МІНІСТЕРСТВО ОСВІТИ І НАУКИ, МОЛОДІ ТА СПОРТУ УКРАЇНИ НАЦІОНАЛЬНИЙ УНІВЕРСИТЕТ ”ЛЬВІВСЬКА ПОЛІТЕХНІКА”
ЗВІТ до практичної роботи № 6 з курсу: «Безпека інформаційних і комунікаційних систем» на тему: «Аналіз мережевого трафіку»  Львів – 2013 Мета роботи: Отримання практичних навичок аналізу мережевого трафіку. Короткі теоретичні відомості: Для даної лабораторної роботи потрібно наступне. 1. Встановити програмне забезпечення збору та аналізу вмісту мережевих пакетів, наприклад, Wireshark (спадкоємець Ethereal, http://www.wireshark.org). 2. Бажано підготувати кілька протоколів прослуховування мережевих з'єднань. Для підготовки протоколу (дампа) потрібно запустити Wireshark, стартувати в ньому захоплення трафіку і виконати якусь мережеву операцію. - Отримати або відправити пошту. - Передати або взяти файл з ftp. - Підключитися до віддаленого вузла, використовуючи telnet або ssh. - Підключитися до мережного диска. - Виконати команду ping або tracert (traceroute). Коли накопичиться достатня кількість пакетів, захоплення трафіку зупиняється, протокол записується у файл і може бути виданий слухачеві для розшифровки. Досить зберегти кілька десятків пакетів, але бажано, щоб розглянута операція була виконана з початку до кінця. Хід виконання роботи: Є фрагмент мережевого трафіку, зібраного на деякому вузлі. Необхідно визначити, в яких видах мережевої взаємодії брав участь даний вузол. Вам надається програмне забезпечення захоплення трафіку і його аналізу, наприклад, Wireshark (http://www.wireshark.org). В якості вихідних даних можна використовувати або трафік, зібраний безпосередньо на лабораторній роботі, або підготовлений викладачем. Потрібно провести аналіз трафіку і визначити види мережевої взаємодії, в яких брав участь вузол в період збору його трафіку. 1. Налаштування параметрів захоплення мережевого трафіку.
2. Запуск процесу захоплення трафіку та налаштування фільтрації виводу за протоколами DNS та HTTP.
3. Запуск оновлення антивірусу ESET NOD 32 та припинення захоплення трафіку.
4. Аналіз трафіку, захопленого програмою: Подивившись вміст DNS-запиту і DNS-відповіді з'ясували і записали в звіт наступну інформацію: • DNS ім'я сервера оновлень антивіруса - reg03.eset.com • Будь-які 3 мережеві адреси сервера оновлень: 62.67.184.79; 89.202.157.234; 62.67.184.72
5. Подивившись вміст PDU з'ясували і записали в звіт наступну інформацію: • Мережеву адресу сервера оновлень - 89.202.149.49. • Дані по вашому комп'ютері, які програма оновлення передала на сервер: версію Windows, місце розташування комп'ютера (Країна): ESS Update (Windows; U; 32bit; PVT E; VDB 13360; BPC 6.0.306.3; OS: 6.1.7601 SP 1.0 NT; TDB 13360; CL 0.0.0; LNG 1058; x64c; UPD AUTOSELECT; APP eav; BEO 1; CPU 30668; ASP 0.10; FW 0.0; PX 0; PUA 0; HWF: 01001C53-89C0-4566-D3AF-9B86F0E307E0) 6. Налаштували фільтрацію виводу за протоколом FTP, здійснили скачування файлу з FTP-серверу. Подивившись вміст FTP Data можна з'ясувати наступну інформацію: • Скільки байт даних міститься в одному PDU • Мережевий адресу FTP-сервера. • MAC-адресу FTP-сервера • Протокол транспортного рівня, який використовує протокол FTP. • Порт, який використовується при передачі даних за протоколом FTP.
Висновок: на даній лабораторній роботі, я отримала практичні навички аналізу мережевого трафіку.