Министерство Образования и Исследований

Республики Молдова

Технический Университет Молдовы

Факультет Вычислительной Техники, Информатики

и Микроэлектроники
Департамент Программной Инженерии и Автоматики

Отчет
по лабораторной работе Nr.2.
по дисциплине: Технологии информационной безопасности.
Тема: Анализ сетевого трафика. Обнаружение угроз и уязвимостей

Выполнил(а) ст.гр. TI-228 Шологан Артем

Проверил(а) Алексей Арина

Кишинев 2023
Цель работы : Ознакомиться с програмой Wireshark

Задачи:
1. Произвести анализ трафика с помощью программы WireShark.

2. Выявление угроз и уязвимостей в системе с помощью Nmap (сканер

портов/средство для анализа топологии сетевой инфраструктуры).

Выполнение части связанной с Wireshark:

Вопросы :

1.Перечислите любые 3 протокола, которые могут быть отображены в

столбце Protocol (Протокол) при отключенном фильтре пакетов и
показанном на рис. 3. Сколько времени прошло от момента отправки
сообщения GET протокола HTTP до получения ответного сообщения OK? (По
умолчанию, значения поля Time (Время) в окне списка представляет собой
время в секундах от начала трассировки. Вы можете поменять вид этого
поля по вашему желанию, выбрав в меню View (Вид) пункт Time Display
Format (Формат отображения времени) и затем указав подходящее
представление времени.) :

1.HTTP (HyperText Transfer Protocol) — протокол передачи гипертекста, обычно

используется для загрузки веб-страниц из серверов.
2.DNS (Domain Name System) — система доменных имен, применяется для
преобразования доменных имен в IP-адреса.
3.TCP (Transmission Control Protocol) — протокол управления передачей, один из
основных протоколов передачи данных в Интернете.

Время : ~0.7 секунд.

Какой IP-адрес сервера выбранного сайта?

163.182.194.25

Каков адрес вашего компьютера?

192.168.91.129

Мой MAC-adress 00:0c:29:62:cc:44 в source потому что пакет был отправлен с

моего комьютора .

Производитель сетевой карты: MAC-адрес начинается с OUI 00:0c:29,

который принадлежит компании VMware, Inc. Это указывает на то, что
сетевая карта, возможно, является виртуальной и предоставляется
программным обеспечением VMware.
MAC-адрес источника (Source MAC address) в контексте пакетов ответа HTTP относится к
уникальному идентификатору сетевого интерфейса устройства, с которого был отправлен ответ.
Каждый сетевой интерфейс (например, сетевая карта в компьютере) имеет уникальный MAC-
адрес, который используется в локальных сетях для идентификации устройств на уровне канала
передачи данных (Data Link Layer) сетевой модели OSI.
Когда ваш браузер делает запрос HTTP к серверу, сервер обрабатывает этот запрос и отправляет
обратно HTTP-ответ. Этот ответ отправляется на ваш IP-адрес, но для того чтобы данные дошли
до конкретного устройства в локальной сети, используется MAC-адрес. В заголовке каждого
сетевого пакета, на уровне Ethernet (который является частью Data Link Layer), указывается
MAC-адрес источника (отправителя пакета) и MAC-адрес назначения (получателя пакета).
В случае ответа HTTP, MAC-адрес источника будет MAC-адресом сетевого интерфейса сервера,
который отправил ответ, а MAC-адрес назначения — вашего устройства.
Чтобы увидеть MAC-адрес источника в пакете ответа HTTP в Wireshark:
Найдите в списке пакетов тот, который представляет собой HTTP-ответ. Он обычно содержит
статус-код, например, "200 OK".
Выберите этот пакет, чтобы посмотреть детали.
В разделе деталей пакета разверните заголовок "Ethernet II" для этого пакета.
Посмотрите на поле "Source" или "Src", и вы увидите MAC-адрес источника ответа HTTP.
Обратите внимание, что если сервер находится во внешней сети (не в вашей локальной сети), то
MAC-адрес источника, который вы увидите в Wireshark, будет принадлежать последнему
сетевому устройству в вашей локальной сети (например, вашему роутеру или шлюзу), которое
передало пакет в вашу внутреннюю сеть. Это связано с тем, что MAC-адреса используются только
для передачи внутри одного сегмента сети и не передаются через границы сети (например, через
интернет).

