3 3 3 4 Lab Użycie Wireshark do obserwacji ruchu w sieci

Lab Wireshark jako narządzie do obserwacji ruchu sieciowego
Topologia
Cele
Część 1: (opcjonalnie) Pobierz i zainstaluj program Wireshark
Część 2: Przechwyć i przeanalizuj dane ICMP w programie Wireshark
" Uruchom przechwytywanie ruchu na czas wykonania polecenia ping do hosta lokalnego.
" Zlokalizuj adresy IP i MAC w przechwyconych jednostkach PDU
Część 3: Przechwyć i przeanalizuj dane ICMP do zdalnego hosta
" Uruchom przechwytywanie ruchu na czas wykonania polecenia ping do hosta zdalnego.
" Zlokalizuj adresy IP i MAC w przechwyconych jednostkach PDU
" Wytłumacz dlaczego adresy MAC zdalnych hostów różnią się od adresów MAC hostów lokalnych.
Scenariusz
Analizator pakietów (zwany również analizatorem ruchu sieciowego lub analizatorem protokołów) jest
programem komputerowym, który potrafi przechwycić i zapamiętać dane przesyłane przez sieć. W momencie
gdy strumienie danych podróżują poprzez sieć, analizator przechwytuje i zapamiętuje jednostkę PDU.
Następnie dekoduje informacje w nich zawarte do postaci przejrzystej struktury odzwierciedlającej zalecenia
RFC i umożliwiającej obserwatorowi bardzo wygodną ich analizę.
Wireshark jest bardzo użytecznym narzędziem dla każdego, kto w swej pracy ma do czynienia z sieciami
komputerowymi. Może być z powodzeniem wykorzystywany w laboratoriach kursu CCNA do analizy danych
oraz diagnozowania problemów.
Wymagane zasoby
" 1 komputer PC (Windows 7, Vista lub XP z dostępem do Internetu)
" dodatkowy komputer PC w sieci lokalnej (LAN) - zostanie użyty w celu uzyskania odpowiedzi na ping.
Część 1: (Opcjonalnie) Pobieranie i instalacja programu Wireshark
Wireshark stał się bardzo popularnym analizatorem protokołów sieciowych i jest szeroko używany przez
inżynierów. Jest otwartym oprogramowaniem (open source) dostępnym dla wielu systemów operacyjnych np.
� 2013 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public. Page 1 of 17
Tłumaczenie - Michał Kowal, Politechnika Wrocławska, Katedra Telekomunikacji i Teleinformatyki, luty 2014
Lab - Wireshark jako narządzie do obserwacji ruchu sieciowego
Windows, Linux czy Mac. W pierwszej części tego laboratorium należy pobrać i zainstalować program
Wireshark na komputerze.
Uwaga: Jeśli program Wireshark jest już zainstalowany na komputerze PC przejdz do kroku 2.
Krok 1: Pobierz program Wireshark.
a. Program Wireshark można pobrać ze strony www.wireshark.org.
b. Kliknij Download Wireshark.
c. Wybierz odpowiednią wersję w zależności od systemu operacyjnego i architektury komputera.
Przykładowo jeśli posiadasz 64-bitowy komputer PC z systemem operacyjnym Windows wybierz
Windows Installer (64-bit).
Po dokonaniu wyboru powinien się rozpocząć proces pobierania. Miejsce, gdzie zostanie zapisany plik zależy od
ustawień przeglądarki i system operacyjnego. Dla użytkowników Windows domyślnym miejscem jest folder
Pobrane.
Krok 2: Zainstaluj program Wireshark.
d. Pobrany plik ma nazwę Wireshark-win64-x.x.x.exe, gdzie x oznacza numer wersji. Kliknij go dwukrotnie
aby rozpocząć proces instalacji.
� 2013 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public.
