Ім'я файлу: Laba3.uk.pdf
Розширення: pdf
Розмір: 524кб.
Дата: 24.05.2022
скачати
Пов'язані файли:
Дистанційна освіта_лекція.pptx
Розширення: pdf
Розмір: 524кб.
Дата: 24.05.2022
скачати
Пов'язані файли:
Дистанційна освіта_лекція.pptx
Лабораторна робота 3. Збір та аналіз цифрової
кріміналістічної інформаці в ОС Linux
Сніффінг - підслуховування (sniffing) - нюхати. Здебільшого
інформація в комп'ютерних мережах передається у відкритому незахищеному форматі (відкритим текстом), що дає можливість зловмиснику, який отримав доступ до ліній передачі інформації у вашій мережі, підслуховувати або зчитувати трафік. Для підслуховування в комп'ютерних мережах використовують програми сниффер.
Мережевий сниффер пакетів являє собою прикладну програму, яка перехоплює всі пакети проходять по мережі і передаються через певний, заданий домен.
На сьогоднішній день аналізатори трафіку
, Сніфери працюють в мережах на цілком законній підставі і використання даних програм не є злочином.
Сніффери застосовуються для аналізу трафіку і діагностики несправностей. Але, оскільки деякі мережеві додатки передають дані в текстовому форматі (POP3, SMTP, FTP, Telnet і т.д.), за допомогою програми сніффер можна перехопити і корисну, а часом і секретну
інформацію (наприклад, паролі і логіни).
Існує 2 види сніфферов
локальний сниффер
он-лайн php сниффер
Перехоплення пароля (password sniffing), переданого по мережі в незашифрованому вигляді, шляхом «прослуховування» каналу вважається різновидом комп'ютерної атаки. Перехоплення логінів і паролів створює величезну загрозу, так як користувачі нерідко використовують один і той же пароль і логін для великої кількості програм і систем. Багато користувачів персонального комп'ютера взагалі використовують 1 пароль для доступу до всіх програм і ресурсів.
Якщо додаток працює в режимі клієнт / сервер, а аутентифікаційні дані
передаються по мережі у відкритому читається текстовому форматі, цю
інформацію з великий ймовірністю можна використовувати для доступу до інших зовнішніх або корпоративних ресурсів.
Кращий сниффер Wireshark
У найгіршому для користувача разі зловмисник отримує доступ до призначеного для користувача ресурсу на рівні системи і з його допомогою створює атрибути нового користувача, які можна в будь-який момент застосовувати для доступу в мережу і до її ресурсів.
Сніффери застосовуються і для перехоплення трафіку і аналізу шкідливих програм. Найпопулярніший сниффер на сьогоднішній день -
Wireshark
Як запобігти загрозі перехоплення пакетів?
Насправді захиститься від сніффер дуже важко, але є деякі засоби які допоможуть зменшити ризик перехоплення ваших конфіденційних даних.
інформацію з великий ймовірністю можна використовувати для доступу до інших зовнішніх або корпоративних ресурсів.
Кращий сниффер Wireshark
У найгіршому для користувача разі зловмисник отримує доступ до призначеного для користувача ресурсу на рівні системи і з його допомогою створює атрибути нового користувача, які можна в будь-який момент застосовувати для доступу в мережу і до її ресурсів.
Сніффери застосовуються і для перехоплення трафіку і аналізу шкідливих програм. Найпопулярніший сниффер на сьогоднішній день -
Wireshark
Як запобігти загрозі перехоплення пакетів?
Насправді захиститься від сніффер дуже важко, але є деякі засоби які допоможуть зменшити ризик перехоплення ваших конфіденційних даних.
використання різних складних паролів для аутентифікації
встановлення та налаштування програмних або апаратних засобів, які розпізнають сніфери
використання крипто-шифрування каналів зв'язку
використання програм для захисту бездротових мереж
Wireshark
- дуже популярний і надзвичайно вмілий аналізатор мережевого протоколу, який розробив Джеральд Комбс [Gerald Combs],
Wireshark з'явився в червні 2006 року, коли Комбс перейменував мережевий інструмент Ethereal, також створений ним, оскільки змінив роботу і не міг більше використовувати стару назву. Сьогодні більшість використовують Wireshark, a Ethereal став історією.
