LAB – DNS LAB – FTP 安裝使用 觀念釐清 封包過濾 課堂練習 進階擷取 S.P.- DHCP S.P. - HTTP S.P. - MSN Ping to Other (Frame datagram) FRAME { ARP } FRAME DATA ARP
TANet P R O T O C O L A N A L Y S I S 1-1 1-2 TANet P R O T O C O L A N A L Y S I S 自我簡介 課程目的 課程安排 軟體簡介 LAB – PING LAB – DNS LAB – FTP 安裝使用 觀念釐清 封包過濾 課堂練習 進階擷取 S.P.- DHCP S.P. - HTTP S.P. - MSN 成果目標 ICMP 的 Request 與 Reply。 由 ICMP 衍申出的其他協定 ARP。 Ping 已知電腦的情況分析。 Ping 未知電腦的情況分析。 Ping 錯誤網段的情況分析。
P R O T O C O L A N A L Y S I S 1-2-1 : PING START
P R O T O C O L A N A L Y S I S 1-2-1 : DNS
TANet P R O T O C O L A N A L Y S I S 1-1 1-2 TANet P R O T O C O L A N A L Y S I S 自我簡介 課程目的 課程安排 軟體簡介 LAB – PING LAB – DNS LAB – FTP 安裝使用 觀念釐清 封包過濾 課堂練習 進階擷取 S.P.- DHCP S.P. - HTTP S.P. - MSN 什麼是 DNS Domain Name System UDP 53 Port*, TCP 53 Port 以有意義的名稱取代無意義的數字
TANet P R O T O C O L A N A L Y S I S 1-1 1-2 TANet P R O T O C O L A N A L Y S I S 自我簡介 課程目的 課程安排 軟體簡介 LAB – PING LAB – DNS LAB – FTP 安裝使用 觀念釐清 封包過濾 課堂練習 進階擷取 S.P.- DHCP S.P. - HTTP S.P. - MSN UDP 演示 Application Transport Internet Network Access IP TCP UDP Server Client HELLO H E L L O
TANet P R O T O C O L A N A L Y S I S 1-1 1-2 TANet P R O T O C O L A N A L Y S I S 自我簡介 課程目的 課程安排 軟體簡介 LAB – PING LAB – DNS LAB – FTP 安裝使用 觀念釐清 封包過濾 課堂練習 進階擷取 S.P.- DHCP S.P. - HTTP S.P. - MSN User Datagram Protocol (0x11) UDP header : DATA SOURCE PORT DESTINATION PORT LENGTH CHECKSUM DATA
TANet P R O T O C O L A N A L Y S I S 1-1 1-2 TANet P R O T O C O L A N A L Y S I S 自我簡介 課程目的 課程安排 軟體簡介 LAB – PING LAB – DNS LAB – FTP 安裝使用 觀念釐清 封包過濾 課堂練習 進階擷取 S.P.- DHCP S.P. - HTTP S.P. - MSN 沒有 DNS 時… Wireshark 的網站 IP 是 67.228.110.120。 好記憶嗎?能記住多久? 使用 DNS 時… Wireshark 的網址是 www.wireshark.org。 host . Domain Name 好記憶嗎?能記住多久?
TANet P R O T O C O L A N A L Y S I S 1-1 1-2 TANet P R O T O C O L A N A L Y S I S 自我簡介 課程目的 課程安排 軟體簡介 LAB – PING LAB – DNS LAB – FTP 安裝使用 觀念釐清 封包過濾 課堂練習 進階擷取 S.P.- DHCP S.P. - HTTP S.P. - MSN DNS 查詢演示 ( 以 ping 為例 ) Internet Intranet www.wireshark.org 67.228.110.120 C:\> _ O X ping www.wireshark.org Pinging www.wireshark.org [67.228.110.120] with 32 bytes of data: Reply from 67.228.110.120: bytes=32 time=304ms TTL=45 Reply from 67.228.110.120: bytes=32 time=226ms TTL=45 Reply from 67.228.110.120: bytes=32 time=250ms TTL=45 Reply from 67.228.110.120: bytes=32 time=274ms TTL=45 Ping statistics for 67.228.110.120: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 226ms, Maximum = 304ms, Average = 263ms Answer : It’s 67.228.110.120 Function1:XXXXXXXXXXX Function2:XXXXXX Function3:XXXXXXXXXX Question : Who are ‘www.wireshark.org’ ? Query : 168.95.1.1 . . . . . . . ? Gateway 192.168.0.1 PC/Workstation 192.168.0.175 GW:192.168.0.1 DNS:168.95.1.1 Answer : It’s 67.228.110.120 Function1:XXXXXXXXXXX Function2:XXXXXX Function3:XXXXXXXXXX Question : Who are ‘www.wireshark.org’ ? Query : 168.95.1.1 ICMP DNS DNS Server 168.95.1.1 DNS Question : Who are ‘www.wireshark.org’ ? Query : 168.95.1.1
TANet P R O T O C O L A N A L Y S I S 1-1 1-2 TANet P R O T O C O L A N A L Y S I S 自我簡介 課程目的 課程安排 軟體簡介 LAB – PING LAB – DNS LAB – FTP 安裝使用 觀念釐清 封包過濾 課堂練習 進階擷取 S.P.- DHCP S.P. - HTTP S.P. - MSN Domain Name System Protocol (53) DNS header : option IDENTIFICATION QR OPCODE AA TC RD RA Z AD CD RCODE QUESTIONS ANSWER RRS AUTHORITY RRS ADDITIONAL RRS
TANet P R O T O C O L A N A L Y S I S 1-1 1-2 TANet P R O T O C O L A N A L Y S I S 自我簡介 課程目的 課程安排 軟體簡介 LAB – PING LAB – DNS LAB – FTP 安裝使用 觀念釐清 封包過濾 課堂練習 進階擷取 S.P.- DHCP S.P. - HTTP S.P. - MSN DNS (Frame datagram) FRAME { IP ( UDP < DNS > ) } FRAME DATA IP UDP DNS
TANet P R O T O C O L A N A L Y S I S 1-1 1-2 TANet P R O T O C O L A N A L Y S I S 自我簡介 課程目的 課程安排 軟體簡介 LAB – PING LAB – DNS LAB – FTP 安裝使用 觀念釐清 封包過濾 課堂練習 進階擷取 S.P.- DHCP S.P. - HTTP S.P. - MSN 成果目標 UDP 運作方式與優缺點。 DNS 協定內容。 查詢方式為何? 查詢不到的狀況為何? 沒有 DNS 時的狀況為何?
