Biểu diễn một phân tích FTP session hoàn chỉnh

Một phần của tài liệu PHÂN TÍCH PHIÊN LÀM VIỆC CỦA TCP (Trang 59 - 86)

Dùng capture và các file text được cung cấp để kiểm tra TCP/IP header, để hiểu được một phiên cài đặt, được dùng và ngừng như thế nào.

Cài đặt: bạn log vào Window Server 2003 với quyên Administrator, chay Notepad và Network Monitor.

1. Chuyển sang Notepad và mở ftp.txt. File này nằm trong C:\Tools\Lesson2. Bạn hãy quan sát kết quả trong bảng dưới.

2. Quan sát thấy rằng trong session này, khi ftp server hỏi password, user nhập pass nhưng không được ghi lại trên hình.

3. Chuyển sang Network Monitor, và mở ftp.cap trogn C:\Tools\Lesson2.

Bạn sẽ thấy kết quả tương tự như hình bên dưới. (còn phị thuộc vào phiên bản của Network Monitor mà bạn sử dụng, địa chỉ MAC và IP có thể được thể hiện trong Hex, và thời gian có thể ở định dạng khác)

4. Nếu bạn muốn thay đổi màu của gói tin FTP cho dễ nhìn hơn, choose Display -> Colors, kéo chuột để chọn FTP; sau đó từ Background sổ xuống bạn chọn màu như mình mong muốn và click OK. Nếu bạn chọn màu tối, sẽ khó khăn hơn để đọc file text.

5. Quan sát frames 3,4 và 5 tượng trưng cho quá trình bắt tay ba bước được thành lập trong session. Những frames có màu xám mờ (6, 8-9, 11-12, 14, 16-19, 23, 29, 31-34, 38, 44, and 46-47) tất cả liên quan tới các ứng dụng FTP, chứng thực, FTP request cho thông tin thư mục, file thực tế truyền đi, cho tới quá trình thoát và trả lời ngưng.

6. Quan sát frame 8, bạn có thể nhìn thấy tên của user đang được cung cấp.

7. Quan sát frame 9, ban có thể thấy lời yêu cầu password.

8. Quan sát frame 11, bạn có thể thấy password được cung cấp. Theo bạn thì điều này đã đủ là lý do để đi thuê một vài chứng thực, bảo mật như là mã hóa chưa?

Frame 3 bắt đầu quá trình bắt tay ba bước Active Open bằng cách sắp đặt gói SYN bit 1, cung cấp port nguồn no.2025 (07E9 trong Hex), trong cùng thời điểm gửi request đến port 21 (15 trong Hex) trên server. Một số sequence number 2052360112 (7A5487B0 trong Hex) được liên kết với frame này để định nghĩa cho nó, thậm chí trong môi trường multiple session giữa 2 host giống nhau.

Reply từ FTP server trong frame 4 bao gồm một ACK, trong khi đó đồng thời bao gồm một SYN. Đây là Passive Open.

Khi một session được thành lập, FTP có thể tiếp tục với qua trình cài đặt của nó. Nó bao gồm cả việc login và password (để cung cấp nếu việc truy cập vô danh không được hỗ trợ), theo sau file requests.

12.Quan sát frame 6 chỉ ra FTP server yêu cầu sự xác định từ user Frame 8 chỉ ra FTP client cung cấp cung cấp user name của test user.

14.Quan sát frame 11, bạn có thể nhận ra password đang được cấp. Bởi vì không có phương thức bảo vệ cho việc chứng thực lúc cài đặt, bạn có thể nhìn thấy password dưới dạng plaintext.

15.Quan sát một capture của user đã được chứng thực, FTP session được cho phép để tiếp tục. FTP server sãn sàng đã sãn sàng nhận gói tin như trong frame 12.

16.Quan sát phần còn lại là các FTP frame 14, 16-19, 23, 29, 31- 34, 38 và 44 phải làm với danh sách thư mục và file truyền đi.

17.Quan sát trong frame 18, bạn có thể nhìn thấy nội dung thực của file khi nó đang được truyền đi. Trong trường hợp này bởi vì chỉ là file text, bạn có thể đọc được nội dung.

18.Quan sát trong frame 16, bạn có thể nhìn thấy client cố gắng đóng kết nối với lệnh Quit command

19.Quan sát trong frame 47, bạn có thế thấy server giao tiếp với client với tin nhắn “See ya later”

20.Quan sát những tin nhắn được theo sau bởi TCP chấm dứt session từ cả 2 đầu trong frames 48 và 49, 50 và 51, khi mà bit FIN được bật lên 1 và frame tương ứng chứa bit ACK bật lên 1.

