Академический Документы
Профессиональный Документы
Культура Документы
Республики Молдова
Отчет
по лабораторной работе Nr.2.
по дисциплине: Технологии информационной безопасности.
Тема: Анализ сетевого трафика. Обнаружение угроз и уязвимостей
Кишинев 2023
Цель работы : Ознакомиться с програмой Wireshark
Задачи:
1. Произвести анализ трафика с помощью программы WireShark.
ARP запрос (Who has X.X.X.X? Tell Y.Y.Y.Y): Это запрос ARP, в котором устройство (Y.Y.Y.Y)
спрашивает в локальной сети, какое устройство имеет IP-адрес X.X.X.X. Этот запрос
отправляется широковещательно (broadcast), что видно по MAC-адресу назначения ff:ff:ff:ff:ff:ff.
ARP ответ: В ответ на ARP запрос, устройство с IP-адресом X.X.X.X отправляет ARP ответ назад
устройству Y.Y.Y.Y, сообщая свой MAC-адрес. Этот ответ будет отправлен напрямую на MAC-
адрес запрашивающего устройства, который указан в ARP запросе.
На вашем скриншоте видны только ARP запросы, которые идентифицируются сообщениями типа
"Who has 192.168.91.1? Tell 192.168.91.129". Это означает, что устройство с IP-адресом
192.168.91.129 запрашивает MAC-адрес устройства с IP-адресом 192.168.91.1.
Чтобы полностью увидеть процесс ARP, нам нужно было бы увидеть и ARP ответы, в которых
указан MAC-адрес устройства с IP-адресом 192.168.91.1. Ответы ARP могут не отображаться, если
они не были захвачены, если устройство с IP-адресом 192.168.91.1 не отвечает, или если фильтры
Wireshark сконфигурированы таким образом, что не отображают входящие пакеты.
Открыты:
22/tcp: Сервис SSH (Secure Shell), используемый для безопасного удаленного доступа к системе
23/tcp: Сервис Telnet, который является старым и небезопасным протоколом удаленного доступа.
631/tcp: Сервис IPP (Internet Printing Protocol), используемый для удаленного управления заданиями
печати и принтерами.
Эта команда выполняет ряд встроенных сценариев Nmap, предназначенных для поиска определенных
уязвимостей.
TCP-порты:
22/tcp: Сервис SSH (Secure Shell), используемый для безопасного удаленного доступа к системе
23/tcp: Сервис Telnet, который является старым и небезопасным протоколом удаленного доступа.
631/tcp: Сервис IPP (Internet Printing Protocol), используемый для удаленного управления заданиями
печати и принтерами.
UDP-порты :
631/udp: IPP (Internet Printing Protocol), используемый для сетевой печати.
5353/udp: mDNS (Multicast DNS), используемый для обнаружения сервисов в локальных сетях, часто
ассоциируется с Zeroconf/Bonjour.
80/tcp: Этот порт стандартно используется для HTTP, основного протокола для передачи веб-страниц в
Интернете.
443/tcp: Этот порт используется для HTTPS, защищённой версии HTTP, которая использует шифрование
для безопасной передачи данных.
23/tcp: Порт используемый для Telnet, более старого протокола удалённого доступа, который не
обеспечивает шифрование и считается небезопасным для использования через открытые сети.
631/tcp: Этот порт обычно используется для CUPS (Common Unix Printing System), системы печати для
операционных систем, основанных на Unix, которая позволяет компьютерам действовать как сервер
печати.
5353/udp: Этот порт используется для mDNS (Multicast DNS), часто используемого в Zeroconf для
обнаружения сервисов в локальных сетях без необходимости конфигурации DNS сервера.
22/tcp: Открыт для SSH, что является стандартным средством для безопасного удалённого доступа.
Наличие этого порта говорит о том, что система может быть удалённо управляема, что полезно для
администрирования, но также ставит её в определённый риск, если используемые учетные данные или
конфигурация являются слабыми.
23/tcp: Открыт для Telnet, что является устаревшим и небезопасным способом удалённого доступа, так
как не предоставляет шифрования. Этот порт должен быть закрыт или заменён на более безопасный
метод доступа, такой как SSH.
631/tcp: Открыт для IPP (Internet Printing Protocol), что указывает на то, что система может участвовать в
сетевой печати. Необходимо убедиться, что доступ к этому сервису должным образом ограничен и
защищён.
631/udp: Возможно связан с IPP через UDP, что необычно, так как IPP обычно использует TCP.
5353/udp: Открыт для mDNS, используемый для обнаружения устройств и сервисов в локальных сетях.
Этот порт должен быть ограничен внутри локальной сети, чтобы предотвратить возможные атаки извне.
Были обнаружены ключи RSA, ECDSA и ED25519, что говорит о том, что система поддерживает
различные методы аутентификации и шифрования. Это хорошо с точки зрения гибкости и безопасности,
предполагая, что используются безопасные пароли и ключи не скомпрометированы.
Протокол SSH используется для обеспечения защищённого канала между локальным и удалённым
компьютером, позволяя безопасно выполнять удалённые команды, управлять файлами и перенаправлять
порты на удалённой машине.
Рекомендации по безопасности:
Убедиться в использовании сильных учетных данных и применении практик безопасности для SSH
(использование ключей аутентификации вместо паролей, отключение входа для root по SSH).
Закрыть порт Telnet (23/tcp) и заменить его использование на SSH, который обеспечивает
зашифрованный канал.
Ограничить доступ к порту IPP (631/tcp и 631/udp), если сетевая печать не требуется, или обеспечить его
надлежащую защиту.
Обеспечить, чтобы mDNS (5353/udp) использовался только внутри доверенной локальной сети и не был
доступен извне.
Сканирование показало, что хотя система обновлена и использует современные версии сервисов,
существуют потенциальные риски безопасности