ANT-N102 - Анализ пакетов с помощью Wireshark’а

Описание курса:

Материал данного курса позволит слушателю изучить возможности и приемы по анализу сетевого трафика с помощью п/о Wireshark.

Аудитория курса:

Инженеры, занимающиеся сетями передачи данных.

Предварительные требования к аудитории:

Необходимы знания о работе сетей TCP/IP на уровне курса ANT-N101.

Содержание курса:

Модуль 1 – Анализ сетевого трафика и Wireshark.

Стек TCP/IP. Инкапсуляция сетевого трафика.
Сбор трафика в сети. Архитектура и подходы.
Протоколы SPAN, RSPAN, ERSPAN.
Поведение сетевых карт при сборе трафика.
Wireshark как инструмент анализа сетевого трафика.

Модуль 2 – Интерфейс и основные настройки.

Запуск и первичная настройка.
Элементы интерфейса.
Отображение собранного трафика.
Отображение TCP-соединений и UDP-потоков трафика.
Простые фильтры.
«Экспертное меню».
Настройка пре-процессоров.

Модуль 3 – Дополнительные возможности Wireshark’а.

Комплексные фильтры.
Использование GeoIP.
Автоматическое определение DNS-имен.
Колоризация трафика и отдельных соединений.
«Сборка» данных прикладных протоколов.
Использование параметров сетевых карт.

Модуль 4 – Анализ статистики сетевого трафика.

Вывод статистики в Wireshark’е.
Статистика пропускной способности.
Статистика Round-Trip Time.
Статистика протоколов.
Статистика конечных устройств.
Визуализация потоков данных.

Модуль 5 – Анализ производительности сети.

Зависимость задержки от пропускной способности канала. Формула Литтла.
Классификация стеков ТСР.
Алгоритмы и дополнительные функции TCP.
Примеры анализа и определения задержек в сети.
Примеры расчета пропускной способности сети.

Модуль 6 – Поиск и устранение неисправностей в сети.

Основные индикаторы неисправностей в сети.
Обнаружение неисправностей в сети с помощью анализа трафика.
Примеры поиска и устранения неисправностей в сети.

Модуль 7 – Анализ сетевых протоколов.

Анализ протоколов семейства Ethernet.
Анализ беспроводных сетей Wi-Fi.
Анализ ARP.
Анализ ICMP
Анализ DHCP.
Анализ DNS.
Анализ FTP.
Анализ HTTP.
Дешифрование HTTPS.
Анализ почтовых протоколов. SMTP, IMAP, POP3.
Анализ SMB и NetBIOS.
Анализ протоколов IP-телефонии. RTP, RTCP, SIP.
Воспроизведение захваченных голосовых данных.

Модуль 8 – Использование Wireshark’а при обработке инцидентов кибербезопасности.

Отслеживание инцидентов кибербезопасности.
Реагирование на инциденты кибербезопасности.
Использование Wireshark’а для анализа трафика, релевантного инциденту.
Примеры анализа сетевых атак с помощью Wireshark’а.
Примеры анализа поведения вредоносного п/о с помощью Wireshark’а.
Примеры использования Wireshark’а как инструмента Threat Intelligence.