ITKP104 Tietoverkot - Analysaattorityö (1 op)

Ohje Keväälle 2018

Analysaattorityöhön liittyvät demotehtävät

Ennen tämän sivun harjoitusten aloittamista kannattaa tutustua TIM-järjestelmässä oleviin Demo-tehtäviin, joissa tutustutaan HTTP protokollaan. Tehtävistä on mahdollista saada hyvityspisteitä ITKP104 Tietoverkot kurssin yhteispisteisiin.

Analysaattorityöhön liittyvät harjoitustehtävät

Tehtävät voi tehdä kotona omalla tietokoneella tai ohjatusti Tietoliikennelaboratorissa omalla kannettavalla tietokoneella. Tehtävien tekeminen vaatii jonkun protokolla-analysaattorin asentamisen omaan tietokoneeseen. Analysaattoreita ei ole yliopiston tietokoneissa. Omalle koneelle voi asentaa esimerkiksi jonkun työkaluista löytyvistä analysaattoreista, jos ei vielä sellaista ole. Ohjauksissa esimerkit esitetään Wireshark-analysaattorilla.

Tehtävät

Vanhat videot tullaan poistamaan. Katso tarvittaessa ohjeita ja ohjevideo 2019 kurssilta.

• Ohjeita pakettikaappaukseen

• Harjoitus 1 - Verkon liikenteen kaappaaminen
  1. (2p) Käynnistä analysaattori ja aloita verkkoliikenteen kaappaus. Mene selaimella osoitteeseen http://users.jyu.fi/~arjuvi/opetus/itkp104/testi.html.

     (a) Palauta pakettikaappaus (wiresharkin pcap tiedosto), jossa on paketit TCP yhteydenmuodostuksesta, HTTP viestien välityksestä, TCP yhteydensulkemisesta, sekä mahdollisista muista TCP paketeista, liittyen sivun siirtoon. Suodata kaikki muu verkkoliikenne pois, esimerkiksi vinkeistä löytyvällä suodattimella.

     Wireshark suodatetun liikenteen tallennus:

     File → Export Specified Packets

     Valitse Save as type: Wireshark/tcpdump/...-pcap

     Packet range All packets ja Displayed

     (b) Kuinka monta pakettia välitettiin yhteensä?

  2. (2p) Mene selaimella osoitteeseen http://users.jyu.fi/~arjuvi/opetus/itkp104/testi2.html. Kun sivu on latautunut, lataa se uudestaan (F5, refresh, reload,...).

     (a) Palauta pakettikaappaus josta olet suodattanut kaiken muun verkkoliikenteen pois.

     (b) Kuinka sivun uudelleenlataus vaikuttaa lähetettyjen pakettien määrään?

     (c) Kuinka monta pakettia välitettiin yhteensä?

  Vinkkejä tehtäviin

  Huom: Wiresharking käyttämä WinPcap ajuri täytyy ajaa administrator oikeuksilla. Jos sinulla ei näy Interfaces listassa yhtään liityntää, niin ongelma korjaantunee admin oikeuksilla.

  Vinkki: Seuraavalla suodattimella Wiresharkissa (ip.src == 130.234.10.200) || (ip.dst == 130.234.10.200) pääsee jo aika pitkälle, silloin kun liikenne on oman koneesi ja users.jyu.fi palvelimen välistä. Jos esim. suodat liikennettä kahdelle palvelimelle, niin lisää or (||) ehtoja esim. (ip.src == 130.234.10.200) || (ip.dst == 130.234.10.200) || (ip.src == 130.234.4.129) || (ip.dst == 130.234.4.129), missä toinen IP osoite on www.jyu.fi palvelimen nykyinen osoite. IP osoitteet saattavat muuttua joskus, joten ne on tälle sivulle haettu PHP koodilla käyttämällä DNS palvelua. Muille palvelimille, esimerkiksi www.example.com palvelimelle, voit selvittää IP osoitteen esimerkiksi komentoriviltä nslookup-työkalulla, antamalla parametriksi palvelimen verkkotunnuksen: nslookup www.example.com

