Netzwerk-Simulation mit Virtual Network User Mode Linux - VNUML. Internet Message Control Protocol - ICMP -

Transkript

1 Netzwerk-Simulation mit Virtual Network User Mode Linux - VNUML Internet Message Control Protocol - ICMP - Projekt-Praktikum Sommersemester 2005 Nadia Ettaous Andrew Kiprop... Betreuer: Prof. Dr. Ch. Steigner Dipl.-Inf. Harald Dickel August

2 Inhaltsverzeichnis 1 Einleitung ICMP Ping Traceroute Netstat Route Ifconfig Tcpdump Arp Beispielnetze Dateiaufbau Beispielnetz Beispielnetz Beispielnetz ICMP Nachrichtentypen Echo Request - Echo Reply Destination Unreachable Time Exceeded Redirect Source Quench Parameter Problem Information Request-Reply Address Mask Request-Reply Ethereal 25 5 Schlusswort ICMP Nachteile Anhang ICMP Tabelle XML-Syntax des Beispiel-Szenarios Syntax des Beispielnetzes Syntax des Beispielnetzes Syntax des Beispielnetzes Syntax des Beispielnetzes Syntax des Beispielnetzes Aufgaben und Lösungen

3 6.3.1 Aufgaben Lösungen

4 1 Einleitung In diesem Projekt-Praktikum wurde das Simulationspaket VNUML getestet. IcmpGroup beschäftigte sich mit dem Einsatz des Internet Control Message Protocols (ICMP) in der VNUML Umgebung. Für die kommenden Anwendungen wurde das Netz beispielnetz.xml benutzt. Die dazu gehörige XML-Datei finden Sie unter dem Kapitel Anhang 6. Abbildung 1: Beispielnetz ICMP Das Internet Control Message Protocol (ICMP) benutzt wie TCP und UDP das Internet Protocol IP, ist also ein Teil der Internet-Protokoll-Familie. Es dient in Netzwerken zum Austausch von Fehler- und Informationsmeldungen. Obwohl ICMP eine Ebene über IP angeordnet ist, ist es in IP integriert. Es wird von jedem Router und PC erwartet, ICM-Protokoll zu sprechen. Die 4

5 meisten ICMP- Pakete enthalten Diagnose-Informationen, sie werden vom Router zur Quelle (engl. source) zurückgeschickt, wenn der Router Pakete verwirft, z.b. weil das Ziel (engl. destination) nicht erreichbar ist, die TTL (Time-to-live) abgelaufen ist, usw. Es gilt der Grundsatz, dass ein ICMP- Paket niemals ein anderes ICMP-Paket auslöst, d.h. die Tatsache, dass ein ICMP Paket nicht zugestellt werden konnte wird nicht durch ein Weiteres signalisiert. Eine Ausnahme zu diesem Grundsatz bildet die Echo-Funktion. Echo-ICMP-Pakete werden z.b. durch das Programm Ping verschickt. ICMP-Nachrichten werden beim Versand im Datenteil von IP-Datagrammen eingekapselt. Dabei sind im IP-Header der Servicetyp immer 0 und die Protokollnummer immer 1. Der Aufbau einer ICMP-Nachricht lässt sich wie folgt darstellen: Abbildung 2: Aufbau einer ICMP-Nachricht In den nächsten Kapiteln werden anhand eines Beispielnetzes verschiedene Tools unter vnuml getestet und dokumentiert Ping Ping ist ein Computerprogramm, mit dem überprüft werden kann, ob ein bestimmter Host in einem IP-Netzwerk erreichbar ist. Entwickelt wurde Ping ursprünglich Ende 1983 von Mike Muus. Funktionsweise Ping (in Anlehnung an das Geräusch eines Sonars) sendet ein ICMP-Echo- Request-Paket an die Zieladresse des zu überprüfenden Hosts. Der Empfänger muss, insofern er das Protokoll unterstützt, laut Protokollspezifikation eine Antwort zurücksenden: ICMP Echo-Reply. Ist der Zielrechner nicht erreichbar, antwortet der Router: Network unreachable (Netzwerk nicht erreichbar) oder Host unreachable (Gegenstelle nicht erreichbar). Aus einer fehlenden Antwort kann man allerdings nicht eindeutig darauf schließen, dass die Gegenstelle nicht erreichbar ist. Manche Hosts sind nämlich so konfiguriert, dass sie ICMP-Pakete ignorieren und verwerfen. 5

6 Übergibt man dem ping-kommando einen Hostnamen anstatt einer IP-Adresse, lässt das Programm diesen durch das Betriebssystem auflösen. Bei fehlerhaften Konfigurationen (hosts-datei, lmhosts-datei, WINS, DNS) kann der Name nicht aufgelöst werden, worauf das Programm eine Fehlermeldung ausgibt. Einige Parameter sind bei Ping einstellbar. Zum Beispiel bestimmt die Wiederholrate, wie häufig ein Paket gesendet wird. Die Paketgrösse bestimmt die Grösse des ICMP-Echo-Request-Pakets. Beispiel host1: # ping PING ( ) 56(84) bytes of data. 64 bytes from : icmp seq=1 ttl=63 time=483 ms 64 bytes from : icmp seq=2 ttl=63 time=63.0 ms 64 bytes from : icmp seq=3 ttl=63 time=1.91 ms 64 bytes from : icmp seq=4 ttl=63 time=1.84 ms 64 bytes from : icmp seq=5 ttl=63 time=1.91 ms : Es werden Datenpakete an den Rechner Host2 ( ) gesandt. Vom Program wird die Zeit gemessen, bis die Antwort des Hosts eintrifft. Die Zeitangabe sagt aus, wie lange es dauert, bis ein Datenpaket zum Host und wieder zurück braucht. Man kann daran grob erkennen, ob die Gegenstelle funktioniert und mit welcher Verzögerung bei einer Verbindung zu rechnen ist. Die Angabe TimeToLive ist dazu da, um grob nachvollziehen zu können, über wie viele Router der Ping-Befehl gelaufen ist Traceroute Traceroute ist ein Diagnose-Werkzeug, mit dem ermittelt werden kann, welche Router (Zwischensysteme) ein Datenpaket über ein IP-Netz passiert, bis es bei einem bestimmten Host ankommt. Traceroute arbeitet üblicherweise mit dem ICMP-Teil der IP-Spezifikation, über das Rückmeldungen gegeben werden. Dabei werden TCP-, UDP- oder ICMP-Pakete mit einem veränderten und jeweils um 1 erhöhten Time-to-live (TTL) Wert, beginnend mit 1, gesendet. Ein Router im Netz, der ein Paket mit TTL=1 empfängt, dekrementiert die TTL, verwirft dieses und sendet die ICMP-Antwort Typ 11: Time-to-live exceeded und Code 0: Time to life exceeded in transit an den Absender mit seiner Adresse zurück. Die Summe der so gesammelten Adressen kennzeichnet dann den Weg durch das Netz. Die Anzeige von traceroute zeigt nicht immer den tatsächlichen Weg, den die Datenpakete nehmen. Es wird beeinflusst von Firewalls, fehlerhaften Im- 6

