МИНИСТЕРСТВО НАУКИ И ВЫСШЕГО ОБРАЗОВАНИЯ РОССИЙСКОЙ ФЕДЕРАЦИИ ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ «НИЖЕГОРОДСКИЙ ГОСУДАРСТВЕННЫЙ ТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ им. Р. Е. АЛЕКСЕЕВА» Кафедра «Вычислительные системы и технологии» Лабораторная работа № 1 «Анализ сетевого трафика» Дисциплина: «Сети и телекоммуникации» Работу выполнила: студентка группы 18-ВМв Агеева Е.С. Работу принял: доцент, к.т.н. Кулясов П. С. Нижний Новгород 2021 Анализ сетевого трафика 1. Анализ трафика между двумя сетевыми узлами локальной сети 1.1 Анализ ICMP-пакетов пинга второго узла Выбор сетевого интерфейса для сканирования Применение дисплейного фильтра для мониторинга трафика только локальной сети: icmp Настройки текущего осуществляется мониторинг) сетевого интерфейса (того с которого ICMP запрос к узлу 192.168.120.221 Перечень перехваченных ICMP-пакетов. Отправлено 4 эхо-запроса. Получено 4 эхо-ответа. Структура ICMP пакета в дейтограмме (красным выделен сам ICMP-пакет) Сначала идет заголовок канального уровня, затем заголовок сетевого уровня (IP-пакета), затем собственно заголовок и данные ICMP. ICMP-сообщение инкапсулируется в поле данных IP-пакета. Который в свою очередь уже инкапсулируется в кадр Ethernet для передачи в локальной сети. IP-адрес узла-источника определяется из заголовка пакета, вызвавшего инцидент. В поле данных IP-пакета. Источник: 192.168.251.6 Получатель: 192.168.120.221 Выделено красным - заголовок протокола канального уровня, синим – заголовок протокола сетевого уровня. Зеленым – заголовок и данные ICMP. Основные поля в заголовке ICMP – это код и тип сообщения Тип сообщения 8. Это означает ping-запрос. Код 0 означает, что дополнительная информация не нужна (для типа сообщения 8, код всегда будет 0). Далее следует 16 бит контрольной суммы и некоторая служебная информация. Всего на заголовок 64 бита (8 байт) Поле данных начинается с 9-го байта. В нашем случае длина поля данных 32 байта, которые представляют собой просто буквы алфавита, чтобы не отправлять пустой ICMP-запрос. Рассмотрим эхо-ответ. Все также: сначала идет заголовок канального уровня, затем заголовок сетевого уровня и потом IMCP пакет (с 35 байта). Теперь отправитель в заголовке IP-пакета сменился на 192.168.120.221, а получатель 192.168.251.6 В ICMP пакете тип сообщения сменился на 0, это означает эхо ответ. Далее также следуют служебные данные и поле самих данных. Эхо ответ вернул те же и самые данные, что были в эхо-запросе 1.2 Проанализировать пакеты NetBIOS – запрос/ответ Рассмотрим дейтаграммную передачу NetBIOS. Проведем трассировку маршрута с 192.168.251.6 до 192.168.120.221 В WireShark поставим фильтр NBNS (NetBIOS Name Service) NETBIOS использует: для службы имен порт – 137, для службы дейтограмм - порт 138, для сессий - порт 139. Любая сессия начинается с: NetBIOS-запроса, задания IP-адреса и определения TCP-порта удаленного объекта, обмен NetBIOS-сообщениями, закрытие сессии В данном случае используется порт 137, запрос имени компьютера с адресом 192.168.251.33 в локальной сети. Сообщение ответ NetBIOS с узла 192.168.251.33 сообщает в разделе флаги имен, что узел принадлежит к B-Node. Во флаге имени два бита 00 означает «b» - широковещательный узел. B-узлы устанавливают связь со своим партнером посредством широковещательных запросов. Уникальное имя «XRX9C934EB553CF<00> NetBIOS состоит (Workstation/Redirector)» из (на 16-байт. скриншоте Имя не отображаются русские буквы). Имя рабочей группы также 16 байт. «WORKGROUP» 2. При помощи программы WireShark проанализировать интернет-трафик 2.1. Сделать запрос удаленного URL через браузер (проанализировать GET-запрос и ответ) 2.2. Выполнить tracert до удаленного узла, проанализировать результат Сетевого интерфейс сканирования Настройки сетевого интерфейса с которого осуществляется мониторинг трафика Запрос сайта nntu.ru (IP 5.227.18.3). HTTP протокол прикладного уровня инкапсулирован в протоколе транспортного уровня TCP, который в свою очередь инкапсулирован в протокол сетевого уровня инкапсулирован в кадр Ethernet (протокол среды передачи). IP, который Используется IP версии 4. Адрес источника: 192.168.120.221 (адрес компьютера в локальной сети). Адрес назначение: 5.277.18.3 (nntu.ru) Уровень транспорта. Порт источника запроса 64297. Порт получателя: 80. По стандарту HTTP