Actividad Wireshark

Julián Andrés Ruiz Castañeda Santiago Cadavid Gómez

CESGE

SENA (Servicio Nacional de Aprendizaje)

Medellín 2013

Actividad Wireshark Sniffers

Julián Andrés Ruiz Castañeda Santiago Cadavid Gómez

Tecnología en administración de redes

Julián Ciro Ramírez

Centro de servicios y gestión empresarial

SENA (Servicio nacional de aprendizaje)

Medellín 2013

Contenido

Introducción 4

TAREAS BÁSICAS 5

Características de los tres paneles de Wireshark. 5

Métodos para escoger la interfaz de red 5

Visualización de los paneles en Wireshark 7

Configurar la columna de tiempo en el panel de lista de paquetes 8

Guardar capturas de manera Cíclica (que se mantengan solo los 10 últimos

archivos) 9

Filtros 10

Filtro de Visualización y filtro de captura 10

Filtros de visualización 11

Estadísticas y análisis de flujos 12

Capturas de tráfico de 4 servidores Web 12

Diagrama de flujo de las conversaciones establecidas en el numeral anterior

15

Análisis gráfico del tráfico generado en el anterior numeral, usando la opción

I/O Graphs, en el menú “Statistics” 15

Uso de la opción “Follow TCP Stream” 16

ANÁLISIS DE PROTOCOLOS DE APLICACIÓN 17

Trafico HTTP 17

Trafico FTP 18

Trafico DHCP 19

MANEJO DE OTRAS HERRAMIENTAS Y RECURSOS 20

Tcpdump/Windump 20

SPAN y RSPAN (Port mirroring) 20

Otras Aplicaciones que cumple la función de Sniffer 21

Consulta adicional 22

Conclusiones 23

Cibergrafía 24

Introducción

En el siguiente trabajo, podemos analizar y comprender los distintos modos que hay para analizar tráfico de red por medio de Sniffers, en este caso Wireshark (uno de los más usados) y también se puede comprender el proceso en el cual se establecen distintas conexiones con servidores, usando distintos protocolos de internet que hay en la actualidad. Esto se lograra por medio de capturas de tráfico usando un Sniffer y pantallazos que nos suministrara una forma más accesible de entender estos procesos. Además podremos observar otros métodos y otros programas de captura de tráfico de red con sus distintas características y precios.

TAREAS BÁSICAS

Características de los tres paneles de Wireshark.

El panel 1 nos muestra la lista de paquetes que están pasando por la interfaz de red en tiempo real.

El panel 2 nos muestra los detalles de cualquier paquete que seleccionemos en la lista de paquetes (panel 1)

El panel 3 nos muestra de una forma más detallada en lenguaje de maquina (hexadecimal) los detalles del panel 2.

Métodos para escoger la interfaz de red

Para seleccionar la interfaz de red que queremos monitorear, debemos seleccionar el primer icono a la izquierda en la siguiente gráfica.

Otra forma de seleccionar una interfaz para monitorearla, es seleccionando la

opción capture y en el despegable seleccionar interfaces.

Otra manera es presionando Ctrl+i.

Otra forma es dirigiéndose al icono donde se encuentra el cursor, luego cuando nos abra la ventana de preferencias seleccionamos capture y le damos click al despegable y seleccionamos la interfaz deseada.

Visualización de los paneles en Wireshark

Para modificar la forma u orden de los paneles vamos al icono de preferencias (donde está el cursor), en la ventana emergente seleccionamos layout, luego podremos seleccionar la plantilla que deseamos utilizar para nuestros paneles, también podemos seleccionar la ubicación de cada uno de los paneles, damos aplicar y aceptar.

Acá podemos ver como quedaron modificados nuestros paneles.

Configurar la columna de tiempo en el panel de lista de paquetes

Para que en la columna de tiempo aparezca la hora y el día exacto en que el paquete pasa por la interfaz, vamos a view y seleccionamos time display format y luego seleccionamos la opción que nos mostrará el día y la fecha actual.

Para hacerlo de una forma más rápida, presionamos Ctrl+Alt+1.

Acá podemos ver cómo cambio la configuración de la hora.

Guardar capturas de manera Cíclica (que se mantengan solo los 10 últimos

archivos)

Vamos a captura en la ventana desplegable seleccionamos opciones, y luego chuleamos use múltiple files, luego también chuleamos next file every que nos indicara cuanto debe pesar cada archivo, y también chuleamos ring buffer with que nos indica cada cuantos archivos se renueva la información guardada.

