análisis de red con whireshark
Páginas: 8 (1791 palabras)
Publicado: 9 de enero de 2014
Actividad 6. El analizador de protocolos Wireshark
1. Introducción
En esta práctica se pretende adquirir las capacidades necesarias para capturar paquetes usando la herramienta Wireshark. En primer lugar se pretende que el alumno conozca las acciones (secuencias de intercambio de paquetes) generadas por la ejecución de las órdenes de red más frecuentes. En segundo lugar, dado que por la redviajan multitud de paquetes, será necesario seleccionar aquellos que nos resulten de interés. Por ello vamos a aprender a capturar paquetes utilizando los filtros que nos proporciona Wireshark, de manera que aceptaremos unos paquetes y desecharemos otros. En tercer lugar, se pretende introducir al alumno en la interpretación del contenido de los paquetes capturados para afianzar los conceptosrelativos a los protocolos estudiados en clase. Todo ello permitirá poner en práctica los conocimientos adquiridos a lo largo de varios de los temas vistos en las clases de teoría, adquiriendo una mayor comprensión de los procesos que ocurren en la red cuando se llevan a cabo diversas acciones a nivel de usuario.
Ejercicio 0:
Borra todas las entradas de tu cache de ARP y lanza el programaWireshark.
Desde una consola ejecuta la orden ping www.google.es y captura los paquetes que lleguen a tu tarjeta de red (en modo NO promiscuo) durante 10 segundos. Observa los paquetes que has capturado. ¿Entiendes todos los paquetes? Explica los paquetes capturados generados por la orden ping ejecutada.
Ejercicio 1:
Realiza otra captura, esta vez en modo promiscuo, para ver los paquetesque circulan por la red local en este momento. Mediante la opción Statistics/Protocol Hierarchy, indica cuántos paquetes de cada uno de estos tipos has recibido, teniendo en cuenta que alguno de los valores podría ser cero si no se han capturado paquetes del protocolo correspondiente:
ARP:
IP:
ICMP:
TCP:
UDP:
Centra tu atención en el primer paquete IP recibido, yrellena los siguientes datos del mismo:
Dir. IP origen:
Dir. IP destino:
Protocolo:
Tamaño:
TTL:
Identificador:
2. Filtros de captura y de pantalla
Como habrás visto, al intentar analizar el tráfico de cualquier red, resulta habitual encontrarse gran cantidad de paquetes que emplean protocolos en los que no estamos interesados. Tal cantidad de tráfico dificulta el análisisde los paquetes capturados y aumenta innecesariamene el tamaño de los ficheros de captura, por lo que se hace indispensable filtrar toda esa información.
Para filtrar los paquetes y facilitar el análisis del tráfico capturado podemos usar dos alternativas, no excluyentes entre ellas. La primera es definir un filtro de captura, de modo que el propio Wireshark, cuando llega un nuevo paquete,decide si ese paquete se ajusta o no a los criterios establecidos por el filtro. En caso de que se ajuste, el paquete es aceptado y mostrado en pantalla, mientras que en caso contrario el paquete se descarta. La otra alternativa para filtrar la información de los paquetes es establecer un filtro de pantalla. En este caso lo habitual es capturar todos los paquetes que circulan por la red, sinrestricción alguna, y especificar un filtro para poder extraer entre todo ese tráfico capturado aquellos paquetes que nos interesan. En cualquier caso, es posible usar un filtro de captura y posteriormente, sobre los paquetes capturados, usar un filtro de pantalla para ver mejor los detalles que estemos buscando en cada momento. Los filtros de captura se pueden especificar desde la ventana de captura(Capture Options). Podemos especificar un filtro escribiendo la expresión correspondiente en la caja de texto situada junto al botón Filter.
La sintaxis de estas expresiones es la misma que la usada en la orden tcpdump, disponible habitualmente en los sistemas Unix y Linux. En el apartado siguiente se mostrará un resumen de esta sintaxis.