Tłumaczenie - Michał Kowal, Politechnika Wrocławska, Katedra Telekomunikacji i Teleinformatyki, luty 2014 Strona 2 of 17
Lab - Wireshark jako narządzie do obserwacji ruchu sieciowego
e. Odpowiedz na wszystkie pytania system operacyjnego związane z bezpieczeństwem. Jeśli w systemie
operacyjnym jest zainstalowana starsza wersja, instalator poprosi o jej deinstalację. Zalecana jest
deinstalacja starszej wersji przed instalacją nowszej. Kliknij Yes aby rozpocząć proces deinstalacji.
f. Jeśli na komputerze program Wireshark jest instalowany pierwszy raz, lub gdy proces deinstalacji
zostanie zakończony, zostanie uruchomiony kreator instalacji programu. Kliknij Next.
g. Kliknij I Agree gdy pojawi się okno z licencją używania programu.
� 2013 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public.
Tłumaczenie - Michał Kowal, Politechnika Wrocławska, Katedra Telekomunikacji i Teleinformatyki, luty 2014 Strona 3 of 17
Lab - Wireshark jako narządzie do obserwacji ruchu sieciowego
h. Pozostaw domyślne ustawienia w oknie wyboru komponentów do instalacji i kliknij Next.
i. Wymierz, gdzie instalator ma stworzyć skróty i kliknij Next.
� 2013 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public.
Tłumaczenie - Michał Kowal, Politechnika Wrocławska, Katedra Telekomunikacji i Teleinformatyki, luty 2014 Strona 4 of 17
Lab - Wireshark jako narządzie do obserwacji ruchu sieciowego
j. Możliwa jest zmiana miejsca instalacji program Wireshark, ale jest nie ma ograniczeń co do wielkości
programów instalowanych na głównej partycji, pozostaw domyślną lokalizację.
k. W celu przechwytywania danych bezpośrednio z karty sieciowej na komputerze musi być zainstalowany
program WinPcap. Jeśli program jest zainstalowany opcja jego instalacji nie zostanie wybrana. W
przypadku, gdy na komputerze znajduje się jego starsza wersja zalecana jest aktualizacja. W takim
przypadku zaznacz opcję Install WinPcap x.x.x.
l. W przypadku instalacji WinPcap dokończ proces instalacji.
� 2013 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public.
Tłumaczenie - Michał Kowal, Politechnika Wrocławska, Katedra Telekomunikacji i Teleinformatyki, luty 2014 Strona 5 of 17
Lab - Wireshark jako narządzie do obserwacji ruchu sieciowego
m. Instalator Wireshark rozpocznie kopiowanie plików w osobnym oknie. Kliknij Next gdy proces instalacji
zostanie zakończony.
n. Kliknij Finish aby zakończyć proces instalacji program Wireshark.
� 2013 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public.
Tłumaczenie - Michał Kowal, Politechnika Wrocławska, Katedra Telekomunikacji i Teleinformatyki, luty 2014 Strona 6 of 17
Lab - Wireshark jako narządzie do obserwacji ruchu sieciowego
Część 2: Przechwytywanie i analiza danych protokołu ICMP w sieci lokalnej
W części 2 tego laboratorium należy wydać komendę ping do innego komputer w sieci lokalnej i za pomocą
programu Wireshark przechwycić zapytania i odpowiedzi protokołu ICMP. Dodatkowo zostanie
przeprowadzona szczegółowa analiza przechwyconych danych. Analiza powinna wyjaśnić w jaki sposób
nagłówki pakietów są używane w procesie przesyłania danych do miejsca docelowego.
Krok 1: Pozyskiwanie adresów interfejsu sieciowego komputera PC.
Na potrzeby tego ćwiczenia będziesz musiał pozyskać adres IP oraz adres fizyczny MAC swojej karty
sieciowej.
o. Otwórz wiersz poleceń, wpisz ipconfig /all i wciśnij Enter.
p. Zapisz adres IP oraz MAC swojego interfejsu sieciowego.
q. Wymień się z kolegą z grupy adresami IP. W tej chwili nie zdradzaj mu swojego adresu MAC.
� 2013 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public.
Tłumaczenie - Michał Kowal, Politechnika Wrocławska, Katedra Telekomunikacji i Teleinformatyki, luty 2014 Strona 7 of 17
Lab - Wireshark jako narządzie do obserwacji ruchu sieciowego
Krok 2: Uruchom program Wireshark i rozpocznij przechwytywanie danych.
r. Uruchom program Wireshark korzystając z menu systemu operacyjnego.
s. Po uruchomieniu programu Wireshark kliknij Interface List.
