Ftp iipo tu bryansk ru pub install windows net wireshark

Депобразования и молодежи Югры

бюджетное учреждение профессионального образования

Ханты-Мансийского автономного округа – Югры

«Мегионский политехнический колледж»

(БУ «Мегионский политехнический колледж»)

МЕТОДИЧЕСКИЕ УКАЗАНИЯ

ПО ВЫПОЛНЕНИЮ ПРАКТИЧЕСКИХ РАБОТ

ПО МДК ПМ-04.
ПК 4.2.1-4.2.15 «Наладчик технологического оборудования»

Мегион, 2015

РАССМОТРЕНО

на заседании ЦМК естественнонаучных дисциплин

БУ «Мегионский политехнический колледж»

Протокол №198 от «8»июня 2015 г.

Составитель:

Шулика Ф.И., преподаватель 

Методические указания разработаны для оказания помощи обучающимся в выполнении практических работ и подготовки к экзамену по дисциплине «операционные системы» (специальность «230115 Программирование в компьютерных системах»).

Содержание

Пояснительная записка        4

Практическая работа №1        5

Практическая работа №2        6

Практическая работа №3        7

Практическая работа №4        9

Практическая работа №5        11

Практическая работа №6        13

Практическая работа №7        16

Практическая работа №8        17

Практическая работа №9        19

Практическая работа №10        20

Практическая работа №11        22

Практическая работа №12        23

Практическая работа №13        25

Практическая работа №14        27

Практическая работа №15        28

Практическая работа №16        32

Практическая работа №17        34

Практическая работа №18        35

Практическая работа №19        36

Практическая работа №20        37

Практическая работа №21        39

Практическая работа №22        40

Практическая работа №23        41

Практическая работа №24        42

Практическая работа №25        43

Практическая работа №26        44

Практическая работа №27        46

Практическая работа №28        48

Практическая работа №29        49

Практическая работа №30        50

Пояснительная записка

В учебном процессе наряду с теоретическим обучением значительное место отводится практическим работам. Правильное сочетание теоретических знаний с практикой обеспечивает высокое качество подготовки специалистов.

Практикум представляет собой руководство по выполнению практических работ, составленное в соответствии с учебной программой МДК ПМ-04.
ПК 4.2.1-4.2.15 «Наладчик технологического оборудования»
, для специальности 230115 Программирование в компьютерных системах среднего профессионального образования.

Каждая практическая работа содержит вопросы для подготовки к работе, краткие теоретические сведения по исследуемой теме, указания по методике выполнения, контрольные вопросы и задания для выполнения.

Практическая работа №1

Тема: Установка и настройка сетевого оборудования

Цель: Знать виды и классификацию локальных сетей, физические среды передачи данных, научиться устанавливать и настраивать сетевой интерфейс

Ход работы.

Установка сетевой карты (условно)

Для установки сетевой карты необходимо выключить и обесточить вычислительную систему, снять защитный кожух системного блока, и установить сетевую карту в слот, соответствующий ее интерфейсу.

Подготовка к выполнению работы

  1. Если монитор вычислительной системы имеет питание, отдельное от системного блока, включите монитор.
  2. Включите компьютерную систему выключателем системного блока.
  3. При появлении запроса о пароле нажмите на клавиатуре клавишу Esc.

Установка драйвера сетевой карты

  1. Нажмите кнопку Пуск на панели задач. Выберете пункт Настройка -> Панель Управления.
  2. Откройте объект Сеть. В появившемся окне на вкладке Конфигурация нажмите кнопку Добавить…
  3. Выберите тип устанавливаемого компонента: Сетевая карта. Нажмите кнопку Добавить…
  4. Выберите соответствующие пункты в окнах Изготовители: Обнаруженные сетевые драйверы и Сетевые платы: Драйвер Ndis2. Нажмите кнопку OK.
  5. Отметьте появления в окне В системе установлены следующие компоненты компонентов Драйвер Ndis2 и соответствующих ему протоколов.
  6. Перезагрузите систему.

Удаление сетевой карты

  1. Нажмите кнопку Пуск на панели задач. Выберете пункт Настройка -> Панель Управления.
  2. Откройте объект Сеть. В появившемся окне:
  1. На вкладке Конфигурация в окне В системе установлены следующие компоненты выберите тип удаляемого компонента: Драйвер Ndis2 Нажмите кнопку Удалить.
  2. Нажмите кнопку OK.
  1. Отметьте исчезновение в окне В системе установлены следующие компоненты компонентов Драйвер Ndis2 и соответствующих ему протоколов.
  2. Перезагрузите систему.

Завершение работы

Дождавшись окончания запуска операционной системы, уточните у преподавателя порядок завершения работы с компьютером. Приведите компьютер в исходное состояние.

Практическая работа №2

Тема: Сравнительная характеристика сетевых карт

Цель: Изучение конструкции сетевых адаптеров, функционального назначения их компонентов и блоков. Приобретение навыков настройки параметров сетевого адаптера.

Ход работы.

1.   Изучите конструкцию представленного сетевого адаптера.

2.   Схематически изобразите в отчете расположение основных компонентов.

3.   Дайте характеристику и опишите функциональное назначение основных компонентов.

4.   Установите переключатели сетевого адаптера для работы со следующими параметрами:

a.     прерывание (IRQ) – 5;

b.     порт ввода/вывода (I/O port) – 320h;

c.     ПЗУ удаленной загрузки (boot ROM) – выключено.

d.     режим работы – 10Base-T.

5.   Отключите питание компьютера и установите адаптер в свободный разъем на материнской плате.

6.   Включите компьютер и, загрузившись с дискеты, запустите программу lanset.exe.

7.   С помощью программы настройки адаптера проведите диагностику адаптера и изучите основные параметры настройки адаптера.

Практическая работа №3

Тема: Подключение к сети Интернет 

Цель: знать виды и классификацию локальных сетей, физические среды передачи данных, научиться устанавливать и настраивать сетевой интерфейс

Ход работы.

Подготовка к выполнению работы

  1. Изучите настоящие указания, уточните непонятные моменты.
  2. Если монитор вычислительной системы имеет питание, отдельное от системного блока, включите монитор.
  3. Включите компьютерную систему выключателем системного блока.
  4. При появлении запроса о пароле нажмите на клавиатуре клавишу Esc.

Установка протоколов

  1. Нажмите кнопку Пуск на панели задач. Выберете пункт Настройка -> Панель Управления.
  2. Нажмите кнопку Добавить… Выберите тип устанавливаемого компонента: Протокол. Нажмите кнопку Добавить…
  3. Выберите соответствующие пункты в окнах Изготовители: Microsoft и Сетевые протоколы: IPX/SPX-совместимый протокол. Нажмите кнопку OK.
  4. Нажмите кнопку OK.
  5. Для корректной настройки драйвера перезагрузите систему (условно).

Удаление протоколов

  1. Нажмите кнопку Пуск на панели задач. Выберете пункт Настройка -> Панель Управления.
  2. Откройте объект Сеть. В появившемся окне на вкладке Конфигурация выберите компонент IPX/SPX-совместимый протокол. Нажмите кнопку Удалить…
  3. Для корректной настройки драйвера перезагрузите систему (условно).

Настройка сетевого протокола TCP/IP

  1. Выберите компонент TCP/IP. Нажмите кнопку Свойства. В появившемся окне:
  1. на вкладке Адрес IP снимите значения параметров IP-адрес и Маска подсети
  2. на вкладке Шлюз снимите значения параметра Установленные шлюзы
  3. на вкладке Конфигурация снимите значения параметров Имя компьютера, Домен, Порядок просмотра серверов DNS.
  4. Нажмите кнопку OK.

Проверка настройки протокола

  1. После перезагрузки компьютера проверьте работу сетевого интерфейса командой ping IP-адрес и работу сервера DNS командой ping доменное_имя. Адреса и доменные имена для проверки работы сети (получить у преподавателя):

IP-адрес

Доменное имя

Примечание

Проверьте работу маршрутизации командой tracert IP-адрес (tracert доменное_имя). Адреса и доменные имена для проверки работы сети (получить у преподавателя).

  1. Заполните таблицу:

п/п

Наименование

Значение

Сетевая плата

Используемые протоколы

IP-адрес

Маска подсети

Доменное имя компьютера

DNS-сервер(ы)

Шлюз

Завершение работы

Уточните у преподавателя порядок завершения работы с компьютером. Приведите компьютер в исходное состояние.

Практическая работа №4

Тема: Автоматическое получение IP -адреса 

Цель:  Научиться настраивать локальную сеть на автоматическое получение IP адреса в соответствии с текущей конфигурацией сети

Ход работы.

Подготовка к выполнению работы

  1. Изучите настоящие указания, уточните непонятные моменты.
  2. Если монитор вычислительной системы имеет питание, отдельное от системного блока, включите монитор.
  3. Включите компьютерную систему выключателем системного блока.
  4. При появлении запроса о пароле нажмите на клавиатуре клавишу Esc.

Установка контроллера удаленного доступа

  1. Нажмите кнопку Пуск на панели задач. Выберете пункт Настройка -> Панель Управления.
  2. Откройте объект Установка и удаление программ. В появившемся окне:
  1. на вкладке Установка Windows в окне Компоненты выберите пункт Связь и нажмите кнопку Состав…
  2. В появившемся окне  выберите пункт (установите флажок) Удаленный доступ к сети и нажмите кнопку OK.
  1. Подождите, пока система устанавливает программное обеспечение. По завершении перезагрузите компьютер.

Установка модема

  1. Нажмите кнопку Пуск на панели задач. Выберете пункт Настройка -> Панель Управления.
  2. Откройте объект Модемы (появится диалоговое окно Установка нового модема).
  1. Установите флажок Не определять тип модема (выбор из списка). Нажмите кнопку Далее >.
  2. Прочитайте и законспектируйте сообщение. Выберите соответствующие пункты в окнах Изготовители: (Standard Modem Types) и Модели: Standard 28800 bps Modem. Нажмите кнопку Далее >.
  3. В окне Укажите порт, к которому он присоединен: укажите Последовательный порт  (COM2).     Нажмите кнопку Далее >.
  4. Подождите, пока идет установка модема. По завершении нажмите кнопку Готово.

Создание удаленного соединения

  1. Откройте объект Мой компьютер.
  2. Откройте объект Удаленный доступ к сети.
  3. Откройте объект Новое соединение. В появившемся окне:
  1. введите название соединения Лаб9; выберите в выпадающем списке установленный модем. Нажмите кнопку Далее…
  2. введите Код города: 222; Телефон: 22222, Код страны: Россия (7). Нажмите кнопку Далее…
  3. нажмите кнопку Готово

Настройка удаленного соединения

  1. В окне Удаленный доступ к сети выберите объект Лаб 9. Выберите в меню Файл пункт Свойства. В открывшемся окне:
  1. на вкладке Общие проверьте код города, код страны, телефон.
  2. на вкладке Тип сервера отметьте тип удаленного сервера; установите Допустимые сетевые протоколы: TCP/IP.
  3. нажмите кнопку OK.

Установка удаленного соединения

  1. В окне Удаленный доступ к сети откройте объект Лаб 9. В открывшемся окне:
  1. введите Имя пользователя: dial-up
  2. введите Пароль: 12345
  3. нажмите кнопку Установить связь

Фазы установления соединения:

  1. набор номера
  2. согласование параметров связи
  3. проверка имени пользователя и пароля
  4. вход в сеть
  5. установка соединения

Завершение работы

  1. Нажмите кнопку Пуск на панели задач. Выберете пункт Настройка -> Панель Управления.
  2. В окне Удаленный доступ к сети выберите объект Лаб 9. Выберите в меню Файл пункт Удалить.
  3. Откройте объект Модемы. Выберите Standard 28800 bps Modem. Нажмите кнопку Удалить Нажмите кнопку Закрыть
  4. Откройте объект Сеть. Выберите Контроллер удаленного доступа. Нажмите кнопку Удалить Нажмите кнопку ОК
  5. Уточните у преподавателя порядок завершения работы с компьютером. Приведите компьютер в исходное состояние.

Практическая работа №5

Тема: Просмотр конфигурации TCP/IP с помощью средства Ipconfig.exe. Отображение сведений о подключении с помощью средства Nbtstat.exe 

Цель: является изучение методов контроля и мониторинга сетей, построенных на базе стека протоколов TCP/IP с помощью утилит операционной системы Windows.

Ход работы.

С помощью утилиты ipconfig, запущенной из командной строки, определить имя, IP-адрес и физический адрес основного сетевого интерфейса компьютера, IP-адрес шлюза, IP-адреса DNS-серверов и использование DHCP. Результаты представить в виде таблицы в отчете.

        С помощью утилиты nslookup определить IP-адрес одного из удаленных серверов, доменные имена которых указаны в табл. 4.2.

        С помощью утилиты ping проверить состояние связи c любыми компьютером и шлюзом локальной сети, а также с одним из удаленных серверов, доменные имена которых указаны в табл. 4.2.

Таблица4.2

Число отправляемых запросов должно составлять не менее 10. Для каждого из исследуемых хостов отразить в виде таблицы в отчете IP-адрес хоста назначения, среднее время приема-передачи, процент потерянных пакетов.

        С помощью утилиты arp проверить состояние ARP-кэша. Провести пингование какого либо хоста локальной сети, адрес которого не был отражен в кэше. Повторно открыть ARP-кэш и проконтролировать модификацию его содержимого. Представить полученные значения ARP-кэша в отчете.

        Провести трассировку одного из удаленных хостов в соответствии с вариантом, выбранным в п. 4.3.2. Если есть потери пакетов, то для соответствующих хостов среднее время прохождения необходимо определять с помощью утилиты ping по 10 пакетам. В отчете привести копию окна с результатами работы утилиты tracert.

Определить участок сети между двумя соседними маршрутизаторами, который характеризуется наибольшей задержкой при пересылке пакетов. Для найденных маршрутизаторов с помощью сервиса Whois определить название организаций и контактные данные администратора (тел., e-mail). Полученную информацию привести в отчете.

С помощью утилиты netstat посмотреть активные текущие сетевые соединения и их состояние на вашем компьютере, для чего:

  • запустить несколько экземпляров веб-браузера, загрузив в них различные страницы с разных веб-сайтов (по указанию преподавателя);
  • закрыть браузеры и с помощью netstat проверить изменение списка сетевых подключений.

Проконтролировать сетевые соединения в реальном масштабе времени, для чего:

  • закрыть ранее открытые сетевые приложения;
  • запустить из командной строки утилиту netstat, задав числовой формат отображения адресов и номеров портов и повторный вывод с периодом 20-30 с;
  • в отдельном окне командной строки запустить утилиту ping в режиме «до прерывания»;
  • наблюдать отображение netstat, текущей статистики сетевых приложений;
  • с помощью клавиш Ctrl+C последовательно закрыть утилиты ping и netstat.

В отчете привести копии окон с результатами работы утилиты netstat с пояснением отображаемой информации.

Практическая работа №6

Тема: Настройка рабочей станции для работы в сети

Цель: Освоение основных способов определения сетевых параметров и  их настройки  для подключения рабочей станции к сети передачи данных. 

В результате выполнения лабораторной работы студенты должны изучить функции всех сетевых параметров,  усвоить способы  их представлений, познакомиться с методом введения этих параметров, если даже у них нет права администратора на хост. Также они должны уметь выявлять и устранять возможные неисправности и сбои при сетевом подключении.

Ход работы.

1.      Двойным щелчком мыши на значке Сетевое окружение определить имена NetBIOS вашего собственного компьютера и компьютера преподавателя.

2.      Забрать файл с лабораторной работой из папки с:Temp компьютера преподавателя

3.      Определите параметры протокола TCP/IP вашего компьютера. Для этого проделайте следующие действия: Выберете меню Пуск -Настройка – Панель управления – Сеть (или сетевые подключения)– Устройства и протоколы – TCP/IP. Нажмите кнопку Свойства.

Примечание. Возможно, у Вас не хватает необходимых прав администратора для просмотра параметров на вкладках, тогда всю работу следует выполнять в режиме Командной строки.

4.      Определите следующие параметры протокола:

—         IP адрес сетевого адаптера

—         Сетевую маску

—         Адрес шлюза по умолчанию

—         Адрес основного и вспомогательного сервера DNS.

—         определите систему счисления этих параметры

5.      Определите физический адрес сетевого адаптера вашего компьютера и его доменное имя. Для этого нужно в командной строке (менюПуск – Программы – Стандартные – Командная строка или в меню Пуск – Выполнить) ввести команду ipconfig (для операционных системWindows 2000/XP/2003 – ввести команду

>ipconfig  /all )

Определите систему счисления этих параметров.

6.      Определите, открыт ли сетевой доступ к диску вашего компьютера. Для этого щелкните правой клавишей на значке диска и в открывшемся контекстном меню выберите значение Свойства. Определите также емкость диска.

7.      Выясните возможность изменения физического адреса вашей рабочей станции. Обоснуйте полезность такого изменения. 

8.      Можете ли вы изменить IP адрес и сетевую маску вашей рабочей станции. Обоснуйте ответ.

9.      Определите топологию, метод коммутации, технические средства и линии связи, использованные в сети вашего учебного заведения. 

10. Определите быстродействие и память вашего компьютера. Для этого щелкните правой кнопкой мыши на значке Мой компьютер и в открывшемся контекстном меню выберите значение Свойства, а затем вкладку Общие

11. Прочитайте справочный материал о протоколе DHCP (Dynamic Host Configuration Protocol) и о серверах службы имен Microsoft WINS(Windows Internet Naming Service)

12. Создайте текстовый файл, в который занесите следующие сведения:

—         Ваша Фамилия И.О.

—         Группа

—         Имя компьютера по протоколу NetBIOS (имя в сетевом окружении)

—         Полное доменное имя Вашего компьютера (это Имя компьютера с Основным доменным суффиксом, который тоже можно посмотреть по команде ipconfig  -all)

—         Физический адрес сетевого адаптера и его тип

—         IP адрес и маску

—         Адрес шлюза по умолчанию

—         Адрес серверов DNS

—         Система счисления всех данных параметров

—         Параметры вашего компьютера: тактовая частота процессора, оперативная память, размер диска (сколько имеется свободного места на жестком диске?), параметры сетевого доступа к диску.

—         Языки, которые вы изучаете (первый и второй)

Файл также должен содержать ответы на следующие вопросы:

·        Какое представление имеет  IP-адрес?          

·        Может ли служить IP-адресом 267.197.0. 301? Почему?

·        Может ли один хост иметь более одного IP-адреса? Обосновать свой ответ.

·        Для чего используется DNS? Какой файл был прообразом DNS?

·        Опишите принцип функционирования DNS.

·        Какие серверы Интернета вы знаете?

·        Можно ли поместить в один компьютер два Web-узла? Обосновать свой ответ.

Практическая работа №7

Тема: Управление и учет входящего и исходящего объема информации (трафика) сети

Цель: Знать принципы анализа сетевого трафика.

Научиться использовать сетевой анализатор (сниффер Wireshark).

Научиться анализировать сетевой трафик на примере протоколов ARP, IP и ICMP.

Ход работы.

