Phân tích gói tin IP trong 1 Frame Ethernet
Trang 1 trong tổng số 1 trang
Phân tích gói tin IP trong 1 Frame Ethernet
admin 24/3/2010, 1:41 pm
Trên lớp thầy giáo đã nói khá nhiều về giao thức TCP/IP và các tầng của nó,ở đây mình sẽ đi sâu vào tầng Internet (Internet Layer) và phân tích gói tin IP trong một frame Ethernet.
Khi sử dụng các soft để bắt,chặn các gói tin IP,có thể nhiều bạn sẽ không rõ các trường của gói tin đó có ý nghĩa thế nào,qua bài này mình mong sẽ có 1 chút gợi mở cho mọi người . Các bài tiếp sẽ nói về giao thức chuyển địa chỉ ARP (Adress Resolution Protocol),giao thức chuyển ngược địa chỉ RARP (Reverse Adress Resolution Protocol) và thuật toán dẫn đường (sử dụng để chuyển các gói tin IP trên mạng).Mong mọi người theo dõi để tìm hiểu kỹ hơn về giao thức TCP/IP (có lẽ sau này thi sẽ có phần này).
Frame Ethernet (IP data nằm trong data unit)
Gói tin IP
Ta sẽ xem xét từng trường của gói tin này
*
Version : dài 4 bits,mô tả chính xác version hiện hành của IP thực hiện bởi trạm mạng.
*
IHL(Hlen) : dài 4 bits,mô tả độ dài của IP header tính theo đơn vị word (=32 bits) . IP header ngắn nhất là 20 bytes,do đó giá trị tối thiểu của Hlen là 5 ( 20 bytes = 160 bits, 160 bits/32 bits = 5 )
*
Service of type : dài 8 bits mô tả thứ tự ưu tiên của data.Trường này được chia như sau :
1. Precedence ( 3 bits đầu tiên) : chỉ ra quyền ưu tiên của việc truyền dữ liệu,từ 0 (normal) cho đến 7 (network control panel)
2. 3 bit cờ D,T,R : cho phép host chỉ ra là nó quan tâm đến gì nhất trong tập hợp (Delay,Throughput và Reliability).Trên lý thuyết,các trường này cho phép các router chọn lựa.VD đường dây thuê dùng ( ADSL nhà các bạn chẳng hạn ) có thông lượng thấp và độ trễ thấp.Trong thực tế,các router hiện nay không quan tâm đến bộ trường service of type này.Các giá trị D,T,R :
* D(Delay) (1 bit) : chỉ độ trễ yêu cầu : D = 0 : độ trễ bình thường,D=1 : độ trễ thấp
* T (Thoughput) (1 bit) : chỉ thông lượng yêu cầu : T= 0 : thông lượng bình thường,T = 1 : thông lượng cao
* R (Reliability) (1 bit) : độ tin cậy : R = 0 : độ tin cậy bình thường , R = 1 : độ tin cậy cao
Tiếp tục nói về các trường còn lại của IP packet
* Total length : dài 16 bits (2 bytes),đây là độ dài của datagram ( có nghĩa là độ dài vùng data của IP datagram có thể lên đến 2 ^ 16 - 1 = 65535 (bytes)
Dòng tiếp theo của gói IP mô tả về sự phân đoạn khi một packet được chuyển đi từ một mạng có thể rất lớn để truyền trên mạng khác. Để duy trì một khung từ 1 mạng Token Ring ( cho phép kích thước tối đa 4472 bytes) tới 1 mạng Ethernet Lan ( chỉ hỗ trợ 1518 bytes) . Để đảm bảo vịêc packet được truyền đi an toàn và nhanh chóng,TCP/IP bắt buộc phải phân đoạn các packet lớn thành các packet nhỏ hơn. TCP sẽ thiết đặt kích cỡ của mỗi packet đối vưói mỗi cuộc truyền.Việc phân đoạn các packet thành các packet nhỏ hơn để phù hợp với mỗi được truyền trên Lan hay đường truyền của Lan hỗn tạp là công việc được thực hiện bởi tầng IP.
