Laboratório – Uso do Wireshark para examinar quadros Ethernet
Topologia
Objetivos
Parte 1: Examinar os campos do cabeçalho em um quadro Ethernet II Parte 2: Usar o Wireshark para capturar e analisar quadros Ethernet
Histórico/cenário
Quando os protocolos da camada superior se comunicam uns com os outros, os dados fluem para as camadas da Interconexão de Sistemas Abertos (OSI) e são encapsulados dentro de um quadro da
Camada 2. A composição do quadro depende do tipo de acesso do meio físico. Por exemplo, se o protocolo de camada superior é o TCP e IP, e o acesso ao meio Ethernet, o encapsulamento do quadro da Camada 2 será Ethernet II. Isso é comum em um ambiente LAN.
No estudo dos conceitos da Camada 2, deve-se analisar a informação do cabeçalho do quadro. Na primeira parte deste laboratório, você analisará os campos contidos em um quadro Ethernet II. Na parte 2, você usará o Wireshark para capturar e analisar os campos do cabeçalho do quadro Ethernet II para o tráfego local e remoto.
Recursos necessários
• 1 PC (Windows 7, Vista ou XP com acesso à Internet com o Wireshark instalado)
Parte 1: Examine os campos do cabeçalho em um quadro Ethernet II
Na parte 1, você examinará os campos e o conteúdo do cabeçalho de um quadro Ethernet II. Uma captura do Wireshark será usada para examinar o conteúdo nesses campos.
Etapa 1: Analise as descrições e os comprimentos do campo do cabeçalho Ethernet II. Preâmbulo Endereço Destino Endereço Origem de quadro Tipo Dados FCS
8 bytes 6 Bytes 6 Bytes 2 Bytes 46 – 1500 bytes 4 Bytes
Gateway
Padrão
Etapa 2: Examine a configuração de rede do PC.
Esse endereço IP do host do PC é 10.20.164.22 e o gateway padrão tem um endereço IP de 10.20.164.17.
Etapa 3: Examine os quadros Ethernet em uma captura do Wireshark.
A captura do Wireshark abaixo mostra os pacotes gerados por um ping sendo enviados de um host do PC ao gateway padrão. Um filtro foi aplicado ao Wireshark para visualizar somente os protocolos ARP e ICMP. A sessão começa com uma consulta ARP para o endereço MAC do roteador do gateway, seguido por quatro solicitações e respostas de ping.
Etapa 4: Examine o conteúdo do cabeçalho Ethernet II de uma solicitação ARP.
A tabela a seguir usa o primeiro quadro na captura do Wireshark e exibe os dados nos campos do cabeçalho Ethernet II.
Campo Valor Descrição
Preâmbulo Não exibido na
captura Este campo contém bits sincronizados, processados pelo hardware da NIC. Endereço de Destino Broadcast
(ff:ff:ff:ff:ff:ff) Endereços da camada 2 para o quadro. Cada endereço tem 48 bits de comprimento, ou 6 octetos, expressos como 12 dígitos hexadecimais, 0-9,A-F.
Um formato comum é 12:34:56:78:9A:BC.
Os primeiros seis números hexadecimais indicam o fabricante da placa de rede (NIC), os últimos seis números
hexadecimais são o número de série da placa de rede. O endereço destino pode ser um broadcast, que contém todos os valores 1, ou um unicast. O endereço origem é sempre unicast.
Endereço de Origem Dell_24:2a:60 (5c:26:0a:24:2a:60)
Tipo de Quadro 0x0806 Nos quadros Ethernet II, este campo contém um valor hexadecimal que é usado para indicar o tipo de protocolo de camada superior no campo de dados. Há muitos protocolos de camada superior suportados pela Ethernet II. Dois tipos de quadro comum são:
Valor Descrição 0x0800 Protocolo IPv4
0x0806 Protocolo de Resolução de Endereços (ARP) Dados ARP Contém o protocolo de nível superior encapsulado. O campo
de dados é entre 46 – 1.500 bytes. FCS Não exibido na
captura Sequência de Verificação do Quadro , usado pela NIC para identificar erros durante a transmissão. O valor é computado pela máquina emissora, incluindo endereços do quadro, tipo e campo de dados. Isso é verificado pelo receptor.
Qual é a importância do conteúdo do campo de endereço destino?
_______________________________________________________________________________________ _______________________________________________________________________________________ Por que o PC envia um broadcast ARP antes de enviar a primeira solicitação de ping?
_______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________ Qual é o endereço MAC da origem no primeiro quadro? _______________________
Parte 2: Use o Wireshark para capturar e analisar quadros Ethernet
Na parte 2, você usará o Wireshark para capturar quadros ethernet locais e remotos. Você examinará as informações contidas nos campos do cabeçalho do quadro.
Etapa 1: Determine o endereço IP do gateway padrão em seu PC.
Abra uma janela do prompt de comando e emita o comando ipconfig.
