МИНОБРНАУКИ РОССИИ Федеральное государственное бюджетное образовательное учреждение высшего образования «МИРЭА – Российский технологический университет» Институт кибербезопасности и цифровых технологий ОТЧЁТ ПО ПРАКТИЧЕСКОЙ РАБОТЕ №9 по дисциплине «Методы сбора и обработки данных из открытых источников» Выполнил: студент группы ББМО-01-22 Орлянский Владислав Евгеньевич Проверил: Литвин И.А. «Зачтено» «__»_________2023 г. ______________ Москва 2023 # Практическая работа №9 ## Установка Первый шаг, который вам нужно сделать, это загрузить и установить Wireshark на свой компьютер. После установки был запущен Wireshark  Рисунок 1 - Главное окно Wireshark После были загружены файлы из практической работы в программу.  Рисунок 2 - Первый загруженный файл ## Первый файл Для начала была просмотрена информация эксперта:  Рисунок 3 - Информация эксперта В первом загруженном файле были найдены: 1) Аномальная активность в виде ARP сканирования. При обнаружении был использован фильтр arp.dst.hw_mac==00:00:00:00:00:00.  Рисунок 4 - ARP Во время сканирования ARP злоумышленник обычно отправляет большое количество широковещательных запросов ARP (ff: ff: ff: ff: ff: ff), направленных на MAC-адрес 00: 00: 00: 00: 00: 00, чтобы узнать действующие IP-адреса в локальной сети. 2) TCP SYN / скрытое сканирование tcp.flags.syn= =1 and tcp.flags.ack==0 and tcp.window_size <= 1024  Рисунок 5 - TCP SYN По сути, это первый шаг в трехстороннем TCP-согласовании (начало любого TCP-соединения) с очень маленьким размером окна TCP. Если мы видим слишком много таких пакетов за короткое время, скорее всего, кто-то делает: * SYN-сканирование в нашей сети (например, путем запуска nmap -sS <target>) * Порт SYN просматривает сеть (например, запустив nmap -sS -pXX <subnet>) * SYN-флуд (метод отказа в обслуживании) 3) TCP Connect () сканирование tcp.flags.syn= =1 and tcp.flags.ack==0 and tcp.window_size > 1024 Единственное отличие от сканирования SYN — это больший размер окна TCP, который указывает на то, что стандартное TCP-соединение фактически ожидает передачи некоторых данных.  Рисунок 6 - TCP Connect Если мы видим слишком много таких пакетов за короткий промежуток времени, скорее всего, кто-то делает: * Сканирование портов в нашей сети (например, путем запуска nmap -sT <target>) * Порт просматривает сеть (например, запустив nmap -sT -pXX <subnet>) 4) TCP Null tcp.flags==0  Рисунок 7 - TCP Null TCP Null сканирование работает путем отправки пакетов без установленных флагов. Это потенциально может проникнуть в некоторые брандмауэры и обнаружить открытые порты. Если мы видим такие пакеты в нашей сети, вероятно, кто-то выполняет сканирование TCP null (например, запустив nmap -sN <target>). 5) ICMP флуд icmp and data.len > 48  Рисунок 8 - ICMP флуд Типичный стандартный ICMP ping отправляет пакеты с 32 байтами данных (команда ping в Windows) или 48 байтами (команда ping в Linux). Когда кто-то выполняет ICMP-флуд, он обычно отправляет гораздо больший объем данных, поэтому здесь мы фильтруем все ICMP-пакеты с данными размером более 48 байт. Это эффективно обнаружит любой ICMP-поток независимо от типа или кода ICMP. Злоумышленники часто используют такие инструменты, как fping или hping, для выполнения ICMP-лавинной рассылки. 6) Надежда на VLAN dtp or vlan.too_many_tags  Рисунок 9 - Hope for VLAN Hope for VLAN — это метод обхода контроля доступа к сети (NAC), который часто используется злоумышленниками, пытающимися получить доступ к различным VLAN путем неправильной настройки коммутаторов Cisco. Верным индикатором надежды VLAN является наличие пакетов DTP или пакетов, отмеченных несколькими тегами VLAN. Если мы видим такие пакеты в нашей сети, возможно, кто-то пытается выполнить VLAN в надежде использовать, например, утилиты frogger или yersinia. 