3.3 Программный анализатор протоколов Wireshark.

Wireshark (ранее — Ethereal) — программа-анализатор трафикадля компьютерных сетейEthernetи некоторых других. Имеетграфический пользовательский интерфейс. В июне 2006 года проект был переименован в Wireshark из-за проблем с торговой маркой.

Функциональность, которую предоставляет Wireshark, очень схожа с возможностями программы tcpdump, однако Wireshark имеетграфический пользовательский интерфейси гораздо больше возможностей по сортировке и фильтрации информации. Программа позволяет пользователю просматривать весь проходящий по сети трафик в режиме реального времени, переводя сетевую карту внеразборчивый режим(англ.promiscuous mode).

Программа распространяется под свободнойлицензиейGNU GPLи использует для формирования графического интерфейса кроссплатформенную библиотекуGTK+. Существуют версии для большинства типовUNIX, в том числеGNU/Linux,Solaris,FreeBSD,NetBSD,OpenBSD,Mac OS X, а также дляWindows.

Wireshark — это приложение, которое «знает» структуру самых различных сетевых протоколов, и поэтому позволяет разобрать сетевой пакет, отображая значение каждого поля протокола любого уровня. Поскольку для захвата пакетов используется pcap, существует возможность захвата данных только из тех сетей, которые поддерживаются этой библиотекой. Тем не менее, Wireshark умеет работать с множеством форматов входных данных, соответственно, можно открывать файлы данных, захваченных другими программами, что расширяет возможности захвата.

При запуске программы Wireshark появляется окно (рис. 3.3)

Рисунок 3.3 - Стартовое окно программы Wireshark.

Для захвата пакетов необходимо нажать Capture/Interfaces, в появившемся окне выбрать интерфейс на котором будет происходить захват пакетов.

После захвата необходимых пакетов необходимо остановить процедуру захвата нажав на кнопку Capture/Stop.

Далее можно приступать к анализу пакетов, ниже приведен пример перехваченного пакета ARP.

No. Time Source Destination Protocol Info

12 1.690642 Cisco_2a:49:c2 Broadcast ARP Who has 78.26.143.107? Tell 78.26.143.1

Frame 12 (60 bytes on wire, 60 bytes captured)

Arrival Time: Sep 1, 2010 00:11:12.773022000

[Time delta from previous captured frame: 0.369128000 seconds]

[Time delta from previous displayed frame: 0.369128000 seconds]

[Time since reference or first frame: 1.690642000 seconds]

Frame Number: 12

Frame Length: 60 bytes

Capture Length: 60 bytes

[Frame is marked: False]

[Protocols in frame: eth:arp]

[Coloring Rule Name: ARP]

[Coloring Rule String: arp]

Ethernet II, Src: Cisco_2a:49:c2 (00:1a:6c:2a:49:c2), Dst: Broadcast (ff:ff:ff:ff:ff:ff)

Destination: Broadcast (ff:ff:ff:ff:ff:ff)

Source: Cisco_2a:49:c2 (00:1a:6c:2a:49:c2)

Type: ARP (0x0806)

Trailer: 000000000000000000000000000000000000

Address Resolution Protocol (request)

Домашнее задание

Изучить ключевые вопросы.

Подготовить протокол выполнения лабораторной работы.

Привести пример заголовка Ethernet фрейма.

Дать краткие письменные ответы на контрольные вопросы.

Контрольные вопросы

1. Цель создания модели взаимодействия открытых систем?

2. Перечислите уровни модели OSI/ISO и дайте краткую характеристику функций каждого уровня.

3. Перечислите физические спецификации технологии Ethernet.

4. Дайте краткую характеристику метода доступа к среде передачи данных CSMA/CD?

5. Опишите механизм обработки коллизии?

Лабораторное задание

1. Запустите программный анализатор протоколов Wireshark.

2. Включите режим захвата пакетов.

3. Обнулите ARP-таблицу своей рабочей станции.

4. Пропингуйте рабочую станцию соседней бригады.

5. Остановите режим захвата пакетов в Wireshark.

6. Проанализируйте ARP запрос и ARP ответ который вам удалось перехватить. Занесите полученные результаты в протокол.

7. Проанализируйте ICMP запрос и ответ. Занесите полученные результаты в протокол.

8. Сделайте выводы.

1В переводной литературе часто применяется перевод "кадр". Однако, чтобы избежать путаницы, автор рекомендует использовать термин фрейм.