Захват Пакетов

Для начала захвата пакетов необходимо задать параметры захвата. В частности, указать сетевой интерфейс, с которого и будет осуществляться захват пакетов. Это действие доступно через меню как «Capture–>Options» или комбинации клавиш CTRL+K (см. рис. 3). Интерфейс, задаваемый в поле «Interface:» можно выбрать из соответствующего поля. В примере на рис. 3. Показано, что доступны 3 интерфейса: физический сетевой адаптер («Marvel…»), и интерфейсы для виртуальных каналов, в частности, установленного VPN-соединения («WAN (PPP/SLIP)…»). В большинстве случае подходит выбор интерфейса сетевого адаптера.

В качестве дополнительных параметров захвата можно указать следующие:

• 
  «Capture Filter» – фильтр захвата (будем рассматривать далее). По нажатию на соответствующую кнопку можно применить тот или иной фильтр отбора (из ранее сохраненных). Если таковых не имеется, его можно указать явно в строке редактирования.
  
• 
  «Updatelistofpacketsinrealtime» –обновление списка захваченных пакетов в режиме реального времени.
  
• 
  «StopCapture» – набор параметров, позволяющих задать то или иное значение при достижении, которого процесс захвата пакетов прекратится.
  
• 
  «NameResolution» – набор параметров разрешения имен позволяет определить какие из способов разрешения имен должны использоваться.
  

Для начала мониторинга сетевой активности нужно нажать «Start». После выбора интерфейса, который нас интересует, в дальнейшем можно начинать и останавливать захват пакетов через соответствующие команды в меню «Capture».

Фильтрация Пакетов

Если запустить сниффер без дополнительных настроек, он будет «захватывать» все пакеты, проходящие через сетевые интерфейсы (см. рис. 1). Вообще, для общего ознакомления с процессами, происходящими в сети, очень полезно пронаблюдать активность сетевых протоколов в реальных условиях работы системы в сети. Пронаблюдать все разнообразие протоколов, запросов, ответов и др. событий.

При целенаправленном использовании сниффера очень часто необходимо выборочно отображать или захватывать пакеты по некоторым заданным критериям. Для этих целей служат фильтры отображения и захвата

---

, соответственно.

Типы фильтрации трафика

Существует два варианта фильтрации пакетов: на этапе захвата и на этапе отображения пользователю. В первом случае эффективность работы сниффера и потребляемые им системные ресурсы значительно ниже, нежели во втором случае. Это объясянется тем, что при достаточно интенсивном сетевом трафике и и продолжительном времени захвата все пакеты должны бить захвачеты и сохранены либо в память, либо на дисковое устройство. Самые простые подсчеты могу показать, что даже для 100-мегабитной сети системных ресурсов хватит на непродолжительное время. Фильтрация захвата уже на момент получения пакета гораздо эффективнее, однако в таком случае она должна быть реализована на уровне самих драйверов захвата. Данный факт, естественно, усложняет реализацию сниффера. Wireshark поддерживает оба варианта фильтрации. Рассмотрим

Фильтры отображения

Фильтры отображения представляют собой достаточно мощное средство отображения трафика. Фильтры задаются в строке, располагающейся вверху основного экрана («Filter:»). Простейший фильтр отображения, позволяет отобрать пакеты по тому или иному протоколу. Для этого в строке требуется указать название протокола (например HTTP) и нажать кнопку «Apply». После этого в верхнем окне останутся пакеты, принадлежащие этому протоколу. Кнопкой «Reset» действие фильтра отменяется.

Для работы с фильтрами можно вызвать окно «Analyze/Display Filters». Можно сохранять созданные выражения под определенными именами для последующего использования и т.д.

С помощью логических операций (синтаксис языка Си) можно составлять логические выражения. Логическая истина - 1, ложь - 0.

Список поддерживаемых логических операций:

eq	==	равенство
ne	!=	не равно
gt	>	больше чем
Lt	<	меньше чем
ge	>=	больше равно
Le	<=	меньше равно

Например: tcp.port == 80 рисунок 7.4

Мастер построения фильтров отображения доступен через кнопку «Expression…» (см. рис. 5).

