plik

Lab – Wireshark jako narządzie do obserwacji ruchu sieciowego

Topologia

Cele

Część 1: (opcjonalnie) Pobierz i zainstaluj program Wireshark

Część 2: Przechwyć i przeanalizuj dane ICMP w programie Wireshark

•

Uruchom przechwytywanie ruchu na czas wykonania polecenia ping do hosta lokalnego.

•

Zlokalizuj adresy IP i MAC w przechwyconych jednostkach PDU

Część 3: Przechwyć i przeanalizuj dane ICMP do zdalnego hosta

•

Uruchom przechwytywanie ruchu na czas wykonania polecenia ping do hosta zdalnego.

•

Zlokalizuj adresy IP i MAC w przechwyconych jednostkach PDU

•

Wytłumacz dlaczego adresy MAC zdalnych hostów różnią się od adresów MAC hostów lokalnych.

Scenariusz

Analizator pakietów (zwany również analizatorem ruchu sieciowego lub analizatorem protokołów) jest
programem komputerowym, który potrafi przechwycić i zapamiętać dane przesyłane przez sieć. W momencie
gdy strumienie danych podróżują poprzez sieć, analizator przechwytuje i zapamiętuje jednostkę PDU.
Następnie dekoduje informacje w nich zawarte do postaci przejrzystej struktury odzwierciedlającej zalecenia
RFC i umożliwiającej obserwatorowi bardzo wygodną ich analizę.

Wireshark jest bardzo użytecznym narzędziem dla każdego, kto w swej pracy ma do czynienia z sieciami
komputerowymi. Może być z powodzeniem wykorzystywany w laboratoriach kursu CCNA do analizy danych
oraz diagnozowania problemów.

Wymagane zasoby

•

1 komputer PC (Windows 7, Vista lub XP z dostępem do Internetu)

•

dodatkowy komputer PC w sieci lokalnej (LAN) - zostanie użyty w celu uzyskania odpowiedzi na ping.

Część 1: (Opcjonalnie) Pobieranie i instalacja programu Wireshark

Wireshark stał się bardzo popularnym analizatorem protokołów sieciowych i jest szeroko używany przez
inżynierów. Jest otwartym oprogramowaniem (open source) dostępnym dla wielu systemów operacyjnych np.

Page 1 of 17

Tłumaczenie - Michał Kowal, Politechnika Wrocławska, Katedra Telekomunikacji i Teleinformatyki, luty 2014

Lab - Wireshark jako narządzie do obserwacji ruchu sieciowego

Windows, Linux czy Mac. W pierwszej części tego laboratorium należy pobrać i zainstalować program
Wireshark na komputerze.

Uwaga: Jeśli program Wireshark jest już zainstalowany na komputerze PC przejdź do kroku 2.

Krok 1: Pobierz program Wireshark.

a. Program Wireshark można pobrać ze strony

www.wireshark.org

b. Kliknij Download Wireshark.

c. Wybierz odpowiednią wersję w zależności od systemu operacyjnego i architektury komputera.

Przykładowo jeśli posiadasz 64-bitowy komputer PC z systemem operacyjnym Windows wybierz
Windows Installer (64-bit).

Po dokonaniu wyboru powinien się rozpocząć proces pobierania. Miejsce, gdzie zostanie zapisany plik zależy od
ustawień przeglądarki i system operacyjnego. Dla użytkowników Windows domyślnym miejscem jest folder
Pobrane.

Krok 2: Zainstaluj program Wireshark.

d. Pobrany plik ma nazwę Wireshark-win64-x.x.x.exe, gdzie x oznacza numer wersji. Kliknij go dwukrotnie

aby rozpocząć proces instalacji.

© 2013 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public.
Tłumaczenie - Michał Kowal, Politechnika Wrocławska, Katedra Telekomunikacji i Teleinformatyki, luty 2014

Strona 2 of 17

Lab - Wireshark jako narządzie do obserwacji ruchu sieciowego

e. Odpowiedz na wszystkie pytania system operacyjnego związane z bezpieczeństwem. Jeśli w systemie

operacyjnym jest zainstalowana starsza wersja, instalator poprosi o jej deinstalację. Zalecana jest
deinstalacja starszej wersji przed instalacją nowszej. Kliknij Yes aby rozpocząć proces deinstalacji.

Jeśli na komputerze program Wireshark jest instalowany pierwszy raz, lub gdy proces deinstalacji
zostanie zakończony, zostanie uruchomiony kreator instalacji programu. Kliknij Next.

g. Kliknij I Agree gdy pojawi się okno z licencją używania programu.

