# **Цель практической работы**
Целью данной практической работы является выявление аномалий, которые находятся в трёх файлах с сетевым трафиком, с помощью анализатора сетевого трафика Wireshark. Для достижения поставленной цели необходимо было решить следующие задачи:
- разобраться с функционалом Wireshark;
- установить Wireshark на ОС Windows 11;
- исследовать файлы с сетевым трафиком и найти в них аномальные признаки.
# **Установка Wireshark на ОС Windows 11 и изучение его функционала**
Установка Wireshark на ОС Windows 11 не вызвала особых трудностей, т.к. на официальном сайте данного ПО (рис. 1) имеется графический установщик (рис. 2), который позволяет выполнить установку Wireshark за считанные минуты, необходимо лишь следовать инструкциям.
Рисунок 1 - Оффициальный сайт, где можно скачать Wireshark
Рисунок 2 - Графический установщик Wireshark на ОС Windows 11
Рисунок 3 - Главное меню Wireshark после запуска
В качестве метериала, который позволил изучить функционал Wireshark, выступала ссылка, располеженная в описании задания к 9 практической работе.
По окончании изучения функционала и установки Wireshark, были исследованы три файла с сетевым трафиком, в которых были замечени аномалии. Перейдём к рассмотрению первого из упомянутых файлов.
# **1 Исследование 1-ого сетевого трафика**
## **1.1 ARP сканирование**
При выполнении ARP сканирования злоумышленник обычно отправляет большое количество широковещательных ARP запросов, MAC-адрес которых ff:ff:ff:ff:ff:ff, направленных на MAC-адрес 00:00:00:00:00:00, чтобы узнать действующие IP-адреса в локальной сети. Примером может являться использование утилиты arp-scan с ключом "-l". Для выявления ARP сканирования был применён фильтр "arp.dst.hw_mac==00:00:00:00:00:00" (рис. 4).
Рисунок 4 - Фильтр, позволяющий отследить ARP сканирование
## **1.2 Скрытое сканирование TCP SYN**
Для того, чтобы оставаться незамеченым, применяются методы скрытого сканирования TCP SYN для обхода брандмауэров или обнаружения живых/функционирующих узлов. Чтобы обнаружить скрытое сканирование необходимо применить фильтр "tcp.flags.syn == 1 and tcp.flags.ack == 0 and tcp.window_size <= 1024" (рис. 5). Здесь "tcp.flags.syn == 1 and tcp.flags.ack == 0" означает, что будут показываться TCP пакеты с включённым флагом SYN и отключённым флагом ACK, а "tcp.window_size <= 1024" позволяет установить определённый размер окна (он определяет количество байт данных, после передачи которых отправитель ожидает подтверждения от получателя, что данные получены). В частности, небольшой размер окна является характерным параметром, используемым такими инструментами, как nmap или masscan во время сканирования SYN, что указывает на то, что данных будет очень мало или вообще не будет.
Рисунок 5 - Фильтр, позволяющий обнаружить скрытое сканирование
## **1.3 Сканирование, нацеленное на обнаружение TCP соединения**
Данное сканирование отличается от предыдущего большим размером окна, который указывает на то, что стандартное TCP соединение фактически ожидает передачи некоторых данных. Для выявления сканирования, нацеленного на обнаружение TCP соединения, использовался фильтр "tcp.flags.syn == 1 and tcp.flags.ack == 0 and tcp.window_size > 1024" (рис. 6).
Рисунок 6 - Фильтр, позволяющий обнаружить сканирование, нацеленное на обнаружение TCP соединения
## **1.4 TCP Null сканирование**
TCP Null сканирование - это ещё одно весьма скрытное сканирование, при котором все флаги заголовка TCP сброшены или пусты. Подобные пакеты обычно некорректны, и некоторые хосты не знают, что с ними делать. Операционные системы Windows входят в эту группу, так что их сканирование в режиме Null будет давать недостоверные результаты. Однако для серверов не под Windows, защищенных межсетевым экраном, оно может стать способом проникновения. Для обнаружения TCP Null сканирования использовался флаг "tcp.flags==0" (рис. 7).
Рисунок 7 - Фильтр, позволяющий обнаружить TCP Null сканирование
## **1.5 ICMP флуд**
Для обнаружения ICMP флуда был использован фильтр "icmp and data.len > 48" (рис. 8). Данный фильтр позволяет показать все ICMP пакеты с данными, размер которых более 48 байт. Данное решение обусловлено тем, что команда ping отправляет пакеты с 32 байтами данных в Windows или 48 байтами в Linux. То есть, когда кто-то выполняет ICMP флуд, отправляется больше 48 байт. Для реализации ICMP флуда злоумышленники часто используют такие инструменты, как fping или hping.
Рисунок 8 - Фильтр, позволяющий обнаружить ICMP флуд
## **1.6 Повторые передачи пакетов и разрывы в сетевом соединении (потери пакетов)**
Если при использовании фильтра "tcp.analysis.lost_segment or tcp.analysis.retransmission" (рис. 9) было замечено большое количество повторных передач пакетов и разрывы в сетевом соединении (т.е. были потеряны пакеты), то это может быть вызвано атакой DoS/DDoS.
