Методические указания к ЛР №1-3_ГРУППА_91 (1038376), страница 5
Текст из файла (страница 5)
Рассмотрим процесс настройки работы анализатора (рис.21).
Рис. 21. Окно настройки параметров анализа.
Поле 1 позволяет выбрать просматриваемый интерфейс. В поле 2 можно задать необходимый фильтр (это можно сделать и позже, в процессе анализа). В области 3 можно задать имя файла для сохранения результатов анализа и настроить параметры автоматического сохранения. Область 4 позволяет задать условия прекращения работы программы. Область 5 содержит следующие опции:
Update list of packets in real time – включить динамическое обновление списка просмотренных пакетов;
Automatic scrolling in live capture – автоматическая прокрутка списка пакетов во время работы анализатора;
Hide capture info dialog – скрывать окно, содержащее статистику по количеству просмотренных пакетов.
Область 6 позволяет настроить преобразование имён узлов в символическое представление.
В нижней части окна располагается кнопка Start, запускающая анализатор.
3.3 Фильтрация пакетов
Ethereal обладает развитым механизмом задания параметров фильтрации. Требуемые параметры задаются с помощью строки, содержащей выражение особой формы. Выражение состоит из одного или более условий, связанных логическими операциями. В качестве условий могут выступать названия протоколов и ограничения на значения отдельных полей пакетов. Использование названия протокола означает разрешение на просмотр всех пакетов данного протокола, в том числе и инкапсулирующих данные других протоколов. Для задания ограничений на отдельное поле пакета требуется указать его имя в форме <имя_протокола>.<имя_поля> и определить отношение его значения к определённому значению с помощью знаков >, <, >=, <=, ==, !=, contains, matches present.
Условия комбинируются с помощью логических операторов and и or. Употребление ключевого слова not перед условием позволяет инвертировать его значение. Допускается использование скобок.
Пример: tcp and (not http) and (ip.ttl >= 10)
(все пакеты TCP, не содержащие пакетов HTTP и имеющие значения поля TTL заголовка IP не менее 10).
3.4 Граф анализа
Программа предоставляет пользователю набор средств автоматизированного анализа полученной информации, среди которых инструмент Flow Graph (меню Statistics). Он позволяет построить диаграмму перемещения пакетов по узлам.. На рис.22 представлен пример такой диаграммы, полученный по результатам анализа работы утилиты traceroute.
Рис. 22. Граф анализа работы программы traceroute.
3.5 Порядок работы с приложением.
Обычно для выполнения анализа трафика следует выполнить следующие действия.
-
Открыть окно настройки параметров анализа;
-
Выбрать требуемый сетевой интерфейс из списка обнаруженных;
-
Ввести необходимые условия фильтрации.
-
Если требуется, выбрать режим автоматического сохранения информации, условия останова работы анализатора;
-
Установить флаги Update list of packets in real time и Automatic scrolling in live capture;
-
Нажать кнопку Start.
-
Отслеживать обрабатываемый трафик в основном окне.
-
При необходимости остановить анализ, сменить параметры фильтрации и продолжить работу.
-
Остановить анализ, когда вся необходимая информация представлена на экране.
-
Анализировать информацию, просматривая содержимое пакетов и используя встроенные средства анализа.
Пакетный анализатор MFC-snif позволяет различать основные протоколы стека TCP/IP, такие как IP, ICMP, IGMP, TCP, UDP и некоторые другие, и выводить информацию, содержащуюся в заголовках и полях данных протоколов. Существует возможность установки фильтров на входящий трафик (только ICMP; ICMP и UDP; ICMP, UDP и TCP и т.п.).
Этапы работы с программой:
-
Установить фильтры.
Необходимо нажать кнопку ”Filters” на главном окне программы и поставить галочки напротив названий протоколов. После нажать кнопку “OK”.
-
Нажать кнопку “Snif”. В поле наверху окна отобразится интерфейс, к которому производится привязка. Список всех входящих пакетов будет отображаться в правой части главного окна программы. Для анализа содержимого пакета надо его выделить при помощи мыши или клавиатуры.
