Анализ трафика локальной сети

НА ПРИМЕРЕ ПРОТОКОЛОВ ARP, DNS И HTTP

 

Цель работы: Исследование основных типов трафика в реальной локальной сети на примере наиболее распространенных протоколов стека TCP/IP.

Краткая теоретическая справка. В лабораторной работе исследуется два типа трафика: broadcast (широковещательный, на примере протокола ARP) и unicast (на примере протокола http). Предполагается, что к моменту выполнения лабораторной работы из курса лекций известна структура и основные принципы работы протоколов ARP, DNS и http, а также структура кадра Ethernet. Лабораторная работа проводится с использованием анализатора трафика CommView компании «Тамософт». Обратите внимание: при выполнении работы используется бесплатная оценочная версия программы, поэтому анализатор отображает не все пакеты.

В настоящее время существует достаточно большой выбор анализаторов трафика – специальных программ, позволяющих получить информацию о пакетах, передающихся по исследуемой сети. Например, широко используется анализатор Wireshark, относящийся к open source. Все они, несмотря на различных разработчиков, объединены одной идеей: предоставить возможность не только определить тип пакета, но и его структуру. Информация о структуре пакета в CommView выводится в виде таблиц анализа (рис. 5.1.).

    Таблица анализа представляет собой три поля, которые заполняются динамически по мере поступления пакетов. В основной части представлена информация о соединении: МАС-адреса источника и получателя, IP-адреса источника и получателя, протокол, порт отправителя и порт получателя. Обратите внимание – зарезервированные порты часто обозначаются именем протокола: например, порты 80 и 8080 могут обозначаться как http. Одна строка в этой таблице относится к одному пакету. При выделении строки в двух других окнах появляется информация о структуре пакета.

Поле со структурой пакета позволяет определить, как заполнены поля протоколов в соответствии со стандартом. Это позволяет определить адреса отправителя и получателя, номер порта, корректность контрольной суммы и т.п.

Поле с представлением пакета в ASCII кодах и 16-ричной системе дает представление о реальном виде пакета при передаче по сети. В большинстве анализаторов предусмотрена возможность выделения пункта в поле со структурой пакета и одновременное выделение соответствующих знаков в поле с представлением пакета в 16-ричной системе.

 

Рис. 5.1. Пример таблицы анализа. Разобран пакет http, ответ от сервера.

 

 

Таблица с адресной информацией.

 

 

Поле со структурой пакета

 

Поле с представлением пакета в ASCII кодах и 16-ричной системе.
Также, анализатор трафика позволяет собрать статистику о пакетах, проходящих по сети на различных уровнях модели TCP/IP, например, на рис. 5.2 представлена статистика по размерам пакетов.

 

Рис. 5.2. Пример статистики по размерам пакетов.

 

 

 

а)                                                                          б)

 

Рис.5.3 Пример матрицы по: а) МАС-адресам, б) IP-адресам.

        

Кроме того, в большинстве анализаторов можно увидеть статистику по хостам, которая иногда дублируется так называемыми матрицами. На канальном уровне такая матрица позволяет отследить связи между машинами в пределах локальной сети, используя идентификацию по МАС-адресам (рис.5.3, а). На сетевом она позволяет оценить логические связи по IP-адресам – в этом случае удаленные хосты обычно не принадлежат локальной сети (рис. 5.3, б).

Задание

1. Запустить анализатор трафика. Настроить фильтры на широковещательный трафик (рис. 5.4): закладка «Правила», пункт «Простые правила», выбрать «Протоколы и направления». Отметить «Включить правила» и тип протокола.

 EMBED 

Рис. 5.4. Настройка фильтров для анализа ARP пакетов

 

 

2. Кнопкой  запустить работу программы. Закладка «Пакеты» позволит вывести таблицу анализа.

3. Разобрать пакет ARP: запрос и ответ. Снять скриншоты экранов со статистикой протокола ARP: таблицы анализа, матрицу по МАС адресам.

4. Убрать настройку фильтров. Запустить браузер, набрать URL какого-либо веб-ресурса (по желанию студента или заданию преподавателя). Отследить и разобрать пакеты DNS (запрос и ответ).

4. Разобрать пакеты http двух типов: запрос (GET) и ответ сервера. Снять скриншоты экранов: таблицы анализа, статистику протоколов по уровням, матрицы по МАС и IP адресам.

К защите

Знать принципы формирования пакетов в локальных сетях (технологии IP и Ethernet)

Иметь представление о функциях и процессе формирования пакетов протоколов ARP и http, понимать особенности широковещательного трафика.

Представить отчет, содержащий скриншоты для всех исследуемых протоколов: таблицы с анализом трафика, матрицы для канального и сетевого уровня, статистику по протоколам.

Объяснить полученные результаты.