Средства мониторинга и анализа

Трафика

 

10.1. Системы мониторинга

 

Все многообразие средств, применяемых для мониторинга и анализа мультисервисных сетей, можно разделить на несколько крупных классов.

Системы управления сетью (Network Management Systems) - централизованные программные системы, которые собирают данные о состоянии узлов и коммуникационных устройств сети, а также данные о трафике, циркулирующем в сети. Эти системы не только осуществляют мониторинг и анализ сети, но и выполняют в автоматическом или полуавтоматическом режиме действия по управлению сетью - включение и отключение портов устройств, изменение параметров мостов адресных таблиц мостов, коммутаторов и маршрутизаторов и т.п. Примерами систем управления могут служить популярные системы HPOpenView, SunNetManager, IBMNetView.

Средства управления системой (SystemManagement). Средства управления системой часто выполняют функции, аналогичные функциям систем управления, но по отношению к другим объектам. В первом случае объектом управления является программное и аппаратное обеспечение компьютеров сети, а во втором - коммуникационное оборудование. Вместе с тем, некоторые функции этих двух видов систем управления могут дублироваться, например, средства управления системой могут выполнять простейший анализ сетевого трафика.

Встроенные системы диагностики и управления (Embeddedsystems). Эти системы выполняются в виде программно-аппаратных модулей, устанавливаемых в коммуникационное оборудование, а также в виде программных модулей, встроенных в операционные системы. Они выполняют функции диагностики и управления только одним устройством, и в этом их основное отличие от централизованных систем управления. Примером средств этого класса может служить модуль управления концентратором Distrebuted 5000, реализующий функции автосегментации портов при обнаружении неисправностей, приписывания портов внутренним сегментам концентратора и некоторые другие. Как правило, встроенные модули управления "по совместительству" выполняют роль SNMP-агентов, поставляющих данные о состоянии устройства для систем управления.

Анализаторы протоколов (Protocolanalyzers). Представляют собой программные или аппаратно-программные системы, которые ограничиваются в отличие от систем управления лишь функциями мониторинга и анализа трафика в сетях. Хороший анализатор протоколов может захватывать и декодировать пакеты большого количества протоколов, применяемых в сетях - обычно несколько десятков. Анализаторы протоколов позволяют установить некоторые логические условия для захвата отдельных пакетов и выполняют полное декодирование захваченных пакетов, то есть показывают в удобной для специалиста форме вложенность пакетов протоколов разных уровней друг в друга с расшифровкой содержания отдельных полей каждого пакета.

Оборудование для диагностики и сертификации кабельных систем. Условно это оборудование можно поделить на четыре основные группы: сетевые мониторы, приборы для сертификации кабельных систем, кабельные сканеры и тестеры (мультиметры).

Сетевые мониторы (называемые также сетевыми анализаторами) предназначены для тестирования кабелей различных категорий. Следует различать сетевые мониторы и анализаторы протоколов. Сетевые мониторы собирают данные только о статистических показателях трафика - средней интенсивности общего трафика сети, средней интенсивности потока пакетов с определенным типом ошибки и т.п.

Назначение устройств для сертификации кабельных систем, непосредственно следует из их названия. Сертификация выполняется в соответствии с требованиями одного из международных стандартов на кабельные системы.

Кабельные сканеры используются для диагностики медных кабельных систем.

Тестеры предназначены для проверки кабелей на отсутствие физического разрыва.

Экспертные системы. Этот вид систем аккумулирует человеческие знания о выявлении причин аномальной работы сетей и возможных способах приведения сети в работоспособное состояние. Экспертные системы часто реализуются в виде отдельных подсистем различных средств мониторинга и анализа сетей: систем управления сетями, анализаторов протоколов, сетевых анализаторов. Простейшим вариантом экспертной системы является контекстно-зависимая help-система. Более сложные экспертные системы представляют собой так называемые базы знаний, обладающие элементами искусственного интеллекта. Примером такой системы является экспертная система, встроенная в систему управления Spectrum компании Cabletron.

