Просмотр arp с помощью программы wireshark интерфейсов командной строки windows и ios
Протокол разрешения адресов (ARP) используется протоколом TCP/IP для сопоставления IP-адреса уровня 3 с МАС-адресом уровня 2. Когда кадр помещается в сеть, он должен содержать MAC-адрес назначения. Для динамического определения MAC-адреса устройства назначения по локальной сети отправляется широковещательный запрос ARP. Устройство, которое содержит IP-адрес назначения, отвечает, и MAC-адрес записывается в ARP-кэш. Каждое устройство в локальной сети имеет собственный ARP-кэш или небольшой участок в ОЗУ, где хранятся результаты ARP. Таймер ARP-кэша удаляет ARP-записи, которые не использовались в течение определённого периода времени.
ARP — яркий пример компромисса производительности. При отсутствии кэша протокол ARP должен непрерывно запрашивать трансляцию адресов каждый раз при помещении кадра в сеть. В этом случае для установления связи прибавляется время ожидания, что может вызвать перегрузку локальной сети. И наоборот, неограниченное время ожидания может привести к ошибкам устройств, которые покидают сеть или меняют адрес уровня 3.
Администратор сети должен знать о протоколе ARP, даже если не может с ним взаимодействовать на регулярной основе. ARP — это протокол, который позволяет сетевым устройствам обмениваться данными с протоколом TCP/IP. Без него невозможно эффективно построить датаграмму для адреса назначения уровня 2. Кроме того, ARP может создавать риски для безопасности. Хакеры используют ARP-спуфинг, или «отравление» ARP-кэша, для внедрения в сети неверных МАС-адресов. Злоумышленник генерирует ложный MAC-адрес устройства, в результате чего кадры передаются на неверный адрес назначения. Ручная конфигурация статических связей ARP — это один из способов предотвращения атак на основе протокола ARP. И, наконец, для предотвращения несанкционированного доступа к сети на устройствах Cisco можно настроить список авторизированных МАС-адресов.
В данной лабораторной работе вам предстоит открыть таблицу ARP с помощью команд ARP в маршрутизаторах Windows и Cisco. Кроме того, вы очистите ARP-кэш и добавите статические записи ARP.
Примечание. Маршрутизаторы, используемые на практических занятиях CCNA: маршрутизаторы с интеграцией сервисов серии Cisco 1941 (ISR) установленной версии Cisco IOS 15.2(4) M3 (образ universalk9). Используемые коммутаторы: семейство коммутаторов Cisco Catalyst 2960 версии CISCO IOS 15.0(2) (образ lanbasek9). Можно использовать другие маршрутизаторы, коммутаторы и версии CISCO IOS. В зависимости от модели и версии Cisco IOS выполняемые доступные команды и выводы могут отличаться от данных, полученных в ходе лабораторных работ. Точные идентификаторы интерфейса см. в таблице сводной информации об интерфейсах маршрутизаторов в конце данной лабораторной работы.
Примечание. Убедитесь, что информация, имеющаяся на маршрутизаторе и коммутаторе, удалена и они не содержат файлов загрузочной конфигурации. Если вы не уверены, что сможете это сделать, обратитесь к инструктору.
• 1 маршрутизатор (Cisco 1941 с универсальным образом M3 версии CISCO IOS 15.2(4) или аналогичным)
• 2 коммутатора (Cisco 2960, ПО CISCO IOS версии 15.0(2), образ lanbasek9 или аналогичный)
• Два ПК (Windows 7, Vista или XP с установленным эмулятором терминала, например Tera Term, и программой Wireshark)
• Консольные кабели для настройки устройств CISCO IOS через консольные порты
• Кабели Ethernet в соответствии с топологией
Примечание. Интерфейсы Fast Ethernet на коммутаторах Cisco 2960 определяют тип подключения автоматически, поэтому между коммутаторами S1 и S2 можно использовать прямой кабель Ethernet.
При использовании коммутатора Cisco другой модели может потребоваться кроссовый кабель Ethernet.
Шаг 1: Подключите сеть в соответствии с топологией.
Шаг 2: Настройте IP-адреса устройств в соответствии с таблицей адресации.
Шаг 3: Проверьте подключение к сети, отправив с ПК-Б эхо-запросы с помощью команды ping на все устройства.
Команда arp позволяет пользователю просматривать и изменять ARP-кэш в ОС Windows. Команда вводится в командную строку Windows.
Шаг 1: Отобразите ARP-кэш.
a. Откройте окно командной строки на ПК-А и введите arp.
C:\Users\User1> arp
Displays and modifies the IP-to-Physical address translation tables used by address resolution protocol (ARP).
ARP -s inet_addr eth_addr [if_addr]
ARP -d inet_addr [if_addr]
ARP -a [inet_addr] [-N if_addr] [-v]
-a Displays current ARP entries by interrogating the current protocol data. If inet_addr is specified, the IP and Physical addresses for only the specified computer are displayed. If more than one network interface uses ARP, entries for each ARP table are displayed. -g Same as -a. -v Displays current ARP entries in verbose mode. All invalid entries and entries on the loop-back interface will be shown. inet_addr Specifies an internet address. -N if_addr Displays the ARP entries for the network interface specified by if_addr. -d Deletes the host specified by inet_addr. inet_addr may be wildcarded with * to delete all hosts. -s Adds the host and associates the Internet address inet_addr with the Physical address eth_addr. The Physical address is given as 6 hexadecimal bytes separated by hyphens. The entry is permanent. eth_addr Specifies a physical address.
if_addr If present, this specifies the Internet address of the interface whose address translation table should be modified. If not present, the first applicable interface will be used. Example:
> arp -s 157.55.85.212 00-aa-00-62-c6-09 . Adds a static entry.
> arp -a . Displays the arp table. b. Изучите выходные данные.
Какая команда позволяет отобразить все записи в ARP-кэше? _______________________________ Какая команда позволяет удалить все записи в ARP-кэше (очистить ARP-кэш)? ________________ Какая команда позволяет удалить все записи в ARP-кэше для 192.168.1.11?
c. Введите arp —a, чтобы отобразить таблицу ARP.
C:\Users\User1> arp –a
Interface: 192.168.1.3 --- 0xb
Internet Address Physical Address Type
192.168.1.1 d4-8c-b5-ce-a0-c1 dynamic
192.168.1.255 ff-ff-ff-ff-ff-ff static
224.0.0.22 01-00-5e-00-00-16 static
224.0.0.252 01-00-5e-00-00-fc static
239.255.255.250 01-00-5e-7f-ff-fa static
Примечание. В ОС Windows XP таблица ARP будет пустой (как показано ниже).
C:\Documents and Settings\User1> arp -a No ARP Entries Found.
d. Отправьте эхо-запрос с помощью команды ping с ПК-А на ПК-Б для динамического добавления записей в ARP-кэш.
