1 00:00:00,000 --> 00:00:02,000 Diamo un'occhiata ad un esempio più completo. 2 00:00:03,000 --> 00:00:11,000 In questo esempio, l'host A avvia una sessione con la porta di origine di 1024 in una porta di destinazione di 3 00:00:12,000 --> 00:00:14,000 23, in altre parole telnet. 4 00:00:15,000 --> 00:00:20,000 L'host A invia 10 byte di dati e un numero di sequenza iniziale di 10. 5 00:00:21,000 --> 00:00:26,000 L'host B conferma la ricezione dei 10 byte inviando un numero 6 00:00:27,000 --> 00:00:30,000 di riconoscimento a A di 11. 7 00:00:31,000 --> 00:00:35,000 L'host B in questo esempio, imposta anche il suo numero di sequenza iniziale su 5. 8 00:00:40,000 --> 00:00:47,000 si prega di notare anche che i numeri di porta sono invertiti la porta di origine per il traffico che va da B ad A è 23 e la porta di destinazione è 1024. 9 00:00:48,000 --> 00:00:51,000 In questo esempio, perché stiamo usando una finestra scorrevole 10 00:00:52,000 --> 00:00:55,000 A può inviare 250 byte di dati, per esempio. 11 00:00:56,000 --> 00:00:59,000 Quindi nota che il numero di sequenza è incrementato a 260. 12 00:01:00,000 --> 00:01:03,000 Negli esempi precedenti, abbiamo utilizzato numeri semplici per le dimensioni della finestra di 13 00:01:04,000 --> 00:01:08,000 1 o dimensione di finestra di 3, ma si noti che in realtà le dimensioni della finestra 14 00:01:09,000 --> 00:01:12,000 sono impostate sulla quantità di dati che possono essere trasmessi in byte. 15 00:01:13,000 --> 00:01:18,000 Quindi questo potrebbe non essere facile da leggere come le sequenze di 1, 2 e 3. 16 00:01:23,000 --> 00:01:28,000 ricezione di dati fino alla sequenza 5 e confermando così la sequenza numero 6. 17 00:01:29,000 --> 00:01:31,000 Le porte di origine sono di nuovo rotonde, 18 00:01:32,000 --> 00:01:35,000 quindi la porta di origine è 1024 e la porta di destinazione è 23. 19 00:01:36,000 --> 00:01:43,000 Ora l'host B sta riconoscendo per il numero di sequenza 261 ricordare A invia 10 byte e 20 00:01:44,000 --> 00:01:48,000 i 250 byte quindi in altre parole 260 byte 21 00:01:49,000 --> 00:01:50,000 di dati. 22 00:01:51,000 --> 00:01:57,000 B sta inviando il numero di sequenza 6 e ancora una volta i numeri di porta sono invertiti. 23 00:01:58,000 --> 00:02:02,000 È molto importante capire come funzionano le porte di origine e 24 00:02:07,000 --> 00:02:14,000 di destinazione. Quindi, in quella nota non c'è niente di meglio che mostrarti un esempio del mondo reale usando Wireshark. 25 00:02:15,000 --> 00:02:18,000 Quindi acquisirò il traffico sulla mia 26 00:02:19,000 --> 00:02:27,000 rete e quindi andrò ad esempio su google. com con il mio browser web. 27 00:02:28,000 --> 00:02:41,000 Tornerò su Wireshark e interromperò l'acquisizione, ecco un esempio è la query DNS. 28 00:02:42,000 --> 00:02:48,000 Quindi abbiamo l'host 10. 0. 0. 1 che è 29 00:02:49,000 --> 00:02:53,000 la mia macchina un portatile Dell, interrogando il server DNS. 30 00:02:54,000 --> 00:03:01,000 Al livello 2, è possibile vedere che la sorgente è la mia macchina Dell che va al mio router Cisco. 31 00:03:02,000 --> 00:03:07,000 Questo è un frame Ethernet 2 e si prega di notare il campo del tipo. 32 00:03:08,000 --> 00:03:15,000 Al livello 2 come detto, il campo tipo specifica il protocollo al livello 3. 33 00:03:16,000 --> 00:03:24,000 In questo caso, 0x0800 in esadecimale specifica che il protocollo di livello 3 è IPv4. 34 00:03:25,000 --> 00:03:32,000 Sul livello 3 è possibile vedere l'indirizzo IP di origine e l'indirizzo IP di destinazione. 35 00:03:33,000 --> 00:03:40,000 Il mio PC e il server DNS, puoi vedere che questo è IPv4, puoi vedere che la 36 00:03:41,000 --> 00:03:44,000 lunghezza dell'intestazione è di 20 byte. 37 00:03:45,000 --> 00:03:51,000 I codici DSCP o Servizi differenziati non vengono utilizzati in questo avviso 38 00:03:52,000 --> 00:03:58,000 di esempio ECN che ha a che fare con la notifica di 39 00:04:02,000 --> 00:04:14,000 congestione esplicita che ho menzionato brevemente quando si parla dell'intestazione TCP. 42 Quello che mi piacerebbe che tu vedessi qui è notare che il protocollo a livello 40 00:04:15,000 --> 00:04:22,000 4 è UDP che i valori in esadecimale, quindi 11 in esadecimale è uguale a 17 il numero di 41 00:04:23,000 --> 00:04:26,000 protocollo ancora una volta per UDP è 17. 