7 plementierungen des IP-Stacks, Network Address Translation, Routing und anderen Faktoren. Beispiel host1: # traceroute traceroute to ( ), 30 hops max, 38 byte packets ( ) ms ms ms ( ) ms ms ms : Netstat Anzeige der Netzverbindungen Netstat zeigt Protokollstatistiken und aktuelle Rechnernetz-Verbindungen an. Damit kann man erkennen zu welchen Rechnern direkte Verbindungen bestehen. Unter Umständen kann man so die IP-Adresse der Gesprächspartner in Instant-Messaging-Programmen erkennen. Man kann damit aber auch herausfinden ob man mit einem Trojaner infiziert ist. Netstat ist ein Kommandozeilen-Programm, das bedeutet, dass es keine einen graphische Oberfläche besitzt, sondern in einer sogenannten Shell (CLI) läuft. Beispiel host1: # netstat Active Internet connections (w/o servers) Proto Recv-Q Send-Q Local Address Foreign Address State tcp6 0 0 ::ffff: :ssh ::ffff: :1256 ESTABLISHED Active UNIX domain sockets (w/o servers) Proto RefCnt Flags Type State I-Node Path unix 5 [ ] DGRAM 1245 /dev/log unix 2 [ ] DGRAM 1360 unix 2 [ ] DGRAM 1328 unix 2 [ ] DGRAM Route Bestimmte Netzwerkhardware, wie z.b. ein Router oder eine Netzwerkkarte, beeinhalten eine Art Adress-Tabelle -Routingtabelle (engl. Routing-Table)- welche zur Wegfindung beim Routing eingesetzt wird. Um die Routingtabelle einzusehen, benutzt man den Befehl route. Beispiel host1: # route Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 7

8 * U eth * U eth UG eth Ifconfig ifconfig (BSD): Netzwerkschnittstellenkonfiguration. Beispiel host1: # ifconfig eth0 Link encap:ethernet HWaddr FE:FD:00:00:01:01 inet addr: Bcast: Mask: inet6 addr: fe80::fcfd:ff:fe00:101/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:410 errors:0 dropped:0 overruns:0 frame:0 TX packets:275 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:30221 (29.5 KiB) TX bytes:37458 (36.5 KiB) Interrupt:5 eth1 lo Link encap:ethernet HWaddr FE:FD:00:00:01:01 inet addr: Bcast: Mask: inet6 addr: fe80::fcfd:ff:fe00:101/64 Scope:Link UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1 RX packets:32 errors:0 dropped:0 overruns:0 frame:0 TX packets:35 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:2368 (2.3 KiB) TX bytes:2818 (2.7 KiB) Interrupt:5 Link encap:local Loopback inet addr: Mask: inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:8 errors:0 dropped:0 overruns:0 frame:0 TX packets:8 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:560 (560.0 b) TX bytes:560 (560.0 b) 8

9 1.1.6 Tcpdump Anzeige von Netzwerkpacketen(Netzwerk-Sniffer). Anwendungen tcpdump -c anzahl Dieser Befehl zeigt je nach anzahl an wieviel Paketverkehr ausgeführt wird, ansonsten würde es endlos weiter gehen. Beispiel host1: # tcpdump -c 2 15:12: IP ssh > : P : (112) ack win 2664 <nop,nop,timestamp > 15:12: IP > ssh:. ack 112 win <nop,nop,timestamp > 2 packets captured 8 packets received by filter 0 packets dropped by kernel tcpdump -F file Dieser Befehl benutzt die Datei als Input für die Filter expression. tcpdump -C filesize Dieser Befehl kontrolliert ob die zu speichernde Datei eventuell grösser ist als filesize, sollte dies so sein, dann sollte die aktuelle Datei geschlossen werden und eine neue geöffnet werden. Beispiel host1: # tcpdump -C 10 -c 2 15:14: IP ssh > : P : (112) ack win 2664 <nop,nop,timestamp > 15:14: IP > ssh: ack 112 win <nop,nop,timestamp > 2 packets captured 8 packets received by filter 0 packets dropped by kernel tcpdump -i interface Dieser Befehl beobachtet nur die Schnittstelle Interface. Beispiel host1: # tcpdump -i eth0 -c 2 15:15: IP ssh > : P : (112) 9

10 ack win 2664 <nop,nop,timestamp > 15:15: IP > ssh:. ack 112 win <nop,nop,timestamp > 2 packets captured 8 packets received by filter 0 packets dropped by kernel tcpdump -m module Damit werden MIB Module zu jeder Zeit ins tcpdump geladen. Beispiel host1: # tcpdump -m icmp -c 2 15:16: IP ssh > : P : (112) ack win 2664 <nop,nop,timestamp > 15:16: IP > ssh:. ack 112 win <nop,nop,timestamp > 2 packets captured 8 packets received by filter 0 packets dropped by kernel tcpdump -r file Hier wird eine Datei aus einer Netzwerk-Schnittstelle ausgelesen. tcpdump -s snaplen/zahl Beispiel host1: # tcpdump -s 2 -c 2 15:17: [ ether] 15:17: [ ether] 2 packets captured 8 packets received by filter 0 packets dropped by kernel tcpdump -T type Es wird nach einem Pakettyp spezifiziert, zum Beispiel rtp, rpc, oder snmp. Beispiel host1: # tcpdump -T rtp -c 2 15:18: IP ssh > : P : (112) ack win 2664 <nop,nop,timestamp > 15:18: IP > ssh:. ack 112 win <nop,nop,timestamp > 2 packets captured 8 packets received by filter 10

11 0 packets dropped by kernel tcpdump -w file Dieser Befehl speichert die Paket-Dateiein in einer Datei zur späteren Analyse. /home/projekt/icmpgroup tcpdump -E algo:secret Beispiel host1: # tcpdump -E icmp -c 2 15:20: IP ssh > : P : (112) ack win 2664 <nop,nop,timestamp > 15:20: IP > ssh:. ack 112 win <nop,nop,timestamp > 2 packets captured 8 packets received by filter 0 packets dropped by kernel Speichern tcpdump -i interface > Dateiname Bei der parallelen Überwachung von Host1 an der Schnittstelle eth0, Bsp. ping , kann man diese als Textdatei speichern, oder als dumpfile *.dmp. Das Speichern muss vom Host aus erledigt werden. Dabei kann man den Verlauf nicht direkt einsehen, sondern erst in der gespeicherten Datei. Diese Datei befindet sich in dem aktuell benutzten Ordner, in unserem Fall: /home/projekt/icmpgroup. Beispiel becks:/home/projekt/icmpgroup# tcpdump -i Host1-eth0 > probe protocol decode listening on R1-eth0, link-type EN10MB (Ethernet), capture size 96 bytes 40 packets captured 40 packets received by filter 0 packets dropped by kernel Filtern tcpdump packet-type Damit werden nur Pakete beobachtet die in packet-type angeben werden. Parallel dazu sollte in einem anderen Terminal eine virtuelle Maschine angepingt werden. In diesem Beispiel befinden sich beide Terminals in Host1. Beispiel host1: # tcpdump -i eth1 icmp -c 2 15:31: IP Host1 > : icmp 64: echo request seq 7 15:31: IP > Host1: icmp 64: echo reply seq 7 11

