Wednesday, April 11, 2018
Modul 9 : Using Wireshark to Examine TCP and UDP Captures
9.1 Tujuan
1. Merekam informasi konfigurasi IP sebuah PC
2. Gunakan wireshark untuk menangkap query DNS dan responses
3. Menganalisis capture DNS atau paket UDP
9.2 Alat dan Bahan
Laptop atau PC
9.3 Dasar Teori
Jika Anda pernah menggunakan Internet, Anda telah menggunakan Domain Name System (DNS). DNS adalah jaringan terdistribusi dari server yang menerjemahkan nama domain userfriendly seperti www.google.com ke alamat IP. Ketika Anda mengetik URL situs ke browser Anda, PC Anda melakukan query DNS ke alamat IP server DNS. server query DNS PC Anda dan membuat respon penggunaan DNS server dari User Datagram Protocol (UDP) sebagai protokol lapisan transport. UDP adalah connectionless dan tidak memerlukan setup sesi seperti halnya TCP. query DNS dan tanggapan yang sangat kecil dan tidak memerlukan overhead TCP.
Pada lab ini, Anda akan berkomunikasi dengan server DNS dengan mengirimkan permintaan DNS menggunakan protokol transport UDP. Anda akan menggunakan Wireshark untuk memeriksa DNS query dan respon pertukaran dengan server yang sama.
Catatan: Laboratorium ini tidak dapat diselesaikan dengan menggunakan Netlab. Laboratorium ini mengasumsikan bahwa Anda memiliki akses Internet.
9.4 Rekam Informasi konfigurasi IP pada sebuah PC
Bagian 1, Anda akan menggunakan perintah ipconfig / all pada PC lokal Anda untuk menemukan dan mencatat MAC dan alamat IP dari network interface card (NIC), alamat IP dari default gateway yang ditentukan, dan alamat IP DNS server ditentukan untuk PC. Catat informasi ini dalam tabel yang disediakan. Informasi ini akan digunakan di bagian lab ini dengan analisis paket.
Table 9-1 IP Address
| IP address | 192.168.2.100 |
| MAC address | (d4:61:9d:25:24:76) |
| Default gateway IP address | 192.168.2.1 |
| DNS server IP address | 192.168.98.131 |
Gunakan Wireshark untuk menangkap Query DNS dan Respon
Bagian 2, Anda akan mengatur Wireshark untuk menangkap permintaan DNS dan respon paket untuk menunjukkan penggunaan protokol transport UDP saat berkomunikasi dengan server DNS.
1. Klik Windows Start button dan arahkan pada Wireshark program.
2. Pilih sebuah interface untuk Wireshark untuk menangkap paket. Gunakan Interface List untuk memilih interface yang dikaitkan dengan mencatat PC IP dan MAC alamat di Bagian
1.
3. Setelah memilih interface yang diinginkan, klik Start untuk menangkap paket.
4. Buka web browser dan ketikkan www.google.com. Tekan Enter untuk melanjutkan.
5. Klik Stop untuk menghentikan Wireshark capture ketika Anda melihat halaman Google’s home.
9.5 Menganalisis captured DNS atau paket UDP
Anda akan memeriksa paket-paket UDP yang dihasilkan ketika berkomunikasi dengan server DNS untuk alamat IP www.google.com.
9.5.1 Filter DNS paket
A. Pada jendela utama Wireshark main, ketik dns di daerah entri dari Filter toolbar. Klik Apply or press Enter.
Note: Jika Anda tidak melihat hasil apapun setelah filter DNS diterapkan, tutup web browser. Pada jendela command prompt, ketik ipconfig /flushdns untuk menghapus semua hasil DNS sebelumnya. Restart capture Wireshark dan ulangi petunjuk di Bagian 2b -2e. Jika ini tidak menyelesaikan masalah, jenis nslookup www.google.com di command prompt window sebagai alternatif untuk web browser
B. Pada packet list pane (top section) dari jendela utama, temukan paket yang mencakup Standard query dan A www.google.com. Lihat frame 5 sebagai contoh example.
9.5.2 Periksa segmen UDP menggunakan query DNS
Memeriksa UDP dengan menggunakan query DNS untuk www.google.com seperti yang ditangkap oleh Wireshark. Dalam contoh ini, Wireshark capture frame 5 di panel daftar paket yang dipilih untuk analisis. Protokol dalam query ini akan ditampilkan di packet details pane (bagian tengah) dari jendela utama.
1. Pada baris pertama dalam packet details pane, frame 5 memiliki 74 byte data pada kawat. Ini adalah jumlah byte untuk mengirim query DNS untuk server bernama meminta alamat IP dari www.google.com.
2. Ethernet II Line menampilkan sumber dan tujuan alamat MAC. Sumber alamat MAC adalah dari PC lokal Anda karena PC lokal Anda berasal query DNS. Tujuan alamat MAC adalah dari default gateway karena ini adalah perhentian terakhir sebelum query ini keluar dari jaringan lokal.