3 trường trên dòng này : Identification,flags và fragment offset làm nhiệm vụ chỉ ra làm cách nào để phân gói các datagram chuểyn tiếp quá lớn đối với các mạng kết nối.Khi dữ liệu đến các mạng khác nhau,kích thước tối đa của dữ liệu được gửi đồng thời có thể phải thay đổi trên mạng khác. Do không phải kiến trúc mạng nào cũng có giới hạn kích thước tối đa như nhau. VD : Ethernet cho phép kích thước tổng cộng của 1 packet là 1518 bytes (bao gồm cả header),Token Ring cho phép 17800 bytes (16 Mbps,4472 bytes cho 4 Mbps),hay FDDI : 4472 bytes. IP sẽ thay đổi dữ liệu truyền giữa các trạm thông qua khả năng phân gói các packet
* Identification (16 bits) : cùng với các tham số khác (Source IP Address , Destination IP Address) để định danh duy nhất cho một IP datagram trong khoảng thời gian nó vẫn còn trên liên mạng (internet) . Trường này giúp cho các host xác định đựơc mảnh (fragment) vừa đến thuộc datagram nào.Tất cả các mảnh của cùng một datagram có thể cùng 1 giá trị của trường này
* Frag (3 bits): Liên quan đến sự phân đoạn các datagram
1. bit 0 : chưa được sử dụng,luôn có giá trị là 0
2. Bit 1 (DF) : = 0 có thể phân mảnh , = 1 không phân mảnh . Bit DF được biểu thị chính là mệnh lệnh cho các router không được phân mảnh datagram bởi bên đích không có khả năng lắp ráp các mảnh lại với nhau.Điều này có ý nghĩa các datagram phải tránh mạng có kích thước packet nhỏ trên đường đi,nói cách khác nó phải chọn được đường đi tối ưu (cái này bài về thuật toán tìm đường mình sẽ nói) .Tất cả các máy yêu cầu được chấp nhận đến 576 bytes hoặc nhỏ hơn
3. Bit 2 (MF) : = phân mảnh cuối , = 1 có nhiều phân mảnh . Bit này có ý nghĩa : tất cả mảnh (trừ mảnh cuối ) phải có bit này thiết lạp bằng 1 .Điều này cần thiết để xác định tất cả các mảnh của datagram đã đến đích hay chưa .
Vì trường chỉ có 3 bit nên có thể thấy mảnh lớn nhất của datagram là 8192 ~> chiều dài lớn nhất của 1 datagram là 65536 bytes.
* Fregment offset (13 bits) : cho biết mảnh này thuộc vị trí nào của datagram hiện thời.Tất cả các mảnh (trừ mảnh cuối) phải có chiều dài là bội số của 8 bytes là đơn vị cơ sở của mảnh .
Dòng thứ 3 của 1 gói IP làm nhiệm vụ kiểm tra,phát hiện lỗi trên đường truyền và xác định giao thức tầng kế tiếp sẽ nhận là gì.
* Time to live (8 bits) TTL :sử dụng bởi router để đảm bảo các packet không lặp vô hạn trên mạng . Như ta đã thấy việc truyền 1 packet trên mạng giữa các router hoàn toàn có khả năng lặp vô hạn (do thuật toán tìm đường hoặc 1 lý do nào đó - tui chưa biết) .Trường này (thường tính theo giây) được thiết lập tại các trạm truyền và sau đó khi datagram chuỷên qua mỗi router nó sẽ được tự động giảm đi - ngày nay thường độ giảm là 1 . Nếu trong trường hợp giảm xuống 0 thì các packet sẽ tự bị huỷ và báo cho nơi gửi packet là không chuyển tiếp nữa
* Protocol : trường này chỉ ra giao thức ở tầng kế tiếp nhận dữ liệu là UDP hay TCP và packet sẽ được chuyển đến tiến trình phù hợp với tầng nhận dữ liệu
* Header checksum (16 bits) : Đây là mã kiểm tra sựu dư thừa theo phương pháp RCR (cyclic redundecy check) - cái này khi nào có thời gian sẽ nói tiếp ,hiện chưa tìm hiểu được . Cứ hiểu đơn giản là router sẽ tính toán lại checksum (cái này trên lớp nói rồi ) các datagram nhận được , nó sẽ so sánh các số RCR và nếu không cân xứng thì đây là 1 lỗi trong header và packet bị huỷ bỏ. Nôm na là nó xét xem datagram có lỗi trên đường truyền không,lỗi thì huỷ.
