# **Практическая работа №1: Network miner** > Работу выполнил **Николаев Яков БСБО-07-19** ## **Введение**: что это за зверь такой, Network Miner? **NetworkMiner** является одним из лучших инструментов для анализа перехваченных данных, сохраненных в формате PCAP. Утилита пассивно анализирует дамп с трафиком, безошибочно определяет участников обмена сетевыми данными и распознает операционные системы, установленные на каждом хосте, по размеру окна, времени жизни пакета и уникальному набору флагов. NetworkMiner также может выдавать структурированную информацию об открытых сессиях, активных портах и прочей инфраструктуре сети, снимает баннеры различных демонов. Самая важная особенность данного анализатора трафика - возможность извлекать файлы и сертификаты, передаваемые по сети. Функция может быть использована для перехвата и сохранения всевозможных аудио- и видео-файлов. Сниффер поддерживает протоколы FTP, HTTP и SMB. Для них доступно также извлечение пользовательских данных ‘логинов и паролей’. Программу можно использовать как для сниффинга так и для парсинга трафика WLAN (IEEE 802.11). :::info :bulb: **Сниффер?** это ПО, анализирующее входящий и исходящий трафик с компьютера, подключенного к интернету. Оно следит за тем, какие сайты вы посещаете, какие файлы загружаете и выгружаете. ::: ## Установка и запуск Данный инструмент будет установлен на виртуальную машину с операционной системой **Parrot Security** 1. Вводим команду **`wget sf.net/projects/networkminer/files/latest -O /tmp/nm.zip`**  2. Для запуска вводим в терминал команду **`mono NetworkMiner.exe`**  Теперь можем ~~начать хакать пентагон~~ приступать к работе! ## Работа с утилитой Для начала открываем подготовленный pcap файл с полученными пакетами в NetworkMiner  и весь траффик был автоматически проанализирован и отсортирован. Прелесть этой утилиты в том, что мы можем спокойно ориентироваться по пакетам благодаря вкладкам сверху у тулбара, сейчас мы разберем основные из них: - **Hosts** На вкладке Hosts приводится список всех хостов, участвующих в формирование траффика, с детальной информацией по каждому хосту:  - **Frames** На вкладке Frames, трафик приводится в виде пакетов с информацией по каждому уровню модели OSI (Канальному, Сетевому и Транспортному). Это позволяет вам видеть информацию IPv4 / v6, такую как, общая длина, TTL, исходный и целевой IP. Аналогично, заголовок TCP включает номер исходного порта, порт назначения, порядковый номер и флаги.  - **Files, Images, Messages** В данных вкладаках утилита показывает перехваченные файлы, изображения и сообщения соответственно. В моем случае, я ничего такого не перехватил.  - **Credentials** Следующая вкладка Credentials покажет перехваченные попытки авторизации в открытом виде. Вот так потратив меньше минуты можно из большого дампа трафика сразу получить логин и пароль на авторизацию.  - **Sessions** Вкладка Session позволяет просматривать все клиентские хосты в сети с информацией об их сеансах. Вы сможете проверить адрес хоста сервера назначения, S.port и время начала сеанса.  - **DNS** Из вкладки DNS вы можете проверить все запросы DNS-сервера и их ответы, а также информацию, касающуюся адреса и порта клиента, адреса и порта сервера, идентификатора транзакции и т.д.  ## Заключение Это многофункциональный инструмент для криминалистического анализа сети, ориентированный на хост, который предназначен для прослушивания пакетов данных, данных о подключенных клиентах и другой информации, необходимой сетевому администратору каждый раз перед созданием отчетов о производительности и использовании сети.