Как отличить HTTP-запрос от HTTP-ответа, используя только IP-адреса: Обычно источником

HTTP-запроса является клиентский IP-адрес, а назначением — серверный IP-адрес. Для HTTP-
ответа это будет наоборот. На скриншоте видно, что IP-адрес источника 192.168.91.129 отправляет
данные на IP-адрес 163.182.194.25, что предполагает HTTP-запрос от клиента к серверу.

На представленном скриншоте Wireshark отображаются захваченные ARP-пакеты. Протокол

ARP (Address Resolution Protocol) используется для определения MAC-адреса сетевого устройства
по его IP-адресу в локальной сети. Вот как работает протокол ARP на основе вашего скриншота:

ARP запрос (Who has X.X.X.X? Tell Y.Y.Y.Y): Это запрос ARP, в котором устройство (Y.Y.Y.Y)
спрашивает в локальной сети, какое устройство имеет IP-адрес X.X.X.X. Этот запрос
отправляется широковещательно (broadcast), что видно по MAC-адресу назначения ff:ff:ff:ff:ff:ff.

ARP ответ: В ответ на ARP запрос, устройство с IP-адресом X.X.X.X отправляет ARP ответ назад
устройству Y.Y.Y.Y, сообщая свой MAC-адрес. Этот ответ будет отправлен напрямую на MAC-
адрес запрашивающего устройства, который указан в ARP запросе.

На вашем скриншоте видны только ARP запросы, которые идентифицируются сообщениями типа
"Who has 192.168.91.1? Tell 192.168.91.129". Это означает, что устройство с IP-адресом
192.168.91.129 запрашивает MAC-адрес устройства с IP-адресом 192.168.91.1.
Чтобы полностью увидеть процесс ARP, нам нужно было бы увидеть и ARP ответы, в которых
указан MAC-адрес устройства с IP-адресом 192.168.91.1. Ответы ARP могут не отображаться, если
они не были захвачены, если устройство с IP-адресом 192.168.91.1 не отвечает, или если фильтры
Wireshark сконфигурированы таким образом, что не отображают входящие пакеты.

Просмотр данных входа в профиль

Видно , что я использовал

Login:Utm
Password:Lab2
Вывод:

В рамках лабораторной работы №2 по дисциплине "Технологии

информационной безопасности" был проведен тщательный анализ
сетевого трафика с помощью инструмента Wireshark. Основные
аспекты сетевого взаимодействия, такие как протоколы HTTP, DNS и
TCP, были исследованы для понимания их роли в обмене данными. Было
отмечено, что время отклика сервера на HTTP-запрос составляет
примерно 0.7 секунды, что является показателем эффективности
сетевой коммуникации.
Определены IP-адреса как сервера (163.182.194.25), так и клиентского
устройства (192.168.91.129), что позволяет визуализировать потоки
данных и направление сетевого трафика. Анализ MAC-адресов выявил
уникальные идентификаторы сетевых интерфейсов, а также
производителя виртуальной сетевой карты, VMware, Inc. Это
предоставляет ценные сведения о физических устройствах и их
виртуализации в сетевой инфраструктуре.
Анализ ARP-запросов показал, как устройства в локальной сети
взаимодействуют для определения MAC-адресов, что необходимо для
обеспечения передачи данных. Также было обнаружено, как различить
HTTP-запросы от ответов, используя IP-адреса исходящих и входящих
пакетов, что является ключевым для анализа сетевых данных.
Особенно важным открытием было обнаружение нешифрованной
передачи учетных данных через HTTP. Перехват логина и пароля в
незашифрованном виде демонстрирует уязвимость данных перед
"атакой посредника". Это подчеркивает критическую необходимость
использования шифрованных протоколов, таких как HTTPS, для
обеспечения конфиденциальности и защиты информации.
Выводы этой работы подчеркивают важность глубокого понимания
сетевых процессов и потенциальных угроз для разработки
эффективных мер безопасности и обеспечения целостности данных в
информационных системах. Полученные знания и опыт в анализе
сетевого трафика могут быть применены для улучшения
безопасности и оптимизации сетевой инфраструктуры.
 Часть 2
Обнаружение угроз и уязвимостей

