Network Traffic Monitoring
 

در این قسمت یک نمونه مثال از ترافیک بین دوسیستم در شبکه را بصورت Step-by-Step مرور می کنیم

در مثال زیر دو سیستم یکی WinXP می باشد و دومی یک Linux می باشد .در اینجا از نرم افزار Ethereal موجود

بر روی سیستم Linux Fedora2 استفاده می کنیم برای Monitor کردن ترافیک شبکه .

این نرم افزار بخوبی تمامی Link Layer Frame های موجود درشبکه را Monitor می کند .

در بخش اول  سیستم LinuxServ دستور Ping 192.168.0.62 را اجرا می کند .

از این بخش به بعد کمی ریز تر می شویم تا Ping Process را توسط سیستم Linux مشاهده کنیم .

Description: Samba Server (Linux Fedora 2), Hostname: LinuxServ, Windows XP, Hostname: UPS.MS
Figure 1: Network Infrastructure
Description: Samba Server (Linux Fedora 2), Hostname: LinuxServ,
Windows XP, Hostname: UPS.MS
 

Ping Process

سیستم مبدا یعنی سیستمی که فرمان را اجرا کرده قبل از ارسال ICMP Packet مورد نظر دستور Ping باید اول

Mac Address مربوط به Address 192.168.0.62 را بدست آورد در اینجا ARP شروع به فعالیت

می کند در شکل Figure 2 مشاهده می کنید که Frame 36 مربوط به ARP  می باشد که سیستم مبدا بصورت

مستقیم  برای مقصد خود  ارسال می کند.برای اطلاعات بیشتر به قسمت ARP در بخش TCPIP مراجعه کنید .

Figure 2: Ping Process Step1(Arp Request"0x0001")

Figure 2: Ping Process Step1(Arp Request"0x0001")

در قسمت پایین شکل Figure 2 می توانید مشاهده کنید که Seder MAC و Sender IP Address که همان

سیستم LinuxServ می باشد یک ARP Request ارسال می کند به Address 192.168.0.62 برای بدست آوردن

Mac Address آن. در اینجا Frame چون آدرس  MAC 00:00:00:00:00:00 دارا می باشد متوجه می شویم که

MAC را نمی داند یعنی درلیست ARP Cache خود برای این آدرس MAC Address ندارد .پس در نتیجه ARP Request

را ارسال می کند.

در شکل Figure 3 شما جواب یا ARP Reply را مشاهده می کنید که سیستم LinuxServ دریافت می کند .

تذکر :Frame در لایه دو شبکه می باشد و  ARP موجود در Frame در لایه سه شبکه فعالیت می کند .

برای مشاهده تمامی Protocol های شبکه با فعالیت آنها در لایه های مختلف شبکه شما می توانید یک فایل PDF بنام OSIReference.pdf را در

Internet پیدا کنید در این فایل بسیار جالب لایه های شبکه با Protocol های مربوط به هر لایه شرح داده شده.

Figure 3: Ping Process Step2(Arp Reply"0x0002")
Figure 3: Ping Process Step2(Arp Reply"0x0002")

در اینجا مرحله دوم ARP را مشاهده می کنید .

ARP Reply در این قسمت که در Frame 37 می باشد سیستم Windows XP جواب

را مستقیما و یا  Direct  به LinuxServ ارسال کرده .MAC Address ها دارای یک سری قوانین می باشند یکی از آنها

شماره های ابتدایی آنها می باشد برای مثال همانند شکل Figure 3 شما می بینید که Application تشخیص داده که

Sender MAC برای D-link می باشد  Target MAC برای AsusTekC می باشد .در قسمت زیر لیستی از MAC های مشخص شده را می بینید.

  MAC Address List

 

در Frame 37 سیستم Windows XP در جواب MAC Address خود را برای LinuxServ ارسال کرده

شما می توانید در قسمت ARP و در چهار خط پایانی این موارد را مشاهده کنید در شکل Figure 3.

در شکل Figure 3 می توانید  Frame 38 را مشاهده کنید که از نوع ICMP  می باشد که درخواست Echo Ping Request را

در بر دارد .سیستم بعد از دو مرحله ARP و بدست آوردن MAC Address سیستم مقصد می تواند ICMP Packet را به MAC آدرس مقصد

ارسال کند .

