1 00:00:00,000 --> 00:00:08,000 Was passiert also, wenn A jetzt ein Remote-Gerät in einem separaten Subnetz pingen möchte? 2 00:00:08,000 --> 00:00:11,000 Also jetzt zum Beispiel A mit IP-Adresse 10. 1. 1. 1 Möchte das 3 00:00:11,000 --> 00:00:17,000 Gerät B mit der IP-Adresse 10 anpingen. 1. 2 1 In diesen 4 00:00:17,000 --> 00:00:21,000 Beispielen werde ich über ICMP oder Ping-Verkehr sprechen, aber 5 00:00:21,000 --> 00:00:23,000 etwas ähnliches würde passieren, 6 00:00:23,000 --> 00:00:27,000 wenn Sie HTTP-, FTP- oder anderen Datenverkehr senden. 7 00:00:27,000 --> 00:00:33,000 Wichtig ist hierbei zu beachten, dass sich diese Geräte in separaten Subnetzen befinden. In 8 00:00:33,000 --> 00:00:36,000 dieser Topologie verwenden wir eine / 24-Maske. 9 00:00:36,000 --> 00:00:41,000 Host A befindet sich also nicht in demselben Subnetz wie Host B. 10 00:00:41,000 --> 00:00:44,000 Jetzt prüft der PC zunächst, ob sich 11 00:00:44,000 --> 00:00:49,000 die IP-Adresse, mit der er zu kommunizieren versucht, in einem separaten Subnetz 12 00:00:49,000 --> 00:00:52,000 oder in demselben Subnetz befindet wie er. 13 00:00:52,000 --> 00:00:57,000 Dies geschieht durch ein logisches Ende mit der Netzwerkmaske. 14 00:00:57,000 --> 00:01:00,000 In diesem Fall haben wir / 24 mask die IP-Adresse von PC 15 00:01:00,000 --> 00:01:04,000 A ist 10. 1. 1. 1 und es wird versucht, 16 00:01:04,000 --> 00:01:09,000 eine IP-Adresse mit einem Ping zu senden 10. 1. 2 1/24 in gepunkteter 17 00:01:09,000 --> 00:01:15,000 Dezimalschreibweise sieht wie folgt aus. 255. 255. 0 Was bedeutet, 18 00:01:15,000 --> 00:01:19,000 dass der Netzwerkteil die ersten 3 Oktette der Adresse ist. 19 00:01:19,000 --> 00:01:24,000 Also der lokale PC 10. 1. 1. 1 vergleicht den Netzwerkteil mit 20 00:01:24,000 --> 00:01:28,000 dem Gerät, mit dem es zu kommunizieren versucht, um zu prüfen, ob das Gerät lokal oder fern ist. 21 00:01:28,000 --> 00:01:32,000 In diesem Fall unterscheidet sich der Netzwerkteil der Adresse. 22 00:01:32,000 --> 00:01:38,000 Der lokale PC weiß also, dass sich das entfernte Gerät in einem anderen Subnetz befindet als 23 00:01:38,000 --> 00:01:43,000 es selbst ist, und sendet den Datenverkehr an sein Standard-Gateway, um zu dem 24 00:01:43,000 --> 00:01:47,000 entfernten Subnetz zu gelangen, in dem sich das Gerät befindet. 25 00:01:47,000 --> 00:01:50,000 In diesem Beispiel gehen wir nun davon aus, dass auf 26 00:01:50,000 --> 00:01:52,000 Gerät A ein Standard-Gateway konfiguriert ist. 27 00:01:52,000 --> 00:01:57,000 Das Gerät A wurde also mit dem Standard-Gateway des Routers 28 00:01:57,000 --> 00:02:03,000 10 konfiguriert. 1. 1. So prüft der PC 29 00:02:03,000 --> 00:02:05,000 zuerst, ob sich die MAC-Adresse des Routers 30 00:02:05,000 --> 00:02:08,000 im lokalen ARP-Cache befindet. Er tut dies, weil er den Datenverkehr 31 00:02:08,000 --> 00:02:11,000 an den Router senden muss, um zum Remote-Gerät zu gelangen. 