3. Apakah sumber alamat MAC sama dengan yang dicatat dari Bagian 1 untuk PC lokal?
Sama
4. Dalam baris Internet Protocol Version 4, paket IP Wireshark capture menunjukkan bahwa sumber alamat IP dari permintaan DNS ini 192.168.1.11 dan alamat IP tujuan adalah 192.168.1.1. Dalam contoh ini, alamat tujuan adalah default gateway. router adalah default gateway di jaringan ini.
Dapatkah Anda mengidentifikasi alamat IP dan MAC untuk sumber dan tujuan perangkat?
| Device | IP Address | MAC Address |
| Local PC | 192.168.2.100 | d4:61:9d:25:24:76 |
| Default Gateway | 192.168.2.1 | (e8:f2:e2:2e:2d:46:15) |
Paket IP dan header encapsulates segmen UDP. Segmen UDP berisi DNS query sebagai data.
5. UDP header memiliki empat bidang: source port, destination port, length, and checksum.
Setiap bidang dalam UDP header hanya 16 bits seperti dibawah ini.
Memperluas User Datagram Protocol di packet details pane dengan mengklik tanda plus (+). Perhatikan bahwa hanya ada empat bidang. Nomor port sumber dalam contoh ini adalah 60868. Port sumber dihasilkan secara acak oleh PC menggunakan nomor port lokal yang tidak dilindungi. Port tujuan adalah 53. Port 53 adalah port terkenal disediakan untuk digunakan dengan DNS. server DNS mendengarkan port 53 untuk permintaan DNS dari klien.
Dalam contoh ini, panjang segmen UDP adalah 40 byte. Dari 40 byte, 8 byte digunakan sebagai header. 32 byte lainnya yang digunakan oleh query data DNS. 32 byte data permintaan DNS disorot pada ilustrasi berikut di packet bytes pane (bagian bawah) dari jendela utama Wireshark.
checksum digunakan untuk menentukan integritas paket setelah dilalui Internet.
Header UDP memiliki overhead yang rendah karena UDP tidak memiliki bidang yang berkaitan dengan three-way handshake di TCP. Setiap transfer data yang terjadi harus ditangani oleh layer aplikasi.
Catat hasil Wireshark pada table dibawah ini:
| Frame size | 51 |
| Source MAC address | d4:61:9d:25:24:76 |
| Destination MAC address | (e8:f2:e2:2e:2d:46:15) |
| Source IP address | 192.168.2.100 |
| Destination IP address | 192.168.2.1 |
| Source port | 34776 |
| Destination port | 53 |
Apakah alamat IP sumber sama dengan alamat IP PC lokal Anda simpan di Bagian 1? sama
Apakah alamat IP tujuan sama sebagai default gateway yang dicatat dalam Bagian 1? sama
9.5.3 Periksa UDP mengunakan respon DNS
Pada langkah ini, Anda akan memeriksa paket respon DNS dan memverifikasi bahwa paket respon DNS juga menggunakan UDP.
1. Dalam contoh ini, frame 6 adalah paket respon DNS yang sesuai. Perhatikan jumlah byte pada wire adalah 170. Ini adalah paket yang lebih besar dibandingkan dengan paket query DNS.
2. Dalam frame Ethernet II untuk respon DNS, perangkat mana yang merupakan sumber MAC address dan perangkat yang sebagai tujuan MAC address?
Apple_25:24:76 (d4:61:9d:25:24:76)
LgInnote_2d:46:15 (e8:f2:e2:2d:46:15)
___________________________________________________________________________________
3. Perhatikan sumber dan alamat IP tujuan dalam paket IP. Apa tujuan alamat IP? Apa alamat IP sumber?
Tujuan IP address: Apple_25:24:76 (d4:61:9d:25:24:76) SumberIP address: gInnote_2d:46:15 (e8:f2:e2:2d:46:15) Apa yang terjadi dengan peran sumber dan tujuan untuk lokal host dan gateway default?
Pada Response,host sebagai destination, dan Getway sebagai source
___________________________________________________________________________________
4. Di segmen UDP, peran nomor port juga terbalik. Nomor port tujuan adalah 60868. Nomor port 60868 adalah port yang sama yang dihasilkan oleh PC lokal ketika query DNS dikirim ke server DNS. PC lokal Anda mendengarkan respon DNS pada port ini.
Nomor port sumber 53. DNS server mendengarkan permintaan DNS pada port 53 dan kemudian mengirimkan respon DNS dengan nomor port sumber 53 kembali ke pencetus query DNS.
Ketika respon DNS diperluas, perhatikan alamat IP yang diselesaikan untuk www.google.com di bagian Answers.
Label :
Tutorial,
Subscribe to:
Post Comments (Atom)
0 comments