C:\Documents and Settings\User1> ping 192.168.1.2
Interface: 192.168.1.3 --- 0xb
Internet Address Physical Address Type
192.168.1.2 00-50-56-be-f6-db dynamic Назовите физический адрес узла с IP-адресом 192.168.1.2.
Шаг 2: Настройте записи в ARP-кэш вручную.
Чтобы удалить записи из ARP-кэша, выполните команду arp –d . Можно удалить адреса по отдельности, указав соответствующие IP-адреса, либо стереть сразу все записи с помощью подстановочного символа * .
Убедитесь в том, что ARP-кэш содержит следующие записи: шлюз по умолчанию R1 G0/1 (192.168.1.1), ПК-Б (192.168.1.2) и оба коммутатора (192.168.1.11 и 192.168.1.12).
a. С ПК-А отправьте эхо-запросы с помощью команды ping на все адреса в таблице адресов.
b. Убедитесь в том, что все адреса добавлены в ARP-кэш. Если адрес в ARP-кэше отсутствует, отправьте эхо-запрос с помощью команды ping на адрес назначения и проверьте, добавлен ли адрес в ARP-кэш.
C:\Users\User1> arp –a
Interface: 192.168.1.3 --- 0xb
Internet Address Physical Address Type
192.168.1.1 d4-8c-b5-ce-a0-c1 dynamic
192.168.1.255 ff-ff-ff-ff-ff-ff static
224.0.0.22 01-00-5e-00-00-16 static
224.0.0.252 01-00-5e-00-00-fc static
239.255.255.250 01-00-5e-7f-ff-fa static
Примечание. Пользователям Windows XP для изменения записей в ARP-кэше права администратора не требуются.
d. В окне командной строки администратора введите arp –d *. Эта команда удалит все записи из ARP-кэша. Убедитесь в том, что все записи из ARP-кэша удалены. Для этого в командной строке введите arp –a.
C:\windows\system32> arp –d *
C:\windows\system32> arp –a No ARP Entries Found.
e. Подождите несколько минут. Протокол обнаружения соседей снова начинает заполнять ARP-кэш.
C:\Users\User1> arp –a
Interface: 192.168.1.3 --- 0xb
Internet Address Physical Address Type
192.168.1.255 ff-ff-ff-ff-ff-ff static
Примечание. В Windows XP протокол обнаружения соседей не работает.
f. С ПК-А отправьте эхо-запрос с помощью команды ping на ПК-Б (192.168.1.2) и коммутаторы (192.168.1.11 и 192.168.1.12), чтобы добавить записи ARP. Убедитесь в том, что все записи ARP добавлены в ARP-кэш.
C:\Users\User1> arp –a
Interface: 192.168.1.3 --- 0xb
Internet Address Physical Address Type
192.168.1.255 ff-ff-ff-ff-ff-ff static
g. Запишите физический адрес коммутатора S2.__________________________________________
h. Чтобы удалить отдельную запись ADR, введите команду arp- d inet-addr. Чтобы удалить запись ARP для коммутатора S2, в командной строке введите arp -d 192.168.1.12.
C:\windows\system32> arp –d 192.168.1.12
i. Чтобы проверить, удалена ли запись ARP для коммутатора S2 из ARP-кэша, введите arp –a.
C:\Users\User1> arp –a
Interface: 192.168.1.3 --- 0xb
Internet Address Physical Address Type
192.168.1.255 ff-ff-ff-ff-ff-ff static
j. Для добавления отдельной записи ARP введите команду arp –s inet_addr mac_addr. В данном примере будут использоваться IP- и MAC-адреса для коммутатора S2. Используйте MAC-адрес, записанный в шаге g.
C:\windows\system32> arp –s 192.168.1.12 0c-d9-96-d2-40-40
k. Запись ARP для коммутатора S2 должна добавиться в кэш.
В Cisco IOS ARP-кэш маршрутизаторов и коммутаторов можно также отображать с помощью команд show arp или show ip arp.
Шаг 1: Отобразите записи ARP на маршрутизаторе R1.
Protocol Address Age (min) Hardware Addr Type Interface
Internet 192.168.1.1 - d48c.b5ce.a0c1 ARPA GigabitEthernet0/1
Internet 192.168.1.2 0 0050.56be.f6db ARPA GigabitEthernet0/1 Internet 192.168.1.3 0 0050.56be.768c ARPA GigabitEthernet0/1
Обратите внимание на то, что первая запись интерфейса маршрутизатора G0/1 (шлюз по умолчанию для локальной сети) не имеет срока жизни. Срок жизни — это количество минут (мин), на протяжении которых запись содержалась в ARP-кэше. Для других записей это значение увеличивается. Протокол обнаружения соседей заполняет записи IP- и МАС-адресов на ПК-А и ПК-Б.
Шаг 2: Добавьте записи ARP на маршрутизатор R1.
Записи ARP можно добавлять в ARP-таблицу маршрутизатора, отправляя эхо-запросы с помощью команды ping на другие устройства.
a. Отправьте эхо-запрос с помощью команды ping с помощью команды ping на коммутатор S1.
Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.1.11, timeout is 2 seconds: .
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/2/4 ms
b. Убедитесь в том, что запись ARP для коммутатора S1 добавлена в таблицу ARP маршрутизатора R1.
Protocol Address Age (min) Hardware Addr Type Interface
Internet 192.168.1.1 - d48c.b5ce.a0c1 ARPA GigabitEthernet0/1
Internet 192.168.1.2 6 0050.56be.f6db ARPA GigabitEthernet0/1
Internet 192.168.1.3 6 0050.56be.768c ARPA GigabitEthernet0/1 Internet 192.168.1.11 0 0cd9.96e8.8a40 ARPA GigabitEthernet0/1
Шаг 3: Отобразите записи ARP на коммутаторе S1.
Protocol Address Age (min) Hardware Addr Type Interface
Internet 192.168.1.1 46 d48c.b5ce.a0c1 ARPA Vlan1
Internet 192.168.1.2 8 0050.56be.f6db ARPA Vlan1
Internet 192.168.1.3 8 0050.56be.768c ARPA Vlan1 Internet 192.168.1.11 - 0cd9.96e8.8a40 ARPA Vlan1
Шаг 4: Добавьте записи ARP на коммутаторе S1.
Записи ARP можно также добавлять в ARP-таблицу коммутатора, отправляя эхо-запросы с помощью команды ping на другие устройства.
a. С коммутатора S1 отправьте эхо-запрос с помощью команды ping на коммутатор S2.
Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.1.12, timeout is 2 seconds: .
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/2/8 ms
b. Убедитесь в том, что запись ARP для коммутатора S2 добавлена в таблицу ARP коммутатора S1.
