Создание и мониторинг  сетей WINDOWS на основе стандартных компонентов

Создание и мониторинг  сетей WINDOWS на основе стандартных компонентов

 

Настройка TCP / IP

Нажмите «Служебные WINDOWS» – «Панель управления»
Выберите раздел «Сеть и Интернет»

Далее перейдите в «Центр управления сетями и общим доступом»

Далее в окне «Центр управления сетями и общим доступом» слева выберите «Изменение параметров адаптеров»

В открывшемся окне щелкните по ярлыку «Подключению по локальной сети» правой кнопкой мыши и выберите пункт «Свойства».
Далее выберите «Протокол Интернета версии 4 (TCP/IPv4)» и нажмите кнопку «Свойства».
Откроется окно «Свойства: Протокол Интернета версии 4 (TCP/IPv4)»

В этом окне конфигурируется протокол TCP/IP версии 4.

 

Базовый принцип работы снифферов

На рис. 1 изображена схематично структура сетевой подсистемы ОС. Вся базовая инфраструктура реализована в виде драйверов и работает в режиме ядра. Пользовательские процессы и реализации прикладных протоколов, в частности интерфейс сниффера работают в пользовательском режиме.

На рисунке отображены 2 пользовательских процесса («сетевой процесс 1» и «сетевой процесс 2»).

 

 

 

Основными компонентами сниффера являются: драйвер для захвата пакетов (libpcap драйвер), интерфейсная библиотека (libpcap) и интерфейс пользователя (Wireshark). Библиотека libpcap (реализация под ОС Windows носит название WinPcap.

Сниффер использует библиотеку в режиме «захвата» пакетов, т.е. может получать копию ВСЕХ данных проходящих через драйвер сетевого интерфейса. Изменения в сами данные не вносятся!

Захват пакетов

Для начала захвата пакетов необходимо задать параметры захвата. В частности, указать сетевой интерфейс, с которого и будет осуществляться захват пакетов. Это действие доступно через меню как «Capture–>Options» или комбинации клавиш CTRL+K (см. рис. 3). Интерфейс, задаваемый в поле «Interface:» можно выбрать из соответствующего поля. В примере на рис. 3. Показано, что доступны 3 интерфейса: физический сетевой адаптер («Marvel…»), и интерфейсы для виртуальных каналов, в частности, установленного VPN-соединения («WAN (PPP/SLIP)…»). В большинстве случае подходит выбор интерфейса сетевого адаптера.

В качестве дополнительных параметров захвата можно указать следующие:

· «Capture Filter» – фильтр захвата (будем рассматривать далее). По нажатию на соответствующую кнопку можно применить тот или иной фильтр отбора (из ранее сохраненных). Если таковых не имеется, его можно указать явно в строке редактирования.

· «Update list of packets in real time» – обновление списка захваченных пакетов в режиме реального времени.

· «Stop Capture» – набор параметров, позволяющих задать то или иное значение при достижении, которого процесс захвата пакетов прекратится.

· «Name Resolution» – набор параметров разрешения имен позволяет определить какие из способов разрешения имен должны использоваться.

Для начала мониторинга сетевой активности нужно нажать «Start». После выбора интерфейса, который нас интересует, в дальнейшем можно начинать и останавливать захват пакетов через соответствующие команды в меню «Capture».

           

 

 

Фильтрация пакетов

Если запустить сниффер без дополнительных настроек, он будет «захватывать» все пакеты, проходящие через сетевые интерфейсы (см. рис. 1). Вообще, для общего ознакомления с процессами, происходящими в сети, очень полезно пронаблюдать активность сетевых протоколов в реальных условиях работы системы в сети. Пронаблюдать все разнообразие протоколов, запросов, ответов и др. событий.

При целенаправленном использовании сниффера очень часто необходимо выборочно отображать или захватывать пакеты по некоторым заданным критериям. Для этих целей служат фильтры отображения и захвата, соответственно.

Типы фильтрации трафика

Существует два варианта фильтрации пакетов: на этапе захвата и на этапе отображения пользователю. В первом случае эффективность работы сниффера и потребляемые им системные ресурсы значительно ниже, нежели во втором случае. Это объясняется тем, что при достаточно интенсивном сетевом трафике и продолжительном времени захвата все пакеты должны бить захвачены и сохранены либо в память, либо на дисковое устройство. Самые простые подсчеты могу показать, что даже для 100-мегабитной сети системных ресурсов хватит на непродолжительное время. Фильтрация захвата уже на момент получения пакета гораздо эффективнее, однако в таком случае она должна быть реализована на уровне самих драйверов захвата. Данный факт, естественно, усложняет реализацию сниффера. Wireshark поддерживает оба варианта фильтрации. Рассмотрим

Фильтры отображения

Фильтры отображения представляют собой достаточно мощное средство отображения трафика. Фильтры задаются в строке, располагающейся вверху основного экрана («Filter:»). Простейший фильтр отображения, позволяет отобрать пакеты по тому или иному протоколу. Для этого в строке требуется указать название протокола (например HTTP) и нажать кнопку «Apply». После этого в верхнем окне останутся пакеты, принадлежащие этому протоколу. Кнопкой «Reset» действие фильтра отменяется.

 

Фильтры захвата

С помощью данных фильтров можно захватывать из сети только те пакеты, которые подходят под критерий отбора. Если не задано никакого фильтра (по умолчанию), то будут захватываться все пакеты. В противном случае только пакеты, для которых указанное выражение будет истинным. Синтаксис фильтров захвата несколько отличается от синтаксиса фильтров отображения. Выражение состоит из одного или более примитивов разделенных пробельными символами. На рис. 6 приведен пример фильтра для захвата пакетов, адресованных на 80-й порт (http) узла с ip-адресом 10.197.0.11.

 

 

 

Лабораторная работа №1

 

II. Настройка параметров IP

1. Настройте параметры IP вручную, установив те же параметры.
2. Какие компоненты используются текущим подключением, зачем они?
3. Какой(ие) компонент(ы) обязателен(обязательны) для работы сети?

 

IX. Выведите arp-таблицу

С каким параметром следует запустить утилиту, чтобы добавить\удалить запись?

 

Создание и мониторинг  сетей WINDOWS на основе стандартных компонентов

 

Настройка TCP / IP

Нажмите «Служебные WINDOWS» – «Панель управления»
Выберите раздел «Сеть и Интернет»

Далее перейдите в «Центр управления сетями и общим доступом»

Далее в окне «Центр управления сетями и общим доступом» слева выберите «Изменение параметров адаптеров»

В открывшемся окне щелкните по ярлыку «Подключению по локальной сети» правой кнопкой мыши и выберите пункт «Свойства».
Далее выберите «Протокол Интернета версии 4 (TCP/IPv4)» и нажмите кнопку «Свойства».
Откроется окно «Свойства: Протокол Интернета версии 4 (TCP/IPv4)»

В этом окне конфигурируется протокол TCP/IP версии 4.