ITKP104 Tietoverkot - Analysaattorityö (1 op)

Ohjeen versio Keväälle 2014

Vanhat videot tullaan poistamaan. Katso tarvittaessa ohjeita ja ohjevideo 2019 kurssilta.

• Ohjeita pakettikaappaukseen

Tehtävät

• Harjoitus 1 - Verkon liikenteen kaappaaminen
  1. 30.3.2014 (viikko 13) Käynnistä analysaattori ja aloita verkkoliikenteen kaappaus. Ota selaimella yhteys osoitteeseen http://users.jyu.fi/~arjuvi/opetus/itkp104/testi.html.

     (a) Palauta pakettikaappaus (wiresharkin pcap tiedosto) josta olet suodattanut kaiken muun verkkoliikenteen pois.

     (b) Kuinka monta pakettia lähetettiin yhteensä?

  2. 30.3.2014 (viikko 13) Ota selaimella yhteys osoitteeseen http://users.jyu.fi/~arjuvi/opetus/itkp104/testi2.html. Kun sivu on latautunut, lataa se uudestaan (F5, refresh, reload,...).

     (a) Palauta pakettikaappaus josta olet suodattanut kaiken muun verkkoliikenteen pois.

     (b) Kuinka sivun uudelleenlataus vaikuttaa lähetettyjen pakettien määrään?

     (c) Kuinka monta pakettia välitettiin yhteensä?

  Vinkkejä tehtäviin

  Huom:Wiresharking käyttämä WinPcap ajuri täytyy ajaa administrator oikeuksilla. Jos sinulla ei näy Interfaces listassa yhtään liityntää, niin ongelma korjaantunee admin oikeuksilla.

  Vinkki:Seuraavalla suodattimella Wiresharkissa (ip.src == 130.234.10.200) || (ip.dst == 130.234.10.200) pääsee jo aika pitkälle, silloin kun liikenne on oman koneesi ja users.jyu.fi palvelimen välistä. Jos esim. suodat liikennettä kahdelle palvelimelle, niin lisää or (||) ehtoja esim. (ip.src == 130.234.10.200) || (ip.dst == 130.234.10.200) || (ip.src == 130.234.4.129) || (ip.dst == 130.234.4.129), missä toinen IP osoite on www.jyu.fi palvelimen nykyinen osoite.

  - Jos avaat sivun ennen kuin pakettikaappaus on käynnissä, selain saattaa jättää sivun välimuistiin eikä seuraavan kerran sivulle mentäessä näy mitään analysaattorissa, tällöin tyhjennä selaimen välimuisti, käynnistä pakettikaappaus, ja mene uudestaan ko. sivulle - Sivun uudelleen lataamisen tulisi saada selain kysymään palvelimelta "onko sivu muuttunut?", johon palvelin vastaa 304 (Not modified). Pakettien määrä (ja sivun ollessa pieni myös siirrettävän datan määrä) on kuitenkin samaa suurusluokkaa kuin ensimmäisessä pyynnössä. - Käyttöjärjestelmä valitsee koneesi käyttämät portit satunnaisesti, joskus portti voi olla jokin minkä wirshark 'osaa' tulkita, jolloin voit saada jotain ao. kaltaista (jossa siis smart-lm (1608) portti on satunnaisesti valittu porttinumero, eikä liity todelliseen palveluun (joka määräytyy siis palvelimen portin mukaan http (80)) Transmission Control Protocol, Src Port: smart-lm (1608), Dst Port: http (80) Voit asetuksista määrittää miten Wireshark selvittää eri kerrosten osoitteita Preferences -> Name Resolution - jotkin selaimet avaavat useita rinnakkaisia yhteyksiä palvelimeen. Tällöin osassa yhteyksiä ei välitetä liikennettä (koska testi sivulla ei ole esim. kuvia, joita voitaisiin rinnakkaisilla yhteyksillä siirtää). - Selaimesta riippuen yksi näistä yhteyksistä saattaa hakea favicon.ico tiedostoa (vaikka sitä ei olisi määritetty sivun koodissa). Se on siis pieni kuva (selaimesta riippuen joko välilehden otsikossa tai selaimen osoite -rivillä). Tällä sivulla on esim. favicon tiedostona pieni kuva luennoitsijasta. - Wireshark saattaa antaa mustia rivejä, joissa sen mielestä on jotain virheellistä, esim. Header checksum: 0x0000 [incorrect, should be 0x4993] jos näitä on useita (oman koneesi lähettämissä paketeissa), niin syynä todennäköisesti se että jotkin (uusimmat) verkkokortit asettavat tarkistussumman vasta laitteistotasolla, jolloin Wireshark ei sitä näe ja luulee virheeksi. Voit ottaa tällöin TCP tarkistussumman tarkastamisen pois päältä (http://wiki.wireshark.org/TCP_Checksum_Verification). Preferences -> Protocols -> TCP -> "Validate the TCP checksum if possible" - Vastaava voi tapahtua myös IP protokollan osalta. Voit joko laittaa ruksin Preferences -> Protocols -> IP -> "Support packet-capture from IP TSO-enabled hardware" tai ottaa sen pois kohdasta Preferences -> Protocols -> IP -> "Validate the IP checksum if possible" tai sitten käyttöjärjestelmän kautta verkkokortin ominaisuuksista ottamalla pois päältä ominaisuuden "checksum offload". Jos otat tuon pois päältä niin käyttöjärjestelmän TCP/IP pino (ohjelmisto) tekee laskennan verkkokortin sijaan (laitteisto), mikä kuluttaa prosessorin tehoja enemmän. - Joskus saat kaapattua punaisia rivejä jotka ovat ns. resetointi paketteja (RST). Näitä ei yleensä tulisi näkyä normaalitilanteessa, mutta jotkin selaimet lopettavat ylimääräiset yhteydet RST paketilla.

