Просмотр захваченных пакетов
Для того, чтобы просмотреть захваченные пакеты необходимо выбрать пункт меню Capture\Display captured data или нажать клавишу F10, или нажать соответствующую кнопку на панели инструментов. При этом откроется окно просмотра пакетов:
Каждая строчка в этом окне соответствует одному захваченному пакету, пакеты располагаются в том порядке, в котором были захвачены (то есть в порядке, в котором были переданы по сети). Чтобы перейти в режим просмотра содержимого пакета, необходимо выбрать пакет и нажать Enter, либо дважды кликнуть мышью на пакете. При этом окно разделится на 3 части:
Верхнее окно по-прежнему отображает все пакеты. Среднее окно – детальную информацию о выбранном пакете. Нижнее – содержимое выбранного пакета в шестнадцатиричном виде.
Верхнее окно отображает следующую информацию для каждого пакета:
Frame - Порядковый номер пакета. Начинается с 1.
Time – Время захвата пакета. Этот параметр имеет разный смысл, в зависимости от опции Display\options:
- Абсолютное (системное) время
- Продолжительность захвата пакета
- Время между окончанием захвата предыдущего пакета и началом захвата текущего
Src MAC Addr - MAC - адрес источника. Может отображаться как в виде 6-байтового значения MAC-адреса, так и в виде имени Таблицы адресов Network monitor (см п. 5)
Dst MAC Addr - MAC – адрес получателя. Может отображаться как в виде 6-байтового значения MAC-адреса, так и в виде имени Таблицы адресов Network monitor (см п. 5)
Protocol Протокол верхнего уровня, который был источником пакета.
Description Краткое оприсание содержимого протокола
Src Other Addr Адрес источника на сетевом уровне (обычно IP - адрес или IPX - адрес). Тип указывается в параметре Type Other Addr.
Dst Other Addr Адрес назначения на сетевом уровне (обычно IP - адрес или IPX - адрес). Тип указывается в параметре Type Other Addr.
Type Other Addr Тип сетевого адреса (тип используемого для передачи протокола сетевого уровня). Определяет тип значений двух предыдущих полей.
Среднее окноявляется основным и содержит детальную информацию о пакете. Состоит из нескольких секций. Верхняя секция – Frame – содержит общую информацию о пакете (не содержащуюся в теле пакета), такую как время, номер пакета и его размер. Количество с состав остальных секций будет зависеть от количества заголовков протоколов разных уровней, которые использовались при формировании пакета, то есть от назначения пакета и программного компоненте – источника пакета. Каждая секция соответствует своему протоколу, порядок расположения секций – порядку расположения заголовков в теле пакета, то есть порядку обработки пакета. Это в свою очередь соответствует порядку расположения уровней в 7-уровневой модели OSI.
Нижнее окноотображает содержимое тела пакета в шестнадцатиричном виде и в виде символов ASCII. При выделении секции в среднем окне, в нижнем окне выделяется часть пакета, соответствующая выделенной секции.
Таблица адресовNetwork monitor
Для упрощения чтения информации о захваченных пакетах и создании фильтров (см. п. 6) каждому адресу компьютера в сети можно сопоставить символьное имя, которое будет отображаться в соответствующих полях при просмотре пакетов вместо MAC-адреса или адреса компьютера сетевого уровня. Информация об этих символьных именах и адресах, которые им сопоставлены, хранится в таблице адресов Network Monitor. Просмотреть и отредактировать таблицу адресов можно, выбрав пункт меню Display\Addresses. Адресная таблица имеет следующий вид:
Основными полями таблицы адресов являются символьное имя, сопоставленный ему адрес и тип адреса. Следует обратить внимание, что адрес может быть как физический, так и сетевой, поэтому для каждого символьного имени может быть задано два адреса разного типа.
Таблица адресов формируется автоматически в процессе захвата пакетов. При этом в качестве символьных имен используются NETBIOS-имена компьютеров.
Существуют записи адресной таблицы по умолчанию (помечены символом *). Они задают имена для специальных адресов физического уровня. Например для широковещательных пакетов Ethernet, адрес назначения которых состоит из двоичных единиц (FFFFFFFFFFFF) используется имя BROADCAST.
Для того чтобы добавить адрес в таблицу, нужно нажать кнопку Add.., после чего появится диалоговое окно:
Установка фильтров на захват пакетов (Capture filter)
При решении конкретных задач анализа сетевого трафика обычно бывает необходимо захватывать не все пакеты, передаваемые по сети (их количество может быть очень большим!), а только определенные, то есть пакеты, удовлетворяющее определенным условиям. Для этого устанавливаются фильтры захвата (Capture filter – не путать с фильтрами просмотра – Display filter!). Для того чтобы просмотреть или изменить фильтр захвата нужно выбрать меню Capture\Filter. Появится окно отображающее текущий фильтр:
Фильтрация захватываемых пакетов возможна на основе следующих критериев:
Тип протокола. Для определения этого критерия необходимо дважды кликнуть на строке SAP/ETYPE = … Появится диалоговое окно, которое позволяет разрешить или запретить захват пакетов определенного протокола. По умолчанию все протоколы разрешены для захвата (Enabled protocols):
Адрес компьютера. Для определения этого критерия необходимо дважды кликнуть на строке Address Pairs. Появится диалоговое окно, которое позволяет определить пары адресов, при передаче между которыми пакеты будут захватываться. Кроме того, можно определить направление передачи захватываемых пакетов (Direction) – двустороннее или только в направлении от одного адреса другому. Имя *ANY соответствует любому адресу любого типа. По умолчанию этот критерий настроен на захват всех пакетов во всех направлениях (ANY<->ANY).