  - Jos avaat sivun ennen kuin pakettikaappaus on käynnissä, selain saattaa jättää sivun välimuistiin eikä seuraavan kerran sivulle mentäessä näy mitään analysaattorissa, tällöin tyhjennä selaimen välimuisti, käynnistä pakettikaappaus, ja mene uudestaan ko. sivulle - Sivun uudelleen lataamisen tulisi saada selain kysymään palvelimelta "onko sivu muuttunut?", johon palvelin vastaa 304 (Not modified). Pakettien määrä (ja sivun ollessa pieni myös siirrettävän datan määrä) on kuitenkin samaa suurusluokkaa kuin ensimmäisessä pyynnössä. - Käyttöjärjestelmä valitsee koneesi käyttämät portit satunnaisesti, joskus portti voi olla jokin minkä wirshark 'osaa' tulkita, jolloin voit saada jotain ao. kaltaista (jossa siis smart-lm (1608) portti on satunnaisesti valittu porttinumero, eikä liity todelliseen palveluun (joka määräytyy siis palvelimen portin mukaan http (80)) Transmission Control Protocol, Src Port: smart-lm (1608), Dst Port: http (80) Voit asetuksista määrittää miten Wireshark selvittää eri kerrosten osoitteita Preferences -> Name Resolution - jotkin selaimet avaavat useita rinnakkaisia yhteyksiä palvelimeen. Tällöin osassa yhteyksiä ei välitetä liikennettä (koska testi sivulla ei ole esim. kuvia, joita voitaisiin rinnakkaisilla yhteyksillä siirtää). - Selaimesta riippuen yksi näistä yhteyksistä saattaa hakea favicon.ico tiedostoa (vaikka sitä ei olisi määritetty sivun koodissa). Se on siis pieni kuva (selaimesta riippuen joko välilehden otsikossa tai selaimen osoite -rivillä). Tällä sivulla on esim. favicon tiedostona pieni kuva luennoitsijasta. - Wireshark saattaa antaa mustia rivejä, joissa sen mielestä on jotain virheellistä, esim. Header checksum: 0x0000 [incorrect, should be 0x4993] jos näitä on useita (oman koneesi lähettämissä paketeissa), niin syynä todennäköisesti se että jotkin (uusimmat) verkkokortit asettavat tarkistussumman vasta laitteistotasolla, jolloin Wireshark ei sitä näe ja luulee virheeksi. Voit ottaa tällöin TCP tarkistussumman tarkastamisen pois päältä (http://wiki.wireshark.org/TCP_Checksum_Verification). Preferences -> Protocols -> TCP -> "Validate the TCP checksum if possible" - Vastaava voi tapahtua myös IP protokollan osalta. Voit joko laittaa ruksin Preferences -> Protocols -> IP -> "Support packet-capture from IP TSO-enabled hardware" tai ottaa sen pois kohdasta Preferences -> Protocols -> IP -> "Validate the IP checksum if possible" tai sitten käyttöjärjestelmän kautta verkkokortin ominaisuuksista ottamalla pois päältä ominaisuuden "checksum offload". Jos otat tuon pois päältä niin käyttöjärjestelmän TCP/IP pino (ohjelmisto) tekee laskennan verkkokortin sijaan (laitteisto), mikä kuluttaa prosessorin tehoja enemmän. - Joskus saat kaapattua punaisia rivejä jotka ovat ns. resetointi paketteja (RST). Näitä ei yleensä tulisi näkyä normaalitilanteessa, mutta jotkin selaimet lopettavat ylimääräiset yhteydet RST paketilla.

  ---

• Harjoitus 2 - HTTP protokollan toimintaa
  3. (1p) Käynnistä pakettien kaappaus ja mene selaimella osoitteeseen http://users.jyu.fi/~arjuvi/opetus/itkp104/Labra1.html. Pysäytä pakettien kaappaus.

     (a) Kuinka monta HTTP GET request -viestiä selain lähetti?

     (b) Mihin IP-osoitteisiin viestit lähetettiin? Huomaa ettet suodata näkyviin vain users.jyu.fi liikennettä, vaan myös toisen kuvan palvelimelle menevä liikenne. Edellisen harjoituksen vinkeissä on malliksi suodatin tälle tehtävälle.

     (c) Voitko sanoa pakettikaappauksen perusteella latasiko selain kuvat peräkkäin vai rinnakkain. Tutki kuvien välittämiseen käytettyjä paketteja, tuleeko paketteja myös toisesta kuvasta, ennen kuin ensimmäinen kuva on kokonaan vastaanotettu. Toinen palvelimista välittää kuvat TLS paketeissa, mutta kuvan pyyntö palvelimelle tehdään ilman TLS:ää.

     (d) Palauta pakettikaappaus joka sisältää http://users.jyu.fi/~arjuvi/opetus/itkp104/Labra1.html sivun, sekä sillä olevien kahden kuvan, hakemiseen liittyvät paketit. Suodata muu verkkoliikenne pois.

  4. (1p) Tutkitaan yksinkertaista HTTP autentikointia. Aloita uusi pakettien kaappaus ensin, sitten mene osoitteeseen http://users.jyu.fi/~arjuvi/opetus/itkp104/salasana/Salasana.php sekä syötä tunnus ja salasana (Mitä tahansa kunhan tunnus ja salasana eivät ole mitään oikeasti käyttämiäsi).

     (a) Millä statuskoodilla sekä tekstillä palvelin kertoo selaimelle että tarvitaan käyttäjätunnus ja salasana? Tieto löytyy tarkastelemalla palvelimen HTTP vastaus -pakettia.

     (b) Mitä HTTP otsikko (header) -kenttää, mitä autentikointimenetelmää ja (sen perusteella) mitä koodausmenetelmää palvelin pyytää selainta käyttämään tunnistautumiseen ja viestin koodaamiseen?

     (c) Palauta pakettikaappaus josta olet suodattanut kaiken muun verkkoliikenteen pois.

     (d) Selvitä Internet-lähteistä, mitä muita autentikointimenetelmiä HTTP voi käyttää?

  5. (2p) Ota jollakin Telnet-ohjelmalla TCP yhteys palvelimen example.com, example.org tai example.net porttiin 80, käyttäen HTTP 1.1 protokollaa, eli lähettämällä tarvittavan GET-pyynnön sekä Host:-otsikkorivin.

