Klausur 2

• Alle Caches löschen (ARP-Cache, DNS-Cacheo) - bzw. sorgen, dass keine Altdaten vorhanden sind

• Trigger für das Protokoll setzen, bspw ICMP oder auch andere

• den richtigen Netzwerkapdater wählen

• sauber Mitschneiden

• beim Herausuchen gezielt Filter nutzen

• Auf Auffäligkeiten achten

• Mitschnitt sauber darstelllen

• Discover C: Layer 2 und 3 Broadcast source 0.0 -> Desti FF:mal 6

  Boot Request 1, eigene Transaction ID für den Vorgang, Client iP und Your Client-iP, client ip setzt der Client, z. B. wenn er sich nochmal verbindet und your Client Ip der Server, wenn er den Client eien Ip gibt. dann folgt der DHCP-Cookie, gibt dabei an, dass DHCP startet, es folgen die DHCP-Optionen, wie MessageTyp, Hostname und Parameter Request (iP, Time und co).. findet DHCP-Server und fordert iP an

• Offer: Type: Boot Reply (2), Server trägt bei your-client ip was ein

• und übermittelt die angefragen Optionen im Cookie, als Detail, hier Typ Offer, als UniCast wichtig, schlägt iP vor

• Request: Broadcast: Fragt die iP an, bei IP-Adresse steht nichts auch bei Server; bei Cookie Type Request der iP-Adresse von Client

• DHCP Ack(Server): Unicast Your-Server-iP von Client, also Ack und die Parameter dazu nochmal

Port-Client: 67 -> Port Client 68

DNS query -> for for name, kann endweder ipv4 oder v6 sein aaaa, fragt zu einen namen eine Domain ab, hat dabei transaction id für den vorgang. Übermittel als Flag Domain und Type

Antwortet mit der gleichen Transaction ID und Answer RRs. mit der Querry also der Frage und dan der Antwort, wie die Domain und die iP wiederholt wird

• SYN: Zufällige SequenceNummer Client oder Server, Client klopft an und startet den Syn

• SYN-Ack: SequenceNummer wird zur Ack-Number und Server haut Synnummer dazu eigene, Ack Nummer wird um eine Zahl erhöht, damit Client weiß, dass angekommen ist

• Ack vom Client: SequenceNummer und co werden beide wieder getauscht und die vom Server vom eins erhöht Verbindung steht

• Dannach TCP und HTTP als Unterbau. Dabei HTTP fragt die Methode und die URL ab mit der Version und Parameter wie Browser und co

• Der Server antwortet -> Schick Ack-Packet erst und dann

• Ack Nummer steigt dabei um die des Datenpaketes von davor

  -> Antwortet mit HTTP Code 200 Okay und den HTML Text-Dateien

• Client schick wieder Ack-Paket

-> bei größeren Datein folgt nicht nach jedem Paket ein Ack, sondern nach folgenden Schemen:

1. Delayed ACKs -> Empfänger wartet kurz ob mehrere Daten kommen, oder packt das Paket an andere mit dran (-> piggybacking)

2. Cumulative Ack -> einziges Ack kann Empfang von mehreren Pakten bestätigen

3. TCP Window Size -> legt fest wie viel der Sender schicken darf, bevor Ack nötig ist

-> TCP Teardown

1. FIN vom Client oder Server ausgehend, möchte keine Daten mehr übertragen

2. Fin Ack Server bestätigt erhalt des FIN-Pakete und der Server erhöht die Sequenznummer um 1

3. Gegenüberliegender Client sendet nun auch FIN-Paket

4. wird bestätigt durch Gegenteilnehmer Sequenznummer wird um eine Nummer erhöht

5. 
   

-> Um MAC-Adressen herauszufinden

Ablauf:

1. ARP Request: Sender Mac und iP und Target MAC und IP, dabei Target-IP fest, aber Layer2 Broadcast fragt nach MAC -> iP

2. ARP-Reply: Sender MAC, iP und Target MAC und iP, Partner fühlt also die Daten aus

Anfrage: Type 8 (ping request): dabei Identifer ist Seassion ID

und Sequence-Number -> Ping Zähler

Dazu noch Randomdaten, in 32 Bytes Windows oder 64 Linux

Reply -> Echo Ping reply, mit selben Identifer und der selben Sequencenumber da Antwort, Plus die gesendeten Radomdaten