Володин В.Е. Wireshark

ФЕДЕРАЛЬНОЕ АГЕНТСТВО СВЯЗИ

Федеральное государственное бюджетное образовательное учреждение высшего образования

МОСКОВСКИЙ ТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ СВЯЗИ И ИНФОРМАТИКИ

Кафедра «Информационная безопасность и автоматизация»

ОТЧЁТ

ПО ЛАБОРАТОРНОЙ РАБОТЕ №1

по дисциплине «Методы и средства защиты информации в компьютерных сетях»

Изучение функциональных возможностей программы-анализатора сетевого трафика Wireshark

Выполнил:

студент группы БИБ1301

Володин В.Е.

Проверил:

ассистент кафедры ИБиА

Барков В.В.

Дата:______________

Оценка:____________

Москва 2015

1. Определил настройки протокола TCP/IP моего компьютера с помощью команды ifconfig

2. Запустив Wireshark из-под суперпользователя командой sudo wireshark, выполнил команду ping localhost и убедился, что Wireshark правильно отображает сетевые пакеты

3. Сделал экранный снимок ICMP пакета

4. В браузере перешел по ссылке http://localhost/

5. Сделал экранный снимок HTTP пакета

6. Открыв новую консоль, вбил команду telnet localhost 80, ввел текст “OMG_IT_WORKS” и нашел в Wireshark введенный текст

7. Воспользовавшись утилитой ab, выполнил команду ab -c 100 -n 10000 http://localhost/ и сгенерировал множество HTTP пакетов. Отобразил график изменения количества принятых пакетов во времени.

8. Осуществил сканирование портов с помощью команды nmap -v -A localhost

Контрольные вопросы:

Предназначение анализаторов сетевого трафика. Анализатор сетевых протоколов может использоваться для:

• локализации трудноразрешимых проблем;

• обнаружения и идентификации несанкционированного программного обеспечения;

• получения такой информации, как базовые модели трафика (baseline traffic patterns) и метрики утилизации сети;

• идентификации неиспользуемых протоколов для удаления их из сети;

• генерации трафика для испытания на вторжение (penetration test) с целью проверки системы защиты;

• работы с системами обнаружения вторжений Intrusion Detection System (IDS);

• прослушивания трафика, т. е. локализации несанкционированного трафика с использованием Instant Messaging (IM) или беспроводных точек доступа Access Points — (AP);

• изучения работы сети.

Что такое сниффер? Сниффер (от англ. to sniff — нюхать) — сетевой анализатор трафика, программа или программно-аппаратное устройство, предназначенное для перехвата и последующего анализа, либо только анализа сетевого трафика, предназначенного для других узлов.

Способы осуществления перехвата сетевого трафика. Перехват трафика может осуществляться:

• обычным «прослушиванием» сетевого интерфейса (метод эффективен при использовании в сегменте концентраторов (хабов) вместо коммутаторов (свитчей), в противном случае метод малоэффективен, поскольку на сниффер попадают лишь отдельные фреймы);

• подключением сниффера в разрыв канала;

• ответвлением (программным или аппаратным) трафика и направлением его копии на сниффер (Network tap);

• через анализ побочных электромагнитных излучений и восстановление таким образом прослушиваемого трафика;

• через атаку на канальном (2) (MAC-spoofing) или сетевом (3) уровне (IP-spoofing), приводящую к перенаправлению трафика жертвы или всего трафика сегмента на сниффер с последующим возвращением трафика в надлежащий адрес.

Что может быть обнаружено в результате анализа сетевого трафика? Анализ прошедшего через сниффер трафика позволяет:

• Обнаружить паразитный, вирусный и закольцованный трафик, наличие которого увеличивает загрузку сетевого оборудования и каналов связи (снифферы здесь малоэффективны; как правило, для этих целей используют сбор разнообразной статистики серверами и активным сетевым оборудованием и её последующий анализ).

• Выявить в сети вредоносное и несанкционированное ПО, например, сетевые сканеры, флудеры, троянские программы, клиенты пиринговых сетей и другие (это обычно делают при помощи специализированных снифферов — мониторов сетевой активности).

• Перехватить любой незашифрованный (а порой и зашифрованный) пользовательский трафик с целью получения паролей и другой информации.

• Локализовать неисправность сети или ошибку конфигурации сетевых агентов (для этой цели снифферы часто применяются системными администраторами)

Наименование и функциональные возможности программ-анализаторов сетевого трафика. Основные функциональные возможности программы Wireshark.

Wireshark (ранее - Ethereal).

Программа-анализатор трафика для компьютерных сетей Ethernet и некоторых других. Имеет графический пользовательский интерфейс. Wireshark - это приложение, которое «знает» структуру самых различных сетевых протоколов, и поэтому позволяет разобрать сетевой пакет, отображая значение каждого поля протокола любого уровня. Поскольку для захвата пакетов используется pcap, существует возможность захвата данных только из тех сетей, которые поддерживаются этой библиотекой. Тем не менее, Wireshark умеет работать с множеством форматов входных данных, соответственно, можно открывать файлы данных, захваченных другими программами, что расширяет возможности захвата. Iris Network Traffic Analyzer.

Помимо стандартных функций сбора, фильтрации и поиска пакетов, а также построения отчетов, программа предлагает уникальные возможности для реконструирования данных. Iris The Network Traffic Analyzer помогает детально воспроизвести сеансы работы пользователей с различными web-ресурсами и даже позволяет имитировать отправку паролей для доступа к защищенным web-серверам с помощью cookies. Уникальная технология реконструирования данных, реализованная в модуле дешифрования (decode module), преобразует сотни собранных двоичных сетевых пакетов в привычные глазу электронные письма, web-страницы, сообщения ICQ и др. eEye Iris позволяет просматривать незашифрованные сообщения web-почты и программ мгновенного обмена сообщениями, расширяя возможности имеющихся средств мониторинга и аудита.

Анализатор пакетов eEye Iris позволяет зафиксировать различные детали атаки, такие как дата и время, IP-адреса и DNS-имена компьютеров хакера и жертвы, а также использованные порты.

Ethernet Internet traffic Statistic.

Ethernet Internet traffic Statistic  показывает количество полученных и принятых данных (в байтах - всего и за последнюю сессию), а также скорость подключения. Для наглядности собираемые данные отображаются в режиме реального времени на графике.

CommTraffic.

Это сетевая утилита для сбора, обработки и отображения статистики интернет-трафика через модемное (dial-up) или выделенное соединение. При мониторинге сегмента локальной сети, CommTraffic показывает интернет-трафик для каждого компьютера в сегменте.

CommTraffic включает в себя легко настраиваемый, понятный пользователю интерфейс, показывающий статистику работы сети в виде графиков и цифр.

Параметры/Программы	Wireshark	Iris The Network Traffic Analyzer	Ethernet Internet traffic Statistic	CommTraffic
Размер установочного файла	17,4 МБ	5,04 МБ	651 КБ	7,2 МБ
Язык интерфейса	английский	русский	английский/русский	русский
График скорости	+	+	–	–
График трафика	–	–	+	+
Экспорт/Импорт (формат файла экспорта)	+/– (*.txt, *.px, *.csv, *.psml, *.pdml, *.c)	–/–	–/–	–/–
Запуск мониторинга по требованию	–	–	–	–
Min-й временной шаг между отчётами данных	0,001 сек.	1 сек.	1 сек.	1 сек.
Возможность изменения min-го шага между отчётами данных	+	+	–	–

Для чего применяется неразборчивый (англ. promiscuous mode) режим сетевой карты? Promiscuous mode или promisc mode — так называемый «неразборчивый» режим, в котором сетевая плата позволяет принимать все пакеты независимо от того, кому они адресованы. Эта возможность обычно используется в сетевых анализаторах трафика.

В нормальном состоянии на Ethernet-интерфейсе используется фильтрация пакетов канального уровня и если MAC-адрес в заголовке назначения принятого пакета не совпадает с MAC-адресом текущего сетевого интерфейса и не является широковещательным, то пакет отбрасывается. В «неразборчивом» режиме фильтрация на сетевом интерфейсе отключается и все пакеты, включая не предназначенные текущему узлу, пропускаются в систему.

«Неразборчивый» режим часто используется снифферами — специализированными программами, позволяющими отображать и анализировать сетевой трафик для диагностики сетевых неполадок. Такие программы позволяют легко перехватывать пароли и конфиденциальные данные, передаваемые по сети в незащищённом виде. Чтобы избежать этого, рекомендуется использовать защищенные протоколы, в том числе SSL и различные варианты VPN/IPSec.