Соответствие поля пакета шаблону (Pattern matches). Позволяет захватывать пакеты, содержимое которых соответствует шаблону. Шаблон представляет собой двоичные данные (Hex) или строку символов (ASCII) и смещение в байтах относительно начала пакета (From start of frame). Пакет будет захвачен, если его содержимое по указанному смещению соответствует указанной последовательности двоичных или символьных данных. По умолчанию шаблон не задан, то есть все пакеты соответствуют шаблону.
Все три вышеописанных критерия объединены по логической схеме «И» (AND). Это означает, что пакет будет захвачен в том случае, если соответствует всем трем критериям. Для критерия Pattern matches могут быть заданы несколько условий, комбинированных в логическое выражение. Например, следующий фильтр предназначен для захвата пакетов, содержащих указанные данные по смещению 0x30 либо указанные данные по смещению 0x50 и не содержащих указанных данных по смещению 0x4.
6.3.Порядок выполнения работы
1. В командной строке выполнить команду ipconfig /all. Просмотреть и записать имя, MAC-адрес (физический адрес) и IP- адрес вашего компьютера.
2. Выбрать в меню Capture/Networks интерфейс для захвата пакетов.
3. Создать фильтр, предназначенный для захвата пакетов, передаваемых между вашим компьютером и всеми остальными компьютерами сети в обоих направлениях. При выборе адреса вашего компьютера их таблицы адресов необходимо указать имя LOCAL соответствующее физическому адресу вашего компьютера. Сохранить фильтр в файле, имя которого совпадает с вашим именем пользователя с индексом 1 (например 281san1.cf).
4. Используя созданный фильтр, захватить небольшое количество пакетов (100-200). При этом после запуска захвата пакетов необходимо инициировать сетевую активность своего компьютера – например, запустить Интернет-браузер, браузер для просмотра сетевого окружения, обратиться к сетевому диску.
5. Перейти в режим просмотра захваченных пакетов.
6. Из общего количества пакетов (за исключением первого и последнего пакета) выбрать несколько пакетов, имеющих различную структуру (не менее 3-х). В среднем окне просмотра открыть секции Frame и Ethernet, просмотреть содержимое полей.
7. Выписать и оформить в виде таблицы следующую информацию о пакетах:
§ MAC-адрес источника (Source address)
§ MAC-адрес назначения (Destination address)
§ Тип протокола верхнего уровня (Ethernet Type)
§ Общий размер пакета (Total Frame Lengths)
§ Размер поля данных Ethernet-пакета (Number of data bytes remaining)
§ Порядок вложенности протоколов. Например, для рассматриваемого выше пакета Ethernet,IP,TCP,NBT
8. Сохранить захваченные пакеты в файле, имя которого совпадает с вашим именем пользователя с индексом 1 например 281san1.cap
9. Создать фильтр для захвата пакетов, не содержащих IP-пакеты. Для этого в окне Capture filter выбрать строку SAP/ETYPE и нажать кнопку Edit.
Запретить захват IP-пакетов и нажать ОК.
10. Произвести захват пакетов (захватить не менее 3-х пакетов), повторить п.7.
11. Сохранить захваченные пакеты в файле, имя которого совпадает с вашим именем пользователя с индексом 2, например 281san2.cap
6.4.Контрольные вопросы
1. Можно ли при помощи сетевого монитора захватить пакет, если в нем ни MAC-адрес источника, ни MAC-адрес назначения не являются МАС-адресом компьютера, с которого производится захват? Объяснить.
2. Что такое MAC-адрес?
3. Что такое сетевой адрес?
4. Приведите краткое описание алгоритма передачи пакетов по сети Ethernet.
5. Из каких полей состоит заголовок кадра Ethernet?
6. Какой размер имеет заголовок кадра Ethernet?
7. После окончания захвата показатели Network statistic – frames и Captured statistic - frames имеют одинаковые значения. Какой вывод можно сделать?
8. Что такое инкапсуляция пакетов различных уровней?
Лабораторная работа 7.Состав стека протоколов TCP/IP. Изучение протоколов ARP, IP, ICMP.
7.1.Введение
Стек протоколов TCP/IP в настоящее время является наиболее популярным средством организации составных сетей. На основе этого стека протоколов организована глобальная сеть Internet. Поэтому именно на примере этого стека целесообразно проводить изучение средств сетевого уровня. В данной лабораторной работе приводится краткая характеристика стека TCP/IP, назначение и функции протокола межсетевого взаимодействия IP, протокола разрешения адреса ARP, протокола управляющих сообщений Internet ICMP.
7.2.Общая характеристика стека протоколов TCP/IP
В стеке TCP/IP определены 4 уровня. Каждый из этих уровней несет на себе некоторую нагрузку по решению основной задачи — организации надежной и
производительной работы составной сети, части которой построены на основе разных сетевых технологий.
| Уровень I | Прикладной уровень |
| Уровень II | Основной (транспортный) уровень |
| Уровень III | Уровень межсетевого взаимодействия |
| Уровень IV | Уровень сетевых интерфейсов |