Protocol Address Age (min) Hardware Addr Type Interface
Internet 192.168.1.1 5 d48c.b5ce.a0c1 ARPA Vlan1
Internet 192.168.1.2 11 0050.56be.f6db ARPA Vlan1
Internet 192.168.1.3 11 0050.56be.768c ARPA Vlan1
Internet 192.168.1.11 - 0cd9.96e8.8a40 ARPA Vlan1 Internet 192.168.1.12 2 0cd9.96d2.4040 ARPA Vlan1
Шаг 1: Настройте программу Wireshark для захвата пакетов.
a. Запустите программу Wireshark.
a. Начните захват пакетов в программе Wireshark. С помощью фильтра отобразите только пакеты ARP.
b. Очистите ARP-кэш, набрав в командной строке команду arp –d *.
c. Убедитесь в том, что ARP-кэш очищен.
d. Отправьте эхо-запрос с помощью команды ping на шлюз по умолчанию с помощью команды ping 192.168.1.1.
e. После отправки эхо-запроса на шлюз по умолчанию остановите захват данных программой Wireshark.
Какой пакет ARP был первым? ___________________________
Заполните приведённую ниже таблицу данными первого захваченного пакета ARP.
MAC-адрес отправителя
IP-адрес отправителя
MAC-адрес назначения
IP-адрес назначения
Какой пакет ARP был вторым? ______________________________
Заполните приведённую ниже таблицу данными второго захваченного пакета ARP.
MAC-адрес отправителя
IP-адрес отправителя
MAC-адрес назначения
IP-адрес назначения
Шаг 3: Проанализируйте задержки сети, вызванные ARP.
a. Очистите записи ARP на ПК-А.
b. Начните захват данных программой Wireshark.
c. Отправьте эхо-запрос с помощью команды ping на коммутатор S2 (192.168.1.12). Эхо-запрос с помощью команды ping, отправленный после первого эхо-запроса, должен быть успешным.
Примечание. Если все эхо-запросы успешны, необходимо перезагрузить коммутатор S1, чтобы просмотреть задержки сети из-за ARP.
C:\Users\User1> ping 192.168.1.12
Request timed out.
Reply from 192.168.1.12: bytes=32 time=2ms TTL=255
Reply from 192.168.1.12: bytes=32 time=2ms TTL=255
Reply from 192.168.1.12: bytes=32 time=2ms TTL=255
Ping statistics for 192.168.1.12:
Packets: Sent = 4, Received = 3, Lost = 1 (25% loss),
Approximate round trip times in milli-seconds:
Minimum = 1ms, Maximum = 3ms, Average = 2ms
d. После отправления эхо-запросов с помощью команды ping остановите захват данных программой Wireshark. С помощью фильтра отобразите только данные ARP и ICMP. В поле Filter: (Фильтр) программы Wireshark введите arp или icmp.
e. Изучите захваченные данные. В данном примере кадр 10 — это первый ICMP-кадр, отправленный с ПК-Б на коммутатор S1. Поскольку для коммутатора S1 нет записи ARP, на IP-адрес управления коммутатора S1 был отправлен ARP-запрос на получение МАС-адреса. В процессе обмена данными ARP эхо-запрос с помощью команды ping не получил отклик за отведённое время (кадры 8–12).
После добавления записи ARP для коммутатора S1 в ARP-кэш последние три обмена данными ICMP были успешны, о чем свидетельствуют кадры 26, 27 и 30–33.
Как показано в захвате данных Wireshark, ARP — это яркий пример компромисса производительности. При отсутствии кэша протокол ARP должен непрерывно запрашивать трансляцию адресов каждый раз при помещении кадра в сеть. В этом случае для установления связи прибавляется время ожидания, что может вызвать перегрузку локальной сети.
Вопросы на закрепление
1. Как и когда удаляются статические записи ARP?
_______________________________________________________________________________________ 2. Зачем добавить статические записи ARP в кэш?
3. Если ARP-запросы способны вызывать задержки сети, почему не рекомендуется снимать ограничения на время ожидания отклика для записей ARP?
Сводная таблица интерфейса маршрутизатора
Общие сведения об интерфейсах маршрутизаторов
Модель маршрутизатора
Fast Ethernet 0/0 (F0/0)
Fast Ethernet 0/1 (F0/1)
Serial 0/0/0 (S0/0/0)
Serial 0/0/1 (S0/0/1)
Gigabit Ethernet 0/0 (G0/0)
Gigabit Ethernet 0/1 (G0/1)
Serial 0/0/0 (S0/0/0)
Serial 0/0/1 (S0/0/1)
Fast Ethernet 0/0 (F0/0)
Fast Ethernet 0/1 (F0/1)
Serial 0/1/0 (S0/1/0)
Serial 0/1/1 (S0/1/1)
Fast Ethernet 0/0 (F0/0)
Fast Ethernet 0/1 (F0/1)
Serial 0/0/0 (S0/0/0)
Serial 0/0/1 (S0/0/1)
Gigabit Ethernet 0/0 (G0/0)
Gigabit Ethernet 0/1 (G0/1)
Serial 0/0/0 (S0/0/0)
Serial 0/0/1 (S0/0/1)
Примечание. Чтобы узнать, каким образом настроен маршрутизатор, изучите интерфейсы для определения типа маршрутизатора и количества имеющихся на нём интерфейсов. Не существует эффективного способа перечислить все комбинации настроек для каждого класса маршрутизаторов. Эта таблица включает в себя идентификаторы возможных сочетаний Ethernet и последовательных интерфейсов в устройстве. В таблицу интерфейсов не включены иные типы интерфейсов, даже если они присутствуют на каком-либо определённом маршрутизаторе. В качестве примера можно привести интерфейс ISDN BRI. Строка в скобках — это принятое сокращение, которое может использоваться в командах IOS для представления интерфейса.
При взаимодействии протоколов верхнего уровня данные проходят уровни взаимодействия открытых систем (OSI) и инкапсулируются в кадры уровня 2. Структура кадра зависит от типа доступа к среде передачи данных. Например, если в качестве протоколов верхнего уровня используются TCP и IP, а тип доступа к среде передачи — Ethernet, то инкапсуляция кадров уровня 2 происходит через Ethernet II. Это типично для локальной среды.
При изучении концепций уровня 2 полезно анализировать данные заголовков кадров. В первой части этой лабораторной работы вы сможете посмотреть поля в кадре Ethernet II. Во второй части вам предстоит захватить и проанализировать поля заголовков кадра Ethernet II для локального и удалённого трафика с помощью программы Wireshark.
Необходимые ресурсы
• Один ПК (Windows 7, Vista или XP с выходом в Интернет и установленной программой Wireshark)
В части 1 вы изучите поля и содержание заголовков в кадре Ethernet II. Для этого будет использоваться захват данных программой Wireshark.
Шаг 1: Просмотрите длины и описания полей заголовков Ethernet II.
Адрес назначения
Адрес источника
Контрольная последовательность кадра
(Frame Check Sequence-FCS)
Шаг 2: Изучите конфигурацию сети ПК.