Uwaga: Kliknięcie pierwszej ikony interfejsu zaznaczonej na rysunku wyświetla listę interfejsów.
t. W oknie: Capture Interfaces, wybierz interfejs, które używasz do połączenia do sieci LAN.
Uwaga: Jeśli jest wyświetlanych wiele interfejsów i nie jesteś pewnie, których należy wybrać, kliknij
przycisk Details a następnie wybierz zakładkę 802.3 (Ethernet). Następnie zweryfikuj czy wyświetlony
adres MAC jest taki sam jak odczytany w kroku 1b. Kliknij Close, aby zamknąć okno.
u. Po wybraniu odpowiedniego interfejsu kliknij Start w celi rozpoczęcia przechwytywania danych.
� 2013 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public.
Tłumaczenie - Michał Kowal, Politechnika Wrocławska, Katedra Telekomunikacji i Teleinformatyki, luty 2014 Strona 8 of 17
Lab - Wireshark jako narządzie do obserwacji ruchu sieciowego
Przychwytywane informacje spowodują przewijanie okna programu Wireshark w dół. W zależności od
rodzaju protokołu poszczególne linie będą miały różny kolor.
v. W zależności od intensywności ruchu sieciowego rejestrowanego przez program Wireshark
przechwytywane informacje mogą spowodować bardzo szybkie przewijanie okna. W celu ułatwienia
pracy możliwe jest uruchomienie filtru wyświetlanych informacji. Podczas tego laboratorium będą
analizowane pakiety ICMP. Wpisz icmp w polu Filter, w górnej części okna programu Wireshark, a
następnie wciśnij Enter lub kliknij przycisk Apply - spowoduje to odfiltrowanie jednostek PDU protokołu
ICMP.
w. Uruchomienie filtru spowoduje ukrycie przechwyconych pakietów, które były wyświetlone w górnym oknie
programu Wireshark. W oknie wiersza poleceń wydaj komendę ping na adres IP otrzymany wcześniej od
sąsiada. W górnej części okna powinny się pojawić przechwycone pakiety protokołu ICMP.
� 2013 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public.
Tłumaczenie - Michał Kowal, Politechnika Wrocławska, Katedra Telekomunikacji i Teleinformatyki, luty 2014 Strona 9 of 17
Lab - Wireshark jako narządzie do obserwacji ruchu sieciowego
Uwaga: Brak odpowiedzi z komputera sąsiada na żądania ping może oznaczać, że są one blokowane
przez zaporę sieciowa na jego komputerze. W dodatku A do tej instrukcji znajdują się informacje o tym jak
zmienić ustawienia zapory sieciowej w systemie Windows 7, tak aby ruch ICMP nie był blokowany.
x. Kliknij ikonę Stop Capture aby zatrzymać przechwytywanie danych.
� 2013 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public.
Tłumaczenie - Michał Kowal, Politechnika Wrocławska, Katedra Telekomunikacji i Teleinformatyki, luty 2014 Strona 10 of 17
Lab - Wireshark jako narządzie do obserwacji ruchu sieciowego
Krok 3: Analiza listy przechwyconych pakietów
W kroku 3 zostaną przeanalizowane pakiety wygenerowane podczas wykonywania polecenia ping do
komputera sąsiada. Główne okno programu Wireshark ma trzy panele: 1) w górnej sekcji jest wyświetlana
lista przechwyconych PDU (ramek lub pakietów) wyświetlane jest zbiorcze zestawienie informacji o
przechwyconych pakietach. 2) w środkowej sekcji wyświetlane są szczegóły wskazanych jednostek PDU 3) w
dolnej sekcji wyświetlane są surowe dane z podziałem na warstwy - są one wyświetlane w postaci dziesiętnej
i szesnastkowej.
y. Kliknij pierwszą ramkę PDU zawierającą żądanie ICMP w górnej sekcji okna programu Wireshark.
Zauważ, że w kolumnie zródło (Source) znajduje się twój adres IP, a polu cel (destination) znajduje się
adres IP komputera Twojego sąsiada.
� 2013 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public.