  1. Изучить интерфейс программы Wireshark
    (
    ftp://iipo.tu-bryansk.ru/pub/Install/windows/net/wireshark/)
  2. Захватить 100 произвольных пакетов. Определить статистические данные:
  • процентное соотношение трафика разных протоколов в сети;
  • среднюю скорость кадров/сек;
  • среднюю скорость байт/сек;
  • минимальный, максимальный и средний размеры пакета;
  • степень использования полосы пропускания канала (загрузку сети).
  1. Зафиксировать 20 IP-пакетов. Определить статистические данные:
  • процентное соотношение трафика разных протоколов стека tcp/ip в сети;
  • средний, минимальный, максимальный размеры пакета.
  1. Выполнить анализ ARP-протокола по примеру из методических указаний.
  2. На примере любого IP-пакета указать структуры протоколов Ethernet и IP, Отметить поля заголовков и описать их.
  3. Проанализировать и описать принцип работы утилиты ping.
    При этом описать все протоколы, используемые утилитой. Описать все поля протоколов. Составить диаграмму взаимодействия машин при работе утилиты
    ping.
    Примечание. Данная утилита использует протокол ICMP (RFC 792 и RFC 960).

Практическая работа №8

Тема: Поиск информации в Интернете

Цель: знать , уметь выполнять при помощи браузера — перемещение по гиперссылкам, открытие и загрузку файлов, работать с ftp-сервером.

Ход работы.

Подготовка к выполнению работы

  1. Изучите настоящие указания, уточните непонятные моменты.
  2. Если монитор вычислительной системы имеет питание, отдельное от системного блока, включите монитор.
  3. Включите компьютерную систему выключателем системного блока.
  4. При появлении запроса о пароле нажмите на клавиатуре клавишу Esc.

Запуск программы

  1. Запустите программу Outlook Express при помощи ярлыка на рабочем столе либо Главного меню (Пуск -> Программы-> Internet Explorer).

Перемещение по гиперссылкам

  1. Переход на начальную страницу. Нажмите кнопку Домой или выберите в меню Вид пункт Переход -> Домашняя страница. Отметьте «горячее» сочетание клавиш для данной функции.
  2. Ввод URL в адресную строку. Введите в строку Адрес: http://rb.gasu.ru
  3. Перемещение на страницу назад. Нажмите кнопку Назад или выберите в меню Вид пункт Переход -> Назад. Отметьте «горячее» сочетание клавиш для данной функции.
  4. Перемещение на страницу вперед. Нажмите кнопку Вперед или выберите в меню Вид пункт Переход -> Вперед. Отметьте «горячее» сочетание клавиш для данной функции.
  5. Перемещение по ссылкам. Выберите последовательно ссылки Университет -> Студентам -> ЭПФ  -> Первый курс -> ВМСТ -> Лабораторные работы -> Лабораторная работа №12 на страничке http://www.gasu.ru.
  6. Отработайте все виды перемещения по ссылкам.

Открытие файлов при помощи браузера.

  1. Повторите действия п.10.
  2. Выберите ссылку Открыть файл в браузере.
  3. Отметьте появление новых пунктов в меню. Нажмите кнопку Сервис на панели инструментов. Отметьте изменения.

Загрузка файлов при помощи браузера.

  1. Повторите действия п.10.
  2. Выберите ссылку Загрузить файл в браузере.
  3. В появившемся окне:
  1. установите переключатель в положение Сохранить этот файл на диске. Нажмите кнопку OK.
  2. в открывшемся окне Сохранение файла выберите Сохранить в: Рабочий стол. Нажмите кнопку сохранить.
  3. Изучите окно Загрузка завершена.
  1. Отметьте появление файла на рабочем столе. Определите тип файла.

Доступ на FTP-сервер

  1. Введите в строку Адрес: ftp://ftp.gasu.ru
  2. Перейдите в каталог Pub -> VMST
  3. Выберите файл test.txt.
  4. Сохраните файл на рабочем столе (используя контекстное меню).

Завершение работы с программой

  1. Закройте окно программы кнопкой Х.
  2. Уточните у преподавателя порядок завершения работы с компьютером. Приведите компьютер в исходное состояние.

Практическая работа №9

Тема: Монтаж сети с использованием витой пары

Цель: 

  1. Изучить виды, топологию и компоновку  локальных сетей.
  2. Изучить аппаратные средства локальных сетей.

Ход работы.

  1. Изучить сетевые карты с разъемом PCI, разъем RJ-45 и сетевой кабель категории 5.
  2. Изучить правила разводки сетевого кабеля в вилке разъема RJ-45  в соответствии с Приложением 1.
  3. Осуществить разделку сетевого кабеля, развод жил вилке разъема RJ-45 и обжим вилки с помощью инструмента – монтажных клещей.

Контрольные вопросы:

  1. Типы сетей
  2. Виды сетей
  3. Топология сети
  4. Преимущества сети
  5. Одноранговые сети
  6. Сети на основе сервера
  7. Выбор топологии сети
  8. Сеть на тонком Ethernet
  9. Сеть на толстом Ethernet
  10. Сеть с репитерами
  11. Сеть Ethernet на витой паре
  12. Беспроводные сети
  13. Основные группы кабелей
  14. Классы коаксиальных кабелей и требования пожарной безопасности
  15. Неэкранированная витая пара
  16. Оптоволоконные кабели
  17. Сетевые карты
  18. Разъемы
  19. Разводка проводов витой пары в разъеме RJ-45.

Практическая работа №10

Тема: Проектирование локальной сети

Цель: Изучение базовых технологий построения локальных сетей; получение навыков конфигурирования локальной компьютерной сети в зависимости от возлагаемых на нее функций. Применение метода анализа иерархий для выбора оптимального решения.

Ход работы.

  1. Для проектирования ЛВС провести анализ предметной области, указанной в варианте задания:
  • Выделить основные подразделения исследуемой организации с указанием их основных задач и функций;
  • Сформулировать основные цели внедрения локальной вычислительной сети исходя из нужд исследуемой организации;
  • Выделить функционально-независимые группы пользователей ЛВС и указать для каждой из них перечень функций, которые должна обеспечивать компьютерная сеть.
  • Сформулировать общие требования, которым должна удовлетворять проектируемая локальная сеть (размер, структура, направление, характер и интенсивность информационных потоков и т.д.).
  1. Предложить 3 различных варианта ЛВС, удовлетворяющих выдвинутым требованиям. Предложенные проекты могут отличаться по следующим параметрам:
  • Базовая топология сети или сегментов (шина, звезда, кольцо);
  • Применяемая сетевая технология (Ethernet, Token Ring);
  • Используемые каналы связи (витая пара, коаксиальный кабель, волоконно-оптический кабель, беспроводные каналы связи);
  •  Метод организации управления ЛВС (одноранговая сеть, серверная сеть с «толстым» клиентом, серверная сеть с «тонким» клиентом);
  •  Принимаемые меры по обеспечению информационной безопасности и защиты ЛВС от перебоев электропитания.
  • Используемая сетевая операционная система (Novel Netware, Windows Server).
  1. Используя метод анализа иерархий провести оценку предложенных проектов ЛВС и выбрать оптимальный вариант.
  1. Назначить каждому члену бригады, выполняющей лабораторную работу, одну из ролей:
  • Технический директор – согласовывает с генеральным директором финансирование проектов, связанных с технической модернизацией, отвечает за эффективную работу технических и программных средств, осуществляет стратегическое планирование в соответствующей области;
  • Системный администратор – обеспечивает бесперебойную работу компьютерного и программного обеспечения, отвечает за информационную безопасность и сохранность данных, осуществляет тактическое планирование в соответствующей области;
  • Разработчик информационных систем (для бригад из трех человек) – обеспечивает эффективную работу пользователей, отвечает за быстрый и надежный доступ к информации, осуществляет планирование развития информационных систем организации.
  1. Построить иерархическую модель поставленной задачи принятия решения. Для определения критериев оценки ЛВС использовать указания к выполнению лабораторной работы.
  2. Задать матрицу сравнения, характеризующую степень относительного влияния мнения каждого эксперта на принятие окончательного решения.
  3. Каждому члену бригады, в соответствии с выбранной ролью, задать матрицу сравнения, характеризующую относительную важность используемых критериев. Для каждого критерия выполнить сравнение альтернативных вариантов ЛВС, используя информацию из указаний к выполнению лабораторной работы (в частности, таблицы 1 – 4).
  4. Для полученных матриц сравнения вычислить векторы соответствующих локальных приоритетов.
  5. В соответствии с алгоритмом МАИ синтезировать вектор глобальных приоритетов и определить оптимальный вариант ЛВС.
  1. В отчете к лабораторной работе подробно отразить ход выполнения работы, в том числе иерархическую модель задачи принятия решений. Обязательно изложить сделанные выводы.

Практическая работа №11

Тема: Осуществление настройки сетевых протоколов серверов и рабочих станций

Цель: 

  1. Тестирование и настройка параметров сетевого адаптера.
  2. Установка сетевых служб, протоколов, параметров адаптера, привязки.

Ход работы.

— проверка свободных прерываний на компьютере программными средствами тестирования компьютера в среде MS-DOS;

— тестирование сетевой карты с помощью прилагаемых к ней программных средств в среде MS-DOS;

— установка параметров адаптера,

— инициализация адаптера в Windows;

— установка сетевых служб;

— установка протоколов;

— регистрация в сети Windows NT.

Контрольные вопросы:

1. Какие прерывания может занять сетевой адаптер, |

2. Когда можно выбрать дуплексный режим обмена, а когда только полудуплексный.

3. Какие протоколы можно использовать и в ЛВС и в ГОС, а какие только в ЛВС.

4. Какие адреса имеет узел в сети.

5. Назначение основных сетевых служб.

6. Чем маршрутизируемый протокол отличается от немаршрутизируемого.

7. Для чего необходимо осуществить привязки адаптеров, служб, протоколов.

8. Как с помощью привязок оптимизировать скорость обмена по сети.

9. Сколько Windows-имен может иметь станция.

Практическая работа №12

Тема: Настройка DHCP-сервера 

Цель: Научться настравивать DHCP-серверы. Уметь опредилять, какие узлы Вашей сети должны получать автоматические настройки сетевых интерфесов.

Ход работы.

  1. Проверьте установлен ли на узлах host1 и host2 пакет dhcp, на узлах host2 и host3 пакет dhclient. Если нет, то установите его.
  2. Используя файлы описания настроек сетевых интерфейсов (ifcfg-*) и скрипт /etc/init.d/network, сконфигурируйте внешний интерфейс узла host3 так, чтобы он автоматически получал настройки. Определите какие настройки он получил?
  3. Изучите файл /var/lib/dhcp/dhclient-eth0.leases. Опишите полученную аренду сетевых настроек. Кто их выдал?
  4. На узле host1.
  1. Изучите пример конфигурационного файла dhcpd.conf (/usr/share/doc/dhcp-*/dhcpd.conf.sample).
  2. Разработайте свой файл конфигурации (/etc/dhcpd.conf) таким образом, чтобы сервер предлагал адреса из сети 172.16.N.0/24. Параметры области следующие:
  • адреса выдаются из диапазона от 120 до 140;
  • шлюз — 172.16.N.1;
  • DNS сервер 172.16.N.1;
  • имя домена задайте согласно задания.
  1. Запустите сервер dhcpd (/etc/init.d/dhcpd start). При помощи утилиты netstat проверте, что сервер готов принимать запросы по протоколу UDP и порту 67. Посмотрите сообщения, произведённые DHCP сервером в системном журнале (/var/log/messages).
  2. Сконфигурируйте сервис dhcpd так, чтобы он автоматически запускался при загрузки системы на уровенях 3 и 5.
  1. Настройте внутренние интерфейсы узлов host2 и host3 на автоматическое получение параметров. Проверьте правильность работы dhcp сервера. Убедитесь, что клиенты получили адреса в аренду (проверте содержимое каталога /var/lib/dhcp).
  2. Задайте на DHCP сервере резервирование для узла host3. Параметры резервирования следующие:
  • имя узла — host3.groupN.local
  • шлюз по умолчанию — host2
  1. На host3 переполучити настройки для локального интерфейса и убедитесь, что они соответсвуют зарезервированным.
  2. Остановите сервис dhcpd на узле host1. На узле host3 удалите информацию о всех полученных арендах. Переполучите настройки сетевых интерфейсов. Убедитесь, что настройка локального интерфейса закончится ошибкой.
  3. На узле host2.
  4. Сконфигурируйте локальный интерфейс с использованием файлов описания сетевых настроке. Добавьте в файл /etc/sysconfig/network следующую строку: GATEWAY=10.0.0.(N+1). Убедитесь, что после перезапуска /etc/init.d/network интерфейс будет сконфигурирован корректно.
  5. Установите и настройте dhcp сервер так. чтобы он отвечал на запросы из сетей 10.0.0.0/28 и 172.16.[(N+1)*10].0/24. Сервер должен «прослушивать» только внешний интерфейс (задаётся в файле /etc/sysconfig/dhcp). Параметры областей следующие:
  • Область 10.0.0.0/28 — пустая (нет ни каких настроек)
  • Область 172.16.[(N+1)*10].0:
  1. адреса выдаются из диапазона от 230 до 240.
  2. шлюз по умолчанию — 172.16.[(N+1)*10].2.
  • Настройте агента ретрансляции таким образом, чтобы он передавал все запросы на автоматическую конфигурацию сетевых интерфесов узлу с адресом 10.0.0.[(N-1)*10].
  1. Запустите сервис dhcprelay. Настройте его таким образом, чтобы он запускался автоматически при загрузке системы на уровень 3.
  1. На узле host3 переполучите настройки сетевых интерфейсов. Убедитесь, что настройка локального интерфейса получена от DHCP сервера из соседней сети.

Практическая работа №13

Тема: Подключение и настройка клиента

Цель: Научиться настраивать клиентскую часть DNS на компьютере под управлением Windows 7.

Ход работы.

1. Щелкните Пуск(Start), затем — Панель управления(Control Panel).

2. В окне Панель управления(Control Panel) щелкните категорию Сеть и подключения Интернета(Network And Internet Connections).

3. Щелкните значок Сетевые подключения(Network Connections).

4. Щелкните правой кнопкой мыши Локальное подключение(Local Area Connection), затем щелкните Свойства(Properties).

5. Щелкните в списке компонентов пунктПротокол Интернета (TCP/IP)(Internet Protocol TCP/IP), затем щелкните кнопкуСвойства(Properties).

6. В диалоговом окне Свойства: протокол Интернета TCP/IP(Internet Protocol (TCP/IP) Properties) щелкните переключательИспользовать следующие адреса DNS-серверов(Use The Following DNS Server Addresses).

7. B текстовом поле Предпочитаемый DNS-сервер(Primary DNS Server) введите 1Р-адрес предпочитаемого сервера DNS для этого клиента.

ПримечаниеЕсли ваш компьютер подключен к сети, спросите у своего сетевого администратора 1Р-адрес доступного DNS-сервера и введите это адрес в текстовом поле Предпочитаемый DNS-сервер(Primary DNS Server). Если ваш компьютер не подключен к сети или если у вас в сети нет DNS-сервера, то в качестве IP-адреса предпочитаемого сервера DNS можно ввести 192.168.1.203.

8. Если для этого клиента есть второй сервер имен, в текстовом поле Альтернативный DNS-сервер(Alternate DNS-Server) введите IP-адрес второго сервера имен для этого клиента.

ПримечаниеЕсли ваш компьютер подключен к сети, спросите у своего сетевого администратора IP-адрес доступного DNS-сервера и введите этот адрес в текстовом поле Альтернативный DNS-сервер(Alternate DNS Server). Если ваш компьютер не подключен к сети, или если у вас в сети нет DNS-сервера, то в качестве IP-адреса альтернативного DNS-сервера можно ввести 192.168.1.205. Клиент пытается послать запрос на предпочитаемый сервер имен. Если этот сервер имен не отвечает, клиент посылает запрос на альтернативный сервер имен.

Совет Если вы собираетесь настроить несколько компьютеров под управлением Windows ХР Professional в качестве клиентов DNS, настройте часть клиентов на использование альтернативного сервера имен вместо предпочитаемого сервера имен. Это уменьшает нагрузку на предпочитаемом сервере.

9. Щелкните кнопку Дополнительно(Advanced), затем в диалоговом окне Дополнительные параметры TCP/IP(Advanced TCP/IP Settings) щелкните вкладку DNS.

10. Щелкните кнопку Добавить(Add), расположенную под списком Адреса DNS-серверов, в порядке использования(DNS Server Addresses, In Order Of Use).

11. Если для ЭТОГО клиента есть третий сервер имен, в текстовом поле DNS-сервер TCP/IP(TCP/ IP DNS Server) введите IP-адрес третьего доступного сервера имен для этого клиента.

Примечание Если ваш компьютер подключен к сети, узнайте у своего сетевого администратора IP-адрес третьего сервера DNS и введите этот адрес в текстовом поле DNS-сервер TCP/IP(ТСРДР DNS Server). Если ваш компьютер не подключен к сети, или если у вас в сети нет DNS-сервера, то в качестве IP-адреса дополнительного DNS-сервера можно ввести 192.168.1.207.

12. Щелкните кнопку Добавить(Add), чтобы добавить третий адрес сервера DNS и закройте диалоговое окно DNS-сервер TCP/IP(TCP/IP DNS Server). В списке Адреса DNS-серверов, в порядке использования(DNS Server Addresses, In Order Of Use) теперь указаны три адреса DNS-серверов.

13. Щелкните OK,чтобы закрыть диалоговое окно Дополнительные параметры TCP/IP(Advanced TCP/IP Settings).

14. Щелкните OK,чтобы закрыть диалоговое окно Свойства: протокол Интернета TCP/IP(Internet Protocol (TCP/IP) Properties)

15. Щелкните кнопку Закрыть(Close), чтобы закрыть диалоговое окно Свойства: локальное подключение(Local Connection Properties).

16. Закройте окно Сетевые подключения(Network Connections).

Практическая работа №14

Тема: Осуществление системного администрирования локальных сетей

Цель: ознакомление c утилитой telnet. Администрирование сети с ее помощью

Ход работы.

  1. Запустите сеанс telnet (запускается в командной строке командой telnet). При этом появится подсказка Microsoft Telnet>. С полным списком команд можно ознакомиться с помощью команды help.
  2. Разрешите режим отображения вводимых с клавиатуры символов с помощью команды set localecho.
  3. В соответствии с протоколом HTTP необходимо установить соединение с веб-сервером. Для этого с помощью команды open устанавливается соединение, например: open www.yandex.ru 80.
  4. Сформируйте клиентский запрос. Как минимум он должен содержать строку состояния, например:

GET HTTP://WWW.YANDEX.RU/INDEX.HTML HTTP/1.0

Если поля запроса отсутствуют, то ввод заканчивается двумя нажатиями клавиши для вставки пустой строки после заголовка.

Следует обратить внимание на то, что при вводе нельзя допускать ошибок, поскольку при попытке их исправить с помощью клавиши , ее нажатие интерпретируется как часть запроса.

  1. Изучите полученный ответ сервера. Обратите внимание на код ответа в строке состояния ответа веб-сервера в строке состояния и поля заголовка ответа.

Если ответ сервера очень большой (в первую очередь из-за размера документа в теле ответа), то содержимое ответа сервера в окне интерпретатора командной строки обрезается с начала. В этом случае рекомендуется для просмотра заголовка вместо метода GET использовать метод HEAD.

Практическая работа №15

Тема: Аудит информационной безопасности

Цель: Ознакомиться с проблемами реализации политик безопасности в компьютерных системах на примере дискреционной модели.

Ход работы.

Пусть множество S возможных операций над объектами компьютерной системы задано следующим образом: S = {«Доступ на чтение», «Доступ на запись», «Передача прав»}.

1. Получить данные о количестве пользователей и объектов компьютерной системы из табл. 2, соответственно варианту.