32 00:02:11,000 --> 00:02:14,000 Und da dies ein Ethernet-Segment ist, ist für die Kommunikation 33 00:02:14,000 --> 00:02:16,000 eine MAC-Adresse der Schicht 2 erforderlich. 34 00:02:16,000 --> 00:02:20,000 Ethernet erfordert wiederum, dass die MAC-Adresse auf Schicht 2 für 35 00:02:20,000 --> 00:02:23,000 die Übertragung über ein Ethernet-Netzwerk verwendet wird. 36 00:02:23,000 --> 00:02:27,000 In der Schicht 2 ist also eine Mac-Adresse für den PC erforderlich, bei der der PC mit 37 00:02:27,000 --> 00:02:32,000 dem Standard-Gateway 10 konfiguriert wurde. 1. 1. 100 ist eine 38 00:02:32,000 --> 00:02:35,000 IP-Adresse in Schicht 3, aber die MAC-Adresse des 39 00:02:35,000 --> 00:02:38,000 Standard-Gateways wäre auf dem PC nicht konfiguriert worden. 40 00:02:38,000 --> 00:02:41,000 Daher hat der lokale PC keinen Eintrag für 41 00:02:41,000 --> 00:02:43,000 die MAC-Adresse des Standard-Gateways Senden 42 00:02:43,000 --> 00:02:47,000 Sie eine Sendung an das Segment und fragen Sie, wer die 43 00:02:47,000 --> 00:02:52,000 IP-Adresse 10 hat. 1. 1. Mit anderen 44 00:02:52,000 --> 00:02:55,000 Worten, dies ist eine ARP-Anfrage, die nach 45 00:02:55,000 --> 00:02:59,000 der MAC-Adresse sucht, die der IP-Adresse des Standard-Gateways zugeordnet ist. 46 00:02:59,000 --> 00:03:04,000 Wenn der Hub den Broadcast empfängt, wird er von allen Ports mit Ausnahme der Ports geflutet, 47 00:03:04,000 --> 00:03:06,000 an denen er angekommen ist. PC 48 00:03:06,000 --> 00:03:09,000 C empfängt den Broadcast auf Layer 2, aber wenn 49 00:03:09,000 --> 00:03:12,000 er die Layer 3-Informationen liest, wird dies ein ARP 50 00:03:12,000 --> 00:03:18,000 für 10 sein . 1. 1. 100 ist nicht seine IP-Adresse. 51 00:03:18,000 --> 00:03:22,000 Daher wird PC C die ARP-Anfrage löschen. 52 00:03:22,000 --> 00:03:25,000 Der Router verarbeitet jedoch die ARP-Anfrage. 53 00:03:25,000 --> 00:03:28,000 Erstens empfängt er den Datenverkehr in 54 00:03:28,000 --> 00:03:33,000 Schicht 2, da dies ein Broadcast ist. Wenn er die Informationen der Schicht 55 00:03:33,000 --> 00:03:37,000 3 liest, wird dies eine ARP-Anforderung für seine IP-Adresse sein. 56 00:03:37,000 --> 00:03:44,000 Der Router antwortet daher mit einer ARP-Antwort auf eine A-ARP-Anfrage vom PC. 57 00:03:44,000 --> 00:03:49,000 Die ARP-Antwort ist eine Unicast-Adresse, dh die Quell-MAC-Adresse ist G 58 00:03:49,000 --> 00:03:53,000 die MAC-Adresse des Routers, die Ziel-MAC-Adresse ist. Eine 59 00:03:53,000 --> 00:03:55,000 Quell-IP-Adresse ist die 60 00:03:55,000 --> 00:03:59,000 IP-Adresse des Routers. Die Ziel-IP-Adresse ist eine IP-Adresse. 61 00:03:59,000 --> 00:04:02,000 Der Hub wird den Verkehr aller Ports außer dem 62 00:04:02,000 --> 00:04:05,000 Hafen, an dem er angekommen ist, erneut überfluten. 