Использование фильтров
Далее, научимся использовать фильтры, для сокращения дампа трафика.
1) Выберете меню «Capture» > «Interfaces» или воспользуйтесь сочетанием клавиш CTRL+I.
2) В открывшемся окне выберите текущий интерфейс, используемый для подключения к сети Интернет (или ЛВС) и нажмите кнопку Options.
Откроется окно настроек сбора трафика. Фильтры задаются в соответствующем поле Capture Filters (см. рисунок ниже).
Рисунок 5 - Настройка параметров сбора трафика. Capture filters
3) Далее, в ходе работы мы будем перехватывать пакеты протокола ICMP. Ознакомьтесь с его описанием.
Протокол передачи команд и сообщений об ошибках (ICMP - internet control message protocol, RFC-792, - 1256) в основном предназначен для диагностики работы сети. ICMP является протоколом сетевого уровня (L3) модели OSI.
В самом распространенном случае, ICMP помогает провести проверку доступности того или иного сетевого узла по его IP-адресу, что в ОС Windows реализуется известной командой ping.
Структура ICMP-пакета представлена ниже.
Рисунок 6 - Структура ICMP-пакета
· Тип / Type (1 байт) –идентификатор типа сообщения: 0 или 8, где 0 - ICMP reply (ответ), 8 - ICMP request (запрос);
· Код / Code (1 байт) – числовой идентификатор, более точно определяющий код сообщения (ошибки)
· Контрольная сумма (2 байта) – вычисляется для всего ICMP-сообщения
· Далее идут опциональные поля, зависящие от типа и кода сообщения
Перечень типов и кодов ICMP-сообщений представлен в Приложении 1.
Для проверки доступности узла используются два типа сообщений протокола ICMP: эхо-запрос (Echo-Request) и эхо-ответ (Echo-Reply).
Когда пользователь вводит команду ping <IP-адрес>, ОС формирует пакет ICMP у которого в поле «Type of message» задано значение 8 (что, согласно спецификации протокола, соответствует запросу Echo-Request). Далее, данный пакет отправляется по IP-адресу получателя
Узел, который получает эхо-запрос, формирует и отправляет эхо-ответ (Echo-Reply, type=0) отправителю запроса.
И эхо-запрос и эхо-ответ передаются по сети внутри IP-пакетов. Их успешная доставка означает нормальное функционирование маршрута между отправителем и получателем (см. рисунок ниже).
Рисунок 7 - Успешная проверка доступности узла по протоколу ICMP
4) Настройте Wireshark для перехвата только трафика ICMP
· выберете меню «Capture» > «Interfaces» или воспользуйтесь сочетанием клавиш CTRL+I.
· в открывшемся окне выберите текущий интерфейс, используемый для подключения к сети Интернет (или ЛВС) и нажмите кнопку Options.
· откроется окно настроек сбора трафика. В соответствующем поле Capture Filters укажите icmp и нажмите start.
5) Обратите внимание, что пакеты не перехватываются (т.к. задан фильтр, перехватывать только пакеты ICMP)
6) Запустите команду ping из командной строки Windows:
Ping 8.8.8.8 –t
Обратите внимание, что команда запускается с ключом –t, что обеспечивает постоянную отсылку ICMP-запросов.
7) Обратите внимание, что началось отображение перехваченных пакетов.
8) Остановите перехват пакетов, нажав на кнопку Stop.
9) Изучите детальную информацию об ICMP пакетах обоих типов (request и reply)
Заполните следующую таблицу:
| Эхо-запрос | |
| MAC-адрес источника | |
| IP-адрес источника | |
| Тип ICMP-сообщения, код ICMP-сообщения | |
| MAC-адрес назначения | |
| IP-адрес назначения | |
| Тип ICMP-сообщения, код ICMP-сообщения | |
| Данные (payload) ICMP-пакета | |
| Эхо-ответ | |
| MAC-адрес источника | |
| IP-адрес источника | |
| Тип ICMP-сообщения, код ICMP-сообщения | |
| MAC-адрес назначения | |
| IP-адрес назначения | |
| Тип ICMP-сообщения, код ICMP-сообщения | |
| Данные (payload) ICMP-пакета |
10) Сохраните дамп сбора пакетов в файле. Для этого перейдите в меню File > Save As и введите название файла дампа.
11) Снова запустите перехват пакетов ICMP (п4-5) и выполните команду ping, но вместо адреса 8.8.8.8 укажит другой адрес (например, выполните ping ya.ru –t)
12) Проанализируйте перехваченный трафик. Обратите внимание, что IP-адрес назначения у ICMP-запросов поменялся, по сравнению с предыдущим дампом. Однако MAC-адрес назначения в Ethernet-кадрах остался неизменным. Подумайте почему.