VIII Международная студенческая научная конференция Студенческий научный форум - 2016
РАЗБОР И ПРОВЕРКА БЕЗОПАСНОСТИ ПЕРЕДАЧИ ДАННЫХ ПО ПРОТОКОЛУ LLTD
Полная версия работы доступна во вкладке "Файлы работы" в формате PDF
Ключевые слова: Wireshark, протокол LLTD, анализ данных.
При разработке программы сканера сети с использованием протокола LLTD было замечено, что через него передается много разных данных о сети и устройствах в сети. Для расширения возможностей по работе с этими данным был разработан плагин, который парсит все пакеты и позволяет фильтровать их по определенным параметрам.
Плагин дает возможности получения следующей информации: идентификатор компьютера, характеристика сетевого устройства, физической среды, по которой интерфейс ответчика соединен с сетью, беспроводного режим устройства (если таковой имеется), IPv4 адрес устройства (если таковой имеется), IPv6 адрес устройства (если таковой имеется), имя компьютера.
Link Layer Topology Discovery (LLTD) является проприетарным протоколом канального уровня, используемым для исследования топологии сети и диагностики качества обслуживания. Протокол разработан корпорацией Microsoft как часть набора технологий Windows Rally. LLTD протокол поддерживается как проводными (такими как Ethernet (IEEE 802.3) или Power line сетями), так и беспроводными сетями (IEEE 802.11).
Рассматриваемый протокол является протоколом канального уровня и соответственно не маршрутизируется, и не позволяет проводить сканирование за маршрутизаторами исследуемой подсети. Для получения карты полной сети необходимо провести сканирования во всех её подсетях и затем объединить результаты.
В результате анализа протокола LLTD было установлено, что через него передается много информации о сетевых данных устройств таких как MAC-адреса, IP адреса, частоты и каналы беспроводных устройств, так же вся топология сети.
Плагин реализован следующим образом. Он написан в программе Sublime Text 3. В качестве языка программирования был использован скриптовый язык Lua.
Объявляем сам протокол, чтобы программа Wireshark его видела. Описываем типы сервиса, функции по типам, свойства протокола с помощью словарей, объявляем переменные – поля в которых описывается тип, размер, название поля, название фильтра и в каком виде его показывать. Далее заносим все поля в протокол и описываем начальное древо протокола. В диссеректоре плагина проверяем длину буфера, в котором находится пакет и, если она равна нулю, выходим из функции, и работа плагина завершается. Так как по документации во втором байте пакета описано первое разветвление по типу сервиса, то мы переходим в следующую функцию, в которой описаны действия по каждому типу. В последующих функциях происходит дальнейшее разветвление пакета в соответствии со спецификацией данного протокола. В конце указываем, на каком уровне сетевой модели используется протокол и по какому адресу его использовать.
Для использования плагина пользователю понадобиться Wireshark с поддержкой Lua. Далее после запуска программы Wireshark ставим фильтр “lltd” и видим все пакеты протокола. После этого, выбрав любой пакет, можно просмотреть всю информацию, содержащуюся в нем. Для примера возьмем пакет QuerryResp в котором содержится информация о компьютерах, подключенных к определенному коммутатору.
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ-
Link Layer Topology Discovery. [Электронный ресурс]. – https://en.wikipedia.org/wiki/Link_Layer_Topology_Discovery . (дата обращения: 13.12.15)
-
Lua Support in Wireshark. [Электронный ресурс]. URL: https://www.wireshark.org/docs/wsdg_html_chunked/wsluarm.html (дата обращения: 13.12.15)
-
Пишем плагин-диссектор для Wireshark – теперь на Lua. [Электронный ресурс]. URL: http://habrahabr.ru/sandbox/30799 (дата обращения: 13.12.15)
4