Многофункциональные устройства анализа и диагностики. В последние годы, в связи с повсеместным распространением локальных сетей возникла необходимость разработки недорогих портативных приборов, совмещающих функции нескольких устройств: анализаторов протоколов, кабельных сканеров и, даже, некоторых возможностей ПО сетевого управления. В качестве примера такого рода устройств можно привести Compas компании MicrotestInc. или 675 LANMeterкомпании FlukeCorp.

На сегодня существует несколько стандартов на базы данных управляющей информации. Основными являются стандарты MIB-I и MIB-II, а также версия базы данных для удаленного управления RMONMIB. Кроме этого, существуют стандарты для специальных MIB устройств конкретного типа (например, MIB для концентраторов или MIB для модемов), а также частные MIB конкретных фирм-производителей оборудования.

Первоначальная спецификация MIB-I определяла только операции чтения значений переменных. Операции изменения или установки значений объекта являются частью спецификаций MIB-II.

Версия MIB-I (RFC 1156) определяет до 114 объектов, которые подразделяются на 8 групп:

System - общие данные об устройстве (например, идентификатор поставщика, время последней инициализации системы).

Interfaces - описываются параметры сетевых интерфейсов устройства (например, их количество, типы, скорости обмена, максимальный размер пакета).

AddressTranslationTable - описывается соответствие между сетевыми и физическими адресами (например, по протоколу ARP).

InternetProtocol - данные, относящиеся к протоколу IP (адреса IP-шлюзов, хостов, статистика об IP-пакетах).

ICMP - данные, относящиеся к протоколу обмена управляющими сообщениями ICMP.

TCP - данные, относящиеся к протоколу TCP (например, о TCP-соединениях).

UDP - данные, относящиеся к протоколу UDP (число переданных, принятых и ошибочных UPD-дейтаграмм).

EGP - данные, относящиеся к протоколу обмена маршрутной информацией ExteriorGatewayProtocol, используемому в сети Internet (число принятых с ошибками и без ошибок сообщений).

Из этого перечня групп переменных видно, что стандарт MIB-I разрабатывался с жесткой ориентацией на управление маршрутизаторами, поддерживающими протоколы стека TCP/IP.

В версии MIB-II (RFC 1213), принятой в 1992 году, был существенно (до 185) расширен набор стандартных объектов, а число групп увеличилось до 10.

Новейшим добавлением к функциональным возможностям SNMP является спецификация RMON, которая обеспечивает удаленное взаимодействие с базой MIB. До появления RMON протокол SNMP не мог использоваться удаленным образом, он допускал только локальное управление устройствами. База RMONMIB обладает улучшенным набором свойств для удаленного управления, так как содержит агрегированную информацию об устройстве, что не требует передачи по сети больших объемов информации. Объекты RMONMIB включают дополнительные счетчики ошибок в пакетах, более гибкие средства анализа графических трендов и статистики, более мощные средства фильтрации для захвата и анализа отдельных пакетов, а также более сложные условия установления сигналов предупреждения. Агенты RMONMIB более интеллектуальны по сравнению с агентами MIB-I или MIB-II и выполняют значительную часть работы по обработке информации об устройстве, которую раньше выполняли менеджеры. Эти агенты могут располагаться внутри различных коммуникационных устройств, а также быть выполнены в виде отдельных программных модулей, работающих на универсальных ПК и ноутбуках (примером может служить LANalyzerNovell).

Объекту RMON присвоен номер 16 в наборе объектов MIB, а сам объект RMON объединяет 10 групп следующих объектов:

Statistics - текущие накопленные статистические данные о характеристиках пакетов, количестве коллизий и т.п.

History - статистические данные, сохраненные через определенные промежутки времени для последующего анализа тенденций их изменений.

Alarms - пороговые значения статистических показателей, при превышении которых агент RMON посылает сообщение менеджеру.

Host - данных о хостах сети, в том числе и об их MAC-адресах.

HostTopN - таблица наиболее загруженных хостов сети.

