МИНИСТЕРСТВО ЦИФРОВОГО РАЗВИТИЯ, СВЯЗИ И МАССОВЫХ
КОММУНИКАЦИЙ РОССИЙСКОЙ ФЕДЕРАЦИИ
Ордена Трудового Красного Знамени федеральное государственное
образовательное бюджетное учреждение высшего образования
МОСКОВСКИЙ ТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ СВЯЗИ И
ИНФОРМАТИКИ
Кафедра Математической кибернетики и информационных технологий
Изучение основных функциональных возможностей программысниффера WireShark
Выполнил студент А.В. Грязнов
группы БСТ2156
Москва 2023
Задание:
1) Осуществить захват трафика
2) Изучить структуру IP-пакета, заголовки IP TCP UDP – пакета и его
поля
3) Изучение функциональных возможностей
4) Графическое представление захваченного трафика
Выполнение задания
1) Осуществить захват трафика
После запуска Wireshark на экране приветствия можно увидеть
доступные сетевые подключения. Напротив каждого отображается график с
сетевым трафиком.
Рисунок 1 – Экран приветствия Wireshark
2
Для захвата пакетов выбираем одну или несколько сетей (в данном
случае выбран «Ethernet») и нажимаем на значок в виде плавника акулы
«Начать захват пакетов».
Рисунок 2 – Захват трафика Ethernet
Для примера анализа трафика, был выбран сайт
http://www.partizansk.org/user/login, на котором предварительно проведена
регистрация.
В процессе работы программы:
1) Произведен переход на сайт http://www.partizansk.org/user/login
2) Осуществлен вход в личную учетную запись
3) Осуществлен просмотр контента на сайте.
3
Рисунок 3 – Форма авторизации на сайте
За время просмотра в течение 3 – 4 минуты было собрано 4823 пакета.
Рисунок 3 – Конец захвата трафика
Для анализа конкретного пакета воспользуемся фильтром
http.request.method == "POST"
Из всех собранных пакетов, остаётся только 1. Выделим его и
рассмотрим данные во вкладке “HTML Form URL Encoded: application/xwww-form-urlencoded”
4
Так как сайт использует незащищенный протокол http, в захваченном
пакете мы можем увидеть логин и пароль, использованные при
авторизации на сайте.
Рисунок 4 – Логин и пароль в захваченном POST запросе
5
2) Изучить структуру IP-пакета, заголовки IP TCP UDP – пакета и его
поля
Пакет протокола IP состоит из заголовка и поля данных. Максимальная
длина пакета 65 535 байт. Заголовок обычно имеет длину 20 байт и содержит
информацию о сетевых адресах отправителя и получателя, о параметрах
фрагментации, о времени жизни пакета, о контрольной сумме и некоторых
других. В поле данных IP- пакета находятся сообщения более высокого
уровня.
Рисунок 5 – Структура IP заголовка
Для начала выберем в Wireshark такой пакет, который содержит в
себе протокол UDP. В появившемся меню, откроем пункт Internet Protocol
В нем представлены все заголовки IP-пакета и их значения:
6
Рисунок 6 – Заголовок IPv4 в Wireshark
Теперь ознакомимся с протоколом UDP. Таблица структуры UDP
представлена на рисунке 7.
Рисунок 7 - UDP
Для просмотра заголовка UDP в wireshark развернем подменю с
названием User Datagram Protocol:
Рисунок 8 – Заголовок UDP в Wireshark
Далее посмотрим структуру TCP (Transmission Control Protocol). Его
структура представлена на рисунке 9.
7
Рисунок 9 – Структура TCP
В Wireshark выделим пакет с TCP и откроем подменю Transmission
Control Protocol:
Рисунок 10 – Заголовок TCP в Wireshark
8
3) Изучение функциональных возможностей
Попробуем проанализировать данные, что были получены
пользователем при посещении сайтов.
Для этого с помощью меню “файл” экспортируем объекты в HTTP.
Рисунок 11 – Результат экспорта HTTP пакетов
Также можно построить график появления захваченных пакетов в
зависимости от всего времени захвата. Для этого используем инструмент
“График ввода/вывода” (I/O Graphs) в панели “Статистика” (Statistics).
9
Рисунок 11 – Результат экспорта HTTP пакетов
Теперь воспользуемся функционалом GeoIP
Откроем “Endpoints” во вкладке “Statistics”. Предварительно необходимо
подключить базу данных MaxMind, которая включает в себя:
 GeoLite2-ASN.mmdb
 GeoLite2-City.mmdb
 GeoLite2-Country.mmdb
10
Рисунок 11 – Карта с IP адресами
11