Відкритий лекційний курс "Промислові мережі та інтеграційні технології" 4.1.1."Основи Ethernet(для спеціаліста АСУТП)" обговорення http://asu.in.ua/viewtopic.php?f=194&t=1052&st=0&sk=t&sd=a відео http://youtu.be/2pVEjE0OQvU Обговорення Ethernet та TCP/IP підняв http://replace.org.ua/topic/4773/ і http://dou.ua/forums/topic/13492/

1. Промислові мережі та інтеграційні
технології
Основи Ethernet
(для спеціаліста АСУТП)
реєстрація fieldbus_book@ukr.net
автор і лектор: Олександр Пупена (pupena_san@ukr.net)
зворотній зв’язок по курсу: Інтернет-форум АСУ в Україні (www.asu.in.ua)
20.04.2015
NET - Ethernet Base
pupena_san@ukr.net
1

2. Ethernet це …
20.04.2015
NET - Ethernet Base
pupena_san@ukr.net
2
Ethernet – сімейство стандартизованих технологій пакетної передачі даних
для комп'ютерних мереж (започаткований в 70-х, перший стандарт у 1980)
Олифер В.Г. Олифер Н.А. Компьютерные сети. Принципы технологии протоколы СПб.:
- Питер, 2010, 916 с. 4 изд.
Що таке Ethernet?
Протоколи Ethernet визначають:
- фізичний рівень: середовище передачі, топологія, бітові швидкості,
способи підключення, довжини кабелів, способи кодування бітів…
- канальний рівень: порядок доступу до середовища, правила
формування та розмежування кадрів, доставка даних за призначенням,
перевірка цілісності кадрів…
Технологія Ethernet стандартизована в IEEE 802.2/ 802.3, однак є певні
відмінності з Ethernet II

3. Стандарти IEEE 802.x
20.04.2015
NET - Ethernet Base
pupena_san@ukr.net
3
Що таке стандарти IEEE 802.x?

4. Мережі Ethernet
20.04.2015
NET - Ethernet Base
pupena_san@ukr.net
4
Які є типи мереж Ethernet?
Стандарт
Тип стан-
дарту
Тип кабелю
Топо-
логія
Довжина
зв’язку/
променя
Інтерфейс конекторів,
коментар
10Base5
Ethernet10Мбіт/с
IEEE802.3
товстий коаксіальний Ш 500м
AUI, підключення до
трансивера на кабелі
через "зуб вампіра"
10Base2 тонкий коаксіальний Ш 185м BNC
10BaseT
UTP категорія 3 та вище
(2 пари проводів)
З 100м RJ-45
10BaseF оптоволокно З 1 - 10 км AUI
100BaseTX
FastEthernet
100Мбіт/сIEEE
802.3u
UTP кат. 5 та вище (2 пари
проводів)
З 100 м RJ-45
100BaseT4
UTP кат. 3 та вище (4 пари
проводів)
З 100м RJ-45
100BaseFX оптоволокно одномодове З 10 км ST, SC, MT-RJ…
100BaseSX
оптоволокно.
багатомодлве
З 300 м
сумісний з 10BaseF,
автоузгодженність
1000BaseCX
Gigabit
Ethernet
802.3z,802.3ab
STP (2 пари проводів) З 25 м RJ-45
1000BaseT
UTP категорія 5 та вище (4
пари проводів)
З 100 м RJ-45
1000BaseSX
оптоволокно.
багатомодлве
З 200-500 м ST, SC, MT-RJ…
1000BaseLX оптоволокно одномодове З 10 км ST, SC, MT-RJ…
…
10GBASE-… 10Gae
100GBASE-… 100Gba
40GBASE-… 40Gba

5. Відмінності в Ethernet'ах
20.04.2015
NET - Ethernet Base
pupena_san@ukr.net
5
Чим відрізняються мережі Ethernet?
Варіанти технологій (XBaseY):
- середовище передачі та способи підключення (Y):
- товстий коаксіальний кабель, підключення "зуб вампіра" (застарів)
- тонкий коаксіальний кабель , підключення BNC (застарів)
- екранована/неекранована вита пара (декілька пар), підключення RJ45
- оптоволокно
- радіосигнал (група 802.11)
- швидкістю(X):
- 10 Мбіт/с
- 100 Мбіт/с (FAST)
- 1 Гбіт/с (Gigabit)
- 10 Гбіт/с (10G)
- 40 Гбіт/с (40G)
- 100 Гбіт/с (100G)
- режимами роботи за напрямком:
- дуплекс
- напівдуплекс

