Лабораторная работа №2 / Отчёт по ЛР2

Выполнение лабораторной работы

Цель работы: Изучение структуры сетевых пакетов, форматов пакетов для разных протоколов с использованием сетевого анализатора Wireshark. Ознакомление с методами мониторинга сети.

Требования к выполнению и оформлению работы:

Последовательность выполнения работы следующая.

- ознакомиться с материалами к работе – краткому описанию программы Wireshark;

Запустив запись пакетов (по умолчанию программа настроена на запись всех пакетов, проходящих по сегменту сети):

-открыть произвольную web – страничку;

-написать в Outlook письмо соседу и отправить его (параметры почтового ящика сообщаются преподавателем);

-получить письмо от соседа;

Остановить запись, найти соответствующие пакеты и разобраться в структуре данных для протоколов:

-ARP;

-ICMP;

-SMTP;

-POP3;

-TCP;

-HTTP;

Привести описание пакетов для перечисленных протоколов в “оригинальном” и декодированном виде.

Методические указания

Как известно, для выполнения определенного действия требуется свой инструмент Wireshark -инструмент управления сетью, разработанный, чтобы помочь персоналу контролировать сеть. Кроме контроля сети, такой инструмент иногда просто незаменим при отладке сетевых приложений.

Wireshark проста в изучении. Сетевой анализатор протокола, Wireshark позволяет сетевому администратору фиксировать и восстанавливать все действия любого сетевого пользователя. Контролируя исходящий и входящий сетевой трафик, Wireshark функционирует как полноценный сетевой анализатор и монитор.

Если происходит вторжение в сеть организации, в большинстве случаев межсетевая защита сообщает сетевому администратору о таких фактах. Однако доказательства такого нападения неполны и трудно декодируются. Wireshark может фиксировать процесс сетевых вторжений, буквально восстанавливая каждое нажатие клавиши со стороны нарушителя – при условии достаточной квалификации администратора.

Основные особенности Wireshark:

-может фиксировать все пакеты в сетевом сегменте;

-способен декодировать пакеты;

-возможность перехвата трафика в режиме реального времени.

-большое количество протокольных декодировщиков (TELNET, FTP, POP, RLOGIN,

ICQ, SMB, MySQL, HTTP, NNTP, X11, NAPSTER, IRC, RIP, BGP, SOCKS 5, IMAP 4, VNC, LDAP, NFS, SNMP, MSN, YMSG...).

-возможность сохранение и просмотра ранее сохраненного сетевого трафика.

-импорт и экспорт данных из других пакетных анализаторов. Wireshark умеет сохранять перехваченные пакеты в форматы других програм (libpcap, tcpdump, Sun snoop, atmsnoop, Shomiti/Finisar Surveyor, Novell LANalyzer, Microsoft Network Monitor).

-возможность фильтрации пакетов по множеству критериев.

-поиск пакетов по множеству критериев.

-подсветка захваченных пакетов разных протоколов.

-большие возможности по созданию разнообразной статистики.

-может быть оставлен в работающем состоянии в течение нескольких дней для наблюдения за интересующими компьютерами. Все зафиксированные данные могут быть сохранены в журналах.

-способен извлекать изображения из перехваченных страниц сети;

-может генерировать подробный отчет о трафике.

1.Протокол ICMP

ICMP-протокол осуществляет:

передачу отклика на пакет или эхо на отклик;

контроль времени жизни дейтограмм в системе;

реализует переадресацию пакета;

выдает сообщения о недостижимости адресата или о некорректности параметров;

формирует и пересылает временные метки;

выдает запросы и отклики для адресных масок и другой информации.

ICMP-сообщения об ошибках никогда не выдаются в ответ на:

icmp-сообщение об ошибке.

При мультикастинг или широковещательной адресации.

Для фрагмента дейтограммы (кроме первого).

Для дейтограмм, чей адрес отправителя является нулевым, широковещательным или мультикастинговым.

Для анализа работы протокола ICMP использовал команду ping –n 10 www.ya.ru:

Из полученного списка пакетов увидим, что утилита ping отправила десять пакетовзапросов (Echo(ping) request) с компьютера, на котором она была запущена, и получила десять ответных пакетов (Echo(ping) reply) с запрашиваемого компьютера:

2. Протокол TCP

Протокол TCP (transmission control protocol, RFC-793, -1323) осуществляет доставку дейтограмм, называемых сегментами, в виде байтовых потоков с установлением соединения. Протокол TCP применяется в тех случаях, когда требуется гарантированная доставка сообщений. Он использует контрольные суммы пакетов для проверки их целостности и освобождает прикладные процессы от необходимости таймаутов и повторных передач для обеспечения надежности. Для отслеживания подтверждения доставки в TCP реализуется алгоритм "скользящего" окна. Наиболее типичными прикладными процессами, использующими TCP, являются FTP (file transfer protocol - протокол передачи файлов) и telnet. Кроме того, TCP используют системы SMTP, HTTP, X-windows, RCP (remote copy), а

также "r"-команды. Прикладные процессы взаимодействуют с модулем TCP через порты. Под байтовыми потоками здесь подразумевается то, что один примитив, например, read или write может вызвать посылку адресату последовательности сегментов, которые образуют некоторый блок данных (сообщение).

Для анализа работы протокола TCP в браузере перешёл по адресу www.ya.ru, командой ping www.ya.ru уточнил IP-адрес адреса и в программе Wireshark сделал фильтрацию по пакетам: ip.addr==87.250.250.3

Оригинальный вид:

Результат декодирования Wireshark:

В результате декодирования можем определить, что:

-Порт отправителя - 59962;

-Порт получателя - 80;

-Индекс потока - 12 ;

-Относительный индекс – 0;

-Длина заголовков - 20 байт;

-Данный фрагмент – Fin;

-Размер окна – 4230 байт;

-Проверка контрольной суммы отключена.

3. Протокол HTTP

Протокол HTTP представляет собой протокол запросов-откликов. Клиент посылает запрос серверу в форме, определяющей метод, URI и версию протокола. В конце запроса следует сообщение, содержащее модификаторы, информацию о клиенте и, возможно, другие данные. Сервер откликается, посылая статусную строку, которая включает в себя версию протокола, код результата (успех/неудача) и сообщение, в котором содержатся данные о сервере и метаинформация.

Большинство HTTP-обменов инициируются пользователем и состоят из запросов ресурсов, имеющихся на определенном сервере. В простейшем случае такой запрос может быть реализован путем соединения пользовательского агента (UA) и базового сервера.

Для анализа работы протокола HTTP в браузере перешёл по адресу www.linuxwizard.ru, командой ping www. linuxwizard.ru уточнил IP-адрес адреса и в программе Wireshark сделал фильтрацию по пакетам: ip.addr==217.112.37.97

Оригинальный вид:

Результат декодирования Wireshark:

Врезультате декодирования можем определить, что:

-данный фрагмент - GET запрос;

-URI равен “/”;

-User-Agent (клиентский браузер )- Mozzila/5.0 (Windows NT 6.1);

-версия протокола - 1.1;

-предпочитаемые MIME-типы - text/html, обычный текст, изображения, видео, аудио-файлы и сообщения ;

-методы сжатия - gzip, compress, bzip, bzip2, deflate;

-языки – русский и английский.

4. Протокол SMTP

Главной целью протокола simple mail transfer protocol (SMTP, RFC-821, -822) служит надежная и эффективная доставка электронных почтовых сообщений. SMTP является довольно независимой подсистемой и требует только надежного канала связи. Средой для SMTP может служить отдельная локальная сеть, система сетей или весь Интернет.

SMTP базируется на следующей модели коммуникаций: в ответ на запрос пользователя почтовая программа-отправитель устанавливает двухстороннюю связь с программойприемником (TCP, порт 25). Получателем может быть оконечный или промежуточный адресат. SMTP-команды генерируются отправителем и посылаются получателю. На каждую команду должен быть отправлен и получен отклик.

Когда канал организован, отправитель посылает команду MAIL, идентифицирую себя. Если получатель готов к приему сообщения, он посылает положительное подтверждение. Далее отправитель посылает команду RCPT, идентифицируя получателя почтового сообщения. Если получатель может принять сообщение для оконечного адресата, он выдает снова положительное подтверждение. В противном случае он отвергает получение сообщения для данного адресата, но не вообще почтовой посылки.

Для анализа работы протокола SMTP установил программу telnet и подключился к почтовому серверу через 25 порт. В программе Wireshark сделал фильтрацию по протоколу:

SMTP.

Вывод программы WireShark:

Оригинальный вид:

Результат декодирования Wireshark: