Отчёт по заданию 4. Занятиe 4.Модель OSI. Транспортный уровень L4. Выполнил Бершауэр Владислав. Практическая работа №4. Ход работы: Работа выполнялась на следующей топологи:  Часть 1. Сканирование сети в различных режимах. 1.1. Подготовка. Debian:      Win7:  Kali:  1.2. Ping сканирование:   Была выполнена следующая команда: Netdiscover –r 192.168.1.0/24 –I eth1    Netdiscover начинает сканировать сеть ARP запросами из указанного диапазона по заданному интерфейсу. В ответ получаем найденные рабочие ip адреса, узлы. Поиск начинается с 192.168.1.1 и увеличивается в последующем на еденицу, то есть 1.2, 1.3, 1.4. И таким образом находятся узлы. 1.3. ARP сканирование: Командой netdiscover -i eth0 -p запускается процесс, который отслеживает, например, появление новых устройств в инфраструктуре или, как приведено далее, при перезагрузке одного из уже известных хостов. Сначало в таблице записей пусто, нужно подождать.   Был перезагружен Debian.  1.3. NMAP.    Это сканирование использует протокол DNS. В ответ видим хосты DNS. Пинг сканирование:   Сделал запросы к DNS и ARP. Сканирование nmap по умолчанию:  Применяется только к уже **ОБНАРУЖЕННЫМ** хостам. В результате получаем порты и их соответсвующие сервисы.  Если всматриваться, можно увидеть что поменялись айпишники, но это из-за того, что я перезагрузил топологию, и соотвественно dhcp сервер накидал новые айпи хостам. Сканирование, с целью выявить ОС.  Видим открытые порты, сервисы на них, и версию ОС. Более продвинутый вариант сканирования, с целью выявить версию ОС и некоторые данные:   Существует ещё один вид сканирования, позволяющий просканировать ВСЕ порты.  UDP сканирование (долгое):   Оно видит открытые порты, закрытые нет, потому что нет ответа.  Часть 2. SPAN. SPAN – это функция коммутатора или маршрутизатора, которая позволяет копировать пакеты с указанного порта/портов (порт зеркалирования) и отправлять на выбранный порт (порт мониторинга). Настройка:     На скринах виден режим Promisc. Что это такое? Это режим, позволяющий анализировать абсолютно весь трафик, что нам и нужно. Wireshark:  Настройка Switch:    Конфигурация:  Зайдём в тот же яндекс с Win7:  В итоге мы можем посмотреть, какой трафик идёт. То есть выход в интернет с Win7 на Linux:  Часть 3. MITM. Атака посредника, или атака «человек посередине». Подключаем посредника:  Включили dhcp, получили ip и совершили update.   Установили bridge утилиту:  Вносим необходимые изменения:   Перехват трафика:  На обоих машинках Linux мы наблюдаем один и тот же трафик через WireShark:  **Немного о обработке собранного трафика.** Wireshark мощная утилита, собранный трафик можно анализировать, выявить статистику, сделать импорт собранного трафика, а потом посмотреть его. Статистика:  Выгрузка трафика по конкретному протоколу: