reporte practica 1 laboratorio de redes

Click here to load reader

  • date post

    24-Jun-2015
  • Category

    Documents

  • view

    157
  • download

    4

Embed Size (px)

description

uso del programa wireshark para analizar paquetes que entran por alguna interfaz

Transcript of reporte practica 1 laboratorio de redes

Redes de Telecomunicaciones Practica de laboratorio 1 Soto Hernndez ChristianPrograma wireshark El programa wireshark es un analizador de paquetes que entran y/o salen de la computadora por alguno de sus puertos, para esta practica se analizaran los paquetes del puerto de red Ethernet. Para poder utilizar el programa se debe hacer desde la linea de comandos y as poder tener derechos de administrador, la instruccin es la siguiente: sudo wireshark Para comenzar a capturar datos del puerto de red se debe realizar los siguientes pasos: 1-ir al men en la parte superior y entrar a la seccin "capture" 2-dentro de el pequeo submenu seleccionar la opcin "options" 3-en la nueva ventana seleccionar el grupo de opciones "interfaces" 4-seleccionar la opcin "eth2" Su contenido se muestra en 3 ventanas:

La ventana superior es la ventana de paquetes, en esta ventana se muestran todos los paquetes de

informacin que entran y salen por un puerto. La ventana de en medio es una ventana de subcampos de los paquetes, en esta ventana se observan unas estructuras con etiquetas que corresponden a la informacin contenida dentro del paquete seleccionado en la ventana de paquetes,. La ventana inferior es la ventana hexadecimal, en esta ventana se observa el paquete seleccionado en la ventana de paquetes en forma de archivo hexadecimal, y a la derecha dentro de esa ventana se ve el archivo decodificado en ASCII. Una vez que se han comenzado a capturar datos, en la ventana de paquetes (de ahora en adelante denominada VP) se observaran una serie de mensajes ordenados de forma cronolgica, cada uno representa un paquete y tienen un color asignado para que sea mas fcil identificar los diferentes tipos de paquetes. En esta ocasin se analizaran los paquetes relacionados con una consulta web y una solicitud al servidor DNS mediante el comando ping. Comenzamos con la solicitud web, abrimos el navegador web y escribimos la direccin de la pagina a la que se desea ir entrar en la barra de direcciones y presionamos ir; regresamos a la aplicacin wireshark y en la VP buscamos un paquete que use el protocolo HTTP, y en info diga GET/HTTP/1.1, para que sea mas fcil encontrarlo, podemos usar un filtro, debajo de la barra de herramientas escribimos Http en el campo vaco y presionamos Apply. Una vez encontrado y seleccionado el paquete en la VP procedemos a observar su contenido en la ventana de subcampos de paquetes (de ahora en adelante llamada VSP), la informacin se muestra como estructuras expansibles al dar clicen el signo +, la primer estructura nombrada Frame N donde n es el nmero de paquete encontrado, aqu se encuentra informacin tcnica respecto al mismo paquete, como tamao, protocolo, puerto y fecha. La segunda estructura debe llamarse Ethernet en esta se encuentra informacin sobre las direcciones MAC de origen y destino.

La siguiente estructura llamada Internet Protocol, en esta encontramos la versin de IP que se usa, origen, destino, el valor de los bit banderas de control, y cheksum una suma de control para asegurar que el paquete llego sin errores.

La siguiente estructura se llama Transmisin Control Protocol, aqu se encuentra informacin sobre el puerto origen y destino, adems de otros bits bandera y cheksum. La ultima estructura llamada Hypertext Transerf Protocol, esta corresponde a el mensaje enviado por el navegador web, aqu se encuentra el nombre de dominio, el navegador, versin del navegador, el tipo de archivos que soporta, la codificacin de caracteres que maneja, entre otras cosas. Despus de ese paquete se pueden observar otros paquetes con solicitudes GET que por el momento vamos a ignorar, abajo de estos se debe observar el paquete de respuesta del servidor HTTP/1.1 200 OK (text/html).

Si seleccionamos este paquete en VP, observamos en VSP que tienen estructuras de informacin muy parecidas a las de la solicitud, pero aqu tambin se incluyen otras estructuras, entre ellas una llamada Reassambled TCP Segments, es decir el archivo no llego dentro de un solo paquete, fue segmentado y reensamblado al llegar al destino, los paquetes tienen un tamao mximo de 1440 bytes; mientras llegaban los segmentos de paquetes el navegador lea parte del documento y encontraba que haba archivos enlazados e incrustados en la pagina (Javascript, CSS, imgenes) as que se iban haciendo las solicitudes al servidor de estos archivos. Por ultimo esta una estructura llamada Line-based text data: text/html donde se muestra el documento html completado.

Si revisamos los siguientes paquetes en la VP veremos que corresponden a la solicitud y recepcin de los archivos incrustados.

Continuamos ahora con la consulta al DNS con el comando ping. En la linea de comandos escribimos ping y el nombre del dominio que queremos resolver, en este caso particular se eligi www.taringa.net.

Si observamos la VP encontramos que primero se realiza la consulta con el protocolo DNS, en la VSP observamos que el paquete es similar a una consulta HTTP, pero en esta no se utiliza TCP, en su lugar

se usa User Datagram Protocol (UDP). La estructura que sigue es Domain Name System, aqui se observa que se hizo una pregunta para resolver el nombre del dominio www.taringa.net.

Un poco mas abajo dentro de VP encontramos la respuesta DNS, en VSP observamos que se obtuvo ms de una respuesta, pues al ser un sitio web muy grande tiene mas de un servidor cada uno con su propia direccin IP. El siguiente paquete de VP corresponde al Echo (ping) request en la VSP observamos que la nica informacin es un mensaje de 56 bytes sin sentido alguno.

Debajo de este se encuentra la respuesta Echo (ping) reply si lo revisamos en la VSP nos damos cuenta que se repite el mensaje de 56 bytes, eso es porque lo que hace ping no es una resolucin de DNS sino una consulta sobre el estado del servido y as saber si se encuentra disponible y cuanto tiempo tarda en responder. Conclusiones El programa wireshark puede ser una herramienta muy poderosa si se tiene el conocimiento adecuado sobre los paquetes que se mueven por los puertos, pues as podra encontrar transmisin y/o recepcin de datos no autorizados, como los que producen los programas maliciosos.