TrafficMatrix - статистика об интенсивности трафика между каждой парой хостов сети, упорядоченная в виде матрицы.

Filter - условия фильтрации пакетов.

PacketCapture - условия захвата пакетов.

Event - условия регистрации и генерации событий.

Данные группы пронумерованы в указанном порядке, поэтому, например, группа Hosts имеет числовое имя 1.3.6.1.2.1.16.4.

Десятую группу составляют специальные объекты протокола TokenRing.

Всего стандарт RMONMIB определяет около 200 объектов в 10 группах, зафиксированных в двух документах - RFC 1271 для сетей Ethernet и RFC 1513 для сетей TokenRing.

Отличительной чертой стандарта RMONMIB является его независимость от протокола сетевого уровня (в отличие от стандартов MIB-I и MIB-II, ориентированных на протоколы TCP/IP). Поэтому, его удобно использовать в гетерогенных средах, использующих различные протоколы сетевого уровня.

 

10.2. Анализаторы протоколов

 

Наиболее совершенным средством исследования сети является анализатор протоколов. Процесс анализа протоколов включает захват циркулирующих в сети пакетов, реализующих тот или иной сетевой протокол, и изучение содержимого этих пакетов. Основываясь на результатах анализа, можно осуществлять обоснованное и взвешенное изменение каких-либо компонент сети, оптимизацию ее производительности, поиск и устранение неполадок. Очевидно, что для того, чтобы можно было сделать какие-либо выводы о влиянии некоторого изменения на сеть, необходимо выполнить анализ протоколов и до, и после внесения изменения.

Анализатор протоколов представляет собой либо самостоятельное специализированное устройство, либо персональный компьютер, обычно переносной, класса Notebook, оснащенный специальной сетевой картой и соответствующим программным обеспечением. Применяемые сетевая карта и программное обеспечение должны соответствовать топологии сети (кольцо, шина, звезда). Анализатор подключается к сети точно также, как и обычный узел. Отличие состоит в том, что анализатор может принимать все пакеты данных, передаваемые по сети, в то время как обычная станция - только адресованные ей. Программное обеспечение анализатора состоит из ядра, поддерживающего работу сетевого адаптера и декодирующего получаемые данные, и дополнительного программного кода, зависящего от типа топологии исследуемой сети. Кроме того, поставляется ряд процедур декодирования, ориентированных на определенный протокол, например, IPX. В состав некоторых анализаторов может входить также экспертная система, которая может выдавать пользователю рекомендации о том, какие эксперименты следует проводить в данной ситуации, что могут означать те или иные результаты измерений, как устранить некоторые виды неисправности сети.

Несмотря на относительное многообразие анализаторов протоколов, представленных на рынке, можно назвать некоторые черты, в той или иной мере присущие всем им:

Пользовательский интерфейс. Большинство анализаторов имеют развитый дружественный интерфейс, базирующийся, как правило, на Windows или Motif. Этот интерфейс позволяет пользователю: выводить результаты анализа интенсивности трафика; получать мгновенную и усредненную статистическую оценку производительности сети; задавать определенные события и критические ситуации для отслеживания их возникновения; производить декодирование протоколов разного уровня и представлять в понятной форме содержимое пакетов.

Буфер захвата. Буферы различных анализаторов отличаются по объему. Буфер может располагаться на устанавливаемой сетевой карте, либо для него может быть отведено место в оперативной памяти одного из компьютеров сети. Если буфер расположен на сетевой карте, то управление им осуществляется аппаратно, и за счет этого скорость ввода повышается. Однако это приводит к удорожанию анализатора. В случае недостаточной производительности процедуры захвата, часть информации будет теряться, и анализ будет невозможен. Размер буфера определяет возможности анализа по более или менее представительным выборкам захватываемых данных. Но каким бы большим ни был буфер захвата, рано или поздно он заполнится. В этом случае либо прекращается захват, либо заполнение начинается с начала буфера.