     (a) Palauta pakettikaappaus josta olet suodattanut kaiken muun verkkoliikenteen pois.

     (b) Montako pakettia nyt lähetetään? Kerro myös mitä ohjelmaa ja käyttöjärjestelmää käytit.

  Palvelin sulkee yhteyden aika nopeasti, voit palauttaa myös kaappauksen, jossa palvelin on sulkenut yhteyden ennenkuin sait koko viestin lähetettyä. (Linux ja Mac aseta Telnetin moodi: 'mode character'. Lisäksi negotiation moodi pitäisi olla passiivinen. HUOM: näyttää siltä että uusimmissa Linux ja MAC telnet toteutuksissa 'mode character' ei toimi, eli Telnet:iä ei saa lähettämään jokaista merkkiä erikseen. Palauta kaappaus vaikkei jokaista merkkiä lähetettäisikään omassa paketissa). Telnet avaa käytännössä TCP yhteyden palvelimeen (oletuksena telnet käyttää porttia 23, huomaa että joudut käyttämään porttia 80). Voit käyttää myös esim. Putty tai netcat -ohjelmaa, jos käyttöjärjestelmässä ei ole Telnet:iä. Telnet:iä käytettiin aikoinaan etäyhteyden avaamiseen palvelimeen. Nykyään käytetään salausta tukevia protokollia.

  Vinkkejä tehtäviin

  Ohjevideoissa löytyy video Telnet:n käytöstä Windows 7:ssa. Voit käyttää myös esim. Putty:n Telnet ominaisuutta (varsinkin jos käyttöjärjestelmässä ei ole Telnet asennettuna) Huom: Muuta Putty:n asetuksista: Connection → Telnet → Telnet negotiation mode: Passive. - Kuvat ladataan rinnakkain, jos pyynnöt niistä lähetetään peräkkäin odottamatta vastausta ensimmäiseen pyyntöön. Eli jos toisen kuvan GET pyyntö lähetetään ennen kuin ensimmäinen kuva ladataan kokonaan. Jossain tapauksissa ensimmäinen kuva saattaa saapua kokonaisuudessaa ennen kuin toisen kuvan siirto alkaa (pieni kuva tulee niin nopeasti), mutta rinnakkaisuuden näkee siis GET pyyntöjen ajoituksesta suhteessa kuvien siirtoon. - Wireshark kaappauksesta löytyy HTTP otsikko (header), josta salaus menetelmän nimi selviää ja tämän nimen perusteella voi Internetistä etsiä sen mitä salausta käytetään. - Jos suodat liikennettä kahdelle palvelimelle, niin käytä or (eli ||) ehtoja - Wiresharkin näyttäessä paketin kohdalla [TCP segment of a reassebled PDU] tarkoittaa se sitä että Wirshark on huommannut Sovelluskerroksen viestin pilkotun useampaan TCP segmenttiin (kuljetuskerroksen termi paketille). Esimerkiksi kun palvelin lähettää kuvatiedoston se on jakautunut useaan segmenttiin. Tällöin Wirshark ei tulkitse että kyseessä on HTTP protokollan paketti, jolla siirrettiin kuva. Ottamalla ruksin pois kohdasta Edit -> Preferences -> Protocols -> TCP -> Allow subdissector to reassemble TCP streams Wireshark tulkitsee segmentit HTTP protokollaksi, joka on informatiivisempi kun tarkoitus on tutkia HTTP:tä. - Huom: koodaus eli salaus on helppo purkaa ja esim. Wireshark purkaa sen automaattisesti. - Muita salausmenetelmiä voi etsiä vaikka hakusanalla HTTP authentication. - Telnet lähettää jokaisen kirjaimen omassa TCP paketissa. Tämän tulisi näkyä ainakin Windows:in Telnet:tiä käytettäessä. - Muut Telnet toteutukset (esim. Putty tai muiden käyttöjärjestelmien Telnet sovellukset saattavat puskuroida lähetettävää dataa, jolloin et havaitse merkki kerrallaan liikennettä). - Putty:ssä valitse 'telnet' niin saat lähetys tapahtuu merkki kerrallaan, 'raw data' puskuroi merkit rivinvaihtoon asti. - Telnet ohjelma ei ole asennettu oletuksena kaikissa Windows versioissa. Windows Vista ja Windows 7 asennus: 1. Start --> Control Panel --> Programs and Features 2. Valitaan "Turn Windows features on or off" 3. Valitaan "Telnet Client" optio ja OK. - Linux ja Mac aseta Telnetin moodi: 'mode character', jotta Telnet lähettää kirjaimen kerrallaan. - Tee telnet tehtävä paikallisesta koneesta (ei siis etäyhteyden yli), koska et voi kaapata liikennettä jos otat ensin esim. ssh yhteyden suorakäyttökoneeseen jalava.cc.jyu.fi ja sieltä telnet yhteyden).

  ---

• Harjoitus 3 - HTTP protokolla syvällisemmin
  Käytä tehtäviin 6-8 työkaluista löytyvää TCP asiakasta.