Рисунок 9 - Фильтр, который позволяет отследить повторые передачи пакетов и разрывы в сетевом соединении (потери пакетов)
## **1.7 Hope for VLAN**
Hope for VLAN — это метод обхода контроля доступа к сети (NAC), который часто используется злоумышленниками, пытающимися получить доступ к различным VLAN путем неправильной настройки коммутаторов Cisco. Индикатором Hope for VLAN является наличие пакетов DTP (проприетарный сетевой протокол канального уровня, разработанный компанией Cisco для реализации транкинговой системы для связи в сети VLAN между двумя сетевыми коммутаторами и для реализации инкапсуляции) или пакетов, отмеченных несколькими тегами VLAN. Если мы видим такие пакеты в нашей сети, возможно, кто-то использует утилиты frogger или yersinia. Для того, чтобы обнаружить метод обхода контроля доступа к сети (NAC) был использован фильтр "dtp or vlan.too_many_tags" (рис. 10).
Рисунок 10 - Фильтр, позволяющий обнаружить метод обхода контроля доступа к сети (NAC)
## **1.8 Проверка работоспособности узла с помощью команды ping (протокол ICMP)**
С помощью фильтра "icmp.type == 8 or icmp.type == 0" (рис. 11) можно увидеть эхо-запросы ICMP (тип 8) и эхо-ответы ICMP (тип 0). Если мы видим слишком много таких пакетов за короткий промежуток времени, нацеленных на множество разных IP-адресов, то, скорее всего, кто-то пытается определить все действующие IP-адреса в нашей сети.
Рисунок 11 - Фильтр, позволяющий обнаружить ICMP ping
## **1.9 TCP ping (метод обнаружения хоста на 4 уровне модели OSI)**
TCP ping обычно использует порт 7. Если мы видим, что большая часть этого трафика направляется на множество разных IP-адресов, это означает, что кто-то, скорее всего, выполняет проверку связи TCP. Для отслеживания этой аномалии был использован фильтр "tcp.dstport==7" (рис. 12).
Рисунок 12 - Фильтр, позволяющий обнаружить TCP ping
## **1.10 TCP Xmass сканирование**
Сканирование TCP Xmass работает путем отправки пакетов с установленными флагами FIN, PUSH и URG. Это ещё один метод проникновения в некоторые брандмауэры для обнаружения открытых портов. Для обнаружения данного типа сканирования использовался фильтр "tcp.flags.fin == 1 && tcp.flags.push == 1 && tcp.flags.urg == 1" (рис. 13).
Опишем назначение каждого из флагов:
1) FIN сообщает другой стороне, что все пакеты были отправлены, и соединение пора завершить;
2) URG (Urgent) - это указатель важности (0 если не используется, 1 – используется);
3) PSH (Push). Обычно получатель не подтверждает каждый пакет при получении. Вместо этого пакеты накапливаются в буфере, пока не передадутся приложению. Данный флаг сообщает получателю, что нужно немедленно передать всё из буфера приложению и сразу же отправить подтверждение.
Рисунок 13 - Фильтр, позволяющий обнаружить TCP Xmass сканирование
## **1.11 Сканирование порта UDP**
Хорошим индикатором продолжающегося сканирования порта UDP является большое количество пакетов ICMP в нашей сети, а именно ICMP типа 3 (пункт назначения недоступен) с кодом 3 (порт недоступен). Эти конкретные сообщения ICMP указывают на то, что удаленный порт UDP закрыт. Для обнаружения сканирования порта UDP использовался фильтр "icmp.type == 3 and icmp.code == 3" (рис. 14).
Рисунок 14 - Фильтр, позволяющий обнаружить сканирование порта UDP
## **1.12 Ошибки DNS**
Всякий раз, когда DNS сервер отвечает чем-либо, кроме "да", это плохо. В DNS положительный ответ всё ещё не обязательно является положительным ответом. Это происходит с запросами на IPv6-адрес. Вместо отправки сообщения об ошибке "такого имени нет" сервер отвечает без кода ошибки и IPv6-адреса. Для обнаружения ошибок DNS использовался фильтр "dns.flags.rcode != 0 or (dns.flags.response eq 1 and dns.qry.type eq 28 and !dns.aaaa)" (рис. 15). Здесь "dns.flags.rcode != 0" показывает, какие DNS запросы не могут быть правильно разрешены. Выражение "dns.flags.response eq 1" позволяет показать только DNS ответы, "dns.qry.type eq 28" показывает DNS запросы и ответы касаемые записи AAAA (для IPv6-адресов), а выражение "!dns.aaaa" позволяет не выводить ответы, в которых для записи AAAA указан IPv6-адрес.
Рисунок 15 - Фильтр, позволяющий обнаружить ошибки DNS
# **2 Исследование 2-ого сетевого трафика**
## **2.1 ARP сканирование**
## **2.2 Проверка работоспособности узла с помощью команды ping (протокол ICMP)**
## **2.3 Сканирование, нацеленное на обнаружение TCP соединения**
## **2.4 ICMP флуд**
## **2.5 Повторые передачи пакетов и разрывы в сетевом соединении (потери пакетов)**
## **2.6 Ошибки DNS**
# **3 Исследование 3-его сетевого трафика**
## **3.1 ARP сканирование**
## **3.2 Проверка работоспособности узла с помощью команды ping (протокол ICMP)**
## **3.3 Ошибки DNS**
# **Заключение**
Таким образом, в результате выполнения данной практической работы был изучен функционал анализатора сетевого трафика Wireshark, произведена его уставнока на ОС Windows 11, а также выполнен поиск аномалий в трёх файлах с сетевым трафиком.
По окончании данной работы были преобретены навыки сетевого анализа трафика, которые в дальнейшем можно будет применить для выявления действий вредоностного характера, например, на предприятии.
Google Drive
Gist
Clipboard
Sign in via Google
Sign in via Facebook
Sign in via X(Twitter)
Sign in via GitHub
Sign in via Dropbox
Sign in with Wallet
