FACULDADE LOURENO FILHO

CURSO DE SISTEMAS DE INFORMAO

(NOTURNO)

Carlos Chrystian
Jos Clenilton

Wireshark Lab
(Ethernet and ARP)

FORTALEZA/2015

Carlos Chrystian
Jos Clenilton

Wireshark Lab
(Ethernet and ARP)

Trabalho apresentado ao Curso

De Sistemas de Informao da
Faculdade
Como

Loureno

Filho,

requisito parcial para

Concluso

da

disciplina

Redes2. sob orientao do

Professor

FORTALEZA - 2015
Trabalho de Wireshark Lab

Rafael Guimares

Utilizando o link para tal trabalho:

http://gaia.cs.umass.edu/wireshark-labs/HTTP-ethereal-lab-file3.html
1 - Capturando e analisando os quadros Ethernet.
Vamos comear capturando quadros Ethernet para estudo. Faa o seguinte:
Primeiramente, tenha certeza que o cache de seu browser est vazio.
Inicie o Wireshark.
Entre na seguinte URL no seu browser (ou em qualquer outra que voc quiser, se entrar em outra URL,
indique qual foi) http://gaia.cs.umass.edu/wireshark-labs/HTTP-ethereal-lab-file3.html
Pare a captura de pacotes do Wireshark. Primeiro, ache os nmeros de pacote (a coluna mais a
esquerda da tela de cima do Wireshark) da mensagem HTTP GET que foi enviada do seu computador
para gaia.cs.umass.edu, bem como o comeo da resposta HTTP enviada pelo gaia.cs.umass.edu para
seu computador. Voc deve ver uma tela parecida com esta (na qual o pacote 4 contm a
mensagem HTTP GET)
Para responder as questes seguintes, voc deve olhar nos detalhes dos pacotes e na janela de contedo do
pacote (as janelas do meio e de baixo no Wireshark). Selecione o quadro Ethernet que contm a
mensagem HTTP GET. (Lembre-se que a mensagem HTTP GET carregada dentro de um segmento
TCP, o qual encapsulado dentro de um datagrama IP que, por sua vez, encapsulado em um quadro
Ethernet). Expanda a informao Ethernet II na janela de detalhes do pacote. Perceba que o contedo do
quadro Ethernet mostrado na janela de contedo de pacotes. Responda as seguintes questes, baseandose no contedo do quadro Ethernet que contm a mensagem HTTP GET.

1 Qual o endereo Ethernet de 48 bits do seu computador?

Src: Asustekc_f2:88:bb (14:da:e9:f2:88:bb).

2 Qual o endereo Ethernet de 48 bits do destino? Este o endereo Ethernet de

gaia.cs.umass.edu? Por que ? A que dispositivo pertence este endereo Ethernet?

Dst: Dell_33:6c:3b (00:15:c5:33:6c:3b). Poderia ser, pois identificado no quadro
abaixo, na coluna mais a direita, como ... .Host g aia.cs.umass.edu ... e ele o destino,
porm NO o servidor gaia pois provavelmente deva ser de algum endereo Ethernet
de algum roteador ou servidor proxy da rede da FLF no qual realizei os testes.

3 D o valor hexadecimal para o campo Tipo de Quadro de dois bytes.

Type: IP (0x0800).

4 A quantos bytes do incio do quadro Ethernet o valor ASCII de G em GET aparece

no quadro Ethernet?
A 54 bytes at chegar na sequncia ...47 45 54... da GE T.

Agora, responda as prximas questes baseando-se no contedo do quadro Ethernet que

contm o primeiro byte da mensagem de resposta HTTP.

5 Qual o valor do endereo Ethernet de fonte? o endereo do seu computador ou de

gaia.cs.umass.edu ? A qual dispositivo pertence este endereo?
Source: Dell_33:6c:3b (00:15:c5:33:6c:3b). o endereo de gaia.cs.umass.edu pois
como ele que mandou a resposta 200 OK ele a fonte. O dispositivo pode ser de
endereo Ethernet de algum roteador ou servidor proxy.

6 Qual o destino do quadro Ethernet? o endereo Ethernet de seu computador?

Destination: Asustekc_f2:88:bb (14:da:e9:f2:88:bb). Sim, pois foi ele quem fez a

solicitao e que agora recebe a resposta do 200 OK.

7 D o valor hexadecimal para o campo Tipo de Quadro de dois bytes.

Type: IP (0x0800)

2 - O Protocolo de Resoluo de Endereos (ARP)

Antes de prosseguir, recomenda-se a leitura da seo 5.4.2 do livro texto. ARP Caching
Lembre que o protocolo ARP tipicamente mantm um cache da traduo dos pares de
endereos IP-para-Ethernet no seu computador. O comando arp (tanto para MS-DOS
como para Linux/Unix) usado para visualizar e manipular o contedo deste cache.
Como o comando arp e o protocolo ARP possuem o mesmo nome, fcil de
confundilos. O comando arp utilizado para visualizar e manipular o contedo do cache
ARP, j o protocolo ARP define o formato e o significado das mensagens enviadas e
recebidas, e define as aes tomadas na recepo e transmisso de mensagens.
Vamos observar agora o contedo do cache ARP no seu computador
MS-DOS. O comando arp est em c:\windows\system32, ento digite arp ou
c:\windows\system32\arp na linha de comando do MS-DOS (sem aspas).
Linux/Unix. O executvel para o comando arp pode estar em vrios locais. As
localizaes mais comuns so /sbin/arp (para linux) e /usr/etc/arp (para algumas
variantes do Unix). O comando arp sem argumentos mostrar o contedo do cache ARP
no seu computador. Rode o comando arp

8 Escreva o contedo do cache do seu computador. Qual o significado do valor de

cada coluna?
O contedo do cache est na figura abaixo. A primeira coluna significa o valor do
Endereo IP, como por exemplo, 192.168.14.54 da rede em questo. A segunda coluna o
Endereo fsico, como por exemplo, 14-da-e9-f2-ce-b1 da mquina em questo. E a
terceira coluna determina o tipo, se dinmico ou esttico.

Para observar o envio e recepo de mensagens ARP, precisamos limpar o cache, caso
contrrio o seu computador encontrar o par IP-endereo Ethernet e no enviar
nenhuma mensagem ARP.
MS-DOS. O comando arp d* do MS-DOS limpar o cache ARP do seu
computador. O flag d indica uma operao de remoo, e o * indica para que
todas as entradas da tabela sejam excludas.
Linux/Unix. O comando arp d* limpar seu cache se voc possuir privilgios
de administrador do sistema.
Observando o ARP em ao
Faa o seguinte:
Limpe seu cache ARP como descrito acima.
Depois tenha certeza que o cache do seu browser est vazio
Rode o sniffer de pacotes do Wireshark.
Entre na seguinte URL http://gaia.cs.umass.edu/wireshark-labs/HTTPwiresharklab-file3.html. Seu browser deve mostrar a Bill of Rights dos Estados Unidos.
Pare a captura de pacotes do Wireshark. Mais uma vez no estamos interessados
no IP ou protocolos de altas camadas, ento mude a lista de pacotes
capturados do Wireshark para mostrar apenas protocolos abaixo do IP. Para que
o Wireshark faa isso, selecione Analyze->Enabled Protocols.Ento desmarque
a box IP e selecione OK.
Responda aos seguintes questionamentos:

9 Quais os valores em hexadecimal do endereo de fonte e destino do quadro Ethernet

que contem uma mensagem de ARP request?
Source: Dell_33:6c:3b (00:15:c5:33:6c:3b) e Type: ARP (0x0806)
Destination: Broadcast (ff:ff:ff:ff:ff:ff)

10 D o valor hexadecimal para o campo tipo de dois bytes do quadro Ethernet.

Type: ARP (0x0806)
11 Agora encontre o ARP reply que foi enviado em resposta ao ARP request. Aonde
na mensagem ARP aparece a resposta a requisio ARP e qual essa resposta?
No Info da tabela de cima do Wireshark. Pois quando um request ele mostra uma
Info semelhante a esta: 60 Who has 192.168.15.1?. Porm no reply ele mostra
60 192.168.15.1 is at 00:15:c5:33:6c:3b como resposta. Alm da parte do Address
Resolution Protocol que mostra o (reply).

12 Quais os valores hexadecimais do endereo fonte e destino do quadro Ethernet que

contm a mensagem ARP replay?
Source: Dell_33:6c:3b (00:15:c5:33:6c:3b) e Type: ARP (0x0806)
Destination: Asustekc_6e:dd:a8 (14:da:e9:6e:dd:a8)
13 Abra o arquivo ethernet-ethereal-trace-1. O primeiro e o segundo pacotes ARP
neste arquivo correspondem a uma requisio e uma resposta ARP. Mas existe outro
computador nesta rede, como indicado pelo pacote 6 (outra requisio ARP). Por que
no existe nenhuma resposta ARP (enviada em resposta ao ARP request no pacote 6)
pare este pacote?
Porque nenhum outro computador de fato o que poderia lhe fornecer a resposta ARP
desejada.