---

Фильтры захвата

С помощью данных фильтров можно захватывать из сети только те пакеты, которые подходят под критерий отбора. Если не задано никакого фильтра (по умолчанию), то будут захватываться все пакеты. В противном случае только пакеты, для которых указанное выражение будет истинным. Синтаксис фильтров захвата несколько отличается от синтаксиса фильтров отображения. Выражение состоит из одного или более примитивов разделенных пробельными символами. На рис. 6 приведен пример фильтра для захвата пакетов, адресованных на 80-й порт (http) узла с ip-адресом 10.197.0.11.

Существует три различных типа примитивов: type, dir, proto.

Спецификатор type определяет тип параметра. Возможные параметры: host; net; port.

Например:

• 
  host linux
  
• 
  net 192.168.128
  
• 
  port 80
  

Если не указано никакого типа предполагается что это параметр host.

Спецификатор dir определят направление передачи. Возможные направления: src; dst; src or dst; src and dst.


Например:

• 
  src linux
  
• 
  dst net 192.168.128
  
• 
  src or dst port http
  

Если не определено направление то предполагается направление «src or dst». Для протоколов типа point-to-point используются спецификаторы inbound и outbound.

Спецификатор proto определят тип протокола, которому принадлежит пакет.

Возможные протоколы: ether; fddi; tr; ip/ipv6; arp/rarp; decent; tcp; udp.

Например:

• 
  ether src linux
  
• 
  arp net 192.168.128
  
• 
  tcp port 80
  

Если протокол не определен, то будут захватываться пакеты всех протоколов. То есть: «src linux» означает «(ip or arp or rarp) src linux»; «net ctam» означает «(ip or arp or rarp) net ctam»; «port 53» означает «(tcp or udp) port 53».

Также существует несколько специальных спецификаторов, которые не попадают в описанные выше случаи:

• 
  gateway;
  
• 
  broadcast;
  
• 
  less;
  
• 
  greater;
  
• 
  арифметические выражения.
  

Сложные фильтры захвата строятся с использованием логических выражений.

Список операций:

not	!	отрицание
and	&&	конкатенация (логическое И)
or	||	альтернатива (логическое ИЛИ)

Примеры фильтров захвата

---

Ниже рассмотрены некоторые примеры построения фильтров захвата.

• 
  Захват всех пакетов на сетевом интерфейсе хоста 192.168.1.2:
  
• 
  host 192.168.1.2
  
• 
  Захват трафика между хостом host1 И хостами host2 ИЛИ host3:
  
• 
  host host1 and (host2 or host3)
  
• 
  Захват всех IP-пакетов между хостом host1 и каждым хостом за исключением hostX:
  
• 
  ip host host1 and not hostX
  
• 
  Захват пакетов ни сгенерированных ни адресованных локальными хостами:
  
• 
  ip and not net localnet
  
• 
  Захват IP-пакетов размером больше чем 576 байт, проходящих через шлюз snup:
  
• 
  gateway snup and ip[2:2] > 576
  
• 
  Захват всех ICMP пакетов, за исключением пакетов ping:
  
• 
  icmp[0] != 8 and icmp[0] != 0
  

Статистическая обработка сетевого трафика

Сниффер Wireshark позволяет выполнять различную статистическую обработку полученных данных. Все доступные операции находятся в меню «Statistics».

Общая статистика – количество полученных/переданных пакетов, средняя скорость передачи и т.д. доступны через пункт «Statistics->Summary».

Получить информацию по статистике обработанных протоколов в полученных пакетах можно через пункт «Statistics->Protocol Hierarchy».

Статистику по типу ip-пакетов, их размеру и порту назначения можно получить выбрав подпункты меню «IP-address…», «Packet length» и «Port type» соответственно.

Одной из наиболее интересных возможностей является генерация диаграммы взаимодействия между узлами, которая доступна пунктом меню «Flow Graph…» . В результате можно наблюдать в достаточно наглядной форме процесс взаимодействия на уровне протоколов. Например, на рис. 7 приведена диаграмма взаимодействия при получении узлом win2003 статической web-странички с сервера http://linux.