Фильтры. Фильтры позволяют управлять процессом захвата данных, и, тем самым, позволяют экономить пространство буфера. В зависимости от значения определенных полей пакета, заданных в виде условия фильтрации, пакет либо игнорируется, либо записывается в буфер захвата. Использование фильтров значительно ускоряет и упрощает анализ, так как исключает просмотр ненужных в данный момент пакетов.

Переключатели - это задаваемые оператором некоторые условия начала и прекращения процесса захвата данных из сети. Такими условиями могут быть выполнение ручных команд запуска и остановки процесса захвата, время суток, продолжительность процесса захвата, появление определенных значений в кадрах данных. Переключатели могут использоваться совместно с фильтрами, позволяя более детально и тонко проводить анализ, а также продуктивнее использовать ограниченный объем буфера захвата.

Поиск. Некоторые анализаторы протоколов позволяют автоматизировать просмотр информации, находящейся в буфере, и находить в ней данные по заданным критериям. В то время, как фильтры проверяют входной поток на предмет соответствия условиям фильтрации, функции поиска применяются к уже накопленным в буфере данным.

Методология проведения анализа может быть представлена в виде следующих шести этапов:

I. Захват данных.

II. Просмотр захваченных данных.

III. Анализ данных.

IV. Поиск ошибок. (Большинство анализаторов облегчают эту работу, определяя типы ошибок и идентифицируя станцию, от которой пришел пакет с ошибкой.)

V. Исследование производительности. Рассчитывается коэффициент использования пропускной способности сети или среднее время реакции на запрос.

VI. Подробное исследование отдельных участков сети. Содержание этого этапа конкретизируется по мере того, как проводится анализ.

 

Существуют также специальные программные средства, предназначенные для моделирования сетей, а также специализированные платформы, предназначенные для мониторинга сетевых ресурсов.

 

10.3. Описание программы Wireshark

 

Wireshark - это программный анализатор трафика, который позволяет перехватывать информационные потоки, передаваемые по сети. Программа в первую очередь предназначена для сбора информации о сетевых взаимодействиях и для обнаружения и устранения неполадок в сети. Анализаторы трафика (сниферы) так же часто применяются при разработке новых протоколов и программного обеспечения и в образовательных целях.

Установленная и запущенная на компьютере программа Wireshark позволяет обнаружить и изучить любой протокольный блок данный (Protocol Data Unit, PDU), который был отправлен или получен с помощью любого из установленных на компьютере сетевых адаптеров (Network Interface Card, NIC).

Программа позволяет отслеживать весь исходящий по сети трафик, используя для сетевой карты так называемый «широковещательный режим». Возможности программы несколько напоминают небезызвестное приложение TCP Dump, однако, по сравнению с ним, обладает более расширенной функциональностью касательно сортировки, поиска и фильтрования необходимой информации. Отслеживание информации тем более удобно, что все представление трафика показывается в графическом режиме. Также программа имеет отличные возможности в поддержке протоколов DNS, FDDI, FTP, HTTP, ICQ, IPV6, IPX, IRC, MAPI, MOUNT, NETBIOS, NFS, NNTP, POP, PPP, TCP, TELNET, X25 и т. д. К тому же, приложение обладает и расширенными возможностями захвата, которые, прежде всего, определяются тем, что программа способна открывать файлы, захваченные с использованием других программ. Ко всему прочему, распознавание большого числа различных протоколов делает программу универсальной, поскольку в ней изначально заложена возможность отображения информации сетевого пакета с анализом значение каждого поля протокола любых уровней. И хоть для захвата данных и используется собственный протокол программы PCAP, тем не менее, она работает со многими форматами именно входных данных. Для формирования своего графического интерфейса приложение использует библиотеку GTK+, что и дает возможность работать с большим количеством входных форматов. Вообще, стоит сказать, что приложение эффективно при условии использовании в сегменте именно концентраторов (хабов), а не коммутаторов (свитчей). В противном случае метод анализа исходящего трафика малоэффективен, поскольку на снифер попадают лишь отдельные фреймы.