Luego podemos ver los archivos guardados en la carpeta que le asignamos en el campo file.

Filtros

Filtro de Visualización y filtro de captura

El filtro de captura nos permite seleccionar que entre solo un tipo de paquete

El filtro de visualización nos permite seleccionar que paquete en específico queremos ver en el panel.

Filtros de visualización

1. Dirección IP de origen.

Vamos al filtro de visualización y digitamos ip.src == (IP origen que queremos filtrar)

2. Dirección MAC de destino.

Digitar en el campo de filtro de visualización eth.dst

3. Tráfico TCP que use el puerto 443.

Vamos al filtro de visualización y escribimos tcp.port == 443 y dar clic en apply

4. Tráfico ARP.

En filtro de visualización digitar arp y aplicar

5. Tráfico DNS.

Ir al acampo filtro de visualización y digitar dns y aplicar

Estadísticas y análisis de flujos

Capturas de tráfico de 4 servidores Web

www.Google.com

www.youtube.com

www.gmail.com

www.facebook.com

Según las imágenes la conversación que más tráfico generó fue con youtube.com por ser un servidor de videos que se actualiza constantemente.

Diagrama de flujo de las conversaciones establecidas en el numeral anterior

Como podemos ver en la anterior imagen se puede generar el diagrama de flujo mediante el menú “Statistics” y seleccionando la opción “Flow Graph” Saldrá el recuadro que observamos al lado izquierdo del Diagrama de flujo, allí podemos seleccionar que flujo analizar y con qué paquetes, el diagrama de flujo analiza con detalle la comunicación que se ha establecido con el servidor, además podemos observar la comunicación a través de señales de bits (ACK, Sync…) que son señales que establecen una conexión en el protocolo “TCP”.

Análisis gráfico del tráfico generado en el anterior numeral, usando la opción

I/O Graphs, en el menú “Statistics”

En el anterior Grafico podemos observar Gráficamente el tráfico que generó el acceso a los servidores web. Esto se logra ingresando por el menú de opciones “Statistics” y dando clic en la opción “IO graphs” luego seleccionamos en la ventana emergente el filtro que queremos que nos muestre el grafico

Uso de la opción “Follow TCP Stream”

“Follow TCP Stream” nos brinda la opción de ver un poco más que lleva el paquete que hemos seleccionado y previamente, nos muestra detalles de lo que va escrito en el mensaje o paquete que se está transmitiendo entre el servidor y nuestro equipo.

ANÁLISIS DE PROTOCOLOS DE APLICACIÓN

Trafico HTTP

Se logra observar cómo se registra la solicitud de conexión que capturó Wireshark y nos muestra las flags (ASK, SYNC, FIN…) que se establecen cuando hacemos una petición al servidor ya sea de conexión o de petición de datos, en el https se pudo establecer conexión pero al intentar pedir el html no arroja información alguna y tampoco deja escribir el comando para generar esta petición.

Trafico FTP

Se estableció conexión con el servidor de Debian, como lo podemos ver en la imagen, podemos observar cómo nos pidió usuario y contraseña a la cual se pudo acceder ingresando ftp como usuario y contraseña. En Wireshark podemos observar la comunicación que obtuvimos al ingresar en el servidor cuando ingresamos un comando y cuando ingresamos información, también podemos ver la respuesta del servidor cuando vamos a salir, se puedo lograr captar correctamente la información de los datos que ingresamos (contraseña y usuario) y el comportamiento que tuvo el servidor al ingresar un comando incorrecto y un comando correcto.

Trafico DHCP

En el siguiente Grafico observamos el proceso para liberar una IP en un computador, al igual observamos el comportamiento que genera en el tráfico de Red con el programa Wireshark, se puede observar que aparece el comando que hemos ingresado para liberar la IP del equipo y la respuesta que obtuvimos al hacerlo, al igual se puede observar como actúa el DHCP al hacerle la petición de una nueva IP, Mandando una respuesta y luego vemos como finaliza con ACK (acuse de recibido) confirmando que el proceso ha sido efectuado.

MANEJO DE OTRAS HERRAMIENTAS Y RECURSOS

Tcpdump/Windump

Como se puede observar en la imagen este es otro método de captura de trafico de un interfaz de red al cual se puede acceder descargando el archivo “Windump” en Windows y guardarlo en la carpeta del sistema operativo (Windows) en Linux- Ubuntu no es necesario descargarlo allí se ejecuta el comando tcpdump y obtendremos similar resultado. En esta imagen se observa el redireccionamiento de la captura hacia un archivo de texto (.txt) al cual accederemos como se muestra en la imagen.

