Завдання 3. Провести аналіз змісту пакетів, що передаються мережею за допомогою утиліти Wireshark
Розглянемо роботу мережевої утиліти Wireshark, яка дозволяє проводити аналіз пакетів, що передаються мережею. Для цього проведіть інсталяцію дистрибутиву програми. Дистрібутів знаходиться на сервері. Зверніть увагу, щоб у процесі інсталяції був встановлений прапорець встановлення WinPcap, це бібліотека, в яку входить драйвер підтримки збору пакетів. Він використовується програмою Wireshark для динамічного збору мережевих даних. Це показано на рис. 10.
Рис. 10. Встановлення додаткової бібліотеки програми
Завершивши операцію встановлення перейдемо до роботи з інтерфейсом програми. На рис. 11 вказано меню вибору інтерфейсу, з якого буде проводитися збір мережевої інформації. Який інтерфейс необхідно обрати? Для початку збору даних натисніть кнопку Start.
Рис. 11. Приклад вибору інтерфейсу
Рис. 12. Прямий запуск збору даних з вказаного інтерфейсу.
Натиснувши кнопку опції – Options, ви маєте можливість встановити додаткові параметри збору даних. На рис. 13 показано вікно визначення цих параметрів. Встановіть параметри згідно рис 13.
Рис. 13. Визначення параметрів мережевого інтерфейсу для збору даних
Далі натисніть кнопку старт і ви побачите як у трьох інформаційних областях починають з’являтися дані. Як видно, робоча область поділена на три частини, верхня – це область відображення переліку перехоплених пакетів, в середині поля знаходиться область відображення змісту та полів конкретного пакету, для його визначення просто оберіть необхідний пакет із переліку верхньої області, що ж до найнижчої частини робочої області, то тут відображається зміст пакета у вигляді 16ричних даних.
Для припинення збору пакетів натисніть на кнопку, що вказано на рис. 14 припинити, а для поновлення збору є кнопка почати збір, її також вказано на рис. 14.
Рис. 14. Кнопки початку та припинення збору пакетів
Аналіз даних веб-трафіку. Відкрийте веб-браузер, у рядку введення URL-адреси наберіть www.google.com. Згорніть вікно роботи з Google та поверніться назад до Wireshark. Тепер тут має відображатися щось схоже з запропонованим на рис. 15. Знайдіть стовбці Source, Destination та Protocol (відправник, адреса призначення та протокол) у вікні Wireshark.
Рис. 15. Приклад збору веб-трафіку
Підключення до серверу Google починається з відправки запиту на DNS-сервер для пошуку IP-адреси сервера. IP-адреса сервера починається, найімовірніше, з 64.x.x.x. Який відправник та адреса призначення першого пакету, відправленого на сервер Google?
Відкрийте ще одне вікно веб-браузеру та перейдіть на базу даних ARIN Whois http://www.arin.net/whois/ чи скористайтеся іншим засобами пошуку whois та введіть IP-адресу серверу призначення (якого серверу). Якій організації призначена ця адреса?
Які протоколи використовуються для підключення до веб-серверу та передачі веб-сторінок на ПК? _______________________________
Яким кольором виділено трафік між вашим вузлом та веб-сервером Google?
Фільтрація збору мережевих даних. Відкрийте вікно командної строки за допомогою команди Пуск – Выполнить, введіть cmd, натисніть Enter. Відправте запит на ІР-адресу вузла в вашій локальній мережі та подивіться за процесами в вікні збору даних Wireshark. Покрутіть вікно вниз-вгору, в якому відображео трафік. Який протокол використовується?
У програмі Wireshark e текстовому полі Filter (фильтр) введіть icmp та клікніть Apply (застосувати). Протокол керування повідомленнями в Інтернет (Internet Control Message Protocol, ICMP) — це протокол. Що використовується єхо-запитами для превірки мережевого підключення до іншого вузла. Приклад даної роботи наведено на рис. 16.
Рис. 16. Приклад збору мережевих даних
-
Який трафік відображається при вводі команди icmp у полі Filter (фільтр)?
-
Клікніть Filter (фільтр): Кнопка Expression (вираз) у вікні Wireshark. Прокрутіть список до низу та переглянте можливості фільтрації. Чи є у списку протоколи TCP, HTTP, ARP та іньші? ____________________