Professional Documents
Culture Documents
5.3.7 Lab - Introduction To Wireshark
5.3.7 Lab - Introduction To Wireshark
Завдання
Частина 1. Встановлення та перевірка топології Mininet
Частина 2. Збір та аналіз даних протоколу ICMP у програмі Wireshark
даних протоколу (PDU), розшифровує або аналізує її зміст відповідно до відповідного документа RFC
або інших специфікацій.
Wireshark – корисний інструмент для всіх, хто працює з мережами. Його можна використовувати для
аналізу даних, а також для пошуку та усунення несправностей. Ви скористаєтеся програмою Wireshark
для захоплення даних ICMP-пакетів.
Необхідні ресурси
Віртуальна машина CyberOps
Доступ до Інтернету
b. У командному рядку на вузлі H1 введіть ip address для перевірки IPv4-адреси та запишіть MAC-
адресу. Повторіть операцію вузла H2. IPv4-адреса та MAC-адреса виділені нижче для довідки.
[root@secOps analyst]# ip address
<output omitted>
2: H1-eth0@if3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP
group default qlen 1000
link/ether ba:d4:1d:7b:f3:61 brd ff:ff:ff:ff:ff:ff link-netnsid 0
inet 10.0.0.11/24 brd 10.0.0.255 scope global H1-eth0
valid_lft forever preferred_lft forever
inet6 fe80::b8d4:1dff:fe7b:f361/64 scope link
valid_lft forever preferred_lft forever
Інтерфейс
вузла IP-адреса MAC-адреса
H1-eth0 10,0,0,11/24
H2-eth0 10,0,0,12/24
a. На вузлі H1 введіть wireshark &, щоб запустити програму Wireshark (попередження не має
значення в рамках цієї лабораторної роботи). Щоб продовжити, натисніть OK.
[root@secOps]# wireshark &
[1] 1552
[root@secOps ~]#
** (wireshark:1552): WARNING **: Couldn't connect to accessibility bus: Failed
to connect to socket /tmp/dbus-f0dFz9baYA: Connection refused
Gtk-Message: GtkDialog mapped without a transient parent. This is discouraged.
b. У вікні Wireshark під заголовком Capture (Отримати) виберіть інтерфейс H1 eth0. Натисніть кнопку
Start (Почати), щоб перехопити трафік.
c. На вузлі H1 натисніть клавішу Enter, якщо потрібно отримати запит. Введіть ping -c 5 10.0.0.12, щоб
надіслати эхо запит H2 п'ять разів. Параметр команди -c вказує на кількість перевірок зв'язку. 5
вказує, що має бути відправлено п'ять ехозапросів. Ця перевірка зв'язку буде успішною.
[ root@secOps analyst]# ping -c 5 10.0.0.12
d. Перейдіть у вікно Wireshark, клацніть Stop (Зупинити), щоб зупинити перехоплення пакетів.
e. Фільтр може застосовуватися для показу тільки трафіку, що вас цікавить.
Введіть icmp у полі Filter (Фільтр) та натисніть Apply (Застосувати).
f. За потреби виберіть кадри PDU першого ICMP-запиту у верхній частині вікна програми Wireshark.
Зверніть увагу, що в стовпці Source є IP-адреса H1, а в стовпці призначення міститься IP-адреса
H2.
g. Не змінюючи вибір кадру PDU у верхньому розділі вікна, перейдіть у середній розділ. Натисніть
стрілку зліва від рядка Ethernet II, щоб переглянути MAC-адреси джерела та призначення.
Інтерфейс
вузла IP-адреса MAC-адреса
H4-eth0 172,16,0,40
R1-eth1 172,16,0,1
R1-eth2 10,0,0,1
c. Почніть нове перехоплення даних програмою Wireshark на H1, вибравши Capture > Start
(Отримання > Почати). Можна натиснути кнопку Start (Почати) або ввести Ctrl-E. Натисніть
Continue without Saving (Продовжити без збереження), щоб розпочати нове перехоплення.
d. H4 є змодельованим віддаленим сервером. Ехозапит для H4 від H1. На ці ping-запити мають
надходити відповіді.
[ root@secOps analyst]# ping -c 5 172.16.0.40
e. Перегляньте зібрані дані у програмі Wireshark. Вивчіть IP- та MAC-адреси, на які ви відправили
ехозапрос. Зверніть увагу, що MAC-адреса для інтерфейсу R1-eth1. Вкажіть IP- та MAC-адресу
призначення.
IP:__________________________________MAC:___________________________________________
f. У головному вікні CyberOps ВМ введіть quit, щоб зупинити Mininet.
mininet> quit
*** Зупинка 0 контролерів
g. Щоб очистити всі процеси, які використовувалися Mininet, введіть команду sudo mn - c у
командному рядку.
analyst@secOps ~] $ sudo mn - c
[Sudo] пароль для analyst:
*** Видалення надлишкових контролерів, протоколів або шляхів передачі даних,
ехозапросів або вузлів
killall controllerprotocol ofdatapath ping not_core lt-nox_core ovs-openflowd ovs-
controller udpbwtest mnexec ivs 2> /dev/null
killall -9 controllerprotocol ofdatapath ping not_core lt-nox_core ovs-openflowd ovs-
controller udpbwtest mnexec ivs 2> /dev/null
pkill -9 -f "sudo mnexec"
*** Видалення сміття в папці /tmp
rm -f /tmp/vconn* /tmp/vlogs* /tmp/*.out /tmp/*.log
*** Видалення старих тунелів X11
*** Видалення надлишкових шляхів передачі даних ядра
ps ax | egrep -o 'dp[0-9]+' | sed's/dp/nl:/'
*** Видалення шляхів передачі даних OVS
ovs-vsctl --timeout=1 list-br
ovs-vsctl --timeout=1 list-br
*** Видалення всіх каналів із шаблоном foo-ethX
ip link show | egrep -o '([-_.[:alnum:]]+-eth[[:digit:]]+)'
ip link show
*** Скасування застарілих процесів вузла mininet
pkill -9 -f mininet:
*** Завершення роботи застарілих тунелів
pkill -9 -f Tunnel=Ethernet
pkill -9 -f .ssh/mn
rm -f ~/.ssh/mn/*
*** Очищення завершено.