УДК 004.056.53 Технические науки
Мешкова Елена Владимировна, студентка 4 курса электротехнического факультета, Пермский национальный исследовательский политехнический университет
ПЕРЕХВАТ И АНАЛИЗ СЕТЕВОГО ТРАФИКА С ПОМОЩЬЮ «WIRESHARK»
Аннотация. В данной статье рассмотрен перехват и анализ сетевого трафика с помощью сниффера Wireshark.
Ключевые слова: сниффер, сетевые протоколы, анализ трафика.
Abstract. In this article discusses interception and the analysis of a network traffic by means of Wireshark sniffer.
Keywords: sniffer, network protocols recognition, traffic analysis.
Сейчас уже трудно представить наш современный мир без информационных технологий, наоборот, с каждым днем они развиваются и внедряются в больших количествах. Так и сфера сетевых технологий совершенствуется и появляются более новые сетевые протоколы, реализующиеся на прикладном уровне. В связи с этим становится актуальным мониторинг и анализ сетевого трафика.
Анализатор трафика — это программа, которая предназначена для перехвата, хранения и последующего анализа сетевого трафика, предназначенного для своих или других узлов. Также анализатор трафика имеет и другое название - сниффер. Сниффер может анализировать лишь те данные, которые проходят через его сетевую карту. Перехват сетевого трафика может осуществляться посредством:
- «прослушивания» сетевого интерфейса;
- подключением сниффера к разрыву канала;
- анализа побочных электромагнитных излучений;
- атаки на канальном или сетевом уровне, которая приводит к перенаправлению трафика жертвы или всего трафика сегмента на сниффер с последующим возвращением трафика в надлежащий адрес [1].
В данной статье будет рассмотрен перехват и анализ сетевого трафика с помощью сниффера Wireshark с целью выявления несанкционированного доступа к ресурсам сети и/или получения/передачи информации третьим лицам.
Wireshark - это программа, разработанная The Wireshark Team, которая имеет лицензию GNU General Public License и является свободно распространяемым продуктом. Данная программа поддерживают разбор большого количества различных сетевых протоколов, а также предоставляет возможность сортировки и фильтрации трафика. В режиме реального времени пользователь данного сниффера имеет возможность просматривать весь проходящий по сети трафик.
В качестве примера работы программы осуществим перехват изображения в сети. Для начала работы с продуктом необходимо скачать его с официального сайта и произвести установку на компьютер. Стартовое меню программы имеет вид, изображенный на рисунке 1.
Рисунок 1 - Стартовое меню программы
Выбираем сетевой интерфейс, с помощью которого будет осуществляться захват пакетов и нажимаем «start». Выбор сетевого интерфейса представлен на рисунке 2.
A Wireshark: Capture Interfaces
Device Description IP
[□: 6Ё Ethernet 2 TAP Adapter V9 for Private Tunnel fe80::c9a8:6066:1f3e:bcbb
□ рТ Сетевое подключение Bluetooth Microsoft fe80::9d4f:ec9e:6195:5233
□ £Й Ethernet Qualcomm Atheros Ar81» series PCI-E Ethernet Controller fe80::7d5d:f52a:5bcd:ea0a
0 Беспроводпэп сеть Microsoft fe80::e418:8360:b338:82cf
0 VirtualBox Host-Only Network Oracle fe80::39d2!afe0!9M5!d62c
□ if'. Ethernet 3 TAP Adapter V9 for Private Tunnel fe8Q;8c04:7c5b:fa29:75f9
0 t?. Подключение no локальной сети* 2 Microsoft fe80::885:a36a:3266:cd4a
□ Ethernet 4 TAP Adapter V9for Private Tunnel f e80: :a 1 fb:242a:f 66:d98a
Packets Paclcets/s
Details Details
Help
Stop
Options
Рисунок 2 - Выбор сетевого интерфейса
После выбора сетевого трафика запускается основное меню программы, которое представлено на рисунке 3.
