Научная статья на тему 'Перехват и анализ сетевого трафика с помощью "Wireshark"'

Перехват и анализ сетевого трафика с помощью "Wireshark" Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
2648
239
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
SNIFFER / NETWORK PROTOCOLS RECOGNITION / TRAFFIC ANALYSIS

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Мешкова Елена Владимировна

В данной статье рассмотрен перехват и анализ сетевого трафика с помощью сниффера Wireshark.

i Надоели баннеры? Вы всегда можете отключить рекламу.

Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Мешкова Елена Владимировна

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Текст научной работы на тему «Перехват и анализ сетевого трафика с помощью "Wireshark"»

УДК 004.056.53 Технические науки

Мешкова Елена Владимировна, студентка 4 курса электротехнического факультета, Пермский национальный исследовательский политехнический университет

ПЕРЕХВАТ И АНАЛИЗ СЕТЕВОГО ТРАФИКА С ПОМОЩЬЮ «WIRESHARK»

Аннотация. В данной статье рассмотрен перехват и анализ сетевого трафика с помощью сниффера Wireshark.

Ключевые слова: сниффер, сетевые протоколы, анализ трафика.

Abstract. In this article discusses interception and the analysis of a network traffic by means of Wireshark sniffer.

Keywords: sniffer, network protocols recognition, traffic analysis.

Сейчас уже трудно представить наш современный мир без информационных технологий, наоборот, с каждым днем они развиваются и внедряются в больших количествах. Так и сфера сетевых технологий совершенствуется и появляются более новые сетевые протоколы, реализующиеся на прикладном уровне. В связи с этим становится актуальным мониторинг и анализ сетевого трафика.

Анализатор трафика — это программа, которая предназначена для перехвата, хранения и последующего анализа сетевого трафика, предназначенного для своих или других узлов. Также анализатор трафика имеет и другое название - сниффер. Сниффер может анализировать лишь те данные, которые проходят через его сетевую карту. Перехват сетевого трафика может осуществляться посредством:

- «прослушивания» сетевого интерфейса;

- подключением сниффера к разрыву канала;

- анализа побочных электромагнитных излучений;

- атаки на канальном или сетевом уровне, которая приводит к перенаправлению трафика жертвы или всего трафика сегмента на сниффер с последующим возвращением трафика в надлежащий адрес [1].

В данной статье будет рассмотрен перехват и анализ сетевого трафика с помощью сниффера Wireshark с целью выявления несанкционированного доступа к ресурсам сети и/или получения/передачи информации третьим лицам.

Wireshark - это программа, разработанная The Wireshark Team, которая имеет лицензию GNU General Public License и является свободно распространяемым продуктом. Данная программа поддерживают разбор большого количества различных сетевых протоколов, а также предоставляет возможность сортировки и фильтрации трафика. В режиме реального времени пользователь данного сниффера имеет возможность просматривать весь проходящий по сети трафик.

В качестве примера работы программы осуществим перехват изображения в сети. Для начала работы с продуктом необходимо скачать его с официального сайта и произвести установку на компьютер. Стартовое меню программы имеет вид, изображенный на рисунке 1.

Рисунок 1 - Стартовое меню программы

Выбираем сетевой интерфейс, с помощью которого будет осуществляться захват пакетов и нажимаем «start». Выбор сетевого интерфейса представлен на рисунке 2.