  ---

• Harjoitus 2 - HTTP protokollan toimintaa
  3. 6.4.2014 (viikko 14) Käynnistä pakettien kaappaus ja mene selaimella osoitteeseen http://users.jyu.fi/~arjuvi/opetus/itkp104/Labra1.html Pysäytä pakettien kaappaus.

     (a) Kuinka monta HTTP GET request -viestiä selain lähetti?

     (b) Mihin osoitteisiin viestit lähetettiin? (Huom: älä suodata näkyviin vain users.jyu.fi liikennettä, vaan myös toisen kuvan palvelimelle menevä liikenne)

     (c) Voitko sanoa (pakettikaappauksen perusteella) latasiko selain kuvat peräkkäin vai rinnakkain (tutki TCP viestejä)?

     (d) Palauta pakettikaappaus joka sisältää http://users.jyu.fi/~arjuvi/opetus/itkp104/Labra1.html sivun (ja sillä olevien kahden kuvan) hakemiseen liittyvät paketit. Suodata muu verkkoliikenne pois.

  4. 6.4.2014 (viikko 14) Tutkitaan yksinkertaista HTTP autentikointia. Aloita uusi pakettien kaappaus, mene osoitteeseen http://users.jyu.fi/~arjuvi/opetus/itkp104/salasana/Salasana.php sekä syötä tunnus ja salasana (Mitä tahansa kunhan salasana ei ole mikään oikeasti käyttämäsi salasana).

     (a) Millä status koodilla sekä tekstillä palvelin kertoo selaimelle että tarvitaan käyttäjätunnus ja salasana?

     (b) Mitä HTTP otsikko (header) -kenttää ja mitä koodausmenetelmää selain käyttää lähettäessään käyttäjätunnuksen ja salasanan "salattuna" palvelimelle?

     (c) Palauta pakettikaappaus josta olet suodattanut kaiken muun verkkoliikenteen pois.

     (d) Mitä muita autentikointimenetelmiä HTTP voisi käyttää?

  5. 6.4.2014 (viikko 14) Ota Telnet yhteys palvelimeen example.com, example.org tai example.net käyttäen HTTP 1.1 protokollaa Palauta pakettikaappaus josta olet suodattanut kaiken muun verkkoliikenteen pois. Montako pakettia nyt lähetetään?

  Vinkkejä tehtäviin (päivitetty 10.4.2014 klo 15:12)

  Ohjevideo Telnet:n käytöstä Windows:ssa Telnet.wmv Voit käyttää myös esim. Putty:n Telnet ominaisuutta (varsinkin jos käyttöjärjestelmässä ei ole Telnet asennettuna). Vinkkejä Windows:in Telnet käyttöön löytyy esim. vuoden 2012 luentokalvoista sivuilta 34 ja 35. - Kuvat ladataan rinnakkain, jos pyynnöt niistä lähetetään peräkkäin odottamatta vastausta ensimmäiseen pyyntöön. Eli jos toisen kuvan GET pyyntö lähetetään ennen kuin ensimmäinen kuva ladataan kokonaan. Jossain tapauksissa ensimmäinen kuva saattaa saapua kokonaisuudessaa ennen kuin toisen kuvan siirto alkaa (pieni kuva tulee niin nopeasti), mutta rinnakkaisuuden näkee siis GET pyyntöjen ajoituksesta suhteessa kuvien siirtoon. - Wireshark kaappauksesta löytyy HTTP otsikko (header), josta salaus menetelmän nimi selviää ja tämän nimen perusteella voi Internetistä etsiä sen mitä salausta käytetään. - Jos suodat liikennettä kahdelle palvelimelle, niin lisää or (eli ||) ehtoja esim. (ip.src == 130.234.10.200) || (ip.dst == 130.234.10.200) || (ip.src == 130.234.4.129) || (ip.dst == 130.234.4.129) - Wiresharkin näyttäessä paketin kohdalla [TCP segment of a reassebled PDU] tarkoittaa se sitä että Wirshark on huommannut Sovelluskerroksen viestin pilkotun useampaan TCP segmenttiin (kuljetuskerroksen termi paketille). Esimerkiksi kun palvelin lähettää kuvatiedoston se on jakautunut useaan segmenttiin. Tällöin Wirshark ei tulkitse että kyseessä on HTTP protokollan paketti, jolla siirrettiin kuva. Ottamalla ruksin pois kohdasta Edit -> Preferences -> Protocols -> TCP -> Allow subdissector to reassemble TCP streams Wireshark tulkitsee segmentit HTTP protokollaksi, joka on informatiivisempi kun tarkoitus on tutkia HTTP:tä. - Huom: koodaus eli salaus on helppo purkaa ja esim. Wireshark purkaa sen automaattisesti. - Muita salausmenetelmiä voi etsiä vaikka hakusanalla HTTP authentication. - Telnet lähettää jokaisen kirjaimen omassa TCP paketissa. Tämän tulisi näkyä ainakin Windows:in Telnet:tiä käytettäessä. - Muut Telnet toteutukset (esim. Putty tai muiden käyttöjärjestelmien Telnet sovellukset saattavat puskuroida lähetettävää dataa, jolloin et havaitse merkki kerrallaan liikennettä). - Putty:ssä valitse 'telnet' niin saat lähetys tapahtuu merkki kerrallaan, 'raw data' puskuroi merkit rivinvaihtoon asti. - Telnet ohjelma ei ole asennettu oletuksena kaikissa Windows versioissa. Windows Vista ja Windows 7 asennus: 1. Start --> Control Panel --> Programs and Features 2. Valitaan "Turn Windows features on or off" 3. Valitaan "Telnet Client" optio ja OK. - Koska Telnet ei ollut asennettuna luentosalin tietokoneeseen, tein pienen ohje videon Telnetin käytöstä Windows:ssa. - Tee telnet tehtävä paikallisesta koneesta (ei siis etäyhteyden yli), koska et voi kaapata liikennettä jos otat ensin esim. ssh yhteyden suorakäyttökoneeseen jalava.cc.jyu.fi ja sieltä telnet yhteyden).

  ---

• Harjoitus 3 - HTTP protokolla syvällisemmin
  Käytä tehtäviin työkaluista löytyvää TCP asiakasta.

  6. 13.4.2014 (viikko 15) Lähetä HTTP 1.1 protokollan mukainen viesti, kuten edellisessä tehtävässä jollekin esimerkki palvelimelle (example.com, example.org tai example.net), mutta nyt kahdessa tai useammassa paketissa. Kaappaa liikenne ja palauta kaappauksesta nämä paketit.
  7. 13.4.2014 (viikko 15) Tehtävänä on saada palvelin vastaamaan koodilla: 304 (Not modified). Lähetä GET pyyntö palvelimelle, jossa on tarvittava HTTP otsikko. Palauta kaappauksesta lähettämäsi viesti ja palvelimen vastaus.
  8. 20.4.2014 (viikko 16) Tutkitaan persistent ja non-persistent HTTP yhteyksiä.

     (a) Hae ensin objektit testi.html ja testi2.html osoitteesta users.jyu.fi/~arjuvi/opetus/itkp104/ käyttäen non-persistent HTTP:tä. Palauta suodatettu kaappaus.

     (b) Hae sitten samat objektit käytämällä persistent HTTP:tä (without pipelining). Palauta suodatettu kaappaus.

     (c) Selitä mitä eroa huomaat edellisissä kaappauksissa.

     (d) Hae vielä samat objektit käyttämällä HTTP Persistent with pipelining menetelmää Palauta suodatettu kaappaus.

  Vinkkejä tehtäviin (päivitetty 11.4.2014 klo 10:03)