Порядок выполнения лабораторной работы:

1. 
   Изучить теоретический материал.
   
2. 
   Выполнить задание.
   
3. 
   Ответить на контрольные вопросы.
   
4. 
   Оформить отчет в MS Word.
   

Контрольные вопросы

1. 
   Каковы основные цели мониторинга сетевого трафика?
   
2. 
   Чем отличается мониторинг трафика от фильтрации?
   
3. 
   Каково назначении класса программ-снифферов?
   
4. 
   Какие основные функции выполняют снифферы?
   
5. 
   Зачем используются фильтры отображения и фильтры захвата сниффера Wireshark? В чем их отличие?
   
6. 
   Какие базовые функции статистической обработки захваченных пакетов имеет сниффер Wireshark?
   
7. 
   Какие задачи рассчитан решать протокол ARP?
   

Тема №8. Использование аппаратно-программных средств для генерации ключей. Применение ЭЦП и шифрования при обмене сообщениями по E-mail

---

Цель работы: изучить принципы применения электронной цифровой подписи (ЭЦП) на примере работы с программой PGP в процессе обмена сообщениями по e-mail.
Задание:
Создайте закрытый ключ. Используйте в строке «Full name» свое имя и группу.

Используя только что созданный закрытый ключ, создайте на диске открытый ключ.

Отправьте открытый ключ преподавателю по электронной почте (отправлять в виде вложенного файла). Адрес электронной почты преподавателя: prep@meit.stu.ru

Дождитесь, когда вам придет по почте открытый ключ преподавателя, сохраните его на диске и установите в реестр.

Создайте в редакторе «MS Word» документ, в тексте которого укажите свою фамилию. Файл документа именуйте символами латинского алфавита! Вставьте в документ свою фотографию. Подпишите файл цифровой подписью, используя для этого свой закрытый ключ и открытый ключ преподавателя.

Отправьте этот файл по электронной почте в виде вложения преподавателю.

Дождитесь ответа от преподавателя с сообщением о том, что первая часть лабораторной работы сдана. Расшифруйте вложенный в письмо файл.

Предъявите содержимое этого файла преподавателю!

Осуществите аналогичный обмен подписанными ЭЦП файлами с одним из студентов группы, для этого обменяйтесь сначала своими открытыми ключами. Свой открытый ключ вышлите получателю, дождитесь от получателя его открытый ключ и установите его в реестр.

Создайте в «MS Word» файл с информацией произвольного содержания. Подпишите файл цифровой подписью, используя для этого свой закрытый ключ и открытый ключ получателя.

Отправьте этот файл получателю. Дождитесь письма с вложенным файлом от получателя и расшифруйте его.

Предъявите содержимое этого файла преподавателю!

Примечание: Для получения сообщения от другого студента вам необходимо знать свой собственный e-mail адрес, на который настроена программа Outlook Express. Для этого в программе выберите пункт меню «Сервис / Учетные записи». Откроется окно со списком всех учетных записей. Выберите запись которая имеет примерно следующий вид: «10.242.48.45 почта(по умолчанию)», нажмите кнопку «Свойства». В открывшемся окне можно посмотреть все настройки почтового аккаунта и при необходимости изменить их.
Порядок выполнения лабораторной работы:

1. 
   Изучить теоретический материал.
   

С точки зрения технологии ЭЦП – это программно-криптографическое средство, шифрующее документ и тем самым позволяющее подтвердить, что подпись, стоящая на том или ином электронном документе, поставлена именно его автором, а не каким-либо другим лицом.

---

Смотрите также файлы

• Инструкция по эксплуатации Варочная панель ikr64443fw содержание сведения по технике безопасности.pdf

• Мышечная система. Мышцы головы, шеи, туловища, верхних и нижних конечностей. План.docx

• 1. Современное состояние малого бизнеса 4 1 Понятие малого бизнеса 4.docx

• Учебник Пожарная безопасность технологических процессов Пожарнопрофилактическая подготовка.docx

• Сборник работ для суммативного оценивания по алгебре и началам анализа 11 класс.docx