-
Для приостановки работы программы необходимо нажать кнопку “Pause”(для продолжения работы снова надо нажать на “Snif”)
-
Для очистки списка пакетов необходимо нажать на кнопку “Clear all”.
-
Для выхода из программы надо нажать кнопку “Exit”
Рис.23. Вид главного окна программы MFC-snif в процессе работы
4. Порядок выполнения работы.
4.1. В соответствии с вариантом либо послать ICMP эхо-запрос на удалённый хост либо определить количество «хопов» до удалённого хоста. При помощи пакетного анализатора проанализировать все пакеты приходящие на сетевой интерфейс. Для нечётных вариантов просматривать ICMP трафик, а для чётных ICMP и UDP трафик. Результаты анализа представить в отчете.
4.2. Просканировать порты удалённого хоста и зафиксировать и описать службы на открытых портах.
4.3. Сделать запросы, соответствующие варианту. Объяснить реакцию хоста на каждый запрос.
4.4. Инициировать произвольный TCP сеанс и его проанализировать (открытие/поддержка/закрытие) при помощи пакетного анализатора.
| Вариант | Удалённый хост | Ping | Traceroute | Проверка работающих сервисов | Запрос |
| 1 | президент.рф | + | + | who-is, HTML | |
| 2 | правительство.рф | + | + | who-is, HTML | |
| 3 | яндекс.рф | + | + | lookup, HTML | |
| 4 | гугл.рф | + | + | who-is, lookup | |
| 5 | рамблер.рф | + | + | who-is. HTML | |
| 6 | известия.рф | + | + | lookup, HTML | |
| 7 | кремль.рф | + | + | who-is, lookup | |
| 8 | лента.рф | + | + | who-is. HTML | |
| 9 | почта.рф | + | + | who-is, lookup | |
| 10 | жж.рф | + | + | lookup, HTML | |
| 11 | вконтакте.рф | + | + | who-is. HTML | |
| 12 | прохабаровск.рф | + | + | who-is, lookup | |
| 13 | ульяновск.рф | + | + | lookup, HTML | |
| 14 | псков.рф | + | + | who-is, lookup | |
| 15 | ростов-на-дону.рф | + | + | who-is, lookup | |
| 16 | салехард.рф | + | + | who-is. HTML | |
| 17 | самара.рф | + | + | who-is, lookup | |
| 18 | росавтодор.рф | + | + | lookup, HTML | |
| 19 | минприроды.рф | + | + | who-is. HTML | |
| 20 | роспатент.рф | + | + | who-is, lookup | |
| 21 | алтайскийкрай.рф | + | + | lookup, HTML | |
Все утилиты для запросов, а также утилиты “Ping” и “Traceroute” использовать из пакета NetInfo. Анализ трафика производить при помощи пакетных анализаторов MFC_Snif и Ethereal
Вариант – в соответствии с номером в журнале группы.
4.5. Составить отчет по работе.
4.6. Ответить на контрольные вопросы.
4.7. Защитить лабораторную работу.
5. Содержание отчета.
Отчет по лабораторной работе должен содержать:
1. Сценарии выполнения пунктов 4.1- 4.4 задания.
2.Результаты анализа пакетов, описание служб на открытых портах удалённого хоста, описание реакции на запросы.
3. Пример ТСР сеанса и описание процедур открытия, поддержания и закрытия ТСР соединения посредством обмена заголовками протокола ТСР для этого сеанса..
6. Контрольные вопросы.
1.Какое назначение имеет протокол IP?
2. Как работает утилита ping?
3. При помощи какой утилиты можно получить информацию обо всех пользователях сетевого узла?
4. По каким флагам заголовка протокола ТСР можно идентифицировать фазу ТСР соединения?
5. Как осуществляется настройка фильтрации пакетов в пакетном анализаторе?
6. Как работает утилита traceroute?
7. Сколько фаз проходит ТСР соединение?
33
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
