Wireshark Lab: IP

200S KUROSE, JF & Ross. W

2011 SATISTA, 0_ N_ Tradução e adaptação pera Vviresher*_

Neste , investigaremos o Internet c no datagrsrna

IP Feremos isso através da análise detaysmas IP enviados e recebidos pela exttuçSo do
programe troteroutt (o programa traceroute é explorado em no laboratório wireshar};
sobre Internet Control Messa* protocol - ICMP), Investigeremos ás vários campos no
detaçrame IP'. estudaremos a fragmentaç¿o IP detalhadsmente,
Antes iniciar laboratório. provavelmente aesej'rá revisar as do texto e 3.4 de
RFC 21 St' se sobre a operação do programa tratetoute„ também desejará ler s 4.4 no
texto, e peovevelmente s RFC 791 em mios também, para urna discussão clo IP

1. Capturando Pacotes de uma exeeuçio do traeeroute

O programe treceroute será utilizada pere enviar datavamas de tamanhos diferentes 8

algum destino. X. para que posemos gerar traços de detsçramas IP pare este laboratórity
Lembre-se de que o treteroute funcione enviando nic•almente um ou mais dataqramas
com o campo Time-TD-LJive (TTL) no campo do cabeçalho IP com o valor 1: ele então envia
ume série de uni ou mais detagrama5 pera o mesmo destino com o velar de igual 8 2; ele
entao envie uma s'rie de detsgremas ao mesmo destino tom o valor de TTL ñual 3: e assim
por diante Lembre-se de que um roteador deve decrementar o TTL em estagramz recebido
por 1 ('tua'mente. 3 793 diz que o rote"or deve decrementar o em d etagreme recebido
por peia menos Se o chege a zero, o rotador retorna um ICMP (ti" 11 — TIL exeedida) host
emissor. um resultado teste comportamento. um deteprama tom ITL de (enviado
pelo host executando tracer.ute) ferá com que Q um salto 'Ciante emissor enviar um
pacote ICMP de 'TTL ext—dido de volta so emissor; o datagrams enviado com unn TTL de 2
ters o rotesdor dois -altos adisnte envi8r um mote ICMP de volts 80 emissor, o datagrama
enviado com um TTL de 3 tars o roteaZor trés saltos adiente enviar um ptcote ICMP de
volta emissor, e assim por disnt±_ Dests meneira, o host executando traceroute pose
a.prender idenfidaees dos rote—sores entre ale o destino X observsndo o end—reco IP
dos det8gr8m8s contendo os peco.tes ICMP de TTL excedäo. Nös executaremos o
traceroute de forma que ele envie datagramas de vSrios comprimentas com
relaf 'o sos sistemas operacion•is o tracercwte:
Windows: a progrsme trseert Cussclo p.rs o nosso laborstörio w•ireshsrk
ICAIP> tornscido peo windows näo permits a mutarrga do tamanho Co pacote 'GMP
echo request enviado_ um prcgrama gue faz o mesmz de forms melhor pars
Wfindows é o pingp'otter:. Szixe e inst" o pingplotter, e com •eus sites favoritos
ICMP echo re-uæet godé no pingplotter no item de menu Edit
Advenced Options Packet Options e enth grenchend. r.-mgo tam:nho um. que o
pinggttter t:nh: enviado ums "rie de pacotes com os valor-es crescentes de ele reinicis
o processo de envio com um TTL de 1 epos 8gusrcd8r pelo tempo de interv810 de trace
O valor do intervalo de trace e a quantitate de intervalos pcde ser explicitamente
stribuido pingplotter
Linux ou Unix: com o com—neo traceroute do uniix, o tamsnt-n) do
datagrama UDP destino —ode explicit-mente inditsndo :
 bytes no datagrama; este valor é informedo ma linne do comando traceroute
imedistsmente a.pös o nome ou enderep do destino_ Por exemplo, pars enviar
dztsgrsmss com 2000 bytes pera o comando S:
gäié.ts.umäss.edu 2000
o seguinte:

. inicie o Wreshar e inicie a capturs de paco•fes (Capture Start), escolha s interface de

rede e pressione OC

1. use o pihgplotter rpo Vvindcws ou traceroute no Linux.'Untx e repita o comando trés

vezes: a primeira com tsmanho de pecote de 56 bytes, a segum:la com tamanh•o de
"tote Sé 2000 bytes e terteire *'tee. 3500 Bytes

R. Não foi possível iniciar o pinglotter por falta de privilégios administrativos.

Foi utilizado o programa “tracert” do Windows, onde infelizmente não foi possível
alterar o tamanho dos pacotes.
 2. perre captura de pacotes no 'Mreshark_

Se você pode executar o Wireshark no modo de captura de pacotes: pode beixzr um arquivo
cle capturas gravado por um dos professores depois execução Cos passos agui descritos. Este
trouivo cõptura ser usaõD mesmo caut você consigt capturõr responder questSes deste
ISborBtSric_

2. Uma Olhada nos Pacotes Capturados

sua tela d'e captura CIE pacotes Wireshark: wocê deve ver uma série de ICMP Scho
Repuest (no css.o d. um host com "nclows) ou o datagrsma UDP (na caso de
Unix,'Linux) enviados por s•eu os TTL r.t.rnzcdas *10s rote.dores
intermediárioe ume maneira Se faciliter este visualiz*c inserir or ud;ñ, sem as
aspas, na caixe de textos Ce filtros (Filter) e pressionar o botão Apply. Isso deix• apenas
o que importz nt

far possível, ao responder uma pergunta, deve ter em mãos uma impressão
do.(s) pscote(s) gue uocê utilizou gera responder. Anote 8 impressão e explique e r-
sp•.stz. imprimir um pant-, File Print, escolha p.sk*t onlf, escolha PBc*et gummsry
selecione Quantidade mínime detelhes de 08cote que você precisa pera responder
pergunts.