Основна перевага Wireshark в тому, що це графічне додаток. Збір даних і перевірка мережевого трафіку в інтерфейсі - дуже зручна штука, так як дозволяє розібратися зі складними мережевими даними.
Щоб новачок зміг розібратися з Wireshark, йому потрібно зрозуміти мережевий трафік. У такому випадку мета цієї лабоаторной роботи полягає в роз'ясненні вам основ TCP / IP, щоб ви змогли зробити потрібні висновки з мережевого трафіку, який аналізуєте.
Формат пакета TCP і пакета IP.
Якщо ви запускаєте Wireshark від імені звичайного користувача, ви не зможете використовувати мережеві інтерфейси для збору даних через наявні в мережеві інтерфейси дозволів файлу Unix за замовчуванням. Зручніше запускати Wireshark від імені root (sudo wireshark) при зборі даних і від імені звичайного користувача-для аналізу даних.
В якості альтернативи можете зібрати мережеві дані за допомогою утиліти командного рядка tcpdump від імені root і потім проаналізувати
їх за допомогою Wireshark. Будь ласка, не забувайте, що збір даних за допомогою Wireshark в сильно завантаженої мережі може уповільнити роботу комп'ютера, або, що ще гірше, не дозволити зібрати потрібні дані, тому що Wireshark вимагає більше системних ресурсів, ніж програма командного рядка. У подібних випадках самим розумним рішенням для збору даних з мережевого трафіку буде використання tcpdump.
Захоплення мережевих даних за допомогою Wireshark
Найпростіший спосіб приступити до захоплення даних мережевих пакетів - вибрати після запуску Wireshark потрібний вам інтерфейс і натиснути на
Start
. Wireshark покаже дані про мережі на вашому екрані в залежності від трафіку вашої мережі. Зверніть увагу: можна вибрати більше одного інтерфейсу. Якщо ви нічого не знаєте про TCP, IP або
інших протоколах, результат може здатися вам складним для читання і розуміння.
Щоб припинити процес захоплення даних, виберіть у меню
Capture
>
Stop
. В якості альтернативи, можете натиснути на четвертий значок зліва, з червоним квадратиком (це скорочення від
«Припинити захоплення даних live») в панелі інструментів Main
(врахуйте, його точне розташування залежить від наявної у вас версії
Wireshark). На цю кнопку можна натискати тільки в процесі збору мережевих даних.
При використанні описаного методу захоплення даних ви не можете змінити налаштовані в Wireshark за замовчуванням Capture
Options [Опції захоплення]. Ви можете побачити і змінити Capture
Options, вибравши в меню
Capture
>
Options
. Тут можна вибрати
інтерфейс (и) мережі, подивитися свій IP-адресу, застосувати фільтри збору даних, перевести свою мережеву карту в режим прийому всіх мережевих пакетів і зберегти зібрані дані в один або кілька файлів. Ви навіть можете веліти припиняти захоплення пакетів після досягнення певного числа мережевих пакетів, або певного часу, або певного обсягу даних (в байтах).
За замовчуванням Wireshark не зберігаються зібрані дані, але ви завжди можете зберегти їх пізніше. Вважається, що найкраще спочатку зберегти, а потім вивчати мережеві пакети, якщо тільки у вас немає якихось особливих причин зробити інакше.
Wireshark дозволяє читати і аналізувати вже зібрані мережеві дані з великого числа файлових форматів, в тому числі tcpdump, libpcap, snoop від Sun, nettl від HP, текстових файлів К12, і т.д. Коротше, за допомогою Wireshark можна читати практично будь-який формат зібраних мережевих даних. Подібним же чином Wireshark дозволяє зберігати зібрані дані в різних форматах. Можна навіть використовувати
Wireshark для конверсії файлу з одного формату в інший.
Ви також можете експортувати існуючий файл у вигляді простого текстового файлу з меню File. Ця опція призначена в першу чергу для обробки мережевих даних вручну або їх введення в іншу програму.