Qual é o endereço IP do gateway padrão do PC? ________________________
Etapa 2: Inicie a captura do tráfego na placa de rede de seu PC.
a. Abra o Wireshark.
b. Na barra de ferramentas do analisador de rede do Wireshark, clique no ícone Interface List (Lista de interface).
c. Na janela Wireshark: Capturar interfaces, selecione a interface para iniciar a captura de tráfego clicando na caixa de seleção apropriada e clique em Start (Iniciar). Se você não tiver certeza de que interface
verificar, clique em Details (Detalhes) para obter mais informações sobre cada interface listada.
Etapa 3: Filtre o Wireshark para exibir apenas o tráfego do ICMP.
Você pode usar o filtro no Wireshark para bloquear a visibilidade do tráfego indesejado. O filtro não bloqueia a captura de dados indesejados; filtra apenas o que é exibido na tela. Por enquanto, somente o tráfego do ICMP deve ser exibido.
Na caixa Filtro do Wireshark, digite icmp. A caixa deve ficar verde se você digitou corretamente o filtro. Se
a caixa estiver verde, clique em Apply (Aplicar) para aplicar o filtro.
Etapa 4: Na janela do prompt de comando, efetue ping no gateway padrão do PC.
Da janela de comando, efetue ping no gateway padrão usando o endereço IP registrado na etapa 1.
Etapa 5: Interrompa a captura do tráfego na placa de rede.
Clique no ícone Stop Capture (Parar captura) para interromper a captura de tráfego.
Etapa 6: Examine a primeira solicitação (ping) de eco no Wireshark.
A janela principal do Wireshark é dividida em três seções: o painel Packet List (Lista de pacotes) (principal), o painel Packet Details (Detalhes do pacote) (meio) e o painel Packet Bytes (Bytes de pacotes) (inferior). Se você selecionou a interface correta para o pacote que captura na etapa 3, o Wireshark deve exibir as informações do ICMP no painel da Packet List (Lista de pacotes) do Wireshark, similar ao exemplo a seguir.
a. No painel Lista de pacotes (seção superior), clique no primeiro quadro listado. Você deve ver Echo (ping) request no cabeçalho Info (Informações). Isso deve realçar a linha azul.
b. Examine a primeira linha no painel Packet Details (Detalhes do pacote) (seção do meio). Esta linha apresenta o comprimento do quadro; 74 bytes neste exemplo.
c. A segunda linha no painel Packet Details (Detalhes do pacote) mostra que é um quadro Ethernet II. Os endereços MAC origem e destino também são exibidos.
Qual é o endereço MAC da placa de rede do PC? ___________________ Qual é o endereço MAC do gateway padrão? ______________________
d. Você pode clicar no sinal de mais (+) no início da segunda linha para obter mais informações sobre o quadro Ethernet II. Observe que o sinal de mais muda para o sinal de menos (-).
Que tipo de quadro é exibido? _______________________________
e. As duas últimas linhas exibidas na seção média fornecem informações sobre o campo de dados do quadro. Observe que os dados contêm informações do endereço IPv4 de origem e de destino. Qual é o endereço IP origem? _________________________________
Qual é o endereço IP destino? ______________________________
f. Você pode clicar em qualquer linha na seção média para destacar que parte do quadro (hex e ASCII) no painel de Bytes de pacotes (seção inferior). Clique na linha do Internet Control Message Protocol (Protocolo ICMP) na seção média e examine o que está realçado no painel de Bytes de pacotes.
O que os dois últimos octetos destacados dizem? ______
g. Clique no próximo quadro na seção da parte superior e examine um quadro de Resposta de eco. Observe que os endereços MAC origem e destino inverteram, pois esse quadro foi enviado do roteador do gateway padrão como uma resposta ao primeiro ping.
Que dispositivo e endereço MAC são exibidos como o endereço destino? ___________________________________________
Etapa 7: Reinicie a captura de pacote no Wireshark.
Clique no ícone Start Capture (Iniciar captura) para iniciar uma nova captura do Wireshark. Você receberá
uma janela popup perguntando se você deseja salvar os pacotes capturados anteriormente em um arquivo antes de iniciar uma nova captura. Clique em Continue without Saving (Continuar sem salvar).
Etapa 8: Na janela do prompt de comando, execute ping em www.cisco.com.
Etapa 9: Pare a captura de pacotes.
Etapa 10: Examine os novos dados no painel de lista de pacotes do Wireshark.
No primeiro quadro de echo request (ping), quais são os endereços MAC origem e destino?
Origem: _________________________________ Destino: _________________________________
Quais são os endereços IP origem e de destino contidos no campo de dados do quadro?
Origem: _________________________________ Destino: _________________________________
Compare esses endereços com os endereços que você recebeu na etapa 7. O único endereço que mudou foi o endereço IP destino. Por que o endereço IP destino mudou e o endereço MAC destino permaneceu o mesmo? _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________