12 2 packets captured 2 packets received by filter 0 packets dropped by kernel Proto Mit diesem Befehl filtert man bestimmte Paketarten. Parallel muss ein virtueller Rechner angepingt werden. Man kann aber auch die Option icmp benutzen, anstatt proto. icmp zeigt nur den Paketverkehr von icmp-paketen an. Beispiel host1: # tcpdump -i eth1 icmp -c 2 15:32: IP Host1 > : icmp 64: echo request seq 89 15:32: IP > Host1: icmp 64: echo reply seq 89 2 packets captured 2 packets received by filter 0 packets dropped by kernel Destination Hier wird wieder parallel ein virtueller Rechner angepingt werden. Als ip kann man nur die des pingenden Rechners und die des anzupingenden Rechners angeben. Diese Ausführung gibt request an. tcpdump dst host ip Beispiel host1: # tcpdump -i eth1 dst :36: IP Host1 > : icmp 64: echo request seq :36: IP Host1 > : icmp 64: echo request seq 281 Source Dieser Befehl gibt reply an und parallel muss ein virtueller Rechner angepingt werden. Als ip kann man nur die des pingenden Rechners und die des anzupingenden Rechners angeben. tcpdump src host ip Beispiel host1: # tcpdump -i eth1 src :35: IP > Host1: icmp 64: echo reply seq :35: IP > Host1: icmp 64: echo reply seq 243 Host Ein virtueller Rechner wird parallel angepingt. Als ip kann man nur die des pingenden Rechners und die des anzupingenden Rechners angeben. Es werden nursource und destination field der Pakete gefieltert. tcpdump host ip Beispiel host1: # tcpdump -i eth1 host c 2 12

13 15:46: IP Host1 > : icmp 64: echo request seq :46: IP > Host1: icmp 64: echo reply seq 899 Falls eine Datei im Dateisystem einer VM gespeichert wurde, dürfte das Auslesen von dort aus schwierig sein. Deshalb soll die Datei in einem eigenem Verzeichnis kopiert werden. Dies geht folgendermassen: Wechsle von VM auf Host (mit exit ) host1: # exit logout Connection to Host1 closed. Vom Host aus, auf VM zugreifen (mit deren PIN) und Datei auf einem beliebigen Ziel kopieren: nitrogen:/home/projekt# scp Host1:tee /home/projekt/icmpgroup/ Password: tee 100 Danach ist die Datei dann im eigenen Verzeichnis (hier:./icmpgroup/) Arp ARP (Address Resolution Protocol) ist ein Netzwerkprotokoll, das die Zuordnung von Internetadressen zu Hardwareadressen möglich macht. Obwohl es nicht auf Ethernet- und IP-Protokolle beschränkt ist, wird es fast ausschließlich im Zusammenhang mit IP-Adressierung auf Ethernet-Netzen verwendet. ARP gehört zur Internetschicht der TCP/IP-Protokollfamilie. Beispiel host1: # arp Address HWtype HWaddress Flags Mask Iface ether 00:FF:A7:F0:E7:04 C eth0 2 Beispielnetze Nachdem einige Möglichkeiten zum Testen und überprüfen des Datenverkehrs vorgestellt wurden, wird nun eine Einführung in das Erstellen von Netzen mit Hilfe von XML beschrieben. Die Nachrichtenbeispiele und Ausgaben wurden mit VNUML getestet und festgehalten. Inbesondere wird hier das Netzbeispiel-Szenario eingesetzt, dessen XML- Syntax im Anhang vor zu finden ist. 13

14 2.1 Dateiaufbau Eine VNUML-Datei beginnt mit der Angabe der verwendeten XML-Version und dem Ort der VNUML-DTD-Datei, die die VNUML-Sprache definiert (<!DOCTYPE>- Tag). Die Spezifikation der Simulation muss mit einem <vnuml>-tag beginnen und mit dem schließenden </vnuml>-tag enden. Zwischen diesen beiden Tags können vier weitere Tags (<global>, <net>, <vm> und <host>) zum Definieren der Netzwerke und Rechner gesetzt werden. Der Rahmen einer VNUML-Datei sieht so aus: <?xml version="1.0"encoding="utf-8"> <!DOCTYPE vnuml SYSTEM "usr/local/share/xml/vnuml/vnuml.dtd"> <vnuml> <global>... </global>... </vnuml> global Die global -Definitionen betreffen das gesamte Szenario und gelten somit für alle Rechner des virtuellen Netzwerks. Mit dem Tag <version> wird die Version der VNUML-DTD-Datei nur einmal angegeben. net Das Einführen eines virtuellen Netzwerks geschieht mit dem Tag <net>. Innerhalb dieses Tags muss ein eindeutiger Name (name=...) gesetzt werden. Zusätzlich sind über das Attributtype zwei Netzwerke möglich. virtual bridge (Der Einsatz einer virtuellen Bridge zum Verbinden der virtuellen Rechner, die mit dem Netz verbunden sind. Hier sind root-rechte nötig.) uml switch (Zum Verbinden der virtuellen Rechner des Netzes erzeugt. Es sind keine root-rechte nötig.) vm Virtuelle Rechner werden mit Hilfe des <vm>-tags realisiert. Innerhalb dieses Tags werden weitere Tags zur Beschreibung der virtuellen Rechner benötigt. filesystem Gibt den Ort der Datei an. mem Gibt die Grösse des Arbeitsspeichers an. 14

15 if Hier werden Netzwerk-Schnittstellen auf dem virtuellen Rechner angelegt. route Ermöglicht das Konfigurieren von statischen Routen. forwarding Ermöglicht das Weiterreichen von IP-Paketen. host Der <hostif>-tag ist ähnlich zum <if>-tag. Dieser Tag dient zum Definieren einer Verbindung zwischen einer Schnittstelle und einem Netz. Die Schnittstelle für die neue virtuelle Verbindung wird auf dem Host automatisch erzeugt und hat stets den Namen des virtuellen Netzwerks, mit dem sie verbunden ist. In den folgenden Unterkapiteln werden verschiedene Netze veranschaulicht und deren XML-Dateien im Anhang präsentiert. 2.2 Beispielnetz 1 Abbildung 3: Beispielnetz 1 15

16 Dieses einfache Netz enthält zwei Hosts und einen Router. Host1 ist an net0 und Host2 an net1 angeschlossen. Alle Routen sind statisch vordefiniert. 2.3 Beispielnetz 2 Abbildung 4: Beispielnetz 2 Dieses Netz besteht aus ebenfalls zwei Host. Jedoch hat dieses Netz noch einen zusätzlichen Router, der hier als default-router dient. Die Besonderheit dieses Routers ist, dass dieser die Aufgabe der Weiterleitung hat. Sollte ein Rechner einen anderen an pingen wollen, so gelangen die Daten erst an den default-router und werden von diesem dann an das gewünschte Ziel weitergeleitet. An diesem Netz wurde noch etwas ausprobiert dass in der Einleitung nicht vorgeführt wurde. Angenommen man startet von Host1 und möchte an pingen. Anhand des Netzes weiss man, dass es unsinnig ist wenn der Weg zum Ziel 16

