Лабораторная работа №17 по МДК.02.02 Технология применения комплексной защиты информации в телекоммуникационных системах и информационно-коммуникационных сетях связи наименование работы: Работа с анализаторами перехвата.

Смоленский колледж телекоммуникаций
(филиал) федерального государственного
бюджетного образовательного учреждения высшего образования
«Санкт-Петербургский государственный университет телекоммуникаций
им. проф. М.А. Бонч-Бруевича»













Лабораторная работа №17

по МДК.02.02 Технология применения комплексной защиты информации в телекоммуникационных системах и информационно-коммуникационных сетях связи
наименование работы: Работа с анализаторами перехвата.
по специальности:11.02.11
работа рассчитана на 2 часа
составлена преподавателем: Скряго О.С.

Смоленск, 2016

1.Цель работы: исследование на примере трассировки процесса PING основных возможностей анализатора протоколов Wireshark и приобретение навыков трассировки протоколов.

2.Информационные ресурсы:
Гришина, Н.В. Комплексная система защиты информации на предприятии: учебное пособие/ Н.В. Гришина.- М.:ФОРУМ, 2011 – 240 с.: ил. – ISBN 978-5-91134-369-9
Мельников, В.П. Информационная безопасность: учебное пособие для СПО/ В.П. Мельников - М.: Академия, 2013-336 с.: ил.- ISBN 978-5-7695-9954-5
3.Вопросы домашней подготовки:
Что такое сниффер?
Какие виды снифферов бывают?
Какое назначение анализатора Wireshark?
4.Основное оборудование:
4.1. ПЭВМ;
4.2. ПО:
4.2.1. Microsoft Windows 7;
4.2.2. Microsoft Office 2007 Plus;

5.Задание:
Задание 5.1. Вам необходимо на примере трассировки процесса PING – исследовать основные возможности анализатора протоколов Wireshark и приобрести навыки трассировки протоколов.
Задание 5.2. Выполните анализ сделанных трассировок, и отразить это в отчете.

6.Порядок выполнения работы:
Повторить требования по соблюдению техники безопасности.
Включение ПК должно производиться в следующей последовательности:
Включить принтер (если он нужен);
Включить монитор;
включить системный блок.
Перед выключением компьютера завершите все работающие программы и подождите 1-2 сек. (это необходимо, если на вашем ПК предусмотрено кэширование дисков). Далее необходимо:
выключить системный блок;
выключить принтер (если он был включен);
выключить монитор.
. Ознакомиться с пунктами лабораторной работы;
. Оформите свой отчет согласно седьмому пункту данной лабораторной работы;
6.3. Выполните задания 5.1-5.2 ;
6. 3.1. Запускаем процесс перехвата пакетов анализатором Wireshark
6. 3.2. Запускаем исследуемый процесс Ping в командной строке интерфейса CLI и ожидаем окончания процесса Ping
6. 3.3. Останавливаем процесс перехвата пакетов анализатором Wireshark
6. 3.4. Копируем результаты выполнения команды Ping в отчет (файл в формате ЛР-4.doc)
6. 3.5. Сохраняем результаты перехвата пакетов анализатором Wireshark в файле с именем ping.pcap
6. 3.6. Производим небольшой анализ результатов перехвата пакетов
6.3.7. Оформляем отчет по данной работе
6.3.1 Запускаем процесс перехвата пакетов анализатором Wireshark
6.3.1.1 В пункте меню Capture (фиксация, перехват) выберите Options.
6.3.1.2 Для того, чтобы следить за процессом перехвата всех пакетов (без фильтрации) – выберите режим «Capture packets in promiscuous mode» (Перехват всех пакетов без разбора) – для этого уберите галочку в соответствующем окне.
6.3.1.3 Чтобы начать перехват пакетов нажмите на значок (Start) главной панели, либо кнопку «Start» в окне Capture – Options.
6.3.1.4 В появившемся списке сетевых интерфейсов выберите тот интерфейс, для которого параметр «Packets» постоянно увеличивается (это означает, что на данном интерфейсе наблюдается активность).
6.3.1.5 Для начала перехвата нажмите кнопку «Start» для активного сетевого интерфейса.
6.3.1.6 В рабочей области программы начнут сразу же появляться новые строчки. Каждая строчка – это сетевой пакет. Нажав на интересующую строчку, в нижнем окне появится расшифровка полей пакета в виде иерархического списка.