 

10.3.1. Установка программы

 

Наиболее стабильную версию программы (v1.0.6-1.0.7) можно скачать по адресу компании-разработчика программы http://www.wireshark.org/download.html.

Для установки программы необходимо запустить скачанный файл wireshark-setup-1.0.6.exe и в появившемся окне выбрать Next>.

Рис. 10 1.

 

Далее Вам необходимо согласить с выбранными по умолчанию компонентами, предложенными для установки:

Рис. 10. 2

 

Далее соглашаемся с выбранными параметрами установки программы и выбираем путь для инсталляции:

Рис. 10.3

 

Процесс установки начался, далее инсталлятор попросит установить WinPcap 4.0.2 – соглашаемся:

Рис. 10. 4.

 

Для завершения процесса инсталляции программы нажмите Finish.

Рис.10. 5.

10.3.2. Первый запуск и начало работы с программой

Для начала сборки перехваченных программой пакетов сообщений по сети, необходимо выбрать пункт главного меню Capture>Interfaces или кнопку на верхней панели инструментов List the available capture interfaces – после этого на экране появится следующее диалоговое окно (рис. 10.6)

 

Рис.10. 6. Диалоговое окно

 

Рис.10. 7.

 

С помощью кнопки Options (рис. 10.7) возможна установка желаемых параметров работы программы. Для того, чтобы начать процедура захвата, Вам необходимо нажать кнопку Start, после чего интерфейс программы примет следующий вид:

Рис.10. 8.

 

Как видно из рис. 10.8, подобно другим анализаторам протоколов, окно Wireshark включает в себя 3 области просмотра с различными уровнями детализации. Верхнее окно содержит список собранных пакетов с кратким описанием, в среднем окне показывается дерево протоколов, инкапсулированных в кадр. Ветви дерева могут быть раскрыты для повышения уровня детализации выбранного протокола. Последнее окно содержит дамп пакета в шестнадцатеричном или текстовом представлении. Программа Wireshark представляет пользователю ряд уникальных возможностей, не поддерживаемых другими анализаторами протоколов. Программа обеспечивает возможность сбора всех пакетов заданного соединения TCP и представления данных в удобном для просмотра формате.

10.3.3. Настройка программы и запуск захвата трафика.

Рассмотрим функционал стартового интерфейса программы. Номера нижеследующего списка соответствуют выделенным белыми цифрами на рис. 10.9 областям:

1) Кнопка, при нажатии на которую программа выведет список активных сетевых адаптеров (рис.10.10), с которых возможен захват трафика. Список имеет вид интерактивной таблицы.

2) Список активных сетевых интерфейсов. Нажатие на любой интерфейс из списка немедленно запустит процесс захвата трафика.

3) Кнопка, при нажатии на которую программа выведет окно настроек процесса захвата трафика.

4) Кнопка, позволяющая загружать в программу захваченный ранее и сохраненный файл с отчетом о захваченном сетевом трафике.

 

Рис.10. 9. Стартовый интерфейс программы.

 

 

Рис. 10.10. Список активных сетевых адаптеров.

 

Список активных адаптеров имеет вид интерактивной таблицы со следующими полями:

Таблица 9

Поле таблицы	Описание
Description	Описание адаптера
IP	Сетевой интерфейс (если есть)
Packets	Количество захваченных блоков данных (PDU) с момента вызова таблицы
Packets/s	Скорость обработки (приема и отправки) пакетов

 

 

Также напротив каждого интерфейса расположены 3 кнопки: start с функцией начать захват трафика, options, с помощью которой вызывается окно настроек захвата трафика, и details, отвечающая за отображение подробной информации о сетевом адаптере.

 

Рис.10.11. Окно настроек захвата сетевого трафика.

 

Описание функционала выделенных черными цифрами областей на рис. 10.11:

Выбор интерфейса для захвата трафика. (1)

В этой области расположены два выпадающих меню: левое определяет тип используемого интерфейса (локальный или удаленный – local/remote), а правое определяет сам интерфейс.