2. Реализовать программный модуль, создающий матрицу доступа пользователей к объектам компьютерной системы. Реализация данного модуля подразумевает следующее:

2.1. Необходимо выбрать идентификаторы пользователей, которые будут использоваться при их входе в компьютерную систему (по одному идентификатору для каждого пользователя, количество пользователей указано для варианта). Например, множество из трёх идентификаторов пользователей {Ivan, Sergey, Boris}. Один из данных идентификаторов должен соответствовать администратору компьютерной системы (пользователю, обладающему полными правами доступа ко всем объектам).

2.2. Реализовать программное заполнение матрицы доступа, содержащей количество пользователей и объектов, соответственно Вашему варианту.

2.2.1. При заполнении матрицы доступа необходимо учитывать, что один из пользователей должен являться администратором системы (допустим, Ivan). Для него права доступа ко всем объектам должны быть выставлены как полные.

2.2.2. Права остальных пользователей для доступа к объектам компьютерной системы должны заполняться случайным образом с помощью датчика случайных чисел. При заполнении матрицы доступа необходимо учитывать, что пользователь может иметь несколько прав доступа к некоторому объекту компьютерной системы, иметь полные права, либо совсем не иметь прав.

2.2.3. Реализовать программный модуль, демонстрирующий работу в дискреционной модели политики безопасности.

3. Данный модуль должен выполнять следующие функции:

3.1. При запуске модуля должен запрашиваться идентификатор пользователя (проводится идентификация пользователя), при успешной идентификации пользователя должен осуществляться вход в систему, при неуспешной – выводиться соответствующее сообщение.

3.2. При входе в систему после успешной идентификации пользователя на экране должен распечатываться список всех объектов системы с указанием перечня всех доступных прав доступа идентифицированного пользователя к данным объектам. Вывод можно осуществить, например, следующим образом:

User: Boris

Идентификация прошла успешно, добро пожаловать в систему

Перечень Ваших прав:

Объект1:        Чтение

Объект2:        Запрет

Объект3:        Чтение, Запись

Объект4:        Полные права

Жду ваших указаний >

3.3. После вывода на экран перечня прав доступа пользователя к объектам компьютерной системы, необходимо организовать ожидание указаний пользователя на осуществление действий над объектами в компьютерной системе. После получения команды от пользователя, на экран необходимо вывести сообщение об успешности либо не успешности операции. При выполнении операции передачи прав (grant) должна модифицироваться матрица доступа. Программа должна поддерживать операцию выхода из системы (quit), после которой запрашивается идентификатор пользователя. Диалог можно организовать, например, так:

Жду ваших указаний > read

Над каким объектом производится операция? 1

Операция прошла успешно

Жду ваших указаний > write

Над каким объектом производится операция? 2

Отказ в выполнении операции. У Вас нет прав для ее осуществления

Жду ваших указаний > grant

Право на какой объект передается? 3

Отказ в выполнении операции. У Вас нет прав для ее осуществления

Жду ваших указаний > grant

Право на какой объект передается? 4

Какое право передается? read

Какому пользователю передается право? Ivan

Операция прошла успешно

Жду ваших указаний > quit

Работа пользователя Boris завершена. До свидания.

User:

4. Выполнить тестирование разработанной программы, продемонстрировав реализованную модель дискреционной политики безопасности.

5. Оформить отчет по лабораторной работе.

Таблица Варианты заданий

Вариант

Количество субъектов

доступа  (пользователей)

Количество объектов

доступа

1

3

3

2

4

4

3

5

4

4

6

5

5

7

6

6

8

3

7

9

4

8

10

4

9

3

5

10

4

6

11

5

3

12

6

4

13

7

4

14

8

5

15

9

6

16

10

3

17

3

4

18

4

4

19

5

5

20

6

6

21

7

3

22

8

4

23

9

4

24

10

5

Окончание табл. 2

Вариант

Количество субъектов

доступа  (пользователей)

Количество объектов

доступа

25

3

6

26

4

3

27

5

4

28

6

4

29

6

5

30

8

6

Практическая работа №16

Тема: Создание проекта в среде программирования BorlandDelphi 1

Цель: Составить программу идентификации и установления подлинности пользователя

Ход работы.

1. В табл. 3 найти для указанного варианта значения характеристик P, V, T.

2. Вычислить по формуле (1) нижнюю границу S* для заданных P, V, T.

3. Выбрать некоторый алфавит с мощностью A и получить минимальную длину пароля L, при котором выполняется условие (2).

4. Реализовать программу для генерации паролей пользователей. Программа должна формировать случайную последовательность символов длины L, при этом должен использоваться алфавит из A символов.

5. Оформить отчет по лабораторной работе.

Коды символов:

1. Коды английских символов : «A» = 65, …, «Z» = 90, «a» = 97,…, «z» = 122.

2. Коды цифр : «0» = 48, «9» = 57.

3. «!» = 33, «“» = 34, «#» = 35, «$» = 36, «%» = 37, «&» = 38, «‘» = 39.

4. Коды русских символов : «А» – 128, … «Я» – 159, «а» – 160,…, «п» – 175, «р» – 224,…, «я» – 239.

Таблица 3. Варианты заданий

Вариант

P

V

T

1

10-4

15 паролей/мин

2 недели

2

10-5

3 паролей/мин

10 дней

3

10-6

10 паролей/мин

5 дней

4

10-7

11 паролей/мин

6 дней

5

10-4

100 паролей/день

12 дней

6

10-5

10 паролей/день

1 месяц

7

10-6

20 паролей/мин

3 недели

8

10-7

15 паролей/мин

20 дней

9

10-4

3 паролей/мин

15 дней

10

10-5

10 паролей/мин

1 неделя

11

10-6

11 паролей/мин

2 недели

12

10-7

100 паролей/день

10 дней

13

10-4

10 паролей/день

5 дней

14

10-5

20 паролей/мин

6 дней

15

10-6

15 паролей/мин

12 дней

16

10-7

3 паролей/мин

1 месяц

17

10-4

10 паролей/мин

3 недели

18

10-5

11 паролей/мин

20 дней

19

10-6

100 паролей/день

15 дней

20

10-7

10 паролей/день

1 неделя

21

10-4

20 паролей/мин

2 недели

22

10-5

15 паролей/мин

10 дней

23

10-6

3 паролей/мин

5 дней

Окончание табл. 3

Вариант

P

V

T

24

10-7

10 паролей/мин

6 дней

25

10-4

11 паролей/мин

12 дней

26

10-5

100 паролей/день

1 месяц

27

10-6

10 паролей/день

3 недели

28

10-7

20 паролей/мин

20 дней

29

10-4

15 паролей/мин

15 дней

30

10-5

3 паролей/мин

1 неделя

Практическая работа №17

Тема: Создание проекта в среде программирования BorlandDelphi 2

Цель: Создание базы данных в среде программирования BorlandDelphi.

Ход работы.

1. Разработать консольное приложение для шифрования/дешифрования произвольных файлов с помощью алгоритма RSA.

2. Разработать визуальное приложение для шифрования/дешифрования изображений.

3. Разработать визуальное приложение для шифрования/дешифрования произвольных файлов.

4. Разработать клиент-серверное приложение для защищённой передачи файлов по сети.

5. Разработать клиент-серверное приложение для защищённого обмена сообщениями по сети.

6. Разработать визуальное приложение для шифрования/дешифрования чисел.

7. Разработать консольное приложение для генерации ключей.

8. Реализовать программу для шифрования / дешифрования текстов, работающую по алгоритму RSA. Программа должна уметь работать с текстом произвольной длины.

Практическая работа №18

Тема: Создание проекта в среде программирования BorlandDelphi 3

Цель: Создание выбора режимов Регистрация, Пользователь, Администратор

Ход работы.

Разработать программу, реализующую привязку к компьютеру, используя совокупность характеристик согласно варианту задания. Добиться того, чтобы программа не запускалась на другом компьютере.

Таблица 4. Варианты заданий

№ варианта

Характеристики

1

Серийный номер раздела жесткого диска, MAC-адрес сетевой карты

2

Информация из реестра, тактовая частота процессора

3

Версия операционной системы, MAC-адрес сетевой карты

4

Имя пользователя, серийный номер раздела жесткого диска

5

Название компьютера, информация из реестра

6

Версия БИОС, имя пользователя

7

Серийный номер раздела жесткого диска, имя пользователя

8

Имя пользователя, тактовая частота процессора

9

MAC-адрес сетевой карты, тактовая частота процессора

Практическая работа №19

Тема: Создание проекта в среде программирования BorlandDelphi 7. Определение прав пользователей.

Цель:  Ознакомление со средой визуального программирования Delphi и разра- ботка в ней простейших приложений: определение прав пользователей.

Ход работы.

  1. Войдите в среду Delphi, дважды щелкнув мышью на пиктограмму Delphi или через меню “Пуск”.
  2. Совершите экскурс в среду визуального программирования Delphi. При этом результаты своей работы не сохраняйте на диске.
  3. Попытайтесь создать различные приложения с помощью Expert-ов Delphi, исследовать в окне редактирования полученный код. Приложения на диске не запоминать.
  4. Выберите пункт меню File/New Application, этим вы создадите новый проект приложения.
  5. Выберите команду File/Save Project As…
    ♦ В появившемся диалоге перейдите к корневому каталогу диска C, выбрав соответствующий пункт в выпадающем списке вверху окна.
    ♦ Откройте папку, соответствующую названию вашей группы (напри- мер, Р-123). Если такой нет, то создайте её, щелкнув правой кнопкой мыши на свободном месте, выбрав из появившегося контекстного меню пункт Создать/папку и введя нужное название (после чего не забудьте её открыть).
    ♦ Создайте (как описано в предыдущем пункте) папку «Ваша_фамилия Lab1».
    ♦ Сохраните Unit1.pas под новым именем Main.pas, а Project1.dpr под новым именем Lab1.dpr.
  6. Выберите из политры Standard визуальных компонентов и поместите в форму следующие компоненты:
    ♦ Окно редактирования со связанной с ним меткой Operand 1. В этом окне вводится первый операнд.
    ♦ Окно редактирования со связанной с ним меткой Operator.

Практическая работа №20

Тема: Создание проекта в среде программирования BorlandDelphi 7.Ввод пароля и получение разрешения на доступ.

Цель: Ознакомление с классом исключительных ситуаций Delphi и создание приложений, генерирующих исключения и обрабатывающие различные фо- кусы ввода, обработки пароля.

Ход работы.

  1. В среде программирования Delphi cоздайте новый проект, выбрав пункт меню File/New Application.
  2. Сохраните этот проект в папке»С:Ваша_группаВаша_фамилия Lab2″. (Unit1.pas под новым именем Main2.pas, а Project1.dpr под новым именем Lab2.dpr).
  3. Разработайте приложение, обрабатывающее исключительную ситуацию, согласно вашему варианту индивидуального задания.
  4. Открыть новое приложение.
  5. Создать форму с пятью полями редактирования и пятью соответствующими надписями, которые поясняют, какой вид проверки осуществляет соответствующий компонент Edit. Форма также содержит кнопку для проверки содержимого первого поля редактирования.

Варианты индивидуальных заданий

  1. Создать программу, позволяющую пользователю ввести два числа, которые программа разделит. Необходимо поместить на форму три объекта класса TEdit — два для операндов, один – для результата и кнопку (объект класса TButton), нажимая на которую пользователь выполняет деление. Исключить попытку деления на ноль а так же введения символов вместо цифр. Выдать сообщение о типе возник- шей ошибке.
  2. Создать программу, вычисляющую корни квадратного уравнения (ax2 +bx+c=0). Необходимо поместить на форму четыре объекта класса TEdit — три для коэффициентов квадратного уравнения, один – для результата и кнопку (объект класса TButton), нажимая на кото- рую пользователь выполняет нахождение корней. Исключить ввод символов вместо цифр, получение отрицательного дискриминанта и ввод а = 0. Вывести при всех типах ошибок одно и то же сообщение.
  3. Создать программу с “бесконечным” циклом типа while. В цикле увеличивать переменную I до значения, заданного пользователем. При достижении этого значения выходить из цикла с помощью воз- буждения исключения EAbort. Выдать сообщение о выходе из цикла в блоке Except. Необходимо поместить на форму кнопку (объект класса TButton), которая запускает цикл; сообщение можно выдать с помощью функции ShowMessage, или поместить на форму метку (объект класса TLabel), в которую помещается сообщение.
  4. Создать программу, вычисляющую тангенс угла. Необходимо по- местить в форму два компонента Tedit для ввода значения и резуль- тата и кнопку Tbutton для вычисления значения тангенса. Исключить ввод символов вместо цифр и получение значения тангенса угла 90 градусов. Предусмотреть возможность ввода значений в радианах.
  5. Создать программу, вычисляющую логарифм числа. Для этого необ- ходимо поместить в форму два компонента Tedit для ввода значения и результата и кнопку Tbutton для вычисления значения логарифма. Исключить ввод символов вместо цифр и получение значения лога- рифма 0.
  6. Создать программу обработки исключения при обращении к несу- ществующему элементу массива. В форму поместите поля редакти- рования для ввода – вывода значений и номеров элементов массива и кнопку для обработки события.

Практическая работа №21

Тема: Создайте программу (транслятор) для преобразования текста в бинарное представление и наоборот

Цель: Объектно – ориентированное программирование в среде Delphi и разработка приложения, конвертирующего текст в бинарный код и наоборот.

Ход работы.

  1. В среде программирования Delphi cоздайте новый проект, выбрав пункт меню File/New Application.
  2. Сохраните этот проект в папке «С:Ваша_группаВаша_фамилия Lab4». (Unit1.pas под новым именем Main4.pas, а Project1.dpr под новым именем Lab4.dpr).
  3. Открыть модуль, не связанный с формой (File/New и отметьте на страни- це New появившегося окна Object Repository элемент Unit), и поместить в него три класса:
  • Класс Animal, который содержит в разделе public объявление конструк- тора Create и объявление метода-функции: Voice – звук, издаваемый жи- вотным. Тип результата возвращаемого функцией, – string. Метод Voice объявить виртуальным и абстрактным.
  • Класс Dog объявить потомком класса Animal: TDog = class (TAnimal) В разделе public этого класса объявить конструктор и методы Voice и Eat. Метод Eat типа string объявить виртуальным (пища животного).
  • Класс Cat объявить потомком класса Animal. TCat = class (TAnimal) Раздел public класса содержит те же определения, что и соответст- вующий раздел класса Dog.
  1. Задать имя модуля и имя проекта, в который этот модуль будет включен.
  2. Добавить в проект форму, которой присвоить имя Animals, также задать имя модулю, связанному с формой.
  3. В форме расположить три кнопки опций (компонент RadioButton) с на- званиями Animal, Dog, Cat ; кнопкой команды (компонент Button) с на- званием Kind и две крупные надписи (компонент Label)(рис. 4.1). Нажа- тию одной из кнопок опций будет соответствовать выбор животного. При нажатии кнопки команды надписи должны отобразить звук, изда- ваемый животным, и его пищу.

Практическая работа №22

Тема: Создание проекта в среде программирования BorlandDelphi 7. Шифратор-дешифратор, методом простой замены.

Цель: Объектно–ориентированное программирование в среде Delphi и разработка приложения,  создающего шифратор-дешифратор

Ход работы.

  1. Используя материалы § 50 учебника, постройте модуль, описывающий иерархию классов логических элементов. Для проверки его работы напишите программу, которая строит таблицу истинности последовательного соединения логических элементов «И» и «НЕ».
  2. Добавьте в иерархию классов элементы «исключающее ИЛИ», «И-НЕ» и «ИЛИ-НЕ». Вынесите всю построенную систему классов логических элементов в отдельный модуль LogElement.

«Соберите» в программе RS-триггер из двух логических элементов «ИЛИ-НЕ», постройте его таблицу истинности (обратите внимание на вариант, когда оба входа нулевые).

  1. задания 3-4 для RS-триггера на двух логических элементах «И-НЕ». Определите, при каких входах состояние сохраняется, а какие входные сигналы запрещены.
  2. Постройте логический элемент «шифратор», который выдает на выходы двоичное представление номера входа, на который подали сигнал.
  3. Постройте модель логического элемента «дешифратор» (англ. decoder), который выполняет обратную операцию. Напишите программу, которая строит его таблицу истинности.

Практическая работа №23

Тема: Создание проекта в среде программирования BorlandDelphi 7. Шифратор-дешифратор, метод маршрутная транспозиция-треугольник

Цель: Объектно–ориентированное программирование в среде Delphi и разработка приложения,  создающего шифратор-дешифратор

Ход работы.

  1. Настройте псевдоним для базы данных AL_shop
  2. Откройте в среде Delphi проект  Project_Tovar (из папки PR_4)
  3. Определить  как главную форму Fm_tovar
  4. Если в модуле данных  нет, то добавить  компоненты для подключения к данным о единицах измерения (Tb_ed: Ttable и Ds_ed: TDataSource для таблицы Edin).
  5. Создайте в наборе данных товар виртуальное поле для отображения связанных названий Единиц измерений из справочника. Для этого:
  • в редактор полей набора данных TB_tovar добавьте новое поле
  • установите для него следующие параметры:
  • Имя – Ed
  • компонент — TB_tovar_ed
  • Тип данных – символьный, Размер — 20
  • Вид – связанное
  • Поля связи – id_ed
  • Поле подстановки —  name_ed
  • набор данных — TB_ed
  1. На форме в таблице Db_Gr_Tovar после поля Количество расположите поле Ed с заголовком Ед. измерения, при необходимости расширьте форму и таблицу
  2. Сохранить и запустить программу. Просмотрите правильность отображения связанных данных об Единицах измерения (для каждого товара).

Практическая работа №24

Тема: Создание проекта в среде программирования BorlandDelphi 7. Шифратор-дешифратор, метод маршрутная транспозиция-квадрат

Цель: Объектно–ориентированное программирование в среде Delphi и разработка приложения,  создающего шифратор-дешифратор

Ход работы.

  1. Настройте псевдоним для базы данных AL_shop
  2. Откройте в среде Delphi проект  Project_Tovar (из папки PR_4)
  3. Определить  как главную форму Fm_ed
  4. Для связи будущего отчета с набором данных поместите в модуль данных невизуальный компонент для связи данных с отчетом (RvDs_Ed: RvDataSetConnection со страницы Rave). Задайте связь с набором данных Tb_Ed
  5. Запустите встроенную программу конструирования отчетов Rave Reports 5.0 (меню ToolsRave Designer)

просмотрите дерево проекта отчета, какие в нем имеются элементы

  1. Просмотрите макет созданного отчета. Что нового появилось в дереве проекта отчета?
  2. Измените имя отчета (Report2) на Rpt_Ed
  3. Просмотрите отчет (File / Execute Report / Preview)
  4. Замените подписи полей русскими заголовками
  5. Для всех тестовых объектов установите тип шрифта Arial Cyr (через страницу компонентов Font)
  6. Увеличьте ширину области данных в два раза
  7. В верхний части области данных разместить горизонтальную линию (Запустите. Сколько линий в отчете).
  8. Для каждой области (полосы) отчета просмотрите значение свойств Стиль (BandStyle) и Подчинение (ControllerBand)
  9. После области данных добавьте новую полосу заголовка (Band со страницы Report) и установите подчинение к Области данных, а Стиль (Окончание отчета BodyFooter, на первой First и на каждой страницы New Page). Обратите внимание, как изменился значок полосы
  10. На вновь созданной полосе разместите горизонтальную, красную, пунктирную линию (такой же длины, как и другая)
  11. Просмотреть отчет. Обратите внимание на положение данных, текста и полосы
  12. После красной полосы разместите компонент Вычисляемое поле (CalcText страница Report) и установите подчинение Области данных, Узел связи Dv_Ed, поле Номер, тип вычислений Количество. Оформление шрифта: 16, красный, жирный
  13. Слева от вычисляемого поля добавьте текст «Всего:»
  14. Сохранить созданный проект отчета с именем Rep_Sprav.rav в папке PR_4 (File — Save As…). Закройте программу конструирования отчетов
  15. Поместите в модуль данных компонент подключения отчета (RvPr_Sprav: RvProject со страницы Rave) и установите для него путь к файлу Rep_Sprav.rav
  16. Поместить в форму кнопку: имя Btn_Pr_Ed, подпись «Печать»
  17. В процедуре события нажатия на кнопку Btn_Pr_Ed запустите отчет вызовом метода ExecuteReport для компонента RvPr_Sprav, указав в качестве параметра имя станицы отчета (‘Rpt_ed’)
  18. Сохраните и запустите проект. Сформируйте отчет кнопкой Печать

Практическая работа №25

Тема: Информационная безопасность сети. Работа с программой XSpider 7.

