Запустите программу Wireshark.

Лабораторная работа №2. Анализ пакетного трафика

Цель работы: знакомство с принципами работы программы анализа пакетного трафика Wireshark;

практическое освоение приемов работы сбора и анализа трафика с помощью утилиты Wireshark.

Задачи

- практическое освоение приемов работы сбора и анализа трафика с помощью утилиты Wireshark (фильтры захвата и отображения);

- получение навыков работы с настройками печати и сохранения.

Методика выполнения работы

Запустите программу Wireshark.

2. Выполните команду меню Capture -> Options. В открывшемся диалоговом окне устанавливаются следующие параметры захвата кадров (рис. 2.1):

Рис. 2.1. Окно настройки параметров захвата

− Interface — сетевой адаптер;

Очень важно выбрать соответствующий сетевой адаптер, иначе запись кадров будет производиться из другого сегмента сети. В компьютере, имеющем всего один сетевой адаптер, среди возможных сетевых интерфейсов часто присутствует контроллер удаленного доступа.

− Buffer size — размер буфера захвата (по умолчанию 1 Мб);

При малом размере буфера существует опасность того, что при его заполнении запись новых кадров будет производиться поверх записанных ранее.

− Capture packets in promiscuous mode — использование режима беспорядочного захвата.

− Limit each packet to — запись только нескольких первых байт (определяется установленным значением параметра) каждого кадра;

− Capture Filter — фильтр захвата;

Фильтр захвата экономит объем буфера, отбрасывая «лишний мусор», однако увеличивает нагрузку на процессор, вследствие чего некоторые кадры могут быть потеряны. Поэтому в некоторых случаях вместо фильтра записи предпочтительнее использовать фильтр отображения кадров в буфере, а запись производить без фильтрации.

− Capture File(s) — файл захвата;

Опция полезна при осуществлении захвата трафика в течение длительного периода времени.

− Stop Capture — условия автоматического завершения захвата;

− Display Options — отображение пакетов в реальном времени и автоматический скроллинг окна информации;

Опции увеличивают нагрузку на процессор, вследствие чего некоторые кадры могут быть потеряны.

− Name Resolution — разрешение имен на физическом, сетевом и транспортном уровнях.

3. Уберите маркер напротив опции «Capture packets in promiscuous mode» для захвата только «своих» кадров (кадры с широковещательным адресом также будут захватываться). В таком режиме работы число захваченных пакетов будет существенно меньше, что облегчит выполнение заданий.

4. В командной строке сеанса MS-DOS для очистки кэша протокола ARP выполните команду arp -d. В Wireshark для запуска процесса захвата нажмите кнопку «Capture». В командной строке выполните команду ping <имя_сервера> (в качестве параметра команды можно использовать IP-адрес сервера). По завершении команды Ping остановите захват, нажав кнопку «Stop».

На экране монитора в программе Wireshark вы увидите несколько панелей с отображением сетевых пакетов, только что записанных в буфер. Общий вид окна приложения представлен на рисунке 2.2.

Рис. 2.2. Общий вид приложения Wireshark

Пользовательский интерфейс программы содержит следующие компоненты:

− меню команд и панель инструментов;

− фильтр отображения пакетов;

− список пакетов в буфере;

− панель отображения декодера протоколов;

− панель отображения пакета в шестнадцатеричном коде и символах ASCII.

Панель со списком пакетов построчно отображает характеристики того или иного пакета (номер по порядку в буфере, время захвата, адреса источника и получателя, тип протокола и общая информация о нем). Перемещение по списку осуществляется с помощью мыши или клавиатуры, причем информация на двух других панелях обновляется автоматически. На панели декодера протоколов, нажимая указателем мыши на символы «+» или «–», можно отображать информацию о полях заголовков протоколов с требуемым уровнем детализации. При выборе того или иного служебного поля в заголовке оно автоматически выделяется на нижней панели, где отображается текущий пакет в шестнадцатеричном виде.

С помощью фильтра отображения можно быстро убрать «мусор». Выражение фильтрации может представлять собой просто название протокола, который присутствует в пакете на том или ином уровне вложенности. Например: arp — для отображения пакетов протокола ARP, tcp — для отображения пакетов, в которых присутствует заголовок протокола TCP.

5. Для отображения только ICMP-сообщений в строке ввода «Filter» наберите «icmp» и нажмите кнопку «Apply».

Более сложные выражения фильтрации строятся с помощью зарезервированных слов, обычно представляющих собой названия полей заголовков того или иного протокола, знака операции сравнения и конкретного значения в шестнадцатеричном или десятичном виде.

Например, выражение с операцией сравнения «Равно» записывается с помощью двойного знака равенства «==» (допустимо использование «eq»). Другие операции сравнения записываются с помощью следующих операторов:

a.!= (ne)— не равно, пример: eth.type!= 0x0800;

b. > (gt)— больше, пример: tcp.srcport > 1023;

c. < (lt)— меньше, пример: frame.pkt_len lt 60;

d. >= (ge)— больше или равно, пример: frame.pkt_len ge 60;

e. <= (le)— меньше или равно, пример: tcp.dstport <=1023.