Практическая работа 1. Изучение программы SnifferPro 1.5 компании Network Associates
Упражнение 1
Цель работы - изучение возможностей программы SnifferPro, популярного сетевого анализатора, разработанного компанией Network Associates.
Установка программы
1. Запустить самораспаковывающийся архив «SnifferPro.exe»
2. Ответить на ряд стандартных вопросов, выбрать каталог для установки и т. д.
3. Дождаться окончания установки.
4. Перезагрузить компьютер (необязательно)
После установки программы добавляется также новая служба Sniffer Driver 1.5.2.
Основные приёмы работы с программой
Запуск программы
Программа SnifferPro позволяет перехватывать и анализировать трафик сегмента сети, а также формировать и отправлять сетевые пакеты.
1. Запустить программу
Start > Programs > SnifferPro
2. Выбрать сетевой адаптер, с которого будет собираться трафик. Для этого:
* В меню File выбрать пункт Select Network Probe/Adapter
* В появившемся списке выбрать адаптер, подключенный к сегменту 200.х.х.0
* Если требуемый адаптер в списке отсутствует, нажать кнопку New Probe и добавить сетевой адаптер
3. Нажать ОК
Далее можно переходить к изучению основных приёмов по перехвату и анализу трафика. Программа использует несколько окон при отображении различной информации. Отрегулировать положение некоторых из них можно при помощи меню:
Tools > Options > закладка Workspace
Просмотр трафика
1. В меню Capture выбрать пункт Start. Появляется окно Expert, позволяющее просматривать процесс перехвата. Это в основном статистические данные о количестве перехваченных пакетов, установленных соединений и т. д.
2. Для просмотра перехваченной информации необходимо в меню Capture выбрать пункт Stop and Display.
3. В появившемся окне выбрать закладку Decode. Сведения расположены в трёх окнах. В верхнем окне отображена краткая информация о пакете, в среднем окне - информация из заголовков различных уровней в читаемом виде, и наконец, в нижнем окне показан шестнадцатеричный вариант.
Однако обычно не требуется просмотр всего трафика, поэтому целесообразно задавать различные способы фильтрации. Следующая часть работы посвящена заданию фильтрации. Допустим, требуется задать фильтр для перехвата ICMP-пакетов между вашим узлом и узлом преподавателя.
Задание фильтрации по конкретным узлам (адресам):
1. В меню Capture выбрать пункт Define Filter.
2. Открыть закладку Address.
3. Выбрать тип адреса, в данном случае IP.
4. В поля Station 1 и Station2 задать необходимые адреса (ваш и преподавателя).
Задание фильтрации по протоколам:
5. Открыть закладку Advanced.
6. Отметить в списке необходимые протокол (ы). В данном случае ICMP.
7. Нажать кнопку ОК.
Проверка работы фильтра
8. В меню Capture выбрать пункт Start.
9. Запустить командную строку и ввести команду ping <узел преподавателях
1 . В меню Capture выбрать пункт Stop and Display.
2 . Открыть закладку Decode.
3 . Просмотреть перехваченные пакеты ICMP (Echo, Echo Replay). Их должно быть восемь
(4 запроса, 4 ответа).
При мониторинге сети довольно часто возникает задача прекращения сбора трафика при наступлении определённого события. Например, это может быть появление в сети пакета с определённым содержимым. Следующая часть работы посвящена настройке программы SnifferPro для решения подобного рода задач.
Работа с триггерами
Допустим, требуется осуществлять мониторинг трафика до появления в сети пакета, характерного для известной атаки WinNuke (посылка пакета, содержащего флаги URG и PUSH на 139-й порт узла). В момент появления пакета требуется остановить сбор трафика.
1. Перейти в каталог на сетевом диске \\ . .\Дистрибутивы для BT03\hack\nuke
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.