21.Đóng Network Monitor. Nếu có nhắc nhở save thì click NO.

Tài Liệu Tham Khảo

Web :

http://www.cisco.com

http://vi.wikipedia.org

Ebooks:

Douglas E. Comer. Internetworking with TCP/IP - Principles, Protocols and Architecture. ISBN 86-7991-142-9(Điều hành liên kết mạng với TCP/IP - nguyên lý, giao thức và kiến trúc)

Joseph G. DaviesandThomas F. Lee. Microsoft Windows Server 2003 TCP/IP Protocols and Services.ISBN 0-7356-1291-9(Giao thức và dịch vụ TCP/IP trong Microsoft Windows Server 2003)

Craig HuntTCP/IP Network Administration. O'Reilly (1998)ISBN 1- 56592-322-7(Quản lý mạng TCP/IP)

PHẦN TRẢ LỜI CÁC CÂU HỎI TRONG BUỔI THUYẾT TRÌNH

Câu 1: Gói phân mảnh được ráp lại trong hay ngoài router?

Trả lời:

Câu này nhóm xin trả lời rằng MTU là đơn vị truyền tải tối đa của một gói tin mà router cho phép đi qua nó và MTU được định mức không phải trên router mà trên cổng mà gói tin sẽ đi vào và đi ra. Các cổng khác nhau thì sẽ có MTU khác nhau. Ví dụ:

- PPP: 296 bytes - Ethernet: 1500 bytes

- Token Ring (4 MB/s): 4464 bytes - Token Ring (16 MB/s): 17914 bytes

Bình thường khi thiết kế một hệ thống mạng thì người quản trị phải cấu hình cho 2 cổng nối trực tiếp với nhau phải có cùng 1 MTU. Nguyên nhân là để gói tin có thể truyền đi và về một cách thuận lợi. Giả sử một gói tin đi vào Router1 qua interface1, gói tin được định hướng đi vào interface1 của Router2 thông qua interface2. Router1 sẽ so sánh kích thước gói tin nhận được với MTU của interface2, nếu nhỏ hơn MTU này thì sẽ cho đi qua, còn nếu lớn hơn thì Router1 sẽ chia gói tin ra sao cho nhỏ hơn

MTU của interface2 để gói tin đi ra interface2 dễ dàng. Và nhờ có sự thống nhất MTU giữa interface2 của Router1 và MTU interface1 của Router2 nên trên đường truyền cũng như lúc gói tin đi vào Router2.

Kết luận: Như vậy sau khi đã đọc xong ví dụ trên của nhóm mình thì chúng ta có thể kết luận là nếu bị phân mảnh thì gói tin sẽ được router kiếm tra và phân mảnh bên trong router trước khi đi ra interface khác.

Câu 2: gói tin trong suốt và không trong suốt là gì?

Trả lời:

Ở câu hỏi này nhóm mình sẽ chia ra làm 2 phần là “gói tin trong suốt với router” và “interface router không xét kích thước gói tin” để các bạn dễ theo dõi và so sánh.

- Gói tin trong suốt với router:

Loại gói tin này xuất hiện khi được người gửi điều chỉnh trong gói tin gửi đi trong mạng,ở ô DF của trường flag nằm trong phần header của gói tin, mặc định giá trị ô này là 0 nghĩa là gói tin được phép phân mảnh, khi giá trị ô này là 1 thì gói tin này tuyệt đối không được phép phân mảnh. Câu hỏi đặt ra là tại sao lại không phân mảnh? Khi người gửi chắc chắn rằng MTU trên interface của tất cả router tham gia truyền gói tin đều lớn hơn kích thước của gói tin truyền đi thì người quản trị sẽ chỉnh gói tin không bị phân mảnh. Khi thực hiện việc này gói tin sẽ đi qua tất cả các router mà không cần router phải xét xem kích thước gói tin có đi được hay không, và như vậy sẽ có thể tiết kiệm thời gian truyền gói tin.

- Interface router không xét kích thước gói tin:

Khi người quản trị chắc chắn kích thước gói tin nhỏ hơn MTU của interface tham gia truyền, họ sẽ chỉnh 2 interface của 2 router kết nối với nhau không xét tới kích thước gói tin nữa. Và như vậy bất kỳ gói tin nào được truyền từ interface này

sang interface kia đều không bị xét kích thước nữa. Mục đích việc làm này cũng là để tiết kiệm thời gian truyền do không có quá trình kiểm tra kích thước gói tin.