Tłumaczenie - Michał Kowal, Politechnika Wrocławska, Katedra Telekomunikacji i Teleinformatyki, luty 2014 Strona 11 of 17
Lab - Wireshark jako narządzie do obserwacji ruchu sieciowego
z. Aby zobaczyć docelowe i zródłowe adresy MAC, w środkowej sekcji kliknij znak plus znajdujący się po
lewej wiersza Ethernet II.
Czy zródłowy adres MAC jest taki sam jak adres MAC Twojego komputera? ______
Czy docelowy adres MAC jest taki sam jak adres MAC karty sieciowej sąsiada?_____
W jaki sposób Twój komputer pozyskał docelowy adres MAC?
___________________________________________________________________________________
Uwaga: W omawianym przypadku dane ICMP są enkapsulowane w polu danych pakietu IPv4. Z kolei
pakiet IPv4 jest jednostką PDU ramki Ethernet II.
Część 3: Przechwytywanie i analiza danych protokołu ICMP z sieci
zewnętrznej
W części 3 zostaną przeanalizowane dane protokołu ICMP, zarejestrowane podczas wykonywania polecenia
ping do hosta w zdalnej sieci. Zostanie przeprowadzone porównanie danych zarejestrowanych w części 2 z
danym zarejestrowanymi w części 3.
Krok 1: Rozpocznij przechwytywanie danych
aa. Kliknij ponownie ikonę Interface List aby wyświetlić listę interfejsów sieciowych komputera.
ab. Upewnij się, że jest wybrana odpowiednia karta sieciowa i kliknij Start.
� 2013 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public.
Tłumaczenie - Michał Kowal, Politechnika Wrocławska, Katedra Telekomunikacji i Teleinformatyki, luty 2014 Strona 12 of 17
Lab - Wireshark jako narządzie do obserwacji ruchu sieciowego
ac. Pojawi się okno z pytaniem o zapis wcześniej zarejestrowanych danych. Nie jest to konieczne, w związku
z tym kliknij Continue without Saving.
ad. W wierszu poleceń wydaj poleceni ping na następujące adresy URL:
1) www.yahoo.com
2) www.cisco.com
3) www.google.com
� 2013 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public.
Tłumaczenie - Michał Kowal, Politechnika Wrocławska, Katedra Telekomunikacji i Teleinformatyki, luty 2014 Strona 13 of 17
Lab - Wireshark jako narządzie do obserwacji ruchu sieciowego
Uwaga: Kiedy zostaje wydane polecenie ping na wcześniej wymienione adresy, serwer DNS (Domain
Name Server) dokonuje translacji adresów stron URL na adresy IP. Zanotuj adresy IP każdej z wyżej
wymienionych stron www.
ae. Zatrzymaj przechwytywanie danych klikając ikonę Stop Capture.
Step 2: Analiza przechwyconych pakietów ICMP
a. Dokonaj analizy przechwyconych pakietów i odszukaj adresy IP i MAC trzech urządzeń docelowych, do
których wysyłałeś pakiety ICMP:
1 Lokalizacja: IP: _____._____._____._____ MAC: ____:____:____:____:____:____
2 Lokalizacja: IP: _____._____._____._____ MAC: ____:____:____:____:____:____
3 Lokalizacja: IP: _____._____._____._____ MAC: ____:____:____:____:____:____
b. Co zauważyłeś analizując adresy MAC urządzeń docelowych?
____________________________________________________________________________________
c. Jakie zauważasz różnice w odniesieniu do danych przechwyconych w części 2?
____________________________________________________________________________________
____________________________________________________________________________________
Do przemyślenia
Dlaczego program Wireshark pokazuje tylko aktualne adresy lokalnych hostów, natomiast adresy hostów
zdalnych nie są pokazywane?
_______________________________________________________________________________________
_______________________________________________________________________________________
Dodatek A: Odblokowanie pakietów ICMP w ustawieniach zapory sieciowej
Jeśli sąsiedzi nie mogą wydać polecenia ping do Twojego komputera, oznacza to że zapora sieciowa blokuje
zapytania protokołu ICMP kierowane do Twojego komputera. Załącznik ten opisuje sposób tworzenia reguły
dla przychodzącego ruchu ICMP w ustawieniach zapory sieciowej.