Por otra parte, los filtros de pantalla se pueden...
1. Introducción
En esta práctica se pretende adquirir las capacidades necesarias para capturar paquetes usando la herramienta Wireshark. En primer lugar se pretende que el alumno conozca las acciones (secuencias de intercambio de paquetes) generadas por la ejecución de las órdenes de red más frecuentes. En segundo lugar, dado que por la redviajan multitud de paquetes, será necesario seleccionar aquellos que nos resulten de interés. Por ello vamos a aprender a capturar paquetes utilizando los filtros que nos proporciona Wireshark, de manera que aceptaremos unos paquetes y desecharemos otros. En tercer lugar, se pretende introducir al alumno en la interpretación del contenido de los paquetes capturados para afianzar los conceptosrelativos a los protocolos estudiados en clase. Todo ello permitirá poner en práctica los conocimientos adquiridos a lo largo de varios de los temas vistos en las clases de teoría, adquiriendo una mayor comprensión de los procesos que ocurren en la red cuando se llevan a cabo diversas acciones a nivel de usuario.
Ejercicio 0:
Borra todas las entradas de tu cache de ARP y lanza el programaWireshark.
Desde una consola ejecuta la orden ping www.google.es y captura los paquetes que lleguen a tu tarjeta de red (en modo NO promiscuo) durante 10 segundos. Observa los paquetes que has capturado. ¿Entiendes todos los paquetes? Explica los paquetes capturados generados por la orden ping ejecutada.
Ejercicio 1:
Realiza otra captura, esta vez en modo promiscuo, para ver los paquetesque circulan por la red local en este momento. Mediante la opción Statistics/Protocol Hierarchy, indica cuántos paquetes de cada uno de estos tipos has recibido, teniendo en cuenta que alguno de los valores podría ser cero si no se han capturado paquetes del protocolo correspondiente:
ARP:
IP:
ICMP:
TCP:
UDP:
Centra tu atención en el primer paquete IP recibido, yrellena los siguientes datos del mismo:
Dir. IP origen:
Dir. IP destino:
Protocolo:
Tamaño:
TTL:
Identificador:
2. Filtros de captura y de pantalla
Como habrás visto, al intentar analizar el tráfico de cualquier red, resulta habitual encontrarse gran cantidad de paquetes que emplean protocolos en los que no estamos interesados. Tal cantidad de tráfico dificulta el análisisde los paquetes capturados y aumenta innecesariamene el tamaño de los ficheros de captura, por lo que se hace indispensable filtrar toda esa información.
Para filtrar los paquetes y facilitar el análisis del tráfico capturado podemos usar dos alternativas, no excluyentes entre ellas. La primera es definir un filtro de captura, de modo que el propio Wireshark, cuando llega un nuevo paquete,decide si ese paquete se ajusta o no a los criterios establecidos por el filtro. En caso de que se ajuste, el paquete es aceptado y mostrado en pantalla, mientras que en caso contrario el paquete se descarta. La otra alternativa para filtrar la información de los paquetes es establecer un filtro de pantalla. En este caso lo habitual es capturar todos los paquetes que circulan por la red, sinrestricción alguna, y especificar un filtro para poder extraer entre todo ese tráfico capturado aquellos paquetes que nos interesan. En cualquier caso, es posible usar un filtro de captura y posteriormente, sobre los paquetes capturados, usar un filtro de pantalla para ver mejor los detalles que estemos buscando en cada momento. Los filtros de captura se pueden especificar desde la ventana de captura(Capture Options). Podemos especificar un filtro escribiendo la expresión correspondiente en la caja de texto situada junto al botón Filter.
La sintaxis de estas expresiones es la misma que la usada en la orden tcpdump, disponible habitualmente en los sistemas Unix y Linux. En el apartado siguiente se mostrará un resumen de esta sintaxis.
Por otra parte, los filtros de pantalla se pueden...
Leer documento completo
Regístrate para leer el documento completo.