Цель: ознакомление с проблематикой безопасности в локальных сетях, получение представления о методике контроля и обеспечения безопасности, получение практических навыков работы со сканерами безопасности на примере программы XSpider.

Ход работы.

  • Включить компьютеры и убедиться в работоспособности сети.
  • В случае неработоспособности сети – восстановить ее работоспособность:
  • проверить подключение сетевых кабелей;
  • проверить работоспособность сетевых адаптеров;
  • проверить работоспособность установленных драйверов;
  • проверить IP-адреса и маски подсетей;
  • устранить все обнаруженные неполадки.
  • Запустить программу XSpider 7 и ознакомиться с ее интерфейсом.
  • Запустить поиск уязвимостей на соседнем компьютере.
  • Проанализировать результаты сканирования, выяснить причины появления уязвимостей и методы их устранения.
  • Попытаться устранить указанную преподавателем проблему.
  • Запустить повторное сканирование.
  • Проанализировать полученные результаты.

—    Сделать выводы о возможности использования программы в различных ситуациях

Практическая работа №26

Тема: Установка антивирусных программ

Цель: Ознакомиться с теоретическими аспектами защиты информации от вредоносных программ: разновидности вирусов, способах заражения и методы борьбы. Ознакомиться с различными видами программных средств защиты от вирусов. Получить навыки работы с антивирусным пакетом AVAST. 

Ход работы.

  1. Сканирование папок на наличие вирусов: 
  1. Двойным щелчком на значке антивируса на панели индикации открыть главное окно программы; 
  2. Изучить содержимое окна: обратить внимание на дату последнего обновления антивирусной базы и дату последней полной проверки компьютера; 
  3. В своей личной папке создать папкуПодозрительные файлы и создать там 2 файла:Текстовый файл и Документ Microsoft Word. Имена файлов ввести согласно своему варианту поВариантам задания к работе; 
  4. Выбрав пункт в главном окне программы пунктПоиск вирусов и добавить в окно заданий папкуПодозрительные файлы. 
  5. Выполнить проверку папки. По завершению сканирования, используя кнопку «Сохранить как…», сохранить отчет с результатами проверки в папке Подозрительные файлы. Имя файла-отчета –Scan_Log. 
  6. Закройте окно Поиск вирусов. 
  1. Обновление антивирусной базы: 
  1. В главном меню программы выберете пункт Сервис.
  2. Нажмите на пункт Обновление и, используя кнопкуОбновить, осуществите обновление базы известных вирусов. 
  3. По завершению обновления, используя кнопку«Сохранить как…», сохранить отчет об обновлении в папке Подозрительные файлы. Имя файла-отчета – Upd_Log. 
  4. Закройте окно Обновление, и обратите внимание на пункт Дата выпуска сигнатур. 
  5. Закройте окно Антивируса AVAST. 

Содержание отчета 

  1. Название и цель лабораторной работы; 
  2. Доклад на выбранную по варианту тему; 
  3. Содержимое файла Scan_Log.txt по пункту 1 Порядка выполнения работы 
  4. Содержание файла Upd_Log.txt по П.2 Порядка выполнения работы. 
  5. Выводы. 

Контрольные вопросы 

  1. Что называется компьютерным вирусом? 
  2. Какая программа называется «зараженной»? 
  3. Что происходит, когда зараженная программа начинает работу? 
  4. Как может маскироваться вирус? 
  5. Каковы признаки заражения вирусом? 
  6. Каковы последствия заражения компьютерным вирусом? 
  7. По каким признакам классифицируются компьютерные вирусы? 
  8. Как классифицируются вирусы по среде обитания? 
  9. Какие типы компьютерных вирусов выделяются по способу воздействия? 
  10. Что могут заразить вирусы? 
  11. Как маскируются «невидимые» вирусы? 
  12. Каковы особенности самомодифицирующихся вирусов? 
  13. Какие методы защиты от компьютерных вирусов можно использовать?  
  14. В каких случаях применяют специализированные программы защиты от компьютерных вирусов? 
  15. На какие виды можно подразделить программы защиты от компьютерных вирусов? 
  16. Как действуют программы-детекторы? 
  17. Что называется сигнатурой? 
  18. Всегда ли детектор распознает зараженную программу? 
  19. Каков принцип действия программ-ревизоров, программ-фильтров, программ-вакцин? 
  20. Как выглядит многоуровневая защита от компьютерных вирусов с помощью антивирусных программ? 
  21. Перечислите меры защиты информации от компьютерных вирусов. 
  22. Каковы современные технологии антивирусной защиты? 
  23. Каковы возможности антивируса Касперского для защиты файловых серверов? почтовых серверов? 
  24. Какие модули входят в состав антивируса Касперского для защиты файловых систем? 
  25. Каково назначение этих модулей? 
  26. Какие элементы электронного письма подвергаются проверке на наличие вирусов? 
  27. Как обезвреживаются антивирусом Касперского обнаруженные подозрительные или инфицированные объекты? 
  28. Как обновляется база вирусных сигнатур? 

Практическая работа №27

Тема: Сервисное программное обеспечение

Цель: Ознакомление с работой сервисных программ семейства Windows

Ход работы.

Задание № 1. Произвести проверку поверхности диска [С:]. Во время проверки требуется освобождать потерянные цепочки кластеров, итоговые результаты выводить на экран.

  1. Произведите запуск программы ScanDisk.
  2. Откройте окно Дополнительные параметры проверки диска (клавиша Дополнительно в окне программы ScanDisk) установите флажки Всегда во вкладке Выводить итоговые результаты и Освобождать во вкладке Потерянные цепочки кластеров.
  3. Закройте окно Дополнительные параметры проверки диска и нажмите кнопку Запуск.
  4. В отчете, представляющем собой текстовый файл, созданный любым текстовым редактором, укажите, сколько кластеров находится на диске, размер одного кластера в байтах, сколько кластеров свободно и количество потерянных кластеров.

Задание №2. Произвести проверку файлов и папок диска на наличие ошибок. При этом требуется удалять файлы с общими кластерами и проверять уникальность имен файлов. Итоговые результаты выводить на экран.

  1. Произведите запуск программы ScanDisk.
  2. В окне программы ScanDisk установите флажок Стандартная проверка файлов и папок.
  3. В окне Дополнительные параметры установите флажки: во вкладке Выводить итоговые результаты — флажок Всегда; во вкладке Файлы с общими кластерами => флажок Удалять; во вкладке Проверять => флажок Уникальность имен файлов.
  4. Наймите кнопку <ОК>.
  5. В отчете, представляющем собой файл, созданный любым текстовым редактором, укажите размер свободного пространства на Диске, сколько места занято папками и файлами, какие ошибки обнаружила программа.

Задание № 3. Произвести проверку на наличие ошибок системной области диска.

  1. Произведите запуск программы ScanDisk.
  2. В основном окне программы ScanDisk установите флажок Полная проверка диска.
  3. В окне Режим проверки поверхности диска (клавиша Настройка) во вкладке Выполнить проверку следующих областей установите флажок Только системная область.
  4. Нажмите кнопку <ОК>.
  5. В отчете, представляющем собой файл, созданный любым текстовым редактором, укажите размер общего пространства на диске, сколько имеется кластеров, ошибки, обнаруженные программой.

Практическая работа №28

Тема: Осуществление мер по защите компьютерных сетей от несанкционированного доступа

Цель: Ознакомиться с некоторыми программными продуктами, предназначенными для зашиты информации на компьютере.

Ход работы.

  1. Зашифровать и спрятать текстовый файл в файлы формата .bmp, .gif или .wav с помощью программы S-TOOLS.
  2. Зашифровать и спрятать текстовый файл с помощью программы MASKER.
  3. Создать собственный контейнер для хранения секретной информации с помощью программы VipNet Safe Disk. Изучить возможности программы.
  4. Подготовить отчет в электронном виде, содержащий краткие сведения о каждой из изученных программ.

Практическая работа №29

Тема: Исследование программных средств защиты

Цель: Ознакомление с  историей становления криптографии, освоение алгоритма шифрования «двойными перестановками», криптоанализа сообщений, зашифрованных указанным алгоритмом.

Ход работы.

  1. Зашифровать предложение из 16 символов методом двойной перестановки и показать преподавателю.
  2. Произвести криптоанализ перехваченного сообщения (выдает преподаватель).
  3. Сравнить полученный и исходные ключи.
  4. Разработать программы, позволяющие максимально автоматизировать процесс криптоанализа (автоматизированное рабочее место криптоаналитика).

Практическая работа №30

Тема: Практическая защита персональных данных. Подготовка пакета документов по защите персональных данных.

Цель: Практическое применение на практике защиты информации при помощи криптографических методов шифрования информации

Ход работы.

Используя все полученные знания за курс составьте программное обеспечение, реализующее алгоритм RSA. Исходные данные должны передаваться через файлы: файл с открытым ключом, закрытым ключом и шифруемая информация. Для созданного программного обеспечения проведите тестирование не менее чем на 10 различных наборах данных.

Содержание

  1. Как пользоваться Wireshark под Windows
  2. Содержание
  3. Что такое Wireshark
  4. Установка и настройка
  5. Использование фильтров
  6. Заключение
  7. Видео
  8. Wireshark как установить на windows
  9. 2.3.1. Installation Components
  10. 2.3.2. Additional Tasks
  11. 2.3.3. Install Location
  12. 2.3.4. Installing Npcap
  13. 2.3.5. Windows installer command line options
  14. 2.3.6. Manual Npcap Installation
  15. 2.3.7. Update Wireshark
  16. 2.3.8. Update Npcap
  17. 2.3.9. Uninstall Wireshark
  18. 2.3.10. Uninstall Npcap
  19. Как использовать Wireshark для захвата, фильтрации и проверки пакетов
  20. Как установить Wireshark
  21. Захват пакетов
  22. Цветовое кодирование
  23. Образцы захвата
  24. Фильтрация пакетов
  25. Анализ пакетов
  26. Руководство и шпаргалка по Wireshark
  27. Устранение неполадок сетевого подключения
  28. Исследование сессий прикладного уровня (даже при шифровании с помощью SSL/TLS, см. ниже)
  29. Устранение неполадок DHCP с данными на уровне пакетов
  30. Извлечение файлов из сессий HTTP
  31. Извлечение файлов из сессий SMB
  32. Обнаружение и проверка вредоносных программ
  33. Проверка сканирования портов и других типов сканирования на уязвимости
  34. Установка Wireshark
  35. Установка на Ubuntu или Debian
  36. Установка на Fedora или CentOS
  37. Установка на Windows
  38. Начало работы с фильтрами
  39. Примеры фильтров по IP-адресам
  40. Примеры фильтров по протоколу
  41. Следуйте за потоком
  42. Резолвинг DNS в Wireshark
  43. Tshark для командной строки
  44. Составление правил для файрвола
  45. Работа с географической базой GeoIP
  46. Расшифровка сессий SSL/TLS
  47. 1. Настройка переменной среды
  48. 2. Настройка Wireshark
  49. 3. Перезапуск Firefox или Chrome
  50. Извлечение файлов из пакетов с помощью функции экспорта (HTTP или SMB)
  51. Строка состояния
  52. Образец PCAP
  53. Настройка окружения
  54. capinfos

paprnt btn

Содержание

Какой наиболее мощный инструмент для захвата и анализа интернет трафика на сегодняшний день? Ответ прост – программа Wireshark. Она способна перехватывать не только исходящие TCP пакеты, но и входящие. Такой инструмент состоит на вооружении многих профессионалов. Да и хакеры не гнушаются его использовать. Возможности программы безграничны. С ее помощью можно вытащить любой файл из пакета, просмотреть его и проверить. Главный вопрос состоит в том, как это сделать. В этом мы и попробуем разобраться.

Что такое Wireshark

Сия утилита предназначена для контроля интернет трафика. Она перехватывает TCP пакеты, которые были приняты компьютером или посланы с него. Функционал программы настолько богат, что простым перехватом дело не ограничивается. Можно просматривать содержимое пакетов, искать ошибки и так далее. Кроме того, с помощью WS можно вытащить из пакетов практически любой файл и просмотреть его. Чтобы лучше понять, что это за программа, нужно выделить ее основные преимущества. Итак, плюсы:

Преимуществ у данной утилиты действительно много. А вот недостатков как таковых нет вообще. Недаром Wireshark считается лучшей в своем роде для захвата и анализа TCP пакетов. Теперь нужно немного разобраться в самой программе.

Установка и настройка

Скачать Wireshark можно с официального сайта разработчика. Программа совершенно бесплатна. Стоит обратить внимание на то, что последняя версия (2.0.5) не работает с Wi-Fi адаптерами. Поэтому, если вам нужно анализировать трафик беспроводного соединения, следует скачать более старую версию.

Установка утилиты стандартна и не вызовет никаких проблем даже у новичков. В инсталляторе все понятно, хоть он и на английском. Кстати, Wireshark на русском языке в природе не существует, поэтому для того, чтобы успешно справляться с этим софтом придется напрячь память и вспомнить английский. В принципе, для простого захвата и просмотра TCP пакетов ничего сверхъестественного не понадобится. Хватит и школьного уровня английского.

Итак, первое, что мы видим после запуска установленной программы – главное окно. Для неподготовленного пользователя оно может показаться непонятным и страшным.

image0034

Ничего страшного в нем нет. В этом вы сейчас убедитесь. Для начала работы нужно сначала выбрать источник, из которого будет производиться захват TCP пакетов. Перехват может осуществляться как с Ethernet подключения, так и с WLAN адаптера. В качестве примера рассмотрим вариант с WLAN. Для настройки нужно зайти в пункт «Capture», подпункт «Options». В открывшемся окне следует выбрать ваш беспроводной адаптер и отметить его галочкой. Для начала захвата трафика достаточно нажать кнопку «Start».

image005

После нажатия «Start» начнется анализ и захват пакетов. В окне появится много непонятных букв и цифр. Некоторые из пакетов имеют собственную цветовую маркировку. Для того, чтобы хоть что-то понять, нужно определить какой цвет к чему относится. Зеленый – TCP трафик, темно-синий – DNS, светло-синий – UDP и черный – пакеты TCP с ошибками. Теперь разобраться в этой горе данных проще.

image007

Для остановки процесса перехвата достаточно нажать кнопку «Stop», которая помечена красным прямоугольником. Теперь можно выбрать интересующий вас пакет и просмотреть его. Для этого нужно щелкнуть по пакету правой клавишей мыши и в появившемся меню выбрать пункт «Show packet in new window». Тут же появится куча непонятных букв и цифр.

image010

Но при углубленном изучении представленной информации можно понять, откуда и куда шел пакет и из чего он состоял. Для того чтобы просмотреть данные о TCP пакетах позднее, нужно использовать функцию сохранения захваченной информации. Она находится в пункте меню «File», подпункт «Save as». Потом можно будет загрузить информацию из файла и спокойно просмотреть ее.

image0111

Использование фильтров

Для отображения только той информации, которая вас интересует можно заставить Wireshark использовать фильтры и отсекать ненужный трафик. Инструкция по тонкой настройке фильтров находится в Сети, а мы пока рассмотрим только один пример. Допустим, вас интересуют только TCP пакеты. Для того, чтобы программа отображала только их, следует зайти в пункт меню «Capture», подпункт «Capture filters», выбрать пункт «TCP Only» и нажать кнопку «OK».
image013

Таким образом можно заставить утилиту отображать только тот трафик, который вас интересует. Подробнее о том, как пользоваться фильтрами, написано на просторах интернета. Можно даже создать свой собственный шаблон для фильтра. Но это уже совсем другая история.

image0072

image0092

image0031

Заключение

Среди программ для захвата и анализа трафика Wireshark зарекомендовала себя как наиболее достойная утилита для решения подобных задач. Многие профессионалы с успехом используют ее. Конечно, для того, чтобы работать в ней на профессиональном уровне придется подтянуть свои знания в английском и изучить некоторые принципы передачи данных. Но это того стоит. Теперь ни одна программа на вашем компьютере не сможет отсылать тонны ненужной информации незнамо куда без вашего ведома. Wireshark как перехватчик и анализатор не имеет себе равных.

Видео

Источник

Wireshark как установить на windows

Windows installer names contain the platform and version. For example, Wireshark-win64-3.7.0.exe installs Wireshark 3.7.0 for 64-bit Windows. The Wireshark installer includes Npcap which is required for packet capture.

2.3.1. Installation Components

On the Choose Components page of the installer you can select from the following:

2.3.2. Additional Tasks

2.3.3. Install Location

By default Wireshark installs into %ProgramFiles%Wireshark on 32-bit Windows and %ProgramFiles64%Wireshark on 64-bit Windows. This expands to C:Program FilesWireshark on most systems.

2.3.4. Installing Npcap

The Wireshark installer contains the latest Npcap installer.

If you don’t have Npcap installed you won’t be able to capture live network traffic but you will still be able to open saved capture files. By default the latest version of Npcap will be installed. If you don’t wish to do this or if you wish to reinstall Npcap you can check the Install Npcap box as needed.

2.3.5. Windows installer command line options

For special cases, there are some command line parameters available:

/EXTRACOMPONENTS comma separated list of optional components to install. The following extcap binaries are supported.

Running the installer without any parameters shows the normal interactive installer.

2.3.6. Manual Npcap Installation

As mentioned above, the Wireshark installer also installs Npcap. If you prefer to install Npcap manually or want to use a different version than the one included in the Wireshark installer, you can download Npcap from the main Npcap site at https://nmap.org/npcap/.

2.3.7. Update Wireshark

The official Wireshark Windows package will check for new versions and notify you when they are available. If you have the Check for updates preference disabled or if you run Wireshark in an isolated environment you should subscribe to the wireshark-announce mailing list to be notified of new versions. See Section 1.6.5, “Mailing Lists” for details on subscribing to this list.

New versions of Wireshark are usually released every four to six weeks. Updating Wireshark is done the same way as installing it. Simply download and start the installer exe. A reboot is usually not required and all your personal settings remain unchanged.

2.3.8. Update Npcap

Wireshark updates may also include a new version of Npcap. Manual Npcap updates instructions can be found on the Npcap web site at https://nmap.org/npcap/. You may have to reboot your machine after installing a new Npcap version.

2.3.9. Uninstall Wireshark

You can uninstall Wireshark using the Programs and Features control panel. Select the “Wireshark” entry to start the uninstallation procedure.

The Wireshark uninstaller provides several options for removal. The default is to remove the core components but keep your personal settings and Npcap. Npcap is kept in case other programs need it.

2.3.10. Uninstall Npcap

You can uninstall Npcap independently of Wireshark using the Npcap entry in the Programs and Features control panel. Remember that if you uninstall Npcap you won’t be able to capture anything with Wireshark.