IP-адрес узла ПК — 10.20.164.22, IP-адрес шлюза по умолчанию — 10.20.164.17.
Шаг 3: Изучите кадры Ethernet в данных, захваченных программой Wireshark.
Показанный ниже результат захвата данных в программе Wireshark отображает пакеты, которые были сгенерированы эхо-запросом узлового ПК, отправленным на шлюз по умолчанию. В программе Wireshark включён фильтр для просмотра только ARP- и ICMP-протоколов. Сеанс начинается с ARPзапроса МАС-адреса маршрутизатора шлюза, за которым следуют четыре эхо-запроса с помощью команды ping и отклика.
Шаг 4: Изучите содержание заголовков Ethernet II в ARP-запросе.
В приведённой ниже таблице выбран первый кадр из данных, захваченных программой Wireshark, и отображаются данные в полях заголовков Ethernet II.
Не показано в захвате данных
В этом поле содержатся синхронизированные биты, обработанные аппаратным обеспечением сетевого адаптера.
Адреса уровня 2 для кадра. Длина каждого адреса составляет 48 бит или 6 октетов, выраженных 12 шестнадцатеричными цифрами, 0-9,A-F . Общий формат — 12:34:56:78:9А:B C.
Первые шесть шестнадцатеричных номеров обозначают производителя сетевого адаптера, а последние — серийный номер устройства.
Адрес назначения может быть широковещательным (состоящим только из единиц), либо индивидуальным.
Адрес источника всегда индивидуальный.
В кадрах Ethernet II это поле содержит шестнадцатеричное значение, которое используется для указания типа протокола верхнего уровня в поле данных. Ethernet II поддерживает множество протоколов верхнего уровня. Наиболее распространены следующие два типа кадров:
0x0800 Протокол IPv4
0x0806 Протокол разрешения адресов (ARP)
Содержит инкапсулированный протокол верхнего уровня. Поле данных в диапазоне от 46 до 1500 байт.
Контрольная последовательность кадра (Frame Check
Не показано в захвате данных
Контрольная последовательность кадра, используемая сетевым адаптером для выявления ошибок при передаче данных. Значение вычисляется компьютером отправителя, включает адреса, тип и поле данных кадра и проверяется получателем.
Какова особенность содержания поля адреса назначения?
Почему перед первым эхо-запросом с помощью команды ping ПК отправляет широковещательную рассылку ARP?
_______________________________________________________________________________________ _______________________________________________________________________________________ Назовите MAC-адрес источника в первом кадре. _______________________
Назовите идентификатор производителя (OUI) сетевого адаптера источника. __________________________
Какая часть МАС-адреса соответствует OUI?
Назовите серийный номер сетевого адаптера источника. _________________________________
В части 2 вы воспользуетесь программой Wireshark для захвата локальных и удалённых кадров Ethernet. Затем вы изучите сведения, содержащиеся в полях заголовков кадров.
Шаг 1: Определите IP-адрес шлюза по умолчанию на своём ПК.
Откройте окно командной строки и введитеipconfig.
Назовите IP-адрес шлюза ПК по умолчанию. ________________________
Шаг 2: Начните захват трафика на сетевом адаптере своего ПК.
a. Откройте Wireshark.
b. На панели инструментов анализатора сети Wireshark нажмите на значок Interface List (Список интерфейсов).
c. В окне Wireshark: Capture Interfaces (Захват интерфейсов) выберите интерфейс, в котором нужно начать захват трафика, установив соответствующий флажок, и нажмите кнопку Start (Пуск). Если вы не знаете, какой интерфейс выбрать, нажмите кнопку Details (Сведения), чтобы открыть подробную информацию о каждом из указанных интерфейсов.
d. Понаблюдайте за трафиком в окне списка пакетов (Packet List).
Шаг 3: С помощью фильтров программы Wireshark отобразите на экране только трафик ICMP.
Чтобы скрыть ненужный трафик, установите соответствующий фильтр Wireshark. Фильтр не блокирует захват ненужных данных, а лишь отбирает то, что нужно показывать на экране. На данный момент разрешено отображение только ICMP-трафика.
В поле Filter (Фильтр) программы Wireshark введите icmp. При правильной настройке фильтра поле должно стать зелёным. Если поле стало зелёным, нажмите кнопку Аpply (Применить), чтобы применить фильтр.
Шаг 4: Из окна командной строки отправьте эхо-запрос с помощью команды ping на шлюз ПК по умолчанию.
Из окна командной строки отправьте эхо-запрос с помощью команды ping на шлюз по умолчанию, используя IP-адрес, записанный в шаге 1.
Шаг 5: Остановите захват трафика на сетевом адаптере.
Чтобы остановить захват трафика, нажмите на значок Stop Capture (Остановить захват).
Шаг 6: Изучите первый эхо-запрос с помощью команды ping в программе Wireshark.
Главное окно программы Wireshark состоит из трёх разделов: панель списка пакетов (вверху), панель сведений о пакете (посередине) и панель отображения пакета в виде последовательности байтов (внизу). Если вы правильно выбрали интерфейс для захвата пакетов в шаге 3, программа Wireshark отобразит данные протокола ICMP на панели списка пакетов, как показано в приведённом ниже примере.
a. На панели списка пакетов (верхний раздел) выберите первый указанный кадр. В столбце Info (Информация) появится значение Echo (ping) request (эхо-запрос с помощью команды ping). Строка станет синей.
b. Изучите первую строку в панели сведений о пакете в средней части экрана. В этой строке указывается длина кадра (в данном примере — 74 байта).
c. Вторая строка в панели Packet Details (Сведения о пакете) показывает, что это кадр Ethernet II. Также отображаются MAC-адреса источника и назначения.
Назовите MAC-адрес сетевого адаптера этого ПК. ________________________
Назовите MAC-адрес шлюза по умолчанию. ______________________
d. Чтобы получить больше информации о кадре Ethernet II, нажмите на значок плюса («+») в начале второй строки. Обратите внимание на то, что значок плюса при этом изменится на значок минуса
Назовите показанный тип кадра. ________________________________
e. Последние две строки среднего раздела содержат информацию о поле данных кадра. Обратите внимание на то, что данные содержат IPv4-адреса источника и назначения.
Назовите IP-адрес источника. _________________________________
Назовите IP-адрес назначения. ______________________________
f. Чтобы выделить эту часть кадра (в шестнадцатеричной системе и ASCII) в панели отображения пакета в виде последовательности байтов (нижний раздел) нажмите на любую строку в среднем разделе. Нажмите на строку Internet Control Message Protocol в среднем разделе и посмотрите, что будет выделено в панели отображения пакета в виде последовательности байтов.
Какое слово образуют последние два выделенных октета? ______
g. Нажмите на следующий кадр в верхнем разделе и изучите кадр эхо-ответа. Обратите внимание на то, что МАС-адреса источника и назначения поменялись местами, поскольку маршрутизатор, который служит шлюзом по умолчанию, отправил этот кадр в ответ на первый эхо-запрос с помощью команды ping.
Какое устройство и MAC-адрес отображаются в качестве адреса назначения?
Шаг 7: Перезапустите захват пакетов в программе Wireshark.
Шаг 9: Остановите захват пакетов.
Шаг 10: Изучите новые данные на панели списка пакетов в программе Wireshark.
Назовите МАС-адреса источника и назначения в первом кадре эхо-запроса с помощью команды ping.
Источник: _______________________________
Назначение: ______________________________
Назовите IP-адреса источника и назначения в поле данных кадра.
Источник: _______________________________
Назначение: ______________________________
Сравните эти адреса с адресами, полученными в шаге 7. Изменился только IP-адрес назначения. Почему IP-адрес назначения изменился, а MAC-адрес назначения остался прежним?
Вопросы на закрепление
Программа Wireshark не отображает поле преамбулы заголовка кадра. Что содержит преамбула?
• Начните и остановите сбор данных трафика эхо-запросов с помощью команды ping к локальным узлам.
• Найдите данные об IP- и MAC-адресах в полученных PDU.
Часть 3. Сбор и анализ данных протокола ICMP по удалённым узлам в программе Wireshark
• Начните и остановите сбор данных трафика эхо-запросов с помощью команды ping к удалённым узлам.
• Найдите данные об IP- и MAC-адресах в полученных PDU.
• Поясните, почему МАС-адреса удалённых узлов отличаются от МАС-адресов локальных узлов.
Wireshark — это программа для анализа протоколов (анализатор пакетов), которая используется для поиска и устранения неполадок в сети, анализа, разработки программного обеспечения и протоколов, а также обучения. По мере движения потоков данных по сети анализатор перехватывает каждый протокольный блок данных (PDU), после чего расшифровывает или анализирует его содержание согласно соответствующему документу RFC или другим спецификациям.
Wireshark — полезный инструмент для всех, кто работает с сетями. Его можно использовать для анализа данных, а также для поиска и устранения неполадок при выполнении большинства лабораторных работ в рамках курсов CCNA. В данной лабораторной работе содержатся инструкции по загрузке и установке программы Wireshark. Воспользуйтесь ими, если программа не установлена. В ходе лабораторной работы вы научитесь пользоваться программой Wireshark для перехвата IPадресов пакетов данных ICMP и МАС-адресов Ethernet-кадров.
• 1 ПК (Windows 7, Vista или XP с выходом в Интернет)
Программа Wireshark стала стандартным анализатором пакетов, используемым сетевыми инженерами. Версии этой программы с открытым исходным кодом доступны для различных операционных систем, включая Windows, Mac и Linux. В части 1 этой лабораторной работы вам нужно будет загрузить и установить программу Wireshark на ПК.
Примечание. Если программа Wireshark на вашем ПК уже установлена, вы можете пропустить часть 1 и перейти сразу к части 2. Если программа Wireshark на вашем ПК не установлена, узнайте у инструктора о правилах загрузки программного обеспечения в вашем учебном заведении.
Шаг 1: Загрузите программу Wireshark.
b. Нажмите Download Wireshark.
c. Выберите версию программы в соответствии с архитектурой и операционной системой вашего ПК. Например, если ваш ПК работает под управлением 64-разрядной ОС Windows, выберите Windows
Installer (64-bit).
Сразу после этого начнётся загрузка. Местонахождение загруженного файла зависит от браузера и операционной системы, которыми вы пользуетесь. В ОС Windows загрузочные файлы по умолчанию находятся в папке Загрузки.
Шаг 2: Установите программу Wireshark.
a. Загруженный файл называется Wireshark-win64-x.x.x.exe, где «x» соответствует номеруверсии. Дважды нажмите на файл, чтобы начать установку.
d. Выполните инструкции по установке. Когда откроется окно «License Agreement» (Лицензионное соглашение), нажмите кнопку I accept (Принять).
e. При выборе компонентов оставьте настройки по умолчанию и нажмите кнопку Next (Далее).
f. Выберите желаемые ярлыки и нажмите кнопку Next (Далее).
g. Если дисковое пространство ограничено, директорию установки можно изменить, в противном случае, оставьте адрес, указанный по умолчанию.
h. Для сбора сетевых данных на ваш ПК необходимо установить программу WinPcap. Если она уже установлена, флажок установки будет снят. Если установленная версия WinPcap старше версии, прилагаемой к программе Wireshark, рекомендуем установить более новую версию, нажав на флажок рядом с вариантом Install WinPcap x.x.x (Установить WinPcap x.x.x).
i. Если установка прошла успешно, закройте мастер установки WinPcap.
j. После этого начнётся установка программы Wireshark. Статус установки будет отображаться в отдельном окне. По завершении установки нажмите кнопку Next (Далее).
k. Для завершения процесса установки программы Wireshark нажмите Finish (Готово).
Шаг 1: Определите адреса интерфейсов вашего ПК.
В данной лабораторной работе вам необходимо узнать IP-адрес компьютера и физический адрес сетевого адаптера, который называется MAC-адресом.
a. Откройте окно командной строки, введите команду ipconfig /all и нажмите клавишу ВВОД.
b. Запишите IP-адрес интерфейса ПК и МАС-адрес (физический адрес).
c. Обменяйтесь IP-адресами с другими учащимися, но пока что не сообщайте им свой МАС-адрес.
Шаг 2: Запустите программу Wireshark и начните перехват данных.
a. На своём ПК нажмите кнопку Пуск и найдите Wireshark в списке программ. Дважды нажмите на Wireshark.
b. Запустив программу Wireshark, нажмите на параметр Interface list (Список интерфейсов).
Примечание. Список интерфейсов можно также открыть, нажав на значок первого интерфейса в ряду значков.
c. В окне «Capture Interfaces» (Перехват интерфейсов) программы Wireshark установите флажок рядом с интерфейсом, подключённым к вашей локальной сети.
Примечание. Если перечислено несколько интерфейсов и вы не уверены в том, какой из них нужно выбрать, нажмите кнопку Details (Подробнее) и откройте вкладку 802.3 (Ethernet).
Убедитесь в том, что MAC-адрес соответствует результату, который вы получили в шаге 1b.
Убедившись в правильности интерфейса, закройте окно информации.
d. После этого нажмите кнопку Start (Начать), чтобы начать перехват данных.
В верхней части окна программы Wireshark начнёт прокручиваться информация. Строки данных выделяются различными цветами в зависимости от протокола.
e. Информация может прокручиваться очень быстро в зависимости от типа связи между ПК и локальной сетью. Чтобы облегчить просмотр и работу с данными, собранными программой Wireshark, можно применить фильтр. В этой лабораторной работе нам нужны только протокольные блоки данных (PDU) ICMP (эхо-запрос с помощью команды ping). Чтобы вывести на экран только протокольные блоки данных ICMP (эхо-запрос с помощью команды ping), в поле фильтра в верхней части окна программы Wireshark введите icmp и нажмите клавишу ВВОД или кнопку Apply (Применить).
