guFdnv4R

11. Инкапульсация это - включение сообщения вышестоящего уровня в сообщение нижестоящего уровня, соообщение состоит из заголовков и данных.
2        1.1 На Канальном уровня Ethernet состоит из заголовка (MAC отправителя, MAC получателя и код протокола Сетевого уровня) и данных.
3        заголовок на примере DNS протокола : MAC Src , MAC Des, код IPv4 (0x0800).
4        заголовок на примере DHCP протокола : MAC Src , MAC Des, код IPv4 (0x0800).
5
6        1.2 На Сетевом уровне состоит из заголовка (IP отправителя, IP получателя, протокол) и данных.
7        заголовок на примере DNS протокола : IP Src , IP Des , протокол UDP.
8        заголовок на примере DHCP протокола : IP Src , IP Des , протокол UDP.
9
10        1.3 На Транспортном уровне состоит из заголовка ( порт отправителя, порт получателя) и данных.
11        заголовок на примере DNS протокола : Port Src=53 , Port Des=рандомный например 55918.
12        заголовок на примере DHCP протокола : Port Src=68, Port Des=67 .
13
14        1.4 На Прикладном уровне состоит из заголовка операции которую выполняет и дополнительных полей.
15        на примере DNS протокола : Запрос на наличие записи об запрашиваемом домене (например yandex.ru), в ответ получаем IP запрашиваемого домена.
16        на примере DHCP протокола : 1 запрос отправляем броудкастом на наличие DHCP сервера, в ответ получаем юникастом выделяемый нам IP, 2 запрос отправляем броудкастом с тем что мы согласны на присвоение данного IP, в ответ получаем юникастом подтверждение на присвоение данного IP.
17
182. На примере http ресурса (http://krsk-sbit.ru/), браузером было открыто 6 соединений с портами (35978,35980,35982,35984,35988,35990), совместно с ними работало столько же TCP соединений для контроля передачи данных и отправки флагов {(SYN) (ACK)} все они соединялись с 80 портом данного ресурса. Почему было открыто именно столько соединений, для увеличения скорости загрузки страницы. После загрузки страницы с каждого исходящего порта было послано (ACK)  на 80 порт ресурса. После чего в ответ было полученно (ACK) от данного ресурса с 80 порта на каждый исходящий порт. Wireshark отслеживал запросы и ответы учитывая, что данные разбиваются на сегменты.
19
203. Принцип загрузки http страницы описан во п.2.
21        Принцип авторизации на http ресурсе:
22        2.1 Клиент выполнил запрос серверу по HTTP 'POST /login HTTP/1.1'. При этом в формах предназначенных для логина и пароля указал введенные данные в открытом виде. Сервер обработав наш запрос выдал 'HTTP/1.1 200 OK'. Выдав нам при этом html код страницы.
23        ** Данный протокол опасен тем, что в случае перехвата данного трафика или получения готового дампа. Злоумышленник может ими воспользоваться имея для этого все необходимое. Адрес ресурса, логин и пароль. А так же данные их владельца ip адрес информацию об ОС и браузере с которого производилась работа с данным ресурсом.
24
254. При работе с FTP ресурсом было замечено следующее. За весь период осуществляются соединение (TCP,FTP и FTP-DATA). TCP соединение используется для передачи флагов {(SYN) (SYN, ACK) (ACK) (FIN, ACK)}. FTP соединение отправляет команды для выполнение действий с FTP сервером. FTP-DATA соединение используется только для передачи файлов.
26
27        Хронология соединений:
28
29        1. Устанавливается FTP соединение с рандомного порта клиента на 21 порт сервера для выполнение FTP команд на сервере(одновременно с
30        этим устанавливается и TCP соединение с рандомного порта на 21 порт сервера для отправки флагов {(SYN) (SYN, ACK) (ACK) (FIN, ACK)}.
31        2. Клиент по FTP отправляет команду 'CWD' /. В ответ получает '250 Directory successfuly changed'.
32        3. Клиент по FTP отправляет 'PASV'. В ответ получает 'Entering Passive Mode'.
33        4. Клиент по FTP отправляет 'LIST -a'. В ответ получает приветствие от сервера, указанное в конфиге ftp сервера опцией ftpd_banner.
34        5. Сервер по FTP отправляет '250 Here comes the directory listing'.  В ответ клиент отправляет команду 'USER' и логин под которым
35        пытается авторизироваться.
36        6. С управляющего порта TCP соединения сервера на другой рандомный порт клиента по FTP-DATA вывод файловой системы корневого каталога ftp сервера с указанием прав доступа.
37        7. Сервер по FTP отправляет 'Please specify password'. В ответ клиент отправляет команду 'PASS' и пароль данного пользователя.
38        8. Сервер по FTP отправляет 'Close data conection. Directory send OK' следом отправляет 'Login successful'.
39        9. Клиент по FTP отправляет 'TYPE I'. Сервер отвечает 'Switching to binary mode'.
40        10. Клиент по FTP отправляет 'UTF8 ON'(устанавливает кодировку для просмотра). Сервер отвечает 'Always in UTF8 mode'
41        11. Клиент по FTP отправляет 'CWD /' . Сервер отвечает '250 Directory successful changed'.
42        12. Клиент по FTP отправляет 'PASV'. Сервер отвечает 'Entering Passive Mode' и указывает нам порт для работы в пассивном режиме.
43        13. Клиент по FTP отправляет 'LIST -a'. Сервер по FTP-DATA выполняет вывод файловой системы корневого каталога с указанием прав доступа
44        14. Переход по каталогам осуществляется по запросу клиента по FTP командой 'CWD /имя_каталога'. В ответ повторяется все с 11-13 пп.
45        15. При загрузки файлов на FTP сервер происходит отправка клиентом запроса по FTP 'STOR /dir/name_file'. Сервер отвечает '150 Ok to send data'.
46        16. После этого клиентом открывается FTP-DATA соединение для передачи файла под управлением TCP соединения по которому происходит обмен флагами.
47        17. После передачи сервер по TCP отправляет флаги (FIN, ACK). В ответ от клиента получает (ACK).
48        18. Дальше сервер по FTP отправляет '226 Transfer complate'.
49        19. Клиент по FTP отправляет 'SITE CHMOD 0644 /dir/name_file'(выставляя права доступа на данный файл). Сервер по FTP отвечает '200 SITE CHMOD command ok'.
50        20. Далее снова повторяется пп. 11-13 только с указанием нужного каталога.
51        21. В случае бездействия клиента, сервер по FTP отправляет '421 Timeout'. Чем сообщает о закрытие управляющего соединения.
52
53        ** Логин и пароль отправляется в открытом виде. Что является черевато при перехвати трафика злоумышленником. Завладев этими данными он может безпрепятственно авторизироваться на сервер используя эти данные. При чем клиент об этом даже не узнает. Разве что, в том случае если на сервер не установлен лимит соединений в очень малом количестве.