Файл: Лабораторная работа Wireshark.pdf

Скачать файл (2,71Мб)

Заказать решение

ВУЗ: Не указан

Категория: Методичка

Дисциплина: Компьютерные сети

Добавлен: 25.10.2018

Просмотров: 10269

Скачиваний: 184

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

Использование программы Wireshark для анализа сетевого трафика

Шаг 4: Изучите содержание заголовков Ethernet II в ARP-запросе.

В приведенной ниже таблице выбран первый кадр из данных, захваченных программой Wireshark, и
отображаются данные в полях заголовков Ethernet II.

Поле

Значение

Описание

Преамбула

Не показано в захвате
данных

В этом поле содержатся синхронизированные биты,
обработанные сетевой платой.

Адрес назначения

Широковещательная
рассылка
(ff:ff:ff:ff:ff:ff)

Адреса уровня 2 для кадра. Длина каждого адреса составляет
48 бит или 6 октетов, выраженных 12 шестнадцатеричными
цифрами: 0-9,A-F.
Общий формат — 12:34:56:78:9A:BC.
Первые шесть шестнадцатеричных чисел обозначают
производителя сетевой платы, а последние — ее серийный
номер.
Адрес назначения может быть широковещательным
(состоящим только из единиц) или индивидуальным (unicast).
Адрес источника всегда должен быть индивидуальным
адресом.

Адрес источника

GemtekTe_ea:63:8c

(00:1a:73:ea:63:8c)

Тип кадра

0x0806

В кадрах Ethernet II это поле содержит шестнадцатеричное
значение, которое используется для указания типа протокола
верхнего уровня в поле данных. Ethernet II поддерживает
множество протоколов верхнего уровня. Наиболее
распространены следующие два типа кадров:
Значение

Описание

0x0800

Протокол IPv4

0x0806

Протокол разрешения адресов (ARP)

Данные

Протокол разрешения
адресов (ARP)

Содержит инкапсулированный протокол верхнего уровня.
Поле данных в диапазоне от 46 до 1500 байт.

FCS

Не показано в захвате
данных

Контрольная последовательность кадра (FCS), используемая
сетевой платой для выявления ошибок при передаче данных.
Значение вычисляется компьютером отправителя, включает
адреса, тип и поле данных кадра и проверяется получателем.

Какова особенность содержания поля адреса назначения?

_______________________________________________________________________________________

Почему перед первым эхо-запросом ПК отправляет широковещательную рассылку ARP?

_______________________________________________________________________________________

Назовите MAC-адрес источника в первом кадре. _______________________

Страница 16 из 26

Использование программы Wireshark для анализа сетевого трафика

Назовите идентификатор производителя (OUI) сетевой платы источника. __________________________

Какая часть МАС-адреса соответствует OUI?

_______________________________________________________________________________________

Назовите серийный номер сетевой платы источника. _________________________________

Часть 4: Захват и анализ кадров Ethernet с помощью программы

Wireshark

В части 2 вы воспользуетесь программой Wireshark для захвата локальных и удаленных кадров Ethernet. Затем
вы изучите сведения, содержащиеся в полях заголовков кадров.

Шаг 1: Определите IP-адрес шлюза по умолчанию на своем ПК.

Откройте окно командной строки и введите ipconfig .

Назовите IP-адрес шлюза ПК по умолчанию. _________________________________

Шаг 2: Начните захват трафика на сетевой плате своего ПК.

Откройте Wireshark.

b. На панели анализатора сети Wireshark нажмите значок Interface List (Список интерфейсов).

В окне Wireshark: Capture Interfaces (Захват интерфейсов) выберите интерфейс, в котором нужно начать
захват трафика, установив соответствующий флажок, и нажмите кнопку Start (Пуск). Если вы не знаете,
какой интерфейс выбрать, нажмите кнопку Details (Сведения), чтобы открыть подробную информацию о
каждом из указанных интерфейсов.

Страница 17 из 26

Использование программы Wireshark для анализа сетевого трафика

d. Понаблюдайте за трафиком в окне списка пакетов.

Шаг 3: С помощью фильтров программы Wireshark отобразите на экране только трафик

ICMP.

