Сетевая библиотекаСетевая библиотека

Лабораторная работа №1 БФИС (Wireshark)

Дата публикации: 26.02.2019
Тип: Текстовые документы DOCX
Размер: 187 Кбайт
Идентификатор документа: -36223307_492556474
Файлы этого типа можно открыть с помощью программы:
Microsoft Word из пакета Microsoft Office
Для скачивания файла Вам необходимо подтвердить, что Вы не робот

Предпросмотр документа

Не то что нужно?


Вернуться к поиску
Содержание документа


ЛАБОРАТОРНАЯ РАБОТА Тема: «Изучение кадров Ethernet с помощью программы Wireshark»

Цель работы:изучить формат кадровEthernetс помощью программы Wireshark.

Основные сведения:

Wireshark — это приложение, которое «знает» структуру самых различных сетевых протоколов, и поэтому позволяет разобрать сетевой пакет, отображая значение каждого поля протокола любого уровня. Поскольку для захвата пакетов используется pcap, существует возможность захвата данных только из тех сетей, которые поддерживаются этой библиотекой. Тем не менее, Wireshark умеет работать с множеством форматов входных данных, соответственно, можно открывать файлы данных, захваченных другими программами, что расширяет возможности захвата.

Программа Wireshark необходима для того, чтобы проводить исследования сетевых приложений и протоколов, а также, чтобы находить проблемы в работе сети, и, что важно, выяснять причины этих проблем.

При запуске в верхней части окна расположено меню, позволяющее вызывать команды в соответствии с выполняемыми задачами. В частности, пункт меню "File" позволяет сохранять в файле информацию о пакетах, полученных в текущем сеансе, и загружать файлы, содержащие данные о пакетах, захваченных в предыдущих сеансах.

Для начала захвата достаточно выбрать свой сетевой интерфейс и нажать Start. После чего и начнется процесс захвата, причем прилетевшие пакеты будут появляться в реальном времени. Для прекращения захвата пакетов нужно выбрать пункты меню "Capture" и "Stop".

Изучая интерфейс, можно выбрать, например, пакет http, и увидеть, что HTTP инкапсулируется в TCP (транспортный уровень), TCP инкапсулируется в IP (сетевой уровень), а IP в свою очередь инкапсулируется в Ethernet (перед этим даже мелькает 802.1Q).



Рисунок 4.1 – Интерфейс программы Wireshark

Рассмотрим содержимое и значение трех горизонтальных окон. В самом верхнем окне содержится последовательный список всех пакетов, захваченных в течение текущего сеанса захвата. Информация о захваченных пакетах в данном окне представлена в строках таблицы. По умолчанию колонки таблицы содержат данные о номере пакета, времени его получения, IP-адресах отправителя и получателя, о протоколе пакета, а также дополнительную информацию, содержимое которой зависит от типа пакета.

Выделяя какую-либо строку таблицы можно более детально узнать что из себя представляет данный пакет с помощью нижних окон.

В самом нижнем окне представлено содержимое пакета в двоичном виде с помощью шестнадцатеричных цифр. Именно в таком виде пакеты передаются по сети и хранятся в компьютере. Информация и данные пакета здесь содержатся в виде, закодированном посредством комбинаций двоичных цифр.

В среднем окне представлена расшифровка данных, содержащихся в пакете. Важным преимуществом программы является то, что

расшифрованные данные представлены в удобном и структурированном виде. Представленная структура четко отражает структуру уровней стека протоколов TCP/IP и соответствующую им вложенность заголовков. Понять эту взаимосвязь помогает то, что при выделении в среднем окне какого-либо участка декодированной информации, программа автоматически выделяет соответствующий участок в двоичном представлении пакета в нижнем окне.

Для удобства поиска/просмотра информации о нужных пакетах в программе Wireshark можно отфильтровать захваченные пакеты по IP-адресу или номеру порта.



Рисунок 4.2 – Захват пакетов, отфильтрованных по IP-адресу в программе

Wireshark

Если вы хотите сделать фильтрацию захваченных пакетов по двум определенным IP-адресам (например, по IP-адресам 88.255.67.145 и 117.85.53.223), в поле Filter укажите правило фильтра ip.addr==88.255.67.145 and ip.addr==117.85.53.223

Программа Wireshark является кроссплатформенной. Существуют версии для большинства UNIX-подобных систем, в том числе GNU/Linux, Solaris, FreeBSD, NetBSD, OpenBSD, Mac OS X, а также для Windows: http://www.wireshark.org/download.html [7,8].

Ход работы:

Изучите конфигурацию сети рабочего ПК в лаборатории.

Включите захват трафика в Wireshark и выполните несколько сетевых запросов к разным узлам. Изучите кадры Ethernet в данных, захваченных программой Wireshark .

Изучите содержание заголовков Ethernet II в ARP-запросе

Назовите идентификатор производителя (OUI) сетевого адаптера источника. Определите часть MAC-адреса, соответствующую OUI.

С помощью фильтров программы Wireshark отобразите на экране только трафик ICMP.

Из окна командной строки отправьте эхо-запрос с помощью команды ping на шлюз ПК по умолчанию.

Остановите захват трафика на сетевом адаптере.

Проанализируйте трафик.

Оформить отчет в соответствии с заданными разделами.

Контрольные вопросы:

Из чего состоит заголовок кадра Ethernet. Что содержит преамбула?

В чём заключаются отличия кадров Ethernet и Ethernet II?

Сравните пакеты и кадры, захваченные на разных шагах моделирования. Обратите на IP-адрес назначения. Почему IP-адрес назначения изменился, а MAC-адрес назначения остался прежним?

Почему перед первым эхо-запросом с помощью команды ping ПК выполняет широковещательную рассылку? Почему этого не происходит потом?

Какой тип кадров был использован в данных отправках?