Источник

Как использовать Wireshark для захвата, фильтрации и проверки пакетов

Wireshark, инструмент сетевого анализа, ранее известный как Ethereal, захватывает пакеты в реальном времени и отображает их в удобочитаемом формате. Wireshark включает в себя фильтры, цветовую обозначение и другие функции, которые позволяют глубоко копаться в сетевом трафике и проверять отдельные пакеты.

Это руководство познакомит вас с основами захвата пакетов, их фильтрации и проверки. Вы можете использовать Wireshark для проверки сетевого трафика подозрительной программы, анализа потока трафика в вашей сети или устранения сетевых проблем.

Как установить Wireshark

Вы можете скачать Wireshark для Windows или macOS с официального сайта. Если вы используете Linux или другую UNIX-подобную систему, вы, вероятно, найдете Wireshark в его репозиториях пакетов. Например, если вы используете Ubuntu, вы найдете Wireshark в Центре программного обеспечения Ubuntu.

Небольшое предупреждение: многие организации не разрешают использовать Wireshark и аналогичные инструменты в своих сетях. Не используйте этот инструмент на работе, если у вас нет разрешения.

После запуска инсталятора вам будет предложено выбрать компоненты для установки — оставьте все значения по умолчанию, поскольку это там отмечены нужные компоненты.

Захват пакетов

После загрузки и установки Wireshark вы можете запустить эту программу. В разделе «Захват» вы увидите названия всех доступных сетей (сетевых интерфейсов), рядом с которыми будет график сетевой активности.

wireshark windows

Дважды щёлкните имя сетевого интерфейса, чтобы начать захват пакетов на этом интерфейсе. Например, если вы хотите захватить трафик в беспроводной сети, щёлкните свой беспроводной интерфейс. Вы можете настроить расширенные функции, нажав «Захват» → «Опции», но пока в этом нет необходимости.

Как только вы нажмёте на название интерфейса, вы увидите, что пакеты начинают появляться в реальном времени. Wireshark фиксирует каждый пакет, отправленный в вашу систему или из неё.

wireshark windows 2

Если у вас включён неразборчивый режим (он включён по умолчанию), вы также увидите все другие пакеты в сети, а не только пакеты, адресованные вашему сетевому адаптеру. Чтобы проверить, включён ли неразборчивый режим, нажмите «Захват» → «Опции» и убедитесь, что в нижней части этого окна активирован флажок «Включить смешанный режим на всех интерфейсах».

Вы увидите, что даже если вы не выполняете никаких действий, то в сети всё равно непрерывно происходит некая активность.

Нажмите красную кнопку «Остановить захват пакетов» в верхнем левом углу окна, если хотите прекратить захват трафика.

wireshark windows 3

Цветовое кодирование

Вы, вероятно, увидите пакеты, выделенные разными цветами. Wireshark использует цвета, чтобы помочь вам с первого взгляда определить типы трафика. По умолчанию серый цвет соответствует трафику TCP, бирюзовый — трафику UDP, а чёрный цвет обозначает пакеты с ошибками — например, они могли быть доставлены не по порядку.

Чтобы точно увидеть, что означают цветовые коды, нажмите «Просмотр» → «Цветовые правила». Вы также можете настроить и изменить правила раскраски здесь, если хотите.

wireshark windows 4

Образцы захвата

Если в вашей собственной сети нет ничего интересного для проверки, вам поможет вики Wireshark. Вики-сайт содержит страницу с образцами файлов захвата, которые вы можете загрузить и проверить. Щёлкните Файл → Открыть в Wireshark и найдите загруженный файл, чтобы открыть его.

Вы также можете сохранить в файлы свои собственные захваченные сетевые данные в Wireshark и открыть их позже. Щёлкните Файл → Сохранить, чтобы сохранить захваченные пакеты.

Фильтрация пакетов

Если вы пытаетесь проверить что-то конкретное, например трафик, который программа отправляет при звонке домой, лучше закрыть все другие приложения, использующие сеть, чтобы вы могли уменьшить количество трафика, не имеющего отношение к вашему анализу. Тем не менее, вам, вероятно, всё равно придётся просеивать большое количество пакетов. Вот тут-то и пригодятся фильтры Wireshark.

Самый простой способ применить фильтр — ввести его в поле фильтра в верхней части окна и нажать «Применить» (или нажать Enter). Например, введите «dns», и вы увидите только пакеты DNS. Когда вы начнёте вводить текст, Wireshark поможет вам автоматически заполнить фильтр.

wireshark windows 6

Вы также можете нажать Анализ → Дисплейные Фильтры (не очень удачный перевод), чтобы выбрать фильтр из заготовленного списка фильтров по умолчанию, включённых в Wireshark. Отсюда вы можете добавить свои собственные фильтры и сохранить их, чтобы легко получить к ним доступ в будущем.

wireshark windows 12

Приведём несколько примером фильтров Wireshark.

Чтобы увидеть все DNS запросы и ответы:

Фильтр, который показывает только данные, переданные методом POST:

Фильтр, который показывает только данные, переданные методом GET:

Поиск запросов к определённому сайту (хосту):

Поиск запросов к определённому сайту по части имени:

Фильтр для вывода HTTP запросов, в которых передавались кукиз:

Запросы, в которых сервер установил кукиз в браузер пользователя.

Нужно понимать, что мы не можем искать по содержимому передаваемых зашифрованных данных (по очевидным причинам — данные зашифрованы). То есть сетевой трафик к сайтам по протоколу HTTPS не всегда доступны для анализа.

Поиск сетевых подключений, в которых портом назначения был порт из диапазона 8000-8180:

Показать IPv6 трафик:

Для показа ARP трафика:

wireshark windows 7

Показать трафик, источником которого является хост с IP адресом 138.201.81.199:

Показать трафик, адресатом которого является хост с IP адресом 138.201.81.199:

Более подробный список смотрите в статье: Фильтры Wireshark

Ещё одна интересная вещь, которую вы можете сделать, — это щёлкнуть пакет правой кнопкой мыши и выбрать Следовать → Поток TCP.

wireshark windows 11

Вы увидите полный TCP-диалог между клиентом и сервером. Вы также можете щёлкнуть другие протоколы в меню Следовать, чтобы просмотреть полные разговоры для других протоколов, если это применимо.

wireshark windows 8

Закройте окно, и вы увидите, что фильтр применён автоматически. Wireshark показывает пакеты, из которых состоит беседа.

wireshark windows 9

Анализ пакетов

Щёлкните пакет, чтобы выбрать его, и вы можете углубиться в его свойства, чтобы досконально просмотреть сведения о нем.

Вы также можете устанавливать фильтры отсюда — просто щёлкните правой кнопкой мыши одну из деталей и используйте подменю «Применить как Фильтр», чтобы создать фильтр на его основе.

wireshark windows 10

Wireshark — чрезвычайно мощный инструмент, и это руководство лишь поверхностно описывает то, что вы можете с ним сделать. Профессионалы используют его для отладки реализаций сетевых протоколов, изучения проблем безопасности и проверки внутренних компонентов сетевого протокола.

Источник

Руководство и шпаргалка по Wireshark

image loaderДаже поверхностное знание программы Wireshark и её фильтров на порядок сэкономит время при устранении проблем сетевого или прикладного уровня. Wireshark полезен для многих задач в работе сетевого инженера, специалиста по безопасности или системного администратора. Вот несколько примеров использования:

Устранение неполадок сетевого подключения

Исследование сессий прикладного уровня (даже при шифровании с помощью SSL/TLS, см. ниже)

Устранение неполадок DHCP с данными на уровне пакетов

Извлечение файлов из сессий HTTP

Извлечение файлов из сессий SMB

Обнаружение и проверка вредоносных программ

Проверка сканирования портов и других типов сканирования на уязвимости

Установка Wireshark

Wireshark работает на различных операционных системах и его несложно установить. Упомянем только Ubuntu Linux, Centos и Windows.

Установка на Ubuntu или Debian

Установка на Fedora или CentOS

Установка на Windows

На странице загрузки лежит исполняемый файл для установки. Довольно просто ставится и драйвер захвата пакетов, с помощью которого сетевая карта переходит в «неразборчивый» режим (promiscuous mode позволяет принимать все пакеты независимо от того, кому они адресованы).

Начало работы с фильтрами

С первым перехватом вы увидите в интерфейсе Wireshark стандартный шаблон и подробности о пакете.

Как только захватили сессию HTTP, остановите запись и поиграйте с основными фильтрами и настройками Analyze | Follow | HTTP Stream.

Примеры фильтров по IP-адресам

Примеры фильтров по протоколу

Попробуйте сделать комбинацию фильтров, которая показывает весь исходящий трафик, кроме HTTP и HTTPS, который направляется за пределы локальной сети. Это хороший способ обнаружить программное обеспечение (даже вредоносное), которое взаимодействует с интернетом по необычным протоколам.

Следуйте за потоком

Как только вы захватили несколько HTTP-пакетов, можно применить на одном из них пункт меню Analyze | Follow | HTTP Stream. Он покажет целиком сессию HTTP. В этом новом окне вы увидите HTTP-запрос от браузера и HTTP-ответ от сервера.

image loader

Резолвинг DNS в Wireshark

По умолчанию Wireshark не резолвит сетевые адреса в консоли. Это можно изменить в настройках.

Edit | Preferences | Name Resolution | Enable Network Name Resolution

Tshark для командной строки

Составление правил для файрвола

image loader

Работа с географической базой GeoIP

Если Wireshark скомпилирован с поддержкой GeoIP и у вас есть бесплатные базы Maxmind, то программа может определять местоположение компьютеров по их IP-адресам. Проверьте в About | Wireshark, что программа скомпилирована с той версией, какая у вас в наличии. Если GeoIP присутствует в списке, то проверьте наличие на диске баз GeoLite City, Country и ASNum. Укажите расположение баз в меню Edit | Preferences | Name Resolution.

Проверьте систему на дампе трафика, выбрав опцию Statistics | Endpoints | IPv4. В колонках справа должна появиться информация о местоположении и ASN для IP-адреса.

image loader

Конечно, тот же фильтр можно применить к отдельным городам и странам. Удалите шум и оставьте только действительно интересный трафик.

Расшифровка сессий SSL/TLS

Один из способов расшифровки сессий SSL/TLS — использовать закрытый ключ с сервера, к которому подключен клиент.

Конечно, у вас не всегда есть доступ к приватному ключу. Но есть другой вариант простого просмотра трафика SSL/TLS на локальной системе. Если Firefox или Chrome загружаются с помощью специальной переменной среды, то симметричные ключи отдельных сеансов SSL/TLS записаны в файл, который Wireshark может прочитать. С помощью этих ключей Wireshark покажет полностью расшифрованную сессию!

1. Настройка переменной среды

На вкладке System Properties | Advanced нажмите кнопку Environment Variables и добавьте имя переменной (SSLKEYLOGFILE), а в качестве значения — путь к файлу.

2. Настройка Wireshark

Из выпадающего меню выберите Edit | Preferences | Protocols | SSL | (Pre)-Master-Secret Log Filename — Browse, указав файл, который вы указали в переменную среды.

Начинайте захват трафика в локальной системе.

3. Перезапуск Firefox или Chrome

После перехода на сайт HTTPS лог-файл начнёт увеличиваться в размере, поскольку записывает симметричные ключи сессии.

Взгляните на ранее запущенную сессию Wireshark. Вы должны увидеть что-то похожее на скриншот внизу с расшифрованными сессиями. Расшифрованные пакеты — на вкладке в нижней панели.

image loader

Другой способ просмотра сеанса — через выпадающее меню Analysis | Follow | Stream | SSL. Если сеанс успешно расшифрован, вы увидите опцию для SSL.

Разумеется, будьте осторожны при записи этих ключей и пакетов. Если посторонний получит доступ к лог-файлу, то легко найдёт там ваши пароли и куки аутентификации.

Ещё один вариант выхода на базовый HTTP-трафика — использовать инструмент Burp Suite с загруженным сертификатом CA в браузере. В этом случае прокси расшифровывает соединение на стороне клиента, а затем устанавливает новый сеанс SSL/TLS на сервере. Есть много способов проведения такой MiTM-атаки на себя, это два самых простых.

Извлечение файлов из пакетов с помощью функции экспорта (HTTP или SMB)

Файлы легко извлекаются через меню экспорта.

File | Export Objects | HTTP

Все найденные файлы отобразятся в новом окне. Отсюда же можно сохранить отдельные файлы или сразу все. Аналогичный метод применяется для извлечения файлов из сессий SMB. Как мы уже упоминали, это протокол Microsoft Server Message Block, который используется для общего доступа к файлам под Windows.

image loader

Строка состояния

Строка состояния в правой части окна позволяет быстро перейти в нужное место сетевого дампа, щёлкнув по цветовому индикатору. Например, красным цветом в строке состояния помечены пакеты с ошибками.

image loader

Образец PCAP

Когда только начинаете работу с Wireshark, хочется посмотреть на какие-нибудь интересные дампы с пакетами. Их можно найти на странице Wireshark Samples. Примеров с разными протоколами там хватит вам на несколько месяцев анализа, есть даже образцы трафика червей и эксплоитов.

Настройка окружения

Внешний вид консоли по умолчанию всячески настраивается. Можно добавлять или удалять столбцы, добавляя даже такие простые вещи как столбец времени UTC, что сразу повышает информативность логов, если анализировать историю пакетов.

Столбцы настраиваются в меню Edit | Preferences | Appearance | Columns. Там же изменяется общий шаблон, шрифт и цвета.

На видео — полезные советы по настройке окружения, в том числе выявление неполадок по порядковым номерам последовательности TCP.

capinfos

Источник

The current stable release of Wireshark is 4.0.10. It supersedes all previous releases.You can also download the latest development release (4.2.0rc1) and documentation.

Old Stable Release: 3.6.18
Development Release: 4.2.0rc1

Support open source packet analysis.

The non-profit Wireshark Foundation supports the development of Wireshark, a free, open-source tool used by millions around the world.

Not What You’re Looking For?

Older Releases

All present and past releases can be found in our our download area.

Installation Notes

For a complete list of system requirements and supported platforms, please consult the User’s Guide.

Information about each release can be found in the release notes.

Each Windows package comes with the latest stable release of Npcap, which is required for live packet capture. If needed you can download separately from the Npcap web site.

Live on the Bleeding Edge

You can download source code packages and Windows installers which are automatically created each time code is checked into the source code repository. These packages are available in the automated build section of our download area.

Go Spelunking

You can explore the download areas of the main site and mirrors below. Past releases can be found by browsing the all-versions directories under each platform directory.

  • Wireshark Foundation (https, us)
  • Wireshark Foundation (https, us)
  • Wireshark Foundation (https, nl)
  • Wireshark Foundation (https, singapore)
  • University of Kaiserslautern (ftp, de)
  • University of Kaiserslautern (http, de)
  • Yamagata University, Japan (http, jp)
  • Yamagata University, Japan (ftp, jp)
  • Yamagata University, Japan (rsync, jp)
  • MARWAN, Morocco (https, ma)
  • Wireshark.org (https, us)

Stay Current

You can stay informed about new Wireshark releases by subscribing to the wireshark-announce mailing list. We also provide a PAD file to make automated checking easier.

Verify Downloads

File hashes for the current release can be found in the signatures file. It is signed with key id 0xE6FEAEEA. Prior to April 2016 downloads were signed with key id 0x21F2949A.

Stay Legal

Wireshark is subject to U.S. export regulations. Take heed. Consult a lawyer if you have any questions.

Какой наиболее мощный инструмент  для захвата и анализа интернет трафика на сегодняшний день? Ответ прост – программа Wireshark. Она способна перехватывать не только исходящие TCP пакеты, но и входящие. Такой инструмент состоит на вооружении многих профессионалов. Да и хакеры не гнушаются его использовать. Возможности программы безграничны. С ее помощью можно вытащить любой файл из пакета, просмотреть его и проверить. Главный вопрос состоит в том, как это сделать. В этом мы и попробуем разобраться.

Сия утилита предназначена для контроля интернет трафика. Она перехватывает TCP пакеты, которые были приняты компьютером или посланы с него. Функционал программы настолько богат, что простым перехватом дело не ограничивается. Можно просматривать содержимое пакетов, искать ошибки и так далее. Кроме того, с помощью WS можно вытащить из пакетов практически любой файл и просмотреть его. Чтобы лучше понять, что это за программа, нужно выделить ее основные преимущества. Итак, плюсы:

  • кроссплатформенность (есть версии для Linux, Mac, Unix);
  • утилита совершенно бесплатна;
  • обладает широким функционалом;
  • гибкость настройки;
  • возможность фильтрации трафика;
  • создание собственных фильтров;
  • перехват пакетов в реальном времени.

Преимуществ у данной утилиты действительно много. А вот недостатков как таковых нет вообще. Недаром Wireshark считается лучшей в своем роде для захвата и анализа TCP пакетов. Теперь нужно немного разобраться в самой программе.

Установка и настройка

Скачать Wireshark можно с официального сайта разработчика. Программа совершенно бесплатна. Стоит обратить внимание на то, что последняя версия (2.0.5) не работает с Wi-Fi адаптерами. Поэтому, если вам нужно анализировать трафик беспроводного соединения, следует скачать более старую версию.

Установка утилиты стандартна и не вызовет никаких проблем даже у новичков. В инсталляторе все понятно, хоть он и на английском. Кстати, Wireshark на русском языке в природе не существует, поэтому для того, чтобы успешно справляться с этим софтом придется напрячь память и вспомнить английский. В принципе, для простого захвата и просмотра TCP пакетов ничего сверхъестественного не понадобится. Хватит и школьного уровня английского.

Итак, первое, что мы видим после запуска установленной программы – главное окно. Для неподготовленного пользователя оно может показаться непонятным и страшным.

Wireshark под Windows

Ничего страшного в нем нет. В этом вы сейчас убедитесь. Для начала работы нужно сначала выбрать источник, из которого будет производиться захват TCP пакетов. Перехват может осуществляться как с Ethernet подключения, так и с WLAN адаптера. В качестве примера рассмотрим вариант с WLAN. Для настройки нужно зайти в пункт «Capture», подпункт «Options». В открывшемся окне следует выбрать ваш беспроводной адаптер и отметить его галочкой. Для начала захвата трафика достаточно нажать кнопку «Start».

Wireshark опции

После нажатия «Start» начнется анализ и захват пакетов. В окне появится много непонятных букв и цифр. Некоторые из пакетов имеют собственную цветовую маркировку. Для того, чтобы хоть что-то понять, нужно определить какой цвет к чему относится. Зеленый – TCP трафик, темно-синий – DNS, светло-синий – UDP и черный – пакеты TCP с ошибками. Теперь разобраться в этой горе данных проще.

Wireshark анализ трафика

Для остановки процесса перехвата достаточно нажать кнопку «Stop», которая помечена красным прямоугольником. Теперь можно выбрать интересующий вас пакет и просмотреть его. Для этого нужно щелкнуть по пакету правой клавишей мыши и в появившемся меню выбрать пункт «Show packet in new window». Тут же появится куча непонятных букв и цифр.

Wireshark просмотр содержимого пакета

Но при углубленном изучении представленной информации можно понять, откуда и куда шел пакет и из чего он состоял. Для того чтобы просмотреть данные о TCP пакетах позднее, нужно использовать функцию сохранения захваченной информации. Она находится в пункте меню «File», подпункт «Save as». Потом можно будет загрузить информацию из файла и спокойно просмотреть ее.

