Как можно определить VLAN с использованием Wireshark? 

Преподаватель дал задание в формате "игры", где нужно проанализировать трафик и ответить на определенные вопросы. Я смог ответить на все вопросы, кроме третьего, по которому у меня возникли затруднения. Я пробовал фильтровать данные по vlan.id и искать упоминания 802.1Q, но безуспешно. Мой вопрос заключается в том, как мне узнать, в каком сегменте сети находится машина сотрудника. Злоумышленник использовал IP-адрес 10.31.40.235. 

Вот вопросы, на которые нужно ответить:
1. Какая версия браузера установлена у сотрудника?
2. На какой сайт в рабочее время часто заходит сотрудник (www.*******.com)?
3. В каком сегменте сети находится машина сотрудника? Укажите номер VLAN.
4. В какое время был перехвачен первый пакет от клиента?
5. В какое время был перехвачен последний пакет от клиента?
6. Какой MAC-адрес у атакующего?
7. Какой тип файла перехватил атакующий?
8. Какой ценной информацией завладел атакующий?

Дополнительно, вот ссылка на файл с записанным трафиком: <a href="https://vk.com/doc270126576_677382871?hash=l2JAZ3hDALGZK8cKJAJdpgF2V0mgozDF6HzQuzBAunX&amp;dl=nJUiLQVmU9KzfZxFrFS5riWT6P4zDYbEqlWDARXOkgc" rel="nofollow">Файл.pcapng</a>
  • 13 ноября 2024 г. 11:33
Ответы на вопрос 2 
Чтобы определить VLAN с использованием Wireshark, вам нужно следовать этим шагам:

1. **Открытие файла в Wireshark**: Запустите Wireshark и откройте файл с захваченным трафиком (.pcapng).

2. **Фильтрация по протоколу 802.1Q**: Используйте фильтр `vlan` или `eth.type == 0x8100` в поле фильтров Wireshark, чтобы отфильтровать только те пакеты, которые содержат информацию о VLAN. Протокол VLAN 802.1Q инкапсулирует Ethernet-карты.

3. **Просмотр информации о VLAN**: Найдите пакеты, относящиеся к этому IP-адресу (10.31.40.235). Обычно информация о VLAN включена на уровне Ethernet в виде "VLAN ID". Важно просмотреть заголовки пакетов, чтобы видеть, если чем-то интересным будет шаг, связанный с VLAN.

4. **Изучение заголовков пакетов**: Найдите заголовок Ethernet II, который содержит поле "VLAN" (будет выглядеть как "Priority: 0, VLAN ID: <номер VLAN>"). Отметьте номер VLAN, чтобы ответить на третий вопрос.

Чтобы ответить на третий вопрос, вам нужно найти пакет, который проходит через VLAN с локальной машиной. Вы должны просмотреть все пакеты и выбрать тот, где основной заголовок содержит ваш IP-адрес (10.31.40.235) и идентификатор VLAN.

### Заключение
Таким образом, вы сможете увидеть, в каком сегменте сети находится машина сотрудника, просто найдя соответствующий пакет с VLAN ID. Если вы по-прежнему не можете найти необходимую информацию, попробуйте посмотреть на уже отфильтрованные (по VLAN) пакеты, чтобы увидеть их данные и убедиться, что они содержат нужные параметры.

Если возникнут дополнительные вопросы, не стесняйтесь задавать!
Смотрим пакет типа PVST+
Похожие вопросы
    Показать ещё