- •22. Рассмотреть особенности использования сниффера windump, привести примеры запросов windump.
- •Используемые квалификаторы:
- •Примеры
- •23. Рассмотреть особенности использования сниффера Etherial, привести примеры запросов etherial.
- •Пользовательский интерфейс
- •24. Охарактеризовать особенности анализа протоколов Ethernet и arp, icmp и ip, tcp в Etherial
- •Примеры команд фильтрации Ethernet и arp
- •Примеры команд фильтрации ip и icmp
- •Операторы сравнения
22. Рассмотреть особенности использования сниффера windump, привести примеры запросов windump.
Зачем вообще нужны анализаторы? Они позволяют прослушивать пакеты определенного сегмента сети на наличие некоторых шаблонов, исправлять определенные проблемы и выявлять подозрительную активность, могут контролировать широковещательный трафик и выявлять порты-"зеркала" используемые недругами для контроля других портов. Но это все фигня) Перехватывая данные, передаваемые по сети мы вполне можем подсмотреть пароли для различных систем, содержимое почтовых сообщений и другие критичные данные, как внутренние, так и внешние, так как большинство систем не шифрует свой трафик в локальной сети.
WinDump запускается из командной строки командой «windump»
В появившемся окне первое число - временная метка с точностью до долей секунды, второе число - IP-адрес отправителя пакета, за которым следует > (знак больше), а затем целевой адрес.. потом идет информационное поле, которое показывает, что делает пакет и комментарии. Однако запускать WinDump без параметров неэффективно, т.к. быстро теряешься в нагромождении трафа.. Поэтому будем запускать с параметрами в таком виде:
Параметры могут быть такими:
-D Печатает список доступных сетевых интерфейсов в вашей системе. Выводится имя интерфейса, его номер и описание, если таковое имеется. Эти параметры можно использовать для задания интерфейса перехвата с помощью ключа winjdump –i
-i интерфейс Читает из заданного интерфейса, когда на анализирующей машине имеется несколько сетевых интерфейсов.
-w имя_файла Записывает пакеты в указанный файл вместо вывода их на экран. Таким образом результаты можно сохранить и проанализировать их позже. Например, если в вашей сети происходят какие-то странные вещи, вы можете запустить windump на ночь, чтобы перехватить весь необычный трафик. Не забудьте написать хороший фильтр, иначе утром файл может занять весь хард..
Просмотр всего входящего и исходящего трафика определенного хоста.
Используемые квалификаторы:
тип
Определяет, к чему относится идентификатор, заданный как имя или номер. Возможными типами служат host, net и port. Например, host foo, net 128.3 или port 20
направление
Определяет направление трафика от определенного идентификатора. Возможными направлениями служат src; dst; src or dst и src and dst (src обозначает исходный адрес, dst - целевой)
протокол
Позволяет определить протокол для фильтрации. Возможными протоколами являются ether, fddi, tr, ip, ipv6, arp, rarp, decnet, tcp и udp. Если протокол не задан, то допустимы все протоколы, совместимые с остальной частью выражения. При помощи фильтров с этим квалификатором можно определить, какая машина делает чрезмерное количество arp-запросов, или для отбрасывания на фильтре udp-запросов, которых немало во многих сетях, так как DNS использует udp
Примеры
windump -n host 192.168.1.1
Наблюдение за входящим и исходящим трафиком определенного порта.
windump -n port 23
Выявление вредоносной рабочей станции.
windump –ae