Wireshark сохранить данные в файл

Использование фильтров

Для отображения только той информации, которая вас интересует можно заставить Wireshark использовать фильтры и отсекать ненужный трафик. Инструкция по тонкой настройке фильтров находится в Сети, а мы пока рассмотрим только один пример. Допустим, вас интересуют только TCP пакеты. Для того, чтобы программа отображала только их, следует зайти в пункт меню «Capture», подпункт «Capture filters», выбрать пункт «TCP Only» и нажать кнопку «OK».
Wireshark фильтры

Таким образом можно заставить утилиту отображать только тот трафик, который вас интересует. Подробнее о том, как пользоваться фильтрами, написано на просторах интернета. Можно даже создать свой собственный шаблон для фильтра. Но это уже совсем другая история.

Wareshark Edit Interface Setting

wareshark advanced wireless setting

wareshark capture interfaces

Заключение

Среди программ для захвата и анализа трафика Wireshark зарекомендовала себя как наиболее достойная утилита для решения подобных задач. Многие профессионалы с успехом используют ее. Конечно, для того, чтобы работать в ней на профессиональном уровне придется подтянуть свои знания в английском и изучить некоторые принципы передачи данных. Но это того стоит. Теперь ни одна программа на вашем компьютере не сможет отсылать тонны ненужной информации незнамо куда без вашего ведома. Wireshark как перехватчик и анализатор не имеет себе равных.

Видео

Уровень сложности
Средний

Время на прочтение
8 мин

Количество просмотров 70K

Руководство по анализу трафика сети посредством Wireshark

1. Что такое Wireshark?

Логотип программы

Логотип программы

Wireshark – это широко распространённый инструмент для захвата и анализа сетевого трафика, который активно используется как для образовательных целей, так и для устранения неполадок на компьютере или в сети. Wireshark работает практически со всеми протоколами модели OSI, обладает понятным для обычного пользователя интерфейсом и удобной системой фильтрации данных. Помимо всего этого, программа является кроссплатформенной и поддерживает следующие операционные системы: Windows, Linux, Mac OS X, Solaris, FreeBSD, NetBSD, OpenBSD.

В этом руководстве мы рассмотрим основной функционал программы Wireshark, соотнесём её с моделью OSI, научимся анализировать сетевой трафик и обезопасим своё нахождение в глобальной сети Интернет.

2. Как установить Wireshark?

Для начала нам необходимо скачать и установить программу Wireshark. Так как программа распространяется под лицензией GNU GPL v2 (т.е. может свободно распространяться), то несложно найти любую версию программы в свободном доступе. В руководстве мы будем использовать функционал более ранней версии программы (1.12.3). Это вызвано тем, что в этой версии сразу встроен протокол SSL, который используется в главе 6. Установка более ранней версии облегчает подготовку к работе с программой, поэтому мы выбрали её. Найти установщик можно на официальном сайте.

Дальнейшая установка программы проста – нажимаем «Next» — «Next» — «Next».

Установка программы

Установка программы

После успешной установки на Вашем рабочем столе появится ярлык Wireshark. Мы можем приступать к рассмотрению функционала!

Ярлык программы на рабочем столе

Ярлык программы на рабочем столе

3. Как пользоваться программой Wireshark?

Одна из главных возможностей программы – это захват трафика сети. Поэтому для начала необходимо научиться захватывать трафик Вашей сети.

Запустим программу! Нас сразу встречает стартовое меню, на котором можно увидеть доступные для захвата интерфейсы компьютера, руководства от разработчиков программы и множество других интересных вещей.

Стартовое меню

Стартовое меню

Из всего этого нам необходимо обратить внимание на эту область программы.

Область захвата трафика сетевого интерфейса

Область захвата трафика сетевого интерфейса

Здесь нужно выбрать тот сетевой интерфейс, через который Вы подключены к Интернету.

Сетевой интерфейс – это программное обеспечение, которое взаимодействует с сетевым драйвером и с уровнем IP. Он обеспечивает уровню IP доступ ко всем имеющимся сетевым адаптерам, трафик которых мы будет перехватывать. Чаще всего в программе Wireshark можно встретить сетевой интерфейс беспроводной (Wi-Fi) и кабельный (Ethernet).

В руководстве используется Wi-Fi, поэтому мы выполняем захват «Беспроводной сети», после чего нажимаем «Start».

Если Вы выбрали правильный интерфейс, то сможете увидеть следующее.

Обзор начала захвата трафика

Обзор начала захвата трафика

Рассмотрим подробнее это окно по пунктам, указанным на нём:

  1. Панель фильтров, позволяющая найти необходимую информацию. Подробнее о неё рассказано в пятой главе руководства.

  2. Панель наименований, разделяющая информацию из пункта 3 на номер, временя с начала захвата трафика, источник и адресат, а также используемый протокол, размер пакета и небольшую информацию о сетевом пакете.

  3. Панель пакетов, обновляющаяся в реальном времени. Здесь информация о пакетах разделена по столбцам, определённым на панели наименований.

  4. Панель уровней, описывающая уровни модели OSI выбранного сетевого пакета.

  5. Панель метаданных, представляющая данные в шестнадцатеричном коде и символах.

Поздравляем! Вы успешно захватили трафик Вашей сети. Теперь можно увидеть пакеты данных, проходящих по сети, а также некоторую информацию о них: адреса отправителя и получателя, использующиеся протоколы и содержание пакета.

Теперь можно приступить к анализу сетевого трафика.

4. Как найти скрытую информацию?

Перед началом анализа трафика необходимо иметь базовые знания о протоколах сетевой модели OSI. Достаточно прочитать статью в Википедии.

Во многих программах для передачи информации используется протокол HTTP, который позволяет получать различные ресурсы из Интернета и обратно. Рассмотрим один из пакетов, переданных по протоколу HTTP.

Обзор пакета HTTP

Обзор пакета HTTP

В протоколе HTTP для передачи данных используются запросы GET (предназначен для получения данных) и POST (предназначен для отправки данных).

На рисунке в поле 1 мы видим IP-адрес адресата (в данном случае, это адрес моего компьютера). В поле 2 мы узнаём, что сервер антивируса послал запрос GET для того, чтобы запросить некоторые данные о моём компьютере. Это необходимо для корректного обновления программы. И в поле 3 мы видим то, как выглядит этот запрос в виде URL (Интернет-ссылки).

Небольшое домашнее задание!

Для закрепления материала попробуйте проанализировать любой пакет протокола HTTP на Вашем компьютере и попытайтесь объяснить, для чего он был отправлен.

5. Как среди всех пакетов найти необходимые?

При выполнении домашнего задания у Вас могла возникнуть проблема нахождения необходимого пакета. Для её решения в программе Wireshark есть решение – фильтрация! В специальном поле «Filter» можно ввести необходимые команды или воспользоваться подсказками.

Обзор поля "Filter"

Обзор поля «Filter»

Чаще всего используется фильтрация по IP-адресам, по номерам порта и по протоколам. Давайте посмотрим, как это происходит.

Фильтрация по IP-адресу позволяет нам просматривать все пакеты, приходящие от кого-либо или уходящие кому-либо. Например, отберём все пакеты, приходящие от IP-адреса 10.1.30.46 с помощью ввода в фильтре «ip.src == x.x.x.x».

Обзор команды "ip.src"

Обзор команды «ip.src»

Также можно отфильтровать трафик сети по IP-адресу получателя пакетов с помощью команды «ip.dst == x.x.x.x».

Обзор команды "ip.dst"

Обзор команды «ip.dst»

Кроме того, можно увидеть пакеты вне зависимости от направления трафика с помощью «ip.addr == x.x.x.x».

Обзор команды "ip.addr"

Обзор команды «ip.addr»

Для фильтрации по номеру порта используется «.port = x» после названия протокола. Например, для просмотра TCP-порта 80, используемого для незашифрованного трафика HTTP, используем команду «tpc.port == 80».

Обзор команды "tcp.port"

Обзор команды «tcp.port»

И, наконец, для фильтрации трафика по используемым пакетами протоколам необходимо просто ввести название протокола.

Обратите внимание, что фильтры можно комбинировать при помощи логических операторов И «and/&&», ИЛИ «or/||» и НЕ «not/!»

Обзор логических операторов

Обзор логических операторов

Снова домашнее задание!

Чтобы попрактиковаться в поиске необходимой информации, попробуйте посмотреть количество пакетов того или иного протокола и подумайте, почему их так много.

6. Как перехватить данные, передающиеся по защищённым каналам связи?

Разобравшись с основным функционалом Wireshark, мы можем приступить к более сложному и полезному.

Передача данных в глобальной сети Интернет является небезопасной, особенно если никак не защищать их. В современных браузерах используется протокол SSL/TLS, который шифрует информацию и позволяет безопасно передать её.

Иногда пользователю или системного администратору необходимо проверить трафик на наличие подозрительной активности или на корректную работу программы. Из-за этого возникает необходимость расшифровывать перехваченный защищённый трафик.

Для начала разберёмся в том, как работает протокол SSL/TLS. Перед обменом шифрованными данными используется процесс установки соединения, также называемый рукопожатием.

На этапе рукопожатия клиент и сервер проходят аутентификацию (проверку подлинности), обмениваются информацией о своих возможностях и лишь после этого начинают согласование общего сеансового ключа.

Для согласования по незащищённому каналу связи существует множество алгоритмов. Выбор происходит из списка алгоритмов, которые поддерживаются клиентом, на начальной стадии рукопожатия.

Наиболее распространённым алгоритмом обмена сеансовым ключом является RSA. Рассмотрим инфографику, описывающую механизм работы алгоритма.

Алгоритм обмена сеансовым ключом RSA

Алгоритм обмена сеансовым ключом RSA

В момент рукопожатия клиент создаёт случайное число, называемое предварительным секретом, и отправляет его, зашифровав открытым ключом сервера. Далее обе стороны конвертируют предварительный секрет в главный и создают сеансовый ключ, который и используется для дальнейшего обмена информацией.

Теперь попробуем перехватить защищённую информацию в программе Wireshark. Выполним подготовительные действия, а именно проверим используемый для согласования сеансовых ключей алгоритм и настроим браузер. Для начала находим рукопожатие с помощью фильтра, введя «ssl.handshake», и проверяем сообщение сервера.

Обзор команды "ssl.handshake"

Обзор команды «ssl.handshake»

В поле «Cipher Suite» мы можем увитель «TLS_RSA». Это значит, что мы можем приступать к дальнейшим действиям.

Настройка браузера в операционной система Windows довольно проста. Открываем свойства компьютера, затем «Дополнительные параметры системы» и выбираем «Переменные среды…».

Настройка браузера в Windows 10

Настройка браузера в Windows 10

Добавляем новую пользовательскую переменную «SSKEYLOGFILE» и указываем путь до файла, куда мы ходим его сохранять.

Рассмотрим ответное сообщение клиента: оно содержит зашифрованное значение предварительного секрета текущей сессии.

Ответное сообщение клиента

Ответное сообщение клиента

Далее переходим к настройке программы Wireshark. Комбинацией клавиш «Ctrl+Shift+P» открываем меню «Preferences», затем раскрываем ветку «Protocols» и выбираем «SSL».

Настройка Wireshark

Настройка Wireshark

Проверяем установку необходимых полей, показанных на картинке, и жмём кнопку «Edit». В появившемся окне нажимаем на кнопку «New» и заполняем следующие поля: IP Address (IP-адрес SSL-сервера), Port (порт SSL-сервера), Protocol (протокол, использующий шифрацию SSL. При неизвестном указывать data), Key File (путь к файлу с секретным ключом сервера, который мы указывали в Переменных средах) и Password (если секретный ключ защищён паролем).

Настройка SSL в Wireshark

Настройка SSL в Wireshark

Теперь можно подтвердить настройки и приступить к просмотру расшифрованного трафика. Не забывайте использовать фильтр!

Закрепление пройденного материала!

Попробуйте самостоятельно подключиться к серверу какого-либо сайта и посмотреть, какими пакетами обменивается Вам компьютер с ним.

7. Какие возможности даёт захват защищённого трафика?

Захват защищённого трафика даёт множество возможностей. Одной из них является перехват HTTPS-запросов пользователей, подключённых к сети. Давайте рассмотрим, как это сделать и какой результат мы получим.

Для начала повторяем действия из предыдущего пункта, но в качестве IP-адреса SSL-сервера указываем адрес необходимого сайта. Для передачи паролей зачастую используется протокол передачи данных HTTP. О используемых в нём методах мы уже говорили в главе 4. Чтобы использовать фильтрацию HTTP-трафика по методам, можно использовать команду «http.request.method == “название метода”». Так как мы хотим перехватить данные, отправленные клиентом на сервер, то будем рассматривать POST-запросы. Для этого применим фильтр «http.request.method == “POST”».

Захват защищённого трафика

Захват защищённого трафика

Проделав эти несложные действия, мы получили важные данные другого пользователя. Поэтому следует помнить, что общедоступные сети являются небезопасными и представляют угрозу даже для защищённого трафика.

Небольшая практика!

Попробуйте захватить защищённый трафик сервера электронной почты и авторизуйтесь, используя логин и пароль. Найдите POST-запрос и посмотрите, что там находится.

Скорее всего, важные данные будут зашифрованы. Таким способом почтовый сервис защищает Ваши данные, но риск взлома всё равно остаётся.

8. Как можно соотнести модель OSI и программу Wireshark?

Рассмотрев весь функционал программы Wireshark, мы можем соотнести её с сетевой моделью OSI. Но для начала следует вспомнить, что из себя представляет эта модель.

OSI – это набор сетевых протоколов, посредством которого различные сетевые устройства взаимодействуют друг с другом. Модель определяет семь уровней взаимодействия систем. Рассмотрим таблицу уровней модели OSI.

Уровень

Тип данных

Функции

Примеры

7. Прикладной

Данные

Доступ к сетевым службам

HTTP, FTP

6. Представления

Данные

Представление и шифрование данных

ASCII, JPEG

5. Сеансовый

Данные

Управление сеансом связи

RPC, PAP

4. Транспортный

Сегменты

Прямая связь между конечными пунктами и надёжность

TCP, UDP

3. Сетевой

Пакеты

Определение маршрута и логическая адресация

IPv4, IPv6, ICMP

2. Канальный

Кадры

Физическая адресация

Ethernet, ARP

1. Физический

Биты

Работа со средой передачи, сигналами и двоичными данными

USB, RJ

Теперь соотнесём эти уровни с Wireshark. Рассмотрим наиболее часто встречающиеся при анализе трафика протоколы, а именно HTTP, TCP и ICMP.

Протокол HTTP в программе Wireshark имеет 4 уровня по модели OSI, а именно прикладной (Hypertext Transfer Protocol), транспортный (TCP), сетевой (IPv4) и канальный (Ethernet II).

Обзор протокола HTTP

Обзор протокола HTTP

Протокол TCP имеет 3 уровня по модели OSI, в которые входят транспортный (TCP), сетевой (IPv4) и канальный (Ethernet II).

Обзор протокола TCP

Обзор протокола TCP

Протокол ICMP вообще имеет лишь 2 уровня по модели OSI: сетевой (IPv4) и канальный (Ethernet II).

Обзор протокола ICMP

Обзор протокола ICMP

Всего в программе Wireshark определяется лишь 5 уровней модели OSI: прикладной, транспортный, сетевой, канальный и физический. В зависимости от протокола можно увидеть разные уровни.

Подведение итогов

Прочитав это руководство, мы научились анализировать трафик и искать скрытую информацию, а также перехватывать защищённую информацию. Для будущих специалистов по информационной безопасности это очень важные навыки, которые обязательно пригодятся в будущем и послужат фундаментом для будущего профессионального развития.

Главная / Обзоры 

Wireshark — это мощный сетевой анализатор, который может использоваться для анализа трафика, проходящего через сетевой интерфейс вашего компьютера. Он может понадобиться для обнаружения и решения проблем с сетью, отладки ваших веб-приложений, сетевых программ или сайтов. Wireshark позволяет полностью просматривать содержимое пакета на всех уровнях: так вы сможете лучше понять как работает сеть на низком уровне.

Все пакеты перехватываются в реальном времени и предоставляются в удобном для чтения формате. Программа поддерживает очень мощную систему фильтрации, подсветку цветом, и другие особенности, которые помогут найти нужные пакеты. В этой инструкции мы рассмотрим, как пользоваться Wireshark для анализа трафика. Недавно разработчики перешли к работе над второй веткой программы Wireshark 2.0, в неё было внесено множество изменений и улучшений, особенно для интерфейса. Именно её мы будем использовать в этой статье.

Перед тем, как переходить к рассмотрению способов анализа трафика, нужно рассмотреть, какие возможности поддерживает программа более подробно, с какими протоколами она может работать и что делать. Вот основные возможности программы:

  • Захват пакетов в реальном времени из проводного или любого другого типа сетевых интерфейсов, а также чтение из файла;
  • Поддерживаются такие интерфейсы захвата: Ethernet, IEEE 802.11, PPP и локальные виртуальные интерфейсы;
  • Пакеты можно отсеивать по множеству параметров с помощью фильтров;
  • Все известные протоколы подсвечиваются в списке разными цветами, например TCP, HTTP, FTP, DNS, ICMP и так далее;
  • Поддержка захвата трафика VoIP-звонков;
  • Поддерживается расшифровка HTTPS-трафика при наличии сертификата;
  • Расшифровка WEP-, WPA-трафика беспроводных сетей при наличии ключа и handshake;
  • Отображение статистики нагрузки на сеть;
  • Просмотр содержимого пакетов для всех сетевых уровней;
  • Отображение времени отправки и получения пакетов.

Программа имеет множество других функций, но это были те основные, которые могут вас заинтересовать.

Как пользоваться Wireshark

Я предполагаю, что программа у вас уже установлена, но если нет, то вы можете ее установить из официальных репозиториев. Для этого наберите команду в Ubuntu:

sudo apt install wireshark

После установки вы сможете найти программу в главном меню дистрибутива. Запускать Wireshark нужно с правами суперпользователя, потому что иначе она не сможет анализировать сетевые пакеты. Это можно сделать из главного меню или через терминал с помощью команды для KDE:

А для Gnome / Unity:

Главное окно программы разделено на три части: первая колонка содержит список доступных для анализа сетевых интерфейсов, вторая — опции для открытия файлов, а третья — помощь.

Анализ сетевого трафика

Для начала анализа выберите сетевой интерфейс, например eth0, и нажмите кнопку Start.

После этого откроется следующее окно, уже с потоком пакетов, которые проходят через интерфейс. Это окно тоже разделено на несколько частей:

  • Верхняя часть
    — это меню и панели с различными кнопками;
  • Список пакетов
    — дальше отображается поток сетевых пакетов, которые вы будете анализировать;
  • Содержимое пакета
    — чуть ниже расположено содержимое выбранного пакета, оно разбито по категориям в зависимости от транспортного уровня;
  • Реальное представление
    — в самом низу отображается содержимое пакета в реальном виде, а также в виде HEX.

Вы можете кликнуть по любому пакету, чтобы проанализировать его содержимое:

Здесь мы видим пакет запроса к DNS, чтобы получить IP-адрес сайта, в самом запросе отправляется домен, а в пакете ответа мы получаем наш вопрос, а также ответ.

