Duomenų srauto stebėjimas ir analizė lokaliame tinkle

Duomenų srauto stebėjimas ir analizė lokaliame tinkle

Tikslai:

•susipažinti su MS Network Monitor programos, kuri skirta LAN duomenųsrauto stebėjimui ir analizei, galimybėmis; •užrašyti ir detaliai išanalizuoti bent vieną savo kompiuterio duomenųsrautą Ethernet paketų lygyje paprastai duomenų kaitos sesijai.

Apie MS Network Monitor(NetMon) paketą:

Programa NetMon skirta duomenų srauto stebėjimui lokalaus tinklo segmente. Visi duomenys perduodami Ethernet tinklu ir yra talpinami į paketus. Ethernet – patipopuleriausia tinklinė architekūra. Ji išnaudoja siaurojuostine transleciją (10MB/S).Ethernet suskaldo duome- nis į paketus (kadrus); Tinklo magistralėje ‘vaikšto labai’ daug paketų.Todėl turi būti nustatytas atitinkamas filtras,kuris išrenka tik tuos kurių mums reikia. Filtrenustatomas atitinkamas rišys tarp kompiuterių , nurodomi draugo (iš kurio siunčiamės duomenis ) ir toant kurio dirbate kompiuterių adresai. Paketas kabeliu siunčiamas iš vieno kompiuterio į kitą. Nusiūsti duomenysį konkretų kompiuterį , jis juos apdoroja ir siunčia atsakomajį paketą(atgaliniuadresu), nes pirmame pa- kete buvo siunčiančiojo kompiuterio unikalus adresas. Minimalus paketo ilgis 64 baitai , o kartu su tarnybine paketo dalimi –preambule- 72 baitai (802.3 standartas). Prembulė–nurodo kadro pradžią. Maksimalus kadras galibūti 1518 baitų .

Darbo aprašas:

Analizuojant duomenų srautą tarp kompiuterių, Ethernet paketų lygyje,buvo kopijuojamas duomenų failas iš vieno kompiuterio į kitą.Tinklo magistrale laksto labaidaug paketų. Todėl norint kad duomenų būtų nedaug, buvo uždėtas filtras , kuris fiksavo tikiš draugo kompiuterio einančius paketus. Filtre nustatomas atitinkamas rišys tarp kompiuterių ,nurodomi kompiuterių adresai:

|AND |

SAP/ETYPE = Any SAP or Any ETYPE

|AND |(Address Pairs) |

KTML_NT_3 < = > KTML_NT_1

|AND |(Pattern Matches) |

Šis rišys fiksavo tik paketus einančius iš draugo kompiuterio į tąkopmiuterį ant kurio aš dirbau (į abi kryptis) ir tik Ethernet paketus, nefiksuojant visų kitųrūšių paketų.

| |Kompiuterio |MAC adresas |IP adresas || |vardas | | || | | | ||Draugo komp. |KTML_NT_3 |00:C0:6C:30:49:30|193.219.33.83 || | | | ||Mano komp. |KTML_NT_1 |00:C0:6C:28:92:05|193.219.33.81 |

Nustačius filtrą, iš pagrindinio meniu ‘Capture’ paleidžiamas tinklostebėjimas,kurio metu “pagauti” paketai rašomi į failą , pastebima tam tikra dinamika programoslange. Sustabdžius stebėjimą , sukauptą failą galima peržiūreti. Peržiūros sąsajos režimekiekvieno paketo įrašas išskleidžiamas į atskirus laukus, galima matyti paketų antraštes irkt.

Buvo kopijuojamas failas SSS.txt, kuriame įrašyta eilutė –“AAAAAAAAAAABBBBBBBBB

BBBBBBBBBCCCCCCCCCCCCCCC

Programa fiksavo 12 freimų.

Pirmas freimas:

|Time Src MAC Addr Dst MAC Addr Protocol Description ||1.617 KTML_NT_1 KTML_nt_3 SMB C transact2 ||Findfirst, File = \sss.txt |

00000: 00 C0 6C 30 49 30 00 C0 6C 28 92 05 00 92 FF FF ..l0I0..l(…… 00010: 00 92 00 04 00 00 19 94 00 C0 6C 30 49 30 04 55 ……….l0I0.U 00020: 00 00 19 94 00 C0 6C 28 92 05 04 55 10 06 03 40 ……l(…U…@ 00030: 05 60 EB 00 62 00 00 00 62 00 FB 00 00 01 FF 53 .`..b…b……S 00040: 4D 42 32 00 00 00 00 18 03 80 96 81 00 00 00 00 MB2…………. 00050: 00 00 00 00 00 00 01 08 C0 F9 01 08 40 37 0F 1E …………@7.. 00060: 00 00 00 0A 00 60 02 00 00 00 00 00 00 00 00 00 …..`………. 00070: 00 1E 00 44 00 00 00 00 00 01 00 01 00 21 00 00 …D………!.. 00080: 00 00 16 00 06 00 05 00 04 01 00 00 00 00 5C 00 …………..\. 00090: 73 00 73 00 73 00 2E 00 74 00 78 00 74 00 00 00 s.s.s…t.x.t…

