Министерство Образования Республики Молдова

Технический Университет Молдовы

Факультет Вычислительной Техники, Информатики и Микроэлектроники
Кафедра Автоматики и Информационных Технологий

Лабораторная работа №5
по предмету «PR»
Тема: «Обратный инжиниринг в сети»

Выполнила: студентка группы TI-125 Гонца Л.

Проверил: старший преподаватель Чорбэ Д.
Антохи И.

Кишинев 2015
Цель работы: изучение методов анализа сетевых протоколов при помощи приложения
WireShark.

Программное обеспечение Wireshark представляет собой довольно известный и

продвинутый инструмент для отслеживания сетевого трафика.

Программа одинаково корректно работает в среде многих операционных систем, включая

Windows, UNIX, Linux, Mac OS, Free BSD, Solaris, Open BSD, Net BSD и т. д. Сами по себе
приложения такого типа иногда называют снифферами.

Данная программа позволяет достаточно легко отследить трафик с использованием

множества сетевых протоколов типа DNS, FDDI, FTP, HTTP, ICQ, IPV6, IPX, IRC, MAPI,
MOUNT, NETBIOS, NFS, NNTP, POP, PPP, TCP, TELNET, X25 и т. п.

Для того, чтобы использовать программу наиболее полно, особыми знаниями, как думаю
многие пользователи, обладать совершенно не нужно.

Большинство локальных сетей домашнего или офисного типа построены на

использовании устройств, называемых хабами или концентраторов.

В то же время, некоторые сети подразумевают использование свитчей или

маршрутизаторов. Данное программное обеспечение предназначено именно для первого
случая, поскольку во втором случае эффективности вы просто не добьетесь.

Как пользоваться Wireshark

Для запуска программы потребуются права доступа типа ROOT, ибо только с такими
правами можно получить полный доступ ко всем сетевым интерфейсам. Сам старт
программы можно произвести как в обычном режиме, так и из командной строки.

Очень многие системные администраторы рекомендуют использовать именно командную

строку, но только с изменением команды запуска путем добавления команды gksu перед
самой командой wireshark.

После этого можно запускать основное приложение(Рис.1.1.).

Рис.1.1 – Основное приложение WireShark

После старта программы появится окно, в котором необходимо ввести логин и пароль с
подтверждением доступа.

Сам процесс работы с программой довольно прост.

Для запуска перехвата сетевых пакетов нужно просто зайти в главное меню, а именно
Menu/Capture Options, а затем в поле Interface выбрать необходимый интерфейс и нажать
кнопку Start(Рис.1.2).

Рис.1.2 – Главное меню

Можно воспользоваться и дополнительными настройками, представленными в

следующем окне(Рис.1.3).

Рис.1.3 – Меню дополнительных настроек

К примеру, можно воспользоваться опциями задержки, лимитированием пакетов,
имеющих определенный размер, который не может быть превышен при анализе. Однако,
если вы не уверены в необходимости использования тех или иных настроек, лучше
оставить все, как есть.

Многим пользователям это подойдет наилучшим образом, поскольку, настройки по

умолчания представлены таким образом, чтобы обеспечить наиболее приемлемый режим
работы для каждого сетевого интерфейса.

Для окончания процесса отслеживания приема и передачи сетевых пакетов достаточно

нажать кнопку Stop, после чего на экране отобразится полная информация о проведенном
процессе, причем отображение производится с использованием графического режима, что
является довольно удобным.

По окончании всего процесса файл отчета можно сохранить для последующего анализа
или обработки.

Уникальность этого программного продукта заключается еще и в том, что он, хоть он и
имеет собственный протокол, однако, может отслеживать данные с использованием
отличных от основного протоколов. Это касается не только обмена пакетами внутри
самой локальной сети, но и применяется для контроля Интернет-трафика. Естественно,
имеется довольно гибкая система сортировки полученных данных с поиском
необходимого элемента. Достаточно, просто воспользоваться этими функциями в
результатах отчета.

Заметим, что формирования графического интерфейса используется универсальная

библиотека GTK+, что и позволяет быстро и удобно обрабатывать входные данные
множества форматов.

Ход работы:

Заходим на сайт xkcd.com и выбираем случайный комикс. Открывает изображение в

новой вкладке (Рис.2.1).

Рис.2.1 – Изображение, которое необходимо перехватить

Запускаем WireShark(Рис.2.2).
 Рис.2.2 – Окно приложения при запуске

Вводим в фильтр http, чтоб отслеживались только http запросы(Рис.2.3).

Рис.2.3 – Окно приложения после фильтрации

Вводим в фильтр http.host==imgs.xkcd.com. Отображаются запросы ресурса

imgs.xkcd.com(Рис.2.6). Выделяем поток, расширение которого .jpg, затем во вкладке
Hypertext Transfer Protocol находим номер ответа сервера на запрос(Рис.2.5).
 Рис.2.4 – Поиск необходимого потока

Рис.2.5 – Переход к нужному потоку

Вводим в фильтр номер этого запроса и получаем поток, который содержит в себе байты
изображения(Рис.2.6).

Рис.2.6 – Поиск потока по номеру

Кликаем правой клавишей по JPEG File Interchange Format и выбираем в меню Export
Selected Packet Bytes…(Рис.2.7).

Рис.2.7 – Сохранение пакета байтов

Сохраняем изображение в формате jpg. Открываем полученный результат(Рис.2.8).

Рис.2.8 – Результат работы

Вывод: В ходе данной лабораторной работы были получены навыки по отслеживанию и
извлечению данных при помощи инструмента для отслеживания сетевого трафика
WireShark.

Были исследованы методы анализа сетевых протоколов. Программа WireShark -

программа-анализатор трафика для компьютерных сетей Ethernet и некоторых других.

Wireshark — это приложение, которое «знает» структуру самых различных сетевых

протоколов, и поэтому позволяет разобрать сетевой пакет, отображая значение каждого
поля протокола любого уровня. Поскольку для захвата пакетов используется pcap,
существует возможность захвата данных только из тех сетей, которые поддерживаются
этой библиотекой. Тем не менее, Wireshark умеет работать с множеством форматов
входных данных, соответственно, можно открывать файлы данных, захваченных другими
программами, что расширяет возможности захвата.

Были изучены коды состояния HTTP. Коды группы 1xx – информационные. Коды группы
2xx показывают насколько успешно прошло соединение. Коды группы 3xx –
перенаправление. Коды группы 4xx – ошибка клиента, группы 5xx – ошибка сервера.