3. OSI model - vrstvy 7,6,5; Wireshark

Opakování - viz zápis z minulé hodiny

Teorie

• Historické síťové modely - proprietární řešení, každý výrobce měl vlastní systém, zařízení různých výrobců špatně spolupracovala
• OSI model (Open Systems Interconnection) na principu vrstev vyvinula ISO (International Organization for Standardization) v 80. letech - tvůrce norem
• OSI model se skládá ze 7 vrstev - obr. - číslují se odspodu, mnemotechnická pomůcka - obr.
• Každá vrstva je oddělená a nezávislá (a snadno nahraditelná)
  • Např. vývojář na úrovni aplikační vrstvy nemusí vědět co se děje na spodních vrstvách - obr.
  • Nebo webový návrhář nemusí znát podrobnosti linkové nebo fyzické vrstvy - obr.
•  Model umožňuje
  • spolupráci hardwaru i softwaru různých výrobců - interoperabilitu (např. webový prohlížeč Google Chrome pod Microsoft Windows umožňuje zobrazení dat obdržených z linuxového serveru Apache a přenesených na síťových prvcích mnoha výrobců - např. Cisco)
  • usnadňuje komunikaci mezi odborníky, odhalování a řešení síťových problémů (troubleshooting) - obr. - síťařům umožňuje se soustředit na síťové protokoly spíš než na programovací jazyky
  • urychluje vývoj aplikací - např. obrovský rozmach aplikací pro sociální sítě (jejich vývojáři se např. nemusí zabývat směrováním nebo poskytováním Internetu - obr. a naopak síťaři nemusí znát vývoj webových aplikací - obr.)
  • umožňuje rozdělení rolí (a tím lepší soustředění) podle vrstev - 3 horní vrstvy pro vývojáře a 4 dolní pro síťaře - obr.
  • ve vzdělávání pomáhají vrstvy OSI modelu pochopit jak sítě pracují

Aplikační vrstva 7

• Zprostředkovává síťové prostředky a služby aplikacím a tím uživatelům
• zajišťuje také identifikaci a autentizaci uživatelů
• protokoly HTTP, SMTP, FTP, telnet - obr.
• Pozn. V rámci síťového OSI modelu nás zajímají protokoly aplikací (např. HTTP), ne vlastní aplikace (jako např. webový prohlížeč)

Prezentační vrstva 6

• Týká se prezentace dat, jejich čitelnosti pro příjemce
•  zajišťuje formát dat, který je čitelný bez ohledu na použitý OS/hardware (machine independent format) - obr. - např. JPEG, MPEG, HTML, ZIP, ... = čitelnost textu, viditelnost obrázků, slyšitelnost zvuku, ...
• Pozn. co znamená nečitelnost dat lze vyzkoušet např. otevřením obrázku JPG v Poznámkovém bloku
• Patří sem také kódování znaků (ASCII, UNICODE) včetně šifrování/dešifrování

Relační vrstva 5 (session layer)

• Zajišťuje dialog (relaci, spojení = session) mezi dvěma počítači (aplikacemi) - navazuje, řídí a ukončuje toto spojení - obr.
• rozhoduje o duplexním/poloduplexním připojení
• např. SMB, PPTP, NetBIOS