42 00:04:27,000 --> 00:04:32,000 Quindi, al livello 4, possiamo vedere che viene utilizzato User Datagram Protocol o UDP. 43 00:04:33,000 --> 00:04:38,000 La porta di origine è 62249, in altre parole, una porta dinamica o effimera che 44 00:04:39,000 --> 00:04:43,000 raggiunge una porta di destinazione di 53 in altre parole DNS. 45 00:04:44,000 --> 00:05:01,000 Possiamo vedere i numeri di porta ancora una volta, e aprendo la query DNS possiamo vedere 46 00:05:02,000 --> 00:05:17,000 che si trattava di una query, alla ricerca di un indirizzo host specifico. 47 00:05:18,000 --> 00:05:29,000 Qui abbiamo una risposta DNS dal server DNS al mio host. 48 00:05:30,000 --> 00:05:34,000 Quindi, ancora una volta, molto rapidamente al livello 2 puoi vedere che il campo 49 00:05:35,000 --> 00:05:37,000 tipo indica il protocollo al livello 3. 50 00:05:38,000 --> 00:05:49,000 Al livello 3, il campo del protocollo, ci dice quale protocollo è usato al livello 51 00:06:00,000 --> 00:06:09,000 4 Ecco un'altra richiesta DNS dal mio host al server DNS. 52 00:06:10,000 --> 00:06:14,000 E se apriamo le informazioni sulla query DNS puoi vedere che si 53 00:06:15,000 --> 00:06:19,000 tratta di una query per google. it ed è una 54 00:06:20,000 --> 00:06:26,000 query host, avviso tipo A, il server DNS risponde e avviso nella risposta, 55 00:06:27,000 --> 00:06:33,000 ci dà l'indirizzo IP di google. com Ora ecco 56 00:06:34,000 --> 00:06:41,000 l'handshake a tre vie tra la mia macchina e Google. 57 00:06:42,000 --> 00:06:44,000 Si noti che la fonte è 10. 0. 0. 1 58 00:06:45,000 --> 00:06:48,000 e la destinazione è questo indirizzo IP che è Google. 59 00:06:58,000 --> 00:07:00,000 Notare che la porta di origine è 58313 destinazioni è 80 in altre parole sto aprendo una connessione web a un server web. 60 00:07:01,000 --> 00:07:06,000 Aprendolo, è possibile visualizzare nuovamente i numeri di porta di origine e di destinazione, ma 61 00:07:07,000 --> 00:07:10,000 si noti che il flag impostato è SYN. 62 00:07:11,000 --> 00:07:15,000 Quindi aprendola puoi vedere che tutti gli altri 63 00:07:16,000 --> 00:07:21,000 flag o bit sono impostati su 0 tranne per il 64 00:07:22,000 --> 00:07:31,000 bit SYN e aprendolo puoi vedere, stiamo provando ad impostare una connessione al server in modo che abbiamo una 65 00:07:32,000 --> 00:07:36,000 richiesta di stabilire una connessione messaggio al server. 66 00:07:37,000 --> 00:07:45,000 Nessun altro flag è impostato. Notare che la dimensione della finestra iniziale è 67 00:07:46,000 --> 00:07:56,000 8192 e che si aprono le opzioni, è possibile vedere che MSS o Dimensione massima segmento è impostata su 1460 byte. 68 00:07:57,000 --> 00:08:04,000 La risposta di Google al mio computer sul livello 4 mostra che la porta di origine è 80 e la 69 00:08:05,000 --> 00:08:07,000 porta di destinazione è 58313. 70 00:08:08,000 --> 00:08:14,000 Aprendolo, nota che i flag impostati sono SYN ACK quindi è una 71 00:08:15,000 --> 00:08:18,000 seconda parte dell'handshake a tre vie. 72 00:08:19,000 --> 00:08:24,000 Si noti che il bit di riconoscimento è impostato e il bit 73 00:08:25,000 --> 00:08:32,000 di sincronizzazione è impostato aprendolo, si vede che è una connessione che stabilisce il riconoscimento da parte di Google. 74 00:08:33,000 --> 00:08:43,000 Si noti che la richiesta di dimensioni della finestra è 5720 e se apriamo le opzioni di avviso qui la 75 00:08:44,000 --> 00:08:47,000 dimensione massima del segmento è 1430. 76 00:08:48,000 --> 00:08:52,000 Guardando l'ultima parte della stretta di mano a tre vie, 77 00:08:53,000 --> 00:08:56,000 la mia macchina sta parlando con Google 78 00:08:57,000 --> 00:09:08,000 che apre TCP, puoi vedere che i flag impostati sono solo il bit di riconoscimento e la dimensione della finestra richiesta 64350 85 e osservando l'avviso 79 00:09:14,000 --> 00:09:18,000 di riconoscimento della sequenza si noti che questo è 80 00:09:19,000 --> 00:09:20,000 un riconoscimento. 