Files
networking-2025-s1/november/lab-4.2.6.md
2025-11-18 21:55:18 +02:00

128 lines
9.9 KiB
Markdown
Raw Blame History

This file contains ambiguous Unicode characters

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

# 4.2.6 Лабораторна робота Перегляд захопленого трафіку у Wireshark
## Довідкова інформація / Сценарій
Протокол визначення адрес (Address Resolution Protocol, ARP) використовується TCP/IP для зіставлення адреси IP Рівня 3 з MAC-адресою Рівня 2. Коли кадр Ethernet передається в мережі, він повинен мати MAC-адресу призначення.Щоб динамічно виявити MAC-адресу відомого пункту призначення, пристрій-джерело надсилає широкомовний ARP-запит у локальній мережі.Пристрій, на якому налаштовано IPv4-адресу призначення, відповідає на запит ARP-відповіддю, а MAC-адреса записується в ARP-кеш.
Кожен пристрій в локальній мережі підтримує власний ARP-кеш. ARP-кеш - це невелика область оперативної пам’яті, яка зберігає ARP-відповіді. Перегляд ARP-кешу на ПК показує IPv4- та MAC-адреси кожного пристрою в локальній мережі, з яким ПК обмінювався ARP-повідомленнями.
Wireshark - це програмний аналізатор протоколів або програма «пакетний сніфер», що використовується для пошуку та усунення несправностей мережі, аналізу повідомлень, розробки програм та протоколів, а також для навчання. Коли потоки даних проходять через мережу, сніффер «перехоплює» кожну одиницю даних протоколу (PDU) і може декодувати та аналізувати їхній вміст відповідно до специфікацій протоколу.
Wireshark є корисним інструментом для всіх, хто працює з мережами, і його можна використовувати в більшості лабораторних робіт на курсах Cisco для аналізу даних та усунення несправностей. В цій лабораторній роботі даються інструкції щодо завантаження та встановлення Wireshark, хоча застосунок вже може бути встановлений. У цій лабораторній роботі ви будете використовувати Wireshark для перехоплення ARP-повідомлень в локальній мережі.
## Необхідні ресурси
- 1 ПК (Windows 10)
- Доступ до Інтернету
- Інші ПК у локальній мережі (LAN) використовуватимуться для відповіді на запити ping. Якщо в локальній мережі немає інших ПК, адреса шлюзу за замовчуванням використовуватиметься для відповіді на запити ping.
## Перебіг виконання
### Частина 1: Завантаження та встановлення Wireshark
Wireshark у мене вже був встановлений, тож я пропущу цю частину.
### Частина 2: Захоплення та аналіз даних ARP у Wireshark
### Крок 1: Отримайте адреси інтерфейсу вашого ПК
```bat
ipconfig /all
Windows IP Configuration
Host Name . . . . . . . . . . . . : hitori
Primary Dns Suffix . . . . . . . :
Node Type . . . . . . . . . . . . : Hybrid
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
DNS Suffix Search List. . . . . . : router.local
Ethernet adapter Ethernet:
Connection-specific DNS Suffix . : router.local
Description . . . . . . . . . . . : Realtek PCIe 2.5GbE Family Controller
Physical Address. . . . . . . . . : XX-XX-XX-XX-16-F6
DHCP Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
Link-local IPv6 Address . . . . . : fe80::f8fb:4c34:453f:f3ab%7(Preferred)
IPv4 Address. . . . . . . . . . . : 192.168.1.239(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Lease Obtained. . . . . . . . . . : 18 листопада 2025 р. 21:00:26
Lease Expires . . . . . . . . . . : 19 листопада 2025 р. 21:00:22
Default Gateway . . . . . . . . . : 192.168.1.1
DHCP Server . . . . . . . . . . . : 192.168.1.1
DHCPv6 IAID . . . . . . . . . . . : 82353189
DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-2E-CA-99-38-E8-9C-25-DC-16-F6
DNS Servers . . . . . . . . . . . : 192.168.1.3
1.1.1.1
Primary WINS Server . . . . . . . : 192.168.1.1
NetBIOS over Tcpip. . . . . . . . : Enabled
Unknown adapter Підключення через локальну мережу:
Media State . . . . . . . . . . . : Media disconnected
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : TAP-Windows Adapter V9
Physical Address. . . . . . . . . : XX-XX-XX-XX-DD-98
DHCP Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
```
Тобто IPv4 адреса мого ПК - `192.168.1.239`, а MAC-адреса закінчується на `16-F6`. IPv4 адреса мого ноутбука, який будемо пінгувати - `192.168.1.116`.
### Крок 2: Запустіть Wireshark і почніть захоплювати дані
1. На своєму ПК натисніть кнопку Старт (Start) і введіть Wireshark. У вікні результатів пошуку натисніть Wireshark Desktop App.
> Примітка: Крім того, ваша інсталяція Wireshark може також містити опцію Wireshark Legacy. У цьому випадку Wireshark відображатиметься у старому, але добре відомому графічному інтерфейсі. Ця лабораторна робота була виконана з використанням новішого графічного інтерфейсу.
2. Після запуску Wireshark виберіть мережний інтерфейс, який ви ідентифікували за допомогою команди ipconfig. Введіть arp у фільтрі. Цей параметр налаштовує Wireshark на відображення лише тих пакетів, які є частиною ARP-обміну між пристроями в локальній мережі. Після того, як ви вибрали правильний інтерфейс і ввели інформацію про фільтр, натисніть кнопку Почати перехоплення пакетів (Start capturing packets) (піктограма з акулячим плавником), щоб почати перехоплення даних.
Інформація почне прокручуватися вниз у верхній частині вікна Wireshark. Кожен рядок являє собою повідомлення, яке надсилається між джерелом та пристроєм призначення в мережі.
3. У вікні командного рядка надішліть запит ping на шлюз за замовчуванням, щоб перевірити доступність адреси шлюзу за замовчуванням, яка була визначена в Частині 2, Крок 1.
```bat
ping 192.168.1.166
Reply from 192.168.1.116: bytes=32 time=3ms TTL=64
Reply from 192.168.1.116: bytes=32 time=2ms TTL=64
Reply from 192.168.1.116: bytes=32 time=2ms TTL=64
Reply from 192.168.1.116: bytes=32 time=2ms TTL=64
Ping statistics for 192.168.1.116:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 2ms, Maximum = 3ms, Average = 2ms
```
4. Зупиніть перехоплення даних, натиснувши значок Зупинити перехоплення (Stop Capture) (піктограма з червоним квадратом).
### Крок 3: Перегляньте захоплені дані
Після виконання команди `ping` з'явилися наступні ARP пакети:
![Figure 1](./assets/lab-4.2.6-1.png)
На них видно як мій ПК (`192.168.1.239`) просить сказати MAC-адресу мого ноутбуку (`192.168.1.116`) і у відповідь отримує MAC-адресу, що закінчується на `16-A0`, що і є MAC-адресою ноутбуку.
### Крок 4: Визначте кадр ARP- відповіді, який відповідає виділеному ARP-запиту
![Figure 2](./assets/lab-4.2.6-2.png)
## Частина 3: Перевірте записи ARP- кешу на ПК
Відкрийте вікно командного рядка. Введіть команду `arp a` та натисніть клавішу Enter.
```sh
$ arp -a
Interface: 192.168.1.239 --- 0x7
Internet Address Physical Address Type
192.168.1.1 xx-xx-xx-xx-50-80 dynamic # це шлюз за замовчуванням
192.168.1.3 xx-xx-xx-xx-6b-72 dynamic # це DNS сервер
192.168.1.116 xx-xx-xx-xx-16-a0 dynamic # ось мій ноутбук
192.168.1.255 xx-xx-xx-xx-ff-ff static
```