Основы работы с Wireshark
Введение в сетевую безопасность
Методическое и программно-аппаратное обеспечение
Для выполнения данной практической работы студенты используют:
· рабочую станцию с установленной ОС семейства Windows;
· ПО Wireshark (https://www.wireshark.org/#download);
· ПО Technitium MAC Address Changer (http://technitium.com/tmac/index.html)
Введение
Цель практической работы – изучить основы работы технологии Ethernet и коммутации в локальных вычислительных сетях.
В ходе выполнения работы будет использоваться ПО Wireshark (https://www.wireshark.org/#download). Данное ПО используется для анализа сетевого трафика ЛВС.
Wireshark использует библиотеку WinPcap. Wireshark перехватывает пакеты, передаваемые и получаемые сетевой картой компьютера и отображает их в реальном времени при помощи графического интерфейса. Wireshark автоматически распознает типы протоколов и структуру сетевого трафика, отображает в удобном формате все значимые поля пакетов (включая адреса источника, назначения, служебные флаги, идентификаторы, полезную нагрузку). Копия полученных сетевых пакетов может быть сохранена для последующего анализа.
Программа Wireshark предусматривает также возможность фильтрации захватываемых пакетов в соответствии с заданными параметрами (что удобно при работе с большими объемами трафика). В качестве фильтров могут использоваться как определенный протокол, так и значения сетевых адресов, а также другие параметры. Фильтры могут включать в себя последовательность выражений, соединенных операторами and, or, not. Пример фильтра для захвата определенных пакетов: tcp port 443 and src host 192.168.1.112. Данный фильтр позволяет перехватывать только трафик с адресом источника 192.168.1.112 и портом TCP 443 (протокол SSL).
Подробное руководство по работе с Wireshark можно найти по ссылке https://www.wireshark.org/docs/wsug_html/.
ПО Technitium MAC Address Changer (http://technitium.com/tmac/index.html) является бесплатным и позволяет сменить MAC-адрес сетевой карты компьютера.
Задача
Подготовительная часть
1) Ознакомьтесь с описанием протокола Ethernet, описанием структуры Ethernet-кадра («фрейма») и MAC-адреса.
2) Определите текущие MAC-адреса сетевых адаптеров вашего рабочего компьютера. Для этого в командной строке Windows выполните команду
Getmac /FO list /v
3) Запомните текущие MAC-адреса сетевых адаптеров вашего компьютера. Для этого можно воспользоватсья командой
getmac /FO list /v > MACaddrlist.txt
Эта команда сохранит список MAC-адресов в текстовом файле MACaddrlist.txt. По умолчанию, данный текстовый файл будет создан в папке текущего пользователя (C:\Users\<имя пользователя>).
4) Скачайте и установите на рабочий компьютер ПО Wireshark https://www.wireshark.org/#download
5) Скачайте и установите на рабочий компьютер ПО Cisco Packet Tracer
Основы работы с Wireshark
1) Запустите Wireshark, воспользовавшись соответствующим значком на рабочем столе или меню «Пуск»
2) Выберете меню «Capture» > «Interfaces» или воспользуйтесь сочетанием клавиш CTRL+I
3) В открывшемся окне (рисунок 1) выберите текущий интерфейс, используемый для подключения к сети Интернет (или ЛВС) и нажмите кнопку Start.
Рисунок 1 - Окно выбора интерфейсов
4) Изучите открывшийся интерфейс. Убедитесь, что производится захват сетевых пакетов.
Рисунок 2 - Пример вывода Wireshark
Обратите внимание, что в верхней части окна показан перечень перехваченных пакетов. В нижней части окна показана детализированная информация о пакете.
Подождите некоторое время, пока количество захваченных пакетов не достигнет достаточного количества.
5) Остановите захват пакетов, нажав на кнопку Stop в меню, в верхней части окна Wireshark.
Рисунок 3 - Остановка захвата сетевого трафика
6) Дважды щелкните по любому из захваченных сетевых пакетов. Откроется детальное окно информации (см. рисунок ниже).
Рисунок 4 - детальное окно информации
7) Ознакомьтесь с детальной информацией по канальному уровню перехваченного трафика. Для этого разверните вывод, нажав на «+» напротив строк «Frame…» и «Ethernet».
Заполните следующую таблицу
| MAC-адрес источника | |
| Тип MAC-адреса: · Globally unique / Locally administered · Unicast / Multicast | |
| MAC-адрес назначения | |
| Тип MAC-адреса: · Globally unique / Locally administered · Unicast / Multicast | |
| Протокол верхнего (L3) уровня, его код |
8) Сохраните дамп сбора пакетов в файле. Для этого перейдите в меню File > Save As и введите название файла дампа.