81 00:09:21,000 --> 00:09:24,000 Tornando al primo passaggio del tremolio della mano a tre 82 00:09:25,000 --> 00:09:30,000 vie, si noti che il numero di sequenza iniziale dalla mia macchina a Google è impostato su 0. 83 00:09:31,000 --> 00:09:35,000 Passando all'intestazione TCP effettiva, notare il numero di sequenza 0. 84 00:09:36,000 --> 00:09:42,000 I google rispondono come un numero di sequenza 0 e il riconoscimento di 1. 85 00:09:43,000 --> 00:09:45,000 Come puoi vedere anche qui. 86 00:09:46,000 --> 00:09:52,000 Così ci stanno facendo sapere, il segmento successivo che si aspettano di ricevere è il segmento 1. 87 00:09:53,000 --> 00:10:00,000 Il nostro riconoscimento per loro è che stiamo inviando il numero di sequenza 1 e stiamo 88 00:10:01,000 --> 00:10:04,000 riconoscendo il numero di sequenza 1. 89 00:10:05,000 --> 00:10:08,000 Questo è quello che abbiamo discusso. 90 00:10:09,000 --> 00:10:15,000 In seguito, quando si riceve notifica di HTTP, stiamo ricevendo informazioni 91 00:10:16,000 --> 00:10:21,000 da Google sulla nostra macchina, il TCP, e 92 00:10:22,000 --> 00:10:28,000 notiamo qui, questo è un segmento TCP dell'Unità Dati Protocollo rimontata. 93 00:10:29,000 --> 00:10:31,000 In altre parole, questo è un frammento. 94 00:10:32,000 --> 00:10:41,000 Guardando il TCP, possiamo vedere le fonti HTTP e la destinazione è il nostro numero di porta. 95 00:10:42,000 --> 00:10:45,000 In altre parole, Google sta inviando il traffico 96 00:10:46,000 --> 00:10:49,000 a noi notare che il numero di 97 00:10:50,000 --> 00:10:54,000 sequenza è 2861, il prossimo numero di sequenza è 3798 98 00:10:55,000 --> 00:10:58,000 e il numero di riconoscimento è 944. 99 00:10:59,000 --> 00:11:04,000 quindi il prossimo numero di sequenza ricorda è 3798 andando alla parte 100 00:11:05,000 --> 00:11:07,000 successiva della nota di 101 00:11:08,000 --> 00:11:15,000 cattura il numero di sequenza qui è 3798 e il numero di sequenza successivo è 5228. 102 00:11:16,000 --> 00:11:19,000 E notate che c'è un riconoscimento dalla nostra macchina 103 00:11:20,000 --> 00:11:23,000 a Google che afferma che prevediamo di ricevere 5228. 104 00:11:24,000 --> 00:11:28,000 E poi alla prossima cattura puoi vedere che la sequenza numero 105 00:11:29,000 --> 00:11:32,000 5228, è stata inviata da Google a noi. 106 00:11:33,000 --> 00:11:39,000 Il prossimo numero di sequenza è 6658, che è il prossimo pezzo ricevuto. 107 00:11:43,000 --> 00:11:48,000 Avviso 6658 è il numero di sequenza ricevuto. 114 Il nostro ospite sta confermando la ricezione 108 00:11:49,000 --> 00:11:53,000 di quello e dicendo che il prossimo bit di dati da ricevere è 7894 che 109 00:11:54,000 --> 00:11:59,000 va alla prossima acquisizione, è possibile vedere che il numero di sequenza è ciò che Google ci ha inviato. 110 00:12:00,000 --> 00:12:02,000 Ora, senza annoiarvi più, spero che 111 00:12:03,000 --> 00:12:06,000 questa cattura vi dia un po 'di informazioni su ciò 112 00:12:07,000 --> 00:12:09,000 che sta realmente accadendo sul filo. 113 00:12:10,000 --> 00:12:14,000 wirehark ricorda un'applicazione gratuita che puoi scaricare, basta cercarla su internet ora ti suggerisco 114 00:12:15,000 --> 00:12:16,000 di catturare un 115 00:12:17,000 --> 00:12:19,000 po 'di traffico sulla tua macchina in 116 00:12:20,000 --> 00:12:23,000 modo che tu possa effettivamente vedere cosa sta succedendo nel sottosuolo. 117 00:12:24,000 --> 00:12:25,000 Allora, cosa abbiamo coperto? 118 00:12:26,000 --> 00:12:30,000 In questa sezione guardiamo i 2 protocolli principali che risiedono nello strato 4. 119 00:12:31,000 --> 00:12:39,000 UDP o User Datagram Protocol e TCP o Transmission Control Protocol. 120 00:12:40,000 --> 00:12:45,000 Ho spiegato i numeri di porta e quali numeri di porta sarebbero stati usati in quali scenari. 121 00:12:46,000 --> 00:12:48,000 Ho spiegato la stretta di mano a tre 122 00:12:49,000 --> 00:12:52,000 vie TCP ho spiegato la finestra e ho spiegato i numeri di sequenza. 123 00:12:53,000 --> 00:12:55,000 Grazie per aver guardato!