Лабораторная 3. Пакетные анализаторы трафика

Цель:

Приобрести навыки работы с пакетными анализаторами трафика

Задачи:

1. Подключится к виртуальной машине на облачной платформе СПбГУТ
2. Установить tcpdump
3. Получить навыки работы c tcpdump
4. Получить навыки работы c SCP
5. Получить навыки работы с Wireshark

Работа с анализатором пакетов tcpdump

tcpdump это компьютерная программа анализатор пакетов работающая через интерфейс командной строки. Она позволяет пользователю отображать пакеты, передаваемые или получаемые по сети

Синтаксис tcpdump

tcpdump {опции} -i {название интерфейса} {Фильтры}

опции tcpdump

Ключ опции	Что делает
-A	Вывод пакетов в кодировке ASCI
-c n	перехватить n пакетов
-C n	создание дампа трафика определенного при размере, при генерации больше заданного создать новый файл для дампа, где n размер пакета по умолчанию указывается 1000000 байт Добавив к значению суффикс k/K, m/M или g/G, единицу измерения можно изменить на 1,024 (КиБ), 1,048,576 (МиБ) или 1,073,741,824 (ГиБ) соответственно.
-D	вывести список сетевых интерфейсов
-e	выводить информацию уровня соединения для каждого пакета, это может быть полезно, например, для отображения MAC адреса
-n	не отображать домены
-K	не проверять контрольные суммы пакетов
-w {название дампа}.pcap	запись вывода в файл
-r {название дампа}.pcap	чтение дампа созданного с помощью ключа -w
-v -vv -vvv	Более подробный вывод, желательно устанавливать -vvv, для дальнейшей работы
-q	выводить минимум информации

Примеры работы с tcpdump

Просмотр всех интерфейсов

sudo tcpdump -D 

Просмотр всего трафика на интерфейсе eno0 с адресом назначения 8.8.8.8

sudo tcpdump -i eno0 ip dst 8.8.8.8

Название интерфейса брать из своей конфигурации

Просмотр всего трафика на интерфейсе eno0 с адресом отправки 8.8.8.8

sudo tcpdump -i eno0 ip src 8.8.8.8

Название интерфейса брать из своей конфигурации

Просмотр всего трафика на интерфейсе eno0 с доменным именем назначения resds.ru

sudo tcpdump -i eno0 dst host  resds.ru

Название интерфейса брать из своей конфигурации

Просмотр всего трафика на интерфейсе eth0 с доменном отправки resds.ru

sudo tcpdump -i eno0 dst host resds.ru

Название интерфейса брать из своей конфигурации

Просмотр трафика на интерфейсу eno0 с использованием 80 порта

sudo tcpdump -i eno0 port 80

Название интерфейса брать из своей конфигурации

Просмотр трафика на интерфейсе eth0 использующих диапазон портов 80-443

sudo tcpdump -i eth0 portrange 80-443

Также для некоторых протоколов существуют готовые фильтры к примеру можно отфильтровать все arp пакеты интерфейса eth0

sudo tcpdump -i eth0 arp

Возможно фильтрация по размеру пакета, так мы можем отфильтровать все пакеты меньше 64 байт

sudo tcpdump -i eth0 less 64

Фильтрация пакетов больше 64

sudo tcpdump -i eth0 greater 64

Сохранить весь udp трафик проходящий интерфейс eth0 в файл dump.pcap

sudo tcpdump -i eth0 udp -w dump.pcap

прочитать дамп dump.pcap

tcpdump -r dump.pcap

Использование SCPNetCat

SCPNetcat (secureили copy)nc) —является эмощной сетевой утилитаой командной строки, кдосторая упозволяет безопасно копировать файлы и каталоги между двумя локациями. Базовая технология для работы scp - это SSH(Secure Shell)

С помощью scp можно скопировать файл или каталог:

• От локальной мна большиныстве к удопералеционной.
• От удаленнойых систем, включая Linux, macOS и Windows. Netcat может выполнять множество различных сетевых задач, таких как чтение или запись данных через TCP или UDP, создание простых серверов или клиентов, а также вашыполнейние лпортскальнирования. Он иногда называется "свисающим вилкой" машдля сетевых соединений, потому что он может быть использован для создания различных типов сетевых соединений.

