Дана топология сети и файл logs.txt. На схеме мы ничего приметного не находим. Просто два отдела по 6 ПК с указанием IP-адресов.

Рассмотрим файл logs.txt. В нем можем увидеть урезанный дамп трафика с указанием времени, источника, назначения, протокола, длины и информации. Просмотрев весь трафик можно сделать вывод, что это ping-запросы, так как работает протокол ICMP и в информации передается информация, похожая на результаты выполнения команды ping.

При выполнении команды ping идет подсчет пакетов, отправленных от источника к получателю. Как, например, вот здесь:

Однако в полученном нами файле, подсчет пакетов идет неправильно, начинаясь не с единицы, и, в принципе, имеет хаотичный порядок.

Значения в поле icmp_seq могут быть похожи на ASCII символы, которые скрыты в Decimal формате. Можем проверить эту гипотезу.

Согласно таблице ASCII есть непечатаемые символы от 0 до 31 и от 127 до 255. Исходя из этого все значения icmp_seq в данных диапазонах мы можем просто убрать из логирования.

Анализ log.txt: найдены ICMP-пакеты с icmp_seq