* Sources Address (32 bits) : chỉ ra địa chỉ trạm nguồn
* Destination Address (32 bits) : chỉ ra địa chỉ trạm đích
* IP option : có độ dài thay đổi và nó có thể có hoặc không trong header.Nó chứa các thông tin tuỳ chọn cho người sử dụng như : dò đường,bảo mật,..
* Padding :Trường điền thêm các số 0 để đảm bảo các header kết thúc tại 1 địa chỉ là bội của 32
Có thể nói tầng IP này làm công việc dẫn đường các gói tin trên mạng cho đến khi nó đến được đích hoặc bị lỗi.Việc truyền gói tin được thực hiện thông qua 1 thiết bị kết nối giữa 2 mạng là gateway .Khi 1 gói tin đựơc truyền thì nó cần đựơc chia ra thành nhiều mảnh nhỏ hơn để đảm bảo nó không quá lớn khi truỳên qua các mạng khác
Khi sử dụng các soft để bắt,chặn các gói tin IP,có thể nhiều bạn sẽ không rõ các trường của gói tin đó có ý nghĩa thế nào,qua bài này mình mong sẽ có 1 chút gợi mở cho mọi người . Các bài tiếp sẽ nói về giao thức chuyển địa chỉ ARP (Adress Resolution Protocol),giao thức chuyển ngược địa chỉ RARP (Reverse Adress Resolution Protocol) và thuật toán dẫn đường (sử dụng để chuyển các gói tin IP trên mạng).Mong mọi người theo dõi để tìm hiểu kỹ hơn về giao thức TCP/IP (có lẽ sau này thi sẽ có phần này).
Frame Ethernet (IP data nằm trong data unit)
Gói tin IP
Ta sẽ xem xét từng trường của gói tin này
*
Version : dài 4 bits,mô tả chính xác version hiện hành của IP thực hiện bởi trạm mạng.
*
IHL(Hlen) : dài 4 bits,mô tả độ dài của IP header tính theo đơn vị word (=32 bits) . IP header ngắn nhất là 20 bytes,do đó giá trị tối thiểu của Hlen là 5 ( 20 bytes = 160 bits, 160 bits/32 bits = 5 )
*
Service of type : dài 8 bits mô tả thứ tự ưu tiên của data.Trường này được chia như sau :
1. Precedence ( 3 bits đầu tiên) : chỉ ra quyền ưu tiên của việc truyền dữ liệu,từ 0 (normal) cho đến 7 (network control panel)
2. 3 bit cờ D,T,R : cho phép host chỉ ra là nó quan tâm đến gì nhất trong tập hợp (Delay,Throughput và Reliability).Trên lý thuyết,các trường này cho phép các router chọn lựa.VD đường dây thuê dùng ( ADSL nhà các bạn chẳng hạn ) có thông lượng thấp và độ trễ thấp.Trong thực tế,các router hiện nay không quan tâm đến bộ trường service of type này.Các giá trị D,T,R :
* D(Delay) (1 bit) : chỉ độ trễ yêu cầu : D = 0 : độ trễ bình thường,D=1 : độ trễ thấp
* T (Thoughput) (1 bit) : chỉ thông lượng yêu cầu : T= 0 : thông lượng bình thường,T = 1 : thông lượng cao
* R (Reliability) (1 bit) : độ tin cậy : R = 0 : độ tin cậy bình thường , R = 1 : độ tin cậy cao
Tiếp tục nói về các trường còn lại của IP packet
* Total length : dài 16 bits (2 bytes),đây là độ dài của datagram ( có nghĩa là độ dài vùng data của IP datagram có thể lên đến 2 ^ 16 - 1 = 65535 (bytes)
