Методические указания к ЛР-2. Правила выполнения и проведения лабораторных работ 5 Критерии оценки лабораторных работ 5
Скачать 6.68 Mb.
|
Часть 2: Настройка локальной функции SPAN и захват скопированного трафика с помощью ПО WiresharkДля настройки локального анализатора коммутируемых портов необходимо настроить один или несколько исходных зеркалированных портов и один зеркалированный порт назначения для копирования или зеркалирования трафика. Исходные порты анализатора коммутируемых портов можно настроить для мониторинга трафика на входе, на выходе или в обоих направлениях (по умолчанию). Шаг 1: Настройте анализатор коммутируемых портов на коммутаторе S1. Найдите коммутационные порты, работающие на коммутаторе S1. S1# show ip interface brief Какие коммутационные порты включены физически и логически? ___________________________ На коммутаторе S1 порт F0/6 подключается к компьютеру PC-A, который будет использоваться для анализа трафика с помощью программы Wireshark. F0/6 будет целевым портом мониторинга для анализатора коммутируемых портов для дублированных пакетов. F0/4 и F0/5 будут исходными портами монитора для перехваченных пакетов. Можно настроить несколько исходных портов мониторинга, но лишь один порт мониторинга назначения. S1(config)# monitor session 1 source interface fa0/4 - 5 S1(config)# monitor session 1 destination interface fa0/6 Шаг 2: Запустите Wireshark Capture на компьютере PC-A. Откройте Wireshark на компьютере PC-A и настройте для интерфейса сбора трафика режим Ethernet. Щелкните пиктограмму Wireshark, чтобы начать сбор трафика. Шаг 3: На компьютере PC-C используйте NMAP для генерации подозрительного трафика. При необходимости перейдите на веб-сайт NMAP.org, чтобы загрузить Zenmap. Прокрутите страницу вниз, чтобы найти самый последний стабильный выпуск для PC-C. После этого выполните показанные на экране инструкции для установки Zenmap с параметрами настройки по умолчанию. Откройте Zenmap на PC-C и запустите ping-запрос для сканирования доступных хостов (nmap –sn –PU 192.168.1-6). Результаты сканирования содержат 3 узла в сети: R1, S1 и S2 с адресами 192.168.1.1, 192.168.1.2 и 192.168.1.3. Обратите внимание: программа Zenmap также определила MAC-адреса этих трех узлов как интерфейсы Cisco Systems. Если бы это была настоящая разведывательная атака, в результатах сканирования мог бы быть указан целый диапазон узлов в сети, а также списки портов и данные об ОС. После чего предполагаемый злоумышленник мог бы выполнить интенсивное сканирование маршрутизатора R1 по адресу 192.168.1.1 (nmap –T4 –A –v 192.168.1.1). В результатах сканирования обнаружен открытый порт 23/Telnet. Шаг 4: Остановите захват трафика программой Wireshark на компьютере PC-A и проверьте захваченные пакеты SPAN. Вернитесь на компьютер PC-A и остановите захват трафика программой Wireshark. Обратите внимание на нестандартные профили трафика между узлами PC-C по адресу 192.168.1.10 и R1 по адресу 192.168.1.1. Трафик заполнен сегментами Out-Of-Order и сбросами соединения (RST). Этот перехват пакетов определяет, что компьютер PC-C отправляет подозрительный трафик на маршрутизатор R1. Злоумышленник на PC-C, которому известно об открытом порту 23 маршрутизатора, может предпринять дополнительную атаку методом полного перебора или атаку типа «отказ в обслуживании», например LAND-атаку. Атака с обратной адресацией (LAND-атака) представляет собой пакет SYN, отправляемый по протоколу TCP, с тем же IP-адресом, номером порта источника и назначения. В случае использования программы Zenmap примером такой команды может служить nmap –sS 192.168.1.1 –S 192.168.1.1 –p23 –g23 –e eth0. Обратите внимание, что LANDатака устанавливает 192.168.1.1 для IP-адресов источника и получателя, а для номеров портов назначения — открытый порт 23. Хотя маршрутизатор R1 с IOS15 неуязвим для этого устаревшего типа DoS-атак, уязвимость более старых систем и серверов по-прежнему сохраняется. Эта атака приводит к краху уязвимых систем, отправляя их в бесконечный цикл. |