P R O T O C O L A N A L Y S I S 1-2-2 : DNS START
P R O T O C O L A N A L Y S I S 1-2-3 : FTP
TANet P R O T O C O L A N A L Y S I S 1-1 1-2 TANet P R O T O C O L A N A L Y S I S 自我簡介 課程目的 課程安排 軟體簡介 LAB – PING LAB – DNS LAB – FTP 安裝使用 觀念釐清 封包過濾 課堂練習 進階擷取 S.P.- DHCP S.P. - HTTP S.P. - MSN Server Port Client Port Data Port → 20 Command Port → 21 Data Port → Random Port (1024↑) Command Port → Random Port (1024↑)
1-1 1-2 FTP 演示 FTP Server PC/Workstation Data Transmission 1-1 1-2 TANet P R O T O C O L A N A L Y S I S 自我簡介 課程目的 課程安排 軟體簡介 LAB – PING LAB – DNS LAB – FTP 安裝使用 觀念釐清 封包過濾 課堂練習 進階擷取 S.P.- DHCP S.P. - HTTP S.P. - MSN FTP 演示 Yes, right ! go ! Hey, you there ? Ya, I’m there.Connection? Ya, I’m there.Connection? Yes, right ! go ! Hey, you there ? FTP Server PC/Workstation Data Transmission FTP TCP TCP TCP
TANet P R O T O C O L A N A L Y S I S 1-1 1-2 TANet P R O T O C O L A N A L Y S I S 自我簡介 課程目的 課程安排 軟體簡介 LAB – PING LAB – DNS LAB – FTP 安裝使用 觀念釐清 封包過濾 課堂練習 進階擷取 S.P.- DHCP S.P. - HTTP S.P. - MSN three-way handshaking 演示 (Time Line) FTP Server PC/Workstation TIME SYN SEQ=0 SYN,ACK SEQ=0, ACK=1 ACK SEQ=1, ACK=1 Data Transmission
TANet P R O T O C O L A N A L Y S I S 1-1 1-2 TANet P R O T O C O L A N A L Y S I S 自我簡介 課程目的 課程安排 軟體簡介 LAB – PING LAB – DNS LAB – FTP 安裝使用 觀念釐清 封包過濾 課堂練習 進階擷取 S.P.- DHCP S.P. - HTTP S.P. - MSN TCP 演示 (three-way handshaking - Ready) Application Transport Internet Network Access IP TCP UDP Server Client HELLO ? HELLO H SEQ:1 ACK:122 H SEQ:1 ACK:122 E SEQ:123 ACK:122 E SEQ:123 ACK:122 L SEQ:245 ACK:122 L SEQ:245 ACK:122 L SEQ:245 ACK:122 L SEQ:367 ACK:122 L SEQ:367 ACK:122 O SEQ:489 ACK:1 O SEQ:489 ACK:1 ACK SEQ=122 ACK=489 ACK SEQ=122 ACK=245 ACK SEQ=122 ACK=123 ACK SEQ=122 ACK=367 ACK SEQ=122 ACK=489
TANet P R O T O C O L A N A L Y S I S 1-1 1-2 TANet P R O T O C O L A N A L Y S I S 自我簡介 課程目的 課程安排 軟體簡介 LAB – PING LAB – DNS LAB – FTP 安裝使用 觀念釐清 封包過濾 課堂練習 進階擷取 S.P.- DHCP S.P. - HTTP S.P. - MSN Transmission Control Protocol (0x06) TCP header : OPTION : DATA SOURCE PORT DESTINATION PORT SEQUENCE NUMBER ACKNOWLEDGMENT NUMBER DATA OFFSET RESERVED FLAGS WINDOW SIZE CHECKSUM URGENT POINTER OPTION DATA
TANet P R O T O C O L A N A L Y S I S 1-1 1-2 TANet P R O T O C O L A N A L Y S I S 自我簡介 課程目的 課程安排 軟體簡介 LAB – PING LAB – DNS LAB – FTP 安裝使用 觀念釐清 封包過濾 課堂練習 進階擷取 S.P.- DHCP S.P. - HTTP S.P. - MSN FTP 連線模式(A) 主動模式 (Active Mode) PORT Hello 21, I’m 11276. I want “$”. Please give 11278 ! Hello 21, I’m 11276. I want “@” . Please give 11280 ! Hello 11278, I’m 20, That’s “$”. Hello 11280, I’m 20, That’s “@”. FTP Server PC/Workstation 11276 OK, I've got it . $ @ 20 21 11278 11280
