1 Лабораторная работа №1. Отображение захваченных пакетов с помощью программы Wireshark, построение фильтров.

1.1 Цель работы: ознакомление с принципом работы программы WireShark.

2. Рабочее задание

1. Изучить интерфейс и панель инструментов программы Wireshark.

2. Выполнить захват пакетов.

3. Осуществить фильтрацию пакетов.

4. Осуществить поиск и закраску пакетов.

5. Сделать вывод и отчет по выполненной работе.

2. Методические указания по выполнению работы

1. Запуск программы Wireshark

Для запуска программы необходимо нажать: Пуск - Программы - Wireshark, либо два раза щёлкнуть левой кнопкой мыши по ярлыку программы на рабочем столе.

2. Интерфейс программы Wireshark

На рисунке 1.1 показан начальный интерфейс программы и его описание в таблице 1.1.

Рисунок 1.1 – Начальный интерфейс программы

Таблица 1.1 – Описание функций области программы

Выделенная область	Описание и функции
1	Кнопка активных сетевых адаптеров , с которых возможен захват трафика. Список имеет вид интерактивной таблицы.
2	Список активных сетевых интерфейсов. Нажатие на любой интерфейс из списка немедленно запустит процесс захвата трафика.
3	Кнопка настроек процесса захвата трафика
4	Кнопка, позволяющая загружать в программу захваченный ранее и сохраненный файл и отчётом о захваченном сетевом трафике.

3. Захват сетевого трафика

   1. Выполните захват трафика через команду меню Capture - Options. В открывшемся диалоговом окне устанавливаются следующие параметры захвата пакетов (рисунок 1.2):

1. Прописать место сохранения будущего захваченного файла в окне Capture file(s) -> File;

2. Установить размер захваченного файла, поставив галочке напротив функции Use multiple files -> выбрать размер;

3. При необходимости установить ограничение на размер захваченного файла в поле Stop Capture, ограничив по количеству пакетов, байт, минут.

Рисунок 1.2 – Окно настройки параметров захвата

Таблица 1.2 – Описание функций выделенной области программы

Выделенная область	Описание
1	Осуществляется выбор интерфейса для захвата трафика: локальный (Local) или удалённый (Remote) и определяет сам интерфейс.
2	Capture packets in promiscuous mode – Захват пакетов в режиме приёма всех сетевых пакетов.
3	Прописывает место сохранения будущего захваченного файла
4	Устанавливает размер захваченного файла
5	Устанавливает ограничение на размер захваченного файла
6	Опции отображения захвата пакетов: Update list in real time – обновление списка в реальном времени. Если эта опция включена, то программа отображает захваченный трафик в реальном времени. Automatic scrolling in live capture – Автоматическая прокрутка при захвате. Hide capture info dialog – Скрыть информационно-диалоговое окно захвата. Если эта опция включена, то информационно-диалоговое окно захвата не выводится.
7	Опции преобразования имен. Enable MAC name resolution – Включить преобразование MAC-адресов. Enable network name resolution – Включить преобразование сетевых имён. Enable transport name resolution – Включить преобразование TCP/UDP портов.

2. Выполните захват трафика через команду меню Capture - Interfaces. В открывшемся диалоговом окне выберите активный интерфейс, либо необходимый вам, если активных несколько (рисунок 1.3):

Рисунок 1.3 – Окно захвата Interfeses

Список функций активных адаптеров представлены в таблице 1.3.

Таблица 1.3 – Список активных адаптеров

Поле таблицы	Описание
Description	Описание адаптера (интерфейса)
IP	Сетевой адрес (если есть)
Packets	Количество захваченных блоков данных (PDU) с момента вызова таблицы
Packets/s	Скорость обработки (приёма и отправки пакетов)
Start	Начать захват трафика
Options	Вызов окна настроек захвата трафика.
Details	Подробная информация о сетевом адаптере.

4. Фильтрация пакетов

После выбора интерфейса и захвата трафика выводится окно захвата пакетов (Рисунок 1.4), описание полей представлено в таблице 1.5.