A Wireshark: Capture Interfaces

Device Description IP

[□: 6Ё Ethernet 2 TAP Adapter V9 for Private Tunnel fe80::c9a8:6066:1f3e:bcbb

□ рТ Сетевое подключение Bluetooth Microsoft fe80::9d4f:ec9e:6195:5233

□ £Й Ethernet Qualcomm Atheros Ar81» series PCI-E Ethernet Controller fe80::7d5d:f52a:5bcd:ea0a

0 Беспроводпэп сеть Microsoft fe80::e418:8360:b338:82cf

0 VirtualBox Host-Only Network Oracle fe80::39d2!afe0!9M5!d62c

□ if'. Ethernet 3 TAP Adapter V9 for Private Tunnel fe8Q;8c04:7c5b:fa29:75f9

0 t?. Подключение no локальной сети* 2 Microsoft fe80::885:a36a:3266:cd4a

□ Ethernet 4 TAP Adapter V9for Private Tunnel f e80: :a 1 fb:242a:f 66:d98a

Packets Paclcets/s

Details Details

Help

Stop

Options

Рисунок 2 - Выбор сетевого интерфейса

После выбора сетевого трафика запускается основное меню программы, которое представлено на рисунке 3.

43 Capturing from 3 interfaces (Wireshark 1.12.10 (v1.12.10-0-g7f56a20 from master-1.12)] £ile Edit yiew fio Rapture Analyze Statistics Telephony Xools Internals Help

ш a Q. Gl (Dl И I Ml В Ц Ji 1 В

Fitten Expression... Clear Apply Save

120 0.6087 3000

121 О. 60875600

122 O. 60877800

123 O. 60879700

124 О. 60881400

125 O. 65452900

126 О. 6S462100

127 O. 65464 600

192.168.lOO.4 192.168.100.4 192.168.100.4 192.168.100.4 192.168.100.4 46. 174. 193. 19 192.168.lOO.4 192.168.lOO.4

Destination 46.174.193.19 46. 174. 193. 19 46.174.193.19 46.174.193.19 46. 174. 193. 19 192.168.lOO.4 46. 174. 193. 19 46.174.193.19

Protocol Length Info

TCP TCP TCP TCP TCP TCP TCP TCP

129 O.65654700 192.168.lOO.4

130 O. 66948900 109. 201. 99. SO

46. 174. 193. 19 192.168.lOO. 4

1414 592 39—26503 [ACK] Seq=29921 Ack=l Win-259 Len=1360

1414 59239-26503 [ACK] seq-31281 Ack-1 win-259 Len-1360

1414 59239-26503 [PSH, ack] Seq-32641 Ack-1 win-259 Len-1

1414 59239-26503 [ack] seq-34001 Ack-1 w1n-259 Len-1360

1414 59239-26503 [ack] Seq-35361 Ack-1 Win-259 Len-1360

54 26503-59239 [ack] seq-1 Ack-32641 win-260 Len-O

1414 59239-26503 [ack] Seq-36721 Ack-1 win-259 Len-1360

1414 59239-26503 [ack] Seq-38081 Ack-1 win-2 59 Len-136Q

1414 59239-26503 [ACK] seq-39441 Ack-1 Win-259 Len-1360 54 53218-59149 [ACK] Seq-1 Ack-10881 win-170 Len-O

Frame 1: 1414 byres on wire (11312 bits), 1414 bytes captured (11312 bits) on Interface O Ethernet II, src: L1teonTe_c7:37:e5 (20:16:d8:c7:37:e5). Dst: HuaweiTe_cl:le:3a (48:ad:08:cl:le:3a) internet Protocol version 4. src: 192.168. lOO. 4 (192. 168. lOO. 4) , Dst : 46.146.97.38 (46.146.97.38) Transmission control Protocol, Src Port: 59249 (59249), Dst Port: 30962 (30962), Seq: 1. Ack: 1, Len: 1360 Data (1360 bytes)

oooo 48 ad ОЯ cl 1 е la ?о 16 d8 с7 47 PS OR ОО 4S ОО

OOIO 05 /« Ы 40 ОО НО Об 04 с8 СО a« Ь4 04 Se 92

0020 61 г ' /1 /8 t? СС te чо РК ьч ?л 84 га 5<) 10

оозо Ol О 2 9ri ее ОО ОО et ЬЯ а5 ed 1с ОО ОО ОО ОО al

004 0 28 (>(> <><> <)<) ()() Ol ОО ОО 4<) ОО ОО 1 ri 4 Ь 84 4 ас

00 50 31 1 a ha сс t ь Чс Ob bb 4t 4 О 84 rb с 5 65 *><> С2

0060 38 4 S et rift 2i // 5/ 41 22 1 е 3d /2 el ()г as ht-

0070 f 7 1 с е ' 4л Ьс 41 4е al Оа 8/ rid Чг ЬО Ь4 ci ss

(.....

!....<.. 8e. . #wwa . . .31IN.

О [?*T 3 interfaces: <live capture in progress» File: ... Packets: 1050 ■ Displayed: 1050 (100,0%)

Profile: Default

Рисунок 3 - Основное меню программы

Теперь произведем и сам перехват изображения. Для этого перейдем в меню File—> Export Objects — HTTP, в результате появится окно, которое показывает все захваченные http объекты - текстовые файлы, картинки и т.д. (Рисунок 4)

Л Wireshark: HTTP object list

Packet num Hostname Content Type Size Filename

716 mobile.yendex.net application/json 56 bytes vb_extension?yandexuid=4086307351462971174&tld=ru&lang=r

2505 519 bytes

2666 16 kB

2851 16 kB

2861 13 kB

5420 584 bytes

5479 584 bytes

5497 9414 bytes

5501 584 bytes

5518 10 kB

5901 7411 bytes

6048 6215 bytes

6141 584 bytes

7678 www.shopji-com.su image/jpeg 85 kB 51764-comp.jpg

7826 i3.sokol.org.u8 image/jpeg 153 kB 11937502.jpg

8027 su.ff.avast.com application/octet-stream 349 bytes A3cKIDEwYjl1NWNkNzFhMzRiZDg5MjkxMTJmYmY1ZGJkZWY5E

8917 icongal.com image'png 18 kB computer.png

8959 www.laptoppricelist.net image/jpeg 880 kB LE N0v0%20l DEAP AD%20FLAX%2010%2059-404493 %20Dua I %2I

9006 www.planetashop.ru image/jpeg 16 kB 201265.jpg

9126 rn.voltmart.su image/jpeg 74 kB 85396_big.jpg

9223 cdn.instructables.com image/jpeg 8177 bytes FMFQBV1HJGE61VT.SQUARE2.jpg

Help

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

Save All

1___

7 intnfarre ilrvp гяпtnr* in nrnn№«> Ptlcv 1 Parlrrfc- ISRSfi . nicnlawrlr ISRSfi ПППП%1

Рисунок 4 - Захваченные объекты

Для того чтобы извлечь нужный файл из списка, достаточно просто выделить его и нажать «Save As». Далее сохраняем файл и открываем его для просмотра. (Рисунок 5)

Рисунок 5 - Перехваченное изображение

Также программа позволяет перехватить и текстовый файл, и персональные данные пользователя в сети широковещательной передачей трафика (в сети с концентратором).

Wireshark представляет пользователю удобный интерфейс для работы и поддерживает разбор и распознавание более 100 сетевых протоколов.

При возникновении сложных, повторяющихся нерегулярно проблем, связанных с нарушением безопасности, а также для их решения, необходим анализ сетевого трафика, который позволяет выявить данные проблемы в сети, восстановить потоки данных, предотвратить различного рода сетевые атаки, накапливать статистику.

Библиографический список

1. Маркин Ю. В., Санаров А. С. Обзор современных инструментов анализа сетевого трафика. http://www.ispras.ru/preprints/docs/prep 27 2014.pdf, дата обращения 17.08.2016

2. Wireshark Trace Files. Режим доступа: http://www.wiresharkbook.com/ studyguide supplements/9781893939943 traces.zip, дата обращения 17.08.2016

3. Wireshark. Режим доступа: http://www.wireshark.org/ , дата обращения 17.08.2016

i Надоели баннеры? Вы всегда можете отключить рекламу.