Передбачена опція роздруківки ваших пакетів. В реальному житті я ніколи нею не користувався, проте в освітніх цілях буває дуже корисно роздрукувати пакети і їх повне вміст.
Фільтри відображення Wireshark
Якщо під час захоплення мережевих даних застосовуються фільтри захоплення, то Wireshark не враховує мережевий трафік, який не
відповідає фільтру; тоді як фільтри відображення застосовуються після захоплення даних і «ховають» мережевий трафік, не видаляючи його.
Ви завжди можете відключити Display filter і повернути свої приховані дані.
В принципі, фільтри відображення вважаються більш корисними і різнобічними, ніж фільтри збору даних, тому що ви навряд чи знаєте заздалегідь, яку інформацію ви зберете або вирішите вивчити. Однак використання фільтрів при захопленні даних економить ваш час і місце на диску, що і є головною причиною їх застосування.
Wireshark виділяє синтаксично правильний фільтр світло-зеленим фоном. Якщо синтаксис містить помилки, фон рожевіє.
Фільтри відображення підтримують оператори порівняння і логічні оператори. Фільтр відображення http.response.code
Три пакета (SYN, SYN + ACK і АСК) трехзтапной установки з'єднання
TCP
== 404 && ip.addr ==
192.168.1.1 показує трафік, який або йде з IP- адреси 192.168.1.1, або йде на IP-адресу 192.168.1.1, який також має в собі код відгуку 404 (Not Found) HTTP. Фільтр! Ьоо1р &&! Ip &&! Агр
Ви завжди можете відключити Display filter і повернути свої приховані дані.
В принципі, фільтри відображення вважаються більш корисними і різнобічними, ніж фільтри збору даних, тому що ви навряд чи знаєте заздалегідь, яку інформацію ви зберете або вирішите вивчити. Однак використання фільтрів при захопленні даних економить ваш час і місце на диску, що і є головною причиною їх застосування.
Wireshark виділяє синтаксично правильний фільтр світло-зеленим фоном. Якщо синтаксис містить помилки, фон рожевіє.
Фільтри відображення підтримують оператори порівняння і логічні оператори. Фільтр відображення http.response.code
Три пакета (SYN, SYN + ACK і АСК) трехзтапной установки з'єднання
TCP
== 404 && ip.addr ==
192.168.1.1 показує трафік, який або йде з IP- адреси 192.168.1.1, або йде на IP-адресу 192.168.1.1, який також має в собі код відгуку 404 (Not Found) HTTP. Фільтр! Ьоо1р &&! Ip &&! Агр
виключає з результату трафік BOOTP, IP і ARP. Фільтр eth.addr == 01:
23
: 45: 67: 89: ab && tcp.port == 25 відображає трафік йде від або до
інших мережних пристроїв з MAC-адресою 01: 23: 45: 67: 89: ав, яке використовує у вхідних і вихідних з'єднаннях порт TCP за номером 25.
Пам'ятайте, що фільтри відображення не вирішують проблеми чарівним чином. При правильному використанні це виключно корисні
інструменти, але вам все одно доведеться інтерпретувати результати, знаходити проблему і самому обмірковувати відповідне рішення.
Визначаючи правила, пам'ятайте, будь ласка, що вираз (ip. Addr! =
192.168.1.5) не означає, що жодне з полів ip.addr не може містити IP- адреси 192.168.1.5. Насправді воно означає, що одне з полів ip.addr не повинно містити IP-адреса 192.168.1.5. Тому значення іншого поля ip.addr може бути і рівним 192.168.1.5. Словесна формулювання така:
«існує одне поле ip.addr, нерівний 192.168.1.5» Правильно перше твердження виражається 4epe3! (Ip.addr == 192.168.1.5). Це часта помилка.
Пам'ятайте також, що МАС-адреси дійсно корисні, коли ви відстежуєте певну машину в своїй локальній мережі, тому що IP машини може змінюватися, якщо вона використовує DHCP, а ось
MAC- адресу змінити складніше.
Той факт, що протокол FTP зазвичай використовує порт номер 21, не означає, що йому не можна брати порт з іншим номером. Іншими словами, не варто сліпо покладатися на номер порту, приймаючи трафік за TCP / IP. радимо відвідати довідковий сайт фільтрів відображення по трафіку
TCP на.
