 |
Лабораторная работа № 1 - Анализ сетевого трафика. Изучение прикладных протоколов
|
|
|
|
ОТЧЁТ ПО ЛАБОРАТОРНЫМ РАБОТАМ №1-3
По дисциплине: Хранение и защита компьютерной информации
Пермь, 2016 г.
Лабораторная работа № 1 - Анализ сетевого трафика. Изучение прикладных протоколов
Цели работы:
· Изучить основные принципы анализа сетевого трафика.
· Изучить сетевые протоколы, форматы кадров и пакетов, передаваемых по сети.
· Провести анализ сетевых угроз информационной безопасности.
Задачи работы:
· Изучить интерфейс и функциональные возможности программы сканера сети Wireshark.
· Изучить утилиты командной строки Windows для анализа сетевых соединений.
· Изучить сетевые протоколы, форматы кадров и пакетов в сети.
· Выполнить поставленные задания.
· Подготовить отчет, ответить на контрольные вопросы.
Ход работы:
1. Запустим программу Wireshark и получим список всех Ethernet -адаптеров, а также их mac -адреса, включим режим прослушивания.
Все захваченные пакеты отображаются в окне пакетов. Каждая строка в
данном окне связана с одним пакетом. При выборе строки дополнительная информация будет отображена в окне детализации.
Рисунок 1 – Окно пакетов, в котором отображаются все захваченные пакеты
2. При помощи утилиты ipconfig определим настройку протокола IP (адрес подсети, IP -адрес компьютера, а также диапазон адресов, используемых в подсети).
В данном пункте в командной строке мы вводим ipconfig /all, что позволяет вывести полную конфигурацию TCP/IP для всех адаптеров. Без параметра /all команда ipconfig выводит только IP -адреса, маску подсети и основной шлюз для каждого адаптера.
Рисунок 2 – Полная конфигурация TCP/IP для всех адаптеров
3. Осуществим вывод таблиц протокола ARP для всех интерфейсов при помощи команды arp –a. Вывод таблиц производился на домашнем компьютере, дальнейшие скриншоты и описание следуют из работы в аудитории.
|
|
|
Рисунок 3 – Таблица протокола ARP для всех интерфейсов
4. Пользуясь программой сканером, отследим пакеты протокола ARP, сформированные при соединении с компьютером-корреспондентом.
Adress Resolution Protocol – протокол разрешения адреса.
Передавать фреймы в сети Ethernet можно, используя аппаратные (далее MAC) адреса. Это не сетевой (IP) адрес вида 192.168.0.1, а нечто более сложное, вида 00:00:00:c1:d9:26.
Принцип работы следующий. Компьютер, которому требуется передать данные в сети, имеет IP адрес (свой собственный), а также IP адрес получателя. Однако передавать данные можно, только имея MAC -адреса. Поэтому компьютер, инициирующий соединение, посылает широковещательный ARP запрос вида:
Who has <IP-addr>? Tell <Self IP-addr>
где спрашивает, “ У кого IP такой-то? Сообщите мне”, и этот пакет посылается на ff:ff:ff:ff:ff:ff (широковещательно), то есть всем узлам в сети. Каждый компьютер в сети получает этот пакет и смотрит, принадлежит ли указанный IP какому-либо из его интерфейсов. Если принадлежит, то на MAC -адрес отправителя (он известен из заголовка пакета) отправляется пакет с ответом (reply).
Компьютер, получивший ответ, для передачи на целевой IP будет посылать данные на MAC -адрес отправителя пакета ответа.
Рисунок 4 – Отслеживание пакетов протокола ARP, сформированных при соединении с компьютером-корреспондентом
Очень распространена атака вида MITM (Man in the Middle), когда компьютер злоумышленника отвечает вместо целевого компьютера (раньше его) и обмен между двумя узлами происходит через посредника, прослушивающего весь трафик. На рисунке ниже показана атака MITM.
Рисунок 5 – Атака «человек посередине» (MITM)
Перед тем, как узел “А” посылает кадр данных для “Б”, он должен получить физический адрес узла “Б” с известным IP -адресом. Посылается широковещательный запрос и ожидается ответ от “Б” обратно к “А”, что “ У меня такой адрес”. Задача злоумышленника ответить узлу “А” раньше истинного узла “Б”, что он, якобы, и есть узел “Б”.
|
|
|
Тогда узел “А” будет посылать пакет злоумышленнику вместо истинного “Б”, полагая, что посылает верно. Прочитав данные, злоумышленник пошлёт пакет истинному “Б” дальше, и наоборот. Иначе говоря, злоумышленник «встраивается» между ними, как это изображено на рисунке выше.