ожидает данные на порт 80 Каждое HTTP-сообщение состоит из трёх частей, которые передаются в указанном порядке: стартовая строка, заголовки, тело сообщения Сообщается, что используется протокол версии 1.1. Метод: GET, который используется для запроса содержимого указанного ресурса (раздел Host: nntu.ru). С помощью метода GET можно также начать какой-либо процесс. В этом случае в тело ответного сообщения следует включить информацию о ходе выполнения процесса. Request URI в данном случае указывает, что запрашивается стартовая страница сервера (знак слэш /) Далее сообщается (выделено голубым) User-Agent (идентификационная строка клиентского приложения), в которой сообщается, что клиент, осуществляющий запрос по HTTP использует браузер Chrome на ОС Win10 x64. Далее список допустимых форматов ресурса (Accept), перечень поддерживаемых способов кодирования содержимого сущности при передаче (Accept-Encoding), cписок поддерживаемых естественных языков (AcceptLanguage). Ответ сервера. Не будет останавливаться на транспорте и сетевом уровне, так как там аналогично тому, что и выше описано. Нас интересует прикладной уровень. В ответ сервер сообщает код состояния запроса. Код состояния 301. Класс кодов начинающихся на 3хх это класс перенаправления запроса. 301 Moved Permanently - запрошенный документ был окончательно перенесен на новый URI, указанный в поле Location заголовка. Дополнительно сервер сообщает свою дату и время и то что сервер использует Nginx (выделено голубым). Зеленым выделено само тело сообщения. По сути это код HTML страницы. Так как сервер ответил, что сформировать новый запрос по новому адресу, указанному в Location, то формируется запрос к http://www.nntu.ru В новом запросе клиента к серверу все аналогично описанному выше, единственное, что адрес запроса в поле Host сменился на www.nntu.ru Ответ сервера опять с кодом 301 Moved Permanently - запрошенный документ был окончательно перенесен на новый URI, указанный в поле Location заголовка. В поле Location указан такой же адрес, только по защищенному протоколу HTTPS, что и клиент и делает в новом запросе по защищенному соединению Протокол HTTPS. Данные в протоколе HTTPS передаются поверх криптографических протоколов TLS. В отличие от HTTP с TCP-портом 80, для HTTPS по умолчанию используется TCP-порт 443 Трассировка маршрута до узла nntu.ru Для определения промежуточных маршрутизаторов tracert отправляет целевому узлу серию ICMP-пакетов (по умолчанию 3 пакета), с каждым шагом увеличивая значение поля TTL («время жизни») на 1. Это поле обычно указывает максимальное количество маршрутизаторов, которое может быть пройдено пакетом. Первая серия пакетов отправляется с TTL, равным 1, и поэтому первый же маршрутизатор возвращает обратно ICMP-сообщение «time exceeded in transit», указывающее на невозможность доставки данных. Traceroute фиксирует адрес маршрутизатора, а также время между отправкой пакета и получением ответа (эти сведения выводятся на монитор компьютера). Затем traceroute повторяет отправку серии пакетов, но уже с TTL, равным 2, что заставляет первый маршрутизатор уменьшить TTL пакетов на единицу и направить их ко второму маршрутизатору. Второй маршрутизатор, получив пакеты с TTL=1, так же возвращает «time exceeded in transit». Процесс повторяется до тех пор, пока пакет не достигнет целевого узла. При получении ответа от этого узла процесс трассировки считается завершённым. Это мы и наблюдаем на мониторе сканера, увеличение TTL на единицу с ответом от нового узла и построение маршрута TTL=1. Первый узел 192.168.0.200 (Проксисервер) TTL=2. Второй узел 195.122.226.161 (Шлюз провайдера) TTL=3. Третий узел 10.220.31.70 TTL=4. Четвертый узел 10.220.31.69 TTL=5. Пятый узел 10.220.20.173 TTL=6. Шестой узел 5.227.18.3 Соответствует логу трассировки Рассмотрим к примеру два ICMP запроса и ответы на них. ICMP запрос источника с адресом 192.168.120.221 (наша машина) к адресату 5.227.18.3. TTL=4. Тип ICMP запроса 8 – эхо запрос. Ответ от узла, где TTL уменьшилось до 0. Это узел 10.220.31.69. ICMP ответ с типом 11, код 0. Данный тип и код означает: Время жизни пакета (TTL) истекло при транспортировке (Time to live exceeded in transit) Для нового ICMP запроса TTL увеличивается на 1 и становится равен 5. То же самое ICMP запрос тип 11 (эхо запрос) от 192.168.120.221 к 5.227.18.3 (nntu.ru)
