Главная страница
Навигация по странице:

  • Шаг 1: Настройте анализатор коммутируемых портов на коммутаторе S1.

  • Ethernet . Щелкните пиктограмму Wireshark

  • Шаг 3: На компьютере PC-C используйте NMAP для генерации подозрительного трафика.

  • Шаг 4: Остановите захват трафика программой Wireshark на компьютере PC-A и проверьте захваченные пакеты SPAN.

  • nmap –sS 192.168.1.1 –S 192.168.1.1 –p23 –g23 –e eth0

  • Методические указания к ЛР-2. Правила выполнения и проведения лабораторных работ 5 Критерии оценки лабораторных работ 5


    Скачать 6.68 Mb.
    НазваниеПравила выполнения и проведения лабораторных работ 5 Критерии оценки лабораторных работ 5
    АнкорМетодические указания к ЛР-2
    Дата23.04.2023
    Размер6.68 Mb.
    Формат файлаdocx
    Имя файлаМетодические указания к ЛР-2.docx
    ТипПравила
    #1083941
    страница53 из 63
    1   ...   49   50   51   52   53   54   55   56   ...   63

    Часть 2: Настройка локальной функции SPAN и захват скопированного трафика с помощью ПО Wireshark


    Для настройки локального анализатора коммутируемых портов необходимо настроить один или несколько исходных зеркалированных портов и один зеркалированный порт назначения для копирования или зеркалирования трафика. Исходные порты анализатора коммутируемых портов можно настроить для мониторинга трафика на входе, на выходе или в обоих направлениях (по умолчанию).

    Шаг 1: Настройте анализатор коммутируемых портов на коммутаторе S1.

    1. Найдите коммутационные порты, работающие на коммутаторе S1.

    S1# show ip interface brief

    Какие коммутационные порты включены физически и логически? ___________________________

    1. На коммутаторе S1 порт F0/6 подключается к компьютеру PC-A, который будет использоваться для анализа трафика с помощью программы Wireshark. F0/6 будет целевым портом мониторинга для анализатора коммутируемых портов для дублированных пакетов. F0/4 и F0/5 будут исходными портами монитора для перехваченных пакетов. Можно настроить несколько исходных портов мониторинга, но лишь один порт мониторинга назначения.

    S1(config)# monitor session 1 source interface fa0/4 - 5

    S1(config)# monitor session 1 destination interface fa0/6

    Шаг 2: Запустите Wireshark Capture на компьютере PC-A.

    1. Откройте Wireshark на компьютере PC-A и настройте для интерфейса сбора трафика режим Ethernet.



    1. Щелкните пиктограмму Wireshark, чтобы начать сбор трафика.



    Шаг 3: На компьютере PC-C используйте NMAP для генерации подозрительного трафика.

    1. При необходимости перейдите на веб-сайт NMAP.org, чтобы загрузить Zenmap. Прокрутите страницу вниз, чтобы найти самый последний стабильный выпуск для PC-C. После этого выполните показанные на экране инструкции для установки Zenmap с параметрами настройки по умолчанию.

    2. Откройте Zenmap на PC-C и запустите ping-запрос для сканирования доступных хостов (nmap –sn

    PU 192.168.1-6). Результаты сканирования содержат 3 узла в сети: R1, S1 и S2 с адресами

    192.168.1.1, 192.168.1.2 и 192.168.1.3. Обратите внимание: программа Zenmap также определила MAC-адреса этих трех узлов как интерфейсы Cisco Systems. Если бы это была настоящая разведывательная атака, в результатах сканирования мог бы быть указан целый диапазон узлов в сети, а также списки портов и данные об ОС.



    1. После чего предполагаемый злоумышленник мог бы выполнить интенсивное сканирование маршрутизатора R1 по адресу 192.168.1.1 (nmap –T4 –A –v 192.168.1.1). В результатах сканирования обнаружен открытый порт 23/Telnet.



    Шаг 4: Остановите захват трафика программой Wireshark на компьютере PC-A и проверьте захваченные пакеты SPAN.

        1. Вернитесь на компьютер PC-A и остановите захват трафика программой Wireshark. Обратите внимание на нестандартные профили трафика между узлами PC-C по адресу 192.168.1.10 и R1 по адресу 192.168.1.1. Трафик заполнен сегментами Out-Of-Order и сбросами соединения (RST). Этот перехват пакетов определяет, что компьютер PC-C отправляет подозрительный трафик на маршрутизатор R1.



        1. Злоумышленник на PC-C, которому известно об открытом порту 23 маршрутизатора, может предпринять дополнительную атаку методом полного перебора или атаку типа «отказ в обслуживании», например LAND-атаку. Атака с обратной адресацией (LAND-атака) представляет собой пакет SYN, отправляемый по протоколу TCP, с тем же IP-адресом, номером порта источника и назначения. В случае использования программы Zenmap примером такой команды может служить nmap –sS 192.168.1.1 –S 192.168.1.1 –p23 –g23 –e eth0. Обратите внимание, что LANDатака устанавливает 192.168.1.1 для IP-адресов источника и получателя, а для номеров портов назначения — открытый порт 23. Хотя маршрутизатор R1 с IOS15 неуязвим для этого устаревшего типа DoS-атак, уязвимость более старых систем и серверов по-прежнему сохраняется. Эта атака приводит к краху уязвимых систем, отправляя их в бесконечный цикл.
    1   ...   49   50   51   52   53   54   55   56   ...   63


    написать администратору сайта