Захват пакетов в режиме всех сетевых пакетов (Capture packets in promiscuous mode). (2)

Если эта опция включена, программа будет захватывать все PDU, которые принимает сетевой адаптер. Если опция отключена, программа будет захватывать только PDU, предназначенные компьютеру, на котором она установлена.

Опции отображения захвата пакетов (3):

Update list in real time – обновление списка в режиме реального времени. Если эта опция включена, то программа отображает захваченный трафик в реальном времени.

Automatic scrolling in live capture - автоматическая прокрутка при захвате. Если эта опция включена, программа будет автоматически удерживать в окне вывода захваченной информации последние захваченные PDU.

Hide capture info dialog – скрыть информационно-диалоговое окно захвата. Если эта опция включена, то информационно-диалоговое окно захвата (рис. 10.12) не выводится.

Опции преобразования имен (4):

Enable MAC name resolution – включить преобразование MAC-адресов. Эта опция включает автоматическое преобразование адресов устройств в более понятный для человека формат. Например, 00:09:5b:01:02:03 -> Netgear_01:02:03. Выделенная часть сетевого интерфейса закреплена за производителем Netgear, поэтому была преобразована программой в название производителя.

Особенность: если включена опция преобразования сетевых имен, то в некоторых случаях программа выводит DNS-имя вместо MAC-адреса.

Enable network name resolution – включить преобразование сетевых имен. Эта опция включает автоматическое преобразование адресов устройств в DNS-имена устройств. Например: 216.239.37.99 -> www.google.com.

Enable transport name resolution – включить преобразование TCP/UDP портов. Эта опция включает автоматическое преобразование TCP/UDP, закрепленных за определенными протоколами портов в названия этих протоколов. Например: 80 -> http.

 

Рис.10.12. Информационно-диалоговое окно захвата.

 

Список активных адаптеров имеет вид интерактивной таблицы со следующими столбцами (слева-направо)

· Имя протокола (в таблице представлены наиболее распространенные)

· Количество захваченных PDU определенного протокола

· Графическое и числовое отображение процентного соотношения захваченных PDU конкретного протокола с общим числом захваченных PDU

Параметр Total отображает общее число захваченных пакетов, а параметр Running – время, на протяжении которого ведется захват пакетов.

 

10.3.4. Главное рабочее окно программы

 

После выбора интерфейса и запуска захвата PDU программа вызовет окно, показанное на рис. 10.13.

 

Рис.10 13. Окно отображения захваченного трафика.

 

Функционал отмеченных черными цифрами областей:

1) Меню программы и панель инструментов (рис. 10.14), предоставляющая доступ к наиболее часто используемым функциям программы

2) Фильтр, позволяющий производить выборочный захват пакетов

3) Поле списка PDU, в котором отображается информация по всем захваченным пакетам

4) Информационное поле, в котором отображается подробная информация по выбранному PDU

5) Поле, в котором отображаются данные, выделенные в информационном поле в шестнадцатеричной и текстовой формах

 

Рис.10.14. Панель инструментов

 

Таблица 10

10.3.5. Фильтр. Построение фильтров

Фильтр позволяет настроить программу Wireshark на отображение только определённого, удовлетворяющего условиям текущего примененного фильтра сетевого трафика. Фильтр может применяться как при захвате трафика в реальном времени, так и при анализе захвата, сохранённого в файле.

 

Рис.10.15. Панель фильтра

 

Таблица 11

Для применения фильтра необходимо ввести фильтр в поле ввода и нажать кнопку «Apply».

Если фильтр введён в соответствии с правилами построения фильтров, то цвет поля ввода будет зелёным, если фильтр введён с ошибкой – красным (Рис. 10.16).

а)	б)
Рис.10.16. Фильтр введен а) правильно, б) с ошибкой.

Фильтрацию, применяемую в программе Wireshark можно условно разделить на две категории:

• Фильтрация по определённым протоколам.

• Фильтрация по определённым значениям полей в заголовках протоколов.

Для применения фильтрации по определённому протоколу необходимо ввести имя протокола в поле ввода фильтра.