63 00:04:05,000 --> 00:04:08,000 C lässt den Rahmen fallen, weil er nicht für sich selbst bestimmt ist. 64 00:04:08,000 --> 00:04:11,000 Beachten Sie in dem Frame, dass die Ziel-MAC-Adresse A ist, aber 65 00:04:11,000 --> 00:04:14,000 die MAC-Adresse des PCs ist C, daher wird der Frame gelöscht. 66 00:04:14,000 --> 00:04:18,000 Wichtig ist, dass die Netzwerkkarte den 67 00:04:18,000 --> 00:04:23,000 Frame und nicht die zentrale CPU des PCs verliert. 68 00:04:23,000 --> 00:04:28,000 A wird den Frame empfangen und bei einem Empfang wird der Frame verarbeitet, 69 00:04:28,000 --> 00:04:30,000 da die Ziel-MAC-Adresse selbst ist. 70 00:04:30,000 --> 00:04:35,000 In Layer 2 wird der Frame also von der NIC oder Network Interface Card akzeptiert. 71 00:04:35,000 --> 00:04:35,000 Die Informationen der Schicht 2 werden abgehackt und an High-Layer-Protokolle weitergeleitet. 72 00:04:35,000 --> 00:04:44,000 Da dies eine ARP-Antwort ist, wird der Prozess durch High-Layer-Protokolle beantwortet, und der ARP-Cache wird mit der MAC-Adresse 73 00:04:44,000 --> 00:04:51,000 des Routers aktualisiert. PC A hat nun eine Zuordnung, die besagt, dass die IP-Adresse 74 00:04:51,000 --> 00:04:57,000 10 lautet. 1. 1. 100 verwendet die MAC-Adresse 75 00:04:57,000 --> 00:05:02,000 G, dies ist also wichtig, da PC A weiß, dass die IP-Adresse 76 00:05:02,000 --> 00:05:05,000 10. 1. 1. 100 ist der MAC-Adresse G zugeordnet. 77 00:05:05,000 --> 00:05:13,000 Der PC kann also Verkehr an das Netzwerk senden, das für den entfernten PC 10 bestimmt ist. 1. 2 1 mit der Quell-IP-Adresse auf 78 00:05:13,000 --> 00:05:18,000 10 eingestellt. 1. 1. 1 selbst, 79 00:05:18,000 --> 00:05:22,000 beachten Sie jedoch bitte, dass die Quell-MAC-Adresse der lokale 80 00:05:22,000 --> 00:05:25,000 PC und die Ziel-MAC-Adresse der Router ist. 81 00:05:25,000 --> 00:05:31,000 Der Layer-2-Frame geht an den Router und daher enthalten die 82 00:05:31,000 --> 00:05:35,000 Layer-2-Informationen die MAC-Adressen des lokalen Segments. 83 00:05:35,000 --> 00:05:39,000 Quell-MAC-Adresse des PCs, Ziel-MAC-Adresse des Routers. 84 00:05:39,000 --> 00:05:44,000 Die Informationen der Schicht 3 enthalten die Ziel-IP-Adresse des 85 00:05:44,000 --> 00:05:48,000 Remote-Hosts und die IP-Adresse des lokalen PCs. 86 00:05:48,000 --> 00:05:54,000 Der Hub überschwemmt den Frame sowohl nach c als auch zu G, C löscht den 87 00:05:54,000 --> 00:05:57,000 Frame, da die Ziel-MAC-Adresse nicht selbst der Router 88 00:05:57,000 --> 00:06:00,000 den Frame auf Layer 2 empfängt, da 89 00:06:00,000 --> 00:06:03,000 er an seine MAC-Adresse G bestimmt ist. 90 00:06:03,000 --> 00:06:07,000 Es entfernt dann die Informationen der Schicht 2 und liest 91 00:06:07,000 --> 00:06:10,000 die Informationen der Schicht 3 im Paket. 