6. Для підключення використовуються:
- кабель «вита пара» UTP (Unshielded twisted pair)
- на пристроях - RJ-45 розетка, на кабелі - RJ-45 вилка
- з'єднання «точка-точка», два пристрої можуть з'єднатися між собою
безпосередньо: (рис.б)
- топологія "зірка" ("дерево"): пристрої зєднуються в мережі через
концентратори (Hub) або комутатори (Switch): (рис. а) ;
Підключення Ethernet на базі витої пари
20.04.2015
NET - Ethernet Base
pupena_san@ukr.net
6
Як об'єднуються пристрої в мережі Ethernet на базі витої пари?
Switch/Hub
Switch/Hub Switch/Hub
Switch
/Hub
Switch
/Hub

7. 10BaseT: фізичний рівень
20.04.2015
NET - Ethernet Base
pupena_san@ukr.net
7
Як працює Ethernet на фізичному рівні?
- 10 Мбіт/с
- до 100 м без репітерів
- не більше 4-х концентраторів (HUB) між
вузлами
- UTP категорія 3 та вище (2 пари проводів)
- дуплекс, напівдуплекс
- манчестерський код
- до 1024 вузлів в мережі
- контроль цілісності каналу (LIT, при вільному
каналі відправка NLP)
Switch/Hub
Розгляд Ethernet почнемо з класичного 10BaseT
на базі концентраторів.
NLP (Normal Link Pulses)

8. 10BaseT: пряме з'єднання
20.04.2015
NET - Ethernet Base
pupena_san@ukr.net
8
Як з'єднувати прямим кабелем?
- Пристрої-вузли мережі з'єднуються через порт MDI
(Medium Dependent Interface ),
- комутатори (switch) або концентратори (hub) через порт
MDIX (Medium Dependent Interface with Crossover);
- Використовуються по два контакти:
• для передачі: TX+ и TX-
• для прийому: RX+ RX-
- У порті MDIX контакти трансмітера і ресивера поміняні
місцями відносно MDI, тому MDI и MDIX з'єднуються між
собою «прямим» кабелем.
прямой кабель
RX и TX поменяны местами
прямий кабель

9. 10BaseT: перехресне з'єднання
20.04.2015
NET - Ethernet Base
pupena_san@ukr.net
9
Зєднання MDI з MDI або MDIX х MDIX
проводиться перехресным кабелем.
перехресний кабель
TX+
TX-
RX
+
RX-
RX и TX на тих же контактах
Як з'єднувати перехресним кабелем?

10. Монтаж, перевірка
20.04.2015
NET - Ethernet Base
pupena_san@ukr.net
10
Чим з'єднувати, як перевірити ?

11. Ethernet 10BaseT на базі концентраторів (Hub)
20.04.2015
NET - Ethernet Base
pupena_san@ukr.net
11
Як працює Ethernet на базі концентраторів (HUB)?
- в центрі зірки використовується концентратор
(Hub)
- концентратор (Hub) – це багатопортовий репітер
- "логічна шина": напівдуплексний режим, в один
момент часу тільки один вузол може передавати
- метод доступу CSMA/CD:
• постійне прослуховування лінії
• якщо шина вільна – будь який вузол передає кадр
• якщо кадри вузлів накладаються (колізія) – передача
закінчується, включається генератор випадкового
часу очікування, після нього знову повторна проба
Hub

12. Ethernet: адресація вузлів
20.04.2015
NET - Ethernet Base
pupena_san@ukr.net
12
Як в мережі Ethernet кадр доходить до необхідного вузла?
- для адресації вузлів в мережі використовується 6-байтові МАС-адреси;
- адреса як правило записується в 16-ковому форматі: напр. EC-F4-BB-83-B0-4E або
EC:F4:BB:83:B0:4E
- кожний мережний адаптер повинен мати прошиту в неї унікальну МАС-адресу;
- доступна адресація окремого вузла (індивідуальна), усіх вузлів (широкомовна),
декількох вузлів (групова)
- широкомовна: FF-FF-FF-FF-FF-FF
- мережні карти можуть працювати в
режимі нерозбірливого захвату
(promiscuous mode), тобто не
відфільтровувати кадри по адресі
МАС

