summary: Praktikum 1 - Hinweis 4 id: hint_1_4 categories: Hinweise tags: Wireshark status: Draft authors: Rolf Winter analytics account: UA-50831568-1

Hinweise zum Praktikum 1

Hinweis 1

Duration: 1:00

Falls Sie bei den Aufgaben zuvor an der Reihenfolge der Pakete etwas verändert haben, indem Sie z.B. die Pakete nach Länge sortiert haben, sollte Sie dies zunächst wieder rückgängig machen, indem Sie nach Spalte Time oder No. sortieren. Jetzt sollte es einfach sein das Paket mit der Rahmennummer (No.) 929 zu finden. Sie können natürlich auch entsprechend filtern mit frame.number == 929, aber wir brauchen auch die Antwort, weshalb dieser Filter im Folgenden zu strickt wäre. Da wir die Zeit ab diesem Paket messen wollen, setzen wir die Zeitreferenz hier auf 0, d.h. die Spalte Time zeigt ab hier ab diesem Paket wieder 0 an und fängt erneut an hochzuzählen. Dazu einfach mit der rechten Maustaste auf das Paket klicken und Set/unset Time Reference auswählen. Sie sollten nun neben dem Paket in der Time-Spalte *Ref* sehen und alle Zeiten der Pakete danach beziehen sich auf dieses Paket. Versuchen Sie jetzt die Antwort zu finden, dann können Sie die Zeit einfach in der Time-Spalte ablesen.

Hinweis 2

Duration: 1:00

Die Antwort zu finden ist erstaunlich leicht. Man könnte nach dem TCP Viertupel (also IP-Adressen und Port-Nummern) filtern. Dazu gäbe es auch einen Shortcut im Analyze-Menü. Dort findet sich ein Untermenüpunkt namens Conversation Filter und hier könnte man TCP aussuchen. Die Filterzeile füllt sich dann entsprechend. Hier sind aber alle TCP-Pakete aufgeführt und uns interessiert nur HTTP, also müsste man hier dem Filter noch ein && http hinzufügen. Das funktioniert hier sogar, allerdings funktioniert diese Methode nur bei persistentem HTTP, d.h. wenn die TCP-Verbindung die gleiche bleibt, denn Sie sollten sehen, dass die erste Anfrage mit einer Weiterleitung (Status Code 302) beantwortet wird. Die eigentliche Antwort kommt erst nach ca. 39ms mit dem Status Code 200! Es gibt noch eine andere Möglichkeit, die HTTP-Antwort auf eine Anfrage zu finden. Schauen Sie mal in den HTTP-Details der Anfrage nach!

Hinweis 3

Duration: 1

In der Detailansicht der HTTP-Anfrage im Paket 929 finden Sie im HTTP-Teil einen Link zur Antwort [Response in frame: 933]. Diesem können Sie folgen, indem sie einfach darauf klicken. Hier sieht man ebenfalls den Status Code 302 und man muss nun nach dem Location-Header suchen (der fällt evtl. nicht gleich auf, da er sehr lang ist und abgeschnitten wird, so dass vor dem Header [truncated] steht). Der Location-Header zeigt an wohin die nächste Anfrage gehen soll. Hier ist nur ein Pfad angegeben, also bleibt der Host der gleiche. Man sieht im Paket 935 wird der nächste HTTP-Request gestellt und tatsächlich ist die angefragte Ressource die aus dem eben betrachteten Location-Header. Hier kann man wie eben einfach zur Antwort springen und voila, die Antwort, die die angefragte Ressource auch wirklich enthält.