92 00:06:10,000 --> 00:06:13,000 Schauen wir uns nun ein 93 00:06:13,000 --> 00:06:18,000 praktisches Beispiel an, in dem der Verkehr in Wireshark 94 00:06:18,000 --> 00:06:24,000 erfasst wird. Ich beginne mit der Aufnahme und dann werde 95 00:06:24,000 --> 00:06:29,000 ich ping hp. Wenn die DNS-Auflösung 96 00:06:29,000 --> 00:06:34,000 stattgefunden hat, hat die ICMP-Nachricht ein Zeitlimit, weil eine 97 00:06:34,000 --> 00:06:38,000 Firewall die ICMP-Nachrichten an diesen Server blockiert. 98 00:06:38,000 --> 00:06:43,000 Hier ist ein weiteres Beispiel: Ping Google com. 99 00:06:43,000 --> 00:06:48,000 Hinweis-Pings sind erfolgreich, daher bringe ich die Erfassung ab. 100 00:06:48,000 --> 00:06:52,000 HP verwendete eine IP-Adresse im Bereich 15. 101 00:06:52,000 --> 00:06:55,000 Schauen wir uns also den ICMP-Verkehr an. Beachten Sie, dass eine 102 00:06:55,000 --> 00:06:58,000 ICMP-Nachricht an hp gesendet wird. com und Sie 103 00:06:58,000 --> 00:07:01,000 können das sehen, weil die Adresse 15 ist. 104 00:07:01,000 --> 00:07:05,000 Und HP besitzt den 15 IP-Adressbereich. 105 00:07:05,000 --> 00:07:10,000 Wir haben keine Antwort vom Server erhalten, aber die Echoanfrage wurde gesendet. 106 00:07:10,000 --> 00:07:14,000 Ich möchte, dass Sie sehen, dass auf der Schicht 107 00:07:14,000 --> 00:07:16,000 2 die Quell-MAC-Adresse mein 108 00:07:16,000 --> 00:07:20,000 lokaler PC ist, die Ziel-MAC-Adresse jedoch mein lokaler Router. 109 00:07:20,000 --> 00:07:26,000 Beachten Sie, dass dies ein Cisco-Gerät ist, da die MAC-Adresse für die 110 00:07:26,000 --> 00:07:31,000 OUI oder den Anbieterteil der Adresse als Cisco angezeigt wird. 111 00:07:31,000 --> 00:07:34,000 Wir können sehen, dass diese MAC-Adresse durch 112 00:07:34,000 --> 00:07:38,000 Eingabe von arp-a die MAC-Adresse ist, die der IP-Adresse 10 113 00:07:38,000 --> 00:07:43,000 zugeordnet ist. 0 0 254 IP config 114 00:07:43,000 --> 00:07:46,000 zeigt uns, dass dies die IP-Adresse des Standard-Gateways ist. 115 00:07:46,000 --> 00:07:50,000 Der Verkehr geht also von meinem lokalen PC zu HP. com, aber es 116 00:07:50,000 --> 00:07:53,000 wird von meinem lokalen Router weitergeleitet. 117 00:07:53,000 --> 00:07:56,000 In Schicht 3 haben wir die IP-Adresse 118 00:07:56,000 --> 00:08:00,000 des lokalen PCs, die Ziel-IP-Adresse ist hp, aber in Schicht 119 00:08:00,000 --> 00:08:03,000 2 ist die Quell-MAC-Adresse mein PC und 120 00:08:03,000 --> 00:08:06,000 die Ziel-MAC-Adresse ist der lokale Router. 121 00:08:06,000 --> 00:08:13,000 Und noch einmal den Verkehr zu meinem lokalen Standard-Gateway in Schicht 2 senden. 122 00:08:13,000 --> 00:08:18,000 Ich kann das Wireshark-Capture so filtern, dass wieder nur ICMP-Verkehr angezeigt wird. 123 00:08:18,000 --> 00:08:23,000 Hier geht der Datenverkehr an Google. Die Quell-IP-Adresse des lokalen Computers ist 124 00:08:23,000 --> 00:08:27,000 die Ziel-IP-Adresse des lokalen Computers. Google ist jedoch auf 125 00:08:27,000 --> 00:08:30,000 Layer 2 angegeben. Die Quell-MAC-Adresse ist 126 00:08:30,000 --> 00:08:35,000 mein lokaler PC und die Ziel-MAC-Adresse ist wieder der lokale Router.