Лабораторная работа №2. Анализ пакетного трафика
Цель работы: знакомство с принципами работы программы анализа пакетного трафика Wireshark;
практическое освоение приемов работы сбора и анализа трафика с помощью утилиты Wireshark.
Задачи
- практическое освоение приемов работы сбора и анализа трафика с помощью утилиты Wireshark (фильтры захвата и отображения);
- получение навыков работы с настройками печати и сохранения.
Методика выполнения работы
Запустите программу Wireshark.
2. Выполните команду меню Capture -> Options. В открывшемся диалоговом окне устанавливаются следующие параметры захвата кадров (рис. 2.1):
Рис. 2.1. Окно настройки параметров захвата
− Interface — сетевой адаптер;
Очень важно выбрать соответствующий сетевой адаптер, иначе запись кадров будет производиться из другого сегмента сети. В компьютере, имеющем всего один сетевой адаптер, среди возможных сетевых интерфейсов часто присутствует контроллер удаленного доступа.
− Buffer size — размер буфера захвата (по умолчанию 1 Мб);
При малом размере буфера существует опасность того, что при его заполнении запись новых кадров будет производиться поверх записанных ранее.
− Capture packets in promiscuous mode — использование режима беспорядочного захвата.
− Limit each packet to — запись только нескольких первых байт (определяется установленным значением параметра) каждого кадра;
− Capture Filter — фильтр захвата;
Фильтр захвата экономит объем буфера, отбрасывая «лишний мусор», однако увеличивает нагрузку на процессор, вследствие чего некоторые кадры могут быть потеряны. Поэтому в некоторых случаях вместо фильтра записи предпочтительнее использовать фильтр отображения кадров в буфере, а запись производить без фильтрации.
− Capture File(s) — файл захвата;
Опция полезна при осуществлении захвата трафика в течение длительного периода времени.
− Stop Capture — условия автоматического завершения захвата;
− Display Options — отображение пакетов в реальном времени и автоматический скроллинг окна информации;
Опции увеличивают нагрузку на процессор, вследствие чего некоторые кадры могут быть потеряны.
− Name Resolution — разрешение имен на физическом, сетевом и транспортном уровнях.
3. Уберите маркер напротив опции «Capture packets in promiscuous mode» для захвата только «своих» кадров (кадры с широковещательным адресом также будут захватываться). В таком режиме работы число захваченных пакетов будет существенно меньше, что облегчит выполнение заданий.
4. В командной строке сеанса MS-DOS для очистки кэша протокола ARP выполните команду arp -d. В Wireshark для запуска процесса захвата нажмите кнопку «Capture». В командной строке выполните команду ping <имя_сервера> (в качестве параметра команды можно использовать IP-адрес сервера). По завершении команды Ping остановите захват, нажав кнопку «Stop».
На экране монитора в программе Wireshark вы увидите несколько панелей с отображением сетевых пакетов, только что записанных в буфер. Общий вид окна приложения представлен на рисунке 2.2.
Рис. 2.2. Общий вид приложения Wireshark
Пользовательский интерфейс программы содержит следующие компоненты:
− меню команд и панель инструментов;
− фильтр отображения пакетов;
− список пакетов в буфере;
− панель отображения декодера протоколов;
− панель отображения пакета в шестнадцатеричном коде и символах ASCII.
Панель со списком пакетов построчно отображает характеристики того или иного пакета (номер по порядку в буфере, время захвата, адреса источника и получателя, тип протокола и общая информация о нем). Перемещение по списку осуществляется с помощью мыши или клавиатуры, причем информация на двух других панелях обновляется автоматически. На панели декодера протоколов, нажимая указателем мыши на символы «+» или «–», можно отображать информацию о полях заголовков протоколов с требуемым уровнем детализации. При выборе того или иного служебного поля в заголовке оно автоматически выделяется на нижней панели, где отображается текущий пакет в шестнадцатеричном виде.
С помощью фильтра отображения можно быстро убрать «мусор». Выражение фильтрации может представлять собой просто название протокола, который присутствует в пакете на том или ином уровне вложенности. Например: arp — для отображения пакетов протокола ARP, tcp — для отображения пакетов, в которых присутствует заголовок протокола TCP.
5. Для отображения только ICMP-сообщений в строке ввода «Filter» наберите «icmp» и нажмите кнопку «Apply».
Более сложные выражения фильтрации строятся с помощью зарезервированных слов, обычно представляющих собой названия полей заголовков того или иного протокола, знака операции сравнения и конкретного значения в шестнадцатеричном или десятичном виде.
Например, выражение с операцией сравнения «Равно» записывается с помощью двойного знака равенства «==» (допустимо использование «eq»). Другие операции сравнения записываются с помощью следующих операторов:
a.!= (ne)— не равно, пример: eth.type!= 0x0800;
b. > (gt)— больше, пример: tcp.srcport > 1023;
c. < (lt)— меньше, пример: frame.pkt_len lt 60;
d. >= (ge)— больше или равно, пример: frame.pkt_len ge 60;
e. <= (le)— меньше или равно, пример: tcp.dstport <=1023.
