Wireshark: analisi di un pacchetto

Da Wiki-itsos.

Consegna

1) Avviare wireshark. Per semplicità impostare il filtro ip.addr == ip del sito www.tes.mi.it

2) Aprire un browser e collegarsi al sito www.tes.mi.it

3) Tornare all'applicativo wireshark e individuare l'indirizzo ip e la porta tcp usata dall'host sorgente

4) individuare l'indirizzo ip e la porta tcp usata dall'server web

5) evidenziare le tre fasi di handshake a tre vie:

5a) quale elemento identifica un segmento come un segmento SYN

5b) Quale è il numero di sequenza del segmento TCP SYN che è utilizzato per inizializzare la connessione fra i due pc

5c) Quale è il numero di sequenza del segmento SINACK inviato dal computer server in risposta come risposta al segmento SYN

5d) Cosa identifica questo segmento come un segmento SYNACK? Quale è il valore del campo ACK nel segmento SYNACK?

6) Identificare il campo checksum nel il primo segmento dati inviato dal server al client. A cosa serve?

7) Identificare il campo window size nel il primo segmento dati inviato dal server al client. A cosa serve?


Soluzione

Avviare wireshark. Per semplicità impostare il filtro ip.addr == ip del sito www.tes.mi.it

SuppaMan27.png


Aprire un browser e collegarsi al sito www.tes.mi.it

SuppaMan28.png


Tornare all'applicativo wireshark e individuare l'indirizzo ip e la porta tcp usata dall'host sorgente

L'host sorgente ha come IP “10.200.7.146” e usa come porta la 52342


SuppaMan29.png


individuare l'indirizzo ip e la porta tcp usata dall'server web

Il server web ha come indirizzo IP “192.168.1.7” usa come porta la 80


SuppaMan30.png


evidenziare le tre fasi di handshake a tre vie

quale elemento identifica un segmento come un segmento SYN

Un segmento SYN è identificato dal flag “SYN” settato a 1


SuppaMan31.png


Quale è il numero di sequenza del segmento TCP SYN che è utilizzato per inizializzare la connessione fra i due pc

Il numero di sequenza utilizzato è lo 0


SuppaMan32.png


Quale è il numero di sequenza del segmento SINACK inviato dal computer server in risposta come risposta al segmento SYN

Il numero di sequenza utilizzato è lo 0, lo stesso del pacchetto precedente, in quanto un pacchetto ACK utilizza lo stesso sequence number del pacchetto SYN precedente


SuppaMan33.png


Cosa identifica questo segmento come un segmento SYNACK? Quale è il valore del campo ACK nel segmento SYNACK?

Un segmento SYN, ACK è identificato dai flag “SYN” e “ACK” entrambi settati a 1


SuppaMan34.png


Identificare il campo checksum nel il primo segmento dati inviato dal server al client. A cosa serve?

Il campo checksum serve a contenere un codice utilizzato per controllare l'integrità del pacchetto e quindi la corretta trasmissione dello stesso. Il codice viene generato dal mittente, inglobato nel pacchetto, spedito e confrontato dal destinatario con un'altro codice generato a partire dai suoi dati ricevuti. Se i codici coincidono il pacchetto è stato trasferito correttamente.

SuppaMan35.png


Identificare il campo window size nel il primo segmento dati inviato dal server al client. A cosa serve?

Il campo windows size serve a comunicare all'host la dimensione massima del prossimo pacchetto che invierà. La dimensione è ricavata dalla sottrazione della dimensione del pacchetto inviato con il windows size. Per esempio un pacchetto che invia 5 come windows size e occupa 2 byte, potrà ricevere al massimo 3 byte di risposta. Se viene inviato un pacchetto con windows size 0, l'host sta comunicando che non è necessario inviare dati in risposta.

SuppaMan36.png