Лабораторная работа: просмотр сетевого трафика с помощью программы Wireshark
f. После этого все данные в верхнем окне исчезнут, однако перехват трафика в интерфейсе продолжится. Откройте окно командной строки, которое вы открывали ранее, и отправьте эхозапрос с помощью команды ping на IP-адрес, полученный от другого учащегося. Обратите внимание на то, что в верхней части окна программы Wireshark снова появятся данные.
Примечание. Если компьютеры других учащихся не отвечают на ваши эхо-запросы, это может быть вызвано тем, что брандмауэры их компьютеров блокируют эти запросы. Информацию о том, как пропустить трафик ICMP через брандмауэр на ПК с ОС Windows 7, содержит Приложение А. Пропуск трафика ICMP через брандмауэр.
g. Остановите перехват данных, нажав на значок Stop Capture (Остановить перехват).
© Корпорация Cisco и/или её дочерние компании, 2014
Шаг 3: Изучите полученные данные.
В шаге 3 необходимо проверить данные, сформированные эхо-запросами с помощью команды ping ПК других учащихся. Программа Wireshark отображает данные в трёх разделах: 1) в верхнем разделе отображается список полученных кадров PDU со сводной информацией об IP-пакетах; 2) в среднем разделе приводится информация о PDU для кадра, выбранного в верхнем разделе экрана, и деление кадра PDU на слои протоколов; 3) в нижнем разделе показываются необработанные данные каждого уровня. Необработанные данные отображаются как в шестнадцатеричном, так и десятичном форматах.
a. Выберите PDU-кадры первого запроса ICMP в верхнем разделе окна программы Wireshark. Обратите внимание на то, что в столбце Source (Источник) указывается IP-адрес вашего компьютера, а в столбце «Destination» (Назначение) — IP-адрес ПК, которому вы отправили эхозапрос с помощью команды ping.
b. Не меняя выбор PDU-кадра в верхнем разделе программы, перейдите в средний раздел. Нажмите на символ + слева от строки «Ethernet II», чтобы увидеть МАС-адреса источника и назначения.
Совпадает ли MAC-адрес источника с интерфейсом вашего компьютера? ______
Совпадает ли MAC-адрес назначения в программе Wireshark с MAC-адресом другого учащегося?
Как ваш ПК вычислил MAC-адрес ПК, на который был отправлен эхо-запрос с помощью команды ping?
Примечание. В предыдущем примере перехваченного ICMP-запроса данные протокола ICMP инкапсулируются внутри PDU-пакета IPv4 (заголовка IPv4), который затем инкапсулируется в пакете кадра Ethernet II (заголовок Ethernet II) для передачи по локальной сети.
Шаг 1: Запустите перехват данных в интерфейсе.
a. Нажмите на значок Interface List (Список интерфейсов), чтобы снова открыть список интерфейсов ПК.
b. Убедитесь в том, что напротив интерфейса локальной сети установлен флажок, и нажмите кнопку Start (Начать).
d. Активировав перехват данных, отправьте эхо-запрос с помощью команды ping на следующие три URL-адреса:
Примечание. При отправке эхо-запросов с помощью команды ping на указанные URL-адреса обратите внимание на то, что служба доменных имен (DNS) преобразует URL в IP-адрес. Запишите IP-адреса, полученные для каждого URL-адреса.
e. Остановите перехват данных, нажав на значок Stop Capture (Остановить перехват).
Шаг 2: Изучите и проанализируйте данные, полученные от удалённых узлов.
a. Просмотрите собранные данные и изучите IP- и MAC-адреса трёх запрошенных веб-сайтов. Ниже укажите IP- и MAC-адреса назначения для всех трех веб-сайтов.
1адрес: IP: _____._____._____._____ MAC: ____:____:____:____:____:____ 2адрес: IP: _____._____._____._____ MAC: ____:____:____:____:____:____
3адрес: IP: _____._____._____._____ MAC: ____:____:____:____:____:____
b. Какова особенность этих данных?
c. Как эта информация отличается от данных, полученных в результате эхо-запросов локальных узлов в части 2?
Вопросы на закрепление
Почему программа Wireshark показывает фактический MAC-адрес локальных узлов, но не фактический MAC-адрес удалённых узлов?
Приложение А. Пропуск трафика ICMP через брандмауэр
Если эхо-запросы с помощью команды ping с других компьютеров не проходят на ваш ПК, возможно, их блокирует брандмауэр. В этом приложении описывается, как пропустить эхо-запросы с помощью команды ping через брандмауэр и отменить новое правило брандмауэра по завершении лабораторной работы.
Шаг 1: Создайте новое правило, разрешающее прохождение ICMP-трафика через брандмауэр.
a. В панели управления выберите пункт Система и безопасность.
b. В окне «Система и безопасность» выберите Брандмауэр Windows.
c. В левой части окна «Брандмауэр Windows» выберите Дополнительные параметры.
d. В окне «Дополнительные параметры» выберите в левой боковой панели Правила для входящих подключений, а затем Создать правило. в правой боковой панели.
e. Откроется мастер создания новых правил для входящих подключений. В окне «Тип правила» установите переключатель Настраиваемые, и нажмите кнопку Далее.
f. В левой панели выберите Протоколы и порты и выберите пункт ICMPv4 в раскрывающемся меню типов протокола. После этого нажмите кнопку Далее.
Созданное правило позволит другим учащимся получать эхо-отклики с вашего ПК.
Шаг 2: Отключите и удалите новое правило ICMP.
По завершении лабораторной работы необходимо отключить или удалить новое правило, созданное в шаге 1. Вариант Отключить правило позволит снова включить его при необходимости. Полное удаление правила навсегда удалит его из списка правил для входящих подключений.
a. В левой части окна «Дополнительные настройки безопасности» выберите Правила для входящих подключений и найдите правило, созданное в шаге 1.
b. Чтобы отключить правило, выберите вариант Отключить правило. После этого она изменится на вариант Включить правило. Правило можно включать и отключать. Состояние правила отображается в столбце «Включено» списка правил для входящих подключений.
c. Чтобы удалить правило ICMP навсегда, выберите вариант Удалить. После этого для разрешения запросов ICMP это правило нужно будет создать заново.
Этот раздел содержит фильтры Wireshark, которые могут помочь выявить злоумышленников, пытающихся найти действующие системы в нашей сети.
Используя эти фильтры, мы должны иметь возможность обнаруживать различные сканирования сетевого обнаружения, тесты ping и другие вещи, которые обычно выполняются на этапе исследования (обнаружение активов).