17 erst über den default-router geht. Aber was passiert wenn man diesen ping durchführt? -Ausgabe host1: # ping PING ( ) 56(84) bytes of data. >From : icmp seq=1 Redirect Host(New nexthop: ) 64 bytes from : icmp seq=1 ttl=64 time=11.2 ms >From : icmp seq=2 Redirect Host(New nexthop: ) 64 bytes from : icmp seq=2 ttl=64 time=2.01 ms >From : icmp seq=3 Redirect Host(New nexthop: ) 64 bytes from : icmp seq=3 ttl=64 time=1.79 ms Hier sieht man das in der Ausgabe eine Wieterleitung (redirect) statt gefunden hat. Nachdem erkannt wurde dass der kürzeste Weg nicht über den default-router geht, sondern über den nexthop mit der ip Somit gelangen wir schneller zum Ziel

18 2.4 Beispielnetz 3 Abbildung 5: Beispielnetz 3 Dieses Netz ist etwas grösser als die anderen beiden. Nun sind drei Router und fünf Netze vorhanden. Die Besonderheit an diesem Netz ist das Deklarieren eines Host (ip ). 3 ICMP Nachrichtentypen ICMP ist zwar eine Ebene über IP angeordnet aber in IP integriert. ICMP- Nachrichten werden beim Versand im Datenteil von IP-Datagrammen eingekapselt. Dabei sind im IP-Header der Servicetyp immer 0 und die Protokollnummer immer 1. Die wesentlichen Headers einer ICMP-Nachricht sind das Typfeld oder type, die die Klasse der ICMP-Nachricht angibt und das Codefeld odercode, die die Art der Nachricht spezifiziert. Beide sind jeweils 8 Bit lang und legen zusammen die Funktionalität der einzelnen ICMP-Pakete 18

19 fest. Die eigentlichen Informationen werden im Nachrichtenfeld (ICMP Data) oder Daten festgehalten, die weitere Felder beinhalten können. Man kann die Nachrichtentypen in zwei teilen: Die Anfragetypen und Fehlertypen. Die Anfragen werden von einem Rechner (oder in VNUML von einer virtuellen Maschine) versendet. Kein Rechner oder VM ist jedoch verpflichtet, ICMP-Nachrichten zu versenden, mit einer Ausnahme: jeder Rechner oder VM muss auf ein Echo Request immer mit einem Echo Reply antworten. (s.u.) Die Tabelle fasst alle Nachrichtentypen zusammen. Man liest die Tabelle wie folgendes: empfängt ein Rechner eine Nachricht mit Typ=3 und Code=2, so kann er bei Kenntnis dieser bestimmen, was die Fehler verursacht hat, in diesem Fall dass der Absender das vorher angesprochener Protokoll unbekannt war. Kennt dieser Rechner den Code nicht, so weiss er nur, dass der Absender aus irgendeinem Grund unerreichbar war. Wenn auch noch der Typ unbekannt, ist somit die Nachricht nutzlos. Für die folgenden Anwendungen wurde das Netzbeispiel 5 in der Abbildung 6 benutzt mit dazu gehöriger XML-Datei: 3.1 Echo Request - Echo Reply Die bekannteste Dienst, die auf ICMP basiert ist, ist ping. Ping dient zum Versenden von Diagnose-Nachrichten. Es löst ein Echo Request aus, die zum anderen Rechner geleitet wird. Dieser muss auf der Anfrage mit einem Echo Reply antworten. Sobald die Antwort beim ersten Rechner ankommt, erhält der Benutzer eine entsprechende Ausgabe, die unten illustriert ist. Mit dieser ICMP-Nachricht kann eine Netzwerkverbindung getestet werden. Man kann zu jeder IP-Adresse eine Echo-Nachricht senden und der Empfänger muss den Inhalt dieser Nachricht dann in seiner Echo-reply-Nachricht zurückschicken. Dadurch wird festgestellt, ob ein bestimmter Rechner oder VM (genauer eine bestimmte IP-Adresse) erreichbar ist oder nicht. Auf Benutzerebene nutzt das Programm ping genau diesen ICMP-Dienst. Das ICMP- Typfeld hat bei diesen Nachrichten den Wert 8 für echo-anforderungen und 0 für echo-antwort-nachrichten. Host1 schickt eine Anfrage an Host2, der wiederum eine Antwort zuruckschickt. host1: # ping PING ( ) 56(84) bytes of data. 64 bytes from : icmp seq=1 ttl=63 time=1.77 ms 64 bytes from : icmp seq=2 ttl=63 time=1.70 ms 64 bytes from : icmp seq=3 ttl=63 time=1.70 ms 19

20 Abbildung 6: Beispielnetz 4 Mit tcpdump können auch Nachrichtentypen getestet und gefiltert werden wie folgendes: tcpdump -i [Schnittstelle] icmp[icmptype] [!= == <= >=] icmp-[icmp Typ]. Beispiele: icmp[icmptype]!= icmp-echoreply icmp[icmptype] == icmp-icmp-echo icmp[icmptype] <= icmp-timxceed Nach Echo Reply filtern. host1: # tcpdump -i eth1 icmp[icmptype]!= icmp-echo : 09:23: IP > host1: icmp 64: echo reply seq 8 20

21 09:23: IP > host1: icmp 64: echo reply seq 9 : Oder nach Echo Request filtern. host1: # tcpdump -i eth1 icmp[icmptype]!= icmp-echoreply : 09:25:30 IP host1 > : icmp 64: echo request seq 1 09:25:31 IP host1 > : icmp 64: echo request seq 2 : 3.2 Destination Unreachable Eine Destination-Unreachable-Nachricht wird verschickt, wenn ein Paket nicht zustellbar ist, weil der Empfänger nicht erreichbar ist. Diese kann durch verschiedene Ursachen sein z.b. dass der Empfänger gar nicht existiert, kein passendes Protokoll geladen ist oder einfach das Routing nicht vollständig war. Ein Ziel kann z.b. ein anderes Netz, Host, Port oder Protokoll sein. Wenn ein Netz (Typ=3 und Code=0) nicht erreichbar ist, folgt die Angabe von!n die RTT-Ausgabe. In unserem Beispiel existiert das Netz nicht, und wird entsprechend als unerreichbar gemeldet. host1: # traceroute traceroute to ( ), 30 hops max, 38 byte packets ( ) ms ms ms ( ) ms!n ms!n ms!n : Wenn ein Host (Typ=3 und Code=1) nicht erreichbar ist, folgt die Angabe von!h die RTT-Ausgabe. Im Beispeil ist weder ein Host noch ein Router mit der Adresse vorhanden. host1: # traceroute traceroute to ( ), 30 hops max, 38 byte packets 1 host1 ( ) ms!h ms!h ms!h : Destination-Unreachable kann auch durch Abschaltung eines Hosts oder Routers provoziert werden. Host1 möchte zum Beispiel mit Host2 kommunizieren. Dies passiert mithilfe von den beiden Router. Eine der Schnittstellen von Router2 kann man mit router2: # ifconfig [eth1 eth2] down abschalten. Der Ping-Befehl (oder auch traceroute) wird dann diese Nachricht zurückgeben. 21