Отображаются результаты сканирования первых 1024 TCP-портов

Открыты:

22/tcp: Сервис SSH (Secure Shell), используемый для безопасного удаленного доступа к системе

23/tcp: Сервис Telnet, который является старым и небезопасным протоколом удаленного доступа.

631/tcp: Сервис IPP (Internet Printing Protocol), используемый для удаленного управления заданиями
печати и принтерами.

На изображении виден результат сканирования UDP-портов локального хоста с помощью nmap.

Открытыми (или в состоянии open|filtered, что означает, что nmap не может определить, открыт порт или
фильтруется) являются следующие порты:
631/udp: IPP (Internet Printing Protocol), используемый для сетевой печати.
5353/udp: mDNS (Multicast DNS), используемый для обнаружения сервисов в локальных сетях, часто
ассоциируется с Zeroconf/Bonjour.
Статус open|filtered означает, что nmap не смог определить, открыт ли порт действительно или же он
фильтруется брандмауэром, поскольку многие UDP-порты не отвечают на пробное сканирование
вообще или отвечают по-разному, в зависимости от конкретных настроек брандмауэра или сетевых
политик.
Если указан параметр –sV, то команда nmap выполняет определение версий, результаты которого можно
использовать при поиске уязвимостей.

Эта команда выполняет ряд встроенных сценариев Nmap, предназначенных для поиска определенных
уязвимостей.

TCP-порты:
22/tcp: Сервис SSH (Secure Shell), используемый для безопасного удаленного доступа к системе

23/tcp: Сервис Telnet, который является старым и небезопасным протоколом удаленного доступа.

631/tcp: Сервис IPP (Internet Printing Protocol), используемый для удаленного управления заданиями
печати и принтерами.

UDP-порты :
631/udp: IPP (Internet Printing Protocol), используемый для сетевой печати.
5353/udp: mDNS (Multicast DNS), используемый для обнаружения сервисов в локальных сетях, часто
ассоциируется с Zeroconf/Bonjour.

Обнаруженные ключи SSH:

В выводе видны отпечатки трех SSH-ключей, которые представляют собой ключи безопасности для
протокола SSH (Secure Shell). Эти ключи используются для аутентификации и установления безопасного
зашифрованного соединения между клиентом и сервером. Отображены следующие типы ключей:
RSA (3072 бит)
ECDSA (256 бит)
ED25519 (256 бит)
Каждый ключ имеет уникальный отпечаток, который служит идентификатором для верификации ключа
и предотвращения атаки посредника (man-in-the-middle attacks).

Функция протокола SSH:

SSH используется для установления защищенного канала между локальным и удалённым компьютером.
Он обеспечивает конфиденциальность и целостность данных через небезопасные сети, такие как
Интернет, позволяя безопасно выполнять удалённые команды, управлять файлами и перенаправлять
порты. Протокол SSH часто используется системными администраторами для удалённого управления
серверами и другими системами.
Обратите внимание, что представленные данные должны использоваться только в образовательных
целях, и перед сканированием веб-сайтов или удалённых систем следует получить разрешение.
Открытые TCP-порты и приложения, которые их используют:
22/tcp: Этот порт используется для SSH (Secure Shell), что является стандартным протоколом для
безопасного удалённого управления системами и передачи файлов. Версия OpenSSH 8.2p1 указывает на
конкретную реализацию SSH, которая используется на Ubuntu.