 
RIPV1

در این میان سیستم Windows XP یک درخواست مبنی بر مشخص شدن Routing Table خود در شبکه بصورت

Broadcast ارسال می کند برای Local Subnet خود که در شکل Figure 4 می توانید این Frame 12 را مشاهده کنید مشخص می باشد

که این مورد قبل از دستور Ping که در بالا شرح داده شد رخ داده .

 
Figure 4: RIPv1 Request

Figure 4: RIPv1 Request

همانند شکل Figure 4 سیستم مبدا یا ارسال کنند Windows XP با IP Address 192.168.0.62 می باشد .

که به آدرس مقصد IP Address 192.168.0.255 که همان Broadcast مربوط به Local Subnet می باشد یک درخواست

ارسال کرده تا اگر Router وجود دارد این Broadcast را دریافت کرده و جواب دهد.این درخواست به Port UDP-520 ارسال می شود .

 
 
Browser Service

در Frame 17 سیستم Windows XP یک Broadcast به شبکه ارسال می کند توسط Browser Service خود برای

عمل Browser Announcement این عمل را  اول  برای Workgroup خود انجام می دهد سپس برای دیگر Domain ها و..

معمولا هر 12 دقیقه این کار را سیستم انجام می دهد و بصورت Broadcast برای Local Subnet خود ارسال می کند .

برای اطلاعات بیشتر در مورد Browser Announcement به این بخش در Part 2 مراجعه کنید .

 
Figure 5: Browser Announcement

Figure 5: Browser Announcement

در اینجا همانند شکل Figure 5 سیستم Windows XP با ارسال یک Frame از نوع Browser Service به

آدرس مقصد IP Address 192.168.0.255 که همان آدرس Broadcast موجود در Subnet می باشد این عمل را انجام می دهد .

در قسمت NetBIOS Datagram Service در شکل Figure 5 نام خود را که UPS می باشد معرفی می کند به عنوان یک Resource .

Name Type Usage
00 Unique Workstation
00 Group Domain
01 Unique Messenger Service
01 Group Master Browser
03 Unique Logon Name/Computer Name /Messenger Service
20 Unique Server   UPS<20>
2F Group Lotus Notes
33 Group Lotus Notes
1B Unique Domain Master Browser
1C Group Domain Controllers
1E Group Browser Service Elections

Table 1 Explanations of NetBIOS Types

معمولا سیستم ها از UDP Port 137-138 برای این مورد استفاده می کنند این Broadcast اگر به Router برسد و از

آن نتواند عبور کند شبکه های دو طرف Router از نام Workgroup ها و Domain های یکدیگر و نیز Host موجود در آنها

بی خبر می مانند .

 
 

در Figure 6 سیستم LinuxServ که عضو Domain بنام EnterPrise.com می باشد خود را به عنوان یک Resource در این

Domain معرفی می کند و تلاش می کند چون Master Browser در Domain پیدا نمی کند خود را بعنوان یک Master Browser کاندید کند .

زمانی که در یک Subnet و یا Domain یک Master Browser وجود نداشته باشند بهترین سیستم از نظر قدرت و ... به عنوان Master Browser

انتخاب یا Elect می شود .

 
Figure 6: Browser Elections

Figure 6: Browser Elections

در اینجا LinuxServ با ارسال این Broadcast این Election را شروع می کند برای انتخاب بهترین سیستم برای

انتخاب شدن بعنوان Master Browser در شبکه .

 

در Figure 7 سیستم Linux خود را به عنوان Master Browser Server معرفی می کند به سرویس MSBrowser

سیستم LinuxServ دارای دو IP Address می باشد و Interface دوم این سیستم دارای IP Address : 192.168.0.254

می باشد که در این قسمت Browser از این آدرس استفاده کرده.

Figure 7: Master Browser Elected

Figure 7: Master Browser Elected

Last Updated: October 01, 2006

Winteacher.com
Network Traffic Monitoring

 © 2003-2006 Winteacher.com . All rights reserved