Практическая работа
Тема: “Сетевой монитор”
Цель работы: Изучить принципы работы с сетевым монитором. Проанализировать трафик перемещаемый в сети.
В ОС Windows 2000 Server имеется инструмент приема и расшифровки пакетов перемещаемых по сети – сетевой монитор (Network Monitor). Монитор принимает все пакеты попадающие на сетевую карту машину, далее при помощи фильтров можно “отсеять” не нужные кадры и пранализировать полученные данные.
Предлагается проанализировать трафик между двумя рабочими станциями, в данном случае это будет соединение клиента с сервером FTP и скачивание одного документа.
При запуске монитора открывается следующие окно (рисунок 1), на котором имеется панель кнопок, информационные панели. При нажатии кнопки Start монитор начинает принимать кадры из сети.
Рисунок 1 – Окно программы Network Monitor
Организация передачи информации между машинами состоит в следующем: на машине с IP адресом 192.168.50.1 организован FTP сервер, в котором хранится файл 123.txt в папке 123, а на машине с IP адресом 192.168.50.2 при помощи консоли необходимо закачать этот файл. Набор команд на клиентской стороне следующий:
c:\>ftp
ftp>open 192.168.50.1
User (192.168.50.1:(none)): Administrator
Password:
ftp> dir
ftp> cd 123
ftp> dir
ftp> get 123.txt
Local file
ftp> quit
После окончании сеанса связи с FTP сервером останавливаем монитор кнопкой Stop. После переходим в режим просмотра полученных кадров Ethernet, при этом окно программы выглядит следующим образом:
Рисунок 2 – Полученные кадры во время сеанса связи
Как видно из рисунка за незначительное время на компьютер пришло множество пакетов, содержащие различные протоколы, информацию и др. Поэтому воспользуемся инструментом монитора – фильтром. Фильтр пакетов довольно сложный инструмент помогающий при анализе трафика. Настройки фильтра имеет два окна (рисунок 3): первое окно (Display Filter) содержит один или больше различных фильтров, при этом их можно объединять в группы и подгруппы логическими операциями AND, OR, NOT; второе окно (Expression) предназначено для настройки одного фильтра и содержит три вкладки, при помощи которых можно создать фильтры по адресам пакетов, протоколам или свойствам пакета.
Рисунок 3 – Окна настройки фильтров
В данном случае создадим два фильтра: первый фильтр фильтрует пакеты по адресам – 192.168.50.1 и 192.168.50.2, второй фильтр фильтрует пакеты по протоколу FTP. Оба фильтра объединим булевой функцией AND (рисунок 4)
Рисунок 4 – Созданные два фильтра
После применения данного фильтра получим список из 27 пакетов (рисунок 5).
Рисунок 5 – Результат работы фильтра
Данное окно содержит дополнительно две панели, в средней панели содержится расшифрованные данные пакета, представленной в удобной для пользователя виде, в нижней панели содержится 16-теричный дамп пакета.
Рассмотрим по порядку основные передаваемые пакеты при сеансе связи с FTP сервером:
Первоначально клиент и сервер обмениваются пакетами протокола TCP, в которых обмениваются параметрами (Seq, Ack, Win, Len).
Далее сервер посылает запрос 220 – сервис готов для нового пользователя, а также версию сервера (аргумент)
0000 00 0f 3d cd 41 6d 00 e0 29 4b 56 13 08 00 45 00 ..=.Am.. )KV...E.
0010 00 5b 0e a6 40 00 80 06 06 a3 c0 a8 32 01 c0 a8 .[..@... ....2...
0020 32 02 00 15 0c 8c 35 5a f6 55 b2 b8 81 c8 50 18 2.....5Z .U....P.
0030 44 70 50 92 00 00 32 32 30 20 6c 61 62 34 30 33 DpP...22 0 lab403
0040 5f 31 20 4d 69 63 72 6f 73 6f 66 74 20 46 54 50 _1 Micro soft FTP
0050 20 53 65 72 76 69 63 65 20 28 56 65 72 73 69 6f Service (Versio
0060 6e 20 35 2e 30 29 2e 0d 0a n 5.0).. .
Клиент передает следующий пакет, содержащий команду user и имя пользователя administrator
0000 00 e0 29 4b 56 13 00 0f 3d cd 41 6d 08 00 45 00 ..)KV... =.Am..E.
0010 00 3c 7a e5 40 00 80 06 9a 82 c0 a8 32 02 c0 a8 .<z.@... ....2...
0020 32 01 0c 8c 00 15 b2 b8 81 c8 35 5a f6 88 50 18 2....... ..5Z..P.
0030 44 3d d4 68 00 00 55 53 45 52 20 61 64 6d 69 6e D=.h..US ER admin
0040 69 73 74 72 61 74 6f 72 0d 0a istrator ..
На данный пакет сервер шлет запрос с кодом 331, означающий, что имя пользователя верно, требуется пароль
Клиент посылает следующий ответ:
0000 00 e0 29 4b 56 13 00 0f 3d cd 41 6d 08 00 45 00 ..)KV... =.Am..E.
0010 00 39 7a eb 40 00 80 06 9a 7f c0 a8 32 02 c0 a8 .9z.@... ....2...
0020 32 01 0c 8c 00 15 b2 b8 81 dc 35 5a f6 b2 50 18 2....... ..5Z..P.
0030 44 13 14 40 00 00 50 41 53 53 20 73 75 70 65 72 D..@..PA SS super
0040 76 69 73 6f 72 0d 0a visor..
В содержимом пакете видно что ответ – PASS, означает пароль, сам пароль не шифруется и шлется открытым текстом – supervisor.
Сервер отвечает кодом 230 – пользователь вошел.
При наборе команды DIR в консоли к серверу посылается пакет с командой LIST
Сервер отвечает пакетом, в котором содержится листинг директории:
0000 00 0f 3d cd 41 6d 00 e0 29 4b 56 13 08 00 45 00 ..=.Am.. )KV...E.
0010 00 54 0e b1 40 00 80 06 06 9f c0 a8 32 01 c0 a8 .T..@... ....2...
0020 32 02 00 14 0c 8e 36 06 6f 3f b3 56 6e 40 50 18 2.....6. o?.Vn@P.
0030 44 70 db 9b 00 00 30 35 2d 31 34 2d 30 35 20 20 Dp....05 -14-05
0040 30 31 3a 31 39 50 4d 20 20 20 20 20 20 20 3c 44 01:19PM <D
0050 49 52 3e 20 20 20 20 20 20 20 20 20 20 31 32 33 IR> 123
0060 0d 0a ..
Как видно в корневом каталоге содержится одна папка с именем 123, дата создания которой 05-14-05 01:19РМ.
Загрузка удаленного файла осуществляется командой RETR с аргументом 123.txt (имя загружаемого файла).
Сервер передает файл. Т.к. загружаемый файл тестовой и имеет длину 10 байт, то загружаемый текст видно при помощи монитора:
0000 00 0f 3d cd 41 6d 00 e0 29 4b 56 13 08 00 45 00 ..=.Am.. )KV...E.
0010 00 32 0e c4 40 00 80 06 06 ae c0 a8 32 01 c0 a8 .2..@... ....2...
0020 32 02 00 14 0c 90 36 5b 16 60 b3 a4 0d ec 50 18 2.....6[ .`....P.
0030 44 70 69 2b 00 00 4c 65 76 20 70 72 69 76 65 74 Dpi+..Le v privet
Вывод: В процессе выполнения практической работы была изучена программа “Сетевой монитор”, входящая в состав ОС Windows 2000 Server. Был приобретен навык получения информации из трафика, передаваемого по локальной сети.
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.