TANet P R O T O C O L A N A L Y S I S 1-1 1-2 TANet P R O T O C O L A N A L Y S I S 自我簡介 課程目的 課程安排 軟體簡介 LAB – PING LAB – DNS LAB – FTP 安裝使用 觀念釐清 封包過濾 課堂練習 進階擷取 S.P.- DHCP S.P. - HTTP S.P. - MSN FTP 連線模式(B) 被動模式 (Passive Mode) PASV Hello 21, I’m 1071. I want “*” Please, We are PASV ! FTP Server PC/Workstation OK, I've got it . And your “*” in 2259. Hello 2259, I’m 5305. Get me “*” Please. 1071 5305 21 OK, That’s “*”. 2259 *
TANet P R O T O C O L A N A L Y S I S 1-1 1-2 TANet P R O T O C O L A N A L Y S I S 自我簡介 課程目的 課程安排 軟體簡介 LAB – PING LAB – DNS LAB – FTP 安裝使用 觀念釐清 封包過濾 課堂練習 進階擷取 S.P.- DHCP S.P. - HTTP S.P. - MSN File Transfer Protocol (default data: 20; control: 21) FTP header FTP Message
TANet P R O T O C O L A N A L Y S I S 1-1 1-2 TANet P R O T O C O L A N A L Y S I S 自我簡介 課程目的 課程安排 軟體簡介 LAB – PING LAB – DNS LAB – FTP 安裝使用 觀念釐清 封包過濾 課堂練習 進階擷取 S.P.- DHCP S.P. - HTTP S.P. - MSN FTP (Frame datagram) FRAME { IP ( TCP < FTP > ) } FRAME DATA IP TCP FTP
TANet P R O T O C O L A N A L Y S I S 1-1 1-2 TANet P R O T O C O L A N A L Y S I S 自我簡介 課程目的 課程安排 軟體簡介 LAB – PING LAB – DNS LAB – FTP 安裝使用 觀念釐清 封包過濾 課堂練習 進階擷取 S.P.- DHCP S.P. - HTTP S.P. - MSN 成果目標 主動 / 被動模式的差別應用。 TCP 運作方式為何? 三方交握協定的方式。 FTP 的封包交換與隱憂。
P R O T O C O L A N A L Y S I S 1-2-3 : FTP START
P R O T O C O L A N A L Y S I S 1-2-SP : DHCP
TANet P R O T O C O L A N A L Y S I S 1-1 1-2 TANet P R O T O C O L A N A L Y S I S 自我簡介 課程目的 課程安排 軟體簡介 LAB – PING LAB – DNS LAB – FTP 安裝使用 觀念釐清 封包過濾 課堂練習 進階擷取 S.P.- DHCP S.P. - HTTP S.P. - MSN 你應該知道: DHCP Header。 查詢的方式為何? TCP ? UDP ? 新租約的封包交換分析。 續租的封包交換分析。 租約過時的處理狀態與封包交換分析。 找不到 DHCP的狀況與分析。
P R O T O C O L A N A L Y S I S 1-2-SP : DHCP START
P R O T O C O L A N A L Y S I S 1-2-SP : HTTP
TANet P R O T O C O L A N A L Y S I S 1-1 1-2 TANet P R O T O C O L A N A L Y S I S 自我簡介 課程目的 課程安排 軟體簡介 LAB – PING LAB – DNS LAB – FTP 安裝使用 觀念釐清 封包過濾 課堂練習 進階擷取 S.P.- DHCP S.P. - HTTP S.P. - MSN 你應該知道: 使用 HTTP 會衍伸出的協定有哪些? Mail 的傳遞方式? 需要哪些協定配合? 有何優缺點?
P R O T O C O L A N A L Y S I S 1-2-SP : HTTP START
P R O T O C O L A N A L Y S I S 1-2-SP : MSN
TANet P R O T O C O L A N A L Y S I S 1-1 1-2 TANet P R O T O C O L A N A L Y S I S 自我簡介 課程目的 課程安排 軟體簡介 LAB – PING LAB – DNS LAB – FTP 安裝使用 觀念釐清 封包過濾 課堂練習 進階擷取 S.P.- DHCP S.P. - HTTP S.P. - MSN 你應該知道: Port 和連線方式? 缺點?解決方式?
P R O T O C O L A N A L Y S I S 1-2-SP : MSN START