- •Лабораторна робота №1. Низькорівневий аналіз мережевого трафіку
- •1. Принципи роботи снифферов
- •2. Обмеження використання снифферов
- •3. Загальний огляд програмних пакетних снифферов
- •4. Аналізатор мережевого трафіку Wire Shark
- •4.1. Можливості Wireshark
- •4.2 Установка
- •4.3. Інтерфейс Wireshark
- •5. Завдання на лабораторну роботу і звітність, що надається
- •Лабораторна робота №2. Керування мережевим трафіком за допомогою файрволла
- •Теоретичні відомості
- •Comodo Firewall
- •Jetico Firewall
- •Tiny Personal Firewall
- •Контрольні питання
- •Індивідуальне завдання
- •Література
- •Лабораторна робота №3. Дослідження мережевих протоколів
- •3.1 Протокол ip
- •3.2 Фрагментація ip -пакетов
- •3.3 Базові утиліти для тестування мереж tcp/ip
- •3.4 Протоколи транспортного рівня
- •3.4.1 Функції транспортного рівня
- •3.4.2 Протокол udp
- •3.4.3 Протокол tcp
- •Контрольні питання
- •Індивідуальне завдання
- •Лабораторна робота №4. Реалізація обміну повідомленнями за допомогою протоколу udp
- •4.1 Постановка завдання
- •4.2 Коротка теоретична довідка
- •4.3 Схема взаємодії функцій WinSock
- •4.4 Реалізація клієнтської частини
- •4.7.2 Створення й видалення сокета
- •4.7.3 Прив'язка адреси до сокету
- •4.7.4 Очікування й обробка запитів на підключення клієнта
- •4.7.5 Підключення до сервера
- •4.7.6 Відправлення й прийом повідомлень
- •4.8 Рекомендації з виконання роботи
- •4.9 Контрольні питання
3. Загальний огляд програмних пакетних снифферов
Усе програмні сниффери можна умовно розділити на дві категорії: сниффери, підтримувальні запуск з командного рядка, і сниффери, що мають графічний інтерфейс. При цьому необхідно відмітити, що існують сниффери, які об'єднують в собі обоє ці можливості. Крім того, сниффери відрізняються один від одного протоколами, які вони підтримують, завглибшки аналізу перехоплених пакетів, можливостями по налаштуванню фільтрів, а також можливістю сумісності з іншими програмами.
Звичайне вікно будь-якого сниффера з графічним інтерфейсом полягає їх трьох областей. У першій з них відображуються підсумкові дані перехоплених пакетів. Зазвичай в цій області відображується мінімум полів, а саме: час перехоплення пакету; IP -адреса відправника і одержувача пакету; МАС-адреси відправника і одержувача пакету, початкові і цільові адреси портів; тип протоколу (мережевий, транспортний або прикладного рівня); деяка сумарна інформація про перехоплені дані. У другій області виводиться статистична інформація про окремий вибраний пакет, і, нарешті, в третій області пакет представлений в шістнадцятиричному виді або в символьній формі - ASCII.
Практично усе пакетні сниффери дозволяють проводити аналіз декодованих пакетів (саме тому пакетні сниффери також називають пакетними аналізаторами, або протокольними аналізаторами). Сниффер розподіляє перехоплені пакети по рівнях і протоколах. Деякі аналізатори пакетів здатні розпізнавати протокол і відображувати перехоплену інформацію. Цей тип інформації зазвичай відображується в другій зоні вікна сниффера. Приміром, будь-який сниффер здатний розпізнавати протокол TCP, а просунуті сниффери уміють визначати, яким застосуванням породжений цей трафік. Більшість аналізаторів протоколів розпізнають понад 500 різних протоколів і уміють описувати і декодувати їх по іменах. Чим більше інформації в змозі декодувати і представити на екрані сниффер, тим менше доведеться декодувати вручну.
Одна з проблем, з якою можуть стикатися аналізатори пакетів, - неможливість коректної ідентифікації протоколу, що використовує порт, відмінний від порту за умовчанням. Приміром, з метою підвищення безпеки деякі відомі застосування можуть налаштовуватися на застосування портів, відмінних від портів за умовчанням. Так, замість традиційного порту 80, зарезервованого для web -сервера, цей сервер можна примусово перенастроювати на порт 8088 або на будь-якій іншій. Деякі аналізатори пакетів в подібній ситуації не здатні коректно визначити протокол і відображують лише інформацію про протокол нижнього рівня (TCP або UDP).
Існують програмні сниффери, до яких як плагинов або вбудованих модулів додаються програмні аналітичні модулі, що дозволяють створювати звіти з корисною аналітичною інформацією про перехоплений трафік.
Інша характерна риса більшості програмних аналізаторів пакетов- можливість налаштування фільтрів до і після захоплення трафіку. Фільтри виділяють із загального трафіку певні пакети за заданим критерієм, що дозволяє при аналізі трафіку позбавитися від зайвої інформації.
Далі буде описаний сниффер Wire Shark, використовуваний при виконанні лабораторних робіт.