© 2013 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public.
Tłumaczenie - Michał Kowal, Politechnika Wrocławska, Katedra Telekomunikacji i Teleinformatyki, luty 2014

Strona 3 of 17

Lab - Wireshark jako narządzie do obserwacji ruchu sieciowego

h. Pozostaw domyślne ustawienia w oknie wyboru komponentów do instalacji i kliknij Next.

Wymierz, gdzie instalator ma stworzyć skróty i kliknij Next.

© 2013 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public.
Tłumaczenie - Michał Kowal, Politechnika Wrocławska, Katedra Telekomunikacji i Teleinformatyki, luty 2014

Strona 4 of 17

Lab - Wireshark jako narządzie do obserwacji ruchu sieciowego

Możliwa jest zmiana miejsca instalacji program Wireshark, ale jest nie ma ograniczeń co do wielkości
programów instalowanych na głównej partycji, pozostaw domyślną lokalizację.

k. W celu przechwytywania danych bezpośrednio z karty sieciowej na komputerze musi być zainstalowany

program WinPcap. Jeśli program jest zainstalowany opcja jego instalacji nie zostanie wybrana. W
przypadku, gdy na komputerze znajduje się jego starsza wersja zalecana jest aktualizacja. W takim
przypadku zaznacz opcję Install WinPcap x.x.x.

W przypadku instalacji WinPcap dokończ proces instalacji.

© 2013 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public.
Tłumaczenie - Michał Kowal, Politechnika Wrocławska, Katedra Telekomunikacji i Teleinformatyki, luty 2014

Strona 5 of 17

Lab - Wireshark jako narządzie do obserwacji ruchu sieciowego

m. Instalator Wireshark rozpocznie kopiowanie plików w osobnym oknie. Kliknij Next gdy proces instalacji

zostanie zakończony.

n. Kliknij Finish aby zakończyć proces instalacji program Wireshark.

© 2013 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public.
Tłumaczenie - Michał Kowal, Politechnika Wrocławska, Katedra Telekomunikacji i Teleinformatyki, luty 2014

Strona 6 of 17

Lab - Wireshark jako narządzie do obserwacji ruchu sieciowego

Część 2: Przechwytywanie i analiza danych protokołu ICMP w sieci lokalnej

W części 2 tego laboratorium należy wydać komendę ping do innego komputer w sieci lokalnej i za pomocą
programu Wireshark przechwycić zapytania i odpowiedzi protokołu ICMP. Dodatkowo zostanie
przeprowadzona szczegółowa analiza przechwyconych danych. Analiza powinna wyjaśnić w jaki sposób
nagłówki pakietów są używane w procesie przesyłania danych do miejsca docelowego.

Krok 1: Pozyskiwanie adresów interfejsu sieciowego komputera PC.

Na potrzeby tego ćwiczenia będziesz musiał pozyskać adres IP oraz adres fizyczny MAC swojej karty
sieciowej.

o. Otwórz wiersz poleceń, wpisz ipconfig /all i wciśnij Enter.

p. Zapisz adres IP oraz MAC swojego interfejsu sieciowego.

q. Wymień się z kolegą z grupy adresami IP. W tej chwili nie zdradzaj mu swojego adresu MAC.

© 2013 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public.
Tłumaczenie - Michał Kowal, Politechnika Wrocławska, Katedra Telekomunikacji i Teleinformatyki, luty 2014

Strona 7 of 17

Lab - Wireshark jako narządzie do obserwacji ruchu sieciowego

Krok 2: Uruchom program Wireshark i rozpocznij przechwytywanie danych.

Uruchom program Wireshark korzystając z menu systemu operacyjnego.

s. Po uruchomieniu programu Wireshark kliknij Interface List.

Uwaga: Kliknięcie pierwszej ikony interfejsu zaznaczonej na rysunku wyświetla listę interfejsów.

W oknie: Capture Interfaces, wybierz interfejs, które używasz do połączenia do sieci LAN.

Uwaga: Jeśli jest wyświetlanych wiele interfejsów i nie jesteś pewnie, których należy wybrać, kliknij
przycisk Details a następnie wybierz zakładkę 802.3 (Ethernet). Następnie zweryfikuj czy wyświetlony
adres MAC jest taki sam jak odczytany w kroku 1b. Kliknij Close, aby zamknąć okno.

u. Po wybraniu odpowiedniego interfejsu kliknij Start w celi rozpoczęcia przechwytywania danych.

© 2013 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public.
Tłumaczenie - Michał Kowal, Politechnika Wrocławska, Katedra Telekomunikacji i Teleinformatyki, luty 2014

Strona 8 of 17

Lab - Wireshark jako narządzie do obserwacji ruchu sieciowego

Przychwytywane informacje spowodują przewijanie okna programu Wireshark w dół. W zależności od
rodzaju protokołu poszczególne linie będą miały różny kolor.

v. W zależności od intensywności ruchu sieciowego rejestrowanego przez program Wireshark

przechwytywane informacje mogą spowodować bardzo szybkie przewijanie okna. W celu ułatwienia
pracy możliwe jest uruchomienie filtru wyświetlanych informacji. Podczas tego laboratorium będą
analizowane pakiety ICMP. Wpisz icmp w polu Filter, w górnej części okna programu Wireshark, a
następnie wciśnij Enter lub kliknij przycisk Apply - spowoduje to odfiltrowanie jednostek PDU protokołu
ICMP.

w. Uruchomienie filtru spowoduje ukrycie przechwyconych pakietów, które były wyświetlone w górnym oknie

programu Wireshark. W oknie wiersza poleceń wydaj komendę ping na adres IP otrzymany wcześniej od
sąsiada. W górnej części okna powinny się pojawić przechwycone pakiety protokołu ICMP.

© 2013 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public.
Tłumaczenie - Michał Kowal, Politechnika Wrocławska, Katedra Telekomunikacji i Teleinformatyki, luty 2014

Strona 9 of 17

Lab - Wireshark jako narządzie do obserwacji ruchu sieciowego

Uwaga: Brak odpowiedzi z komputera sąsiada na żądania ping może oznaczać, że są one blokowane
przez zaporę sieciowa na jego komputerze. W dodatku A do tej instrukcji znajdują się informacje o tym jak
zmienić ustawienia zapory sieciowej w systemie Windows 7, tak aby ruch ICMP nie był blokowany.

x. Kliknij ikonę Stop Capture aby zatrzymać przechwytywanie danych.

© 2013 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public.
Tłumaczenie - Michał Kowal, Politechnika Wrocławska, Katedra Telekomunikacji i Teleinformatyki, luty 2014

Strona 10 of 17

Lab - Wireshark jako narządzie do obserwacji ruchu sieciowego

Krok 3: Analiza listy przechwyconych pakietów

W kroku 3 zostaną przeanalizowane pakiety wygenerowane podczas wykonywania polecenia ping do
komputera sąsiada. Główne okno programu Wireshark ma trzy panele: 1) w górnej sekcji jest wyświetlana
lista przechwyconych PDU (ramek lub pakietów) – wyświetlane jest zbiorcze zestawienie informacji o
przechwyconych pakietach. 2) w środkowej sekcji wyświetlane są szczegóły wskazanych jednostek PDU 3) w
dolnej sekcji wyświetlane są surowe dane z podziałem na warstwy - są one wyświetlane w postaci dziesiętnej
i szesnastkowej.

y. Kliknij pierwszą ramkę PDU zawierającą żądanie ICMP w górnej sekcji okna programu Wireshark.

Zauważ, że w kolumnie źródło (Source) znajduje się twój adres IP, a polu cel (destination) znajduje się
adres IP komputera Twojego sąsiada.

© 2013 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public.
Tłumaczenie - Michał Kowal, Politechnika Wrocławska, Katedra Telekomunikacji i Teleinformatyki, luty 2014

Strona 11 of 17

Lab - Wireshark jako narządzie do obserwacji ruchu sieciowego

z. Aby zobaczyć docelowe i źródłowe adresy MAC, w środkowej sekcji kliknij znak plus znajdujący się po

lewej wiersza Ethernet II.

Czy źródłowy adres MAC jest taki sam jak adres MAC Twojego komputera? ______

Czy docelowy adres MAC jest taki sam jak adres MAC karty sieciowej sąsiada?_____

W jaki sposób Twój komputer pozyskał docelowy adres MAC?

___________________________________________________________________________________

Uwaga: W omawianym przypadku dane ICMP są enkapsulowane w polu danych pakietu IPv4. Z kolei
pakiet IPv4 jest jednostką PDU ramki Ethernet II.

Część 3: Przechwytywanie i analiza danych protokołu ICMP z sieci
zewnętrznej

W części 3 zostaną przeanalizowane dane protokołu ICMP, zarejestrowane podczas wykonywania polecenia
ping do hosta w zdalnej sieci. Zostanie przeprowadzone porównanie danych zarejestrowanych w części 2 z
danym zarejestrowanymi w części 3.

Krok 1: Rozpocznij przechwytywanie danych

aa. Kliknij ponownie ikonę Interface List aby wyświetlić listę interfejsów sieciowych komputera.

ab. Upewnij się, że jest wybrana odpowiednia karta sieciowa i kliknij Start.