Вот сводная таблица с более подробной информацией ниже:
ARP сканирование
Вот фильтр Wireshark для определения сканирования ARP (метод обнаружения хоста на уровне 2):
Так выглядит сканирование ARP в Wireshark:
Во время сканирования ARP злоумышленник обычно отправляет большое количество широковещательных запросов ARP (ff: ff: ff: ff: ff: ff), направленных на MAC-адрес 00: 00: 00: 00: 00: 00, чтобы узнать действующие IP-адреса в локальной сети. Обычно мы видим что-то вроде этого:
В этом случае злоумышленник имеет IP-адрес 192.168.0.53.
Если мы видим множество этих ARP-запросов, запрашивающих множество разных IP-адресов за короткий период времени, вполне вероятно, что кто-то пытается обнаружить действующие IP-адреса в нашей сети с помощью ARP-сканирования (например, запустив arp-scan -l) …
Сканирование протокола IP
Вот фильтр Wireshark для идентификации сканирования IP-протокола:
Так выглядит сканирование IP-протокола в Wireshark:
Сканирование IP-протокола — это метод, который позволяет злоумышленнику узнать, какие сетевые протоколы поддерживаются целевой операционной системой (например, запустив nmap -sO _1_).
Проверка связи ICMP
Вот фильтр Wireshark для обнаружения пакетов ping ICMP (метод обнаружения хоста на уровне 3):
Так выглядит очистка ICMP ping в Wireshark:
С помощью этого фильтра мы фильтруем эхо-запросы ICMP (тип 8) или эхо-ответы ICMP (тип 0).
Если мы видим слишком много таких пакетов за короткий промежуток времени, нацеленных на множество разных IP-адресов, то, вероятно, мы видим эхо-запросы ICMP. Кто-то пытается определить все действующие IP-адреса в нашей сети (например, запустив nmap -sn -PE ).
Проверка связи TCP
Вот фильтр Wireshark для обнаружения пакетов TCP ping (метод обнаружения хоста на уровне 4):
Вот как выглядит очистка TCP ping в Wireshark:
TCP ping обычно использует порт 7 (эхо). Если мы видим, что больше этого трафика направляется на множество разных IP-адресов, это означает, что кто-то, вероятно, выполняет проверку связи TCP, чтобы найти активные хосты в сети (например, запустив nmap -sn -PS / -PA ).
UDP ping развертки
Вот фильтр Wireshark для обнаружения пакетов ping UDP (метод обнаружения хоста на уровне 4):
Вот как выглядит очистка UDP ping в Wireshark:
Подобно TCP, UDP ping обычно использует порт 7 (эхо). Если большой объем такого трафика направляется на множество разных IP-адресов, это означает, что кто-то, вероятно, выполняет пинг UDP, чтобы найти активные хосты в сети (например, запустив nmap -sn -PU ).
Обнаружение сканирования сетевых портов
В этом разделе содержатся полезные фильтры Wireshark для идентификации различных сканирований сетевых портов, сканирования портов и т. д.Вот сводная таблица с более подробной информацией ниже:
TCP SYN / скрытое сканирование
Вот фильтр Wireshark для обнаружения TCP SYN / сканирования скрытых портов, также известного как TCP Half-Open Scan:
Вот как выглядит сканирование TCP SYN в Wireshark:
В этом случае мы фильтруем TCP-пакеты с помощью:
- Установлен флаг SYNФлаг ACK не установленРазмер окна
По сути, это первый шаг в трехстороннем TCP-согласовании (начало любого TCP-соединения) с очень маленьким размером окна TCP.
В частности, небольшой размер окна является характерным параметром, используемым такими инструментами, как nmap или massscan во время сканирования SYN, что указывает на то, что данных будет очень мало или вообще не будет.
Если мы видим слишком много таких пакетов за короткое время, скорее всего, кто-то делает:
- SYN-сканирование в нашей сети (например, путем запуска nmap -sS )Порт SYN просматривает сеть (например, запустив nmap -sS -pXX )SYN-флуд (метод отказа в обслуживании)
TCP Connect () сканирование
Вот фильтр Wireshark для обнаружения сканирования портов TCP Connect ():
Вот как выглядит сканирование TCP Connect () в Wireshark:
В этом случае мы фильтруем TCP-пакеты с помощью:
- Установлен флаг SYNФлаг ACK не установленРазмер окна> 1024 байта
Единственное отличие от сканирования SYN — это больший размер окна TCP, который указывает на то, что стандартное TCP-соединение фактически ожидает передачи некоторых данных.
Если мы видим слишком много таких пакетов за короткий промежуток времени, скорее всего, кто-то делает:
- Сканирование портов в нашей сети (например, путем запуска nmap -sT )Порт просматривает сеть (например, запустив nmap -sT -pXX )
TCP Null сканирование
Вот фильтр Wireshark для определения сканирования TCP Null:
Вот как выглядит сканирование TCP Null в Wireshark:
TCP Null сканирование работает путем отправки пакетов без установленных флагов. Это потенциально может проникнуть в некоторые брандмауэры и обнаружить открытые порты.
Если мы видим такие пакеты в нашей сети, вероятно, кто-то выполняет сканирование TCP null (например, запустив nmap -sN ).
TCP FIN сканирование
Вот фильтр Wireshark для определения сканирования TCP FIN:
Вот как выглядит сканирование TCP FIN в Wireshark:
Сканирование TCP FIN отличается тем, что отправляет только пакеты с установленным флагом FIN. Это может (все еще) потенциально проникнуть в некоторые брандмауэры и обнаружить открытые порты.
Если мы видим слишком много таких пакетов в нашей сети, вероятно, кто-то выполняет сканирование TCP FIN (например, запускает nmap -sF ).
TCP Xmass сканирование
Вот фильтр Wireshark для обнаружения сканирования TCP Xmass:
Вот как выглядит сканирование TCP Xmass в Wireshark:
Сканирование TCP Xmass работает путем отправки пакетов с установленными флагами FIN, PUSH и URG. Это еще один метод проникновения в некоторые брандмауэры для обнаружения открытых портов.
Если мы видим такие пакеты в нашей сети, вероятно, кто-то запускает сканирование TCP Xmass (например, запускает nmap -sX ).
Сканирование порта UDP
Вот фильтр Wireshark для определения сканирования UDP-портов:
Вот как выглядит сканирование UDP-порта в Wireshark:
Если мы видим большое количество этих пакетов в нашей сети за короткий промежуток времени, это, скорее всего, означает, что кто-то сканирует порт UDP (например, запускает nmap -sU ).
Обнаружение сетевых атак
Этот раздел содержит фильтры Wireshark, полезные для выявления различных сетевых атак, таких как атаки с отравлением, лавинная рассылка, надежда на VLAN и т. д.
Вот сводная таблица с более подробной информацией ниже:
ARP отравление
Вот фильтр Wireshark для обнаружения отравления ARP:
Этот фильтр отобразит любые вхождения одного и того же IP-адреса, необходимого более чем для одного MAC-адреса. Эта ситуация, скорее всего, указывает на то, что в нашей сети происходит отравление ARP.