  6. (1p) Käytä tehtäviin työkaluista löytyvää TCP asiakasta. Lähetä HTTP 1.1 protokollan mukainen viesti, kuten edellisessä tehtävässä jollekin esimerkki palvelimelle (example.com, example.org tai example.net), mutta nyt kahdessa tai useammassa paketissa. Kaappaa liikenne ja palauta kaappauksesta nämä paketit.
  7. (1p) Tehtävänä on saada palvelin vastaamaan staus koodilla: 304 (Not modified). Lähetä GET pyyntö palvelimelle (example.com, example.org tai example.net), jossa on tarvittava HTTP otsikko. Palauta kaappauksesta lähettämäsi viesti ja palvelimen vastaus.
  8. (1p) Tutkitaan persistent ja non-persistent HTTP yhteyksiä, katso vinkeistä vihjeitä.

     (a) Hae ensin objektit testi.html ja testi2.html osoitteesta users.jyu.fi/~arjuvi/opetus/itkp104/ käyttäen non-persistent HTTP:tä. Palauta suodatettu kaappaus.

     (b) Hae sitten samat objektit käytämällä persistent HTTP:tä (without pipelining). Palauta suodatettu kaappaus.

     (c) Selitä mitä eroa huomaat edellisissä kaappauksissa.

     (d) Hae vielä samat objektit käyttämällä HTTP Persistent with pipelining menetelmää. Palauta suodatettu kaappaus.

  9. (1p) Kaapataan salattua HTTP liikennettä. Jos olet aiemmin manuaalisesti hyväksynyt sertifikaatin osoitteelle korppi.it.jyu.fi, niin poista hyväksyntä.

     Kaappaa (a) ja (b) kohdan liikenteet erillisiin tiedostoihin, suodata muu liikenne pois.

     (a) Mene selaimella https://www.jyu.fi/ osoitteeseen.

     (b) Mene selaimella https://korppi.it.jyu.fi/kotka/course/student/generalCourseInfo.jsp?course=185824 osoitteeseen. Osoitteen sertifikaatti on myönnetty korppi.jyu.fi -palvelimelle, joten selain antaa varoituksen.

     (c) Tutki kaappausten alkua noin 20 paketin verran. Selitä mitä eroa huomaat edellisissä kaappauksissa. Palauta molemmista kaappauksista n. 20 ensimmäistä pakettia, siten että eroavat paketit ovat joukossa.

  Vinkkejä tehtäviin

  - Voit lähettää vaikka kirjaimen kerrallaan palvelimelle, eli voit missä tahansa vaiheessa painaa 'send' painiketta kunhan rivinvaihdon ilmaisevat merkit \r\n menevät palvelimelle samassa paketissa. - Huom: jos et ole tarpeeksi nopea, palvelin voi sulkea yhteyden. Harjoittele ensin työkaluista löytyvän HTTP palvelimen kanssa, tai tee tekstitiedosto, josta kopioit kommennot, niiden kirjoittamisen sijaan. - Esim. kopioi ao. kaltaiset rivit TCP asiakkaaseen ja paina [send] joka rivin jälkeen (huom välilyönti ennen HTTP/1.1\r\n) G[send] ET /[send] HTTP/1.1\r\n[send] Host: example.org\r\n\r\n[send] - Vinkki: HTTP:n connection -otsikolla voit valita käytetäänkö persistent vai non-persistent muotoa (huomaa myös käytätkö HTTP1.0 vai 1.1 versiota), ks. esim. http://en.wikipedia.org/wiki/HTTP_persistent_connection - HTTP Persistent without pipelining: lähetä GET pyyntö yhdestä sivusta, odota vastaus ja lähetä GET pyyntö toisesta sivusta - HTTP Persistent with pipelining: voidaan toteuttaa lähettämällä molemmat pyynnöt yhdellä [send] klikkauksella (eli lähetetään uusi pyyntö odottamatta vastausta ensimmäiseen). Esim. kopioi TCP asiakkaaseen GET /~arjuvi/opetus/itkp104/testi.html HTTP/1.1\r\nHost: users.jyu.fi\r\n\r\nGET /~arjuvi/opetus/itkp104/testi2.html HTTP/1.1\r\nHost: users.jyu.fi\r\n\r\n ja paina sitten [send]

  ---

• Harjoitus 4 - SMTP protokolla
  Käytä tehtäviin työkaluista löytyvää TCP asiakasta tai esim. Putty:ä.

  10. (4p) Avaa työkaluista löytyvä TCP palvelin ja käynnistä se SMTP palvelimena. Ota asiakkaalla yhteys testipalvelimeen ja lähetä testipalvelimelle sähköposti käyttämällä SMTP protokollaa. Testipalvelin ei välitä sähköpostia eteenpäin, mutta osaa kommunikoida minimaalisesti SMTP:tä kuten oikea palvelin. Lisäksi tee vähintään yksi kohdista (a) - (d)

      (a) Kopioi sekä asiakkaan että palvelimen tulostama kommunikaatio ja palauta se

      (b) Kaappaa sähköpostin lähetyksen generoima tietokoneen sisäinen liikenne RawCap (windows) tai tcpdump ohjelmalla ja palauta pakettikaappaus josta olet suodattanut kaiken muun verkkoliikenteen pois.

