IP Adresse aus dem TCP / IP Header herauslesen, wie macht man das?
Hallo,
ich befinde mich gerade in der Prüfungsvorbereitung zum Fachinformatiker für Systemintegration.
Ich habe nun eine Aufgabe entdeckt, wo ich momentan überfordert bin, und zwar soll man da aus einem TCP / IP Header u.a. die Quell und Ziel IP Adresse herauslesen. Es ist auch der Aufbau des TCP IP Headers beigefügt, bloß wie macht man das?
Ist jeder Block gleich 4 Byte oder wie ist da die herangehensweise?
Würde mich über Anregungen freuen.
Gruß
odense5220
3 Antworten
Wireshark istallieren, TCP ausfiltern und den Header lesen. Da müsste dann was von Request etc. die Quell-ip stehen. musst halt während des vorgangs mal mit dem Browser auf google gehen oder so.
Ich weiß nicht genau, was du meinst. Theoretisch geht es so, wie ich es dir beschrieben habe. Du brauchst ein Programm, in dem du jedes Paket untersuchen kannst. Die Ziel und Quell Adresse steht im jeden Header eines TCP-Paketes
z.B. die Quell IP Adresse ist so und so... wie ließt man das "manuell" raus. Ich mine wie ist da die zählweise von TTL zur Source Address etc.?
Die TTL (Time to Live) wir von jedem Netzgerät (Hop etc.) 1 abgezogen. hat die TTL 0 erreicht, wird das Paket vernichtet. mit TTL funktioniert auch "tracert" (linux "traceroute"). Dein Client schickt ein paket mit der TTL "1" los, die wird von deimen router vernichtet und du bekommst eine Meldung von diesem Netzwerk-gerät, das dein Paket vernichtet wurde sowie dessen IP-Adresse. Danach schickt er wieder ein Paket mit der TTL 2 los. und so weiter bis er das Ziel erreicht, so hast du alle IP-Adressen der Netzwerk-Hops etc. die eine Verbindung von deimen PC zur quelle brauchen. Aber ich glaube die TTL steht nicht im zusammenhang mit der Quell-IP-Adresse.
(Mehr kann ich dir jetzt auch nicht sagen, bin nicht Ausgelernt)
Die IPv4-Quelladresse befindet sich im TCP-Pseudoheader an Bit 0 bis 32. Also die ersten 8 Bytes.
Die IPv6-Quelladresse befindet sich im TCP-Pseudoheader an Bit 0 bis 128. Also die ersten 16 Bytes.
Siehe https://de.wikipedia.org/wiki/Transmission_Control_Protocol#TCP-Pr.C3.BCfsumme_und_TCP-Pseudo-Header
lad dir mal wireshark runter dann kannstes testen.
https://nmap.org/book/tcpip-ref.html
Die Adressen stehen in klarform im header
aber wie geht das theoretisch, weil in der Prüfung hae ich ja kein WireShark.