22 3.3 Time Exceeded Wenn eine Nachricht sich so lange im Netz befunden hat, dass Time-To- Live (TTL) abgelaufen ist, dann wird eine Time-Exceeded-Nachricht verschickt. Das bedeutet, wenn das Time-to-Live-Feld in einem IP-Datagramm Null ist. Dabei hat das ICMP-Typ-Feld den Wert 11 und das Codefeld die Werte 0 oder 1. Null bedeutet Time-to-Live abgelaufen, eins bedeutet, dass die Reassemblierungszeit abgelaufen ist. Um diese Nachricht zu demonstrieren, wird versucht Kontakt mit einem (nicht-existierenden) Host aufzunehmen. Beide Router werden gefragt ob dieser Host ihr bekannt ist. Traceroute-Ausgabe sieht folgendermaßen aus: host1: # traceroute traceroute to ( ), 30 hops max, 38 byte packets ( ) ms ms ms ( ) ms ms ms ( ) ms!h ms!h ms!h. Entsprechende ungefilterte Tcpdump-Ausgabe: host1: # tcpdump -i eth1 icmp : 18:29: IP > host1: icmp 46: time exceeded in-transit 18:29: IP > host1: icmp 75: net unreachable 18:29: IP > host1: icmp 75: net unreachable 18:29: IP > host1: icmp 75: net unreachable 18:29: IP > host1: icmp 75: net unreachable 18:29: IP > host1: icmp 75: net unreachable 18:29: IP > host1: icmp 46: time exceeded in-transit 18:29: IP > host1: icmp 46: time exceeded in-transit 18:29: IP > host1: icmp 46: time exceeded in-transit 18:29: IP > host1: icmp 75: net unreachable : Durch Filterung kann man nur die gewünschte Nachricht auslesen. host1: # tcpdump -i eth1 icmp[icmptype] == icmp-timxceed : 18:50: IP > host1: icmp 46: time exceeded in-transit 18:50: IP > host1: icmp 46: time exceeded in-transit 18:50: IP > host1: icmp 46: time exceeded in-transit : : 3.4 Redirect Eine Redirect-Nachricht wird verschickt, wenn ein Router bemerkt, dass es einen besseren Weg gibt als über den in der Routing-Tabelle. Er schickt also eine Empfehlung zur Nachrichtenquelle, das sie weitere Nachrichten zum 22

23 gleichen Ziel, über den angegebenen Gateway-Adresse zu routen. Im Netzbeispiel in der Abbildung(7), host1 versucht host2 anzusprechen über router2. Router2 aber kennt einen besseren Weg über router1 nach host2 und teilt host1 dies mit. Danach läuft alle Nachrichten von host1 nach host2 über router1. host1: # ping PING ( ) 56(84) bytes of data. >From : icmp seq=1 Redirect Host(New nexthop: ) 64 bytes from : icmp seq=1 ttl=63 time=49.6 ms >From : icmp seq=2 Redirect Host(New nexthop: ) 64 bytes from : icmp seq=2 ttl=63 time=3.61 ms 64 bytes from : icmp seq=3 ttl=63 time=1.80 ms 64 bytes from : icmp seq=4 ttl=63 time=1.68 ms 64 bytes from : icmp seq=5 ttl=63 time=1.81 ms : : Entsprechende Tcpdump-Ausgabe: host1: # tcpdump -i eth1 icmp : 19:43: IP host1 > : icmp 64: echo request seq 1 19:43: IP > host1: icmp 92: redirect to host :43: IP > host1: icmp 75: net unreachable 19:43: IP > host1: icmp 64: echo reply seq 1 19:43: IP host1 > : icmp 64: echo request seq 2 19:43: IP > host1: icmp 92: redirect to host :43: IP > host1: icmp 64: echo reply seq 2 19:43: IP host1 > : icmp 64: echo request seq 3 19:43: IP > host1: icmp 64: echo reply seq 3 : : Die folgende 5 Nachrichtentypen wurden im Rahmen des Projektpraktikums nicht getestet. Sie werden trotzdem zur Vollständigkeit kurz erwähnt. Einige sind veraltet zum Beispiel Source Quench und Information Request/Reply und werden in der gegenwärtigen Programentwiklung nicht immer berücksichtigt. Die Timestamp Request - und Timestamp Reply-Nachrichten ermöglichen die Zeitsynchronisation zweier Rechner. Dadurch können Verspätungen im 23

24 Abbildung 7: Redirect-Nachricht Beispielnetz 5 Datenverkehr erkannt werden. Timestamp Reply ermöglicht die Messung der Zeit, die ein Datagramm benötigt. Der Sender des Timestamp Requests erhält vom Empfänger ein Reply, in welchem Sendezeit und Empfangszeit sowie die Sendezeit des Timestamp Replys enthalten sind. 3.5 Source Quench Hat ein Rechner Probleme, die ankommenden Pakete rechtzeitig zu verarbeiten (Überlastung durch Sender oder Urpsrungshost), so sendet er eine Source Quench-Nachricht. Diese veranlaßt den Sender, die Rate seiner Pakete zu vermindern. Der Sender kann danach die Übertragungsrate erhöhen bis er wieder diese Nachricht empfängt. Der Sender (host oder Gateway) kann Source Quench schicken bereits vor das Erreichen des Limits, damit keine Nachricht verworfen werden muss. 24

25 3.6 Parameter Problem Es ist ein Problem beim Auswerten der Nachricht aufgetreten, das auf fehlerhafte oder unbekannte Parameter im IP-Header zurückzuführen ist. Die Ursache für diesen Fehler könnte ein falsch gesetztes Argument in den IP- Optionen sein. 3.7 Information Request-Reply Dieser Nachrichtentyp ermöglicht es einem Host, seine Netz-Adresse zu erfahren. Information Request(Informationsmeldung-Anforderung) mit der Zieladresse wird gesendet, was dem eigenen Netzwerk entspricht. Ein beliebiger Rechner, der die Anforderung empfängt, sendet nun eine Antwort (Information Reply) mit der richtigen Netzwerkandresse als Sendeadresse. Dieses Verfahren wird als veraltet betrachtet und sollte nicht mehr verwendet werden. 3.8 Address Mask Request-Reply Die Adressfeld-Format Nachrichten dienen dazu, die Subnetzmaske eines Netzwerkes herauszufinden. Ein Rechner sendet dazu eine Address Mask Request(Adressfeld-Format Anforderung) an den Router, und bekommt von diesem eine Antwort (Address Mask Reply), in der der Router dem Rechner im Feld Adress Mask die Subnetzmaske mitteilt. 4 Ethereal Ethereal ist eine Software zur Analyse von Netzwerkprotokollen. Sie wurde unter der General Public License als Open-Source-Software entwickelt. Das Werkzeug stellt nach dem Protokollieren des Datenverkehrs einer Netzwerkschnittstelle (zum Beispiel Ethernet-Netzwerkkarte) die Daten in Form einzelner Pakete dar. Dabei werden die hexadezimal codierten Daten übersichtlich und für den Menschen nachvollziehbar analysiert. So können zum Beispiel auch ICMP-Nachrichten analysiert werden. Ethereal ist für fast alle gängige Betriebsysteme frei verfügbar. Allerdings ist auf (Suse) Linux einiges zu beachten, wie die Erklärungen unten darstellen. Wer als Root auf seinem User-Desktop eine grafische Anwendung (dazu gehört Ethereal) starten möchte, könnte statt einem neuen Fenster lediglich einen Hinweis der folgenden Art erhalten. ( nitrogen wäre Name des Rechners): 25