Рисунок 1.4 – Окно захваченных пакетов

Столбцы поля 3 показывают:

No. – номер пакета в файле захвата;

Time – временная отметка пакета;

Source – адрес отправителя (откуда пришел пакет);

Destination – адрес получателя (куда пакет пойдет);

Protocol – название протокола в сокращенной версии;

Info – дополнительная информация о содержании пакета.

Таблица 1.6 – Описание полей окна захвата

Выделенная область	Описание
1	Меню программы, и панель инструментов наиболее часто используемых функций программы
2	Фильтр захваченных пакетов
3	Поле списка краткой информации по всем захваченным PDU (Packet list)
4	Информационное поле отображения подробной информация по конкретно выбранному PDU (Packet Details)
5	Поле отображения данных, выделенных в информационном поле в шестнадцатеричной и текстовой форме (Packet Bytes)

1. Создание нового профайла для анализа захваченного трафика

Для этого в командной строке выбираем Edit-Configuration Profiles-New, даем название профиля, затем нажимаем применить (Apply) (рисунок 1.5).

Рисунок 1.5 – окно создания нового профайла

При необходимости с помощью командной строки Edit-Preference-Layout выбрать в левом поле списка нужные функции нового профиля (рисунок 1.6). После чего произвести дальнейший анализ дампа.

Рисунок 1.5 – Вид окна Preference

2. Фильтрация пакетов по определённым протоколам

Фильтр может применяться как при захвате трафика в реальном времени, так и при его анализе, сохранённого в файле захвата.

Для применения фильтра необходимо:

1. Ввести фильтр в поле ввода.

2. Нажать кнопку «Apply» (рисунок 1.4, поле 2).

Поле для ввода фильтра может менять цвет в зависимости от того, что было набрано.

Зеленый цвет означает, что все в порядке;

Красный – допущена ошибка;

Желтый – получен неожиданный результат, потому что существуют другие варианты написания фильтра (например можно написать ip.dst!= 8.8.8.8 или же !ip.dst == 8.8.8.8, именно второй вариант более предпочтительный).

Осуществим фильтрацию по протоколам TCP (рисунок 1.6), аналогично произведем фильтрацию по протоколам HTTP, DNS.

Рисунок 1.6 – Фильтрация пакетов протокола TCP

3. Фильтрация пакетов по определённым значениям полей в заголовках протоколов

Каждое поле из панели деталей пакетов (рисунок 1.4, поле 4) может использоваться как строка фильтра, тогда Wireshark покажет только те пакеты, в которых есть это поле.

Операторы сравнения и некоторые обозначения полей, которые могут использоваться при построении фильтров, представлены в таблицах 1.7-1.9.

Таблица 1.7 – Фильтры сравнения значений

Оператор	Значение	Описание и пример
eq	==	Равный: ip.addr==192.168.1.1 Отображать только те пакеты протокола IP, в которых сетевой адрес отправителя или получателя равен 192.168.1.1
ne	!=	Не равный: ip.addr!=10.0.0.5
gt	>	Больше: cp.dstport>10000 Отображать только те сегменты протокола TCP, в которых порт получателя больше 10000.
lt	<	Меньше: tcp.dstport<1024 Отображать только те датаграммы протокола UDP, в которых порт получателя меньше 1024
ge	>=	Больше либо равный: frame.pkt_len ge 0x100
le	<=	Меньший либо равный: frame.pkt_len <= 0x20

Таблица 1.8 – Фильтры логических операций

Оператор	Значение	Описание и пример
and	&&	Логическое И: ip.src==192.168.1.1 && ip.dst==192.168.1.10 Отображать только сообщения отправленные устройством с сетевым адресом 192.168.1.1 для устройства с сетевым адресом 192.168.1.10
or	||	Логическое ИЛИ: eth.dst==ff:ff:ff:ff:ff:ff || ip.dst==255.255.255.255 Отображать только широковещательные кадры протокола Ethernet или пакеты протокола IP.
xor	^^	Исключающее ИЛИ: tr.dst[0:3] == 0.6.29 xor tr.src[0:3] == 0.6.29
not	!	Логическое отрицание: !arp Не отображать PDU протокола ARP

Таблица 1.9 – Обозначения часто используемых полей фильтров

Поле	Описание
eth.addr	Физический адрес источника или получателя в кадре протокола Ethernet
eth.len	Длина кадра протокола Ethernet
ip.addr	Сетевой адрес источника или получателя в пакете протокола IP
ip.dst	Сетевой адрес получателя в пакете протокола IP
ip.src	Сетевой адрес источника в пакете протокола IP
tcp.ack	Подтверждения (ACK) протокола TCP
tcp.port	Порт источника или получателя в сегменте протокола TCP
tcp.dstport	Порт получателя в сегменте протокола TCP
tcp.srcport	Порт источника в сегменте протокола TCP
tr.dst	Физический адрес получателя в кадре протокола Token Ring

 

4. Сохранение фильтра на панели инструментов

Для дальнейшего использования фильтра необходимо нажать кнопку «Save» в поле фильтра (рисунок 1.4, поле 2), затем ввести произвольное название (рисунок 1.7)

Рисунок 1.7 – Окно сохранения фильтра

и после нажатия на кнопку «ОК» фильтр появится как кнопка на панели инструментов (рисунок 1.8).

Рисунок 1.8 – Окно сохранения фильтра

Для создания фильтра по определенным параметрам пакета необходимо нажать правой кнопкой на выбранный параметр и применить его (рисунок 1.9).

Рисунок 1.9 – Применение фильтра по определенным параметрам пакета

5. Поиск пакетов

Выбрав функцию Edit - Find Packet (рисунок 1.10) выбрать фильтры поиска:

Display filter (Фильтр дисплея): ip.addr==192.168.0.1.

2) Hex Value (шестнадцатеричное значение): 00:00

Поиск определенной последовательности байтов в данных пакетах.

3) String (строка). Поиск строки в данных пакета с различными опциями.

4) По направлению поиска:

• Up (искать вверх по списку пакетов);

• Down (искать вниз по списку пакетов).

 

Рисунок 1.10 – Диалоговое окно «Поиск пакета»

Выбрав меню «Go»   можно легко перейти на определенный пакет при помощи одного из подменю:

• «Go Back» command (команда «Назад»). Переход на предыдущий пакет;

• «Go Forward» command (команда «Вперед»). Переход на следующий пакет.

• «Go to Packet» dialog box (диалоговое окно «Перейти к пакету»). Позволяет ввести номер пакета, как только нажмете «ОК» (рисунок 1.11).

     

Рисунок 1.11 – Диалоговое окно «Перейти к пакету»).

 

• «Go to Corresponding Packet» command (команда «Перейти к соответствующему пакету»).

• «Go to First Packet» command (команда «Перейти к первому пакету»). Переходит к первому пакету из списка.

•  «Go to Last Packet» command (команда «Перейти к последнему пакету»).

6. Закраска пакетов

  Можно настроить Wireshark так, чтобы он выделял пакеты разными цветами согласно цвету фильтра. Это позволяет акцентировать внимание на пакетах, которые часто используются.

Для этого необходимо зайти в View – Coloring rules (рисунок 1.12) выбрать любые цвета для шрифта и заливки пакета.

 

Рисунок 1.12 – Диалоговое окно «Правила закраски»

 

Нажав дважды на любой выбранный фильтр, открывается диалоговое окно редактирования цвета (рисунок 1.13).

Рисунок 1.13 – Диалоговое окно «Редактирование цвета фильтра»

После нажмите кнопку Foreground color или Background color 

и программа откроет окно для выбора цвета.

Контрольные вопросы:

1. Что такое блок PDU?

2. Какими параметрами характеризуется пакет в системе Wireshark?

3. Что такое «кадр»?

4. Понятие снифферов пакетов.

5. Из каких полей состоит интерфейс программы Wireshark? Опишите их.

6. Какими способами можно осуществить фильтрацию пакетов?

7. Какими способами можно осуществить захват пакетов?

8. Напишите фильтр, который бы выбирал только пакеты с сетевым адресом источника, равным 192.168.1.12.

9. Как сохранить фильтр на панель инструментов?