- Lưu ý rằng gói tin trong suốt trên đường truyền không có nghĩa là nó có thể truyền đi tự do, nếu gói tin gặp interface có MTU nhỏ hơn thì gói tin sẽ bị drop bỏ. Do đó cả 2 phương pháp này đòi hỏi người gửi cũng như người quản trị phải nắm rõ được MTU toàn bộ hệ thống mạng của mình.

Câu 3: URG là gì? Tại sao 1 gói tin ví dụ 32bit bị chia ra làm nhiều mảnh thì URG biết đánh mảnh nào được ưu tiên?

Trả lời:

URG hay URGent pointer fiel là bit đầu tiên của trường code ( trường điều khiển của gói tin TCP) bit này không phải bit đánh thứ tự mảnh gói tin mà là bit đánh dấu gói tin được ưu tiên khẩn cấp. Khi gói tin bật lên 1 thì nó sẽ được ưu tiên đi trước.

Câu 4: Làm sao các mảnh gói tin gửi đi biết đâu là gateway cuối để ráp lại gói tin?

Trả lời:

Trong phần Header của mảnh gói tin truyền đi có Des IP (tức là mạng đích mà gói tin cần truyền tới). Trong suốt qua trình truyền đi, gói tin có thể bị phân mảnh ra thêm chứ tuyệt đối không ráp các mảnh lại, chỉ khi các mảnh tới được máy đích thì tại đây các mảnh được ghép lại tại card mạng của máy.

Câu 5: Giá trị MTU là do điều gì quyết định? Nhà sản xuất hay 1 chuẩn nào khác?

MTU được mặc định theo 1 số chuẩn phương thức truyền tải khác nhau ví dụ: - PPP: 296 bytes

- Ethernet: 1500 bytes

- Token Ring (4 MB/s): 4464 bytes - Token Ring (16 MB/s): 17914 bytes

Ngoài ra MTU được định bởi modem, card mạng máy tính,..ví dụ:

- mức MTU tối ưu cho modem ADSL và ADSL 2+ là 1492, MTU cho truyền hình cáp như Medianet và SCTV (Cable connection) là 1500.

MTU của chuẩn giao thức truyền tải là cố định, còn MTU của modem và card mạng thì có thể chỉnh bằng nhiều phần mềm ví dụ TCP Optimized,.. việc chỉnh sửa MTU của card mạng hay modem cần cẩn thận vì nếu có sự chênh lệch MTU có thể khiến các gói tin nằm trong khỏang chênh lệch bị drop bỏ chiều đi hoặc chiều về.

Câu 6: Time to live là gì? Cách tính như thề nào?

Trả lời:

Time to live nghĩa là thời gian sống của một gói tin được truyền đi trong mạng. Nếu trong một số dịch vụ như DNS server thì time to live được tính bằng giây, nhưng trong môi trường network thì không thể tính bằng giây vì giữa các router có sự chênh lệch về thời gian. Đọc tới phần này có thể có bạn sẽ nghĩ hãy tính bằng khoảng thời gian truyền chứ không tính bằng thời điểm, như vậy sẽ không cần quan tâm tới sự chênh lệch thời gian giữa các router. Nhưng trên thực tế do khoảng thời gian truyền 1 gói tin qua router là rất ngắn chưa tới 1 giây nên không thể tính theo cách này. Ví dụ:

Router1 truyền gói tin trong khoảng từ ½ giây thứ nhất sang giây thứ hai, rồi qua router 2 cũng nhận gói tin và truyền gói tin đi từ ½ giây thứ nhất sang giây thứ hai,.. như vậy khoảng thời gian sẽ không thể chính xác.

Do đó trong môi trường network time to live của gói tin được tính bằng số router mà gói tin đi qua, số hopcount ban đầu sẽ là 15, 32, 64 ,… tùy giao thức, tùy hệ điều hành đang sử dụng. Khi đi qua 1 router thì hopcount sẽ giảm xuống 1, đến khi hopcount bằng 0 thì lúc đó gói tin bị drop bỏ. Đây là phương pháp tránh tình trạng lặp vòng vô hạn của gói tin.

Câu 7: Tại sao mô hình TCP/IP ra đời? Những điểm nổi bật của TCP/IP?

Trả lời:

Mô hình TCP/IP được phát triển vào thời kỳ đầu của Internet và được đề xuất bởi Ginton G.Cerf và Robert E.Kahn (Mỹ) 1974. Mô hình 4 tầng TCP/IP ra đời dựa trên họ TCP/IP. TCP/IP ra đời nhằm thống nhất các chuẩn mực về truyền thông liên mạng trước đó.

Để nắm rõ hơn thì ta so sánh với các giao thức trước TCP/IP và đây là những điểm nổi bật chung của TCP/IP:

- Cho phép truyền tải trên môi trường LAN và Internet. - TCP/IP là mô hình tham chiếu có phân tầng theo chức năng.

- Có tầng giao vận và tầng mạng trong khi các giao thức trước đó không có. - Cung cấp phương thức truyền thông chuyển mạch gói.

- Có mối quan hệ chặt chẽ từ tầng trên xuống tầng dưới. Mô hình OSI ra đời sau TCP/IP và đây là sự khác biệt:

- OSI được chia thành nhiều tầng hơn và chức năng các tầng rõ ràng hơn.

- OSI không có khái niệm chuyển phát thiếu tin cậy ở tầng giao vận như UDP của TCP/IP.

- Internet được phát triển dựa trên các tiêu chuẩn của họ giao thức TCP/IP do đó TCP/IP vẫn được sử dụng rộng rãi.

- OSI không định ra một giao thức cụ thể nào cả, nó chỉ đóng vai trò tham chiếu để hiểu và tạo một quá trình truyền thông

Câu 8: Phân tích kỹ hơn về FTP chủ động và FTP bị động

Trả lời:

Ở đây ta đứng trên server để xét tính bị động và chủ động

- Trong FTP chủ động client gửi request đến port 21 của FTP server để mở một control session, đây là port control. Sau đó FTP server chủ động mở port 20 và gửi dữ liệu về cho client. Như vậy FTP server chủ động trong việc gửi dữ liệu.

- Trong FTP bị động client chủ động mở 2 port X và X+1 và gửi yêu cầu lên port 21 của FTP server để mở ra control session, đồng thời yêu cầu server mở 1 port bất kỳ Y sau đó gửi thông tin port này về client và gửi dữ liệu từ port Y về port X +1 của client. Như vậy server bị động trong cả 2 quá trình mở port của mình.

Câu 9: Cấu trúc gói tin IP

Các gói IP bao gồm dữ liệu từ lớp bên trên đưa xuống và thêm vào một IP Header.IP Header gồm các thành phần sau:

•Version chỉ ra phiên bản hiện hành của IP đang được dùng, có 4 bit. Nếu trường này khác với phiên bản IP của thiết bị nhận, thiết bị nhận sẽ từ chối và loại bỏ các gói tin này.

•IP Header Length (HLEN) – Chỉ ra chiều dài của header theo các từ 32 bit. Đây là chiều dài của tất cảc các thông tin Header.

•Type Of Services (TOS): Chỉ ra tầm quan trọng được gán bởi một giao thức lớp trên đặc biệt nào đó, có 8 bit.

•Total Length - Chỉ ra chiều dài của toàn bộ gói tính theo byte, bao gồm dữ liệu và header,có 16 bit..Để biết chiều dài của dữ liệu chỉ cần lấy tổng chiều dài này trừ đi HLEN.

•Identification – Chứa một số nguyên định danh hiện hành, có 16 bit. Đây là chỉ số tuần tự.

•Flag – Một trường có 3 bit, trong đó có 2 bit có thứ tự thấp điều khiển sự phân mảnh. Một bit cho biết gói có bị phân mảnh hay không và gói kia cho biết gói có phải là mảnh cuối cùng của chuỗi gói bị phân mảnh hay không.

• Fragment Offset – Được dùng để ghép các mảnh Datagram lai với nhau, có 13 bit.

•Time To Live (TTL) – Chỉ ra số bước nhảy (hop) mà một gói có thể đi qua.Con số này sẽ giảm đi một khi một gói tin đi qua một router. Khi bộ đếm đạt tới 0 gói này sẽ bị loại. Đây là giải pháp nhằm ngăn chặn tình trạng lặp vòng vô hạn của gói nào đó.

•Protocol – Chỉ ra giao thức lớp trên, chẳng hạn như TCP hay UDP, tiếp nhận các gói tin khi công đoạn xử lí IP hoàn tất, có 8 bit.

•Header CheckSum – Giúp bảo dảm sự toàn vẹn của IP Header, có 16 bit. •Source Address – Chỉ ra địa chỉ của node truyền diagram, có 32 bit. •Destination Address – Chỉ ra địa chỉ IP của Node nhận, có 32 bit.

•Padding – Các số 0 được bổ sung vào field này để đảm bảo IP Header luôn la

Một phần của tài liệu PHÂN TÍCH PHIÊN LÀM VIỆC CỦA TCP (Trang 59 - 86)

Tải bản đầy đủ (DOC)

(86 trang)
w