13. Унікальна адресація Ethernet-адаптерів
20.04.2015
NET - Ethernet Base
pupena_san@ukr.net
13
Як назначається унікальна адреса MAC кожному адаптеру Ethernet?
- унікальність адреси МАС досягається
комбінацією: "адреса" виробника карти + номер
карти
- перші 3 байти виділені виробнику обладнання,
видаються кординуючим комітетом IEEE (наприклад
00:80:F4 - Telemecanique, EC:F4:BB – Dell Inc.); можна визначити
виробника в Інтернет
- наступні 3 байти – виробник виділяє на кожну свою
карту
- унікальна (прошита) адреса називається також
глобальною
- адміністратор може назначити адресу локально
http://standards.ieee.org/develop/regauth/oui/public.html
00 80 F4 xx xx xx
Manufacturer Device number

14. Утиліта getmac,
20.04.2015
NET - Ethernet Base
pupena_san@ukr.net
14
Як дізнатися глобальну унікальну адресу MAC адаптеру Ethernet свого ПК?
getmac/?
getmac/?

15. Утиліта ipconfig/all, netsh lan (Windows)
20.04.2015
NET - Ethernet Base
pupena_san@ukr.net
15
Як дізнатися глобальну унікальну адресу MAC адаптеру Ethernet свого ПК?
ipconfig/all
netsh lan
тільки при запущеній службі Wired
Autoconfig
netsh lan show interfaces

16. Зміна адреси МАС
20.04.2015
NET - Ethernet Base
pupena_san@ukr.net
16
Як назначити локальну адресу MAC адаптеру Ethernet свого ПК?
- змінити адресу МАС у Windows можна
через налаштування карти:
- графічні вікна Windows
- інші утиліти

17. Типи кадрів Ethernet
20.04.2015
NET - Ethernet Base
pupena_san@ukr.net
17
Які типи кадрів є в Ethernet?
кадр Ethernet II (DIX)
кадр IEEE802.3
- є декілька стандартів форматів
кадру, найбільш популярні Ethernet II
(DIX) та IEEE 802.3, відрізняються:
- полем Type/Length;
- в кадрі IEEE 802.3 в полі даних входить
заголовок пакету LLC
- кадри сумісні оскільки значення
довжини <1518, а значення
типу>1600

18. Проблеми Ethernet з концентраторами
20.04.2015
NET - Ethernet Base
pupena_san@ukr.net
18
Чому зараз практично не використовують концентратори в Ethernet?
- дерево з концентраторів та вузлів формують єдине розділювальне
середовище передачі ("логічну шину") – єдиний домен колізій, тобто всі
кадри вузлів будуть конкурувати
- працездатна при загальному завантаженні мережі <30%
- для ефективної роботи мережі краще використовувати комутатори
Hub
Hub Hub
Hub

19. Структура Ethernet з комутаторами
20.04.2015
NET - Ethernet Base
pupena_san@ukr.net
19
Що принципово відрізняється в структурі мережі Ethernet з концентраторами та комутаторами?
Hub
Hub Hub
Hub
Switch
Switch Switch
Switch
- замість концентраторів (hub)
ставляться комутатори (switch) –
багатопортові мости
- комутатори розділяють домен
колізій на декілька сегментів
- порти Ethernet станцій і комутаторів
можуть працювати в дуплексному
режимі

20. Призначення моста Ethernet
20.04.2015
NET - Ethernet Base
pupena_san@ukr.net
20
Навіщо потрібен міст?
- міст об'єднує два фізичних сегменти (міст це 2х-портовий комутатор), тобто два
домени колізій
- на відміну від повторювача (репітера) міст відфільтровує кадри, які проходять між
сегментами (алгоритм писаний в IEEE 802.1D)
- міст (bridge) відправляє кадри в інший сегмент тільки в тому випадку, якщо там
знаходиться вузол призначення
- фільтрація проводиться по вмісту кадру, тобто міст працює на канальному рівні
- "прозорий міст" – вузли в мережі "не знають" про існування моста, це просто ще
один трасивер на лінії зв'язку
- має адресну таблицю (таблиця фільтрації) просування кадрів на свої порти
- пасивно спостерігає за трафіком і заповнює адресну таблицю

21. Принцип роботи моста Ethernet
20.04.2015
NET - Ethernet Base
pupena_san@ukr.net
21
Як працює міст?
1. на початку адресна таблиця пуста
2. перший вхідний кадр буферизується і відправляється на всі порти (якщо
середовище не зайнято) окрім вхідного (для кадру)
3. МАС-адреса відправника (MAC Source) записується в адресну таблицю з
вказівкою порту звідки прийшов
4. МАС наступного вхідного кадру перевіряється в таблиці, якщо запис
знайдено, то:
• якщо порт співпадає з вхідним, тобто вузли знаходяться в одному сегменті, - кадр
ігнорується (фільтрація кадру, filtering)
• якщо різні сегменти, кадр буферизується і відправляється на порт призначення
(просування кадру, forwarding)
5. якщо запис не знайдено, виконуються алгоритми пп.2 та 3

22. Принцип роботи моста Ethernet (продовження)
20.04.2015
NET - Ethernet Base
pupena_san@ukr.net
22
• записи адресної таблиці можуть створюватися
динамічно (в процесі навчання) або статично
(адміністратором)
• динамічні записи мають термін життя, якщо запис
не використовувався певний час – він видаляється,
таким чином "перекочування" вузла в інший
сегмент автоматично розпізнається
• статичні записи вносяться вручну і не мають
терміну життя, додаткова можливість фільтрації
• широкомовні кадри (MAC=FF:FF:FF:FF:FF:FF)
відправляються на всі порти (усі сегменти) окрім
вхідного для кадру – затоплення (flooding)

23. Топологічні обмеження мостів
20.04.2015
NET - Ethernet Base
pupena_san@ukr.net
23
Не дозволяються петлі в конфігурації, приклад:
1. широкомовний кадр від нового вузла
попадає на обидва мости, в кожному свій
запис в адресній таблиці (адреса 10, порт
1)
2. широкомовність кадру приведе його в порт
2 моста 1, оскільки кадр новіший – старий
затреться і з'явиться запис адреса 10, порт
2; кадр відправиться на порт 1 моста 1
3. аналогічно п.2
Наслідки:
• розмноження кадрів
• нескінченна циркуляція кадрів в петлях
• постійна перебудова адресних таблиць
Звичайні мости (і комутатори) не
можна об'єднувати в петлеві
конфігурації, тільки деревовидні.
Які обмеження в структурі?
Для побудови петлевих каналів з резервуванням
використовуються спецільні комутатори (наприклад з
функціями STP/RSTP).

24. Комутатори (switch)
20.04.2015
NET - Ethernet Base
pupena_san@ukr.net
24
• Ethernet мости (2-х портові) витіснені
багатопортовими комутаторами
• комутатор (switch) – багатопортовий
мультипроцесорний міст
• одночасне просунення кадрів між
декількома портами
• процесор на кожний порт + загальний
координуючий процесор (адресна таблиця,
конфігурування, управління комутатором)
Що таке комутатор?

25. Комутація каналів vs комутація пакетів
20.04.2015
NET - Ethernet Base
pupena_san@ukr.net
25
• Комутація каналів
• перед обміном між вузлами встановлюється
фізичне з'єднання (канал), коли в обміні немає
необхідності - з'єднання розривається
• по сформованому каналу передаються дані
• з'єднання використовується тільки двома вузлами
• задача комутаторів каналів - формувати
з'єднання на сеанс
Що таке комутація?
• Комутація пакетів
• дані діляться на порції – пакети, які
передаються незалежно і збираються у вузлі
призначення
• задача комутаторів пакетів – перенаправляти
пакети по вірному маршруту в залежності від
заголовку пакету і маршрутних таблиць
комутатору