  Lukuvuoden 2012 luentovideoissa tehtävien 6-8 ohjeistusta on esitetty täällä (esimerkit käydään appletin avulla läpi, mutta samaan tapaan voi tehdä tämän vuoden työkaluilla), tehtävä 7 ja 8 tulee myös myöhemmin tuolla videolla tai sitä seuraavalla eli täällä - Tehtävään 7 löytyy infoa myös vuoden 2012 luentokalvosta numero 44 http://users.jyu.fi/~arjuvi/opetus/itkp104/2012/ITKP104_Sovelluskerros_2012.pdf - Voit lähettää vaikka kirjaimen kerrallaan palvelimelle, eli voit missä tahansa vaiheessa painaa 'send' nappulaa kunhan rivinvaihdon ilmaisevat merkit \r\n menevät palvelimelle samassa paketissa. - Huom: jos et ole tarpeeksi nopea, palvelin voi sulkea yhteyden. Harjoittele ensin työkaluista löytyvän HTTP palvelimen kanssa. - Esim. kopioi ao. kaltaiset rivit TCP asiakkaaseen ja paina [send] joka rivin jälkeen (huom välilyönti ennen HTTP/1.1\r\n)</li> G[send] ET /[send] HTTP/1.1\r\n[send] Host: example.org\r\n\r\n[send] - Vinkki: HTTP:n connection -otsikolla voit valita käytetäänkö persistent vai non-persistent muotoa (huomaa myös käytätkö HTTP1.0 vai 1.1 versiota), ks. esim. http://en.wikipedia.org/wiki/HTTP_persistent_connection - HTTP Persistent without pipelining: lähetä GET pyyntö yhdestä sivusta, odota vastaus ja lähetä GET pyyntö toisesta sivusta - HTTP Persistent with pipelining: voidaan toteuttaa lähettämällä molemmat pyynnöt yhdellä [send] klikkauksella (eli lähetetään uusi pyyntö odottamatta vastausta ensimmäiseen). Esim. kopioi TCP asiakkaaseen GET /~arjuvi/opetus/itkp104/testi.html HTTP/1.1\r\nHost: users.jyu.fi\r\n\r\nGET /~arjuvi/opetus/itkp104/testi2.html HTTP/1.1\r\nHost: users.jyu.fi\r\n\r\n ja paina sitten [send]

  ---

• Harjoitus 4 - SMTP protokolla
  Käytä tehtäviin työkaluista löytyvää TCP asiakasta tai esim. Putty:ä.

  9. 27.4.2014 (viikko 17) Avaa työkaluista löytyvä TCP palvelin ja käynnistä se SMTP palvelina. Ota yhteys testipalvelimeen ja lähetä itsellesi sähköposti käyttämällä SMTP protokollaa. Lisäksi tee vähintään yksi kohdista (a) - (d)

     (a) Kopioi sekä asiakkaan että palvelimen tulostama kommunikaatio ja palauta se

     (b) Kaappaa sähköpostin lähetyksen generoima tietokoneen sisäinen liikenne RawCap tai tcpdump ohjelmalla ja palauta pakettikaappaus josta olet suodattanut kaiken muun verkkoliikenteen pois.

     (c) Ota yhteys smtp.jyu.fi sähköpostipalvelimeen harjoiteltuasi testipalvelimella ja lähetä oikeasti sähköpostia itsellesi. Palauta pakettikaappaus josta olet suodattanut kaiken muun verkkoliikenteen pois.

     (d) Ota salattu yhteys smtp.gmail.com palvelimeen (portti 465) ja lähetä sähköpostia itsellesi. Palauta asiakkaan tulostama kommunikaatio josta olet poistanut Base64 koodatun salasanasi ja käyttäjätunnuksesi. Pakettikaappaus on SSL salattu, palauta kaappaus jossa on paketit TCP yhteyden muodostuksesta palvelimen lähettämään Server Hello pakettiin asti. Tarkemmat ohjeet salatun SMTP:n käyttöön saat esim. tästä tai videona.

     HUOM: jos teet (d) kohdan, poista listauksesta Base64 koodattu salasanasi (ja käyttäjätunnuksesi).

  Vinkkejä tehtäviin

  - Huom: yhteys smtp.jyu.fi palvelimeen onnistuu vain jos käyttämäsi tietokone on Jyväskylän yliopiston verkkoalueessa (domain). - Voit VPN yhteyden avulla liittää oman koneesi JY:n domainiin. - smtp.gmail.com vaatii autentikoitumisen. Sinulla pitää olla joko JY:n Isa-posti tunnus tai oma gmail tunnus. - Huom: telnet:iä tai Putty:ä käytettäessä ei kirjoiteta rivinvaihtomerkkejä (\r\n), vaan niiden sijaan painetaan [enter] näppäintä

  ---

• Harjoitus 5 - FTP protokolla
  Käytä tehtäviin työkaluista löytyvää TCP asiakasta tai esim. Putty:ä.

  10. 4.5.2014 (viikko 18) FTP protokollan testaamiseen tarvitset kaksi samanaikaista TCP yhteyttä. Tämän voit tehdä joko kahdella työkalujen TCP asiakkaalla, Putty, tai telnet ohjelmalla, käyttäen samaa sovellusta tai kahta eri sovellusta.

      (a) Ota ensin selaimella yhteys johonkin FTP palvelimeen (esim. ftp.mozilla.org) ja palauta signalointiyhteyden suodatettu pakettikaappaus.

