# Лабораторная работа №1 **Цель работы:** Использование Wireshark для захвата и анализа сетевого трафика Ход работы: 1. Извлечение файлов изображений из трафика. Обратимся к какому-нибудь интернет ресурсу, работающему по протоколу HTTP. В процессе прослушивания трафика выполним File – Export Objects – HTTP. Выберем интересующий объект и сохраним его. ![](https://i.imgur.com/pBTnKyd.png) Рисунок 1 – Сохранение объекта 2. Перехват паролей незашифрованного соединения HTTP. Обратитесь к какому-нибудь интернет ресурсу с формой регистрации или входа, работающему по протоколу HTTP. Интересуют конкретные пакеты, которые содержат POST данные, которые формируются на нашей локальной машине при заполнении формы на экране и отправляются на удаленные сервер при нажатии кнопки «Вход» или «Авторизация» в браузере. Введите в окне специальный фильтр для отображения захваченных пакетов: http.request.method==POST. ![](https://i.imgur.com/E3lQkvJ.png) Рисунок 2 – Авторизация на незащищенном сайте ![](https://i.imgur.com/uppIBmv.png) Рисунок 3 – Пакет с POST данными ![](https://i.imgur.com/yHjpTVk.png) Рисунок 4 – Захваченные пакеты 3. Восстановление файла из FTP-сессии. Откройте учебный дамп захваченного трафика. С помощью Follow TCP Stream соберите воедино всю сессию. Проанализируйте информацию о сессии: Строчка SIZE запрашивает размер файла. Сервер отвечает размер файла 610078. Клиент выдает команду RETR после успешного установления соединения для передачи данных, когда готов загрузить копию файла на сервер. Открылась сессия на порт FTP-DAT, т.е. передача данных. С помощью Follow TCP Stream соберите воедино всю сессию и сохраните данные в формате RAW. Таким же образом можно восстанавливать передачу изображений по HTTP-протоколу, HTML-код веб-страниц и т.д. ![](https://i.imgur.com/FKCRBp4.png) Рисунок 5 – Собранная сессия ![](https://i.imgur.com/V1xOBa2.png) Рисунок 6 – Сохранение в файл ![](https://i.imgur.com/hLGIYtv.png) Рисунок 7 – Скаченный архив ![](https://i.imgur.com/gPRsm7R.png) Рисунок 8 – Изображение из архива 4. Проанализировать структуру TCP-пакета. Рассмотреть процесс начала сеанса TCP (также называемый рукопожатием «handshake»). ![](https://i.imgur.com/CLoAjdJ.png) Рисунок 9 – Структура TCP-пакета TCP – Transfer Control Protocol. Протокол управления передачей. Он служит для обеспечения и установление надежного соединения между двумя устройствами и надежную передачу данных. При этом протокол TCP контролирует оптимальный размер передаваемого пакета данных, осуществляя новую посылку при сбое передачи. Чтобы установить надежное соединение, TCP использует процесс, называемый термином “трехстороннее рукопожатие” (three-way handshake). Обмен выполняется следующим образом: 1) Клиент отправляет сегмент с установленным флагом SYN. При этом сегменту присваивается произвольный порядковый номер (sequence number) в интервале от 1 до 232 (т.н. initial sequence number), относительно которого будет вестись дальнейший отсчет последовательности сегментов в соединении. 2) Сервер получает запрос и отправляет ответный сегмент с одновременно установленными флагами SYN+ACK, при этом записывает в поле «номер подтверждения» (acknowledgement number), полученный порядковый номер, увеличенный на 1 (что подтверждает получение первого сегмента), а также устанавливает свой порядковый номер, который, как и в SYN-сегменте, выбирается произвольно. 3) После получения клиентом сегмента с флагами SYN+ACK соединение считается установленным, клиент, в свою очередь, отправляет в ответ сегмент с флагом ACK, обновленными номерами последовательности, и не содержащий полезной нагрузки. 4) Начинается передача данных. **Вывод:** в ходе лабораторной работы было исследовано использование Wireshark для захвата и анализа сетевого трафика.