Practica 3 Analizador de tráfico.

Los analizadores de protocolos o de red, también conocidos vulgarmente como “sniffers” son

herramientas de gran ayuda para los administradores de las redes de computadores, ya que

permiten el análisis detallado de muchos factores del comportamiento de las mismas; Estas

aplicaciones permiten capturar una copia de los paquetes que circulan por la red para su análisis

posterior. Los más avanzados incluyen una interfaz gráfica capaz de mostrar los campos de los

protocolos de comunicación de los distintos niveles, obtener estadísticas de utilización y facilitar

considerablemente el posterior análisis de los datos capturados

Por ejemplo, un administrador de red que detecte que las prestaciones de la red son bajas puede

utilizar uno de estos analizadores para detectar qué segmentos de la red, protocolos y máquinas

están generando más tráfico, y de esa forma llevar a cabo las acciones necesarias, o bien verificar

el correcto funcionamiento de los diferentes dispositivos de red (hosts, servidores, routers,

cortafuegos, NAT, etc).

Escriba los parámetros de red de su propia máquina: • Dirección Ethernet (física): D4-BE-D9-65-B4-D2 • Dirección IP: 192.168.0.6 • Máscara de subred: 255.255.255.0 • Router (puerta de enlace) predeterminado: 192.168.0.1 • Servidor(es) de DNS predeterminado(s): 192.168.0.1

2. Ping a una máquina interna En este apartado se va a analizar la secuencia de acciones que tiene lugar a consecuencia de la Ejecución de la aplicación “ping” en una máquina, siendo el objetivo una máquina de la misma Subred. Siga de manera ordenada los pasos que se detallan a continuación:

Abra una ventana de opciones de captura en el analizador: menú “Capture, luego Start...” (o directamente mediante ‘Ctrl+K’) y aplique las siguientes opciones (sin hacer clic en “OK” aún):

Seleccione la interfaz sobre la que se desea capturar tráfico en la casilla “Interface”.

Deshabilite “Capture packet in promiscuous mode” (de manera que sólo se capturará el tráfico Ethernet con Origen o destino esta máquina, además del tráfico difusivo).

Deshabilite igualmente “Enable MAC name resolution”, “Enable network name resolution” y “Enable transport name resolution”, de manera que el analizador no intente resolver direcciones a nombres (para evitar que se genere y capture más tráfico debido a esto).

En la figura que sigue se puede observar las posibilidades que ofrece la ventana de opciones de Captura: Averigüe la dirección IP de una máquina de su misma subred que no sea el Router (por ejemplo, desde una ventana de “Símbolo del sistema”, realice un “ping [máquina]” al nombre de la máquina elegida y anote la dirección IP que le corresponde). Escriba la dirección IP de la máquina a la que hace el ping: 192.168.0.8

Desde una ventana de “Símbolo del sistema” observe el estado de la tabla ARP de su PC. Para ello ejecute la orden “arp -a”. En caso de no estar vacía, borre todas las entradas presentes ejecutando la orden “arp -d”. Tras hacerlo, compruebe que efectivamente ahora la tabla está vacía (mediante “arp -a”).

Arranque una captura en el analizador (botón “OK” de la ventana de opciones de captura). Se abrirá una nueva ventana de captura que muestra algunas estadísticas.

Ejecute la orden “ping” a la dirección IP (no al nombre) de la máquina elegida y espere las

cuatro respuestas.

Pare la captura (botón “Stop” de la ventana de captura).

Observe qué entradas han aparecido en su tabla de ARP.

El aspecto habitual del programa, que se muestra en la figura comprende tres ventanas o áreas principales: 1) La ventana superior es la lista de los paquetes. Muestra una breve descripción de cada paquete capturado. Pulsando en alguno de los paquetes de esta lista podemos controlar lo que se visualiza en las dos ventanas restantes. 2) La ventana intermedia muestra con mayor detalle el paquete seleccionado en la primera ventana. Indica los protocolos empleados en los distintos niveles de la arquitectura, así como los valores de cada uno de los campos de cada protocolo.

3) Por último, la ventana inferior muestra el valor de los datos, en hexadecimal y en ASCII, del paquete seleccionado en la ventana superior, y marca en negro los datos seleccionados en la ventana intermedia. Al intentar analizar el tráfico de cualquier red, resulta habitual encontrarse gran cantidad de paquetes que emplean protocolos en los que no estamos interesados. Tal cantidad de tráfico dificulta el análisis de los paquetes capturados y aumenta innecesariamente el tamaño de los ficheros de captura, por lo que se hace indispensable filtrar toda esa información. Para filtrar los paquetes y facilitar el análisis del tráfico capturado podemos usar dos alternativas: La primera es definir un filtro de captura, de modo que el propio Ethereal, cuando llega un nuevo paquete, decide si ese paquete se ajusta o no a los criterios establecidos por el filtro. En caso de que se ajuste, el paquete es aceptado y mostrado en pantalla, mientras que en caso contrario el paquete se descarta. La otra alternativa para filtrar la información de los paquetes es establecer un filtro de pantalla. En este caso lo habitual es capturar todos los paquetes que circulan por la red, sin restricción alguna, y especificar un filtro para poder extraer entre todo ese tráfico capturado aquellos paquetes que nos interesan. En cualquier caso, es posible usar un filtro de captura y posteriormente, sobre los paquetes capturados, usar un filtro de pantalla para ver mejor los detalles que estemos buscando en cada momento. 3. Ping a una máquina externa

a. Vaciar la cache dns

B. realizar ping a una maquina externa utilizando un filtro al protocolo ICMP:

Presentado por juan José Oviedo torres; UNAD mayo 2014