26 Error: Can t open display: :0.0. Xlib: connection to ":0.0" refused by server Xlib: Client is not authorized to connect to Server oder: nitrogen:/home/projekt/icmpgroup # ethereal Xlib: connection to ":0.0" refused by server Xlib: No protocol specified (ethereal:5965): Gtk-WARNING **: cannot open display: Diese Fehlermeldung wird von der Zugriffskontrolle des X-Window Systems ausgelöst. Die Kontrolle gestattet nur den Usern das Darstellen von Fenstern, die vom Eigentümer des Desktops hierzu autorisiert worden sind. Autorisation kann durch das Tool xhost erfolgen: So gibt ein xhost +localhost (vom Eigner des X-Servers getippt) den X-Server frei. Es gilt jedoch für die Verwendung von xhost: Der X-Server wird allgemein für alle geöffnet, und nicht nur für den gewünschten User. Ist der X-Server offen, sollte man alleine am Rechner sitzen, unvernetzt sein, und nicht ins Internet gehen. Diese Sicherheitsgefahr wird nur dann gebannt, wenn man explizit den X-Server wieder sperrt. Dies erfolgt durch xhost -localhost oder Neustart des X-Window Systems erledigt. Um unproblematisch gezielt die Benutzung des X-Window freizugeben kann man das Tool xauth einsetzen. Dieses gestattet einem einzigen User den Zugriff auf den X-Server, der auch jederzeit wieder ausgesperrt werden kann. Der Einsatz erfolgt in der Art: Der Besitzer eines Desktops erhält mit diesem die Datei /.Xauthority; Diese beinhaltet einen oder mehrere Schlüssel, mittels derer der X-Server kontaktiert werden kann. Übergibt dieser User nun einen dieser Schlüssel an einen anderen User, so kann dieser sie seiner /.Xauthority hinzufügen, und somit ebenfalls auf den X-Server zugreifen. Zwei Beispiele, um Rechte zu vergeben: (als user am Rechner nitrogen ). 1. projekt@nitrogen: > xauth extract schluessel $DISPLAY projekt@nitrogen: > su - Password: nitrogen: # xauth merge /home/jo/schluessel xauth: creating new authority file /root/.xauthority xauth: (argv):1: merge: unable to open file /home/jo/schluessel nitrogen: # xauth merge /home/projekt/schluessel xauth: creating new authority file /root/.xauthority 26

27 nitrogen: # DISPLAY=:0.0; export DISPLAY nitrogen: # ethereal Starting ethereal Noch einfacher ist es beim Fremdzugriff als root : Dieser kann einfach die /.Xauthority des betreffenden Users über die Variable $XAUTHORITY mitverwenden. Dafür reicht ein einziger Befehl: nitrogen: # XAUTHORITY=/home/user/.Xauthority; export XAUTHORITY Diese regelt die komplette Zugriffskontrolle, ist gleichzeitig weniger umständlich. Angenommen Ethereal läuft endlich. Zuerst muss die zu beobachtender Schnittstelle eingestellt werden. Die Abbildung 8 unten zeigt diesen Vorgang. Dabei Abbildung 8: Ethereal Schnittstellen-Einstellung erscheint eine Liste aller verfügbaren Schnittstellen in der Abbildung 9. Daraus kann man dan die gewünschte wählen und vorbereiten (Art der Beobachtung, Zeitintervalle, u.s.w.). 27

28 Abbildung 9: Liste der verfügbaren Schnittstellen Die Abbildung 10 stellt das Abfangen der Nachrichten in einer Schnittstelle. Wie oben erwähnt, Ethereal zeichnet alle mögliche Protokollarten, die zur Übersichtlichkeit gefiltert werden müssen. In diesem Fall wurden nur die ICMP Echo Request/Reply ausgeben. Ähnlich wie Tcpdump werden die Sendezeit, Quell- und Destinationsadressen sowie Protokoll ausgegeben. Ferner hat man die Möglichkeit noch detaillierte Informationen über die übertragene Pakete zu erfahren. Dazu gehören zum Beispiel die Grösse der Rahmen die MAC-Adressen. Durch Live-Update Einstellung können die Nachrichten auch in Echtzeit herausgelesen werden (Je nach eingestellte Zeitintervalle). Darüber hinaus können auch graphische Beobachtungen durchgeführt werden. Statt alpha-numerische Daten können mehrfarbige Graphen generiert werden. Sie werden auch je nach Zeitintervall durchgehend ausgegeben. 28

29 5 Schlusswort 5.1 ICMP Nachteile Abbildung 10: Ethereal Snapshot ICMP Protokoll hat jedoch einige Schwachpunkte, die mißbraucht werden können. Ein Angriff kann z.b. durch das Versenden von künstlich falsche Fehlermeldungen. Denial-of-Service Angriff Durch ständigen Empfang von ICMP-Nachrichten Time-Exceeded, Redirect und Destination Unreachable kann es zum Dienstausfall auf der angegriffenen Maschine kommen. 29

30 Ping-to-Death Dieser Angriff führt ebenfalls zu Denial-of-Service. Ein Angreifer sendet ICMP-Pakete mit riesiger Nutzdategröße. Dieser werden fragmentiert zum Zielsystem übertragen und dort wieder zusammengesetzt. Durch Inklusion des Ping-Headers überschreitet das IP-Paket die maximal zulässige Größe. Bei IP-Implementierungen, die solchen Überlauf nicht abfangen können, kommt es zum Systemabsturz. Redirect Mit ICMP-Redirect-Meldungen kann ein Angreifer Zutritt zum System erlangen. Durch Versenden von Redirect-Meldungen kann ein Angreifer den gesamten Datenverkehr eines Netzes über seinen Rechner laufen lassen. ICMP-Dienste Echo - Echo Reply Durch die ICMP-Dienste Echo und Echo Reply kann sich ein Angreifer nützliche Informationen über ein Netzwerk verschaffen (z.b. Anzahl der Maschinen, welche IP-Adressen gibt es). Dieses Wissen kann dann für weitere Angriffe verwendet werden. 30