      (c) Ota salattu yhteys smtp.gmail.com palvelimeen (portti 465) ja lähetä sähköpostia itsellesi. Palauta asiakkaan tulostama kommunikaatio josta olet poistanut Base64 koodatun salasanasi ja käyttäjätunnuksesi. Pakettikaappaus on SSL salattu, palauta kaappaus jossa on paketit TCP yhteyden muodostuksesta palvelimen lähettämään Server Hello pakettiin asti. Tarkemmat ohjeet salatun SMTP:n käyttöön saat esim. tästä ja videon löydät ohjevideoista.

      (d) Kokeile löytää jokin sähköpostipalvelin joka ei käytä salausta ja kokeile lähettää itsellesi sähköpostia. Palauta kaappaus, joka voi olla myös epäonnistunut yritys, esim. palvelin vastaa viestillä "Relaying denied. Proper authentication required".

      HUOM: jos teet (c) kohdan, poista listauksesta Base64 koodattu salasanasi (ja käyttäjätunnuksesi).

  Vinkkejä tehtäviin

  - smtp.gmail.com vaatii autentikoitumisen. Sinulla pitää olla joko JY:n Isa-posti tunnus tai oma gmail tunnus. ks. myös https://trac.cc.jyu.fi/projects/it/wiki/ITKP104/2016/faq - Huom: telnet:iä tai Putty:ä käytettäessä ei kirjoiteta rivinvaihtomerkkejä (\r\n), vaan niiden sijaan painetaan [enter] näppäintä

  ---

• Harjoitus 5 - FTP protokolla
  Käytä tehtäviin työkaluista löytyvää TCP asiakasta tai esim. Putty:ä.

  11. (4p) FTP protokollan testaamiseen tarvitset kaksi samanaikaista TCP yhteyttä. Tämän voit tehdä eism. joko kahdella työkalujen TCP asiakkaalla, Putty, tai telnet ohjelmalla, käyttäen samaa sovellusta tai kahta eri sovellusta.

      (a) Ota ensin selaimella FTP yhteys johonkin FTP palvelimeen (esim. ftp.fi.debian.org, ftp.cac.washington.edu, ftp.mozilla.org) ja palauta signalointiyhteyden suodatettu pakettikaappaus. Jos em. palvelimet eivät toimi, niin laita sähköpostia.

      (b) Ota sitten TCP yhteys FTP palvelimen porttiin 21 ja käytä FTP protokollaa ao. esimerkin mukaisesti. Palauta pakettikaappaus, jossa FTP signalointi- ja dataliikenne on suodatettuna muusta liikenteestä. Palauta lisäksi signalointi yhteydellä tapahtuva FTP kommunikaatio.

      Ohjevideoissa on esimerkki FTP:n käytöstä. USER anonymous\r\n (Suluissa olevat tekstit ovat lisäohjeita, joita ei tule lähettää palvelimelle) PASS anonymous\r\n EPSV\r\n (Katso vastauksesta palvelimen uusi portti ja muodosta yhteys tähän toisella ohjelmalla) LIST\r\n (ohjelmalla joka yhteydessä porttiin 21) (Listaus tulee toiseen ohjelmaan datayhteyden kautta) EPSV\r\n (ohjelmalla joka yhteydessä porttiin 21) (Katso vastauksesta palvelimen uusi portti ja muodosta yhteys tähän toisella ohjelmalla) RETR filename\r\n (ohjelmalla joka yhteydessä porttiin 21, korvaa filename jollain listauksessa näkyvällä tiedostolla, esim. README tai README.html) (Palvelin lähettää tiedoston toiseen ohjelman uuden datayhdeyden kautta) QUIT\r\n (ohjelmalla joka yhteydessä porttiin 21)

  Vinkkejä tehtäviin

  - Jos käytät kahta eri ohjelmaa, niin on mahdollista että ne saavat eri IP osoitteen DNS kyselyllä samalle www-osoitteelle. Jos data yhteyden luonti ei tällöin onnistu, niin käytä nimen sijaan IP osoitetta. - Huom: jos itse valitsemasi palvelin ei tue EPSV komentoa, silloin joudut käyttämään PASV komentoa ja laskemaan itse porttinumeron palvelimen vastauksesta. - Huom: jos kopioit kommennot (copy-paste), niin ole tarkkana ettet kopioi rivinvaihdon (\r\n) perässä olevaa välilyöntiä, ylimääräiset välilyönnit rivinvaihdon jälkeen aiheuttavat sen että palvelin ei ymmärrä seuraavaa komentoa, koska protokollan mukaan mikään komento ei ala välilyönnillä. - EPSV komennon jälkeen tulee olla nopea (Palvelin ei pidä porttia auki kauan jonka se ilmoittaa vastauksena), esim. >>> EPSV\r\n 229 Extended Passive Mode Entered (|||51158|) Kun palvelin tuollaisen vastaa niin pitää 'nopeasti' muodostaa uusi yhteys (datalle) porttiin (51158 esimerkin tapauksessa). - Ennen kuin aloitat, kannattaa esim. palvelimen osoite laittaa valmiiksi molempiin ohjelmiin.