Cvičení - Wireshark

• Open source software pro odposlech dat na síti + analýzu paketů (packet sniffer) - https://www.wireshark.org/
• Literatura - Sanders: Analýza sítí a řešení problémů v programu Wireshark (Computer Press 2012) - obr.
• Ukázkové zachycené soubory - https://nostarch.com/packetanalysis3
• Odposlech dat na síti:
  • běžně lze za switchem sledovat pouze provoz na připojeném portu, tedy provoz vlastního počítače a všesměrový provoz (broadcast) - obr.
  • pro sledování jiných portů je nutný smart switch se zrcadlením portů - obr. - ve správě switche se nastaví, které porty zrcadlit (dříve se používal rozbočovač - obr., také lze použít speciální hw odposlech - network tap)
  • ve vlastním počítači je nutno síťovou kartu přepnout do promiskuitního režimu - karta zachycuje a dál vyšším vrstvám předává všechny pakety (normálně karta zahazuje pakety, které jí nepatří) - zajišťuje speciální ovladač WinPcap (součást Wiresharku)
  • rekapitulace volby způsobu odposlechu - vývoj. diagram
• Další software pro analýzu sítí - wiki - např. tcpdump, Cain and Abel, specializovaný OS Kali Linux
• Instalace a provoz Wiresharku + WinPcap - zachytávání pod správcem, portable verze pro analýzu souborů *.pcap
• Získání dat k analýze
  • živým odposlechem sítě vybraného síťového rozhraní - Interfaces - obr.
  • otevřením souboru se zachycenými daty *.pcap
• Prostředí - obr.
  • nahoře  hlavní okno - seznam paketů (barva podle protokolu) - čas, zdroj, cíl, protokol, popis
  • uprostřed okno podrobností vybraného paketu podle vrstev
  • dole okno s hexadecimálním zobrazením paketů - syrový řetězec bytů
• Předvolby
  • Edit - Preferences - Uživ. rozhraní, výchozí síťová karta, překlad adres
  • View - Time Display Format, Coloring rules
• Soubory - možnost uložení zachycených paketů pro pozdější analýzu - volby všechny/vybrané/zobrazené (viz filtry dále)
  • otevřít lotsofweb.pcap pro analýzu
  • File - Save as (výchozí přípona a formát pcap)
  • File - Export - csv, xml, prostý text
• Hledání paketů - Ctrl+F - obr.
  • zadání filtru/hexadec. hodnoty/řetězce - obr.
• Zachytávání - nabídka Capture
  • nastavení Options - obr. (také v okně Interfaces - obr.) - filtry zachytávání (viz níže), zachycování přímo do souboru pro velké objemy dat (Capture File), zastavení po splnění podmínky, překlad adres a portů do názvů pro lepší čitelnost
  • Start/Stop (ikony) - vlastní zachytávání
• Filtry zachytávání (capture filters) - zachycují se jen data odpovídající filtru (při změně filtru je třeba zachytit nová data)
  • syntaxe Berkeley Packet Filter = výrazy z kvalifikátorů a identifikátorů nebo čísel - obr.
  • logické operátory - AND (&&), OR (||), NOT (!)
  • Příklady filtrů
    • omezení na IP adresu v obou směrech: host 172.16.16.149
    • stejně, ale provoz jen od hostitele (podobně dst): src host 172.16.16.149
    • omezení na MAC adresu: ether host 00-1a-a0-52-e2-a0
    • provoz na jednom portu: port 8080
    • provoz na všech portech kromě uvedeného: !port 8080
    • provoz protokolu: icmp
    • všesměrový provoz: broadcast
    • pouze udp: udp
• Filtry zobrazení (display filters) - pomocí nich se ze zachycených dat zobrazují jen data odpovídající filtru (změna filtru změní počet zobrazených paketů, ne zachycených)
  • filtr se píše do textového pole nad seznamem paketů
  • vlevo textového pole - uložené záložky pro nejpoužívanější filtry
  • vpravo - zrušení filtru (také vymázáním pole), historie použitých filtrů, Expression - pomocník tvorby filtrů + příklady filtrů
  • ruční zadání - operátory porovnání, logické operátory, příklady
  • další práce s filtry v menu Analyze
  • referenční seznam filtrů - https://www.wireshark.org/docs/dfref/
• Statistiky - menu Statistics (projít podrobně každé okno)
  • Endpoints - všechny koncové body nalezené v datech (počítače)
    • nad záhlavím záložky MAC/IP4x6/TCPxUDP
    • počty odeslaných/přijatých paketů/bytů
    • řazení kliknutím na záhlaví
    • dole přepínače pro překlad názvů (musí být povoleno Resolve network names v Capture - Options), omezení na filtr zobrazení
  • Resolved Addresses - lze použít pro zjištění doménového názvu IP adresy  (nebo majitele IP pomocí http://whois.arin.net/ui)
  • Conversations - dvojice koncových bodů se vzájemnou komunikací
  • Protocol Hierarchy - rozložení protokolů
  • Packet Lengths - velikosti paketů - více velkých paketů = přenos dat (otevřít download-slow.pcap)
  • I/O graph - tvorba grafů - zobrazení propustnosti dat (otevřít download-fast.pcap)
• Další funkce
  • Follow TCP stream - pravé tl. na paketu v seznamu paketů - dvojbarevná komunikace