Список наявних назв полів
, Що відносяться до трафіку UDP. протокол TCP
TCP означає Transmission Control Protocol - протокол управління передачею. Головне властивість TCP - його надійність і гарантія доставки пакета. Якщо доставка пакета не підтверджена, він відправляє
23
: 45: 67: 89: ab && tcp.port == 25 відображає трафік йде від або до
інших мережних пристроїв з MAC-адресою 01: 23: 45: 67: 89: ав, яке використовує у вхідних і вихідних з'єднаннях порт TCP за номером 25.
Пам'ятайте, що фільтри відображення не вирішують проблеми чарівним чином. При правильному використанні це виключно корисні
інструменти, але вам все одно доведеться інтерпретувати результати, знаходити проблему і самому обмірковувати відповідне рішення.
Визначаючи правила, пам'ятайте, будь ласка, що вираз (ip. Addr! =
192.168.1.5) не означає, що жодне з полів ip.addr не може містити IP- адреси 192.168.1.5. Насправді воно означає, що одне з полів ip.addr не повинно містити IP-адреса 192.168.1.5. Тому значення іншого поля ip.addr може бути і рівним 192.168.1.5. Словесна формулювання така:
«існує одне поле ip.addr, нерівний 192.168.1.5» Правильно перше твердження виражається 4epe3! (Ip.addr == 192.168.1.5). Це часта помилка.
Пам'ятайте також, що МАС-адреси дійсно корисні, коли ви відстежуєте певну машину в своїй локальній мережі, тому що IP машини може змінюватися, якщо вона використовує DHCP, а ось
MAC- адресу змінити складніше.
Той факт, що протокол FTP зазвичай використовує порт номер 21, не означає, що йому не можна брати порт з іншим номером. Іншими словами, не варто сліпо покладатися на номер порту, приймаючи трафік за TCP / IP. радимо відвідати довідковий сайт фільтрів відображення по трафіку
TCP на.
Список наявних назв полів
, Що відносяться до трафіку UDP. протокол TCP
TCP означає Transmission Control Protocol - протокол управління передачею. Головне властивість TCP - його надійність і гарантія доставки пакета. Якщо доставка пакета не підтверджена, він відправляє
пакет заново. Програма TCP передає дані між комп'ютерами, використовуючи сегменти (іменовані також пакетами TCP). TCP привласнює послідовний номер кожному переданому байту і чекає позитивного підтвердження (воно ж ACK) від сторони-одержувача TCP.
Якщо протягом встановленого часу ACK ніхто не почув, дані пересилаються заново, оскільки вихідний пакет вважається не доставленим. TCP-одержувач використовує номера послідовності для реорганізації сегментів, якщо вони надходять не по порядку, і для усунення однакових сегментів.
Тема TCP містить поля Source Port і Destination Port. Ці два поля, а також вихідний IP-адреса і IP-адреса призначення об'єднуються для унікального позначення кожного з'єднання TCP. Порти допомагають каналам TCP / IP в об'єднаних мережею пристроях (ПК, роутерах і т.д.) розподіляти трафік за різними програмами, виконуваним на одному пристрої.
Якщо сервіс хоче, щоб його вважали надійним, то зазвичай він грунтується на TCP, в іншому випадку він буде заснований на IP. Але, як легко собі уявити, за надійність треба платити, а це не завжди бажано.
Про TCP / IP, TCP і IP
TCP / IP - найбільш широко використовуваний протокол для з'єднання комп'ютерів між собою, і він настільки тісно пов'язаний з
Інтернетом, що вкрай складно обговорювати TCP / IP, не торкаючись
Інтернету, і навпаки. Кожен пристрій, яке його застосовує, має:
IP- адреса Ця електронна адреса має бути унікальним, принаймні, в своїй локальній мережі.
Мережева маска Використовується для поділу великих мереж IP на менші мережі, які стосуються поточної мережі.
Один або більше DNS-серверів Використовується для перекладу IP-адреси в запам'ятовується людиною формат і навпаки.