80/tcp: Этот порт стандартно используется для HTTP, основного протокола для передачи веб-страниц в
Интернете.

443/tcp: Этот порт используется для HTTPS, защищённой версии HTTP, которая использует шифрование
для безопасной передачи данных.

23/tcp: Порт используемый для Telnet, более старого протокола удалённого доступа, который не
обеспечивает шифрование и считается небезопасным для использования через открытые сети.

631/tcp: Этот порт обычно используется для CUPS (Common Unix Printing System), системы печати для
операционных систем, основанных на Unix, которая позволяет компьютерам действовать как сервер
печати.

Открытые UDP-порты и приложения, которые их используют:

631/udp: Также связан с CUPS для управления печатью.

5353/udp: Этот порт используется для mDNS (Multicast DNS), часто используемого в Zeroconf для
обнаружения сервисов в локальных сетях без необходимости конфигурации DNS сервера.

Обнаруженные ключи SSH:

На скриншотах видно, что были обнаружены ключи для следующих типов шифрования:
RSA: 3072-битный ключ RSA, который является одним из самых распространённых методов
криптографического шифрования, используемых в SSH.
ECDSA: Эллиптическая кривая DSA, более новый и эффективный метод шифрования.
ED25519: Современный тип ключа с открытым исходным кодом для SSH, использующий алгоритм
EdDSA.
 Вывод:
Основываясь на результатах сканирования, выполненного с помощью Nmap, можно сделать следующие
выводы о состоянии и безопасности локального хоста:

Открытые TCP-порты и их использование:

22/tcp: Открыт для SSH, что является стандартным средством для безопасного удалённого доступа.
Наличие этого порта говорит о том, что система может быть удалённо управляема, что полезно для
администрирования, но также ставит её в определённый риск, если используемые учетные данные или
конфигурация являются слабыми.
23/tcp: Открыт для Telnet, что является устаревшим и небезопасным способом удалённого доступа, так
как не предоставляет шифрования. Этот порт должен быть закрыт или заменён на более безопасный
метод доступа, такой как SSH.
631/tcp: Открыт для IPP (Internet Printing Protocol), что указывает на то, что система может участвовать в
сетевой печати. Необходимо убедиться, что доступ к этому сервису должным образом ограничен и
защищён.

Открытые UDP-порты и их использование:

631/udp: Возможно связан с IPP через UDP, что необычно, так как IPP обычно использует TCP.
5353/udp: Открыт для mDNS, используемый для обнаружения устройств и сервисов в локальных сетях.
Этот порт должен быть ограничен внутри локальной сети, чтобы предотвратить возможные атаки извне.

Обнаруженные ключи SSH и функция протокола SSH:

Были обнаружены ключи RSA, ECDSA и ED25519, что говорит о том, что система поддерживает
различные методы аутентификации и шифрования. Это хорошо с точки зрения гибкости и безопасности,
предполагая, что используются безопасные пароли и ключи не скомпрометированы.
Протокол SSH используется для обеспечения защищённого канала между локальным и удалённым
компьютером, позволяя безопасно выполнять удалённые команды, управлять файлами и перенаправлять
порты на удалённой машине.
Рекомендации по безопасности:
Убедиться в использовании сильных учетных данных и применении практик безопасности для SSH
(использование ключей аутентификации вместо паролей, отключение входа для root по SSH).
Закрыть порт Telnet (23/tcp) и заменить его использование на SSH, который обеспечивает
зашифрованный канал.
Ограничить доступ к порту IPP (631/tcp и 631/udp), если сетевая печать не требуется, или обеспечить его
надлежащую защиту.
Обеспечить, чтобы mDNS (5353/udp) использовался только внутри доверенной локальной сети и не был
доступен извне.

Сканирование показало, что хотя система обновлена и использует современные версии сервисов,
существуют потенциальные риски безопасности