© 2013 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public.
Tłumaczenie - Michał Kowal, Politechnika Wrocławska, Katedra Telekomunikacji i Teleinformatyki, luty 2014

Strona 12 of 17

Lab - Wireshark jako narządzie do obserwacji ruchu sieciowego

ac. Pojawi się okno z pytaniem o zapis wcześniej zarejestrowanych danych. Nie jest to konieczne, w związku

z tym kliknij Continue without Saving.

ad. W wierszu poleceń wydaj poleceni ping na następujące adresy URL:

1) www.yahoo.com

2) www.cisco.com

3) www.google.com

Strona 13 of 17

Lab - Wireshark jako narządzie do obserwacji ruchu sieciowego

Uwaga: Kiedy zostaje wydane polecenie ping na wcześniej wymienione adresy, serwer DNS (Domain
Name Server) dokonuje translacji adresów stron URL na adresy IP. Zanotuj adresy IP każdej z wyżej
wymienionych stron www.

ae. Zatrzymaj przechwytywanie danych klikając ikonę Stop Capture.

Step 2: Analiza przechwyconych pakietów ICMP

a. Dokonaj analizy przechwyconych pakietów i odszukaj adresy IP i MAC trzech urządzeń docelowych, do

których wysyłałeś pakiety ICMP:

1 Lokalizacja:

IP: _____._____._____._____ MAC: ____:____:____:____:____:____

2 Lokalizacja:

IP: _____._____._____._____ MAC: ____:____:____:____:____:____

3 Lokalizacja:

IP: _____._____._____._____ MAC: ____:____:____:____:____:____

b. Co zauważyłeś analizując adresy MAC urządzeń docelowych?

____________________________________________________________________________________

c. Jakie zauważasz różnice w odniesieniu do danych przechwyconych w części 2?

____________________________________________________________________________________

Do przemyślenia

Dlaczego program Wireshark pokazuje tylko aktualne adresy lokalnych hostów, natomiast adresy hostów
zdalnych nie są pokazywane?

_______________________________________________________________________________________

Dodatek A: Odblokowanie pakietów ICMP w ustawieniach zapory sieciowej

Jeśli sąsiedzi nie mogą wydać polecenia ping do Twojego komputera, oznacza to że zapora sieciowa blokuje
zapytania protokołu ICMP kierowane do Twojego komputera. Załącznik ten opisuje sposób tworzenia reguły
dla przychodzącego ruchu ICMP w ustawieniach zapory sieciowej.

Step 1: Tworzenie nowej reguły dla przychodzącego ruchu ICMP

d. W panelu sterowania wybierz opcje System and Security.

Strona 14 of 17

Lab - Wireshark jako narządzie do obserwacji ruchu sieciowego

e. W oknie System and Security kliknij Windows Firewall.

W menu po lewej stronie okna Windows Firewall kliknij Advanced settings.

g. W oknie Advanced Security wybierz opcję Inbound Rules, a następnie, w panelu bocznym po prawej

stronie kliknij New Rule….

h. Zostanie uruchomiony kreator tworzenia nowej reguły (New Inbound Rule wizard). Wybierz regułę typu

Custom i kliknij Next

W panelu po lewej kliknij opcję Protocol and Ports, z rozwijanej listy wybierze protokół ICMPv4 i kliknij
Next.

Strona 15 of 17

Lab - Wireshark jako narządzie do obserwacji ruchu sieciowego

W panelu po lewej wybierz opcję Name, w polu Name wpisz Allow ICMP Requests, a następnie kliknij
Finish.

Dodana reguła powinna umożliwić sąsiadom otrzymywanie odpowiedzi z Twojego komputera na żądania
protokołu ICMP.

Krok 2: Wyłączanie lub usuwanie nowododanej reguły ICMP.

Po zakończeniu ćwiczenia możesz wyłączyć lub usunąć regułę stworzoną w kroku 1. Użycie opcji Disable
Rule umożliwi jej użycie w przyszłości. Usunięcie reguły z listy spowoduje jej permanentne skasowanie.

k. W oknie Advanced Security, w lewym panelu kliknij Inbound Rules i odszukaj regułę utworzoną w kroku

Strona 16 of 17

Lab - Wireshark jako narządzie do obserwacji ruchu sieciowego

Aby wyłączyć regułę wybierz opcję Disable Rule. Po kliknięciu opcja ta zmieni się na Enable Rule.
Status reguł jest wyświetlany w kolumnie Enabled w środkowej części okna.

m. W celu permanentnego usunięcia reguły ICMP, kliknij Delete. Po wybraniu tej opcji w celu ponownego jej

użycia konieczne będzie jej ponowne utworzenie.

Strona 17 of 17

Document Outline