Zum Inhalt springen

Empfohlene Beiträge

Geschrieben

hallo ich hab auch nochmal zwei fragen:

1. nachfolgend sind einige ethernetpakete ohne crc-trailer gegeben. analysieren sie diese pakete hinsichtlich mac- und ip-adresse und bringen sie die pakete in die richtige zeitliche reihenfolge!

http://mitglied.lycos.de/kolonne7/1.jpg

mac adresse find ich da ja noch, aber wie komm ich auf die ip adresse?

2. die folgenden ethernetpaketköpfe stammen von der gleichen quelle. bestimmen sie die rahmentypen! um was für ein gerät könnte es sich handeln?

http://mitglied.lycos.de/kolonne7/2.jpg

danke

Geschrieben
Alles was 01 und 00 ist, ist IP, rest ist MAc *ggg* :)

Mal ehrlich... was lernt ihr bitte für ein Zeug zusammen :confused:

ist ne aufgabe aus ner gelaufenen abschlussprüfung!

die lösung gibt bei paket C z.B. 10.48.19.100 als ip-adresse an... kann man das da irgendwie rauslesen?

Geschrieben

Hiho

ganz schön schwere Aufgabe find ich....

dazu musst du natürlich wissen wie ein Ethernet Frame aufgebaut ist....

Zunächst kommen natürlich die dest-MAC und die Source MAC.

Jetzt kommt der Typ des Pakets 0800 ist ein IPv4 Paket, 0806 ein ARP Paket.

Jetzt musst du wissen wie ein ARP Paket aussieht welches hier eingebettet ist...

Zunächst Hardwaretyp in diesem Fall 0001 =Ethernet..Protocoll Typ 0800=IPv4...Hardware Size=06 = 6....Protocoll Size 04=4...Jetzt kommt der Opcode 0001=reguest 0002=reply

So wie man sieht kommt nun die Sender MAC Adresse nochmal und gleich danach die Sender IP Adresse, also im ersten Paket 0A 30 13 FD in Dezimal sollte das 10.48.19.253 sein...

Jetzt kommt noch Target MAC und Target IP...

Rest kannst glaub ich vergessen.

Demnach ist Paket A die Antwort auf Paket C. also ARP Request © und reply(A)

Pakete b und D sind IP Pakete

Das IP Paket beginnt gleich nach dem Typfeld, also bei 45 00 in der ersten Zeile, davor sind wieder Dest-MAC und SOURCE-MAC und der Pakettyp, 08 00 = IPv4 des EthernetFrames.

4 ist die Version also IPv4, 5 ist die Headerlänge also 20 Bytes.

Dann das TOS(Type of Service) Feld 2 Bytes lang.

Jetzt kommt die Gesamtlänge des IP Pakets, in diesem Fall 00 3C = 60 Bytes.

ID 16 bits, flags 4 bits und frameoffset 12 bits, sind in diesem Fall unwichtig insgesamt 4 Bytes...

Danach kommt die TTL(Time to live) FE = 254...Jetzt das Protokoll 01 =ICMP...

C6 00 ist die Headerprüfsumme...Ab hier kommt die Source ip 0A 30 13 FD und die Dest.IP Adresse 0A 30 13 64.

Nun reicht es eigentlich den nächsten Hexwert anzuschauen 00 ist der Echo reply, 08 der echo request... also ist Paket D die Antwort auf Paket A...

Hoffe das hilft erstmal...

Gruß

Geschrieben
ist ne aufgabe aus ner gelaufenen abschlussprüfung!

die lösung gibt bei paket C z.B. 10.48.19.100 als ip-adresse an... kann man das da irgendwie rauslesen?

hi

kann mir aber beim besten willen nicht ausmahlen, aus welcher die stammen, können nur noch aus BW sein, die anderen hab ich scho alle durch, google gibt im bezug auf diese frage auch keine klare antwort, daher :confused:

also ich würde bei dem zweiten mitschnitt auf print server tippen!

Geschrieben

Hm das letzte Paket ist wieder ein IP Paket im 2ten Bild, darin eingebettet ist ein UDP Paket...aber welcher service das ist muss ich leider passen..auf Port 35328 und das auf beiden Seiten...

Bei den 2 anderen Frames weiss ich leider nicht welcher Typ 00A6 und 001D sind...

Gruß

Geschrieben

Könnte es sein, dass diese Pakete per VLAN durch die Gegend geschickt wurden und sich der Switch hinsichtlich der Typenbeschreibung der Pakete nicht ganz an die Vorgaben hält:

Falls ein Frame an einen Switch gesendet wird, der keine Trunked Ports unterstützt, dann enthält ein angeschlossenes Endgerät einen Ethernetframe mit dem Wert 8100H im Typenfeld. Da dieser Wert keinen Sinn ergibt, wird der Frame als fehlerhaft verworfen.
Kann aber auch totaler Quatsch von mir sein :confused:.
Geschrieben

Glaube nicht, dann müsste der VLAN Header drin sein bzw der Typ 8100 sein...steht da aber nicht...

im Typfeld steht ja 00 1D bzw 00 A6....

Also ka was das sein soll...auch Google wussts irgendwie nicht...

Gruß

Geschrieben

wenn ihr die "alte" prüfung meint, da stehen zahlen über der maske vom header (am ende 31)

einfach übertragen... und nachher den wert der bei dem feld der ziel / start ip steht umrechnen in dezimal.

typ war 06 (tcp)

kann auch sein das ihr ne andere meint, aber bei der war es nur daten einfach eintragen das einzige was man falsch machen konnte waren die zusätzlichen daten wobei im text stand das es die bei dem beispiel nicht gibt.

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...