В лабораторной работе исследуется два типа трафика: broadcast (широковещательный, на примере протокола ARP) и unicast (на примере протокола http). Лабораторная работа проводится с использованием свободно распространяемого (лицензия GNU GPL) анализатора трафика Wireshark.
В настоящее время существует достаточно большой выбор анализаторов трафика – специальных программ, позволяющих получить информацию о пакетах, передающихся по исследуемой сети. Все они, несмотря на различных разработчиков, объединены одной идеей: предоставить возможность не только определить тип пакета, но и его структуру. Информация о структуре пакета в Wireshark выводится в виде таблиц анализа (рис. 1).
Таблица анализа представляет собой три поля, которые заполняются динамически по мере поступления пакетов. В основной части представлена информация о соединении: МАС-адреса источника и получателя, IP-адреса источника и получателя, протокол, порт отправителя и порт получателя. Обратите внимание – зарезервированные порты часто обозначаются именем протокола: например, порты 80 и 8080 могут обозначаться как http. Одна строка в этой таблице относится к одному пакету. При выделении строки в двух других окнах появляется информация о структуре пакета.
Поле со структурой пакета позволяет определить, как заполнены поля протоколов в соответствии со стандартом. Это позволяет определить адреса отправителя и получателя, номер порта, корректность контрольной суммы и т.п. Поле с представлением пакета в ASCII кодах и 16-ричной системе дает представление о реальном виде пакета при передаче по сети. В большинстве анализаторов предусмотрена возможность выделения пункта в поле со структурой пакета и одновременное выделение соответствующих знаков в поле с представлением пакета в 16-ричной системе.
Рис. 1 – Пример таблицы анализа: пакет http, запрос к серверу
Также анализатор трафика позволяет собрать статистику о пакетах, проходящих по сети на различных уровнях модели TCP/IP. В качестве примера на рисунке 2 представлена статистика по размерам пакетов (Statistics ® Packet Lengths), а на рисунке 3 – по типам протоколов и видам данных, встречающихся в захваченном трафике (Statistics ® Protocol Hierarchy).
Рис. 2 – Пример статистики по размерам пакетов
Рис. 3 – Пример статистики по типам протоколов.
При необходимости можно визуально оценить на общем графике интенсивность интересующих видов трафика по протоколам (до пяти протоколов одновременно), настроив соответствующим образом фильтры в окне IO Graphs (как показано на рисунке 4). Данный инструмент находится в меню Statistics ® IO Graphs.
Рис. 4 – Графики интенсивности захваченного трафика.
Кроме того, в большинстве анализаторов можно увидеть статистику по хостам. На сетевом уровне такая статистика (Statistics ® IP Destinations) позволяет оценить долю трафика соответствующую конкретным IP-адресам и используемым ими протоколам (см. рис. 5).
Инструмент Graph Analysis из меню Statistics, окно которого показано на рисунке 6, позволяет в графическом виде представлять процедуры обмена данными на основании захваченного трафика.
Рис. 5 – Статистика IP-адресов в захваченном трафике
Рис. 6 – Диаграммы соединений.
Задание на лабораторную работу:
1. Запустить анализатор трафика Wireshark. После выбора требуемого сетевого интерфейса кнопкой Start начать сбор трафика (см. рис. 7).
Рис. 7 – Запуск процедуры сбора пакетов
2. Настроить фильтр на широковещательный трафик (см. рис. 8): нажатием на кнопку Filter в панели инструментов Wireshark запустить окно выбора/создания фильтра, ввести любое имя для нового фильтра в поле Filter Name, а в качестве фильтрующего выражения (Filter String) выставить название протокола «arp». Для применения фильтра нажмите кнопку «Apply» на панели инструментов.
Рис. 8 – Настройка фильтра для анализа ARP-пакетов
3. Разобрать пакет ARP: запрос и ответ. Снять скриншоты экранов с таблицами анализа протокола ARP.
4. Убрать настройку фильтров. Запустить браузер, набрать URL какого-либо веб-ресурса (по желанию студента или заданию преподавателя). Отследить и разобрать пакеты DNS (запрос и ответ).
5. Разобрать пакеты http двух типов: запрос (GET) и ответ сервера. Снять скриншоты экранов: таблицы анализа, график интенсивности трафика HTTP в общем трафике, диаграмму соединений.
6. На основании данных об IP-адресах в полученном трэйсе и инструмента Graph Analysis, построить карту сети (см. рис. 9), указав с помощью соединительных линий логические связи (т.е. наличие соединений) между хостами.
Рис. 9 – Пример карты сети
К защите:
1. Знать принципы формирования пакетов в локальных сетях (технологии IP и Ethernet).
2. Иметь представление о функциях и процессе формирования пакетов протоколов ARP и HTTP, запросов/ответов DNS, понимать особенности широковещательного трафика.
3. Представить отчет, содержащий скриншоты для всех исследуемых протоколов: таблицы с анализом трафика, графики, диаграммы.
Рекомендуемая литература:
1. Wireshark User Guide, U.Lamping, R.Sharpe, E.Warnicke. http://www.wireshark.org/docs/wsug_html_chunked.
2. Олифер Н. А., Олифер В.Г. Компьютерные сети. Принципы, технологии, протоколы. Издание 4-е. Питер, 2010.