43 Capturing from 3 interfaces (Wireshark 1.12.10 (v1.12.10-0-g7f56a20 from master-1.12)] £ile Edit yiew fio Rapture Analyze Statistics Telephony Xools Internals Help
ш a Q. Gl (Dl И I Ml В Ц Ji 1 В
Fitten Expression... Clear Apply Save
120 0.6087 3000
121 О. 60875600
122 O. 60877800
123 O. 60879700
124 О. 60881400
125 O. 65452900
126 О. 6S462100
127 O. 65464 600
192.168.lOO.4 192.168.100.4 192.168.100.4 192.168.100.4 192.168.100.4 46. 174. 193. 19 192.168.lOO.4 192.168.lOO.4
Destination 46.174.193.19 46. 174. 193. 19 46.174.193.19 46.174.193.19 46. 174. 193. 19 192.168.lOO.4 46. 174. 193. 19 46.174.193.19
Protocol Length Info
TCP TCP TCP TCP TCP TCP TCP TCP
129 O.65654700 192.168.lOO.4
130 O. 66948900 109. 201. 99. SO
46. 174. 193. 19 192.168.lOO. 4
1414 592 39—26503 [ACK] Seq=29921 Ack=l Win-259 Len=1360
1414 59239-26503 [ACK] seq-31281 Ack-1 win-259 Len-1360
1414 59239-26503 [PSH, ack] Seq-32641 Ack-1 win-259 Len-1
1414 59239-26503 [ack] seq-34001 Ack-1 w1n-259 Len-1360
1414 59239-26503 [ack] Seq-35361 Ack-1 Win-259 Len-1360
54 26503-59239 [ack] seq-1 Ack-32641 win-260 Len-O
1414 59239-26503 [ack] Seq-36721 Ack-1 win-259 Len-1360
1414 59239-26503 [ack] Seq-38081 Ack-1 win-2 59 Len-136Q
1414 59239-26503 [ACK] seq-39441 Ack-1 Win-259 Len-1360 54 53218-59149 [ACK] Seq-1 Ack-10881 win-170 Len-O
Frame 1: 1414 byres on wire (11312 bits), 1414 bytes captured (11312 bits) on Interface O Ethernet II, src: L1teonTe_c7:37:e5 (20:16:d8:c7:37:e5). Dst: HuaweiTe_cl:le:3a (48:ad:08:cl:le:3a) internet Protocol version 4. src: 192.168. lOO. 4 (192. 168. lOO. 4) , Dst : 46.146.97.38 (46.146.97.38) Transmission control Protocol, Src Port: 59249 (59249), Dst Port: 30962 (30962), Seq: 1. Ack: 1, Len: 1360 Data (1360 bytes)
oooo 48 ad ОЯ cl 1 е la ?о 16 d8 с7 47 PS OR ОО 4S ОО
OOIO 05 /« Ы 40 ОО НО Об 04 с8 СО a« Ь4 04 Se 92
0020 61 г ' /1 /8 t? СС te чо РК ьч ?л 84 га 5<) 10
оозо Ol О 2 9ri ее ОО ОО et ЬЯ а5 ed 1с ОО ОО ОО ОО al
004 0 28 (>(> <><> <)<) ()() Ol ОО ОО 4<) ОО ОО 1 ri 4 Ь 84 4 ас
00 50 31 1 a ha сс t ь Чс Ob bb 4t 4 О 84 rb с 5 65 *><> С2
0060 38 4 S et rift 2i // 5/ 41 22 1 е 3d /2 el ()г as ht-
0070 f 7 1 с е ' 4л Ьс 41 4е al Оа 8/ rid Чг ЬО Ь4 ci ss
(.....
!....<.. 8e. . #wwa . . .31IN.
О [?*T 3 interfaces: <live capture in progress» File: ... Packets: 1050 ■ Displayed: 1050 (100,0%)
Profile: Default
Рисунок 3 - Основное меню программы
Теперь произведем и сам перехват изображения. Для этого перейдем в меню File—> Export Objects — HTTP, в результате появится окно, которое показывает все захваченные http объекты - текстовые файлы, картинки и т.д. (Рисунок 4)
Л Wireshark: HTTP object list
Packet num Hostname Content Type Size Filename
716 mobile.yendex.net application/json 56 bytes vb_extension?yandexuid=4086307351462971174&tld=ru&lang=r
2505 519 bytes
2666 16 kB
2851 16 kB
2861 13 kB
5420 584 bytes
5479 584 bytes
5497 9414 bytes
5501 584 bytes
5518 10 kB
5901 7411 bytes
6048 6215 bytes
6141 584 bytes
7678 www.shopji-com.su image/jpeg 85 kB 51764-comp.jpg
7826 i3.sokol.org.u8 image/jpeg 153 kB 11937502.jpg
8027 su.ff.avast.com application/octet-stream 349 bytes A3cKIDEwYjl1NWNkNzFhMzRiZDg5MjkxMTJmYmY1ZGJkZWY5E
8917 icongal.com image'png 18 kB computer.png
8959 www.laptoppricelist.net image/jpeg 880 kB LE N0v0%20l DEAP AD%20FLAX%2010%2059-404493 %20Dua I %2I
9006 www.planetashop.ru image/jpeg 16 kB 201265.jpg
9126 rn.voltmart.su image/jpeg 74 kB 85396_big.jpg
9223 cdn.instructables.com image/jpeg 8177 bytes FMFQBV1HJGE61VT.SQUARE2.jpg
Help
Save All
1___
7 intnfarre ilrvp гяпtnr* in nrnn№«> Ptlcv 1 Parlrrfc- ISRSfi . nicnlawrlr ISRSfi ПППП%1
Рисунок 4 - Захваченные объекты
Для того чтобы извлечь нужный файл из списка, достаточно просто выделить его и нажать «Save As». Далее сохраняем файл и открываем его для просмотра. (Рисунок 5)
Рисунок 5 - Перехваченное изображение
Также программа позволяет перехватить и текстовый файл, и персональные данные пользователя в сети широковещательной передачей трафика (в сети с концентратором).
Wireshark представляет пользователю удобный интерфейс для работы и поддерживает разбор и распознавание более 100 сетевых протоколов.
При возникновении сложных, повторяющихся нерегулярно проблем, связанных с нарушением безопасности, а также для их решения, необходим анализ сетевого трафика, который позволяет выявить данные проблемы в сети, восстановить потоки данных, предотвратить различного рода сетевые атаки, накапливать статистику.
Библиографический список
1. Маркин Ю. В., Санаров А. С. Обзор современных инструментов анализа сетевого трафика. http://www.ispras.ru/preprints/docs/prep 27 2014.pdf, дата обращения 17.08.2016
2. Wireshark Trace Files. Режим доступа: http://www.wiresharkbook.com/ studyguide supplements/9781893939943 traces.zip, дата обращения 17.08.2016
3. Wireshark. Режим доступа: http://www.wireshark.org/ , дата обращения 17.08.2016