Reti Accesso: Ethereal + esercizio

[Giuseppe Bianchi < >]

Due cose.


A) Vi invito caldamente a scaricare e acquisire una significativa
familiarita' con l'analizzatore di protocollo usato Venerdi'. E' uno
strumento di lavoro FONDAMENTALE per qualunque persona che si voglia
occupare di reti. Il sito di riferimento e':

http://www.ethereal.com/

e la versione che uso io a lezione e' la 0.99, peraltro l'ultima
disponibile. 

E' uno strumento ESSENZIALE per verificare direttamente, su tracce REALI,
le cose che dico a lezione. Il mio suggerimento e' provarlo sia su tracce
catturate direttamente da voi sul vostro collegamento di accesso (dial-up
o DSL) o rete interna casalinga ove aveste un router, che su tracce
disponibili in rete. Parecchi protocolli anche rari (= difficili da
generare direttamente dal vostro PC) ed a voi immagino sconosciuti si
trovano sul sito

http://wiki.ethereal.com/SampleCaptures

Per i piu' pigri, allego la traccia che ho mostrato venerdi' a lezione, e
che e' discretamente rappresentativa del traffico in una rete locale di
dimensioni medie non particolarmente "pulita" (diciamo
"far west" - e' stata catturata nella rete del nostro
dipartimento un paio di anni fa). Peraltro, vi invito a cercare le
seguenti risposte analizzando la traccia in questione:

1) quale e' la sottorete IP e la relativa subnet mask GIUSTA? Analizzando
con una certa attenzione la traccia, scoprirete - immagino con una certa
sorpresa - che i PC attestati sono configurati in modo differente tra
loro!

2) quale e' il MAC del GW di rete? e l'IP? Notate qualcosa di strano?

3) quale e' l'indirizzo IP del PC con cui ho acquisito questa traccia?
Perche' siete in grado di rispondere? (suggerimento: si tratta di una
rete switched, quindi...). Cosa ho scaricato?

etc etc. Vi impressionerete a vedere quante cose si riescono ad imparare
solamente guardando una traccia scelta a caso!!





B) Con riferimento a quanto spiegato venerdi', provate a rispondere alla
seguente domanda di esame (22/9/05):

Domanda 1: Nelle righe seguenti sono riportate alcune trame
ethernet/802.3 catturate mediante uno sniffer. Il preambolo non è
riportato. Per ciascuna trama, si chiede di indicare
- dove finisce la trama Ethernet/802.3 e conseguentemente dove inizia il
contenuto (payload)
- indicare le informazioni riportate nella trama (indirizzi, campi della
trama e loro significato, se si riesce anche tipo di payload)
- dire in cosa differiscono sostanzialmente le tre trame riportate
 
1)    ff ff ff ff ff ff 00 03 93 ba fd a0 08 06 00 01
08 00 06 04 00 01 00 50 ........ 
 
2)    03 00 00 00 00 01 00 50 fc 23 4b 9c 00 2f f0 f0 03
2c 00 ff ef 01 00 00 ........
 
3)    01 00 0c cc cc cc 00 06 d7 19 c7 a5 01 2f aa aa 03
00 00 0c 20 00 01 d4 ........
 
E' stato per me imbarazzante constatare come una domanda assolutamente
elementare come questa (come per voi sara' chiaro, perche' avendo fatto
UNA sola lezione, sapete che e' su QUELLA cosa, anche se QUELLA cosa non
e' scritta esplicitamente nel testo della domanda :-)) abbia fatto una
strage (il 90% non ha risposto o ha risposto solo alle parti banali delle
domande, ovvero non capendo neppure che la domanda era su QUELLA cosa
:-)). Chiaramente questo risultato negativo e' un segno di metodologia di
studio errata (nonostante le mie continue prediche). E' inutile imparare
a memoria, magari SBOBINANDO (!!), quello che io dico a lezione o quello
che e' scritto sul libro (anche perche' un esame preparato in questo modo
spesso e' dimenticato dopo 7-10 giorni). Molto meglio per voi acquisire i
concetti spiegati in modo da saperli applicare in pratica.

Attachment: 1_traccia.cap
Description: Binary data