Вот несколько основных способов использования Netcat:

1. М

   Установка соеждинения TCP:

   Чтобы установить соедвумяинение TCP с удаленным хостом и спортом, вы можете использовать следующую комами.нду:

Синтаксис SCP

scpnc [OPTION]<хост> [user@]SRC_HOST:]file1 [user@]DEST_HOST:]file2<порт>

О

Напцриимер:

SCP

nc example.com80





.



портов:
Netcat 
Netcatможетиспользован


























 


ключ
Ч
Это установит соединение с веб-сервером на порту 80.



Слушание порта:


Вы можете использовать Netcat для создания простого сервера, который будет слушать определенный порт:

nc -l -p <порт>

Например:

nc -l -p 8080

Это создаст сервер, который прослушивает
 
-p
порт ssh8080 и выводит все полученные данные в стандартный вывод.



Передача файлов:


Вы можете использовать Netcat для передачи файлов между компьютерами:

На одной стороне:

nc -l -p <порт> < файл

На другой стороне

nc <хост> <порт> > файл

Это позволит вам передавать данные через сеть и сохранять их в файле на удаленной систоронеме
-r
реСкурсиваное копирование
 

-С
Стакжатие может быть использован для сканирования пеоредачетов на удаленном хосте, чтобы проверить, открыты ли определенные упорты. Пример:

nc -z -v <хост> <начальный порт>-<конечный порт>

Например:

nc -z -v resds.ru 80-100

Это сканирует порты с 80 по 100 на хосте example.com.

Обратите внимание, что
 
 
 
-iбыть n
 
как для легитимных, так и для злонамеренных целей, и его использование кдолюжно быть ограничаено автолько к добросовестным целям и в рамках законов и политик вашей организации, где n путь к файлу ключа
-1
использовать  SSH 1
-2
использовать SSH 2
-4
использовать IPv4
-6
использовать  IPv6
-o ssh_option
Возможность использовать дополнительные опции реализованные в протоколе SSH, на месте ssh_option используется ключи используемые ssh клиентом
-q
Тихий режим 
 ничего не выводится во время передачи

Примеры использования

Перемещение файла foobar.txt с узла resds.ru под пользователем test в локальную домашнюю директорию

scp test@resds.ru:foobar.txt ~/


является примером, не выполнять


Перемещение файла dump.pcap из текущей директории на компьютер с именем windows-ad-pc для пользователя tarabanov.if находящимся в домене ad,  в домашнюю директорию пользователя

scp dump.pcap ad\\tarabanov.if@windows-ad-pc:c:/users/tarabanov.if


windows-ad-pc -  ip адрес вашего PC

ad\tarabanov.if - учетная запись на вашем ПК

c:/users/tarabanov.if - путь к директории, куда перемещается файл


.
Заданием scpNetCat

Создайте текстовый файл с вашими ФИО и группой и переместите его на локальный пк(аудиторный)
Группа ИКТК-XY
Иванов Иван Иванович
Петров Петр Петрович


создайте нового пользователя test_scp с паролем password

смените пользователя на test_scp

Создайте текстовый файл с названием лабораторной работы

Вернуться на основную учетную запись

передать с пользователя test_scp на локальный пк(аудиторный)




Задание

Открыть консольный мультиплексор

Запустить снятие трафика, с записью трафика в файл http.pcap

Разделить экран вертикально на половину
Загрузить страницу, сделанную в первой лаб. работе
Закончить снятие трафика


Передать файл на локальный(аудиторный пк)
Открыть файл в wireshark, отфильтровать для отображения только задействованных пакетов в передачи  html страницы