Чтобы скрыть ненужный трафик, установите соответствующий фильтр Wireshark. Фильтр не блокирует захват
ненужных данных, а лишь отбирает то, что нужно показывать на экране. На данный момент разрешено
отображение только трафика ICMP.

В поле Filter (Фильтр) программы Wireshark введите icmp. При правильной настройке фильтра поле должно
стать зеленым. Если поле стало зеленым, нажмите кнопку Apply (Применить), чтобы применить фильтр.

Шаг 4: Из окна командной строки отправьте эхо-запрос на шлюз ПК по умолчанию.

Из окна командной строки отправьте эхо-запрос на шлюз по умолчанию, используя IP-адрес, записанный в
шаге 1.

Шаг 5: Остановите захват трафика на сетевой плате.

Нажмите значок Stop Capture (Остановить захват), чтобы остановить захват трафика.

Шаг 6: Изучите первый эхо-запрос в программе Wireshark.

Главное окно программы Wireshark состоит из трех разделов: панель списка пакетов (вверху), панель сведений о
пакете (посередине) и панель отображения пакета в виде последовательности байтов (внизу). Если вы правильно

Страница 18 из 26

Использование программы Wireshark для анализа сетевого трафика

выбрали интерфейс для захвата пакетов в шаге 3, программа Wireshark отобразит данные протокола ICMP на
панели списка пакетов, как показано в приведенном ниже примере.

На панели списка пакетов (верхний раздел) выберите первый указанный кадр. В столбце Info (Информация)
появится значение Echo (ping) request (Эхо-запрос с помощью команды ping). Строка станет синей.

b. Изучите первую строку на панели сведений о пакете в средней части экрана. В этой строке указывается

длина кадра (в данном примере — 74 байта).

Вторая строка на панели Packet Details (Сведения о пакете) показывает, что это кадр Ethernet II. Также
отображаются MAC-адреса источника и назначения.

Назовите MAC-адрес сетевой платы этого ПК. _________________________

Назовите MAC-адрес шлюза по умолчанию. ___________________________

d. Чтобы получить больше информации о кадре Ethernet II, нажмите на значок плюса («+») в начале второй

строки. Обратите внимание на то, что значок плюса при этом изменится на значок минуса («-»).

Назовите отображающийся тип кадра. ________________________________

Последние две строки среднего раздела содержат информацию о поле данных кадра. Обратите внимание на
то, что данные содержат IPv4-адреса источника и назначения.

Назовите IP-адрес источника. _______________________________________

Назовите IP-адрес назначения. ______________________________________

Чтобы выделить эту часть кадра (в шестнадцатеричной системе и ASCII) на панели отображения пакета в
виде последовательности байтов (нижний раздел), нажмите на любую строку в среднем разделе. Нажмите
строку Internet Control Message Protocol в среднем разделе и посмотрите, что будет выделено на панели
отображения пакета в виде последовательности байтов.

Страница 19 из 26

Использование программы Wireshark для анализа сетевого трафика

Какое слово образуют последние два выделенных октета? ______

g. Нажмите на следующий кадр в верхнем разделе и изучите кадр эхо-ответа. Обратите внимание на то, что

МАС-адреса источника и назначения поменялись местами, поскольку маршрутизатор, который служит
шлюзом по умолчанию, отправил этот кадр в ответ на первый эхо-запрос.

Какое устройство и MAC-адрес отображаются в качестве адреса назначения?

______________________________________

Шаг 7: Перезапустите захват пакетов в программе Wireshark.

Нажмите значок Start Capture (Начать захват), чтобы начать новый захват данных в программе Wireshark.
Откроется всплывающее окно с предложением сохранить предыдущие захваченные пакеты в файл перед
началом нового захвата. Нажмите Continue without Saving (Продолжить без сохранения).

Шаг 8: Через окно командной строки отправьте эхо-запрос на веб-сайт

www.cisco.com

Шаг 9: Остановите захват пакетов.

Шаг 10: Изучите новые данные на панели списка пакетов в программе Wireshark.

Назовите МАС-адреса источника и назначения в первом кадре эхо-запроса.

Источник: _________________________________

Назначение: ______________________________

Страница 20 из 26