Сетевой монитор. Принципы работы с сетевым монитором. Анализ, перемещаемого в сети трафика. Окно программы Network Monitor

Страницы работы

Содержание работы

Практическая работа

Тема: “Сетевой монитор”

Цель работы: Изучить принципы работы с сетевым монитором. Проанализировать трафик перемещаемый в сети.

В ОС Windows 2000 Server имеется инструмент приема и расшифровки пакетов перемещаемых по сети – сетевой монитор (Network Monitor). Монитор принимает все пакеты попадающие на сетевую карту машину, далее при помощи фильтров можно “отсеять” не нужные кадры и пранализировать полученные данные.

Предлагается проанализировать трафик между двумя рабочими станциями, в данном случае это будет соединение клиента с сервером FTP и скачивание одного документа.

При запуске монитора открывается следующие окно (рисунок 1), на котором имеется панель кнопок, информационные панели. При нажатии кнопки Start монитор начинает принимать кадры из сети.

Рисунок 1 – Окно программы Network Monitor

Организация передачи информации между машинами состоит в следующем: на машине с IP адресом 192.168.50.1 организован FTP сервер, в котором хранится файл 123.txt в папке 123, а на машине с IP адресом 192.168.50.2 при помощи консоли необходимо закачать этот файл. Набор команд на клиентской стороне следующий:

c:\>ftp

ftp>open 192.168.50.1

User (192.168.50.1:(none)): Administrator

Password:

ftp> dir

ftp> cd 123

ftp> dir

ftp> get 123.txt

Local file

ftp> quit

После окончании сеанса связи с FTP сервером останавливаем монитор кнопкой Stop. После переходим в режим просмотра полученных кадров Ethernet, при этом окно программы выглядит следующим образом:

Рисунок 2 – Полученные кадры во время сеанса связи

Как видно из рисунка за незначительное время на компьютер пришло множество пакетов, содержащие различные протоколы, информацию и др. Поэтому воспользуемся инструментом монитора – фильтром. Фильтр пакетов довольно сложный инструмент помогающий при анализе трафика. Настройки фильтра имеет два окна (рисунок 3): первое окно (Display Filter) содержит один или больше различных фильтров, при этом их можно объединять в группы и подгруппы логическими операциями AND, OR, NOT; второе окно (Expression) предназначено для настройки одного фильтра и содержит три вкладки, при помощи которых можно создать фильтры по адресам пакетов, протоколам или свойствам пакета.

Рисунок 3 – Окна настройки фильтров

В данном случае создадим два фильтра: первый фильтр фильтрует пакеты по адресам – 192.168.50.1 и 192.168.50.2, второй фильтр фильтрует пакеты по протоколу FTP. Оба фильтра объединим булевой функцией AND (рисунок 4)

Рисунок 4 – Созданные два фильтра

После применения данного фильтра получим список из 27 пакетов (рисунок 5).

Рисунок 5 – Результат работы фильтра

Данное окно содержит дополнительно две панели, в средней панели содержится расшифрованные данные пакета, представленной в удобной для пользователя виде, в нижней панели содержится 16-теричный дамп пакета.

Рассмотрим по порядку основные передаваемые пакеты при сеансе связи с FTP сервером:

Первоначально клиент и сервер обмениваются пакетами протокола TCP, в которых обмениваются параметрами (Seq, Ack, Win, Len).

Далее сервер посылает запрос 220 – сервис готов для нового пользователя, а также версию сервера (аргумент)

0000  00 0f 3d cd 41 6d 00 e0  29 4b 56 13 08 00 45 00    ..=.Am.. )KV...E.

0010  00 5b 0e a6 40 00 80 06  06 a3 c0 a8 32 01 c0 a8     .[..@... ....2...

0020  32 02 00 15 0c 8c 35 5a  f6 55 b2 b8 81 c8 50 18     2.....5Z .U....P.