      (b) Ota sitten TCP yhteys FTP palvelimen porttiin 21 ja käytä FTP protokollaa ao. esimerkin mukaisesti. Lisäsin ohjevideon jossa kahdella TCP asiakkaalla tehdään tehtävä, olennaista on nopeus uuden yhteyden avaamisessa. Palauta pakettikaappaus, jossa FTP signalointi- ja dataliikenne on suodatettuna muusta liikenteestä. Palauta lisäksi signalointi yhteydellä tapahtuva FTP kommunikaatio.

      USER anonymous\r\n (Suluissa olevat tekstit ovat lisäohjeita, joita ei tule lähettää palvelimelle) PASS anonymous\r\n EPSV\r\n (Katso vastauksesta palvelimen uusi portti ja muodosta yhteys tähän toisella ohjelmalla) LIST\r\n (ohjelmalla joka yhteydessä porttiin 21) (Listaus tulee toiseen ohjelmaan datayhteyden kautta) EPSV\r\n (ohjelmalla joka yhteydessä porttiin 21) (Katso vastauksesta palvelimen uusi portti ja muodosta yhteys tähän toisella ohjelmalla) RETR README\r\n (ohjelmalla joka yhteydessä porttiin 21) (Palvelin lähettää tiedoston toiseen ohjelman uuden datayhdeyden kautta) QUIT\r\n (ohjelmalla joka yhteydessä porttiin 21)

  Vinkkejä tehtäviin

  - Jos käytät kahta eri ohjelmaa, niin on mahdollista että ne saavat eri IP osoitteen DNS kyselyllä samalle www-osoitteelle. Jos data yhteyden luonti ei tällöin onnistu, niin käytä nimen sijaan IP osoitetta. (Huomasin tämän käyttämällä applettia signalointiyhdeydellä ja PuTTY:ä data yhteydellä ftp.mozilla.org palvelimen kanssa) - Esimerkki selaimen signalointiyhteyden viestien vaihdosta palvelimen ftp.funet.fi kanssa http://users.jyu.fi/~arjuvi/opetus/itkp104/2012/funet.txt - Huom: funet ei tue EPSV komentoa, silloin joudut käyttämään PASV komentoa ja laskemaan itse porttinumeron palvelimen vastauksesta (ks. esimerkki tekstitiedostossa). - Huom: jos kopioit kommennot (copy-paste), niin ole tarkkana ettet kopioi rivinvaihdon (\r\n) perässä olevaa välilyöntiä, ylimääräiset välilyönnit rivinvaihdon jälkeen aiheuttavat sen että palvelin ei ymmärrä seuraavaa komentoa, koska protokollan mukaan mikään komento ei ala välilyönnillä. - EPSV komennon jälkeen tulee olla nopea (Palvelin ei pidä porttia auki kauan jonka se ilmoittaa vastauksena), esim. >>> EPSV\r\n 229 Extended Passive Mode Entered (|||51158|) Kun palvelin tuollaisen vastaa niin pitää 'nopeasti' muodostaa uusi yhteys (datalle) porttiin (51158 esimerkin tapauksessa). - Ennen kuin aloitat, kannattaa esim. palvelimen osoite laittaa valmiiksi molempiin ohjelmiin.

  ---

• Harjoitus 6 - TCP ruuhkanhallinta
  11. 11.5.2014 (viikko 19) Tutkitaan seuraavaksi TCP protokollaa. Mene selaimella osoitteeseen http://gaia.cs.umass.edu/ethereal-labs/alice.txt ja tallenna tiedosto tietokoneellesi. Seuraavaksi mene osoitteeseen http://gaia.cs.umass.edu/ethereal-labs/TCP-ethereal-file1.html ja Browse -painiketta painamalla etsi juuri tallentamasi tiedosto. Käynnistä pakettien kaappaus ensin ja klikkaa sen jälkeen ``Upload Alice.txt file''. Kun tiedosto on ladattu saat siitä ilmoituksen. Pysäytä pakettien kaappaus. Suodata muu liikenne pois.

      (a) Alussa on TCP:n kolmitiekättelyvaihe. Mitkä ovat todelliset sekvenssinumerot ja kuittausnumerot näissä kolmessa paketissa?

      (b) Mikä on MSS arvo ja alustava vastaanottajan ikkunan koko?

      (c) Minkä HTTP metodin löydät TCP kolmitiekättelyn jälkeisestä paketista?

      (d) Klikkaa edellisen kohdan pakettia ja sitten Analyze -> Follow TCP Stream. Seuraa seuraavien pakettien sekvenssinumeroita ja palvelimen kuittauksia niihin (Statistics -> Flow Graph... sekä Statistics -> TCP Stream Graph -> Time-Sequence Graph (Stevens)). Sekvenssinumeron, päästä-päähän ajan (RTT) lähettettävän datan määrän ja kuittausnumeron avulla voit päätellä ruuhkanhallinta ikkunan muutoksen kuittauksen vastaanoton jälkeen. Selitä kuinka ruuhkanhallinta ikkunan koko (tiedonsiirtonopeus) muuttuu. Mikä on kuvailemasi TCP:n ruuhkanhallintamenetelmä? Palauta pakettikaappaus missä ruuhkanhallintamenetelmä näkyy toiminnassa.