26. Комутатори на базі комутаційної матриці
20.04.2015
NET - Ethernet Base
pupena_san@ukr.net
26
Приклад структури комутатора з комутаційною матрицею:
• кожен порт Ethernet обслуговується своїм процесором (EPP
– Ethernet Packet Processor) має свій буфер і свою локальну
адресну таблицю
• системний модуль координує роботу, вміщує загальну
адресну таблицю комутатора
• в центрі комутаційна матриця (як при комутації каналів)
• алгоритм:
• перші байти кадру попадають у вхідний буфер EPP, аналізується адреса
призначення, якщо в локальній немає, питає в системного модуля
• якщо треба форварднути кадр, і порт призначення вільний (не з'єднаний
з іншим портом) – матриця встановлює зв'язок і в буфер процесору EPP
вихідного порта направляється кадр
• якщо порт призначення зайнятий – кадр приймається повністю і
буферизується, до звільнення
• як тільки шина вихідного порта вільна, він відправляє кадр
Як працює комутатор?
Робота без повної буферизації кадру називається "на
льоту" ("on the fly", "cut-through")

27. Комутатори в дуплексному режимі
20.04.2015
NET - Ethernet Base
pupena_san@ukr.net
27
Яка відмінність при використанні в комутаторах дуплексного режиму?
• якщо до комутатора підключаються вузли а
не сегменти, необхідність в
напівдуплексному режимі відпадає, так як
комутатор може працювати з окремим
вузлом і на передачу і на прийом
одночасно
• тому колізії відсутні, а отже і не потрібен
CSMA/CD
• однак затримки в передачі можуть
виникати в самих комутаторах

28. Продуктивність комутаторів
20.04.2015
NET - Ethernet Base
pupena_san@ukr.net
28
Чи встигає комутатор переправляти усі вхідні кадри ?
• затримки в передачі можуть виникати в самих комутаторах
• якщо сумарний вхідний трафік буде значно перевищувати вихідний –
порти будуть переповнюватися, кадри будуть втрачатися
• неблокуючий комутатор – коли комутатор встигає передавати на
вихід кадри зі швидкістю їх приходу
• неблокуючий режим досягається:
• висока продуктивність портів та процесорів
• продуктивність ЦПУ та всіх складових
• архітектура комутатора
• вбудовані засоби боротьби з перевантаженням
• підтримка режиму механізму зворотного зв'язку (IEEE 802.3x, Flow Control)
– відправка спец кадру "ПАУЗА"
• характеристики продуктивності:
• швидкість фільтрації (filtering Rates) : практично у всіх комутаторах ця
процедура не блокує роботу комутатора
• швидкість просунення (forwarding Rates) кадр/с:
• затримка передачі кадру, мс: час від появи першого байту на вхідному
порту до появи на виході
• продуктивність комутатору (throughput) Мібт/с, враховуються тільки поля
даних
http://www.cisco.com/c/en/us/products/collateral/switches/nexus-5020-switch/white_paper_c11-465436.html

29. Fast Ethernet (IEEE 802.3u): 100BaseTX
20.04.2015
NET - Ethernet Base
pupena_san@ukr.net
29
Що змінилося в Fast Ethernet, зокрема в 100BaseTX?
• поява - початок 90-х
• збільшена швидкість до 100 Мбіт/с
• повна сумісність з 10BaseT і ті самі кадри
• дуплекс і напівдуплекс
• ознака простою середовища – передача
спеціального символу простою
• 100BaseT4 (практично не використ):
• кодування 8B/6T на NRZI;
• UTP категорія 3 та вище (4 пари проводів)
• 100BaseTX:
• кодування 4B/5B на NRZI;
• STP (тип.1) або UTP кат.5 та вище (2 пари проводів)
• підрівень автопереговорів (Auto-Negotiation) для
автоналаштування режиму роботи між
пристроями
• відстань до комутатора/концентратора 100 м
Кон-
такт
10BaseT
100BaseTX
100BaseT
4
1000BaseT
1 Tx+ Tx_D1+ BI_D1+
2 Tx- Tx_D1- BI_D1-
3 Rx+ Rx_D2+ BI_D2+
4 не викор. BI_D3+ BI_D3+
5 не викор. BI_D3- BI_D3-
6 Rx- Rx_D2- BI_D2-
7 не викор. BI_D4+ BI_D4+
8 не викор. BI_D4- BI_D4-

