Исследование трафика ARP и ICMP, страница 5

Процесс повторяется до тех пор, пока пакет не достигнет целевого узла. При получении ответа от этого узла процесс трассировки считается завершённым. Данная информация подтверждается при анализе трафика.

На рис. 2.6.1 приведён результат работы этой утилиты.

Рис. 2.6.1. Результат работы утилиты tracert 195.208.113.67

На рис. 2.6.2 приведён анализируемый трафик.

Рис. 2.6.2. Полученный трафик при запуске утилиты tracert 195.208.113.67

Ниже приведено содержимое одного из пакетов с сообщением о превышении лимита ожидания. Стоит отметить, что при генерации пакета с таким сообщением, в ICMP-пакете дополнительно отводится место под первые 64 байта дейтаграммы и IP заголовок этой дейтаграммы. Инкапсуляцию ip-пакета в ICMP-пакет можно увидеть, при анализе содержимого кадра.

Рис. 2.6.3. Содержимое принимаемого кадра при генерации сообщения о превышения времени жизни

Также можем сказать, что ICMP имеет тип 11 (превышение временного интервала), код 0 (время жизни пакета истекло при транспортировке). Поимо этого, в IPv4-пакете находится информация о том, где (на каком узле) произошла эта ошибка (этот узел является источником сообщения), следовательно с большой вероятностью можем утверждать, что именно через данный узел будут проходить пакеты к целевому узлу.

Пример использования ARP протокола

ARP протокол - использующийся в компьютерных сетях протокол низкого уровня, предназначенный для определения адреса канального уровня по известному адресу сетевого уровня.

Вышесказанное можно пояснить на следующем примере.

Рис. 2.7.1. Пример использования ARP протокола

Мы хотим обратиться к хосту с ip-адресом 10.1.15.1. Однако ip-адрес – понятие из сетевого уровня. А нам необходимо обращаться к нужному хосту на канальном уровне, т.е. не по ip-адресу, а по его физическому адресу. Ниже будут приведены подтверждения дальнейших слов: в широковещательном формате мы задаём вопрос «кто имеет ip-адрес 10.1.15.1». Этот вопрос отправляется всем, кто в нашей сети, и если есть такие, то, уже в режиме unicast, тот, у кого необходимый ip-адрес, сообщает нам свой MAC-адрес. Из рис. 2.7.1 видно, что этот ответ происходит приблизительно в форме «у хоста с ip-адресом10.1.15.1 MAC-адрес 00:40:f4:6e:7b:52».

Рис. 2.7.2. Широковещательный запрос

Рис. 2.7.2. Unicast ответ

Как видно, рис. 2.7.2 и рис. 2.7.3 подтверждают вышеописанное.

3.  Выводы

Получили представления об использовании утилит ping и tracert. Помимо этого получили навыки анализа трафиков (происходящих процессов в сети) при помощи анализатора трафика WireShark.

Было установлено, что данные утилиты могут приблизительно показать нам путь, по которому ходят пакеты до узла-адресата. Это связано с тем, что у маршрутизаторов таблицы ip-адресов динамически изменяются, в связи с чем один и тот же пакет, направленный к одному и тому же узлу, каждый раз может идти по разным маршрутам (хотя считается, что вероятность этого мала). Однако обратим внимание, что в наших утилитах посылка пакетов осуществляется минимум три раза. Это сделано для того, чтобы было хоть какое-то доверие этой информации (если при трёх посылках результаты совпали, то можем быть уверены, что в этой сети дела приблизительно в таком положении и находятся, как в полученном тесте).