  ---

• Harjoitus 6 - TCP ruuhkanhallinta
  12. (4p) Tutkitaan seuraavaksi TCP protokollaa. Mene selaimella osoitteeseen http://gaia.cs.umass.edu/ethereal-labs/alice.txt ja tallenna tiedosto tietokoneellesi. Seuraavaksi mene osoitteeseen http://gaia.cs.umass.edu/ethereal-labs/TCP-ethereal-file1.html ja Browse -painiketta painamalla etsi juuri tallentamasi tiedosto. Käynnistä pakettien kaappaus nyt ja klikkaa sen jälkeen ``Upload Alice.txt file''. Kun tiedosto on ladattu saat siitä ilmoituksen. Pysäytä pakettien kaappaus. Suodata muu liikenne pois.

      (a) Alussa on TCP:n kolmitiekättelyvaihe. Mitkä ovat todelliset sekvenssinumerot ja kuittausnumerot näissä kolmessa paketissa? Wireshark näyttää oletuksena suhteelliset numerot, jotka alkavat nollasta. Muuta asetus, ks. vinkit.

      (b) Mikä on MSS arvo ja alustava vastaanottajan ikkunan koko?

      (c) Minkä HTTP metodin löydät TCP kolmitiekättelyn jälkeisestä paketista?

      (d) Klikkaa edellisen kohdan pakettia ja sitten Analyze -> Follow TCP Stream. Seuraa seuraavien pakettien sekvenssinumeroita ja palvelimen kuittauksia niihin Statistics -> Flow Graph... sekä Statistics -> TCP Stream Graph -> Time-Sequence Graph (Stevens). Kokeile myös Switch Direction nappia, uusin Wireshark näyttää oletuksena joko datan tai kuittausten graafin, riippuen siitä kummanlainen paketti on valittuna. Jos kaappaukseesi tulee yhteydenlopetukseen käytettävät viestit, suodata ne pois esim. Export -> Range toiminnolla niin ne eivät sotke kuvaajan ajastusta. Sekvenssinumeron, päästä-päähän ajan (RTT) lähettettävän datan määrän ja kuittausnumeron avulla voit päätellä ruuhkanhallinta ikkunan muutoksen kuittauksen vastaanoton jälkeen (tai kuvaajasta). Selitä kuinka ruuhkanhallinta ikkunan koko (tiedonsiirtonopeus) muuttuu. Mikä on kuvailemasi TCP:n ruuhkanhallintamenetelmä? Palauta pakettikaappaus missä ruuhkanhallintamenetelmä näkyy toiminnassa.

  Vinkkejä tehtäviin

  - Wireshark: Todelliset sekvenssinumerot saat näkyviin poistamalla ruksin kohdasta: Edit -> Preferences -> Protocols -> TCP -> Relative sequence numbers - Kuittausnumeron ero edelliseen kuittauspaketin kuittausnumeroon kertoo kuitatun datan määrän (esim. 3622 - 2162 = 1460). - Esimerkin kuittausnumeron 3622 paketti saapuu ajanhetkellä 15,605 (ja kuittaa siis 1460 tavua vastaanotetuksi). Tällöin Slow Start menetelmä voi lisätä ruuhkanhallintaikkunan kokoa kuitatun datan määrällä ja samalla ajanhetkellä lähetetään kaksi 1460 tavun pakettia uutta dataa. - Ajan hetkellä 15,606 saapuu kaksi ACK pakettia, jotka kuittaavat molemmat 1460 tavua ja kumpikin kuittaus kasvattaa ruuhkanhallintaikkunan 1460 tavulla ja voidaan lähettää 4 uutta 1460 tavun pakettia matkalle - Ja tämän jälkeen odotetaan taas seuraavaa kuittaus pakettia, joka saapuu ajanhetkellä 15,729. Kokonaisuudessaan paketit näkyvät Time-Sequence Graph (Stevens) kuvaajassa - Huomaa myös kulunut aika suhteessa tiedonsiirtonopeuden kasvuun (alla RTT on n. 130 ms). Tämä näkyy hyvin Time-Sequence Graph (Stevens) kuvaajassa - Eli lähetysnopeus esimerkissä ensimmäistä datapakettia lähetettäessä (ajanhetki 15,357) on 701+1460 = 2161 tavua (RTT:tä kohden joka esimerkissä on 130 ms) - Lähetysnopeus kasvaa arvoon 3*1460 = 4380 tavua ajanhetkellä 15,482 (kuittausten saapuessa RTT:n kuluttua) - Ja seuraavan RTT:n jälkeen (kuittausten saavuttua yo. kolmesta paketista) nopeus onkin jo 6*4380 (eli yhteensä 6 kpl 1460 tavun paketteja lähetetään aikavälillä 15,605 - 15,606) - Alla käytetään suhteellista sekvenssinumerointia (alkaa Seq = 1) havainnollistamaan kuitattavan datan määrää, joka siis saadaan kun lisätään Wiresharkissa ruksi kohtaan Edit -> Preferences -> Protocols -> TCP -> Analyze TCP sequence numbers - Slow start voi alkaa yhden segmentin sijaan myös useammalla, kuten alla olevassa esimerkissä. Tämä mahddollistaa alkuvaiheessa kiihdytetyn nopeuden kasvun kun saadaan heti useampia kuittaus paketteja (ks. RFC3390, implementointi käyttöjärjestelmäkohtainen sekä selainkohtainen). TCP flow graph - Kuvaaja jossa näkyy lähetetyt paketit

  |Time | 130.234.169.82 | | | | 128.119.245.12 | |15,233 | SYN | |Seq = 0 | |(61622) ------------------> (80) | |15,357 | SYN, ACK | |Seq = 0 Ack = 1 | |(61622) <------------------ (80) | |15,357 | ACK | |Seq = 1 Ack = 1 | |(61622) ------------------> (80) | |15,357 | PSH, ACK - Len: 701 |Seq = 1 Ack = 1 | |(61622) ------------------> (80) | |15,358 | ACK - Len: 1460 |Seq = 702 Ack = 1 | |(61622) ------------------> (80) | |15,480 | ACK | |Seq = 1 Ack = 702 | |(61622) <------------------ (80) | |15,480 | ACK - Len: 1460 |Seq = 2162 Ack = 1 | |(61622) ------------------> (80) | |15,482 | ACK | |Seq = 1 Ack = 2162 | |(61622) <------------------ (80) | |15,482 | ACK - Len: 1460 |Seq = 3622 Ack = 1 | |(61622) ------------------> (80) | |15,482 | ACK - Len: 1460 |Seq = 5082 Ack = 1 | |(61622) ------------------> (80) | |15,605 | ACK | |Seq = 1 Ack = 3622 | |(61622) <------------------ (80) | |15,605 | ACK - Len: 1460 |Seq = 6542 Ack = 1 | |(61622) ------------------> (80) | |15,605 | ACK - Len: 1460 |Seq = 8002 Ack = 1 | |(61622) ------------------> (80) | |15,606 | ACK | |Seq = 1 Ack = 5082 | |(61622) <------------------ (80) | |15,606 | ACK | |Seq = 1 Ack = 6542 | |(61622) <------------------ (80) | |15,606 | ACK - Len: 1460 |Seq = 9462 Ack = 1 | |(61622) ------------------> (80) | |15,606 | ACK - Len: 1460 |Seq = 10922 Ack = 1 | |(61622) ------------------> (80) | |15,606 | ACK - Len: 1460 |Seq = 12382 Ack = 1 | |(61622) ------------------> (80) | |15,606 | ACK - Len: 1460 |Seq = 13842 Ack = 1 | |(61622) ------------------> (80) | |15,729 | ACK | |Seq = 1 Ack = 8002 | |(61622) <------------------ (80) |

  Time-Sequence Graph (Stevens) - Kuvaaja jossa näkyy tiedonsiirtonopeuden (eli ruuhkanhallinta ikkunan) kasvu yhteyden alusta

  

  ---

• Harjoitus 7 - Verkon viive ja reitit: ping ja traceroute
  13. (2p) Käytä ping ohjelmaa komentoriviltä testataksesi viive johonkin example.com, example.org tai example.net palvelimeen tai itse valitsemaasi palvelimeen.

      (a) Kaappaa liikenne ja selvitä mitä protokollaa ja mitä viestejä ping käyttää. Palauta pakettikaappaus josta olet suodattanut kaiken muun verkkoliikenteen pois.

      (b) Etsi suurin sallittu hyötykuorma (estämällä paketin fragmentointi) jota linkkikerrokset tukevat reitillä edellisen kohdan palvelimeen.

      (c) Salli fragmentointi ja valitse jokin suuri luku ping paketin datan määräksi ja ping:aa edellisen kohdan palvelinta. Kuinka moneen osaan ping viesti fragmentoitiin?

  14. (2p) Käytä tracert komentoa, johonkin palvelimeen (esim. tracert www.google.fi). Kaappaa liikenne ja selvitä seuraavat (jos käytössäsi on Linux tai Mac OS X ohjelman nimi on traceroute ja sillä voit valita mitä protokollaa (a) kohdassa käytetään)

      (a) Mitä protokollaa sovellus käyttää, jotta jokaiselta reitittimeltä saadaan vastaus?

      (b) Riippuen käyttöjärjestelmän traceroute ohjelman toteutuksesta, vastaa joko (1) Mikä on edellä protokollan käyttämä viesti? tai (2) Mikä on protokollan käyttämä porttinumero?

      (c) Millä protokollalla reitittimet vastaavat ja mikä on viesti vastauspaketissa?

      (d) Palauta kaappaus traceroute liikenteestä, kaikki muu liikenne suodatetaan pois.