Pirmoje eilutėje, pirmus 6 baitus kadre sudaro gavėjo adresas, o sekančius6 baitus siuntėjo adresas. Sekantys 2 baitai – Ethernet tipas(skaičius visada didesnis užmaksimalų kadro duomenų ilgį baitais). Freimo ilgis 160 baitai. Taigi kopijuojant failąpirmame freime mūsų kompiuteris pirmiausia pasiuntė užklausimą kitam kompiuteriui ar toksfailas yra: “transact2 Findfirst, File = \sss.txt”. Paketo tipas = IPX ; IDP ilgis = 146(0x92);

Antras freimas:

|Time Src MAC Addr Dst MAC Addr Protocol ||Description ||1.619 KTML_nt_3 KTML_NT_1 SMB ||R transact2 Open (response) |

00000: 00 C0 6C 28 92 05 00 C0 6C 30 49 30 00 E0 FF FF..l(….l0I0…. 00010: 00 E0 00 04 00 00 19 94 00 C0 6C 28 92 05 04 55……….l(…U 00020: 00 00 19 94 00 C0 6C 30 49 30 04 55 10 06 05 60……l0I0.U…`

00030: 03 40 FB 00 B0 00 00 00 B0 00 EC 00 F1 00 FF 53.@………….S 00040: 4D 42 32 00 00 00 00 98 03 80 96 81 00 00 00 00MB2…………. 00050: 00 00 00 00 00 00 01 08 C0 F9 01 08 40 37 0A 0A…………@7.. 00060: 00 6C 00 00 00 0A 00 38 00 00 00 6C 00 44 00 00.l…..8…l.D.. 00070: 00 00 00 79 00 00 01 10 01 00 01 00 00 00 00 00…y………… 00080: 00 00 00 00 00 00 00 00 00 00 80 35 A8 4D D7 9D………..5.M.. 00090: BE 01 50 7D DD 7D 57 A3 BE 01 E0 F9 3D E2 C9 9D..P}.}W…..=… 000A0: BE 01 E0 F9 3D E2 C9 9D BE 01 43 00 00 00 00 00

….=…..C….. 000B0: 00 00 48 00 00 00 00 00 00 00 20 00 00 00 0E 00 ..H…….….. 000C0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00……………. 000D0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00……………. 000E0: 73 00 73 00 73 00 2E 00 74 00 78 00 74 00 s.s.s…t.x.t.

Dabar gavome paketą iš kito kompiuterio. Matome kad siuntėjo ir gavėjoadresai susikeitė vietomis, kaip ir turėjo atsitikti. Tarpas tarp freimų sudarė 2milisekundes. Freimo ilgis 238 baitai. Antras kompiuteris atsakė, kad failas atidarytas ir ivyks“bendradarbiavimas”: “transact2 Open (response)”. IDP ilgis = 224(0xE0);

Trečias freimas

|Time Src MAC Addr Dst MAC Addr Protocol Description ||1.623 KTML_NT_1 KTML_nt_3 SMB C NT ||create & X, File = \sss.txt |

00000: 00 C0 6C 30 49 30 00 C0 6C 28 92 05 00 96 FF FF..l0I0..l(…… 00010: 00 96 00 04 00 00 19 94 00 C0 6C 30 49 30 04 55……….l0I0.U 00020: 00 00 19 94 00 C0 6C 28 92 05 04 55 10 06 03 40……l(…U…@ 00030: 05 60 EC 00 66 00 00 00 66 00 FC 00 01 01 FF 53.`..f…f……S 00040: 4D 42 A2 00 00 00 00 18 03 80 96 81 00 00 00 00MB………….. 00050: 00 00 00 00 00 00 01 08 C0 F9 01 08 80 37 18 FF………….7.. 00060: 00 00 00 00 10 00 06 00 00 00 00 00 00 00 89 00……………. 00070: 02 00 00 00 00 00 00 00 00 00 00 00 00 00 01 00……………. 00080: 00 00 01 00 00 00 44 00 00 00 02 00 00 00 03 13……D……… 00090: 00 00 5C 00 73 00 73 00 73 00 2E 00 74 00 78 00..\.s.s.s…t.x. 000A0: 74 00 00 00 t…