SPAN y RSPAN (Port mirroring)

Switch Port Analyzer Network (SPAN) La duplicación de puertos es un método de

supervisión del tráfico de red. Con la duplicación de puertos habilitada, el

conmutador envía una copia de todos los paquetes de red se ven en un puerto (o

toda una VLAN) a otro puerto, donde se encuentra el paquete de análisis.

Ingenieros o administradores de red utilizan la duplicación de puertos para analizar

y depurar datos o diagnosticar errores en una red. Ayuda a que el administrador

mantenga una estrecha vigilancia sobre el desempeño de la red y le alertará

cuando se producen problemas. Se puede utilizar para duplicar el tráfico entrante

o saliente (o ambos) en las interfaces simples o múltiples.

Remote Switch Port Analyzer Network (RSPAN) Apoya puertos de origen, VLAN

de origen, de destino y los puertos en los diferentes switches (o pilas de diferentes

interruptores), lo que permite el control remoto de múltiples switches en la red.

Cambiar el tráfico para cada RSPAN sesión se realiza a través de una VLAN

especificada por el usuario RSPAN que está dedicado para esa sesión RSPAN en

todos los interruptores de participantes.

El tráfico RSPAN de los puertos de origen o VLAN se copia en la VLAN RSPAN y

enviado a través de puertos de enlace troncal de la VLAN RSPAN llevan a una

sesión de seguimiento del destino VLAN RSPAN. Cada interruptor de la fuente

RSPAN debe tener puertos o VLAN como fuentes RSPAN. El destino es siempre

un puerto físico

Otras Aplicaciones que cumple la función de Sniffer

Microsoft Network Monitor.

Microsoft Network Monitor es un analizador de paquetes de red gratuito y funciona

en PCs Windows. Proporciona capacidad de la red de expertos para ver todo el

tráfico de red en tiempo real en una intuitiva interfaz gráfica de usuario. Mientras

tanto, puede capturar y ver información de la red más de 300 públicos, propiedad

de Microsoft y los protocolos de red, incluyendo los paquetes de red inalámbrica.

Capsa packet Sniffer

Capsa es un analizador de red de paquetes es un software gratuito para los

administradores de red para supervisar, diagnosticar y solucionar sus network.The

paquete gratis de la red la versión del analizador viene con toneladas de

características, y es lo suficientemente buena para uso doméstico, así como su

uso en la pequeña empresa.

InnoNWSniffer

El InnoNWSniffer nombre es sinónimo de Inno Network Sniffer. La aplicación fue

desarrollada para ser un pequeño escáner de propiedad intelectual similar a la de

redes Sniffer. Puede escanear en vivo IP pública y escanear cualquier ordenador

de la LAN. Más sobre el mismo puede dar una información detallada del sistema.

Consulta adicional

GET

Pide una representación del recurso especificado. Por seguridad no debería ser

usado por aplicaciones que causen efectos ya que transmite información a través

de la URL agregando parámetros a la URL.

Ejemplo:

GET /images/logo.png HTTP/1.1 obtiene un recurso llamado logo.png

Ejemplo con parámetros:

/index.php?page=main&lang=es

POST

Somete los datos a que sean procesados para el recurso identificado. Los datos

se incluirán en el cuerpo de la petición. Esto puede resultar en la creación de un

nuevo recurso o de las actualizaciones de los recursos existentes o ambas cosas.

Conclusiones

1. Los Sniffers son herramienta fundamental para un administrador de red pues le brinda la posibilidad y facilidad de analizar información de gran importancia a la hora de reparar una red.

2. Los programas de captura de tráfico de red no son los únicos que pueden hacer capturas de red, pues también hay métodos que están accesibles desde la consola de comando de nuestro equipo.

3. Wireshark nos ofrece una completa accesibilidad, mediante sus herramientas y su buen uso, lo que nos permite conocer un poco más sobre los distintos procesos que hay en los protocolos de red y las distintas conexiones que se establecen y pasan por nuestra NIC.

Cibergrafía

http://wiki.wireshark.org/

https://blog.wireshark.org/

http://packetlife.net/blog/2008/jun/2/packet-captures-courtesy-wireshark-wiki/

http://www.miarec.com/faq/what-is-port-mirroring

http://www.soportederedes.com/2007/06/wireshark-101-filtros-de-visualizacin.html

http://acsblog.es/articulos/trunk/LinuxActual/Apache/html/x49.html

http://www.tcpdump.org/