30. Auto-Negotiation (Автопереговори)
20.04.2015
NET - Ethernet Base
pupena_san@ukr.net
30
Що таке автопереговори? • опційний
• дозволяє двом з'єднаним пристроям домовитися про найбільш
вдалу швидкість та режим передачі (дуплекс/напівдуплекс)
• режим вибирається по пріоритету з можливих (10BaseT
напівдуплекс – найменш пріоритетний)
• при увімкненні пристрою він ініціює режим автопереговорів:
• відсилає спеціальний блок імпульсів (FLP, Fast Link Pulse, схоже на LIT-
NLP), в якому пропонує найбільш пріоритетний підтримуваний ним
режим
• якщо партнер підтримує такий режим він відповідає блоком FLP,
якщо ні – пропонує свій
• якщо партнер не підтримує автопереговори, він буде слати сигнали
NLP, по яким визначиться швидкість
• концентратори працюють з найменшою з підключених пристроїв
швидкістю
• в деяких старих реалізаціях (зокрема в CISCO) є невідповідність
а також є проблеми дуплекс/напідуплекс, тому треба
налаштовувати вручну
• визначені також механізми діагностики помилок (додаткові
коди PLM)
NLP (Normal Link Pulses)
FLP (Fast Link Pulses)

31. Gigabit Ethernet (IEEE 802.3ab): 1000BaseT
20.04.2015
NET - Ethernet Base
pupena_san@ukr.net
31
Що змінилося в Gigabit Ethernet, зокрема в 1000BaseT?
Кон-
такт
10BaseT
100BaseTX
100BaseT
4
1000BaseT
1 Tx+ Tx_D1+ BI_D1+
2 Tx- Tx_D1- BI_D1-
3 Rx+ Rx_D2+ BI_D2+
4 не викор. BI_D3+ BI_D3+
5 не викор. BI_D3- BI_D3-
6 Rx- Rx_D2- BI_D2-
7 не викор. BI_D4+ BI_D4+
8 не викор. BI_D4- BI_D4-
• поява - кінець 90-х
• збільшена швидкість до 1 Гбіт/с
• ті самі кадри що в попередніх версіях Ethernet
• дуплекс і напівдуплекс
• STP (тип.1) або UTP кат.5 та вище (4 пари проводів)
• для роботи в напівдуплексі:
• збільшена мінімальна довжина кадрів з 64 до 512 байт,
для цього після контрольної суми відсилається
розширення з одних лог."0"
• режим пульсації: декілька кадрів підряд
• діаметр мережі в напівдуплексі до 200 м
• кодування PAM5 (на 125 МГц)
• передача та прийом в дуплексі одночасно по тій
самій парі, завдяки гібридній схемі розв'язки
• адаптери можуть працювати також на 10BaseT,
100BaseT/TX
• відстань до комутатора/концентратора 100 м
• Automatic MDI/MDI-X Configuration (опційно )

32. Комутатори
20.04.2015
NET - Ethernet Base
pupena_san@ukr.net
32
Які є типи комутаторів Ethernet?
• стосовно налаштувань
• некерований (unmanaged) – працює самостійно, не потребує
налаштувань, але виконує тільки стандартні функції
• керований (managed) – має додаткові функції, які
налаштовуються спеціальними утилітами або протоколами
• стосовно конструкції вузла обміну:
• з комунікаційною матрицею
• з загальною шиною
• з багатовходовою пам'яттю загального користування
• комбіновані
• конструкція:
• моноблочні (з фіксованою кількістю портів)
• модульні

33. Утиліти Windows для роботи з мережними
налаштуваннями (загальний перелік)
20.04.2015
NET - Ethernet Base
pupena_san@ukr.net
33
Wireshark - мережний аналізатор трафіку
ping - перевіряє з’єднання на рівні протоколу IP з іншим пристроєм, який
підтримує TCP/IP
arp - виводить та змінює записи кешу ARP: таблиць відповідності IP-
адрес і фізичних адрес Ethernet
getmac – отримання апаратних адрес мережних адаптерів (MAC-адрес)
як на локальному так і на віддаленому ПК.
ipconfig – виводить всі плинні параметри карт та оновлює параметри
DHCP та DNS
tracert – виводить маршрут (IP-адреси вузлів) до місця призначення
pathping – виводить статистику роботи маршрутизаторів на шляху
маршруту до місця призначення
netstat – виводить статистику по мережі та підключенням на
транспортному рівні
route – виводить маршрутні таблиці
netsh – дає можливість відображати та змінювати настройки мережної
карти
net – робота з мережними службами Windows
nslookup – діагностична утиліта для роботи з DNS
https://drive.google.com/file/d/0B2FfwwwweBSVMzU2d1FEZTlNcUk/view

