Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации

ордена Трудового Красного Знамени Федеральное государственное бюджетное образовательное учреждение высшего образования

«Московский технический университет связи и информатики»

(МТУСИ)

Кафедра: «Информационная безопасность»

Дисциплина: «Методы и средства защиты информации в компьютерных сетях»

Отчёт по лабораторной работе №4

на тему

«Изучение программного пакета анализа сетевого трафика Wireshark»

Выполнил:

Проверил:

Москва, 2025

Содержание

Цель работы 3

Ход выполнения задания 4

Вывод 18

Контрольные вопросы 19

Цель работы

Получение навыков анализа протоколов с помощью программного обеспечения Wireshark.

Ход выполнения задания

Установим и запустим программу Whireshark. Результат представлен на рисунках 1-3.

Рисунок 1 – Загрузка программы

Рисунок 2 – Установка программы

Рисунок 3 – Главное окно программы при открытии

Уберем маркер напротив опции «Capture packets in promiscuous mode»

для захвата только пакетов, адресованных моему компьютеру (кадры с широковещательным адресом также будут захватываться). В таком режиме работы число захваченных пакетов будет существенно меньше, что облегчит выполнение заданий.

Рисунок 4 – Уберем маркер напротив опции «Захват пакетов в смешанном режиме»

Выполним в командной строке Windows команду «arp –d» для очистки

кэша протокола ARP.

Рисунок 5 - Команда «arp –d»

Запустим процесс захвата сетевого трафика, нажав кнопку «Capture». В командной строке выполним команду ping 8.8.8.8 (в качестве параметра команды можно использовать IP-адрес сервера). По завершении команды Ping остановим захват сетевого трафика, нажав кнопку «Stop» в рабочем окне Wireshark.

Рисунок 6 – Команда «ping»

Для отображения только ICMP-пакетов в строке ввода «Filter» введем

значение «icmp» и нажмем на кнопку «Apply».

Рисунок 7 – Отображение icmp пакетов

Используем значение фильтра «frame.number> 20»

Рисунок 8 – Значение фильтра «frame.number> 20»

Выясним в чем разница между значениями фильтров «!(ip.addr ==

X.X.X.X)» и «ip.addr != X.X.X.X».

Фильтр ip.addr != X.X.X.X будет отображать пакеты, в которых X.X.X.X является либо источником, либо получателем. Он исключает из результатов только те пакеты, где X.X.X.X является и источником, и получателем одновременно.

!(ip.addr == 10.0.0.1.)

Сначала вычисляется выражение в скобках: ip.addr == 10.0.0.1.

Оно означает: "Покажи мне пакеты, в которых хотя бы одно из полей (ip.src ИЛИ ip.dst) равно 10.0.0.1."

А затем оператор ! (НЕ) инвертирует этот результат. Таким образом, конечный фильтр означает: "Покажи мне пакеты, в которых НИ ip.src, НИ ip.dst не равны 10.0.0.1." То есть полностью исключить все пакеты, связанные с адресом 10.0.0.1.

ip.addr != X.X.X.X показывает пакеты, где X.X.X.X является одним из адресов, а !(ip.addr == X.X.X.X) скрывает пакеты, где X.X.X.X является одним из адресов.

Отобразим только ICMP-запросы. Для этого выберем ICMP-пакет и, нажав на строку Type правой кнопкой, применим поле Type как фильтр.

Рисунок 9 – Отбор ICMP-запросов

Рисунок 10 – Отображение ICMP-запросов

Отобразим все кадры, переданные узлом, исключая ICMP-пакеты. Для этого в строке фильтра введем значение «!icmp» и применим фильтр.

Рисунок 11 – Фильтр «!icmp»

Найдем все пакеты с помощью выражения фильтрации«icmp.type==0»

Рисунок 12 - Фильтр «icmp.type==0»

Найдем все пакеты по строке «reply» в строке общей информации о пакете.

Рисунок 13 – Все пакеты по строке «reply»

Найдем все пакеты по строке «reply» в панели декодера протоколов.

Рисунок 14 – Все пакеты по строке «reply»

1. Поиск по строке «reply» в строке общей информации о пакете (Info column)

Что ищет: Строку "reply" в сырых данных всего кадра (включая все заголовки и данные).

Где будет найдено:

В поле "Info" в основном списке пакетов

В любом другом месте пакета, где встречается эта последовательность байтов

Может найти "reply" внутри URL, текста сообщения, DNS-запросов и т.д.

Примеры пакетов, которые будут найдены:

DNS reply packets

ICMP Echo Reply

Любые пакеты, содержащие слово "reply" в данных HTTP-пакеты с "reply" в URL или теле ответа

2. Поиск по строке «reply» в панели декодера протоколов

Что ищет: Строку "reply" только в определенных полях протоколов, которые отображаются в декодере.

Примеры фильтров:

dns.flags.response == 1 (для DNS reply)

icmp.type == 0 (для ICMP Echo Reply)

http contains "reply" (только в HTTP-данных)

Где будет найдено:

Только в конкретных полях протоколов, которые Wireshark декодирует

В названиях протоколов или их полей

Пометьте первый и последний пакет, относящийся к команде Ping

Рисунок 15 – Отметка пакетов

Сохраним все захваченные кадры в файле с названием «arp-ping».

Рисунок 16 – Сохранение захваченных кадров

Сохраним в файле с именем «Ping» только трафик команды Ping.

Рисунок 17 – Сохранение пакетов команды «ping»

Сохраним первый пакет из типов пакетов ICMP-запрос.

Рисунок 18 – Сохранение пакета из типов пакетов ICMP-запрос

Рисунок 19 – Сохранение пакета из типов пакетов ICMP-запрос

Рисунок 20 – Файл с сохранением

Выясним, как взаимосвязаны выбранные пакеты.

1. Один и тот же источник и назначение

• Source: 8.8.8.8 (Google DNS)

• Destination: 192.168.164.64 (ваш компьютер)

Оба пакета - ответы от одного сервера на один компьютер

2. Одинаковый идентификатор (ID)

• Identifier (BE): 1 (0x0001) в обоих пакетах

Это означает, что оба ответа относятся к одной серии ping-запросов

3. Разные порядковые номера (Sequence Numbers)

• Пакет 716: Sequence Number = 1

• Пакет 768: Sequence Number = 4

Это показывает, что между ними были еще 2 ping-запроса (с номерами 2 и 3)

4. Одинаковые данные

• Data: abcdefghijklmnopqrstuvwabcdefghi (32 байта)

Одинаковые полезные данные подтверждают, что это ответы на идентичные запросы

5. Разное время ответа

• Пакет 716: Response time = 83,521 ms

• Пакет 768: Response time = 718,492 ms

6. Ссылки на соответствующие запросы

• Пакет 716: [Request frame: 715]

• Пакет 768: [Request frame: 748]

Отключим анализ заголовка IP. Для этого нажмем «Analyze» — «Ena

bleprotocols», снимем галочку напротив пункта IPv4 и нажмем на кнопку «Apply».

Рисунок 21 – Отключим анализ заголовка IP

Отобразим два пакета ARP (reply и request) и ответим на контрольные вопросы.

Рисунок 22 – Пакеты ARP (reply и request)

Вывод

Мы получили навыков анализа протоколов с помощью программного обеспечения Wireshark.

Контрольные вопросы

1. Какое значение поля «тип протокола» в кадре Ethernet указывает на протокол ARP?

0x0806 - это значение EtherType в кадре Ethernet, которое указывает, что следующий протокол - ARP.

2. По какому MAC-адресу отправлен запрос ARP?

По MAC-адресу AzureWaveTec_da:ae:af (48:e7:da:da:ae:af) - это широковещательный запрос (обычно FF:FF:FF:FF:FF:FF, но здесь указан конкретный MAC назначения).

3. По какому MAC-адресу отправлен ответ ARP?

По MAC-адресу 66:5f:ad:5e:5b:89 - это unicast-ответ конкретному отправителю запроса.

4. Каким полем идентифицируются запрос и ответ ARP?

Полем Opcode (Operation Code):

• 1 = ARP Request

• 2 = ARP Reply

5. В каких полях заголовка ARP передан запрос вашего узла?

В ARP Request (пакет 143):

• Sender MAC address: 66:5f:ad:5e:5b:89 (MAC того, кто спрашивает)

• Sender IP address: 192.168.164.194 (IP того, кто спрашивает)

• Target MAC address: 00:00:00:00:00:00 (неизвестен, поэтому нули)

• Target IP address: 192.168.164.64 (IP, чей MAC ищется)

6. В каких полях заголовка ARP передан ответ вашему узлу?

В ARP Reply (пакет 144):

• Sender MAC address: 48:e7:da:da:ae:af (MAC ответившего устройства)

• Sender IP address: 192.168.164.64 (IP ответившего устройства)

• Target MAC address: 66:5f:ad:5e:5b:89 (MAC того, кому отвечают)

• Target IP address: 192.168.164.194 (IP того, кому отвечают)