0030  44 70 50 92 00 00 32 32  30 20 6c 61 62 34 30 33   DpP...22 0 lab403

0040  5f 31 20 4d 69 63 72 6f  73 6f 66 74 20 46 54 50     _1 Micro soft FTP

0050  20 53 65 72 76 69 63 65  20 28 56 65 72 73 69 6f    Service  (Versio

0060  6e 20 35 2e 30 29 2e 0d  0a                                       n 5.0).. .      

Клиент передает следующий пакет, содержащий команду user  и имя пользователя administrator

0000   00 e0 29 4b 56 13 00 0f  3d cd 41 6d 08 00 45 00             ..)KV... =.Am..E.

0010   00 3c 7a e5 40 00 80 06  9a 82 c0 a8 32 02 c0 a8              .<z.@... ....2...

0020   32 01 0c 8c 00 15 b2 b8  81 c8 35 5a f6 88 50 18              2....... ..5Z..P.

0030   44 3d d4 68 00 00 55 53  45 52 20 61 64 6d 69 6e             D=.h..US ER admin

0040   69 73 74 72 61 74 6f 72  0d 0a                                           istrator .. 

На данный пакет сервер шлет запрос с кодом 331, означающий, что имя пользователя верно, требуется пароль

Клиент посылает следующий ответ:

0000   00 e0 29 4b 56 13 00 0f  3d cd 41 6d 08 00 45 00             ..)KV... =.Am..E.

0010   00 39 7a eb 40 00 80 06  9a 7f c0 a8 32 02 c0 a8               .9z.@... ....2...

0020   32 01 0c 8c 00 15 b2 b8  81 dc 35 5a f6 b2 50 18              2....... ..5Z..P.

0030   44 13 14 40 00 00 50 41  53 53 20 73 75 70 65 72            D..@..PA SS super

0040   76 69 73 6f 72 0d 0a                                                            visor.. 

В содержимом пакете видно что ответ – PASS, означает пароль, сам пароль не шифруется и шлется открытым текстом – supervisor.

Сервер отвечает кодом 230 – пользователь вошел.

При наборе команды DIR в консоли к серверу посылается пакет с командой LIST

Сервер отвечает пакетом, в котором содержится листинг директории:

0000   00 0f 3d cd 41 6d 00 e0  29 4b 56 13 08 00 45 00             ..=.Am.. )KV...E.

0010   00 54 0e b1 40 00 80 06  06 9f c0 a8 32 01 c0 a8              .T..@... ....2...

0020   32 02 00 14 0c 8e 36 06  6f 3f b3 56 6e 40 50 18              2.....6. o?.Vn@P.

0030   44 70 db 9b 00 00 30 35  2d 31 34 2d 30 35 20 20            Dp....05 -14-05 

0040   30 31 3a 31 39 50 4d 20  20 20 20 20 20 20 3c 44             01:19PM        <D

0050   49 52 3e 20 20 20 20 20  20 20 20 20 20 31 32 33             IR>           123

0060   0d 0a                                                                                    ..              

Как видно в корневом каталоге содержится одна папка с именем 123, дата создания которой 05-14-05 01:19РМ.

Загрузка удаленного файла осуществляется командой RETR с аргументом 123.txt (имя загружаемого файла).

Сервер передает файл. Т.к. загружаемый файл тестовой и имеет длину 10 байт, то загружаемый текст видно при помощи монитора:

0000   00 0f 3d cd 41 6d 00 e0  29 4b 56 13 08 00 45 00             ..=.Am.. )KV...E.

0010   00 32 0e c4 40 00 80 06  06 ae c0 a8 32 01 c0 a8              .2..@... ....2...

0020   32 02 00 14 0c 90 36 5b  16 60 b3 a4 0d ec 50 18             2.....6[ .`....P.

0030   44 70 69 2b 00 00 4c 65  76 20 70 72 69 76 65 74             Dpi+..Le v privet

Вывод: В процессе выполнения практической работы была изучена программа “Сетевой монитор”, входящая в состав ОС Windows 2000 Server. Был приобретен навык получения информации из трафика, передаваемого по локальной сети.

Похожие материалы

Информация о работе