31 6 Anhang 6.1 ICMP Tabelle Abbildung 11: ICMP Tabelle 31

32 6.2 XML-Syntax des Beispiel-Szenarios Syntax des Beispielnetzes 1 Dieses Netz wurde bei der Darstellung der einzelnen Tools in Kapitel 1 verwendet. <!DOCTYPE vnuml SYSTEM "/usr/local/share/xml/vnuml/vnuml.dtd"> <vnuml> <global> <version>1.5</version> <simulation name>beispielnetz</simulation name> <ssh key version="2">/root/.ssh/id rsa.pub</ssh key> <automac/> <ip offset>100</ip offset> <host mapping/> </global> <net name="net0"/> <net name="net1"/> <vm name="host1"> <filesystem type="cow">/usr/local/share/vnuml/filesystems/root fs tutorial </filesystem> <mem>50m</mem> <if id="1"net="net0"> <ipv4> </ipv4> <route type="inet"gw=" "> /24</route> <vm name="router"> <filesystem type="cow">/usr/local/share/vnuml/filesystems/root fs tutorial</filesystem> <if id="1"net="net0"> <ipv4> </ipv4> <if id="2"net="net1"> <ipv4> </ipv4> <vm name="host2"> <filesystem type="cow">/usr/local/share/vnuml/filesystems/root fs tutorial</filesystem> <if id="1"net="net1"> <ipv4> </ipv4> <route type="inet"gw=" "> /24</route> </vnuml> 32

33 6.2.2 Syntax des Beispielnetzes 2 <!DOCTYPE vnuml SYSTEM "/usr/local/share/xml/vnuml/vnuml.dtd"> <vnuml> <global> <version>1.5</version> <simulation name>beispielnetz2</simulation name> <ssh key version="2">/root/.ssh/id rsa.pub</ssh key> <automac/> <ip offset>100</ip offset> <host mapping/> </global> <net name="net1"/> <net name="net2"/> <vm name="host1"> <filesystem type="cow">/usr/local/share/vnuml/filesystems/root fs tutorial </filesystem> <mem>50m</mem> <if id="1"net="net1"> <ipv4> </ipv4> <route type="inet"gw=" ">default</route> <vm name="router1"> <filesystem type="cow">/usr/local/share/vnuml/filesystems/root fs tutorial</filesystem> <if id="1"net="net1"> <ipv4> </ipv4> <if id="2"net="net2"> <ipv4> </ipv4> <vm name="router2"> <filesystem type="cow">/usr/local/share/vnuml/filesystems/root fs tutorial</filesystem> <if id="1"net="net1"> <ipv4> </ipv4> <route type="inet"gw=" "> /24</route> <vm name="host2"> <filesystem type="cow">/usr/local/share/vnuml/filesystems/root fs tutorial</filesystem> <if id="1"net="net2"> <ipv4> </ipv4> 33

34 <route type="inet"gw=" ">default</route> </vnuml> Syntax des Beispielnetzes 3 <!DOCTYPE vnuml SYSTEM "/usr/local/share/xml/vnuml/vnuml.dtd"> <vnuml> <global> <version>1.5</version> <simulation name>beispielnetz3</simulation name> <ssh key version="2">/root/.ssh/id rsa.pub</ssh key> <automac/> <ip offset>100</ip offset> <host mapping/> </global> <net name="net0"/> <net name="net1"/> <net name="net2"/> <net name="net3"/> <net name="net4"/> <vm name="host1"> <filesystem type="cow">/usr/local/share/vnuml/filesystems/root fs tutorial </filesystem> <mem>50m</mem> <if id="1"net="net0"> <ipv4> </ipv4> <route type="inet"gw=" "> /24</route> <route type="inet"gw=" "> /24</route> <route type="inet"gw=" "> /24</route> <vm name="router1"> <filesystem type="cow">/usr/local/share/vnuml/filesystems/root fs tutorial</filesystem> <if id="1"net="net0"> <ipv4> </ipv4> <if id="2"net="net1"> <ipv4> </ipv4> <route type="inet"gw=" "> /24</route> <route type="inet"gw=" "> /24</route> <vm name="router2"> <filesystem 34

35 type="cow">/usr/local/share/vnuml/filesystems/root fs tutorial</filesystem> <if id="1"net="net1"> <ipv4> </ipv4> <if id="2"net="net2"> <ipv4> </ipv4> <if id="3"net="net3"> <ipv4> </ipv4> <route type="inet"gw=" "> /24</route> <vm name="router3"> <filesystem type="cow">/usr/local/share/vnuml/filesystems/root fs tutorial</filesystem> <if id="1"net="net2"> <ipv4> </ipv4> <if id="2"net="net3"> <ipv4> </ipv4> <if id="3"net="net4"> <ipv4> </ipv4> <route type="inet"gw=" "> /24</route> <route type="inet"gw=" "> /24</route> <route type="inet"gw=" "> /24</route> <host> <hostif net="net4"> <ipv4> </ipv4> </hostif> <route type="inet"gw=" "> /24</route> <route type="inet"gw=" "> /24</route> <route type="inet"gw=" "> /24</route> <route type="inet"gw=" "> /24</route> </host> </vnuml> Syntax des Beispielnetzes 4 <?xml version="1.0"encoding="utf-8"?> <!DOCTYPE vnuml SYSTEM "/usr/local/share/xml/vnuml/vnuml.dtd"> <vnuml> <global> <version>1.5</version> 35

36 <simulation name>beispiel2</simulation name> <ssh key version="2">/root/.ssh/id rsa.pub</ssh key> <automac/> <ip offset>100</ip offset> <host mapping/> </global> <net name=" Net0" mode=" uml switch"/> <net name=" Net1" mode=" uml switch"/> <net name=" Net2" mode=" uml switch"/> <net name=" Net3" mode=" uml switch"/> <vm name=" host1"> <filesystem type="cow">/usr/local/share/vnuml/filesystems/root fs tutorial</filesystem> <mem>50m</mem> <if id="1"net="net0"> <ipv4> </ipv4> <route type="inet"gw=" ">default</route> <vm name="router1"> <filesystem type="cow">/usr/local/share/vnuml/filesystems/root fs tutorial</filesystem> <if id="1"net="net0"> <ipv4> </ipv4> <if id="2"net="net1"> <ipv4> </ipv4> <route type="inet"gw=" ">default</route> <vm name="router2"> <filesystem type="cow">/usr/local/share/vnuml/filesystems/root fs tutorial</filesystem> <if id="1"net="net1"> <ipv4> </ipv4> <if id="2"net="net2"> <ipv4> </ipv4> <if id="3"net="net3"> <ipv4> </ipv4> <route type="inet"gw=" "> /24</route> <vm name="host2"> <filesystem type="cow">/usr/local/share/vnuml/filesystems/root fs tutorial</filesystem> <if id="1"net="net2"> <ipv4> </ipv4> <route type="inet"gw=" ">default</route> 36

37 <vm name="host3"> <filesystem type=cow /usr/local/share/vnuml/filesystems/root fs tutorial</filesystem> <if id="1"net="net3"> <ipv4> </ipv4> <route type="inet"gw=" ">default</route> </vnuml> Syntax des Beispielnetzes 5 <?xml version="1.0"encoding="utf-8"?> <!DOCTYPE vnuml SYSTEM "/usr/local/share/xml/vnuml/vnuml.dtd"> <vnuml> <global> <version>1.5</version> <simulation name>beispiel3-redirect</simulation name> <ssh key version="2">/root/.ssh/id rsa.pub</ssh key> <automac/> <ip offset>100</ip offset> <host mapping/> </global> <net name=" Netz1" mode=" uml switch"/> <net name=" Netz2" mode=" uml switch"/> <net name=" Netz3" mode=" uml switch"/> <vm name=" host1"> <filesystem type="cow">/usr/local/share/vnuml/filesystems/root fs tutorial</filesystem> <mem>50m</mem> <if id="1"net="netz1"> <ipv4> </ipv4> <route type="inet"gw=" ">default</route> <vm name="router1"> <filesystem type="cow">/usr/local/share/vnuml/filesystems/root fs tutorial</filesystem> <if id="1"net="netz1"> <ipv4> </ipv4> <if id="2"net="netz2"> <ipv4> </ipv4> <vm name="host2"> <filesystem type="cow">/usr/local/share/vnuml/filesystems/root fs tutorial</filesystem> <if id="1"net="netz1"> <ipv4> </ipv4> 37