7) Необъяснимая потеря пакетов tcp.analysis.lost_segment or tcp.analysis.retransmission Если мы видим много повторных передач пакетов и разрывы в сетевом соединении (потерянные пакеты), это может указывать на серьезную проблему в сети, возможно, вызванную атакой отказа в обслуживании. Такая ситуация в Wireshark, безусловно, заслуживает дальнейшего изучения.  Рисунок 10 - Потеря пакетов tcp.flags.fin && tcp.flags.syn 8) Пакеты с неправильными значениями флагов TCP tcp.flags.fin && tcp.flags.syn  Рисунок 11 - обнаружение пакетов с неправильными значениями флагов TCP Этот фильтр позволяет отобразить пакеты с одновременно установленными флагами FIN и SYN, что является необычным. 9) Пакеты с неправильными значениями TTL ip.ttl == 0 || ip.ttl > 64  Рисунок 12 - обнаружение пакетов с неправильными значениями TTL Этот фильтр отображает пакеты, у которых значение TTL равно нулю или превышает 64. Нестандартные значения TTL могут указывать на аномалии или проблемы с маршрутизацией. 10) Фильтр для обнаружения пакетов с множественными соединениями tcp.flags.syn == 0 && tcp.flags.ack == 1  Рисунок 13 - обнаружение пакетов с множественными соединениями Этот фильтр отобразит пакеты, у которых установлен флаг ACK без предшествующего флага SYN. Такая ситуация может указывать на попытку установки соединения без правильного инициирующего пакета SYN ## Второй файл Далее был загружен второй файл  Рисунок 14 - Второй файл 1) ARP сканирование arp.dst.hw_mac==00:00:00:00:00:00  Рисунок 115 - ARP Сканирование 2) Проверка связи ICMP icmp.type= =8 or icmp.type==0  Рисунок 16 - Проверка связи ICMP 3) TCP Connect () сканирование tcp.flags.syn= =1 and tcp.flags.ack==0 and tcp.window_size > 1024  Рисунок 17 - TCP Connect 4) ICMP флуд icmp and data.len > 48  Рисунок 18 - ICMP флуд 5) Обнаружение пакетов с неправильными значениями флагов TCP tcp.flags.fin && tcp.flags.syn  Рисунок 19 - Обнаружение пакетов с неправильными значениями флагов TCP 6) Пакеты с неправильными значениями TTL  Рисунок 20 - Обнаружение пакетов с неправильными значениями TTL 7) Фильтр для обнаружения пакетов с множественными соединениями tcp.flags.syn == 0 && tcp.flags.ack == 1  Рисунок 21 - обнаружение пакетов с множественными соединениями ## Третий файл 1) ARP сканирование arp.dst.hw_mac==00:00:00:00:00:00  Рисунок 22 - ARP сканирование 2) Проверка связи ICMP icmp.type= =8 or icmp.type==0  Рисунок 23 - Проверка связи ICMP С помощью этого фильтра мы фильтруем эхо-запросы ICMP (тип 8) или эхо-ответы ICMP (тип 0). Если мы видим слишком много таких пакетов за короткий промежуток времени, нацеленных на множество разных IP-адресов, то, вероятно, мы видим эхо-запросы ICMP. Кто-то пытается определить все действующие IP-адреса в нашей сети (например, запустив nmap -sn -PE <subnet>). 3) DNS ошибки dns.flags.rcode != 0 or (dns.flags.response eq 1 and dns.qry.type eq 28 and !dns.aaaa)  Рисунок 24 - DNS ошибки Всякий раз, когда сервер отвечает чем-либо, кроме "да", это плохо. В DNS положительный ответ по-прежнему не обязательно является положительным ответом. Это происходит с запросами на IPv6-адрес. Вместо отправки сообщения об ошибке "такого имени нет" сервер отвечает без кода ошибки и без IPv6-адреса. В нашем случае это хорошо видно по строкам с записью NULL Фильтр состоит из флага какие dns запросы не могут быть правильно разрешены или ответы DNS касаемые записи АААА, другими словами это поиск пустых ответов и запросов с исключением ответа по IPv6. 4) Пакеты с неправильными значениями TTL ip.ttl == 0 || ip.ttl > 64  Рисунок 25 - Обнаружение пакетов с неправильными значениями TTL # Вывод В данной практической были исследованы возможности Wireshark, а так же выполнен поиск возможных анамалий и угроз сети. Все найденые аномалии были описаны и показаны на скриншотах в работе.