Freimo ilgis 64 baitai; IDP ilgis = 150(0x96); Duomenų ilgis =0x0096(150); Po 4 milisekundžių mūsų kompiuteris vėl pasiuntė freimą atsakydamas įantrą freimą ir klausdamas informacijos ar failas sukurtas: NT create & X, File = /sss.txt Freimo ilgis 164 baitai; IDP ilgis = 150(0x96);

Ketvirtas freimas

|Time Src MAC Addr Dst MAC Addr Protocol Description ||1.624 KTML_nt_3 KTML_NT_1 SMB R NT create||& X, FID = 0x1805 |

00000: 00 C0 6C 28 92 05 00 C0 6C 30 49 30 00 98 FF FF..l(….l0I0…. 00010: 00 97 00 04 00 00 19 94 00 C0 6C 28 92 05 04 55……….l(…U 00020: 00 00 19 94 00 C0 6C 30 49 30 04 55 10 06 05 60……l0I0.U…` 00030: 03 40 FC 00 67 00 00 00 67 00 ED 00 F2 00 FF 53.@..g…g……S 00040: 4D 42 A2 00 00 00 00 98 03 80 96 81 00 00 00 00MB………….. 00050: 00 00 00 00 00 00 01 08 C0 F9 01 08 80 37 22 FF………….7″.

00060: 00 67 00 02 05 18 01 00 00 00 80 35 A8 4D D7 9D.g………5.M.. 00070: BE 01 50 7D DD 7D 57 A3 BE 01 E0 F9 3D E2 C9 9D..P}.}W…..=… 00080: BE 01 E0 F9 3D E2 C9 9D BE 01 20 00 00 00 48 00 ….=…..…H. 00090: 00 00 00 00 00 00 43 00 00 00 00 00 00 00 00 00……C……… 000A0: 00 00 00 00 00 19 ……

Freimo ilgis = 166 baitai;Duomenų ilgis = 0x0098(152); IDP ilgis =151(0x97); File Allocation Size = 0x0000000000000048; End of File =0x0000000000000043 Po 1 milisekundės kitas kompiuteris atsiuntė freimą ir pranešė, kadfailas sukurtas: “NT Create & X, FID=0x1805”.

Penktas freimas

|Time Src MAC Addr Dst MAC Addr Protoco l Description || ||1.626 KTML_NT_1 KTML_nt_3 SMB C |

|transact2 Query file info, FID = ||0x1805 |

00000: 00 C0 6C 30 49 30 00 C0 6C 28 92 05 00 78 FF FF..l0I0..l(…x.. 00010: 00 78 00 04 00 00 19 94 00 C0 6C 30 49 30 04 55.x……..l0I0.U 00020: 00 00 19 94 00 C0 6C 28 92 05 04 55 10 06 03 40……l(…U…@ 00030: 05 60 ED 00 48 00 00 00 48 00 FD 00 02 01 FF 53.`..H…H……S 00040: 4D 42 32 00 00 00 00 18 03 80 96 81 00 00 00 00MB2…………. 00050: 00 00 00 00 00 00 01 08 C0 F9 01 08 C0 37 0F 04………….7..

Freimo ilgis = 134 baitai; Duomenų ilgis = 0x0078(120); IDP ilgis = 120(0x78); Dar po 2 milisekundžių mūsų kompiuteris dar kartą pasiuntė kadrąreikalaudamas informacijos apie failą: “transact2 Query file info, FID = 0x1805”.

Šeštas freimas

|Time Src MAC Addr Dst MAC Addr Protocol Description ||1.627 KTML_nt_3 KTML_NT_1 SMB R ||transact2 Open (response) |

00000: 00 C0 6C 28 92 05 00 C0 6C 30 49 30 00 92 FF FF..l(….l0I0…. 00010: 00 92 00 04 00 00 19 94 00 C0 6C 28 92 05 04 55……….l(…U 00020: 00 00 19 94 00 C0 6C 30 49 30 04 55 10 06 05 60……l0I0.U…` 00030: 03 40 FD 00 62 00 00 00 62 00 EE 00 F3 00 FF 53.@..b…b……S 00040: 4D 42 32 00 00 00 00 98 03 80 96 81 00 00 00 00MB2…………. 00050: 00 00 00 00 00 00 01 08 C0 F9 01 08 C0 37 0A 02………….7.. 00060: 00 26 00 00 00 02 00 38 00 00 00 26 00 3C 00 00.&…..8…&.<.. 00070: 00 00 00 2B 00 00 00 00 00 01 00 00 00 00 0E 00…+………… 00080: 00 00 43 00 00 00 00 00 00 00 48 00 00 00 00 00..C…….H….. 00090: 00 00 3A 00 3A 00 24 00 44 00 41 00 54 00 41 00..:.:.$.D.A.T.A.

Freimo ilgis =160 baitai; Duomenų ilgis=0x0092(146); IDP ilgis=146(0x92); Po 1 milisekundės kitas kompiuteris atsiuntė freimą ir pranešė, kadfailas atidarytas: “transact2 Open (response)”.

Septintas freimas

|Time Src MAC Addr Dst MAC Addr Protocol Description ||1.630 KTML_NT_1 KTML_nt_3 SMB C transact2||Query file info, FID = ||0x1805 |

00000: 00 C0 6C 30 49 30 00 C0 6C 28 92 05 00 78 FF FF..l0I0..l(…x.. 00010: 00 78 00 04 00 00 19 94 00 C0 6C 30 49 30 04 55.x……..l0I0.U 00020: 00 00 19 94 00 C0 6C 28 92 05 04 55 10 06 03 40……l(…U…@ 00030: 05 60 EE 00 48 00 00 00 48 00 FE 00 03 01 FF 53.`..H…H……S 00040: 4D 42 32 00 00 00 00 18 03 80 96 81 00 00 00 00MB2…………. 00050: 00 00 00 00 00 00 01 08 C0 F9 01 08 00 38 0F 04………….8.. 00060: 00 00 00 02 00 04 00 00 00 00 00 00 00 00 00 00……………. 00070: 00 04 00 44 00 00 00 00 00 01 00 07 00 07 00 00…D………… 00080: 00 00 05 18 03 01 ……

Freimo ilgis = 134 baitai; Duomenų ilgis = 0x0078(120); IDPilgis=120(0x78); Dar po 3 milisekundžių mūsų kompiuteris dar kartą pasiuntė kadrąreikalaudamas informacijos apie failą: “transact2 Query file info, FID = 0x1805”.

Aštuntas freimas

|Time Src MAC Addr Dst MAC Addr Protocol ||Description ||1.630 KTML_nt_3 KTML_NT_1 SMB R ||transact2 Query file ||info(response to frame 7) |

00000: 00 C0 6C 28 92 05 00 C0 6C 30 49 30 00 70 FF FF..l(….l0I0.p.. 00010: 00 70 00 04 00 00 19 94 00 C0 6C 28 92 05 04 55.p……..l(…U 00020: 00 00 19 94 00 C0 6C 30 49 30 04 55 10 06 05 60……l0I0.U…` 00030: 03 40 FE 00 40 00 00 00 40 00 EF 00 F4 00 FF 53.@..@…@……S 00040: 4D 42 32 00 00 00 00 98 03 80 96 81 00 00 00 00MB2…………. 00050: 00 00 00 00 00 00 01 08 C0 F9 01 08 00 38 0A 02………….8.. 00060: 00 04 00 00 00 02 00 38 00 00 00 04 00 3C 00 00…….8…..<.. 00070: 00 00 00 09 00 00 00 00 00 01 00 00 00 00 …………..

Freimo ilgis = 126 baitai; Duomenų ilgis = 0x0070(112); IDP

ilgis=112(0x70); Po 1 milisekundžių kompiuteris, iš kurio buvo kopijuojamas failas, perdavėinformaciją apie kopijuojamą failą: “transact2 Query file info (response to frame 7)”.

Devintas freimas

|Time Src MAC Addr Dst MAC Addr Protocol Description ||1.635 KTML_NT_1 KTML_nt_3 SMB C read & X, ||FID = 0x1805, Read ||0x43 at 0x00000000 |

00000: 00 C0 6C 30 49 30 00 C0 6C 28 92 05 00 6C FF FF..l0I0..l(…l.. 00010: 00 6C 00 04 00 00 19 94 00 C0 6C 30 49 30 04 55.l……..l0I0.U 00020: 00 00 19 94 00 C0 6C 28 92 05 04 55 10 06 03 40……l(…U…@ 00030: 05 60 EF 00 3C 00 00 00 3C 00 FF 00 04 01 FF 53.`..<…<……S

00040: 4D 42 2E 00 00 00 00 18 00 20 00 00 00 00 00 00 MB…….…… 00050: 00 00 00 00 00 00 01 08 FE CA 01 08 40 38 0C FF…………@8.. 00060: 00 00 00 05 18 00 00 00 00 43 00 43 00 FF FF FF………C.C…. 00070: FF 43 00 00 00 00 00 00 00 01 .C……..