  Vinkkejä tehtäviin

  - Windows: komennolla ping 10.0.0.1 -l 1024 -f kerrotaan ping paketin 'hyötykuorman' koko (-l 1024) sekä estetään paketin fragmentointi (-f). - Jos rajoittava linkki on ensimmäinen linkki (kuten monesti on, koska runkoverkossa siirtoyhteyksillä on nykyään vähintään yhtäsuuri MTU), niin käyttöjärjestelmä havaitsee että paketti pitää fragmentoida ja toteaa että pakettia ei voida lähettää etkä näe liikennettä analysaattorilla (Packet needs to be fragmented but DF set.) - Paketti fragmentoidaan poistamalla -f option ja valitsemalla option -l arvon suuremmaksi kuin löytämäsi maksimi hyötykuorman suuruus. - Kaikki palvelimet/reitittimet eivät hyväksy suuria ping paketteja, jolloin saat esim. Request timed out -viestin (etsi jokin toinen palvelin joka hyväksyy ja vastaa) - NAT saattaa myös aiheuttaa ongelmia fragmentoitujen ping pakettien kanssa, tällöin voit myös saada Request timed out -viestin. Tämä tapahtunee esim. yliopiston langatonta verkkoa käytettäessä (tällöin tapauksessa selvitä reitittimen osoite netstat -rn ja default (oletus) reitin Gatewayn IP osoite ja ping:aa esim. oletus reititintä tehtävän suorittamiseksi). - Maksimi Transmission Unit (MTU) on linkkikohtainen (esim. Ethernet kehys voi kuljettaa 1500 tavua dataa). Tällöin maksimi ping paketin 'hyötykuorma' on 1472 tavua (IP ostikko vie 20 tavua ja ICMP otsikko 8 tavua). - Käyttöjärjestelmä voi myös asettaa pienemmän MTU:n esim. 1300 tavua, jolloin siis maksimi mitä ping:llä fragmentoimattomana voi lähettää on 1272 tavua) - Esim. VPN ohjelmisto saattaa asettaa käyttöjärjestelmän MTU arvon pienemmäksi koska VPN tuo lisää overhead:ia pakettiin. - Voit tarkistaa oman MTU arvosi komennolla "netsh interface ipv4 show interfaces". Lisää infoa ks. esim. http://lostintransit.se/category/tcpip/ - Luentomateriaaleissa sanotaan traceroute:n käyttävän UDP protokollaa, mutta käytetty protokolla riippuu traceroute sovelluksen toteutuksesta (erilainen eri käyttöjärjestelmissä). Vaihtoehtoina (ICMP, UDP, tai vaikka TCP). - Voit myös käyttää jotain muuta vastaavaa sovellusta kuin käyttöjärjestelmän tarjoamaa oletus traceroute sovellusta. - Voit suodattaa pois myös tracert ohjelmasta johtuvan DNS liikenteen, jolla sovellus selvittää reititinten nimiä IP osoitteen perusteella.

  ---

• Harjoitus 8 - DHCP, DNS ja ARP protokollat
  15. (2p) Tehtävä vaatii että tietokoneesi käyttää DHCP:tä IP osoitteen saamiseksi.

      (a) Vapauta DHCP:llä osoitteesi ja hanki se uudelleen. Mitä DHCP viestejä saat kaapattua? Palauta suodatettu pakettikaappaus DHCP viesteistä.

      (b) Mitä IP ja MAC osoitetta koneesi käyttää kohteena lähettämissään DHCP viesteissä?

      (c) Mitä protokollaa DHCP käyttää kuljetuskerroksella?

      (d) Mitkä ovat kohde- ja lähdeporttinumerot koneesi lähettämissä paketeissa?

  16. (1p) Avaa Internet selain ja tyhjennä selaimesi välimuisti (cache). Tyhjennä dns välimuisti (ipconfig /flushdns). Mene osoitteeseen http://www.ietf.org. Etsi DNS query ja DNS response viestit.

      (a) Mikä on käytetty kuljetuskerroksen protokolla?

      (b) Mihin porttinumeroon DNS query lähetetään? Mistä porttinumerosta DNS response viesti tulee?

      (c) Sivu sisältää kuvia. Tehdäänkö uusia DNS kyselyitä ennenkuin selaimesi hakee kuvat?

      (d) Palauta pakettikaappaus josta olet suodattanut kaiken muun verkkoliikenteen pois.

  17. (1p) Tarkastellaan ARP viestejä. Katso tietokoneesi reititystaulusta (netstat -rn) mikä on oletusreititin. Katso sitten ARP taulua (arp -a) ja etsi sieltä reititintä vastaava rivi. Poista se ARP taulusta, generoi mitä tahansa verkkoliikennettä ja kaappaa ARP liikenne.

      (a) Mitä ARP viestejä käytettiin?

      (b) Palauta kaappaus ARP paketeista.

  Vinkkejä tehtäviin

  - Windows: Komentokehotteen komennolla ipconfig /release koneesi luopuu IP osoitteesta. Komennolla ipconfig /renew saat uuden IP osoitteen. - Mac OS X: kokeile esim. sudo ipconfig set en0 BOOTP ja sudo ipconfig set en0 DHCP - Wiresharkissa suodattimena joudut käyttämään 'bootp' (DHCP on kehitetty bootp protokollasta). - Komennolla ipconfig /displaydns näet koneesi muistissaan pitämät domain nimiä vastaavat IP osoitteet. - DNS välimuistin tyhjentäminen tietokoneeltasi Windows: ipconfig /flushdns Mac OS X: dscacheutil -flushcache - Omaa tietokonettasi koskevan ARP liikenteen saat suodatettua esim. ao. suodatinta käyttämällä (vaihtamalla siihen oman koneen MAC osoitteen) (eth.src == 00:24:e8:42:9e:89 || eth.dst == 00:24:e8:42:9e:89) && arp - Uudemmissa Windows versioissa täytyy cmd> ajaa admin oikeuksilla, jotta ARP taulua voi muokata. - Jos sinulla ei ole oikeuksia poistaa ARP taulusta riviä, niin laita suodattimeksi arp ja anna Wiresharkin kuunnella liikennettä niin kauan että saat kaapattua ARP liikennettä.

  ---

Takaisin