Пример выполнения фильтрации по протоколу HTTP показан на рисунках 10.17 и 10.18.

 

Рис. 10.17. Вывод программы до применения фильтра.

Рис. 10.18. Вывод программы после применения фильтра.

 

Фильтрация по определённому значению поля в заголовках протоколов строится по следующему синтаксису:

"Поле", "Оператор сравнения", "Значение".

Операторы сравнения и некоторые обозначения полей, которые могут использоваться при построении фильтров, представлены в таблицах 12 и 13.

 

Таблица 12

Обозначения полей при построении фильтров

Поле	Описание
eth.addr	физический адрес источника или получателя в кадре протокола Ethernet
eth.dst	физический адрес получателя в кадре протокола Ethernet
eth.src	физический адрес источника в кадре протокола Ethernet
eth.len	длина кадра протокола Ethernet
ip.addr	сетевой адрес источника или получателя в пакете протокола IP
ip.dst	сетевой адрес получателя в пакете протокола IP
ip.src	сетевой адрес источника в пакете протокола IP
ip.proto	обозначение протокола, который был инкапсулирован в пакет IP
tcp.ack	подтверждение (ACK) протокола TCP
tcp.port	порт источника или получателя в сегменте протокола TCP
tcp.dstport	порт получателя в сегменте протокола TCP
tcp.scrport	порт источника в сегменте протокола TCP
udp.port	порт источника или получателя в сегменте протокола UDP
udp.dstport	порт получателя в сегменте протокола UDP
udp.scrport	порт источника в сегменте протокола UDP
dns.qry.name	имя сетевого ресурса в DNS-запросе
dns.resp.name	имя сетевого ресурса в DNS-ответе

 

Таблица 13

Операторы сравнения

Оператор	Значение	Примеры
= =	eq	равно	ip.addr= =192.168.1.1 отображать только те пакеты протокола IP, в которых сетевой адрес отправителя или получателя равен 192.168.1.1   eth.dst= =ff:ff:ff:ff:ff:ff отображать только широковещательные (broadcast) кадры протокола Ethernet
!=	ne	неравно	ip.dst!=255.255.255.255 не отображать широковещательные (broadcast) пакеты протокола IP
>	gt	больше	tcp.dstport>10000 отображать только те сегменты протокола TCP, в которых порт получателя больше 10000
<	lt	меньше	tcp.dstport<1024 отображать только те датаграммы протокола UDP, в которых порт получателя меньше 1024

 

При построении фильтра можно использовать два и более условия, используя логические операторы. Комбинирование условий при построении операторов производится по следующему принципу: «условие1, логический оператор, условие2, логический оператор».

Таблица 14

Логические операторы

Оператор	Значение	Примеры
&&	and	И	ip.src= =192.168.1.1 && ip.dst= =192.168.1.10 отображать только сообщения, отправленные устройством с сетевым адресом 192.168.1.1 для устройства с сетевым адресом 192.168.1.10
||	or	ИЛИ	eth.dst= =ff.ff.ff.ff.ff.ff || ip.dst= =255.255.255.255 отображать только широковещательные кадры протокола Ethernet или пакеты протокола IP
!	not	НЕ (отрицание)	!arp не отображать PDU протокола ARP

 

10.3.6. Поля и списки

В поле списка захваченных PDU выводится сводная информация по всему трафику, захваченному с помощью программы WireShark (рис. 10.19)

Рис.10.19. Поле списка захваченных PDU.

 

Сводная информация выводится в виде таблицы со следующими полями:

 

Таблица 15

Поле таблицы	Описание
No.	Порядковый номер захваченного PDU. При использовании фильтра порядковый номер не изменяется
Time	Временная отметка, обозначающая время (в секундах), прошедшее с момента начала захвата PDU
Source	Сетевой адрес отправителя
Destination	Сетевой адрес получателя
Protocol	Протокол
Info	Дополнительная информация о захваченном PDU

 

В информационном поле (рис. 10.20) отображается подробная информация о захваченном PDU, выделенном в поле списка захваченных PDU.