Freimo ilgis = 122 baitai; Duomenų ilgis = 0x006C(108); IDPilgis=108(0x6C); Mūsų kompiuteris paprašė atsiusti failo gabalą: “read & X, FID = 0x1805, Read 0x43 at 0x00000000”.

Dešimtas freimas

|Time Src MAC Addr Dst MAC Addr Protocol Description ||1.636 KTML_nt_3 KTML_NT_1 SMB R read & ||X, Read 0x43 |

00000: 00 C0 6C 28 92 05 00 C0 6C 30 49 30 00 B0 FF FF..l(….l0I0…. 00010: 00 AF 00 04 00 00 19 94 00 C0 6C 28 92 05 04 55……….l(…U 00020: 00 00 19 94 00 C0 6C 30 49 30 04 55 10 06 05 60……l0I0.U…` 00030: 03 40 FF 00 7F 00 00 00 7F 00 F0 00 F5 00 FF 53 .@………..S 00040: 4D 42 2E 00 00 00 00 98 00 20 00 00 00 00 00 00 MB…….…… 00050: 00 00 00 00 00 00 01 08 FE CA 01 08 40 38 0C FF…………@8.. 00060: 00 00 00 FF FF 00 00 00 00 43 00 3C 00 00 00 00………C.<…. 00070: 00 00 00 00 00 00 00 44 00 01 41 41 41 41 41 41…….D..AAAAAA 00080: 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 0DAAAAAAAAAAAAAAA. 00090: 0A 42 42 42 42 42 42 42 42 42 42 42 42 42 42 42.BBBBBBBBBBBBBBB 000A0: 42 42 42 42 42 42 0D 0A 43 43 43 43 43 43 43 43BBBBBB..CCCCCCCC 000B0: 43 43 43 43 43 43 43 43 43 43 43 43 43 00 CCCCCCCCCCCCC.

Freimo ilgis = 134 baitai; Duomenų ilgis = 0x00130(176); IDPilgis=175(0xAF); Kaip matome (paryškinta) buvo patenkintas reikalavimas ir mes gavome failoturinį.“R read & X, Read 0x43”.

Venuoliktas freimas

|Time Src MAC Addr Dst MAC Addr Protocol Description ||1.917 KTML_NT_1 KTML_nt_3 NBIPX Session Data, ||Ack, Recv Seq 0x100, ||0x105 Bytes Received |

00000: 00 C0 6C 30 49 30 00 C0 6C 28 92 05 00 30 FF FF..l0I0..l(…0.. 00010: 00 30 00 04 00 00 19 94 00 C0 6C 30 49 30 04 55.0……..l0I0.U 00020: 00 00 19 94 00 C0 6C 28 92 05 04 55 80 06 03 40……l(…U…@ 00030: 05 60 F0 00 00 00 00 00 00 00 00 01 05 01 .`…………

Freimo ilgis = 62 baitai; Duomenų ilgis = 0x0030(48); IDP ilgis=48(0x30); Šis freimas labai trumpas(minimalus – 62 baitai) ir buvo pasiųstas posąlyginai ilgo laiko tarpo – 281 milisekundžių.

Dvyliktas freimas

|Time Src MAC Addr Dst MAC Addr Protocol Description |

|0.000 000000000000 000000000000 STATS Number of ||Frames Captured = 11 |

00000: 00 00 00 00 00 00 00 00 00 00 00 00 00 6E AA AA………….n.. 00010: 03 00 00 00 19 84 24 4D 53 54 00 00 00 00 67 00……$MST….g. 00020: 00 00 50 00 00 00 00 00 AB 0D 00 00 0B 00 00 00..P…………. 00030: D0 06 00 00 0B 00 00 00 78 06 00 00 1B 00 00 00……..x……. 00040: 67 0B 00 00 01 00 00 00 0F 00 00 00 00 00 00 00g…………… 00050: 00 00 00 00 15 00 00 00 FF FF FF FF FF FF FF FF……………. 00060: FF FF FF FF 00 00 00 00 FF FF FF FF FF FF FF FF……………. 00070: 00 00 00 00 00 00 00 00 00 00 00 00 …………

Freimo ilgis =124 baitai; Duomenų ilgis = 0x006E(110); Šis paskutinis freimas neįprastas. Jis neturi nei siuntėjo, nei gavėjo.Be to jis sugautas po 4294965379 milisekunžių. Tai gali būti šiūkšlės.