3, Pergu ntas

1. Selecibne o primeiro p»cote ICTu1P Echo *epuest enviscis pelo seu host e expend8
part- IP dc pacote n: jari*lâ de g.c.te. Lembre-se que n.
isso um cistagrema LDP (figura 1 Qual é o endereço IP do seu host?
R. O endereço do host atual (origem) é 172.16.92.86.
 urz t Capturz pacotes dc tracercu,te.

2. Dentro 50 tBlbEçalIho clo pacct& IP, qual c valor no de protocolo

superior?

R. O tipo de protocolo do datagrama é “ICMP (1)”.

3. útusl o remar-lho, em bytes, do cabeçÁho IP? Qua/ o temenho; em bytes,
campo de dados do dataçr-sma IP? aplique c omo você determinou o t±mznho do
campo de dedos

R. O cabeçalho possuí 20 bytes, enquanto o tamanho total dos dados do datagrama IP é

de 92.

Este d8.tagram.foi fragmentsda? Explique como uccê determinou isso.

R. O datagrama não foi fragmentado, pois, não foi excedido o tamanho limite permitido em
um datagrama.

Depois, ordene os pacotes capturados conforme o endereço fronte IP clicendo no c

ebeça/ho de coluna: uma pequena sete em direçôo pere beiro deve eperecer prázimo
de Sourx. Se 3 sete nontar par3 cin•z, clicue novamente. SeleciDne o primeiro
psc.ote ICMP Echo envisds v:'r seu hoste expande e porçáo do F n. janela "detai/s of
se/ected packet header' bla janela "listirç Cf ceptured p-zcketsnr você deve ver todas
pacotes 'CDAP primeiro ECM* pars t?ixo pare
mover pNa outros pacotes [C MP enviadts pelo seu host
S. Quais campos no detagrama IP se.m.pre mudam de um detagreme para Outro dentro
dessa série de pacotes ICMP enviados por seu host?

R. O endereço IP de destino varia, assim como a informação do datagrama,

conforme os a rota foi sendo traçada.

Quais Campos mantém-se constantes? Quais dos campos devem manter-se

constantes? Quais campos devem mudar? Ror quê?
 R. O endereço IP se mantêm o mesmo, pois, todos as
requisições foi realizada pelo host atual. O endereço IP de
destino e a informação devem mudar, conforme a rota está
sendo traçada.

1. Descreva 0 padrão que você vê nos valores no campo de dentificação do

R. Observamos três mensagens padrões, a de requisição de Echo, a de

destino inalcançável e a de tempo de vida excedido.

Depois .com os pacotes ainda ordenados pelo endereço fonte) encontre série de respostes
ICMP de TTL excedido enviadas ao seu host pelo roteado' mais próximo, o de primeiro salto.

2. Quais sio os valores dos catnpos de identificas So e TTL7

R. O identificador de um pacote de excedeu seu tempo de vida é “0x019c

(412)” e seu tempo de vida (TTL) é de 64.

3. Estes valores permanecem halterados para tode5 as respostas ICMP de TTL

excedido enviadas ao seu host pelo roteador mais prócimo? Por Quê?
R. O identificado muda, conforme observados nas imagens abaixo,
entretanto, o TTL permanece o mesmo, uma vez que não foi definido um
valor, está sendo utilizado o TTL padrão.

Fragmentaç 'o

Oredene liste de pacotes conforme o tempo clicando ne colune Tinp".

I J Encontre o primeàro pacote ICMP Echo Request gue foi enviado pelo seu host após o
comprimento foi modificado pera 2000 bytes. Este pacote foi fragmentado?

R. Não foi possível traçar uma rota com pacotes no comprimento de 2000
bytes, tendo em vista que não foi possível instalar o software PingPlotter.

Imprima o primeiro fragmento Que informação no cabeçalho IP indica que é um

fragmento? Que informaçSo no tebeçalho IP indice se

este é o primeiro fragmento ou outro? Qual o comprimento deste datagrem87

R. Não foi possível traçar uma rota com pacotes no comprimento de 2000
bytes, tendo em vista que não foi possível instalar o software PingPlotter.

'2. Imorime o segundo fragmento. Qual informaçSo no cabeçalho P indica que este n'O é o
primeiro fragmento? mais fragmentos? Como você pode saber?

R. Não foi possível traçar uma rota com pacotes no comprimento de 2000
bytes, tendo em vista que não foi possível instalar o software PingPlotter.

1. Quais campos mudam no cabeçalho IP do primeiro pare o segundo fragmento?

R. Não foi possível traçar uma rota com pacotes no comprimento de

2000 bytes, tendo em vista que não foi possível instalar o software
PingPlotter.

Agora encontre o primeiro pecote ICMP Echo Request que foi em,'iado pelo seu host após
você modificar o comprimento do pacote para bytes.

2. Quantos fragmentos foram criados do datagrarna original?

R. Não foi possível traçar uma rota com pacotes no comprimento de

3500 bytes, tendo em vista que não foi possível instalar o software
PingPlotter.

IS, Quais campos mudam no detagrame p entre os fragmentos?

R. Não foi possível traçar uma rota com pacotes no comprimento de 3500
bytes, tendo em vista que não foi possível instalar o software PingPlotter.

Foi realizado uma tentativa de ping diretamente para o site com o tamanho de pacotes de
2000 e 3500, porém sem sucesso.