diff --git a/README.md b/README.md index 8b57430..4e5fda4 100644 --- a/README.md +++ b/README.md @@ -14,5 +14,5 @@ - November - [x] [Vocabulary](./november/vocabulary.md) - - [ ] [4.2.6 Лабораторна робота – Перегляд захопленого трафіку у Wireshark](./november/lab-4.2.6.md) + - [x] [4.2.6 Лабораторна робота – Перегляд захопленого трафіку у Wireshark](./november/lab-4.2.6.md) - [ ] [4.2.7 Лабораторна робота - Використання Wireshark для перевірки кадрів Ethernet](./november/lab-4.2.7.md) \ No newline at end of file diff --git a/november/assets/lab-4.2.6-1.png b/november/assets/lab-4.2.6-1.png new file mode 100644 index 0000000..0938eb4 Binary files /dev/null and b/november/assets/lab-4.2.6-1.png differ diff --git a/november/assets/lab-4.2.6-2.png b/november/assets/lab-4.2.6-2.png new file mode 100644 index 0000000..3722d71 Binary files /dev/null and b/november/assets/lab-4.2.6-2.png differ diff --git a/november/lab-4.2.6.md b/november/lab-4.2.6.md new file mode 100644 index 0000000..aec882b --- /dev/null +++ b/november/lab-4.2.6.md @@ -0,0 +1,127 @@ +# 4.2.6 Лабораторна робота – Перегляд захопленого трафіку у Wireshark + +## Довідкова інформація / Сценарій + +Протокол визначення адрес (Address Resolution Protocol, ARP) використовується TCP/IP для зіставлення адреси IP Рівня 3 з MAC-адресою Рівня 2. Коли кадр Ethernet передається в мережі, він повинен мати MAC-адресу призначення.Щоб динамічно виявити MAC-адресу відомого пункту призначення, пристрій-джерело надсилає широкомовний ARP-запит у локальній мережі.Пристрій, на якому налаштовано IPv4-адресу призначення, відповідає на запит ARP-відповіддю, а MAC-адреса записується в ARP-кеш. + +Кожен пристрій в локальній мережі підтримує власний ARP-кеш. ARP-кеш - це невелика область оперативної пам’яті, яка зберігає ARP-відповіді. Перегляд ARP-кешу на ПК показує IPv4- та MAC-адреси кожного пристрою в локальній мережі, з яким ПК обмінювався ARP-повідомленнями. + +Wireshark - це програмний аналізатор протоколів або програма «пакетний сніфер», що використовується для пошуку та усунення несправностей мережі, аналізу повідомлень, розробки програм та протоколів, а також для навчання. Коли потоки даних проходять через мережу, сніффер «перехоплює» кожну одиницю даних протоколу (PDU) і може декодувати та аналізувати їхній вміст відповідно до специфікацій протоколу. + +Wireshark є корисним інструментом для всіх, хто працює з мережами, і його можна використовувати в більшості лабораторних робіт на курсах Cisco для аналізу даних та усунення несправностей. В цій лабораторній роботі даються інструкції щодо завантаження та встановлення Wireshark, хоча застосунок вже може бути встановлений. У цій лабораторній роботі ви будете використовувати Wireshark для перехоплення ARP-повідомлень в локальній мережі. + +## Необхідні ресурси + +- 1 ПК (Windows 10) +- Доступ до Інтернету +- Інші ПК у локальній мережі (LAN) використовуватимуться для відповіді на запити ping. Якщо в локальній мережі немає інших ПК, адреса шлюзу за замовчуванням використовуватиметься для відповіді на запити ping. + +## Перебіг виконання + +### Частина 1: Завантаження та встановлення Wireshark + +Wireshark у мене вже був встановлений, тож я пропущу цю частину. + +### Частина 2: Захоплення та аналіз даних ARP у Wireshark + +### Крок 1: Отримайте адреси інтерфейсу вашого ПК + +```bat +ipconfig /all + +Windows IP Configuration + + Host Name . . . . . . . . . . . . : hitori + Primary Dns Suffix . . . . . . . : + Node Type . . . . . . . . . . . . : Hybrid + IP Routing Enabled. . . . . . . . : No + WINS Proxy Enabled. . . . . . . . : No + DNS Suffix Search List. . . . . . : router.local + +Ethernet adapter Ethernet: + + Connection-specific DNS Suffix . : router.local + Description . . . . . . . . . . . : Realtek PCIe 2.5GbE Family Controller + Physical Address. . . . . . . . . : XX-XX-XX-XX-16-F6 + DHCP Enabled. . . . . . . . . . . : Yes + Autoconfiguration Enabled . . . . : Yes + Link-local IPv6 Address . . . . . : fe80::f8fb:4c34:453f:f3ab%7(Preferred) + IPv4 Address. . . . . . . . . . . : 192.168.1.239(Preferred) + Subnet Mask . . . . . . . . . . . : 255.255.255.0 + Lease Obtained. . . . . . . . . . : 18 листопада 2025 р. 21:00:26 + Lease Expires . . . . . . . . . . : 19 листопада 2025 р. 21:00:22 + Default Gateway . . . . . . . . . : 192.168.1.1 + DHCP Server . . . . . . . . . . . : 192.168.1.1 + DHCPv6 IAID . . . . . . . . . . . : 82353189 + DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-2E-CA-99-38-E8-9C-25-DC-16-F6 + DNS Servers . . . . . . . . . . . : 192.168.1.3 + 1.1.1.1 + Primary WINS Server . . . . . . . : 192.168.1.1 + NetBIOS over Tcpip. . . . . . . . : Enabled + +Unknown adapter Підключення через локальну мережу: + + Media State . . . . . . . . . . . : Media disconnected + Connection-specific DNS Suffix . : + Description . . . . . . . . . . . : TAP-Windows Adapter V9 + Physical Address. . . . . . . . . : XX-XX-XX-XX-DD-98 + DHCP Enabled. . . . . . . . . . . : Yes + Autoconfiguration Enabled . . . . : Yes +``` + +Тобто IPv4 адреса мого ПК - `192.168.1.239`, а MAC-адреса закінчується на `16-F6`. IPv4 адреса мого ноутбука, який будемо пінгувати - `192.168.1.116`. + +### Крок 2: Запустіть Wireshark і почніть захоплювати дані + +1. На своєму ПК натисніть кнопку Старт (Start) і введіть Wireshark. У вікні результатів пошуку натисніть Wireshark Desktop App. + + > Примітка: Крім того, ваша інсталяція Wireshark може також містити опцію Wireshark Legacy. У цьому випадку Wireshark відображатиметься у старому, але добре відомому графічному інтерфейсі. Ця лабораторна робота була виконана з використанням новішого графічного інтерфейсу. + +2. Після запуску Wireshark виберіть мережний інтерфейс, який ви ідентифікували за допомогою команди ipconfig. Введіть arp у фільтрі. Цей параметр налаштовує Wireshark на відображення лише тих пакетів, які є частиною ARP-обміну між пристроями в локальній мережі. Після того, як ви вибрали правильний інтерфейс і ввели інформацію про фільтр, натисніть кнопку Почати перехоплення пакетів (Start capturing packets) (піктограма з акулячим плавником), щоб почати перехоплення даних. + + Інформація почне прокручуватися вниз у верхній частині вікна Wireshark. Кожен рядок являє собою повідомлення, яке надсилається між джерелом та пристроєм призначення в мережі. + +3. У вікні командного рядка надішліть запит ping на шлюз за замовчуванням, щоб перевірити доступність адреси шлюзу за замовчуванням, яка була визначена в Частині 2, Крок 1. + + ```bat + ping 192.168.1.166 + + Reply from 192.168.1.116: bytes=32 time=3ms TTL=64 + Reply from 192.168.1.116: bytes=32 time=2ms TTL=64 + Reply from 192.168.1.116: bytes=32 time=2ms TTL=64 + Reply from 192.168.1.116: bytes=32 time=2ms TTL=64 + + Ping statistics for 192.168.1.116: + Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), + Approximate round trip times in milli-seconds: + Minimum = 2ms, Maximum = 3ms, Average = 2ms + ``` + +4. Зупиніть перехоплення даних, натиснувши значок Зупинити перехоплення (Stop Capture) (піктограма з червоним квадратом). + +### Крок 3: Перегляньте захоплені дані + +Після виконання команди `ping` з'явилися наступні ARP пакети: + +![Figure 1](./assets/lab-4.2.6-1.png) + +На них видно як мій ПК (`192.168.1.239`) просить сказати MAC-адресу мого ноутбуку (`192.168.1.116`) і у відповідь отримує MAC-адресу, що закінчується на `16-A0`, що і є MAC-адресою ноутбуку. + +### Крок 4: Визначте кадр ARP- відповіді, який відповідає виділеному ARP-запиту + +![Figure 2](./assets/lab-4.2.6-2.png) + +## Частина 3: Перевірте записи ARP- кешу на ПК + +Відкрийте вікно командного рядка. Введіть команду `arp –a` та натисніть клавішу Enter. + +```sh +$ arp -a + +Interface: 192.168.1.239 --- 0x7 + Internet Address Physical Address Type + 192.168.1.1 xx-xx-xx-xx-50-80 dynamic # це шлюз за замовчуванням + 192.168.1.3 xx-xx-xx-xx-6b-72 dynamic # це DNS сервер + 192.168.1.116 xx-xx-xx-xx-16-a0 dynamic # ось мій ноутбук + 192.168.1.255 xx-xx-xx-xx-ff-ff static +```