Якщо протягом встановленого часу ACK ніхто не почув, дані пересилаються заново, оскільки вихідний пакет вважається не доставленим. TCP-одержувач використовує номера послідовності для реорганізації сегментів, якщо вони надходять не по порядку, і для усунення однакових сегментів.
Тема TCP містить поля Source Port і Destination Port. Ці два поля, а також вихідний IP-адреса і IP-адреса призначення об'єднуються для унікального позначення кожного з'єднання TCP. Порти допомагають каналам TCP / IP в об'єднаних мережею пристроях (ПК, роутерах і т.д.) розподіляти трафік за різними програмами, виконуваним на одному пристрої.
Якщо сервіс хоче, щоб його вважали надійним, то зазвичай він грунтується на TCP, в іншому випадку він буде заснований на IP. Але, як легко собі уявити, за надійність треба платити, а це не завжди бажано.
Про TCP / IP, TCP і IP
TCP / IP - найбільш широко використовуваний протокол для з'єднання комп'ютерів між собою, і він настільки тісно пов'язаний з
Інтернетом, що вкрай складно обговорювати TCP / IP, не торкаючись
Інтернету, і навпаки. Кожен пристрій, яке його застосовує, має:
IP- адреса Ця електронна адреса має бути унікальним, принаймні, в своїй локальній мережі.
Мережева маска Використовується для поділу великих мереж IP на менші мережі, які стосуються поточної мережі.
Один або більше DNS-серверів Використовується для перекладу IP-адреси в запам'ятовується людиною формат і навпаки.
Шлюз за замовчуванням Це опціонально, якщо ви хочете спілкуватися з пристроями поза вашої локальної мережі. Шлюз за замовчуванням [Default Gateway] - це мережевий пристрій, якому TCP
/ IP відправляє пакет, коли він «не знає», куди ще його відправити.
Кожен сервіс TCP слухає порт, який є унікальним на кожному комп'ютері. Комп'ютер, який підтримує протокол HTTP, протокол, який обслуговує WWW, також іменується HTTP-сервером. Подібним же чином існують FTP-сервери, DNS-сервери, і т.д. Саме дві пари IP-адрес
і номерів портів на обох кінцях каналу взаємодії TCP / IP унікальним чином ідентифікують з'єднання між двома комп'ютерами, які використовують TCP / IP.
Пакет TCP можна використовувати, щоб встановити з'єднання; передати дані; переслати підтвердження, анонсувати буфер, що містить вхідні дані, іменований Window Size, і закрити з'єднання. Як видно, в кожному сегменті пакета є розділ заголовка і розділ даних.
З-етапний обмін даними TCP
TCP забезпечує орієнтований на з'єднання надійний сервіс по передачі байтів. Це повний дуплексний протокол, тобто кожне з'єднання
TCP підтримує пару потоків байтів; по одному в кожному напрямку.
«Орієнтований на з'єднання» означає, що два додатки, що використовують TCP, перш ніж почати обмін даними, повинні спочатку встановити між собою TCP-з'єднання.
Тема TCP включає поле 6-бітних прапорів, що використовується для передачі контрольної інформації між бенкетами TCP. Серед можливих прапорів - SYN, FIN, RESET, PUSH, URG і ACK. Прапори SYN
і ACK використовуються для трьохетапного обміну даними (квітірованія, handshake) TCP під час активного з'єднання, як ви незабаром побачите.
Прапор RESET означає, що одержувач хоче перервати з'єднання.
Квитування TCP відбувається так: клієнт відправляє пакет TCP SYN на сервер, і його заголовок TCP містить поле ідентифікаційного номера,
яке має умовне значення в пакеті SYN. Сервер відправляє назад пакет
TCP (SYN, ACK), який включає ідентифікаційний номер протилежного напрямку і підтвердження попереднього номера.
Перемикаючи свою мережеву карту в режим прийому всіх мережевих пакетів, ви дозволяєте мережних пристроїв вловлювати і читати всі мережеві пакети, що приходять на нього, навіть якщо одержувачем є інший пристрій в мережі. Мережеві пакети все одно прийдуть у свій пункт призначення.
