Сетевой анализатор

Нижегородский государственный университет им. Н. И. Лобачевского

Радиофизический факультет

Отчет по лабораторной работе:

Сетевой анализатор

Выполнили: студенты 439 группы

                                                                        Смирнов А.А.

                                                                            Каланцов А.А.

                                                                              Вахромеев В.О.

                                                                                    Хрущалёв А.О.

Нижний Новгород

2023 год

Выполнение лабораторной работы

Цель работы: Изучение структуры сетевых пакетов, форматов пакетов для разных протоколов с использованием сетевого анализатора Wireshark. Ознакомление с методами мониторинга сети.

Требования к выполнению и оформлению работы:

Последовательность выполнения работы следующая. - ознакомиться с материалами к работе – краткому описанию программы Wireshark;

Запустив запись пакетов (по умолчанию программа настроена на запись всех пакетов, проходящих по сегменту сети): - открыть произвольную web – страничку; - написать в Outlook письмо соседу и отправить его (параметры почтового ящика сообщаются преподавателем); - получить письмо от соседа;

Остановить запись, найти соответствующие пакеты и разобраться в структуре данных для протоколов: - ARP; - ICMP; - SMTP; - POP3; - TCP; - HTTP;

Привести описание пакетов для перечисленных протоколов в “оригинальном” и декодированном виде.

Методические указания

Как известно, для выполнения определенного действия требуется свой инструмент Wireshark -инструмент управления сетью, разработанный, чтобы помочь персоналу контролировать сеть. Кроме контроля сети, такой инструмент иногда просто незаменим при отладке сетевых приложений. Wireshark проста в изучении. Сетевой анализатор протокола, Wireshark позволяет сетевому администратору фиксировать и восстанавливать все действия любого сетевого пользователя. Контролируя исходящий и входящий сетевой трафик, Wireshark функционирует как полноценный сетевой анализатор и монитор. Если происходит вторжение в сеть организации, в большинстве случаев межсетевая защита сообщает сетевому администратору о таких фактах. Однако доказательства такого нападения неполны и трудно декодируются. Wireshark может фиксировать процесс сетевых вторжений, буквально восстанавливая каждое нажатие клавиши со стороны нарушителя – при условии достаточной квалификации администратора. Основные особенности Wireshark: - может фиксировать все пакеты в сетевом сегменте; - способен декодировать пакеты; - возможность перехвата трафика в режиме реального времени. - большое количество протокольных декодировщиков (TELNET, FTP, POP, RLOGIN, ICQ, SMB, MySQL, HTTP, NNTP, X11, NAPSTER, IRC, RIP, BGP, SOCKS 5, IMAP 4, VNC, LDAP, NFS, SNMP, MSN, YMSG...). - возможность сохранение и просмотра ранее сохраненного сетевого трафика. - импорт и экспорт данных из других пакетных анализаторов. Wireshark умеет сохранять перехваченные пакеты в форматы других програм (libpcap, tcpdump, Sun snoop, atmsnoop, Shomiti/Finisar Surveyor, Novell LANalyzer, Microsoft Network Monitor). - возможность фильтрации пакетов по множеству критериев. - поиск пакетов по множеству критериев. - подсветка захваченных пакетов разных протоколов. - большие возможности по созданию разнообразной статистики. - может быть оставлен в работающем состоянии в течение нескольких дней для наблюдения за интересующими компьютерами. Все зафиксированные данные могут быть сохранены в журналах. - способен извлекать изображения из перехваченных страниц сети; - может генерировать подробный отчет о трафике.

1. В ходе лабораторной работы было снят dump-файла 1.pcapng
2. Анализ файла 1.pcapng

1) Протокол NTP(Network Time Protocol)

Предназначен для синхронизации внутренних часов компьютера с использованием сетей с переменной латентностью.

[pic 1] [pic 2]

[pic 3]

2)LOOP протокол

Протокол проверки конфигурации

[pic 4]

[pic 5]

3)STP протокол

Spanning Tree Protocol (STP, протокол остовного дерева) — канальный протокол. Основной задачей STP является устранение петель в топологии произвольной сети Ethernet, в которой есть один или более сетевых мостов, связанных избыточными соединениями. STP решает эту задачу, автоматически блокируя соединения, которые в данный момент для полной связности коммутаторов являются избыточными.