Тема: Моніторинг мережі. Сніффер Wireshark

ЛАБОРАТОРНА РОБОТА № 1

Основні поняття: моніторинг мережі, захоплення пакетів, реассемблювання пакетів, кількісні характеристики працездатності мережі, tcpdump, Ethereal Network Analyzer, Wireshark, NetMon.

Мета роботи: Одержати та засвоїти базові навички моніторингу мережі з використанням програм для аналізу протоколів.

Розуміння мережних протоколів можна значно поглибити, якщо «побачити ці протоколи в дії», «погратися з ними», а саме, дослідити послідовність повідомлень, які виникають при взаємодії двох сутностей (програм або мережних модулів) при використанні протоколу, заглиблюючись в команди протоколу; дивлячись, як протокол виконує певні дії, а потім оцінювати наслідки цих дій. Це може бути зроблено за допомогою симуляції або ж в «реальному» мережному оточенні. В даній лабораторній роботі ми застосуємо останній підхід. Ви запустите деякий мережний додаток за різними сценаріями (підходами), використовуючи комп’ютер. Ви будете досліджувати мережні протоколи на комп’ютері «в дії», взаємодіючи і обмінюючись сутностями протоколу з серверами десь в Інтернеті. Таким чином, ви і ваш комп’ютер станете невід’ємними частинами «живої» лабораторної роботи. Ви будете досліджувати і спостерігати все в дії.

Як інструмент дослідження використано програму Wireshark, що вільно розповсюджується під ліцензією GNU GPL. Wireshark (раніше — Ethereal) — програма для аналізу пакетів різних мережних технологій (сніффер). Програма має графічний інтерфейс користувача, дозволяє користувачеві переглядати весь трафік, що проходить по мережі в режимі реального часу, переводячи мережну карту в наскрізний режим (promiscuous mode).

Під моніторингом мережі розуміють процес збору та аналізу мережевого трафіка, за результатами якого можна судити про якісні та кількісні характеристики працездатності мережі або її окремих компонентів.

Програми моніторингу мережі дозволяють виконувати захоплення пакетів і їх реассемблірування § для подальшого аналізу.

Для моніторингу використовують спеціальні програми – аналізатори мережі. Таких програм багато, наприклад Windows Network Monitor, tcpdump, Ethereal Network Analyzer (ENA), Wireshark і т.п. Вони схожі за функціями, а відрізняються в основному інтерфейсом користувача і можливостями генерації статистичних звітів. На рис. 1 наведені приклади таких програм.

Для виконання цієї роботи рекомендується використовувати програми Ethereal Network Analyzer або Wireshark (версії для UNIX / Linux, Windows-версія працює не стабільно).

 

Рисунок 1 – Програми аналізу трафіку. Головне вікно програми Wireshark

з результатами захоплення і програма tcpdump (в консолі)

 

Ці програми практично ідентичні як за можливостями, так і за використанням.

Програма для спостереження за обміном повідомленнями між двома запущеними користувачами протоколу називається пакетним сніффером. Виходячи зі свого імені, пакетний сніффер ловить («sniffs – нюхає», англ.) повідомлення, що були прийняті / відправлені з якогось / на якийсь комп’ютер. Сніффер також може зберігати і / або показувати вміст різних полів протоколів в цих перехоплених повідомленнях. Пакетний сніффер сам по собі є пасивним інструментом. Він стежить за повідомленнями, які були відправлені і прийняті якимись прикладними програмами, що працюють на вашому комп’ютері, але він ніколи сам не відсилає пакети. Крім того, отримані пакети ніколи не адресуються прямо на сніффер. Сніффер отримує копію вхідних / вихідних пакетів різних додатків і протоколів, що виконуються на комп'ютері.