І, нарешті, щоб дійсно встановити з'єднання TCP, клієнт відправляє пакет TCP АСК, підтверджуючи ідентифікаційний номер сервера. Після трьохетапного обміну даними TCP встановлюється з'єднання, готове відправляти і отримувати дані.
Трафік в даному випадку було отримано за допомогою
наступної команди:
$ Wget http://www.spy-soft.net/
Через необхідну кількість мережевого трафіку DNS, ARP і ICMP починається квитирование TCP (на малюнку вгорі стор. 85). IP-адреса клієнта 10.0.2.15, а IP-адреса призначення - 80.244.178.150. Досить простий фільтр відображення (tcp &&! Http) змусить Wireshark показати
63 з 85 пакетів. Три номери пакетів, які використовуються в обміні даними, є послідовними, тому що на момент збору даних хост не вів ніякої іншої мережевої активності, однак навряд чи це можна вважати загальним випадком. сканування пінгом
Ця частина буде вивчати мережевий трафік
Nmap при скануванні за допомогою пінгу.
TCP (SYN, ACK), який включає ідентифікаційний номер протилежного напрямку і підтвердження попереднього номера.
Перемикаючи свою мережеву карту в режим прийому всіх мережевих пакетів, ви дозволяєте мережних пристроїв вловлювати і читати всі мережеві пакети, що приходять на нього, навіть якщо одержувачем є інший пристрій в мережі. Мережеві пакети все одно прийдуть у свій пункт призначення.
І, нарешті, щоб дійсно встановити з'єднання TCP, клієнт відправляє пакет TCP АСК, підтверджуючи ідентифікаційний номер сервера. Після трьохетапного обміну даними TCP встановлюється з'єднання, готове відправляти і отримувати дані.
Трафік в даному випадку було отримано за допомогою
наступної команди:
$ Wget http://www.spy-soft.net/
Через необхідну кількість мережевого трафіку DNS, ARP і ICMP починається квитирование TCP (на малюнку вгорі стор. 85). IP-адреса клієнта 10.0.2.15, а IP-адреса призначення - 80.244.178.150. Досить простий фільтр відображення (tcp &&! Http) змусить Wireshark показати
63 з 85 пакетів. Три номери пакетів, які використовуються в обміні даними, є послідовними, тому що на момент збору даних хост не вів ніякої іншої мережевої активності, однак навряд чи це можна вважати загальним випадком. сканування пінгом
Ця частина буде вивчати мережевий трафік
Nmap при скануванні за допомогою пінгу.
Частина сканування пинга Nmap в LAN за даними Wireshark.
Цей вид сканування в локальній мережі виконується за допомогою протоколу ARP. Хости за її межами скануються за допомогою протоколу
ICMP, і в цьому випадку трафік буде відрізнятися від представленого. У наведеному нижче прикладі команда Nmap сканує 255 IP-адрес, від
10.67.93.1 до 10.67.93.255. Результати показують, що на момент виконання тільки 10 хостів були включені, або, якщо точніше, тільки 10 хостів відповіли на сканування Nmap:
$ Sudo nmap -sP 10.67.93.1-255Starting Nmap 6.47 (http://nmap.org) at 2014-09-05 11:51 EEST Nmap scan report forxxxxx.yyyyy.zzzzz.gr
(10.67.93.1) Host is up ( 0.0030s latency) .MAC Address: 64: 70: 02: AD:
E9: 44 (Tp-link Technologies CO.) Nmap scan report for srv-gym-ag- anarg.att.sch.gr (10.67.93.10) Host is up (0.0051s latency) .MAC Address:
00: 0C: F1: E8: 1D: 6E (Intel) Nmap scan report for 10.67.93.20 Host is up
(0.0066s latency).