ARP Poisoning (также известный как ARP Spoofing) — это метод, используемый для перехвата сетевого трафика между маршрутизатором и другими клиентами в локальной сети. Это позволяет злоумышленнику выполнять атаки типа «человек посередине» (MitM) на соседние компьютеры в локальной сети с помощью таких инструментов, как arpspoof, ettercap и других.
ICMP флуд
Вот как с помощью фильтра Wireshark обнаружить наводнение ICMP (метод отказа в обслуживании):
Вот как выглядит атака с надеждой на VLAN в Wireshark:
Hope for VLAN — это метод обхода контроля доступа к сети (NAC), который часто используется злоумышленниками, пытающимися получить доступ к различным VLAN путем неправильной настройки коммутаторов Cisco.
Верным индикатором надежды VLAN является наличие пакетов DTP или пакетов, отмеченных несколькими тегами VLAN.
Если мы видим такие пакеты в нашей сети, возможно, кто-то пытается выполнить VLAN в надежде использовать, например, утилиты frogger или yersinia.
Необъяснимая потеря пакетов
Вот фильтр для обнаружения потери пакетов в сети:
Если мы видим много повторных передач пакетов и разрывы в сетевом соединении (потерянные пакеты), это может указывать на серьезную проблему в сети, возможно, вызванную атакой отказа в обслуживании.
Такая ситуация в Wireshark, безусловно, заслуживает дальнейшего изучения.
Обнаружение атак на беспроводные сети
Этот раздел содержит фильтры Wireshark, полезные для обнаружения различных атак на беспроводные сети, таких как деаутентификация, выход из системы, лавинная рассылка или аутентифицированный отказ в обслуживании.
Вот сводная таблица с более подробной информацией ниже:
Деаутентификация клиента
Вот фильтр Wireshark для обнаружения фреймов деаутентификации в беспроводных сетях:
Вот как выглядит атака беспроводной деаутентификации в Wireshark:
Присутствие в эфире фреймов типа 12 (деаутентификация), вероятно, указывает на то, что злоумышленник пытается деаутентифицировать других клиентов в сети, чтобы заставить их повторно пройти аутентификацию и, следовательно, собрать (прослушать) рукопожатия четыре WPA / Обмен полосами WPA2 который произошел при повторной аутентификации.
Это хорошо известный метод взлома беспроводных сетей PSK (Pre-shared Key). Как только злоумышленник собирает 4-стороннее рукопожатие WPA, он может попытаться взломать его и, таким образом, получить пароль в открытом виде и получить доступ к сети.
Более подробную информацию об атаках деаутентификации можно найти Диссоциация клиента
Вот фильтр Wireshark для обнаружения фреймов диссоциации в беспроводных сетях:
Вот как выглядит атака беспроводной диссоциации в Wireshark:
Атака диссоциации — это еще один тип атаки на беспроводные сети на основе PSK, который работает против WPA / WPA2. Идея этой атаки заключается в том, что злоумышленник отправляет 10 (отключение) кадров, которые отключают всех клиентов от целевой точки доступа.
Поддельное наводнение маяка AP
Вот фильтр Wireshark для обнаружения лавинной рассылки ложных AP-маяков в беспроводных сетях:
Вот как в Wireshark выглядит атака наводнения беспроводных AP-маяков:
Идея этой атаки состоит в том, чтобы заполнить территорию случайными фальшивыми маяками. Это может вызвать прерывание связи (перегрузку) в зоне или отказ некоторых клиентов (отказ в обслуживании).
Если мы видим большое количество различных кадров маяков за короткий период времени, возможно, кто-то затопляет маяки в этой области.
Такую атаку можно провести с помощью таких инструментов, как mdk3 или mdk4 (например, запустив mdk4 wlan0mon b).
Отказ в обслуживании аутентификации
Вот фильтр Wireshark для обнаружения атак типа «отказ в обслуживании» с аутентификацией в беспроводных сетях:
Вот так выглядит DoS-атака беспроводной аутентификации в Wireshark:
Этот тип атаки работает путем переполнения точек беспроводного доступа в области множеством фреймов типа 11 (аутентификация), по сути имитируя большое количество клиентов, пытающихся пройти аутентификацию в одно и то же время. Это может привести к перегрузке некоторых точек доступа и их потенциально зависанию или сбросу, а также к нарушению связи (помехам) в области.
Если мы видим большое количество кадров типа 11 за короткий промежуток времени, кто-то может выполнять лавинную аутентификацию в этой области.
Этот тип атаки может быть осуществлен с помощью таких инструментов, как mdk3 или mdk4 (например, запустив mdk4 wlan0mon a).
Вывод
Wireshark — очень мощный инструмент для анализа компьютерных сетей. Огромное количество анализаторов протоколов и возможностей фильтрации позволяет нам легко обнаруживать, визуализировать и изучать множество различных аспектов компьютерных сетей, а не только с точки зрения кибербезопасности.
В данном сообществе размещаем ответы по задания/вопросам, файлы выполненных лабораторных/практических работ в КОММЕНТАРИЙ записи соответствующей темы.
Ринат Шарафиев
запись закреплена
Задание на 29.05.2020
Выполненной ЛР задать имя пример(ЛР 10.1.2.5_Шарафиев) и разместить в комментарий данной записи 29.05.2020!
Ираида Дорофеев
Ираида Дорофеев
Ираида Дорофеев
Ринат Шарафиев
запись закреплена
Задание на 27.05.2020
Выполненной ЛР задать имя пример(ЛР 10.1.2.5_Шарафиев) и разместить в комментарий данной записи до 29.05.2020!
Ираида Дорофеев
Ринат Шарафиев
запись закреплена
Задание на 16.05.2020
Выполненной ЛР задать имя пример(ЛР 10.1.2.5_Шарафиев) и разместить в комментарий данной записи до 18.05.2020!
Ираида Дорофеев
Ираида Дорофеев
Ираида Дорофеев
Ираида Дорофеев
Ринат Шарафиев
запись закреплена
14.05.2020
29. Анализ компьютерной сети и настройка маршрутизатора: проверка задержек в передачи сетевых пакетов с помощью утилит «ping» и «traceroute»; использование интерфейса командной строки (CLI) для сбора сведений о сетевых устройствах.
30. Управление файлами конфигурации маршрутизатора с помощью программы эмуляции терминала, с использованием TFTP, флеш-памяти и USB-накопителей. Изучение процедур восстановления паролей
31. Проектирование и создание сети для малого предприятия
32. Итоговый проект проектирования и создания сети малого предприятия
Выполненной ЛР задать имя пример(ЛР 10.1.2.5_Шарафиев) и разместить в комментарий данной записи до 16.05.2020!
Читайте также: