7.0.1.2. «Что происходит?»
Цель работы:
Определение процессов, выполняемых на компьютере, используемого ими протокола, а также адресов локального и удаленного порта.
Ход работы:
Шаг 1. Загрузка и установка TCPView.
Перейдите по приведенной ниже ссылке, чтобы перейти на страницу загрузки для TCPView. http://technet.microsoft.com/en-us/sysinternals/tcpview.aspx (рис.1).
Рисунок 1 – Загрузка TCPView
Создайте папку на рабочем столе с именем TCPView.
Извлеките содержимое zip-архива в эту новую папку.
Дважды щелкните значок приложения Tcpview, чтобы запустить его.
Наконец, примите условия лицензии ПО (рис.2).
Рисунок 2 – Открытие TCPView
Шаг 2. Ответы на вопросы.
Сколько перечислено оконечных устройств? 191
Сколько из них выполняют прослушивание? 40
Сколько оконечных устройств установлено? 32
Шаг 3. Используйте веб-браузер и просмотрите окно TCPView.
Откройте меню Options (Параметры) и щелкните Always on Top (Поверх).
Откройте любой браузер. Что происходит в окне TCPView?
Процессы запускаются и отображаются зеленым цветом, а некоторые закрываются.
Перейдите на веб-сайт cisco.com. Что происходит в окне TCPView?
Изменение цветов.
Закройте браузер. Что происходит в окне TCPView?
Процессы окрашиваются в красный цвет.
Как вы думаете, что означают цвета?
Зеленый – это запуск процессов
Желтый — это процессы, которые ожидают открытия или закрытия
Красные –это процессы, которые закрываются
Белые — это процессы, которые уже запущены
7.3.1.6. «Исследование трафика dns»
Цель работы:
Перехват трафика DNS. Изучение DNS-запроса и DNS-ответа.
Ход работы:
Часть 1. Перехват трафика dns.
Нажмите кнопку Пуск и найдите Wireshark. Откройте Wireshark и начните захват данных программой Wireshark, дважды щелкнув по сетевому интерфейсу с трафиком. В этом примере Ethernet ― сетевой интерфейс с трафиком (рис.3).
Рисунок 3 – Выбор сетевого интерфейса
Нажмите кнопку Пуск и найдите командную строку. Откройте командную строку.
В командной строке введите ipconfig/flushdns и нажмите Enter (Ввод), чтобы очистить кеш DNS (рис.4).
Рисунок 4 – Очистка кеша DNS
Введите nslookup и нажмите Enter (Ввод), чтобы перейти в интерактивный режим (рис.5).
Рисунок 5 – Интерактивный режим
Введите команду exit после завершения. Закройте командную строку.
Щелкните Stop capturing packets (Остановить перехват пакетов), чтобы остановить захват данных программой Wireshark.
Часть 2. Изучение трафика dns-запроса.
Наблюдайте за трафиком, захваченным в области списка пакетов Wireshark. Введите udp.port == 53 в поле фильтра и нажмите стрелку (или кнопку Enter) для показа только пакетов DNS (рис.6).
Рисунок 6 – Отображение DNS-пакетов
Выберите пакет DNS с маркировкой Standard query 0x0002 A www.cisco.co (Стандартный запрос 0x0002 A www.cisco.com).
В области сведений о пакетах обратите внимание, что этот пакет имеет следующие сведения: Ethernet II, протокол IPv4, протокол UDP и систему доменных имен (запрос).
Разверните Ethernet II для просмотра сведений. Наблюдайте за полями источника и назначения (рис.7).
Рисунок 7 – Просмотр DNS-запроса
Назовите MAC-адреса источника и назначения. С какими сетевыми интерфейсами связаны эти MAC-адреса?
Источник: 08:97:98:7d:a4:e6
Назначение: 50:ff:20:82:53:b3
Раскройте Internet Protocol Version 4 (Протокол IPv4). Наблюдайте за IPv4-адресами источника и назначения.
Назовите IP-адреса источника и назначения.
Источник: 192.168.100.79
Назначение: 192.168.100.1
Раскройте User Datagram Protocol (Протокол UDP). Наблюдайте за портами источника и назначения.
Назовите порты источника и назначения. Назовите номер порта DNS по умолчанию.
Порт источника: 57691
Порт назначения: 53
Порт DNS: 53
Откройте командную строку и введите arp –a и ipconfig/all для записи MAC- и IP-адресов компьютера.
MAC-адрес: 08:97:98:7d:a4:e6
IP-адрес: 192.168.100.79
Разверните Domain Name System (query) (Система доменных имен (запрос)) в области сведений о пакетах. Затем разверните Flags и Queries (рис.8).
Рисунок 8 – Просмотр Domain Name System