38 <if id="2"net="netz3"> <ipv4> </ipv4> <route type="inet"gw=" "> /24</route> <route type="inet"gw=" "> /16</route> <vm name="host3"> <filesystem type="cow">/usr/local/share/vnuml/filesystems/root fs tutorial</filesystem> <if id="1"net=netz2"> <ipv4> </ipv4> <route type="inet"gw=" ">default</route> </vnuml> 38

39 6.3 Aufgaben und Lösungen Nun sind Sie an der Reihe. Nachdem Sie hoffentlich alles gut verstanden haben, dürfen Sie noch zum Abschluss ein paar Aufgaben lösen Aufgaben Aufgabe 1: Konfigurieren Sie ein Netz, das aus drei Routern,zwei Hosts und drei Netzen besteht. 39

40 Aufgabe 2: Konfigurieren Sie wieder ein Netz, das aus drei Routern,zwei Hosts und drei Netzen besteht. Aber diesmal soll ein default-router eingebaut werden. Aufgabe 3: Dies ist eine Fehlerdatei. Versuchen sie, ohne testen, die Fehler in der Datei zu finden. Viel Erfolg!! <!DOCTYPE vnuml SYSTEM "/usr/local/share/xml/vnuml/vnuml.dtd"> <vnuml> <global> <version>1.5</version> <simulation name>bsp3</simulation name> <ssh key version="2">/root/.ssh/id rsa.pub</ssh key> <automac/> <ip offset>100</ip offset> <host mapping/> 40

41 </global> <net name="net0"/> <net name="net1"/> <net name="net2"/> <vm name="host1"> <filesystem type="cow">/usr/local/share/vnuml/filesystems/root fs tutorial </filesystem> <mem>50m</mem> <if id="1"net="net0"> <ipv4> </ipv4> <route type="inet"gw=" ">default</route> <vm name="rech1"> <filesystem type="cow">/usr/local/share/vnuml/filesystems/root fs tutorial</filesystem> <if id="1"net="net0"> <ipv4> </ipv4> <if id="2"net="net1"> <ipv4> </ipv4> <route type="inet"gw=" "> /24</route> <route type="inet"gw=" "> /24</route> <vm name="rech2"> <filesystem type="cow">/usr/local/share/vnuml/filesystems/root fs tutorial</filesystem> <if id="1"net="net2"> <ipv4> </ipv4> <if id="2"net="net1"> <ipv4> </ipv4> <route type="inet"gw=" ">default</route> <vm name="rech3"> <filesystem type="cow">/usr/local/share/vnuml/filesystems/root fs tutorial</filesystem> <if id="1"net="net0"> <ipv4> </ipv4> <if id="2"net="net1"> <ipv4> </ipv4> <route type="inet"gw=" ">default</route> 41

42 <vm name="host2"> <filesystem type="cow">/usr/local/share/vnuml/filesystems/root fs tutorial</filesystem> <if id="1"net="net1"> <ipv4> </ipv4> <route type="inet"gw=" ">default</route> </vnuml> Lösungen Lösung zu Aufgabe 1: <!DOCTYPE vnuml SYSTEM "/usr/local/share/xml/vnuml/vnuml.dtd"> <vnuml> <global> <version>1.5</version> <simulation name>bsp1</simulation name> <ssh key version="2">/root/.ssh/id rsa.pub</ssh key> <automac/> <ip offset>100</ip offset> <host mapping/> </global> <net name="net0"/> <net name="net1"/> <net name="net2"/> <vm name="host1"> <filesystem type="cow">/usr/local/share/vnuml/filesystems/root fs tutorial </filesystem> <mem>50m</mem> <if id="1"net="net0"> <ipv4> </ipv4> <route type="inet"gw=" "> /24</route> <route type="inet"gw=" "> /24</route> <vm name="router1"> <filesystem type="cow">/usr/local/share/vnuml/filesystems/root fs tutorial</filesystem> <if id="1"net="net0"> <ipv4> </ipv4> <if id="2"net="net2"> <ipv4> </ipv4> 42

43 <route type="inet"gw=" "> /24</route> <vm name="router2"> <filesystem type="cow">/usr/local/share/vnuml/filesystems/root fs tutorial</filesystem> <if id="1"net="net2"> <ipv4> </ipv4> <if id="2"net="net1"> <ipv4> </ipv4> <route type="inet"gw=" "> /24</route> <route type="inet"gw=" "> /24</route> <vm name="router3"> <filesystem type="cow">/usr/local/share/vnuml/filesystems/root fs tutorial</filesystem> <if id="1"net="net0"> <ipv4> </ipv4> <if id="2"net="net1"> <ipv4> </ipv4> <route type="inet"gw=" "> /24</route> <vm name="host2"> <filesystem type="cow">/usr/local/share/vnuml/filesystems/root fs tutorial</filesystem> <if id="1"net="net1"> <ipv4> </ipv4> <route type="inet"gw=" "> /24</route> </vnuml> Lösung zu Aufgabe 2: <!DOCTYPE vnuml SYSTEM "/usr/local/share/xml/vnuml/vnuml.dtd"> <vnuml> <global> <version>1.5</version> <simulation name>bsp2</simulation name> <ssh key version="2">/root/.ssh/id rsa.pub</ssh key> <automac/> 43

44 <ip offset>100</ip offset> <host mapping/> </global> <net name="net0"/> <net name="net1"/> <net name="net2"/> <vm name="host1"> <filesystem type="cow">/usr/local/share/vnuml/filesystems/root fs tutorial </filesystem> <mem>50m</mem> <if id="1"net="net0"> <ipv4> </ipv4> <route type="inet"gw=" ">default</route> <vm name="router1"> <filesystem type="cow">/usr/local/share/vnuml/filesystems/root fs tutorial</filesystem> <if id="1"net="net0"> <ipv4> </ipv4> <if id="2"net="net2"> <ipv4> </ipv4> <route type="inet"gw=" "> /24</route> <route type="inet"gw=" "> /24</route> <vm name="router2"> <filesystem type="cow">/usr/local/share/vnuml/filesystems/root fs tutorial</filesystem> <if id="1"net="net2"> <ipv4> </ipv4> <if id="2"net="net1"> <ipv4> </ipv4> <route type="inet"gw=" ">default</route> <vm name="router3"> <filesystem type="cow">/usr/local/share/vnuml/filesystems/root fs tutorial</filesystem> <if id="1"net="net0"> <ipv4> </ipv4> <if id="2"net="net1"> <ipv4> </ipv4> 44