34. Сніффери (Sniffer): принципи
20.04.2015
NET - Ethernet Base
pupena_san@ukr.net
34
Sniffer (від англ. to sniff – нюхати) – мережний аналізатор трафіку, програма або
програмно-апаратний пристрій, призначений для перехвату та наступного аналізу, або
тільки аналізу мережного трафіку, призначеного для інших вузлів.
Перехват трафіку може відбуватися:
• звичайним "прослуховуванням" мережного інтерфейсу;
метод ефективний при використанні в сегменті
концентраторів (hub) замість комутаторів (switch), в іншому
випадку метод малоефективний, оскільки на сніфер
попадають лише окремі кадри, які призначені приймаючому
вузлу;
• підключенням сніферу в розрив каналу;
• відгалуженням (програмним чи апаратним) трафіку і
направленням його копії на сніффер;
• через аналіз побічних електромагнітних випромінювань та
відновленням таким чином трафіку, що прослуховується;
• через атаку на канальному рівні (2-му) або мережному рівні
(3-му), яка приводить до перенаправлення трафіку жертви
або всього трафіку сегменту на сніффер з наступним
поверненням трафіку в потрібну адресу

35. Сніффери (Sniffer): функції
20.04.2015
NET - Ethernet Base
pupena_san@ukr.net
35
Аналіз трафіку, що проходить через сніфер, дозволяє:
• відслідковувати мережну активність додатків;
• відлагоджувати протоколи мережних додатків;
• локалізувати несправність або помилку конфігурації;
• знаходити паразитний, вірусний та закільцьований
трафік, наявність котрого збільшує навантаження
мережного обладнання та каналів зв’язку;
• виявити в мережі шкідливе ПО, наприклад, мережні
сканери, флудери, троянські програми, клієнти
пірингових мереж та інші;
• перехватити любий незашифрований (а інколи і
зашифрований) трафік користувача з ціллю дізнавання
паролів та іншої інформації
• вивчати динаміку і взаємодії в мережах для розуміння
функціонування

36. Сніффери (Sniffer): приклади
20.04.2015
NET - Ethernet Base
pupena_san@ukr.net
36
На сьогоднішній момент існує достатня кількість хороших реалізацій
сніфферів. Деякі з них:
• Tcpdump (http://www.tcpdump.org/) – консольний варіант сніфферу.
Працює на найбільш поширених на сьогоднішній день ОС;
• Wireshark (http://www.wireshark.org/) до недавнього часу був відомий
під іменем Ethereal;
• WinDump http://www.winpcap.org/windump;

37. Wireshark: загальні відомості
20.04.2015
NET - Ethernet Base
pupena_san@ukr.net
37
Принцип захвату мережного трафіку.
• безкоштовна
• основні компоненти:
• драйвер для захвату пакетів (libpcap драйвер
WinPcap)
• інтерфейсна бібліотека (libpcap WinPcap)
• інтерфейс користувача (Wireshark)
• Бібліотека libpcap (реалізація під ОС Windows
WinPcap ):
• працює безпосередньо з NDIS драйверами
мережних пристроїв
• на базі даної бібліотеки реалізована велика
кількість мережних програм
• сніфери використовують бібліотеку в режимі
"захвату" пакетів, тобто може отримувати копію
всіх даних що проходить через драйвер
мережного інтерфейсу.
• зміни в самі дані не вносяться

38. Wireshark: загальні відомості (прод)
20.04.2015
NET - Ethernet Base
pupena_san@ukr.net
38
Принцип захвату мережного трафіку.
• якщо локальний трафік не проходить через
драйвер мережного пристрою то він не буде
видимий сніффером.
• Wireshark дозволяє в режимі реального часу:
• захватувати пакети з мережі
• аналізувати структуру пакетів
• аналізувати структуру пакетів з файлу, який
вміщує трафік, отриманий, наприклад
програмою «tcpdump» (unix/linux)

39. Wireshark: загальний вигляд
20.04.2015
NET - Ethernet Base
pupena_san@ukr.net
39
https://drive.google.com/file/d/0B2FfwwwweBSVMzU2d1FEZTlNcUk/view