Kwalifikacje w Zawodzie - Testy zawodowe online | Egzaminy Zawodowe

KWALIFIKACJA INF2 - STYCZEŃ 2017 (test 2)



PYTANIE NR 26.
Na rysunku jest przedstawiony fragment procesu komunikacji z serwerem przechwyconej przez program Wireshark. Który to serwer?
Ilustracja przedstawia fragment procesu komunikacji z serwerem DHCP, przechwyconego przez program Wireshark.
A.
B.
C.
D.
Wyjaśnienie poprawnej odpowiedzi:
DHCP rozpoznaje się w Wireshark po typowej wymianie komunikatów (np. Discover/Offer/Request/Ack) realizowanej zwykle jako broadcast oraz po transporcie UDP na portach 67/68. DNS używa zwykle UDP/TCP 53, FTP pracuje na TCP, a ruch WWW to HTTP/HTTPS na portach 80/443.

Pełne wyjaśnienie:

W przechwyconym ruchu w Wireshark serwer DHCP najłatwiej zidentyfikować po tym, że komunikacja dotyczy automatycznego nadania konfiguracji IP (adresu, maski, bramy, DNS) i ma charakterystyczny przebieg. Typowy scenariusz to sekwencja znana jako DORA: Discover (klient szuka serwera), Offer (serwer proponuje dzierżawę), Request (klient prosi o konkretną ofertę), Ack (serwer potwierdza). W praktyce wiele takich ramek/pakietów jest wysyłanych jako broadcast, bo klient na początku nie ma jeszcze pełnej konfiguracji.

Dodatkową, bardzo pewną wskazówką są porty i transport: DHCP działa standardowo na UDP 67/68 (serwer i klient korzystają z różnych portów). Jeżeli w zrzucie widać te porty albo pola/protokół oznaczone jako BOOTP/DHCP, to identyfikacja serwera jako DHCP jest uzasadniona.

  • DNS nie służy do przydzielania adresów, tylko do tłumaczenia nazw na adresy IP. W przechwycie typowo pojawiają się zapytania i odpowiedzi na porcie 53 (UDP lub czasem TCP) oraz nazwy domen.
  • FTP to usługa transferu plików, oparta o TCP. W ruchu często widać komendy tekstowe (np. logowanie) i dłuższe połączenia, a nie krótką sekwencję negocjacji konfiguracji IP.
  • WWW odnosi się do HTTP/HTTPS. W przechwycie dominują połączenia TCP (lub QUIC/UDP dla HTTP/3) i zapytania do serwerów www; nie występuje tam typowy mechanizm nadania adresu IP hostowi.

Na egzaminie warto ćwiczyć: (1) odczyt portów i protokołu, (2) rozpoznawanie wzorca komunikatów, (3) rozróżnianie usług infrastrukturalnych (DHCP/DNS) od aplikacyjnych (FTP/WWW).

Dodatkowe pytania

Dodatkowe pytania (FAQ):
Jak rozpoznać DHCP w Wireshark na egzaminie?
Najczęściej po wzorcu wymiany Discover/Offer/Request/Ack oraz po portach UDP 67/68. Dodatkowo ruch bywa broadcast (klient jeszcze nie ma adresu), a protokół może być opisany jako BOOTP/DHCP.
Dlaczego DHCP często używa broadcast w przechwycie?
Na początku klient nie zna jeszcze swojej konfiguracji i nie ma pewnego adresu docelowego serwera, więc wysyła pakiety rozgłoszeniowo. Dzięki temu serwer DHCP w tej samej sieci może odebrać zapytanie i odpowiedzieć ofertą dzierżawy.
Co oznacza skrót DORA w DHCP?
DORA to popularny skrót etapów uzyskania adresu: Discover (szukanie serwera), Offer (propozycja), Request (prośba klienta), Ack (potwierdzenie). W Wireshark często widać te komunikaty jako kolejne pakiety.
Jakie porty wykorzystuje DHCP i jak to sprawdzić w Wireshark?
Standardowo DHCP działa na UDP 67 (serwer) i UDP 68 (klient). W Wireshark sprawdzisz to w kolumnach portów źródłowego/docelowego lub w szczegółach pakietu, a potem możesz użyć filtra wyświetlania dla DHCP.
Jaka jest różnica między DHCP a DNS w analizie ruchu?
DHCP dotyczy nadania konfiguracji IP hostowi i ma sekwencję typu DORA oraz porty UDP 67/68. DNS służy do tłumaczenia nazw na IP i w przechwycie widać zapytania/odpowiedzi (queries/responses) zwykle na porcie 53 oraz nazwy domen.
Czy FTP może wyglądać podobnie do DHCP w Wireshark?
Zwykle nie. FTP działa na TCP i często zawiera dłuższe sesje oraz komendy tekstowe związane z logowaniem i transferem. DHCP to krótkie pakiety negocjacji konfiguracji sieciowej, zazwyczaj na UDP 67/68 i często z elementami broadcast.
Czy ruch WWW w Wireshark da się pomylić z DHCP?
Raczej nie, jeśli sprawdzisz warstwę transportową i kontekst. WWW to głównie HTTP/HTTPS (zwykle porty 80/443) i połączenia do serwerów aplikacyjnych. DHCP pojawia się przy starcie interfejsu sieciowego i dotyczy uzyskania adresu, nie pobierania stron.
Jakie filtry Wireshark pomagają znaleźć pakiety DHCP?
Najprościej filtrować po samym protokole DHCP/BOOTP lub po portach UDP 67/68. Na egzaminie kluczowe jest, aby umieć zawęzić widok do ruchu usługi infrastrukturalnej i zobaczyć całą sekwencję negocjacji.
Kiedy w praktyce administrator analizuje DHCP w Wireshark?
Gdy stacja nie dostaje adresu IP, dostaje złą bramę/DNS, występują konflikty wielu serwerów DHCP albo podejrzenie "obcego" DHCP w sieci. Przechwyt pozwala zobaczyć, czy jest Discover, czy serwer odpowiada i co oferuje.
Jakie błędy najczęściej popełnia się przy rozpoznawaniu serwera na podstawie przechwycenia?
Najczęściej wybiera się usługę "na skróty" po skojarzeniu (np. DNS, bo "sieć"), zamiast sprawdzić porty i typ komunikatów. Drugim błędem jest patrzenie na pojedynczy pakiet, a nie na cały przebieg wymiany (np. brak analizy sekwencji DORA).
info

Około 51% zdających odpowiada poprawnie na to pytanie. trudne

Eksperci podkreślają: "DHCP rozpoznaje się w Wireshark po typowej wymianie komunikatów (np. Discover/Offer/Request/Ack) realizowanej zwykle jako broadcast oraz po transporcie UDP na portach 67/68."

Źródła:

  • RFC 2131: Dynamic Host Configuration Protocol (DHCP), IETF, March 1997
  • Wireshark User's Guide: Display Filters (m.in. filtrowanie i identyfikacja protokołów), https://www.wireshark.org/docs/wsug_html_chunked/ - accessed 2026-02-27
  • RFC 1035: Domain Names - Implementation and Specification (DNS), IETF, November 1987

Materiały:

  • Dokumentacja Wireshark: rozdziały o filtrach wyświetlania i identyfikacji protokołów
  • Materiały dydaktyczne z zakresu usług sieciowych w LAN (DHCP, DNS) dla poziomu technika
  • RFC opisujące DHCP oraz inne protokoły z listy odpowiedzi (dla porównania cech ruchu)
Zobacz też:

Aktualizacja pytania: 31.03.2026



Aktualizacja pytania: 31.03.2026
📡 Brak połączenia internetowego