Dòng tiếp theo của gói IP mô tả về sự phân đoạn khi một packet được chuyển đi từ một mạng có thể rất lớn để truyền trên mạng khác. Để duy trì một khung từ 1 mạng Token Ring ( cho phép kích thước tối đa 4472 bytes) tới 1 mạng Ethernet Lan ( chỉ hỗ trợ 1518 bytes) . Để đảm bảo vịêc packet được truyền đi an toàn và nhanh chóng,TCP/IP bắt buộc phải phân đoạn các packet lớn thành các packet nhỏ hơn. TCP sẽ thiết đặt kích cỡ của mỗi packet đối vưói mỗi cuộc truyền.Việc phân đoạn các packet thành các packet nhỏ hơn để phù hợp với mỗi được truyền trên Lan hay đường truyền của Lan hỗn tạp là công việc được thực hiện bởi tầng IP.
3 trường trên dòng này : Identification,flags và fragment offset làm nhiệm vụ chỉ ra làm cách nào để phân gói các datagram chuểyn tiếp quá lớn đối với các mạng kết nối.Khi dữ liệu đến các mạng khác nhau,kích thước tối đa của dữ liệu được gửi đồng thời có thể phải thay đổi trên mạng khác. Do không phải kiến trúc mạng nào cũng có giới hạn kích thước tối đa như nhau. VD : Ethernet cho phép kích thước tổng cộng của 1 packet là 1518 bytes (bao gồm cả header),Token Ring cho phép 17800 bytes (16 Mbps,4472 bytes cho 4 Mbps),hay FDDI : 4472 bytes. IP sẽ thay đổi dữ liệu truyền giữa các trạm thông qua khả năng phân gói các packet
* Identification (16 bits) : cùng với các tham số khác (Source IP Address , Destination IP Address) để định danh duy nhất cho một IP datagram trong khoảng thời gian nó vẫn còn trên liên mạng (internet) . Trường này giúp cho các host xác định đựơc mảnh (fragment) vừa đến thuộc datagram nào.Tất cả các mảnh của cùng một datagram có thể cùng 1 giá trị của trường này
* Frag (3 bits): Liên quan đến sự phân đoạn các datagram
1. bit 0 : chưa được sử dụng,luôn có giá trị là 0
2. Bit 1 (DF) : = 0 có thể phân mảnh , = 1 không phân mảnh . Bit DF được biểu thị chính là mệnh lệnh cho các router không được phân mảnh datagram bởi bên đích không có khả năng lắp ráp các mảnh lại với nhau.Điều này có ý nghĩa các datagram phải tránh mạng có kích thước packet nhỏ trên đường đi,nói cách khác nó phải chọn được đường đi tối ưu (cái này bài về thuật toán tìm đường mình sẽ nói) .Tất cả các máy yêu cầu được chấp nhận đến 576 bytes hoặc nhỏ hơn
3. Bit 2 (MF) : = phân mảnh cuối , = 1 có nhiều phân mảnh . Bit này có ý nghĩa : tất cả mảnh (trừ mảnh cuối ) phải có bit này thiết lạp bằng 1 .Điều này cần thiết để xác định tất cả các mảnh của datagram đã đến đích hay chưa .
Vì trường chỉ có 3 bit nên có thể thấy mảnh lớn nhất của datagram là 8192 ~> chiều dài lớn nhất của 1 datagram là 65536 bytes.
* Fregment offset (13 bits) : cho biết mảnh này thuộc vị trí nào của datagram hiện thời.Tất cả các mảnh (trừ mảnh cuối) phải có chiều dài là bội số của 8 bytes là đơn vị cơ sở của mảnh .
