Работа с инструментами анализа локального сетевого трафика в среде операционных систем MS Windows

Размещено на http://www.allbest.ru/

Установка и сортировка данных в ПО Wireshark

локальный сетевой трафик windows

При выполнении данной лабораторной работы на рабочее место было установлено ПО WireShark версии 1.8.5 для ОС Windows XP. Дистрибутив был скачан с сайта http://www.wireshark.org/download.html

Сортировка пакетов по порядку

Рис.

Сортировка пакетов по протоколу:

Рис.

Сортировка пакетов по длине пакета

Рис.

Анализ пакетов TCP\UDP в ПО Wireshark. Теория протокола TCP

TCP -- это транспортный механизм, предоставляющий поток данных, с предварительной установкой соединения, за счёт этого дающий уверенность в достоверности получаемых данных, осуществляет повторный запрос данных в случае потери данных и устраняет дублирование при получении двух копий одного пакета. В отличие от UDP гарантирует целостность передаваемых данных и уведомление отправителя о результатах передачи.

Процесс пересылает данные, вызывая программу протокола TCP и передавая ей в качестве аргументов буферы с данными. Протокол TCP пакует данные из этих буферов в сегменты, а затем вызывает модуль Internet для передачи каждого сегмента на программу протокола TCP, являющуюся адресатом. Этот адресат в свою очередь помещает данные из сегмента в буферы получателя и затем оповещает своего клиента о прибытии предназначенных ему данных. Программы протокола TCP помещают в сегменты контрольную информацию, которая затем используется ими для проверки очередности передачи данных.

Модель Internet коммуникаций состоит в том, что с каждой программой протокола TCP связан модуль протокола Internet, обеспечивающий ей интерфейс с локальной сетью. Данный модуль Internet помещает сегменты TCP в Internet датаграммы, а затем направляет их на другой Internet модуль или же промежуточный шлюз. Для передачи датаграммы по локальной сети она в свою очередь помещается в пакет соответствующего типа.

Рис.

Флаги (управляющие биты)

Это поле содержит 6 битовых флагов:

· URG -- Поле «Указатель важности» задействовано (англ. Urgent pointer field is significant)

· ACK -- Поле «Номер подтверждения» задействовано (англ. Acknowledgement field is significant)

· PSH -- (англ. Push function) инструктирует получателя протолкнуть данные, накопившиеся в приемном буфере, в приложение пользователя

· RST -- Оборвать соединения, сбросить буфер (очистка буфера) (англ. Reset the connection)

· SYN -- Синхронизация номеров последовательности (англ. Synchronize sequence numbers)

· FIN (англ. final, бит) -- флаг, будучи установлен, указывает на завершение соединения (англ. FIN bit used for connection termination).

Рис.

Теория протокола UDP

Протокол UDP (User Datagram Protocol, RFC-768) является одним из основных протоколов, расположенных непосредственно над IP. Он предоставляет прикладным процессам транспортные услуги, немногим отличающиеся от услуг протокола IP. Протокол UDP обеспечивает доставку дейтограмм, но не требует подтверждения их получения. Протокол UDP не требует соединения с удаленным модулем UDP ("бессвязный" протокол). К заголовку IP-пакета UDP добавляет поля порт отправителя и порт получателя, которые обеспечивают мультиплексирование информации между различными прикладными процессами, а также поля длина UDP-дейтограммы и контрольная сумма, позволяющие поддерживать целостность данных.

Таким образом, если на уровне IP для определения места доставки пакета используется адрес, на уровне UDP - номер порта.

Формат пакета UDP

Рис.

Если UDP работает над IPv4, контрольная сумма вычисляется при помощи псевдозаголовка, который содержит некоторую информацию из заголовка IPv4. Псевдозаголовок не является настоящим IPv4-заголовком, используемым для отправления IP-пакета.

Рис.

Использование системных утилит ping и tracert для анализа

Для анализа сетевого соединения иногда могут быть очень полезны утилиты, входящие в состав любой современной настольной ОС, такие как ping и traceroute. В ходе данной работы ознакомимся с их применением для выяснения доступности сайта sut.ru.

Ping - утилита для проверки соединений в сетях на основе TCP/IP, а также обиходное наименование самого запроса.

Таблица. Параметры команды ping

Рис.

Traceroute -- это служебная компьютерная программа, предназначенная для определения маршрутов следования данных в сетях TCP/IP. Traceroute может использовать разные протоколы передачи данных в зависимости от операционной системы устройства. Такими протоколами могут быть UDP, TCP, ICMP или GRE. Компьютеры с установленной операционной системой Windows используют ICMP-протокол, при этом операционные системы Linux и маршрутизаторы Cisco - протокол UDP.

Traceroute входит в поставку большинства современных сетевых операционных систем. В системах Microsoft Windows эта программа носит название tracert, а в системах GNU/Linux, Cisco IOS и Mac OS -- traceroute.

Использование: tracert [-d] [-h максЧисло] [-j списокУзлов] [-w интервал] имя

Параметры:

-d Без разрешения в имена узлов.

-h максЧисло Максимальное число прыжков при поиске узла.

-j списокУзлов Свободный выбор маршрута по списку узлов.

-w интервал Интервал ожидания каждого ответа в миллисекундах.

Рис.

Вывод

В данной лабораторной работе был проведен анализ работы протокол UDP\TCP в ПО Wireshark, изучил различия и принципы построения пакета. Изучил работу программы Wireshark. Был проведен анализ доступности сайта sut.ru.

Литература

1. http://windata.ru/windows-world/com/utilita-ping/

2. http://ru.wikipedia.org/

3. http://www.soslan.ru/tcp/tcp11.html

4. http://book.itep.ru/4/44/udp_442

Размещено на Allbest.ru