6.3.2 Запускаем процесс Ping в командной строке интерфейса CLI
Для запуска процесса Ping откройте на Вашем компьютере окно «Выполнить» в меню «Пуск» и наберите в этом окне имя команды перехода врежим командной строки (CLI). Имя команды – cmd
Таким образом, для запуска исследуемых коммуникационных процессов Вам необходимо открыть окно интерфейса командной строки – CLI, для чего надо последовательно выполнить пункты 1, 2 и 3 как показано на рис. 5
ВНИМАНИЕ!
В Windows-7, команда «Выполнить» по умолчанию убрана из меню «Пуск».
Теперь надо запустить коммуникационный процесс Ping в окне интерфейса CLI.
Прозвонка сетевого соединения выполняется по конкретному IP-адресу, либо по доменному имени.
В данной работе для выполнения прозвонки будем использовать доменное имя сайта aek-54.ru, для чего вводим в окне интерфейса CLI команду: ping aek-54.ru и нажимаем клавишу Enter – см. рис. 6.

Рисунок 6 – Ввод команды ping aek-54.ru и отображение результата прозвонки
В ответ на ввод команды прозвонки появляется отклик системы, отображающий результат посылки 4-х пакетов ICMP в адрес сайта aek-54.ru.
В данном случае прозвонка соединения прошла успешно, т.е указанный сайт доступен с Вашего компьютера.
6.3.3 Останавливаем процесс перехвата пакетов анализатором Wireshark
Для остановки перехвата пакетов необходимо нажать на значок (Stop) на панели управления.
6.3.4 Копируем результатов выполнения команды Ping в отчет
Для копирования результатов выполнения команды Ping в отчет можно использовать любой из двух способов:
1. Копирование через буфер обмена
3.4.1 Выделить в окне интерфейса CLI результаты выполнения команды Ping, для чего надо в данном окне нажать правую кнопку мыши и выбрать пункт «Выделить все»
3.4.2 Нажав клавишу Enter, скопировать содержимое окна CLI в буфер обмена
3.4.3 Открыть в редакторе MS’Word файл отчета, присвоив ему имя ЛР-4.doc
3.4.4 Скопировать содержимое буфера обмена в файл отчета, нажав «Ctrl+V»
После этих операций мы получим следующий результат:
c:\>ping aek-54.ru
Обмен пакетами с aek-54.ru [90.156.201.31] с 32 байтами данных:
Ответ от 90.156.201.31: число байт=32 время=91мс TTL=51
Ответ от 90.156.201.31: число байт=32 время=91мс TTL=51
Ответ от 90.156.201.31: число байт=32 время=91мс TTL=51
Ответ от 90.156.201.31: число байт=32 время=91мс TTL=51
Статистика Ping для 90.156.201.31:
Пакетов: отправлено = 4, получено = 4, потеряно = 0
(0% потерь)
Приблизительное время приема-передачи в мс:
Минимальное = 91мсек, Максимальное = 91 мсек, Среднее = 91 мсек
c:\>
2. Второй способ копирования – через функцию Print Screen – скопировать экранную форму с окном CLI и вставить ее в файл отчета, как показано на рис. 6.
3.5 Сохраняем результаты перехвата пакетов анализатором Wireshark в файле с именем ping.pcap

Для сохранения результатов перехвата пакетов выберите в пункте меню File главной панели пункт Save as:

Присвойте сохраняемому файлу имя и выберите расширение сохраняемого файла – ping-aek.pcap, (вариант Wireshark/tcpdump, который обычно предлагается по умолчанию).
Сохраненный файл с перехваченными Вами пакетами как приложение к отчету по данной лабораторной работе.
Внимание:
Для правильного выполнения лабораторной работы необходимо соблюдать следующие условия:
1. Запускать приложение Wireshark (кнопка START) надо до запуска исследуемого процесса, а завершать приложение Wireshark (кнопка STOP) надо после остановки Вами исследуемого процесса. В этом случае в сохраняемом файле будут пакеты, соответствующие всему сеансу исследуемого процесса.
2. Следить, чтобы длительность работы Wireshark по перехвату пакетов не превышала 1 минуты. Для усвоения основных навыков работы этого достаточно! Превышение работы Wireshark приведет к тому, что размеры файла с перехваченными пакетами будут настолько большими, что это не позволит Вам не только передать Ваш файл в качестве приложения к отчету, но и забъет Ваш диск до полной остановки ОС. Например, для скорости Вашего интерфейса – 100 Мбит/с в каждую секунду будут перехватываться пакеты с общим объемом до 12 Мбайт, следовательно, за час работы Wireshark (3600 с) на Ваш диск набъется пакетов до 43-х Гбайт!!!
3.6 Анализ результатов перехвата пакетов
По умолчанию анализатор перехватывает все пакеты, от служб, которые работают на Вашем компьютере, поэтому вначале анализа, необходимо научиться работать с фильтрами, выбирая интересующие Вас протоколы.
В данном случае нас интересует протокол ICMP, используемый процессом Ping.
Чтобы отфильтровать пакеты протокола ICMP, введите в окне Filter маску ICMP и нажмите «Enter». Когда маска введена правильно, поле ввода подсвечивается зеленым цветом, в противном случае – красным.

Рисунок 8 – Фильтрация пакетов ICMP из общего потока перехваченных пакетов

Рисунок 9 – Расшифровка ответного пакета ICMP
Теперь приведем некоторые результаты анализа пакетов ICMP:
6. 3.6.1 В окне рисунков 8 и 9 мы видим детальную информацию о заголовках транспортных протоколов Ethernet и IPv4. Вы можете использовать данную информацию также для понимания процессов расшифровки пакетов Ethernet-IP-UDP и др. в контрольной работе по данной дисциплине.
Приведем пример анализа заголовков протоколов Ethernet-IP.
Начнем с полей протокола Ethernet (см. рис.10).
Поле Destination содержит информацию о получателе сообщения, Source – об источнике.
Поле Type идентифицирует протокол верхнего уровня, поместивший свои данные в Ethernet пакет.
В нашем случае – это протокол IPv4 (Type=0800’hex).

В полях протокола IP содержится информация об IP-адресе источника (Src) и получателя (Dst), версии протокола (в нашем случае – IPv.4) и длине заголовка (20 байт).
Далее следует информация о классе обслуживания DSCP, общая длина пакета (200) и его идентификатор.
Поле флагов, содержащее информацию о времени жизни пакета (128) и о протоколе верхнего уровня, поместившего свои данные в IP-пакет (UDP).
Затем следует контрольная сумма заголовка (Header checksum).

3.6.2 На рис.8 в нижней части рабочей области показана расшифровка первого пакета ICMP (Echo request - тип 8), отправленного с адреса 192.168.1.33 на адрес 90.156.201.69
3.6.3 На рис.9 в нижней части рабочей области показана расшифровка второго пакета ICMP (сообщение ответа Echo reply - тип 0), отправленного в ответ с адреса 90.156.201.69 на адрес 192.168.1.33
3.6.4 Оба сообщения имеют одинаковое поле данных, что подтверждает успешность результата прозвонки – что послали, то в ответ и получили
3.6.5 Через пункт меню – Statistics – IO-Graphs мы можем видеть скорость передачи пакетов ICMP в бит/с – см. рис.12

Рисунок 12 – скорость передачи пакетов ICMP
Для получения удобного отображения – настройте правильно параметры разрешения – Tick interval и Pixels per tick, а также единицы отображения пакетов (Unit) – Bits/Tick.
Например, выбрав другой временной масштаб (параметр Tick interval=0,01sec) Вы можете различать во времени каждый из переданных и принятых пакетов ICMP.
3.6.6 Анализатор протоколов позволяет более наглядно рассмотреть схему передачи информации. Для этого через пункт меню – Statistics – Flow-Graph мы можем видеть порядок обмена пакетами ICMP между хостами с адресами 192.168.1.33 и 90.156.201.69:

Рисунок 13 – Порядок обмена пакетами ICMP
Для выполнения данной работы этого достаточно, но Вы не останавливайтесь на этом и глубже изучите все возможности перехвата и анализа пакетов от разных протоколов.
6.4. Сделайте вывод о проделанной работе.
Содержание отчета:
Название, цель работы, задание данной лабораторной работы.
Номер варианта, условие задания своего варианта и описание хода выполнения.
Перечень контрольных вопросов.
Вывод о проделанной работе.
8.Контрольные вопросы:

8.1 Назначение полей протокола Ethernet.
8.2 Назначение полей заголовка протокола IP .
8.3 Назначение протокола ICMP.
8.4 Сообщения протокола ICMP.
5.5 Процессы, использующие протокол ICMP .


Составлено преподавателем _______________ Скряго О.С.

9.Приложение

Анализатор трафика, или сниффер (от англ. to sniff нюхать) сетевой анализатор трафика, программа или программно-аппаратное устройство, предназначенное для перехвата и последующего анализа, либо только анализа сетевого трафика, предназначенного для других узлов.
Во время работы сниффера сетевой интерфейс переключается в т. н. режим прослушивания (Promiscuous mode), что и позволяет ему получать пакеты, адресованные
другим интерфейсам в сети.

Перехват трафика может осуществляться:
обычным прослушиванием сетевого интерфейса (метод эффективен при использовании в сегменте концентраторов (хабов) вместо коммутаторов (свитчей), в противном случае метод малоэффективен, поскольку на сниффер попадают лишь отдельные фреймы);
подключением сниффера в разрыв канала;
ответвлением (программным или аппаратным) трафика и направлением его копии на
сниффер;
через анализ побочных электромагнитных излучений и восстановление таким образом
прослушиваемого трафика;
через атаку на канальном (MAC-spoofing) или сетевом уровне (IP-spoofing),
приводящую к перенаправлению трафика жертвы или всего трафика сегмента на
сниффер с последующим возвращением трафика в надлежащий адрес.
В начале 1990-х широко применялся хакерами для захвата пользовательских логинов и паролей, которые в ряде сетевых протоколов передаются в незашифрованном или слабозашифрованном виде. Широкое распространение хабов позволяло захватывать трафик без больших усилий в больших сегментах сети практически без риска быть обнаруженным.
Снифферы применяются как в благих, так и в деструктивных целях. Анализ
прошедшего через снифер трафика позволяет:
Обнаружить паразитный, вирусный и закольцованный трафик, наличие которого
увеличивает загрузку сетевого оборудования и каналов связи (снифферы здесь
малоэффективны; как правило, для этих целей используют сбор разнообразной
статистики серверами и активным сетевым оборудованием и её последующий анализ).
Выявить в сети вредоносное и несанкционированное ПО, например, сетевые сканеры,
флудеры, троянские программы, клиенты пиринговых сетей и другие (это обычно
делают при помощи специализированных снифферов мониторов сетевой
активности).
Перехватить любой незашифрованный (а порой и зашифрованный) пользовательский
трафик с целью получения паролей и другой информации.
Локализовать неисправность сети или ошибку конфигурации сетевых агентов (для
этой цели снифферы часто применяются системными администраторами)
Поскольку в классическом сниффере анализ трафика происходит вручную, с
применением лишь простейших средств автоматизации (анализ протоколов, восстановление TCP-потока), то он подходит для анализа лишь небольших его объёмов.

Снифферы для ОС MS Windows:
CommView – www.tamos.com
SpyNet – packetstorm.securify.com
Analyzer – neworder.box.sk
IRIS – www.eeye.com
WinDUMP – аналог tcpdump for Unix.
SniffitNT
ButtSniff
Wireshark
LanExplorer
Net Analyzer
Снифферы для ОС Unix/Linux:
linsniffer
linux_sniffer
Sniffit
HUNT
READSMB
tcpdump
Dsniff
Wireshark
Ksniffer
Wireshark это приложение-анализатор, которое «знает» структуру самых различных сетевых протоколов, и поэтому позволяет разобрать сетевой пакет, отображая значение каждого поля протокола любого уровня.
Wireshark – позволяет перехватывать и расшифровывать все известные протоколы, использующие в качестве транспорта среду Ethernet.
Любая информация, передаваемая в кадрах Ethernet с Вашего компьютера или на Ваш компьютер – перехватывается приложением Wireshark, записывается на Ваш диск и может быть впоследствии Вами проанализирована со всех позиций – на предмет информационной безопасности (наличия на Вашем компьютере программ-шпионов и других нежелательных приложений), загрузки интерфейса доступа к Вашему провайдеру (измерения скорости передачи, наличия фонового трафика, объемов переданного и принятого трафика и т.п.) и т.д.
Данная программа широко используется для поиска и устранения различных неисправностей, изучения сетевых протоколов и т.д.
Чтобы запустить данное приложение необходимо два раза щелкнуть по соответствующему ярлыку в папке с установленной программой. В данной работе Wireshark используется в качестве инструмента для анализа сетевых пакетов, генерируемых Web-приложениями и некоторыми другими службами.
Однако, поскольку фильтры в процессе выполнения данной работы не используются, то после окончания работы программы Wireshark, на Вашем диске остается файл в котором хранятся все перехваченные пакеты от всех сетевых служб, запущенных и активных в данный момент на Вашем компьютере (даже от тех служб, о которых Вы не подозреваете!).
Ниже приводятся лишь краткое описание работы с программой для выполнения лабораторной работы.


Панель управления позволяет управлять основными возможностями приложения, например, начать перехват сетевых пакетов, открыть сохраненную ранее сессию перехвата пакетов и т.д.
Панель фильтра дает возможность отфильтровать ненужные пакеты и оставить только необходимые. Фильтрацию можно осуществить, написав в соответствующем поле маску фильтрации (например, «SIP|UDP» - будут отображаться только пакеты, содержащие поля протоколов SIP и UDP).
В рабочей области – отображаются перехваченные пакеты (верхняя часть рабочей области) и расшифровка каждого поля сетевого пакета (нижняя часть рабочей области).
В пункте меню Capture (фиксация, перехват) выберите Options.
У Вас откроется следующее окно:

Рисунок 3 – Окно Options в меню Capture (фиксация, перехват)

Для того, чтобы следить за процессом перехвата всех пакетов (без фильтрации) – выберите режим «Capture packets in promiscuous mode» (Перехват всех пакетов без разбора) – для этого уберите галочку в соответствующем окне.
Чтобы начать перехват пакетов нажмите на значок (Start) главной панели, либо кнопку «Start» в окне Capture – Options.
В появившемся списке сетевых интерфейсов выберите тот интерфейс, для которого параметр «Packets» постоянно увеличивается (это означает, что на данном интерфейсе наблюдается активность).


Рисунок 4 – Выбор активного сетевого интерфейса

Для начала перехвата нажмите кнопку «Start» для активного сетевого интерфейса.
Для остановки перехвата пакетов необходимо нажать на значок (Stop) на панели управления.

Для понимания работы с анализатором, в данной лабораторной работе мы будем исследовать простейшие коммуникационные процессы, которые Вы запустите на Вашем компьютере.
В качестве таких процессов исследуем процесс Ping («прозвонка» соединения с удаленным хостом).
Этот процесс наиболее часто используются для выявления проблем в транспортной сети. Процесс Ping использует для этих целей протокол ICMP.
Перехват и анализ сообщений протокола ICMP и будет целью данного пункта лабораторной работы.
































Цђ Заголовок 2ўђ Заголовок 3ўђ Заголовок 4ўђ Заголовок 5HYPER15Основной шрифт абзаца

Приложенные файлы

  • doc 156
    Лабораторная работа №17 по МДК.02.02 Технология применения комплексной защиты информации в телекоммуникационных системах и информационно-коммуникационных сетях связи наименование работы: Работа с анализаторами перехвата.
    Размер файла: 5 MB Загрузок: 4

Лабораторная работа №17 по МДК.02.02 Технология применения комплексной защиты информации в телекоммуникационных системах и информационно-коммуникационных сетях связи наименование работы: Работа с анализаторами перехвата.: 1 комментарий

  1. leleik502007 Автор записи

    В работе происходит изучение на примере трассировки процесса PING основных возможностей анализатора протоколов Wireshark и приобретение навыков трассировки протоколов.

Добавить комментарий