MAC Address: D0: 27: 88: 1D: 15: 20 (Hon Hai Precision Ind. Co.Ltd)
Nmap scan report for 10.67.93.21 Host is up (0.0053s latency) .MAC
Address: D0: 27: 88: 1D : D6: FB (Hon Hai Precision Ind. Co.Ltd) Nmap
scan report for 10.67.93.22 Host is up (0.0080s latency) .MAC Address: 00:
1 A: 92: 44: D7: 67 (Asustek Computer) Nmap scan report for 10.67.93.29
Host is up (0.057s latency) .MAC Address: 00: 78: E2: 47: 49: E5
(Unknown) Nmap scan report for 10.67.93.78 Host is up (0.0023s latency)
.MAC Address : 00: 80: 48: 24: 6A: CC (Compex Incorporated) Nmap scan report for 10.67.93.147 Host is up (0.028s latency) .MAC Addres: 00: 14:
38: 64: 50: 35 (Hewlet-Packard ) Nmap scan report for 10.67.93.172Host is up (0.016s latency) .MAC Addres: 00: 50: 27: 00: e4: F0 (Genicom) Nmap scan report for www.yyyyy.zzzzz.gr (10.67.93.11) Host is up.Nmap done:
255 ip adresses (10 hosts up) scanned in 1.25 Seconds
Мета пинга - просто з'ясувати, працює IР чи ні, см на попередній малюнок. Для Nmap в скануванні пинга важливі не справжні дані отриманих пакетів, а, грубо кажучи, існування відповідного пакета.
Оскільки весь трафік відноситься до локальної мережі, кожне мережеве пристрій повідомляє у відповідь свій
MAC- адресу
, Тому і в поле Source,
і в поле Destination ви бачите тільки MAC-адреси.
Наявність відповідей дозволяє Nmap зрозуміти, що хост включений
і працює. Оскільки МАС-адреса заодно включає інформацію про виробника мережевого пристрою, Nmap повідомляє вам також і цю
інформацію.
Nmap також розраховує затримку відповіді (або період очікування).
Це дозволяє досить точно визначити час, необхідний початкового пакету (відправленому Nmap) для досягнення цільового пристрою, і час, необхідний відповідного пакету на повернення до Nmap. Тривалий період очікування - це недобре, і необхідно потурбуватися з'ясуванням причини такої тривалості.
Аналізуємо трафік DNS
Запити DNS дуже часті в мережах ТСР / IP. Запит DNS створює невеликий трафік, і тому є відмінним прикладом для цілей навчання.
1 A: 92: 44: D7: 67 (Asustek Computer) Nmap scan report for 10.67.93.29
Host is up (0.057s latency) .MAC Address: 00: 78: E2: 47: 49: E5
(Unknown) Nmap scan report for 10.67.93.78 Host is up (0.0023s latency)
.MAC Address : 00: 80: 48: 24: 6A: CC (Compex Incorporated) Nmap scan report for 10.67.93.147 Host is up (0.028s latency) .MAC Addres: 00: 14:
38: 64: 50: 35 (Hewlet-Packard ) Nmap scan report for 10.67.93.172Host is up (0.016s latency) .MAC Addres: 00: 50: 27: 00: e4: F0 (Genicom) Nmap scan report for www.yyyyy.zzzzz.gr (10.67.93.11) Host is up.Nmap done:
255 ip adresses (10 hosts up) scanned in 1.25 Seconds
Мета пинга - просто з'ясувати, працює IР чи ні, см на попередній малюнок. Для Nmap в скануванні пинга важливі не справжні дані отриманих пакетів, а, грубо кажучи, існування відповідного пакета.
Оскільки весь трафік відноситься до локальної мережі, кожне мережеве пристрій повідомляє у відповідь свій
MAC- адресу
, Тому і в поле Source,
і в поле Destination ви бачите тільки MAC-адреси.
Наявність відповідей дозволяє Nmap зрозуміти, що хост включений
і працює. Оскільки МАС-адреса заодно включає інформацію про виробника мережевого пристрою, Nmap повідомляє вам також і цю
інформацію.
Nmap також розраховує затримку відповіді (або період очікування).
Це дозволяє досить точно визначити час, необхідний початкового пакету (відправленому Nmap) для досягнення цільового пристрою, і час, необхідний відповідного пакету на повернення до Nmap. Тривалий період очікування - це недобре, і необхідно потурбуватися з'ясуванням причини такої тривалості.
Аналізуємо трафік DNS
Запити DNS дуже часті в мережах ТСР / IP. Запит DNS створює невеликий трафік, і тому є відмінним прикладом для цілей навчання.
