April 3

Увидеть сеть. Воссоздаем схему подключений из дампа трафика

Изу­чение струк­туры сетевых про­токо­лов поможет тебе более глу­боко понять прин­цип их работы и фун­кции. В этой статье мы про­ана­лизи­руем неболь­шой фраг­мент сетево­го тра­фика и зарису­ем пред­полага­емую схе­му сети, исхо­дя из получен­ных дан­ных.

Я сфор­мировал дамп сетево­го тра­фика на сво­ем лабора­тор­ном стен­де с помощью филь­тра зах­вата (Capture Filtering) в Wireshark с некото­рыми усло­виями. Вот что из это­го выш­ло.

Мы будем рас­кры­вать по поряд­ку каж­дый зах­вачен­ный пакет и искать в инкапсу­лиру­емых дан­ных инте­ресу­ющую нас информа­цию о схе­ме исходной сети. Затем мы изоб­разим эту информа­цию гра­фичес­ки (для это­го будем исполь­зовать ресурс diagrams.net).

УЗНАЕМ КАНАЛЬНЫЕ И СЕТЕВЫЕ АДРЕСА ПЕРВЫХ УСТРОЙСТВ

Из пер­вых четырех пакетов сра­зу вид­но, что некое устрой­ство получа­ет IP-адрес и дру­гие сетевые парамет­ры по DHCP. Рас­кры­ваем пер­вый пакет.

Сра­зу бро­сает­ся в гла­за MAC-адрес кли­ент­ско­го устрой­ства. Сетевой адрес это­го девай­са нам пока неиз­вестен, потому что он еще не получил его, а адре­са наз­начения — широко­веща­тель­ные.

Идем даль­ше. Воз­можно, ты обра­тил вни­мание на IP-адрес 192.168.30.2 в раз­деле заголов­ка 50 DHCP. Это озна­чает, что кли­ент зап­рашива­ет имен­но этот IP-адрес, так как ранее, воз­можно, он его уже получал. Но пока мы не ста­нем отоб­ражать его на схе­ме и дож­демся окон­чатель­ного отве­та от DHCP-сер­вера.

И пос­леднее, что нам инте­рес­но в этом пакете, — опция 12 DHCP. Здесь отоб­ража­ется имя устрой­ства. Теперь перене­сем получен­ные дан­ные на схе­му.

Сле­дующий пакет DHCP Offer — в отве­те на сооб­щение кли­ента сер­вер пред­лага­ет воз­можные сетевые парамет­ры.

Как мы видим, на зап­рос кли­ента отве­тил DHCP-сер­вер с IP-адре­сом 192.168.30.1 и MAC-адре­сом 00:19:56:bb:41:09. Он пред­ложил кли­енту IP-адрес 192.168.30.2 (кста­ти, тот, который кли­ент и зап­рашивал, поле Your IP address) и мас­ку сети 255.255.255.128. Отлично, допол­ним схе­му новыми дан­ными.

Но­вые эле­мен­ты я буду окра­шивать в крас­ный цвет для наг­ляднос­ти.

MICROSOFT WINDOWS И CISCO IOS, ИЛИ ПРИ ЧЕМ ЗДЕСЬ TTL?

Со­обще­ние DHCP Request не несет в себе новой информа­ции, кро­ме того, что в опции 55 кли­ент зап­рашива­ет допол­нитель­ные парамет­ры у DHCP-сер­вера: сетевую мас­ку, адрес шлю­за, сер­вер DNS и домен­ное имя.

Еще хочу обра­тить вни­мание на поле Time to Live заголов­ка IPv4 дан­ного сооб­щения.

TTL — зна­чение, которое опре­деля­ет вре­мя жиз­ни пакета. Это зна­чение дек­ремен­тиру­ется на еди­ницу каж­дый раз, ког­да пакет про­ходит через мар­шру­тизи­рующее устрой­ство по пути к мес­ту наз­начения.

Де­ло в том, что по умол­чанию для раз­ных опе­раци­онных сис­тем типич­ны свои зна­чения TTL.

Пос­коль­ку в кли­ент­ском сооб­щении DHCP Request TTL име­ет зна­чение 128, мы можем пред­положить, что это устрой­ство под управле­нием ОС Windows.