6-Amaliy ish Mavzu: Razvedka hujumini amalga oshirishni o‘rganish: Tarmoq snifferlaridan foydalanish Ishdan maqsad: Tarmoq trafigini tahlil qilish tamoyillarini bilish. Tarmoq snifferidan foydalanishni o'rganish. ARP, IP va ICMP protokollari misolida tarmoq trafigini tahlil qilishni o'rganish.
Nazariy qism Sniffer (ingliz tilidan sniff) - tarmoq trafigi analizatori, dastur yoki dasturiy ta'minot va apparat qurilmasi bo'lib, uni ushlab, keyin tahlil qilish yoki faqat boshqa tugunlar uchun mo'ljallangan tarmoq trafigini tahlil qilish uchun mo'ljallangan.
Trafikni quyidagi hollarda ushlab qolish mumkin:
* tarmoq interfeysini odatiy "tinglash" orqali (usul kalitlar (svichi) o'rniga Hub segmentida ishlatilganda samarali bo'ladi, aks holda usul samarasiz, chunki faqat alohida freymlar snifferga tushadi);
* snifferni kanal bo'shlig'iga ulash;
* tarmoqli (dasturiy ta'minot yoki apparat) trafikni va uning nusxasini snifferga yuborish;
* yon elektromagnit nurlanishni tahlil qilish va shu tariqa tinglangan trafikni tiklash;
* kanal (2) yoki tarmoq (3) darajasidagi hujum orqali jabrlanuvchining trafigini yoki segmentning barcha trafigini snifferga yo'naltirishga olib keladi, so'ngra trafikni tegishli manzilga qaytaradi.
Sniffers ham yaxshi, ham g‘arazli maqsadlarda qo'llaniladi.
Sniffer orqali o'tgan trafikni tahlil qilish quyidagilarga imkon beradi:
Ilovalarning tarmoq faoliyatini kuzatib borish.
Tarmoq dasturlari protokollarini disk raskadrovka qilish.
Nosozlik yoki konfiguratsiya xatosini lokalizatsiya qilish.
Parazit, virusli va halqali trafikni aniqlash, ularning mavjudligi tarmoq uskunalari va aloqa kanallarining yukini oshiradi.
Tarmoqdagi zararli va ruxsatsiz dasturlarni, masalan, tarmoq skanerlari, troyan dasturlari, foydalanuvchilararo tarmoq mijozlari va boshqalarni aniqlash.
Parollar va boshqa ma'lumotlarni tanib olish uchun har qanday shifrlanmagan (va ba'zan shifrlangan) foydalanuvchi trafigini ushlab turish.
Amaliy ish
Paketlarni ushlash uchun tarmoq snifferidan foydalanib ko’riladi. Buning uchun Cisco Packek Tracer dasturi ishga tushiriladi. Dastur oynasida local tarmoq quladi(6.1-rasm). Kompyuterlar, router va serverga mos IP manzil beriladi.
6.1-rasm. Lokal tarmoq sxemasi
4-kompyuter buyruqlar satridan “arp –a” buyrug’i beriladi. Ekranda “No ARP” yozuvi ko’rinadi. So’ngra “ping 192.168.1.3” so’rovi kiritiladi. So’rovga javob qabul qilingach. Yana “arp –a” buyrug’i kiritiladi. Ekranda :
C:\>arp -a Internet Address Physical Address Type
192.168.1.3 0001.c78d.2359 dynamic
Yozuvlari paydo bo’ladi. Bu kompyuter yonidagi kompyuter ip manzil va mac manzini eslab qolganini bildiradi.(6.2-rasm)
6.2-rasm. Kompyuterda arp tekshirish
Keyin qolgan kompyuterlar va router ip manziliga so’rov yuboriladi. ARP so’rovi esa quyidagicha bo’ladi”
Packet Tracer PC Command Line 1.0
C:\>arp -a
No ARP Entries Found
C:\>ping 192.168.1.3
Pinging 192.168.1.3 with 32 bytes of data:
Reply from 192.168.1.3: bytes=32 time=121ms TTL=128
Reply from 192.168.1.3: bytes=32 time<1ms TTL=128
Reply from 192.168.1.3: bytes=32 time<1ms TTL=128
Reply from 192.168.1.3: bytes=32 time<1ms TTL=128
Ping statistics for 192.168.1.3:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 121ms, Average = 30ms