3. OSI model - vrstvy 7,6,5; Wireshark
Opakování - viz zápis z minulé hodiny
Teorie
- Historické síťové modely - proprietární řešení,
každý výrobce měl vlastní systém, zařízení různých výrobců špatně
spolupracovala
- OSI model (Open Systems Interconnection) na principu vrstev vyvinula
ISO (International Organization for Standardization) v
80. letech - tvůrce norem
- OSI model se skládá ze 7 vrstev -
obr. - číslují se odspodu,
mnemotechnická pomůcka - obr.
- Každá vrstva je oddělená a nezávislá (a snadno
nahraditelná)
- Např. vývojář na úrovni aplikační vrstvy nemusí vědět co se děje
na spodních vrstvách - obr.
- Nebo webový návrhář nemusí znát podrobnosti linkové nebo fyzické
vrstvy - obr.
- Model umožňuje
- spolupráci hardwaru i softwaru různých výrobců -
interoperabilitu (např. webový prohlížeč Google Chrome pod
Microsoft Windows umožňuje zobrazení dat obdržených z linuxového
serveru Apache a přenesených na síťových prvcích mnoha výrobců -
např. Cisco)
- usnadňuje komunikaci mezi odborníky, odhalování a řešení
síťových problémů (troubleshooting) -
obr. - síťařům umožňuje se
soustředit na síťové protokoly spíš než na programovací jazyky
- urychluje vývoj aplikací - např. obrovský
rozmach aplikací pro sociální sítě (jejich vývojáři se např. nemusí
zabývat směrováním nebo poskytováním Internetu -
obr. a naopak síťaři nemusí znát
vývoj webových aplikací - obr.)
- umožňuje rozdělení rolí (a tím lepší soustředění) podle vrstev -
3 horní vrstvy pro vývojáře a 4 dolní pro síťaře -
obr.
- ve vzdělávání pomáhají vrstvy OSI modelu pochopit jak sítě
pracují
Aplikační vrstva 7
- Zprostředkovává síťové prostředky a služby aplikacím a tím
uživatelům
- zajišťuje také identifikaci a autentizaci uživatelů
- protokoly HTTP, SMTP, FTP, telnet -
obr.
- Pozn. V rámci síťového OSI modelu nás zajímají protokoly aplikací
(např. HTTP), ne vlastní aplikace (jako např. webový prohlížeč)
Prezentační vrstva 6
- Týká se prezentace dat, jejich čitelnosti pro příjemce
- zajišťuje formát dat, který je
čitelný bez ohledu na použitý OS/hardware (machine
independent format) - obr. -
např. JPEG, MPEG, HTML, ZIP, ... = čitelnost textu, viditelnost obrázků,
slyšitelnost zvuku, ...
- Pozn. co znamená nečitelnost dat lze vyzkoušet např. otevřením
obrázku JPG v Poznámkovém bloku
- Patří sem také kódování znaků (ASCII, UNICODE) včetně
šifrování/dešifrování
Relační vrstva 5 (session layer)
- Zajišťuje dialog (relaci, spojení = session) mezi
dvěma počítači (aplikacemi) - navazuje, řídí a ukončuje toto spojení -
obr.
- rozhoduje o duplexním/poloduplexním připojení
- např. SMB, PPTP, NetBIOS
Cvičení - Wireshark
- Open source software pro odposlech dat na síti + analýzu paketů
(packet sniffer) -
https://www.wireshark.org/
- Literatura - Sanders: Analýza sítí a řešení problémů v programu
Wireshark (Computer Press 2012) - obr.
- Ukázkové zachycené soubory -
https://nostarch.com/packetanalysis3
- Odposlech dat na síti:
- běžně lze za switchem sledovat pouze provoz na
připojeném portu, tedy provoz vlastního počítače a
všesměrový provoz (broadcast) - obr.
- pro sledování jiných portů je nutný smart switch se
zrcadlením portů - obr. -
ve správě switche se nastaví, které porty zrcadlit (dříve se
používal rozbočovač - obr., také
lze použít speciální hw odposlech - network tap)
- ve vlastním počítači je nutno síťovou kartu přepnout do
promiskuitního režimu - karta zachycuje a dál vyšším
vrstvám předává všechny pakety (normálně karta zahazuje pakety,
které jí nepatří) - zajišťuje speciální ovladač WinPcap
(součást Wiresharku)
- rekapitulace volby způsobu odposlechu -
vývoj. diagram
- Další software pro analýzu sítí -
wiki
- např. tcpdump, Cain and Abel, specializovaný OS Kali Linux
- Instalace a provoz Wiresharku + WinPcap -
zachytávání pod správcem, portable verze pro analýzu souborů *.pcap
- Získání dat k analýze
- živým odposlechem sítě vybraného síťového rozhraní - Interfaces
- obr.
- otevřením souboru se zachycenými daty *.pcap
- Prostředí - obr.
- nahoře hlavní okno - seznam paketů (barva
podle protokolu) - čas, zdroj, cíl, protokol, popis
- uprostřed okno podrobností vybraného paketu
podle vrstev
- dole okno s hexadecimálním zobrazením paketů - syrový řetězec
bytů
- Předvolby
- Edit - Preferences - Uživ. rozhraní, výchozí síťová karta,
překlad adres
- View - Time Display Format, Coloring rules
- Soubory - možnost uložení zachycených paketů pro
pozdější analýzu - volby všechny/vybrané/zobrazené (viz filtry dále)
- otevřít lotsofweb.pcap pro analýzu
- File - Save as (výchozí přípona a formát pcap)
- File - Export - csv, xml, prostý text
- Hledání paketů - Ctrl+F -
obr.
- zadání filtru/hexadec. hodnoty/řetězce -
obr.
- Zachytávání - nabídka Capture
- nastavení Options - obr. (také
v okně Interfaces - obr.) - filtry
zachytávání (viz níže), zachycování přímo do souboru pro velké
objemy dat (Capture File), zastavení po splnění podmínky, překlad
adres a portů do názvů pro lepší čitelnost
- Start/Stop (ikony) - vlastní zachytávání
- Filtry zachytávání (capture filters) - zachycují se
jen data odpovídající filtru (při změně filtru je třeba zachytit nová
data)
- syntaxe Berkeley Packet Filter = výrazy z kvalifikátorů a
identifikátorů nebo čísel - obr.
- logické operátory - AND (&&), OR (||), NOT (!)
- Příklady filtrů
- omezení na IP adresu v obou směrech: host 172.16.16.149
- stejně, ale provoz jen od hostitele (podobně dst): src host
172.16.16.149
- omezení na MAC adresu: ether host 00-1a-a0-52-e2-a0
- provoz na jednom portu: port 8080
- provoz na všech portech kromě uvedeného: !port 8080
- provoz protokolu: icmp
- všesměrový provoz: broadcast
- pouze udp: udp
- Filtry zobrazení (display filters) - pomocí nich se
ze zachycených dat zobrazují jen data odpovídající filtru (změna filtru
změní počet zobrazených paketů, ne zachycených)
- filtr se píše do textového pole nad seznamem paketů
- vlevo textového pole - uložené záložky pro
nejpoužívanější filtry
- vpravo - zrušení filtru (také vymázáním pole), historie
použitých filtrů, Expression - pomocník tvorby
filtrů + příklady filtrů
- ruční zadání - operátory porovnání,
logické operátory,
příklady
- další práce s filtry v menu Analyze
- referenční seznam filtrů -
https://www.wireshark.org/docs/dfref/
- Statistiky - menu Statistics (projít podrobně každé
okno)
- Endpoints - všechny koncové body nalezené v
datech (počítače)
- nad záhlavím záložky MAC/IP4x6/TCPxUDP
- počty odeslaných/přijatých paketů/bytů
- řazení kliknutím na záhlaví
- dole přepínače pro překlad názvů (musí být povoleno Resolve
network names v Capture - Options), omezení na filtr zobrazení
- Resolved Addresses - lze použít pro zjištění
doménového názvu IP adresy (nebo majitele IP pomocí
http://whois.arin.net/ui)
- Conversations - dvojice koncových bodů se
vzájemnou komunikací
- Protocol Hierarchy - rozložení protokolů
- Packet Lengths - velikosti paketů - více
velkých paketů = přenos dat (otevřít download-slow.pcap)
- I/O graph - tvorba grafů - zobrazení
propustnosti dat (otevřít download-fast.pcap)
- Další funkce
- Follow TCP stream - pravé tl. na paketu v seznamu paketů -
dvojbarevná komunikace