Dòng thứ 3 của 1 gói IP làm nhiệm vụ kiểm tra,phát hiện lỗi trên đường truyền và xác định giao thức tầng kế tiếp sẽ nhận là gì.
* Time to live (8 bits) TTL :sử dụng bởi router để đảm bảo các packet không lặp vô hạn trên mạng . Như ta đã thấy việc truyền 1 packet trên mạng giữa các router hoàn toàn có khả năng lặp vô hạn (do thuật toán tìm đường hoặc 1 lý do nào đó - tui chưa biết) .Trường này (thường tính theo giây) được thiết lập tại các trạm truyền và sau đó khi datagram chuỷên qua mỗi router nó sẽ được tự động giảm đi - ngày nay thường độ giảm là 1 . Nếu trong trường hợp giảm xuống 0 thì các packet sẽ tự bị huỷ và báo cho nơi gửi packet là không chuyển tiếp nữa
* Protocol : trường này chỉ ra giao thức ở tầng kế tiếp nhận dữ liệu là UDP hay TCP và packet sẽ được chuyển đến tiến trình phù hợp với tầng nhận dữ liệu
* Header checksum (16 bits) : Đây là mã kiểm tra sựu dư thừa theo phương pháp RCR (cyclic redundecy check) - cái này khi nào có thời gian sẽ nói tiếp ,hiện chưa tìm hiểu được . Cứ hiểu đơn giản là router sẽ tính toán lại checksum (cái này trên lớp nói rồi ) các datagram nhận được , nó sẽ so sánh các số RCR và nếu không cân xứng thì đây là 1 lỗi trong header và packet bị huỷ bỏ. Nôm na là nó xét xem datagram có lỗi trên đường truyền không,lỗi thì huỷ.
* Sources Address (32 bits) : chỉ ra địa chỉ trạm nguồn
* Destination Address (32 bits) : chỉ ra địa chỉ trạm đích
* IP option : có độ dài thay đổi và nó có thể có hoặc không trong header.Nó chứa các thông tin tuỳ chọn cho người sử dụng như : dò đường,bảo mật,..
* Padding :Trường điền thêm các số 0 để đảm bảo các header kết thúc tại 1 địa chỉ là bội của 32
Có thể nói tầng IP này làm công việc dẫn đường các gói tin trên mạng cho đến khi nó đến được đích hoặc bị lỗi.Việc truyền gói tin được thực hiện thông qua 1 thiết bị kết nối giữa 2 mạng là gateway .Khi 1 gói tin đựơc truyền thì nó cần đựơc chia ra thành nhiều mảnh nhỏ hơn để đảm bảo nó không quá lớn khi truỳên qua các mạng khác
admin- Thiếu Úy III
- Tổng số bài gửi : 627
Diem : 6548
Thank : 4
Join date : 24/03/2010
Đến từ : Bỉm Sơn - Thanh hóa -
Similar topics» Phân tích một tấn công
» Phân tích bảo mật cho mạng LAN.
» Phân tích obfuscated Javascript
» Phân tích code của virus như thế nào ?
» Các bước xây dựng một hệ thống phân tích malware tự động
» Phân tích bảo mật cho mạng LAN.
» Phân tích obfuscated Javascript
» Phân tích code của virus như thế nào ?
» Các bước xây dựng một hệ thống phân tích malware tự động
Trang 1 trong tổng số 1 trang
Permissions in this forum:
Bạn không có quyền trả lời bài viết
» Quản Lí Tiến Trình Dùng Thư Viện PSAPI
» xin tai lieu tieng viet
» Theo dõi tiến trình
» Giải pháp Bảo mật của Cisco
» Nghiên cứu và đưa ra giải pháp phòng chống tấn công DoS, DDoS (Phần 1)
» Learn to hack !
» Giải pháp hệ thống dành cho doanh nghiệp với thiết bị mạng Fortinet (Phần 1)
» Ô Long Viên (Tập II)
» những ebook về hack tiếng việt cho người mới tìm hiểu.