Wireshark

Taller Wireshark
Taller de Práctica Wireshark
En esta práctica se pretende adquirir las capacidades necesarias para capturar paquetes usando la herramienta Wireshark. Por ello vamos a aprender a capturar paquetes utilizando los filtros que nos proporciona Wireshark, de manera que aceptaremos unos paquetes y desecharemos otros.

Harold Rico Ortiz Cód. 54081014

Ejercicio 0: Borra todas lasentradas de tu cache de ARP y lanza el programa Wireshark.

Desde una consola ejecuta la orden ping www.google.es y captura los paquetes que lleguen a tu tarjeta de red (en modo NO promiscuo) durante 10 segundos. Observa los paquetes que has capturado. ¿Entiendes todos los paquetes? Explica los paquetes capturados generados por la orden ping ejecutada.

R= Al instante de lanzar el ping aww.google.es se capturaron 11 paquetes de 14, de los cuales 8 eran ICMP, 2 ARP y un DHCPv6; puesto a que los dos paquetes ARP que aparecen al comienzo de la captura estaban antes de hacer ping al igual que el DHCPv6 inicial con destino ff02::1:2; ahora explicando los de protocolo ICMP, al momento que hice ping, se generaron 4 de solicitud y otros 4 protocolos ICMP de respuesta; los de protocolo ICMP desolicitud tenía como destino la dirección 72.14.253.104 y el ICMP de respuesta tenía como destino la dirección 10.1.1.2 y cada protocolo de internet 10.1.1.2 tenía como longitud 20 bytes al igual que el protocolo de 72.14.253.104 Ejercicio 1: Realiza otra captura, esta vez en modo promiscuo, para ver los paquetes que circulan por la red local en este momento. Mediante la opciónStatistics/Protocol

Hierarchy, indica cuántos paquetes de cada uno de estos tipos has recibido,
teniendo en cuenta que alguno de los valores podría ser cero si no se han capturado paquetes del protocolo correspondiente:

ARP: 6 paquetes IP: 2060 paquetes ICMP: 0 paquetes TCP: 1988 paquetes UDP: 72 paquetes Centra tu atención en el primer paquete IP recibido, y rellena los siguientes datos del mismo: Dir. IPorigen: 10.1.1.2 Dir. IP destino: 74.125.47.113 Protocolo: TCP Tamaño: 20 bytes TTL: 52 Identificador: 0x65d9 2. Filtros de captura y de pantalla Como habrás visto, al intentar analizar el tráfico de cualquier red, resulta habitual encontrarse gran cantidad de paquetes que emplean protocolos en los que no estamos interesados. Tal cantidad de tráfico dificulta el análisis de los paquetescapturados y aumenta innecesariamente el tamaño de los ficheros de captura, por lo que se hace indispensable filtrar toda esa información. Para filtrar los paquetes y facilitar el análisis del tráfico capturado podemos usar dos alternativas, no excluyentes entre ellas. La primera es definir un filtro de captura, de modo que el propio Wireshark, cuando llega un nuevo paquete, decide si ese paquete seajusta o no a los criterios establecidos por el filtro. En caso de que se ajuste, el paquete es aceptado y mostrado en pantalla, mientras que en caso contrario el paquete se descarta. La otra alternativa para filtrar la información de los paquetes es establecer un filtro de pantalla. En este caso lo habitual es capturar todos los paquetes que circulan por la red, sin restricción alguna, y especificarun filtro para poder extraer entre todo ese tráfico capturado aquellos paquetes que nos interesan. En cualquier caso, es posible usar un filtro de captura y posteriormente, sobre los paquetes capturados, usar un filtro de pantalla para ver mejor los detalles que estemos buscando en cada momento. Los filtros de captura se pueden especificar desde la ventana de captura (Capture Options). Podemosespecificar un filtro escribiendo la expresión correspondiente en la caja de texto situada junto al botón Filter. La sintaxis de estas expresiones es la misma que la usada en la orden tcpdump, disponible habitualmente en los sistemas Unix y Linux. En el apartado siguiente se mostrará un resumen de esta sintaxis. Por otra parte, los filtros de pantalla se pueden especificar desde la parte inferior...