Наступна команда використовується для створення необхідного мережевого DNS-трафіку, який буде вивчатися:
$
Host
-1 ns spy-soft.netspy-soft.net name server ns9.gudzonserver.com.spy-soft.net name server ns10.gudzonserver.com.
Всього потрібно два пакети: один для відправки і один для відповіді на запит DNS.
Ось як Wireshark показує трафік запиту DNS після застосування фільтра відображення. Зверніть увагу на зелений колір навколо Ось як Wireshark показує трафік запиту DNS після застосування фільтра відображення.
Зверніть увагу на зелений колір навколо DNS, який підтверджує його дієвість., Який підтверджує його дієвість.
Перший пакет - номер 3, другий - номер 4. Фільтр відображення
(DNS) використовується, щоб мінімізувати відображаються дані і показати корисну інформацію. Був використаний протокол UDP (User
Datagram Protocol), і потрібна інформація без всяких помилок була
відправлена назад, як показано в полі Flags. Крім того, за різницею в часі між запитом DNS (1.246055000) і відповіддю (1.255059000) ви можете судити про те, що сервіс DNS працює відмінно, оскільки час відгуку цілком розумне.
Запитаний сервер DNS має IP-адресу 10.67.93.1 - як ви бачите з IP- адреси призначення першого пакету. Той же самий DNS сервер відповів на запит DNS, як ви бачите з вихідного IР-адреси другого пакету. Рядок 'Answer RRs: 2' повідомляє про те, що на запит DNS буде дві відповіді.
Згодом ви навчитеся розуміти це з одного погляду.
Для передачі повідомлень від одного комп'ютера до іншого UDP використовує протокол IP, і створює настільки ж ненадійну і нескладну доставку пакетів, що і IP. Він не використовує підтверджень доставки пакетів, не замовляє вихідних пакетів і не забезпечує зворотний зв'язок для оцінки швидкості передачі інформації між комп'ютерами. Таким чином, повідомлення UDP можуть бути втрачені, продубльовані або прибути в порушеному порядку. Більш того, пакети можуть прибути швидше, ніж одержувач зможе їх обробити.
Порт призначення першого пакету - 53, це звичайний номер порту для DNS сервісу. Частина UDP другого пакету показує номери портів, використовуваних для відповіді:
User Datagram Protocol, Scr Port: 53 (53), Dst Port: 53366Source
Port: 53 (53) Destination Port: 53366 (53366) Length: 90Checksum:
0xb94b [validation disabled] [Stream Index: 0]
Як і з більшістю інструментів, чим більше ви використовуєте
Wireshark, тим ефективніше стає ваша робота з ним, так що продовжуйте практикуватися і вивчати його
Запитаний сервер DNS має IP-адресу 10.67.93.1 - як ви бачите з IP- адреси призначення першого пакету. Той же самий DNS сервер відповів на запит DNS, як ви бачите з вихідного IР-адреси другого пакету. Рядок 'Answer RRs: 2' повідомляє про те, що на запит DNS буде дві відповіді.
Згодом ви навчитеся розуміти це з одного погляду.
Для передачі повідомлень від одного комп'ютера до іншого UDP використовує протокол IP, і створює настільки ж ненадійну і нескладну доставку пакетів, що і IP. Він не використовує підтверджень доставки пакетів, не замовляє вихідних пакетів і не забезпечує зворотний зв'язок для оцінки швидкості передачі інформації між комп'ютерами. Таким чином, повідомлення UDP можуть бути втрачені, продубльовані або прибути в порушеному порядку. Більш того, пакети можуть прибути швидше, ніж одержувач зможе їх обробити.
Порт призначення першого пакету - 53, це звичайний номер порту для DNS сервісу. Частина UDP другого пакету показує номери портів, використовуваних для відповіді:
User Datagram Protocol, Scr Port: 53 (53), Dst Port: 53366Source
Port: 53 (53) Destination Port: 53366 (53366) Length: 90Checksum:
0xb94b [validation disabled] [Stream Index: 0]
Як і з більшістю інструментів, чим більше ви використовуєте
Wireshark, тим ефективніше стає ваша робота з ним, так що продовжуйте практикуватися і вивчати його