На рис. 2 представлено стуктуру сніффера пакетів. Праворуч – протоколи (в даному випадку – протоколи Інтернет) і прикладні програми (такі, як браузер або FTP-client), що зазвичай працюють на вашому комп’ютері. Снііфер пакетів, показаний у пунктирному прямокутнику є доповненням до звичайної програми на вашому комп'ютері, і складається з двох частин: бібліотеки перехоплення пакетів (pcap для Linux або Winpcap для Windows), що отримує копію фреймів, що передаються з вашого / на ваш комп'ютер. Всі повідомлення, якими обмінюються протоколи верхнього рівня (такі, як HTTP, FTP, TCP, UDP, DNS, IP) інкапсулюються§ в кадри канального рівня, які в свою чергу передаються через фізичний носій (наприклад, мережу Ethernet). На рис. 1 передбачається, що фізичне середовище – Ethernet, тому всі протоколи верхнього рівня інкапсулюються в кадр Ethernet. Перехоплення всіх кадрів канального рівня дає нам всі повідомлення, передані та отримані всіма протоколами та програмами, що виконуються на комп'ютері.

 

Рисунок 2 – Структура пакетного сніффера

 

Другим компонентом сніффера пакетів є аналізатор, який відображає вміст всіх полів перехоплених повідомлень. Аналізатор повинен «розуміти» структуру всіх повідомлень, якими обмінюються протоколи. Припустимо, ми зацікавлені в перегляді різних полів протоколу HTTP. Аналізатор пакетів розуміє формат фреймів Ethernet, і тому може ідентифікувати IP датаграму, що знаходиться в цьому Ethernet-фреймі. Він також розуміє формат IP датаграм, тому він може вилучити дані сегмента TCP, що міститься в цій IP датаграмі. Також аналізатор розуміє структуру TCP сегменту, тому він може отримати повідомлення HTTP, що містяться в даному TCP сегменті. Нарешті, він розуміє протокол HTTP і, наприклад, знає, що перший байт повідомлення HTTP буде містити рядок «GET», «POST», або «HEAD».

У цих роботах будемо використовувати сніффер пакетів Wireshark, що дозволить нам показати зміст повідомлень, відправлених / отриманих протоколами різних рівнів стеку. (З технічної точки зору, Wireshark є графічною оболонкою, яка використовує бібліотеки перехоплення пакетів).

Це ідеальний аналізатор пакетів для нашої лабораторної роботи – він є стабільним, має велику базу користувачів і має хорошу документацію, яка містить в собі:

- інструкцію користувача (http://www.wireshark.org/docs/wsug_html_chunked/),

- сторінки документації (man (manual) pages) (http://www.wireshark.org/docs/man-pages/),

- а також детальний FAQ (Frequently Asked Questions – питання, що виникають найчастіше) (http://www.wireshark.org/faq.html).

Wireshark (практично повний аналог Ethereal Network Analyzer) - це мультипротокольний мережний аналізатор з графічним інтерфейсом. Програма дозволяє в інтерактивному режимі переглядати пакети, що передаються по мережі або аналізувати раніше захоплені пакети, завантаживши їх з збереженого файлу.

Wireshark дає можливість аналізувати сотні мережних протоколів різних рівнів і має добре розроблений інтерфейс користувача. Wireshark працює на комп'ютерах, що використовують технології Ethernet, Token-Ring, FDDI, послідовний порт (PPP і SLIP), бездротові локальні мережі стандартів 802.11, а також (якщо ОС, на якій працює Wireshark, дозволяє це робити) з'єднання АТМ.

Онлайн-аналіз трафіка

У глобальній мережі все більшого поширення набувають онлайн–сервіси, що виконують моніторинг серверів. Основне призначення таких сервісів – контроль за працездатністю вузлів і оповіщення адміністратора про нештатні ситуації електронною поштою, через IM§ і по SMS. Основні перевірки виконуються для сервісів прикладного рівня (HTTP, FTP, SMTP, POP3 і т.п.) з можливістю вказівки інтервалу перевірок. Додатковими можливостями є, наприклад, uptime-інформери, засоби контролю за появою шкідливого коду, підключення декількох ресурсів на аккаунт і т.п. Детальне вивчення онлайн-сервісів моніторингу виходить за рамки цієї лабораторної роботи.

Перш ніж приступити до виконання завдань лабораторної роботи, необхідно виконати наступні дії:

• встановити програму WireShark;

• ознайомитися з коротким керівництвом користувача і документацією;

• запустити програму (потрібні права суперкористувача) та ознайомитися з користувацьким інтерфейсом і основними пунктами меню.