5. DNS – трафик. Протокол DNS служит для преобразования понятного людям символьного имени, такого как, к примеру, litl-admin.ru в IP -адрес, на который выполняется запрос.
Рисунок 6 – Образец трафика DNS
Протокол DNS (в выделенной зоне он самый нижний – domain name system) является надстройкой в протокол UDP, лежащий на 4-ом уровне. То есть без установки постоянного соединения, простой отправкой пакетов (дэйтаграмм). Как и TCP, протокол UDP имеет порты. Для DNS это порт с номером 53, что легко прослеживается в дереве протоколов.
Спускаясь ещё ниже, мы видим, что UDP протокол опирается на IP – протокол передачи между сетями. В настоящее время IP -протокол - основной протокол передачи данных в сети Internet. На этом уровне имеется информация об IP -адресах источника, а также назначения и сведения об инкапсулированном пакете UDP.
В качестве адреса источника будет использоваться наша машина, запросившая информацию по DNS, а в качестве IP-адреса назначения – сам DNS сервер, который (подразумевается) должен иметь базу данных таких соответствий.
Как видим, если развернуть дерево информации в анализе пакета, то станет понятно, что поступил запрос (Queries) получения стандартной записи хоста (Type: PTR) по имени (Name: 54.0.168.192.in-addr.arpa).
Рисунок 7 – Стандартный запрос
Рисунок 8 – Ответ на запрос
Рисунок 9 – Флаги ответа
6. Пользуясь программой сканером на примере одного из активных соединений, отследим получаемый трафик по протоколу TCP, а на примере одного из пакетов - вложенность протоколов. Выполним анализ информации, содержащейся в заголовках сегмента TCP.
Рисунок 10 – Трафик по протоколу TCP
Предположим, узел А желает установить соединение с узлом В. Первый отправляемый из А в В TCP -сегмент не содержит полезных данных, а служит для установления соединения. В его заголовке (в поле Flags) установлен бит SYN, означающий запрос связи. В ответ на получение такого сегмента узел В откликается посылкой TCP -сегмента, в заголовке которого установлен бит ACK, подтверждающий установление соединения для получения данных от узла А. Так как протокол TCP обеспечивает полнодуплексную передачу данных, то узел В в этом же сегменте устанавливает бит SYN, означающий запрос связи для передачи данных от В к А. Полезных данных этот сегмент также не содержит. Третий TCP -сегмент в сеансе посылается из А в В в ответ на сегмент, полученный из В. Так как соединение А ->В можно считать установленным (получено подтверждение от В), то узел А включает в свой сегмент полезные данные.
|
|
|
Сеанс обмена данными заканчивается процедурой разрыва соединения, которая аналогична процедуре установки, с той разницей, что вместо SYN для разрыва используется служебный бит FIN (“данных для отправки больше не имею”), который устанавливается в заголовке последнего сегмента с данными, отправляемого узлом.
После применения фильтра TCP первые три кадра на панели списка пакетов (верхний раздел) отображают протокол транспортного уровня TCP, создающий надёжный сеанс связи. Последовательность [SYN], [SYN, ACK] и [ACK] иллюстрирует трёхстороннее рукопожатие.
Протокол TCP регулярно используется во время сеанса связи для контроля доставки датаграмм, проверки их поступления и управления размером окна. Для каждого обмена данными между FTP - клиентом и FTP -сервером запускается новый сеанс TCP. По завершении передачи данных сеанс TCP закрывается. По завершении сеанса FTP протокол TCP выполняет плановое отключение и прекращение работы. Программа Wireshark отображает подробные данные TCP на панели сведений о пакетах (средний раздел).
Рисунок 11 – Сеанс обмена данными
7. Пользуясь программой сканером, проследим процесс установления соединения по протоколу FTP с любым FTP сервером. Проанализируем защищенность процедуры аутентификации с FTP сервером.
В поле фильтра следует просто написать " ftp ". Незамедлительно после этого будет выделен трафик, относящийся к сессии FTP, и в качестве потрясающей демонстрации проблем с безопасностью увидим имя пользователя и пароль, который ввели ранее. Результат представлен на рисунке ниже.
|
|
|
Рисунок 12 – Трафик по протоколу FTP
Вывод: в ходе выполненной лабораторной работы были изучены основные принципы анализа сетевого трафика, сетевые протоколы, форматы кадров и пакетов, передаваемых по сети, а также проведён анализ сетевых угроз информационной безопасности.
|
|
|