Для более удобного просмотра можно открыть пакет в новом окне, выполнив двойной клик по записи:

Фильтры Wireshark

Перебирать пакеты вручную, чтобы найти нужные, очень неудобно, особенно при активном потоке. Поэтому для такой задачи лучше использовать фильтры. Для ввода фильтров под меню есть специальная строка. Вы можете нажать Expression
, чтобы открыть конструктор фильтров, но там их очень много, поэтому мы рассмотрим самые основные:

  • ip.dst
    — целевой IP-адрес;
  • ip.src
    — IP-адрес отправителя;
  • ip.addr
    — IP отправителя или получателя;
  • ip.proto
    — протокол;
  • tcp.dstport
    — порт назначения;
  • tcp.srcport
    — порт отправителя;
  • ip.ttl
    — фильтр по ttl, определяет сетевое расстояние;
  • http.request_uri
    — запрашиваемый адрес сайта.

Для указания отношения между полем и значением в фильтре можно использовать такие операторы:

  • ==
    — равно;
  • !=
    — не равно;
  • <
    — меньше;
  • >
    — больше;
  • <=
    — меньше или равно;
  • >=
    — больше или равно;
  • matches
    — регулярное выражение;
  • contains
    — содержит.

Для объединения нескольких выражений можно применять:

  • &&
    — оба выражения должны быть верными для пакета;
  • ||
    — может быть верным одно из выражений.

Теперь рассмотрим подробнее на примерах несколько фильтров и попытаемся понять все знаки отношений.

Сначала отфильтруем все пакеты, отправленные на 194.67.215.. Наберите строку в поле фильтра и нажмите Apply
. Для удобства фильтры Wireshark можно сохранять с помощью кнопки Save
:

ip.dst == 194.67.215.125

А чтобы получить не только отправленные пакеты, но и полученные в ответ от этого узла, можно объединить два условия:

ip.dst == 194.67.215.125 || ip.src == 194.67.215.125

Также мы можем отобрать переданные большие файлы:

http.content_length > 5000

Отфильтровав Content-Type, мы можем выбрать все картинки, которые были загружены; выполним анализ трафика Wireshark, пакеты, которого содержат слово image:

http.content_type contains image

Чтобы очистить фильтр, вы можете нажать кнопку Clear
. Бывает, вы не всегда знаете всю необходимую для фильтрации информацию, а просто хотите изучить сеть. Вы можете добавить любое поле пакета в качестве колонки и посмотреть его содержимое в общем окне для каждого пакета.

Например, я хочу вывести в виде колонки ttl (время жизни) пакета. Для этого откройте информацию о пакете, найдите это поле в разделе IP. Затем вызовите контекстное меню и выберите опцию Apply As Column
:

Таким же образом можно создать фильтр на основе любого нужного поля. Выберите его и вызовите контекстное меню, затем нажмите Apply as filter
или Prepare as filter
, затем выбираем Selected,
чтобы вывести только выбранные значения, или Not selected
, чтобы их убрать:

Указанное поле и его значение будет применено или во втором случае подставлено в поле фильтра:

Таким способом вы можете добавить в фильтр поле любого пакета или колонку. Там тоже есть эта опция в контекстном меню. Для фильтрации протоколов вы можете использовать и более простые условия. Например, выполним анализ трафика Wireshark для протоколов HTTP и DNS:

Еще одна интересная возможность программы — использование Wireshark для отслеживания определённого сеанса между компьютером пользователя и сервером. Для этого откройте контекстное меню для пакета и выберите Follow TCP stream
.

Затем откроется окно, в котором вы найдете все данные, переданные между сервером и клиентом:

Диагностика проблем Wireshark

Возможно, вам интересно, как пользоваться Wireshark 2.0 для обнаружения проблем в сети. Для этого в левом нижнем углу окна есть круглая кнопка, при нажатии на неё открывается окно Expet Tools
. В нём Wireshark собирает все сообщения об ошибках и неполадках в сети:

Окно разделено на такие вкладки, как Errors, Warnings, Notices, Chats. Программа умеет фильтровать и находить множество проблем с сетью, и тут вы можете их очень быстро увидеть. Здесь тоже поддерживаются фильтры Wireshark.

Анализ трафика Wireshark

Вы можете очень просто понять, что именно скачивали пользователи и какие файлы они смотрели, если соединение не было зашифровано. Программа очень хорошо справляется с извлечением контента.

Для этого сначала нужно остановить захват трафика с помощью красного квадрата на панели. Затем откройте меню File
-> Export Objects
-> HTTP
:

Программное обеспечение Wireshark
представляет собой довольно известный и продвинутый инструмент для отслеживания сетевого трафика.

Программа одинаково корректно работает в среде многих операционных систем, включая Windows, UNIX, Linux, Mac OS, Free BSD, Solaris, Open BSD, Net BSD и т. д. Сами по себе приложения такого типа иногда называют снифферами.

Данная программа позволяет достаточно легко отследить трафик с использованием множества сетевых протоколов типа DNS, FDDI, FTP, HTTP, ICQ, IPV6, IPX, IRC, MAPI, MOUNT, NETBIOS, NFS, NNTP, POP, PPP, TCP, TELNET, X25 и т. п.

Для того, чтобы использовать программу наиболее полно, особыми знаниями, как думаю многие пользователи, обладать совершенно не нужно. Но обо всем по порядку.

Начнем с того, что большинство локальных сетей домашнего или офисного типа построены на использовании устройств, называемых хабами или концентраторов.

В то же время, некоторые сети подразумевают использование свитчей или маршрутизаторов. Данное программное обеспечение предназначено именно для первого случая, поскольку во втором случае эффективности вы просто не добьетесь.

Как пользоваться Wireshark

Итак, для запуска программы потребуются права доступа типа ROOT, ибо только с такими правами можно получить полный доступ ко всем сетевым интерфейсам. Сам старт программы можно произвести как в обычном режиме, так и из командной строки.

После этого можно запускать основное приложение.

После старта программы появится окно, в котором необходимо ввести логин и пароль с подтверждением доступа.

Сам процесс работы с программой довольно прост

Для запуска перехвата сетевых пакетов нужно просто зайти в главное меню, а именно Menu/Capture Options, а затем в поле Interface выбрать необходимый интерфейс и нажать кнопку Start.

Вот собственно и все.

Естественно, можно воспользоваться и дополнительными настройками, представленными в этом окне.

К примеру, можно воспользоваться опциями задержки, лимитированием пакетов, имеющих определенный размер, который не может быть превышен при анализе. Однако, если вы не уверены в необходимости использования тех или иных настроек, лучше оставить все, как есть.

Многим пользователям это подойдет наилучшим образом, поскольку, настройки по умолчания представлены таким образом, чтобы обеспечить наиболее приемлемый режим работы для каждого сетевого интерфейса.

Для окончания процесса отслеживания приема и передачи сетевых пакетов достаточно нажать кнопку Stop, после чего на экране отобразится полная информация о проведенном процессе, причем отображение производится с использованием графического режима, что является довольно удобным.

По большому счету, по окончании всего процесса файл отчета можно сохранить для последующего анализа или обработки.

Уникальность этого программного продукта заключается еще и в том, что он, хоть он и имеет собственный протокол, однако, может отслеживать данные с использованием отличных от основного протоколов. Это касается не только обмена пакетами внутри самой локальной сети, но и применяется для контроля Интернет-трафика. Естественно, имеется довольно гибкая система сортировки полученных данных с поиском необходимого элемента. Достаточно, просто воспользоваться этими функциями в результатах отчета.

Собственно, ничего сложного в этом нет. Напоследок заметим, что формирования графического интерфейса используется универсальная библиотека GTK+, что и позволяет быстро и удобно обрабатывать входные данные множества форматов.

На этой странице вы найдете ответы на самые популярные вопросы по снифферу WireShark:
⦁ где скачать WireShark бесплатно;
⦁ почему не надо скачивать Wireshark с торрентов;
⦁ где взять WireShark на русском (русификатор);
⦁ где взять инструкции для WireShark на русском,
⦁ руководство по работе с WireShark.

Wireshark — это очень мощный и один из лучших в мире сниффер для захвата и декодирования сетевого трафика. Предоставляет возможность декодировать более 500 различных протоколов сетей передачи данных и телекоммуникационных протоколов, включая протоколы сотовой связи. Он является де-факто (и часто де-юре) стандартом во многих отраслях промышленности и образовательных учреждениях во всем мире. Многие производители коммерческих продуктов используют его в своих решениях как декодировщик.
Программа WireShark абсолютно бесплатна и постоянно дорабатывается несколькими авторами на пожертвования от спонсоров с далекого 1998 года.

Где бесплатно скачать WireShark?

Скачивайте программу только с этой страницы!

Где cкачать WireShark на русском?

WireShark разрабатывается международным коллективом фанатов и, к сожалению, доступен только на английском языке. Искать русификатор или версию на русском языке бесполезно.

Где взять инструкции для работы с WireShark?

Если вы хотите постичь все возможности и стать профессиональным пользователем WireShark, то это можно сделать двумя способами.
⦁ Способ первый.
Метод проб и ошибок. Захватывайте трафик, пытайтесь анализировать его, общайтесь с коллегами на различных форумах и группах. Например, тут: https://ask.wireshark.org/
⦁ Способ второй.
Можно окончить официальные курсы и получить сертификат пользователя или инструктора. Подготовится к курсам можно, освоив данное руководство: http://www.wiresharkbook.com/epg.html
Эта книга является идеальным ресурсом для подготовки к экзамену!

Руководство пользователя

Официальное руководство пользователя сниффера Wireshark доступно на английском языке (русского нет) в различных версиях:
⦁ онлайн руководство: https://www.wireshark.org/docs/wsug_html_chunked
⦁ скачать руководство в архиве.

1. Введение

Wireshark – это анализатор сетевого трафика. Его задача состоит в том, чтобы перехватывать сетевой трафик и отображать его в детальном виде. Анализатор сетевого трафика можно сравнить с измерительным устройством, которое используется для просмотра того, что происходит внутри сетевого кабеля, как например вольтметр используется электриками для того чтобы узнать что происходит внутри электропроводки (но, конечно, на более высоком уровне). В прошлом такие инструменты были очень дорогостоящими и проприетарными. Однако, с момента появления такого инструмента как Wireshark ситуация изменилась. Wireshark – это один из лучших анализаторов сетевого трафика, доступных на сегодняшний момент. Wireshark работает на основе библиотеки pcap. Библиотека Pcap (Packet Capture) позволяет создавать программы анализа сетевых данных, поступающих на сетевую карту компьютера. Разнообразные программы мониторинга и тестирования сети, сниферы используют эту библиотеку. Она написана для использования языка С/С++ так что другие языки, такие как Java, .NET и скриптовые языки использовать не рационально. Для Unix-подобных систем используют libpcap библиотеку, а для Microsoft Windows NT используют WinPcap библиотеку. Программное обеспечение сетевого мониторинга может использовать libpcap или WinPcap, чтобы захватить пакеты, путешествующие по сети и в более новых версиях для передачи пакетов в сети. Libpcap и WinPcap также поддерживают сохранение захваченных пакетов в файл и чтение файлов содержащих сохранённые пакеты. Программы написанные на основе libpcap или WinPcap могут захватить сетевой трафик, анализировать его. Файл захваченного траффика сохраняется в формате, понятном для приложений, использующих Pcap.

2.1 Для чего используется Wireshark?

  • Системные администраторы используют его для решения проблем в сети.
  • Аудиторы безопасности используют его для выявления проблем в сети.
  • Разработчики используют его для отладки сетевых приложений.
  • Обычные пользователи используют его для изучения внутреннего устройства сетевых протоколов.

2.2 Возможности Wireshark

  • Работает на большинстве современных ОС (Microsoft Windows, Mac OS X, UNIX). Wireshark – продукт с открытым исходным кодом, распространяемый на основании лицензии GPL. Его можно использовать на любом количестве компьютеров, не опасаясь за ввод лицензионных ключей, продление лицензии и другие неприятные мероприятия. Поэтому сообществу очень легко добавлять в него поддержку новых протоколов в виде плагинов или напрямую вшить её в исходный код.
  • Перехват трафика сетевого интерфейса в режиме реального времени. Wireshark может перехватывать трафик различных сетевых устройств, отображая его имя (включая беспроводные устройства). Поддерживаемость того или иного устройства зависит от многих факторов, например от операционной системы.
  • Множество протокольных декодировщиков (TELNET, FTP, POP, RLOGIN, ICQ, SMB, MySQL, HTTP, NNTP, X11, NAPSTER, IRC, RIP, BGP, SOCKS 5, IMAP 4, VNC, LDAP, NFS, SNMP, MSN, YMSG и другие).
  • Сохранение и открытие ранее сохраненного сетевого трафика.
  • Импорт и экспорт файлов из других пакетных анализаторов. Wireshark может сохранять перехваченные пакеты в большое количество форматов других пакетных анализаторов, например: libpcap, tcpdump, Sun snoop, atmsnoop, Shomiti/Finisar Surveyor, Novell LANalyzer, Microsoft Network Monitor, AIX»s iptrace.
  • Позволяет фильтровать пакеты по множеству критерий.
  • Позволяет искать пакеты по множеству критерий.
  • Позволяет подсвечивать захваченные пакеты разных протоколов.
  • Позволяет создавать разнообразную статистику.

Ниже перечислены некоторые вещи, которые Wireshark делать не умеет.

  • Wireshark – это не система обнаружения вторжений. Он не предупредит о том, если кто-то делает странные вещи в сети. Однако если это происходит, Wireshark поможет понять что же на самом деле случилось.
  • Wireshark не умеет генерировать сетевой трафик, он может лишь анализировать имеющийся. В целом, Wireshark никак не проявляет себя в сети, кроме как при резолвинге доменных имен, но и эту функцию можно отключить.

2.3 Установка

Сразу предупреждаю тех кто юзает *nix обычный пользователь не имеет привилегий слушать интерфейсы, поэтому запускайте Wireshark через sudo.

Установка снифера Wireshark под Windows является тривиальной задачей и производится мастером установки.Если на компьютере отсутствует библиотека WinPcap, то она будет установлена вместе со снифером. На шаге выбора компонентов можно установить некоторые сопутствующие инструменты:

  • TShark
    – консольный анализатор сетевого трафика;
  • Rawshark
    – фильтр «сырых» пакетов;
  • Editcap
    – утилита, позволяющая открывать сохраненные пакетные дампы и изменять их;
  • Text2Pcap
    – утилита для конвертации HEX-дампов (побайтовое представление) пакетов в формат Pcap;
  • Mergecap
    – утилита для соединения нескольких дампов в один файл;
  • Capinfos
    – утилита для предоставления информации о сохраненных дампах;
  • Некоторые плагины расширенной статистики.

Сразу после установки снифер готов к работе.

2.4 Интерфейс Wireshark

Интерфейс программы Wireshark представлен на рисунке 1.

Рисунок 1 – Главное окно программы Wireshark

Рассмотрим интерфейс более подробно. Сверху находится стандартные для Windows приложений меню и тулбар, на них подробно останавливаться смысла не имеет. Далее следует фильтр, в нем можно задавать критерии фильтрации пакетов, подробное описание работы с ним рассмотрим позже. Следом идет окошко со списком всех перехваченных пакетов. В нем доступна такая информация как: номер пакета, относительное время получения пакета (отсчет производится от первого пакета; параметры отображения времени можно изменить в настройках), IP адрес отправителя, IP адрес получателя, протокол, по которому пересылается пакет, а также дополнительная информация о нем. Как можно заметить, разные протоколы подсвечены разными цветами, что добавляет наглядности и упрощает анализ. Далее видно окно, в котором представлена детальная информация о пакете согласно сетевой модели OSI (подробнее см. Википедию). Ну, и самое нижнее окно показывает нам пакет в сыром HEX виде, то есть побайтово. Конфигурация интерфейса может быть легко изменена в меню View. Например, можно убрать окно побайтового представления пакета (оно же Packet Bytes в меню View), так как в большинстве случаев (кроме анализа данных в пакете) оно не нужно и только дублирует информацию из окна детального описания.

2.5 Перехват трафика

Перехват трафика является одной из ключевых возможностей Wireshark. Движок Wireshark по перехвату предоставляет следующие возможности:

  • перехват трафика различных видов сетевого оборудования (Ethernet, Token Ring, ATM и другие);
  • прекращение перехвата на основе разных событий: размера перехваченных данных, продолжительность перехвата по времени, количество перехваченных пакетов;
  • показ декодированных пакетов во время перехвата;
  • фильтрация пакетов с целью уменьшить размер перехваченной информации;
  • запись дампов в несколько файлов, если перехват продолжается долго.
    Движок не может выполнять следующие функции:
  • перехват трафика с нескольких сетевых интерфейсов одновременно (однако, существует возможность запустить несколько копий Wireshark – каждая для своего интерфейса);
  • прекращение перехвата в зависимости от перехваченной информации.

Чтобы начать перехват трафика нужно иметь права Администратора на данной системе и выбрать правильный сетевой интерфейс. Итак, начнем. Чтобы выбрать сетевой адаптер, с которого будет выполняться перехват нужно нажать на кнопку Interfaces на тулбаре, либо их меню Capture > Interfaces… (отмечены красным цветом на рисунке 2).

Рисунок 2 – Выбор интерфейса для перехвата

После нажатия на одну из этих кнопок появится окно со списком сетевых интерфейсов, доступных в системе (рисунок 3).

Рисунок 3 – Список сетевых интерфейсов

На этом списке можно увидеть такую информацию как название интефейса, IP адрес интерфейса, сетевая активность интерфейса (представлена в виде общего количества пакетов с момента появления окна и количество пакетов в секунду). Также из этого окна можно посмотреть настройки перехвата (рисунок 4) и информацию об интерфейсе (рисунок 5).

Рисунок 4 – Настройки перехвата

Рисунок 5 – Информация об интерфейсе

В настройках перехвата можно изменять такие параметры как фильтрация пакетов, запись дампа в несколько файлов, прекращение перехвата по разным критериям (количество пакетов, количество мегабайт, количество минут), опции показа пакетов, резолвинг имен. В большинстве случаев эти параметры можно оставить по умолчанию. Итак, всё готово к началу перехвата, осталось нажать кнопку Start.

3. Практика перехвата

После нажатия на кнопку Start начался перехват пакетов. Если сетевая активность высокая, то можно сразу увидеть массу непонятных входящих или исходящих пакетов. Они нас пока мало волнуют, сейчас мы займемся изучением всем известной утилиты ping.

3.1 Утилита ping

Нажмем Win+R и введем в строке выполнить cmd. Откроется консоль, введем там команду ping , как показано на рисунке 6. IP адрес следует писать, исходя из конфигурации конкретной сети.

Рисунок 6 – Выполнение команды ping

Теперь, если опрос хоста прошел так же успешно, как показано на рисунке, откроем окно Wireshark, чтобы посмотреть на это более подробно. Там мы скорее всего увидим полный бардак и разбираться в этом нужно будет очень долго. Тут нам на помощь и придут фильтры! Утилита ping работает по протоколу ICMP, поэтому впишем название этого протокола в строку фильтра и нажмем Apply. Должно получиться нечто похожее на рисунок 7.

Рисунок 7 – Фильтрация по протоколу ICMP

Здесь мы можем наблюдать как происходит Echo Request и Echo Reply в протоколе ICMP изнутри: какие тестовые данные посылаются, какие флаги символизируют о том, что это именно Echo Request, и другую не менее важную информацию.

3.2 Перехват FTP трафика

В этом пункте рассматривается перехват документа, передающегося по протоколу FTP без шифрования, и убедимся, что при использовании шифрования на основе TLS ничего полезного мы перехватить не сможем. В качестве FTP сервера используется Cerberus FTP Server, в качестве клиента – любой браузер, например, Internet Explorer (в данной работе использовался плагин к Mozilla Firefox под названием FireFTP).
Запускаем захват пакетов в Wireshark и делаем фильтр по протоколу FTP для удобства (набираем «ftp or ftp-data» без кавычек). Набираем в строке адреса браузера адрес нашего FTP сервера: ftp:// и жмем Enter. На сервере будет лежать текстовый документ под названием test.txt, скачиваем его. Теперь посмотрим, что произошло в снифере, и какие пакеты мы перехватили. На рисунке 8 можно видеть, что перехватить можно не только данные, которые передаются по протоколу, но и логин с паролем.

