Лабораторная работа №4

1. Лабораторная работа № 4 Изучение работы программ снифферов на примере программного продукта Wireshark.

Время: 2 лабораторных занятия (4 часа)
В ходе лабораторной работы необходимо изучить принцип работы программснифферов, освоить интерфейс программного продукта, произвести захват трафика
и его анализ.
Ссылка на страницу лабораторной:
https://edu.vsu.ru/mod/assign/view.php?id=659387
Варианты протоколов для анализа приведены в методическом материале и
выбираются согласно списку группы.

2. Принцип работы программ для перехвата трафика

Сниффер – это программа или устройство предназначенная для перехвата и анализа трафика.
Они помогают решать следующие задачи:
Обнаружение ненормального трафика. Он может быть паразитным, вирусным или просто
закольцованным. Все это вредит обычному прохождению информации через канал. Самое
меньшее, что могут сделать такие явления, так это загрузить и, соответственно, замедлить
трафик, что уже не очень хорошо.
Выявление несанкционированного программного обеспечения, в том числе и вирусного.
Выявления и избавления от троянов, фледуров, других сканеров и тому подобных вещей.
Локализация и выявление мест неисправности и ошибок конфигурации и настройки сети.
Сам принцип работы обычного сниффера основывается на том, что в рамках
одного сегмента Ethernet пакеты рассылаются всем подключенным машинам.
Использование сниффера в сетях, работающих по протоколу TCP/IP
подразумевает захват, декодирование, исследование и интерпретацию
данных, передающихся в пакетах по сети.

3. Работа сниффера на разных уровнях модели OSI

Снифферы могут работать на всех уровнях модели OSI. И прежде чем
рассматривать какие данные они могут получить из сети, вкратце
разберемся, что представляет собой модель OSI.
Сетевая модель OSI (The Open Systems Interconnection model) — сетевая
модель стека сетевых протоколов OSI/ISO. Посредством данной модели
различные сетевые устройства могут взаимодействовать друг с другом.
Модель определяет различные уровни взаимодействия систем. Каждый
уровень выполняет определённые функции при таком взаимодействии.
Модель OSI была разработана в конце 1970-х годов для поддержания
разнообразных методов компьютерных сетей, которые в это время
конкурировали за применение в крупных национальных сетевых
взаимодействиях во Франции, Великобритании и США. В 1980-х годах она
стала рабочим продуктом группы взаимодействия открытых систем
Международной организации по стандартизации (ISO).
Для понимания того, для чего используют снифферы, нам следует знать о
том, какие данные они могут получить из сети. Таблица, приведенная на
слайде, иллюстрирует уровни OSI и ту информацию, которую можно
получить на каждом уровне, успешно использовав сниффер.
Уровень
Действие
Прикладной
Захват имен
пользователей и
паролей
Представительский
Захват трафика
сессий SSL/TLS
Сеансовый
Захват трафика
Telnet/FTP
Транспортный
Захват TCP-сессий и
UDP-трафика
Сетевой
Захват IP-адресов и
номеров портов
Канальный
Захват MAC-адресов
и ARP-запросов
Физический
Получение сведений
о сети

4. Работа с программой Wireshark

В отношении технической стороны захвата пакетов следует помнить о том, что программы,
осуществляющие захват пакетов, всегда работают в promiscous-режиме, что делает возможным
захват и сохранение с их помощью, всех данных, передающихся по сети. Это также означает то,
что даже если пакет не предназначается для сетевого интерфейса, на котором работает
сниффер, он все равно будет захвачен, сохранен и проанализирован.
Утилита Wireshark является широко известным инструментом перехвата и интерактивного
анализа сетевого трафика, фактически, стандартом в промышленности и образовании. К
ключевым особенностям Wireshark можно отнести: многоплатформенность (Windows, Linux, Mac
OS, FreeBSD, Solaris и др.); возможности анализа сотен различных протоколов; поддержку как
графического режима работы, так и интерфейса командной строки (утилита tshark); мощную
систему фильтров трафика; экспорт результатов работы в форматы XML, PostScript, CSV и т. д.
Немаловажным фактом является также то, что Wireshark — это программное обеспечение с
открытым исходным кодом.
Работа Wireshark базируется на библиотеке Pcap (Packet Capture), предоставляющей собой
прикладной интерфейс программирования для реализации низкоуровневых функций
взаимодействия с сетевыми интерфейсами. Библиотека Pcap является также основой таких
известных сетевых средств, как tcpdump, snort, nmap, kismet и т. д. Для Unix-подобных систем
Pcap обычно присутствует в стандартных репозиториях программного обеспечения. Для
семейства операционных систем Windows существует версия Pcap, которая называется Winpcap,
которая обычно включена в пакет установки Wireshark для Windows.

5. Полезные ссылки:

Wireshark — приручение акулы https://habr.com/ru/articles/204274/
Руководство и шпаргалка по работе в Wireshark - https://habr.com/ru/articles/436226/
Значение цветов в Wireshark –
https://nfs-xgame.ru/faq/znacenie-cvetov-v-wireshark-razbiraemsya?ysclid=lo5v3m8qe1785578503
Перехват защищённых данных с помощью Wireshark - https://habr.com/ru/articles/735866/
Узнаем пароли при помощи Wireshark - https://habr.com/ru/companies/billing/articles/261301/
Модель OSI - http://www.4stud.info/networking/lecture2.html
Структура протокола HTTP - http://www.4stud.info/web-programming/protocol-http.html