Защита сетевого периметра по 152-ФЗ — это не только про брандмауэры. Атаки часто начинаются внутри, и чтобы их заметить, нужно смотреть на сырой трафик. Wireshark — это лупа, которая показывает не просто сбои, а реальные действия злоумышленника, которые системы безопасности иногда пропускают.
Введение
Отклонения в сетевом трафике, которые не вписываются в штатный профиль работы, — это прямой сигнал о проблеме. Под маской безобидного сетевого шума могут скрываться подготовка к взлому, утечка данных или работа вредоносного ПО. Wireshark даёт возможность не доверять абстрактным отчётам, а увидеть факт своими глазами, исследуя каждый пакет.
Сканирование и атаки на доступность
Когда с одного адреса на целевой хост приходит поток однотипных пакетов, это первый признак активной разведки или атаки. Wireshark позволяет не просто констатировать факт повышенной нагрузки, а понять её природу.
Как выглядит аномалия
Вместо разнообразного трафика обмена данными вы наблюдаете монотонный поток запросов. Это может быть:
- Сканирование портов — последовательные запросы к разным портам одного сервера для картирования сервисов.
- Атака на подбор учётных данных — множественные попытки авторизации (например, по протоколам HTTP, FTP, SSH).
- Формирование DDoS-трафика — однотипные запросы, цель которых — исчерпать ресурсы системы, а не получить корректный ответ.
Фильтрация и анализ в Wireshark
Чтобы изолировать трафик от подозрительного источника, используйте фильтр по отправителю:
ip.src == 192.168.1.50Далее обратите внимание на статистику. Меню Statistics → Conversations покажет все «разговоры» этого хоста. Ключевые индикаторы угрозы:
- Высокая частота пакетов при минимальном объёме данных в каждом.
- Большое количество целевых портов у одного получателя.
- Отсутствие полноценных TCP-сессий (пакеты идут только
SYNилиSYN-ACKбез последующегоACKи обмена данными).
ARP Spoofing: атака на инфраструктуру L2
Одна из самых опасных аномалий происходит на канальном уровне. Протокол ARP, отвечающий за преобразование IP-адресов в MAC-адреса, не имеет механизмов аутентификации. Этим пользуются для атак типа «человек посередине».
Механика атаки
В нормальной ситуации, когда устройству нужно узнать MAC-адрес шлюза, оно отправляет широковещательный ARP-запрос «Кто имеет IP 192.168.1.1?». Легитимный шлюз отвечает. При ARP Spoofing атакующий, находящийся в той же подсети, отправляет ложный ARP-ответ, утверждая, что MAC-адрес шлюза теперь принадлежит ему. Жертва обновляет свою ARP-таблицу и начинает отправлять весь внешний трафик злоумышленнику, который может его просматривать и модифицировать.
Выявление в Wireshark
Включите фильтр arp. Тревожными сигналами являются:
- Дублированные ARP-ответы на один запрос от разных MAC-адресов.
- Несоответствие: IP-адрес шлюза в ответе сопоставлен с MAC-адресом, который не принадлежит известному сетевому оборудованию.
- Постоянный поток ARP-ответов без предшествующих запросов (беспричинное обновление ARP-кэшей).
Для глубокого анализа изучите поля ARP-пакета в деталях. Особое внимание — к полю Sender MAC address в пакетах типа Reply.
| Поле | Значение | На что обратить внимание |
|---|---|---|
| Opcode | 1 (Request), 2 (Reply) | Аномально высокое количество Reply без Request |
| Sender MAC | MAC-адрес отправителя | Для IP-адреса шлюза должен быть постоянный, известный MAC |
| Sender IP | IP-адрес отправителя | Часто подменяется на IP важного сетевого узла (шлюз, DNS) |
| Target MAC | MAC-адрес получателя | В запросе — ff:ff:ff:ff:ff:ff (broadcast) |
| Target IP | IP-адрес получателя | Адрес, MAC которого ищут |
Пример захвата аномального ARP-трафика
В логе ниже видна аномалия: два разных хоста (100 и 101) практически мгновенно и многократно запрашивают MAC-адрес шлюза (192.168.1.1). Такая синхронная активность крайне подозрительна для штатной работы.
No. Time Source Destination Protocol Info
1 0.000000 192.168.1.100 Broadcast ARP Who has 192.168.1.1? Tell 192.168.1.100
2 0.001000 192.168.1.101 Broadcast ARP Who has 192.168.1.1? Tell 192.168.1.101
3 0.002000 192.168.1.100 Broadcast ARP Who has 192.168.1.1? Tell 192.168.1.100
4 0.003000 192.168.1.101 Broadcast ARP Who has 192.168.1.1? Tell 192.168.1.101
Заключение
Понимание нормального сетевого профиля — основа для обнаружения аномалий. Wireshark не заменяет системы мониторинга, но предоставляет инструмент для верификации их срабатываний и расследования инцидентов на уровне первичных доказательств — сетевых пакетов. Навык ручного анализа позволяет выявлять сложные угрозы, которые используют легитимные протоколы для вредоносной деятельности, что напрямую соотносится с требованиями 152-ФЗ о постоянном контроле за безопасностью обрабатываемой информации.