Рис. 10.20. Информационное поле программыю

 

Выделенные черными цифрами области на рис. 10.20 отображают: выделенную запись в листе списка захваченных PDU (1), запись выделяется одинарным нажатием левой клавиши мыши (программа помечает текущую выделенную запись серым цветом); и подробную информацию о выделенном PDU (2).

Информация о выделенном PDU выводится в виде иерархического списка. Иерархия списка соответствует порядку инкапсуляции данных, применяемой при использовании протоколов стека TCP/IP для передачи информации между устройствами. Пример приведен на рис. 10.21.

Рис. 10.21. Информация о захваченном PDU протокола HTTP.

 

Черными цифрами на рис. 10.21 отмечены следующие области:

1) выделенное PDU в поле списка захваченных PDU, по умолчанию программы строка выделяется серым цветом;

2) «+ Frame 1417» – это вложенный список, содержащий справочную информацию о захваченном PDU (время захвата, длина пакета и т.п.);

3) «+ Ethernet II» - это вложенный список, содержащий информацию о заголовке протокола канального уровня (DataLink). В данном случае это протокол Ethernet;

4) «+ Internet Protocol» - это вложенный список, содержащий информацию о заголовке протокола сетевого уровня (Network). В данном случае это протокол IP;

5) «+ Transmission Control Protocol» - это вложенный список, содержащий информацию о заголовке протокола транспортного уровня (Transport). В данном случае это протокол TCP;

6) «+ Hypertext Transfer Protocol» - это вложенный список, содержащий информацию о заголовке протокола прикладного уровня (Application). В данном случае это протокол HTTP.

 

Каждый вложенный список представляет собой последовательность полей (всех или только основных), содержащихся в заголовке протокола, используемого при инкапсуляции данных. Порядок в списке соответствует порядку полей в заголовке протокола.

Для протокола Ethernet стандарты определяют проводные соединения и электрические сигналы на физическом уровне, а формат кадров и протоколы управления доступом к среде – на канальном уровне модели OSI.

Схематичное изображение кадра протокола Ethernet и соответствующий вид окна программы WireShark показаны на рис. 10.22

Рис. 10.23. Поля заголовка кадра протокола Ethernet.

 

Информацию в заголовках можно интерпретировать следующим образом:

§ «Ethernet II» - это кадр протокола Ethernet;

§ «Srс:Foxconn_be:6a:27 (00:01:6c:be:5a:27)» - физический адрес устройства отправителя 00:01:6c:be:5a:27 (поле Source), производитель сетевой карты – компания Foxconn;

§ «Dct:lt-server.olacc.mltht.ru (00:04:23:bf:bc:19)» - физический адрес устройства получателя 00:04:23:bf:bc:19 (поле Destination), DNS-имя устройства - lt-server.olacc.mltht.ru;

§ «Type:IP (0x0800)» - на сетевом уровне используется протокол IPv4. Значение этого поля позволяет устройству определить, какому протоколу сетевого уровня следует дальше передать полученное PDU. В данном случае это протокол IP. Другие наиболее часто встречающиеся значения поля Type: 0х0806-ARP, 0x86DD-IPv6.

Протокол IP относится к сетевому уровню и обеспечивает систему глобальной логической адресации для устройств в сети. Схематичное изображение заголовка пакета протокола IP и соответствующий вывод программы Wireshark показаны на рисунке 10.24. Тёмно-серым цветом выделены поля, выводимые программой.

Рис.10.24. Поля заголовка пакета протокола IP.

 

Информацию в заголовках можно интерпретировать следующим образом:

§ «Internet Protocol» - это пакет протокола IP;

§ «src:172:16:1:50 (172:16:1:50)» - это сетевой адрес устройства отправителя 172:16:1:50 (поле Source);

§ «dst:tessie.mitht.ru (193.232.216.7)» - это сетевой адрес устройства получателя 193.232.216.7, DNS-имя устройства получается - tessie.mitht.ru (поле Destination);

§ «time to live:128» - максимально возможное к