Step 1: Tworzenie nowej reguły dla przychodzącego ruchu ICMP
d. W panelu sterowania wybierz opcje System and Security.
� 2013 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public.
Tłumaczenie - Michał Kowal, Politechnika Wrocławska, Katedra Telekomunikacji i Teleinformatyki, luty 2014 Strona 14 of 17
Lab - Wireshark jako narządzie do obserwacji ruchu sieciowego
e. W oknie System and Security kliknij Windows Firewall.
f. W menu po lewej stronie okna Windows Firewall kliknij Advanced settings.
g. W oknie Advanced Security wybierz opcję Inbound Rules, a następnie, w panelu bocznym po prawej
stronie kliknij New Rule& .
h. Zostanie uruchomiony kreator tworzenia nowej reguły (New Inbound Rule wizard). Wybierz regułę typu
Custom i kliknij Next
i. W panelu po lewej kliknij opcję Protocol and Ports, z rozwijanej listy wybierze protokół ICMPv4 i kliknij
Next.
� 2013 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public.
Tłumaczenie - Michał Kowal, Politechnika Wrocławska, Katedra Telekomunikacji i Teleinformatyki, luty 2014 Strona 15 of 17
Lab - Wireshark jako narządzie do obserwacji ruchu sieciowego
j. W panelu po lewej wybierz opcję Name, w polu Name wpisz Allow ICMP Requests, a następnie kliknij
Finish.
Dodana reguła powinna umożliwić sąsiadom otrzymywanie odpowiedzi z Twojego komputera na żądania
protokołu ICMP.
Krok 2: Wyłączanie lub usuwanie nowododanej reguły ICMP.
Po zakończeniu ćwiczenia możesz wyłączyć lub usunąć regułę stworzoną w kroku 1. Użycie opcji Disable
Rule umożliwi jej użycie w przyszłości. Usunięcie reguły z listy spowoduje jej permanentne skasowanie.
k. W oknie Advanced Security, w lewym panelu kliknij Inbound Rules i odszukaj regułę utworzoną w kroku
1.
� 2013 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public.
Tłumaczenie - Michał Kowal, Politechnika Wrocławska, Katedra Telekomunikacji i Teleinformatyki, luty 2014 Strona 16 of 17
Lab - Wireshark jako narządzie do obserwacji ruchu sieciowego
l. Aby wyłączyć regułę wybierz opcję Disable Rule. Po kliknięciu opcja ta zmieni się na Enable Rule.
Status reguł jest wyświetlany w kolumnie Enabled w środkowej części okna.
m. W celu permanentnego usunięcia reguły ICMP, kliknij Delete. Po wybraniu tej opcji w celu ponownego jej
użycia konieczne będzie jej ponowne utworzenie.
� 2013 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public.
Tłumaczenie - Michał Kowal, Politechnika Wrocławska, Katedra Telekomunikacji i Teleinformatyki, luty 2014 Strona 17 of 17

Wyszukiwarka

Podobne podstrony:
5 1 4 3 Lab Użycie Wireshark do analizy ramek Ethernet
5 3 1 10 Lab Użycie IOS CLI do badania tablicy adresów MAC przełącznika
Wytyczne do projektu podstawowej sieci niwelacyjnej
Czyżewski, Michał Przyjazna prywatności obserwacja ruchu na stronach WWW
7 2 3 5 Lab Using Wireshark to Examine a UDP DNS Capture ILM
lab 1 01 wprowadzenie do mathcada 1 3
Interferometr do obserwacji Słońca na częstości 127 MHz
Systemy rurowe z tworzyw sztucznych do bezwykopowego układania sieci gazowych oraz ich renowacji(1)
7 2 1 8 Lab Using Wireshark to Observe the TCP 3 Way Handshake ILM
a 125 ROZ w sprr zakresu badan do uzysk dopuszczenia do prowadzenia ruchu kolejowego
Linux asm lab 07 (Wprowadzenie do Linux a i Asemblera )
przygotowanie dzieci w wieku przedszkolnym do uczestnictwa w ruchu drogowym
Wprowadzenie do praktyki stosowania sieci neuronowych
TELESKOP KOSMICZNY DO OBSERWACJI W PODCZERWIENI

więcej podobnych podstron