Рисунок 8 – Перехват логина и пароля

Теперь найдем в перехваченных пакетах содержание нашего документа. Несколько слов о процессе передачи файлов по протоколу FTP: в самом начале сервер посылает клиенту баннер приветствия (в данном случае это 220-Welcome to Cerberus FTP Server), пользователь проходит аутентификацию на сервере с помощью команд USER и PASS, получает список директорий с помощью команды LIST и запрашивает нужный файл с помощью команды RETR. Команду RETR мы и будем искать в списке пакетов. Для этого нужно нажать Ctrl+F, выбрать в опциях поиска Find by String и Search in Packet Bytes, в строке поиска ввести RETR и нажать Enter. Будет найден пакет, в котором клиент посылает эту команду серверу, если файл существует, то сервер пришлет ответ 150 Opening data connection, а в следующем пакете и будет содержимое документа (рисунок 9).

Рисунок 9 – Содержимое переданного документа

Теперь включим на сервере безопасную передачу данных на основе протокола TLS
и повторим процедуру. Для установки безопасного соединения клиент использует команду AUTH TLS. При просмотре списка перехваченных пакетов (рисунок 10) становится ясно, что ничего полезного из них получить не получится.

Рисунок 10 – Список перехваченных зашифрованных пакетов

3.3 Перехват документа, переданного по протоколу SMB

SMB (Server Message Block) – формат сообщений на основе протокола совместного использования файлов Microsoft/3Com, используемый для передачи файловых запросов (open – открыть, close – закрыть, read – прочитать, write – записать и т. п.) между клиентами и серверами. Откроем Wireshark, запустим перехват пакетов и фильтр по протоколу SMB. Затем зайдем на удаленный расшаренный ресурс и скачаем файл test.txt. Остановим перехват пакетов, нажав на кнопочку «Stop the running live capture». Теперь посмотрим на то, что мы получили. В списке пакетов найдем запрос на передачу файла test.txt:

Единственным решением, препятствующим снифингу, является шифрование. Нельзя допускать использования фирменных небезопасных прикладных протоколов или унаследованных протоколов, передающих данные явным образом. Замена небезопасных протоколов (таких как telnet) на их надежные шифрованные аналоги (такие как SSH) представляется серьезным барьером от перехвата. Замена всех небезопасных протоколов в большинстве случаев маловероятна.

Вместо прекращения использования протоколов, передающих данные явным образом, остается только одна возможность — шифрование всего сетевого трафика на 3 уровне, используя IPSec. Осуществляя шифрование на 3 уровне, возможно продолжать использовать небезопасные протоколы, поскольку все данные будут инкапсулированы IPSec и зашифрованы при передаче по сети. Таким образом, унаследованные приложения, которые используют старые протоколы, не пострадают. IPSec полностью прозрачен для приложений и пользователей. Это открытый стандарт, поддерживаемый многими вендорами, включая Microsoft и Cisco. Кроме того, многие реализации Unix поддерживают IPSec. Легкая настройка IPSec в Win2k/XP дополнительно увеличивает его доступность.

Осуществление технологии шифрования на 3 уровне, таких как IPSec решает проблему снифинга полностью. Масштабируемость, распространенность, доступность IPSec выделяет его как прагматическое решение проблемы перехвата сетевого трафика.

Wireshark — это достаточно известный инструмент для захвата и , фактически стандарт как для образования, так и для траблшутинга.Wireshark работает с подавляющим большинством известных протоколов, имеет понятный и логичный графический интерфейс на основе GTK+
и мощнейшую систему фильтров. Кроссплатформенный, работает в таких ОС как Linux, Solaris, FreeBSD, NetBSD, OpenBSD, Mac OS X,
и, естественно, Windows. Распространяется под лицензией GNU GPL v2.
Доступен бесплатно на сайтеwireshark.org .

Установка в системе Windows тривиальна — next, next, next. Самая свежая на момент написания статьи версия – 1.10.3, она и будет участвовать в обзоре.

Зачем вообще нужны анализаторы пакетов?

Для того чтобы проводить исследования сетевых приложений и протоколов, а также, чтобы находить проблемы в работе сети, и, что важно, выяснять причины этих проблем.

Вполне очевидно, что для того чтобы максимально эффективно использовать снифферы или анализаторы трафика, необходимы хотя бы общие знания и понимания работы сетей и сетевых протоколов. Так же напомню, что во многих странах использование сниффера без явного на то разрешения приравнивается к преступлению.

Начинаем плаванье

Для начала захвата достаточно выбрать свой сетевой интерфейс и нажать Start.

После чего и начнется процесс захвата, причем прилетевшие пакеты будут появляться в реальном времени. В процессе рассмотрения и изучения пакетов бывают ситуации, когда нужно вернуться предыдущему пакету. Для этого есть две кнопки (см скриншот).

А следующая за ними кнопка позволяет сделать быстрый переход к пакету, указав его номер.

В случае если колонки перекрываются и наползают друг на друга, можно кликнуть по такой колонке правой кнопкой мыши и выбрать“Resize Column”
.
Произойдет автоматическая подгонка размеров под текущую ситуацию. И кроме того, есть кнопка“Resize all Columns”
,
которая приведет в порядок все колонки.

Используя менюView – Time Display Format
,
можно, например, настроить, чтобы отсчет времени шел не с начала захвата, а с момента получения предыдущего пакета (Since Previous Captured Packet

). Самое важное в каждой программе (Help – About Wireshark

) покажет не только версию и список авторов, но и содержит закладкуFolders

, которая покажет пути размещения каталогов с конфигурациями.

Изучая интерфейс, можно выбрать, например, пакет http
, и увидеть, что HTTP
инкапсулируется в TCP (транспортный уровень)
, TCP инкапсулируется в IP (сетевой уровень)
, а IP в свою очередь инкапсулируется в Ethernet (перед этим даже мелькает 802.1Q).

И на самом верху идет нечто вроде небольшого обзора собранной информации о кадре.

Про фильтры мы поговорим дальше, а на данном этапе, если нужно быстро отфильтровать лишние пакеты, достаточно сделать правый клик на пакете, выбрать менюApply as Filter – Not selected

и изменения сразу же вступят в силу. Если нужно еще что-то убрать, то в следующий раз выбирать“and not Selected”

, и новое правило просто добавится к фильтру.

Убираем заусенцы

Довольно часто при работе с Wireshark возникает ошибкаIP checksum offload
– ошибка контрольной суммы заголовка IP пакета.

Современные сетевые карты насколько умные, что сами считают контрольную сумму, зачем это делать на уровне стека TCP/IP программно, если можно делать хардварно. А Wireshark натурально перехватывает пакеты, до того как они попадают в сеть. И до того как эта сумма была просчитана и была добавлена в заголовок пакета. Соответственно есть два пути решения этой проблемы — выключать функцию offload в настройках сетевой карты или в настройках сниффера
указать, чтобы он не обращал внимание на это значение.

Хардваные функции зачастую лучше софтварных, в основном из-за скорости обработки (в железе обычно выше) поэтому лучше изменить настройки самого сниффера. Для этого нужно зайти в настройки (Edit — Preferences

), затем Protocols – IPv4
– и снять флаг с“Validate IPv4 checksum if possible”
.

Перед тем как захватывать трафик нужно определиться с тем, что, собственно, нужно захватывать. Разместить анализатор трафика можно в нескольких местах:

  • Локально на своем хосте;
  • Организовать зеркалирование трафика на коммутаторе;
  • Подключаться непосредственно в интересующие места;
  • или же отравление протокола ARP (еще более незаконно, чем пассивное прослушивание трафика)

Фильтруем поток

Wireshark содержит два вида фильтров – захвата (Capture Filters
)
и отображения (Display Filters
).

Вначале рассмотримCapture Filters
.
Как можно догадаться по названию, они служат для фильтрации еще на этапе захвата трафика. Но в таком случае, безусловно, можно безвозвратно потерять часть нужного трафика.

Фильтр представляет собой выражение, состоящее из встроенных значений, которые при необходимости могут объединяться логическими функциями (and, or, not). Для того, чтобы его задействовать, нужно зайти в менюСapture
,
затемOptions

, и в полеCapture Filter

набрать, например,host 8.8.8.8

(или, например,net 192.168.0.0./24

)

Так же, конечно, можно выбрать и заранее созданный фильтр (за это отвечает кнопка Capture Filter
). В любом из вариантов фильтр появится возле интерфейса, можно жать Start. Теперь перейдем кDisplay Filters
. Они фильтруют исключительно уже захваченный трафик.

Что можно фильтровать?

Практически все — протоколы, адреса, специфические поля в протоколах.
Операции, которые можно использовать при построении фильтров:

Как вы, наверное, заметили, в таблице в качестве примеров были разнообразные выражения, достаточно понятные и зачастую говорящие сами за себя. Например, ip.dst
– это поле протокола IP.

Чтобы увидеть это поле, можно просто посмотреть на пакет, и в нижней части окна можно увидеть его значение, которое потом можно применять в любом фильтре. Например, нас интересует, как создать фильтр, где будет проверяться значение TTL.

Для этого раскрываем L3
часть и становимся на соответствующее поле:

И видим, что для построения фильтра, нужно использовать выражение ip.ttl.
Если начать набирать фильтр, то после точки автоматически появится список возможных значений:

Чтобы применить фильтр, достаточно нажать enter или кнопку Apply. Само поле для ввода фильтра может менять цвет в зависимости от того, что было набрано.

Зеленый цвет означает, что все в порядке. Красный — допущена ошибка, желтый — получен неожиданный результат, потому что существуют другие варианты написания фильтра (например можно написатьip.dst != 8.8.8.8

или же!ip.dst == 8.8.8.8

, именно второй вариант более предпочтительный). Фильтры можно сохранять для дальнейшего использования, нажав кнопку Save,
затем ввести произвольное название

и после нажатия на кнопку ОК фильтр появится как кнопка на панели.

А если кликнуть на расположенную неподалеку кнопку «Expression…», то откроется достаточно мощный конструктор выражений, по которому можно чуть ли не изучать сетевые протоколы. Количество поддерживаемых протоколов постоянно увеличивается.

Как уже упоминалось ранее, можно выделить любой пакет и в контекстном меню выбратьApply as Filter

и в подменю выбрать режим —selected

илиnot selected

и соответственно сразу же появится фильтр, который будет показывать только выбранное или наоборот уберет выбранное с экрана. Таким образом можно гибко выбирать, что видеть на экране, а что — нет. Это может быть определенный ip-адрес, ttl,
порт, dns
ответ и многое другое. Кроме того, есть два варианта для таких быстрых фильтров — Prepare as Filter
и Apply as Filter.

Как можно догадаться по названию — разница заключается в том, что в первом случае только появится в поле для ввода Display Filter,
но не применится (удобно, если например, добавлять таким способом несколько фильтров, а затем сразу применить готовый результат), а во втором — сразу же и применится.

Фильтры можно объединять, используя знакомые по булевой алгебре логические операции: (dns) && (http)
логическое и (dns) || (http)
это логическое или.

Таким образом можно строить большие и сложные фильтры вроде: (tcp.flags.syn==1) && (ip.src == 172.16.10.2) && (ip.dst == 172.16.10.1)
Здесь видим, что выбираются только TCP SYN
сегменты, только с определенным адресом отправителя и получателя. При составлении больших фильтров нужно помнить, что фильтр по сути — логическое выражение, и если оно истинно, то пакет отобразится на экране, если ложно — нет.

Ныряем глубже

Достаточно частая ситуация, когда возникают жалобы на медленную работу сети, причин этого может быть множество. Попробуем разобраться, в чем может быть причина, и рассмотрим два способа. Первый состоит в добавлении колонкиTCP delta
.

Открываем пакет, находим полеTime since previous frame in this TCP frame
,
правый клик и выбираемApply as Column
.
Появится новая колонка. На ней можно кликнуть правой кнопкой мыши и выбрать режим сортировки, например,Sort Descending
.

И сразу же рассмотрим второй способ.

Относительно недавно (в версии 1.10.0) появился фильтр tcp.time_delta,
который, собственно, учитывает время с момента последнего запроса.

Если клиент делает запрос и получает ответ через 10 миллисекунд, и клиент говорит, что у него все медленно работает, то, возможно, проблема у самого клиента.
Если же клиент делает запрос и получает ответ через 2-3 секунды, тут уже, возможно, проблема кроется в сети.

Еще глубже

Если посмотреть в TCP пакет (или сегмент если быть точным), то можно увидеть тамStream index

, который начинается обычно с нуля. Само поле будет называться tcp.stream.

По нему можно сделать правый клик и создать фильтр.

Таким образом можно фильтровать нужные соединения.

Еще один способ – сделать правый клик на самом пакете, выбратьConversation Filter
и создать фильтр для l2 l3 l4 уровня соответственно.

В итоге мы опять увидим взаимодействие двух хостов.

И третий вариант — это одна из самых интересных фич —Follow TCP Stream
. Для того чтобы его задействовать, нужно опять таки кликнуть правой кнопкой мыши на пакете и выбрать“Follow TCP Stream”
.
Появится окно, где будет наглядно продемонстрирован весь обмен между двумя узлами.

Если же зайти в менюStatistics – Conversations
, то, выбирая закладки, можно увидеть статистику по таким “разговорам” и различные сессии, при этом можно отсортировать их по различным колонкам, например, по количеству переданных данных.

И прямо в этом окне можно правой кнопкой взывать контекстное меню и опять же применить как фильтр.

Со временем приходит опыт

После некоторого времени, проведенного за захватом разнообразного трафика, можно заметить какую-то шарообразную кнопку в нижнем левом углу, которая еще иногда меняет цвет.

Нажатие на эту кнопку приведет к открытию окнаExpert Infos

. Того же результата можно добиться, пройдя в менюAnalyze – Expert Info

.

В этом окне будет содержаться информация по найденным пакетам, разбитая на группы Errors, Warnings, Notes и Chats. Цветовая раскраска для этих групп выглядит следующим образом:
Ошибки

— красный цвет
Предупреждения

— желтый
Примечания

— сине-зелёный (cyan)
Чат

— серый

Wireshark содержит в себе мощный анализатор и умеет автоматически обнаруживать большое количество проблем, возникающих в сети. Как вы уже могли заметить, буквально везде можно использовать фильтры и Expert Info
не является исключением. Для того чтобы создать такой фильтр, нужно использовать конструкциюexpert.severity
.
Например,expert.severity==error
.

Грабим трафик!

Можно ли с помощью Wireshark узнать, что
было скачано?

Да, можно. И сейчас это увидим. Вначале возьмем HTTP трафик. Сделаем правый клик по HTTP пакету —Protocol Preferences
– и видим тут массу опций, которые непосредственно влияют на извлечение файлов из веб трафика. Для того чтобы увидеть, что можно извлечь из текущего дампа нужно перейти в менюFile – Export Objects – HTTP
.

Появится окно, которое покажет все захваченные http объекты — текстовые файлы, картинки и т.д. Для того чтобы вытащить любой файл из этого списка, достаточно просто выделить его и нажать Save As.

Как можно заметить, рисунок был извлечен без каких-либо проблем.

Таким же способом, можно извлекать и потоковое видео/аудио.

Но на этом возможности Wireshark не заканчиваются!

Он умеет вытаскивать файлы и с протокола FTP. Для этого можно использовать знакомый уже Follow TCP Stream. В итоге отобразится только обмен по протоколу FTP, в котором нужно будет найти строку RETR, что собственно и будет означать передачу файла.

VoIP

Wireshark имеет несколько встроенных функций для работы с этой технологией. Он поддерживает массу голосовых протоколов — SIP, SDP, RTSP, H.323, RTCP, SRTP и другие. И, конечно же, умеет перехватывать и сохранять голосовой трафик для дальнейшего прослушивания.

Этот функционал как нельзя лучше подойдет для траблшутинга в сетях Voice over IP. МенюStatistics — Flow Graph

покажет наглядную картину, как происходил весь обмен пакетами.

А вообще целое менюTelephony
отведено для работы с голосовым трафиком. Например,Telephony – RTP – Show All Streams

покажет подробно, что происходило с RTP, в частности jitter (параметр, который, вероятно, самый важный в голосе), что иногда сразу скажет о наличии проблем.

Нажав на кнопку “Analyze”
, можно открыть окноRTP stream Analysis

– и, выбрав там поток, можно его даже проиграть, используя кнопку player. Сначала отроется окно проигрывателя, в котором вначале нужно установить подходящее значение jitter и использовать кнопку decode.

Появится нечто похожее на анализатор спектра, в котором можно отметить требуемый разговор, и после этого кнопка Play станет активной.

Так же существует еще один способ прослушивания голосовых звонков — можно зайти в менюTelephony – VoIP Calls
.

Откроется окно со списком совершенных звонков, где опять же можно нажать кнопку player, отменить нужные разговоры флажками и нажать play. Для того чтобы добиться приемлемого качества звучания, потребуется проиграться со значением поля jitter buffer, меняя его значение.

Небольшое отступление

Некоторое время назад появился сайтCloudShark.org .

Это тот самый сниффер Wireshark, но реализованный в виде онлайн-сервиса. Очевидно, что с его помощью не удастся захватывать сетевой трафик, но выполнять анализ дампа трафика – вполне. Загрузив туда через форму PCAP-файл на анализ, можно будет получить четкую последовательность пакетов, в которой всё данные будут разбиты на понятные поля в зависимости от протокола. В общем, тот же Wireshark, но немного облегченный и доступный из любого браузера.

Финальная битва

Напоследок рассмотрим как выглядит сканирование портов. Смотрим на дамп и видим, что вначале происходит ARP запрос и затем непосредственно начинается сканирование. Адрес нашего маршрутизатора 192.168.10.11, сканирование идет с адреса 192.168.10.101

Это, так называемое, SYN сканирование, когда идут SYN-пакеты на указанный диапазон портов. Так как большинство портов закрыто, маршрутизатор отвечает пакетами RST, ACK. Пролистав чуть ниже видим, что открыт telnet (tcp 23).

На это указывает то, что маршрутизатор ответил пакетом SYN, ACK. К слову, для фильтрации портов в сниффере можно использовать конструкции вида: tcp.srcport, tcp.dstport и tcp.port. Для протокола UDP всё аналогично — udp.srcport, udp.dstport, udp.port.

Итоги

Мы пробежались по самым основным частям функционала лучшего анализатора пакетов. Получилось несколько сумбурно, вероятно, потому что хотелось затронуть как можно больше его возможностей и не упустить ничего важного. Оказалось, что анализатор пакетов, как отладчик и дизассемблер, демонстрирует мельчайшие подробности работы сети и сетевых протоколов.
Используя Wireshark и обладая необходимыми знаниями можно достаточно эффективно находить и диагностировать разнообразные проблемы, возникающие в сети.

В процессе написания использовались материалы сайтаwiki.wireshark.org/ Дампы с трафиком брались из разных источников, больше всего с сайта

  • Ftp сервер portable для windows
  • Ftdiun2k ini скачать для windows 10
  • Fs 1130mfp драйвер сканера windows 10
  • Ftp на windows 10 не пускает
  • Ftdibus comport vid 0403 pid 6001 windows 10 драйвер