  Vinkkejä tehtäviin

  - Wireshark: Todelliset sekvenssinumerot saat näkyviin poistamalla ruksin kohdasta: Edit -> Preferences -> Protocols -> TCP -> Analyze TCP sequence numbers - Kuittausnumeron ero edelliseen kuittauspaketin kuittausnumeroon kertoo kuitatun datan määrän (esim. 3622 - 2162 = 1460). - Esimerkin kuittausnumeron 3622 paketti saapuu ajanhetkellä 15,605 (ja kuittaa siis 1460 tavua vastaanotetuksi). Tällöin Slow Start menetelmä voi lisätä ruuhkanhallintaikkunan kokoa kuitatun datan määrällä ja samalla ajanhetkellä lähetetään kaksi 1460 tavun pakettia uutta dataa. - Ajan hetkellä 15,606 saapuu kaksi ACK pakettia, jotka kuittaavat molemmat 1460 tavua ja kumpikin kuittaus kasvattaa ruuhkanhallintaikkunan 1460 tavulla ja voidaan lähettää 4 uutta 1460 tavun pakettia matkalle - Ja tämän jälkeen odotetaan taas seuraavaa kuittaus pakettia, joka saapuu ajanhetkellä 15,729. Kokonaisuudessaan paketit näkyvät Time-Sequence Graph (Stevens) kuvaajassa - Huomaa myös kulunut aika suhteessa tiedonsiirtonopeuden kasvuun (alla RTT on n. 130 ms). Tämä näkyy hyvin Time-Sequence Graph (Stevens) kuvaajassa - Eli lähetysnopeus esimerkissä ensimmäistä datapakettia lähetettäessä (ajanhetki 15,357) on 701+1460 = 2161 tavua (RTT:tä kohden joka esimerkissä on 130 ms) - Lähetysnopeus kasvaa arvoon 3*1460 = 4380 tavua ajanhetkellä 15,482 (kuittausten saapuessa RTT:n kuluttua) - Ja seuraavan RTT:n jälkeen (kuittausten saavuttua yo. kolmesta paketista) nopeus onkin jo 6*4380 (eli yhteensä 6 kpl 1460 tavun paketteja lähetetään aikavälillä 15,605 - 15,606) - Alla käytetään suhteellista sekvenssinumerointia (alkaa Seq = 1) havainnollistamaan kuitattavan datan määrää, joka siis saadaan kun lisätään Wiresharkissa ruksi kohtaan Edit -> Preferences -> Protocols -> TCP -> Analyze TCP sequence numbers - Slow start voi alkaa yhden segmentin sijaan myös useammalla, kuten alla olevassa esimerkissä. Tämä mahddollistaa alkuvaiheessa kiihdytetyn nopeuden kasvun kun saadaan heti useampia kuittaus paketteja (ks. RFC3390, implementointi käyttöjärjestelmäkohtainen sekä selainkohtainen). TCP flow graph - Kuvaaja jossa näkyy lähetetyt paketit

  |Time | 130.234.169.82 | | | | 128.119.245.12 | |15,233 | SYN | |Seq = 0 | |(61622) ------------------> (80) | |15,357 | SYN, ACK | |Seq = 0 Ack = 1 | |(61622) <------------------ (80) | |15,357 | ACK | |Seq = 1 Ack = 1 | |(61622) ------------------> (80) | |15,357 | PSH, ACK - Len: 701 |Seq = 1 Ack = 1 | |(61622) ------------------> (80) | |15,358 | ACK - Len: 1460 |Seq = 702 Ack = 1 | |(61622) ------------------> (80) | |15,480 | ACK | |Seq = 1 Ack = 702 | |(61622) <------------------ (80) | |15,480 | ACK - Len: 1460 |Seq = 2162 Ack = 1 | |(61622) ------------------> (80) | |15,482 | ACK | |Seq = 1 Ack = 2162 | |(61622) <------------------ (80) | |15,482 | ACK - Len: 1460 |Seq = 3622 Ack = 1 | |(61622) ------------------> (80) | |15,482 | ACK - Len: 1460 |Seq = 5082 Ack = 1 | |(61622) ------------------> (80) | |15,605 | ACK | |Seq = 1 Ack = 3622 | |(61622) <------------------ (80) | |15,605 | ACK - Len: 1460 |Seq = 6542 Ack = 1 | |(61622) ------------------> (80) | |15,605 | ACK - Len: 1460 |Seq = 8002 Ack = 1 | |(61622) ------------------> (80) | |15,606 | ACK | |Seq = 1 Ack = 5082 | |(61622) <------------------ (80) | |15,606 | ACK | |Seq = 1 Ack = 6542 | |(61622) <------------------ (80) | |15,606 | ACK - Len: 1460 |Seq = 9462 Ack = 1 | |(61622) ------------------> (80) | |15,606 | ACK - Len: 1460 |Seq = 10922 Ack = 1 | |(61622) ------------------> (80) | |15,606 | ACK - Len: 1460 |Seq = 12382 Ack = 1 | |(61622) ------------------> (80) | |15,606 | ACK - Len: 1460 |Seq = 13842 Ack = 1 | |(61622) ------------------> (80) | |15,729 | ACK | |Seq = 1 Ack = 8002 | |(61622) <------------------ (80) |

  Time-Sequence Graph (Stevens) - Kuvaaja jossa näkyy tiedonsiirtonopeuden (eli ruuhkanhallinta ikkunan) kasvu yhteyden alusta

  

  ---

• Harjoitus 7 - Verkon viive ja reitit: ping ja traceroute
  12. 18.5.2014 (viikko 20) Käytä ping ohjelmaa komentoriviltä testataksesi viive johonkin example.com, example.org tai example.net palvelimeen tai itse valitsemaasi palvelimeen.

      (a) Kaappaa liikenne ja selvitä mitä protokollaa ja mitä viestejä ping käyttää. Palauta pakettikaappaus josta olet suodattanut kaiken muun verkkoliikenteen pois.

      (b) Etsi suurin sallittu hyötykuorma (estämällä paketin fragmentointi) jota linkkikerrokset tukevat reitillä edellisen kohdan palvelimeen.

      (c) Salli fragmentointi ja valitse jokin suuri luku ping paketin datan määräksi ja ping:aa edellisen kohdan palvelinta. Kuinka moneen osaan ping viesti fragmentoitiin?

  13. 18.5.2014 (viikko 20) Käytä tracert komentoa, johonkin palvelimeen (esim. tracert www.google.fi). Kaappaa liikenne ja selvitä seuraavat (jos käytössäsi on Linux tai Mac OS X ohjelman nimi on traceroute ja sillä voit valita mitä protokollaa (a) kohdassa käytetään)

      (a) Mitä protokollaa sovellus käyttää, jotta jokaiselta reitittimeltä saadaan vastaus?

      (b) Riippuen käyttöjärjestelmän traceroute ohjelman toteutuksesta, vastaa joko (1) Mikä on edellä protokollan käyttämä viesti? tai (2) Mikä on protokollan käyttämä porttinumero?

      (c) Millä protokollalla reitittimet vastaavat ja mikä on viesti vastauspaketissa?

      (d) Palauta kaappaus tracert liikenteestä, kaikki muu liikenne suodatetaan pois.

  Vinkkejä tehtäviin

  - Windows: komennolla ping 10.0.0.1 -l 1024 -f kerrotaan ping paketin 'hyötykuorman' koko (-l 1024) sekä estetään paketin fragmentointi (-f). - Jos rajoittava linkki on ensimmäinen linkki (kuten monesti on, koska runkoverkossa siirtoyhteyksillä on nykyään vähintään yhtäsuuri MTU), niin käyttöjärjestelmä havaitsee että paketti pitää fragmentoida ja toteaa että pakettia ei voida lähettää etkä näe liikennettä analysaattorilla (Packet needs to be fragmented but DF set.) - Paketti fragmentoidaan poistamalla -f option ja valitsemalla option -l arvon suuremmaksi kuin löytämäsi maksimi hyötykuorman suuruus. - Kaikki palvelimet/reitittimet eivät hyväksy suuria ping paketteja, jolloin saat esim. Request timed out -viestin (etsi jokin toinen palvelin joka hyväksyy ja vastaa) - NAT saattaa myös aiheuttaa ongelmia fragmentoitujen ping pakettien kanssa, tällöin voit myös saada Request timed out -viestin. Tämä tapahtunee esim. yliopiston langatonta verkkoa käytettäessä (tällöin tapauksessa selvitä reitittimen osoite netstat -rn ja default (oletus) reitin Gatewayn IP osoite ja ping:aa esim. oletus reititintä tehtävän suorittamiseksi). - Maksimi Transmission Unit (MTU) on linkkikohtainen (esim. Ethernet kehys voi kuljettaa 1500 tavua dataa). Tällöin maksimi ping paketin 'hyötykuorma' on 1472 tavua (IP ostikko vie 20 tavua ja ICMP otsikko 8 tavua). - Käyttöjärjestelmä voi myös asettaa pienemmän MTU:n esim. 1300 tavua, jolloin siis maksimi mitä ping:llä fragmentoimattomana voi lähettää on 1272 tavua) - Esim. VPN ohjelmisto saattaa asettaa käyttöjärjestelmän MTU arvon pienemmäksi koska VPN tuo lisää overhead:ia pakettiin. - Voit tarkistaa oman MTU arvosi komennolla "netsh interface ipv4 show interfaces". Lisää infoa ks. esim. http://lostintransit.se/category/tcpip/ - Luentomateriaaleissa sanotaan traceroute:n käyttävän UDP protokollaa, mutta käytetty protokolla riippuu traceroute sovelluksen toteutuksesta (erilainen eri käyttöjärjestelmissä). Vaihtoehtoina (ICMP, UDP, tai vaikka TCP). - Voit myös käyttää jotain muuta vastaavaa sovellusta kuin käyttöjärjestelmän tarjoamaa oletus traceroute sovellusta. - Voit suodattaa pois myös tracert ohjelmasta johtuvan DNS liikenteen, jolla sovellus selvittää reititinten nimiä IP osoitteen perusteella.

  ---

• Harjoitus 8 - DHCP, DNS ja ARP protokollat
  14. 25.5.2014 (viikko 21) Tehtävä vaatii että tietokoneesi käyttää DHCP:tä IP osoitteen saamiseksi.

      (a) Vapauta DHCP:llä osoitteesi ja hanki se uudelleen. Mitä DHCP viestejä saat kaapattua?

      (b) Mitä IP ja MAC osoitetta koneesi käyttää kohteena lähettämissään DHCP viesteissä?

      (c) Mitä protokollaa DHCP käyttää kuljetuskerroksella?

      (d) Mitkä ovat kohde- ja lähdeporttinumerot koneesi lähettämissä paketeissa?

  15. 25.5.2014 (viikko 21) Avaa Internet selain ja tyhjennä selaimesi välimuisti (cache). Tyhjennä dns välimuisti (ipconfig /flushdns). Mene osoitteeseen http://www.ietf.org. Etsi DNS query ja DNS response viestit.

      (a) Mikä on käytetty kuljetuskerroksen protokolla?

      (b) Mihin porttinumeroon DNS query lähetetään? Mistä porttinumerosta DNS response viesti tulee?

      (c) Sivu sisältää kuvia. Tehdäänkö uusia DNS kyselyitä ennenkuin selaimesi hakee kuvat?

      (d) Palauta pakettikaappaus josta olet suodattanut kaiken muun verkkoliikenteen pois.

  16. 25.5.2014 (viikko 21) Tarkastellaan ARP viestejä. Katso tietokoneesi reititystaulusta (netstat -rn) mikä on oletusreititin. Katso sitten ARP taulua (arp -a) ja etsi sieltä reititintä vastaava rivi. Poista se ARP taulusta, generoi mitä tahansa verkkoliikennettä ja kaappaa ARP liikenne.

      (a) Mitä ARP viestejä käytettiin?

      (b) Palauta kaappaus ARP paketeista.

  Vinkkejä tehtäviin

  - Tietoliikennelabrassa IP:t tällä hetkellä asetettu manuaalisesti, siellä DHCP tehtävän voi jättää väliin. - Windows: Komentokehotteen komennolla ipconfig /release koneesi luopuu IP osoitteesta. Komennolla ipconfig /renew saat uuden IP osoitteen. - Mac OS X: kokeile esim. sudo ipconfig set en0 BOOTP ja sudo ipconfig set en0 DHCP - Wiresharkissa suodattimena joudut käyttämään 'bootp' (DHCP on kehitetty bootp protokollasta). - Komennolla ipconfig /displaydns näet koneesi muistissaan pitämät domain nimiä vastaavat IP osoitteet. - DNS välimuistin tyhkentäminen tietokoneeltasi Windows: ipconfig /flushdns Mac OS X: dscacheutil -flushcache - Omaa tietokonettasi koskevan ARP liikenteen saat suodatettua esim. ao. suodatinta käyttämällä (vaihtamalla siihen oman koneen MAC osoitteen) (eth.src == 00:24:e8:42:9e:89 || eth.dst == 00:24:e8:42:9e:89) && arp - Uudemmissa Windows versioissa täytyy cmd> ajaa admin oikeuksilla, jotta ARP taulua voi muokata. "computer" --> "C" --> "Windows" folder --> "System 32" folder --> find "CMD.exe" --> right click --> "Run as administrator" - Jos sinulla ei ole oikeuksia poistaa ARP taulusta riviä, niin laita suodattimeksi arp ja anna Wiresharkin kuunnella liikennettä niin kauan että saat kaapattua ARP liikennettä.

  ---

Last updated 13.5.2014
Takaisin