Captura ethernet con wireshark PDF

Preview

Summary

Captura de datos con wireshark en ethernet. Manual...

Description

Ethernet Configuración de captura de Ethernet Explicaré los puntos en los que pensar al capturar paquetes de redes Ethernet . Si sólo está intentando capturar el tráfico de red entre la máquina que ejecuta Wireshark o TShark y otras máquinas en la red, debería poder hacerlo mediante la captura en la interfaz de red a través de la cual se transmitirán y recibirán los paquetes; no debería ser necesaria ninguna configuración especial. (Si está intentando capturar el tráfico de red entre los procesos que se ejecutan en la máquina que ejecuta Wireshark o TShark, es decir, el tráfico de red de esa máquina a sí misma, deberá capturar en una interfaz de bucle invertido, si es posible; consulte CaptureSetup / Loopback ). Si está intentando capturar el tráfico de red que no se envía hacia o desde la máquina que ejecuta Wireshark o TShark, es decir, tráfico entre dos o más máquinas en un segmento de Ethernet, tendrá que capturar en "modo promiscuo" y, en una red Ethernet conmutada, tendrá que configurar la máquina especialmente para capturar ese tráfico. Esto se analiza a continuación. Consulte también el Libro de estrategias de captura de paquetes de red de Jasper Bongertz , que brinda más detalles sobre la captura de Ethernet.

Tabla de contenido 

Configuración de captura de Ethernet o

Tabla de contenido

o

Tipos de paquetes

o

Ethernet compartida

o

Ethernet conmutada 

Capture en la máquina que le interesa



Capturar usando un concentrador Ethernet



Capturar usando un modo de monitor del interruptor



Capturar usando una máquina en el medio



Capturar usando un toque de red



Capture usando un software MITM (Man-In-The-Middle)



Inundación MAC

o

Monitorear puerto versus toma de red

o

Detectar etiquetas VLAN 802.1Q

Tipos de paquetes El hardware Ethernet en el adaptador de red filtra todos los paquetes recibidos y los entrega al host. 

todos los paquetes Unicast que se envían a una de las direcciones para ese adaptador, es decir, paquetes enviados a ese host en esa red;



todos los paquetes de multidifusión que se envían a una dirección de multidifusión para ese adaptador, o todos los paquetes de multidifusión independientemente de la dirección a la que se envían (algunos adaptadores de red se pueden configurar para aceptar paquetes para direcciones de multidifusión específicas , otros entregan todos los paquetes de multidifusión al host para que lo filtre);



todos los paquetes de difusión .

El controlador del adaptador también enviará copias de los paquetes transmitidos al mecanismo de captura de paquetes, para que también sean vistos por un programa de captura. Para capturar el tráfico de Ethernet que no sea el tráfico de unidifusión hacia y desde el host en el que está ejecutando Wireshark, tráfico de multidifusión y tráfico de difusión , el adaptador deberá ponerse en modo promiscuo, de modo que el filtro mencionado anteriormente esté apagado y todos los paquetes recibidos se entregan al host. Además, si está en una Ethernet conmutada, en lugar de una Ethernet compartida, también tendrá que tomar medidas para asegurarse de que todo el tráfico en el que está interesado se envíe al adaptador Ethernet en la máquina que ejecuta el programa de captura de paquetes; ese no es, por defecto, el caso en redes conmutadas, por lo que los intentos de captura en una red conmutada verán, por defecto, solo el tráfico que la máquina de captura vería cuando no esté en modo promiscuo. Los detalles sobre Ethernet compartida y conmutada se pueden encontrar a continuación.

Ethernet compartida En los viejos tiempos, las redes Ethernet eran redes compartidas, que usaban medios compartidos o concentradores para conectar los nodos Ethernet juntos, lo que significa que todos los paquetes podían ser recibidos por todos los nodos de esa red. Por lo tanto, si un adaptador Ethernet de una red de este tipo se pone en modo promiscuo, ese adaptador verá todos los paquetes de la red y, por lo tanto, podrá capturarlos con ese adaptador.

Hoy en día, las redes compartidas se están volviendo populares nuevamente, ya que las WLAN están utilizando esta técnica. Puede echar un vistazo a CaptureSetup / WLAN para obtener más detalles.

Ethernet conmutada Hoy en día, una red Ethernet típica utilizará conmutadores para conectar los nodos Ethernet juntos. Esto puede aumentar mucho el rendimiento de la red, pero hace la vida mucho más difícil al capturar paquetes.

Un conmutador Ethernet hará algo similar al hardware del adaptador Ethernet mencionado anteriormente, pero dentro del conmutador. Puede inferir, a partir del tráfico visto en un puerto de conmutador, qué dirección o direcciones Unicast utiliza el adaptador conectado a ese puerto, y reenviará a ese puerto sólo el tráfico Unicast enviado a esa dirección o direcciones, así como todos los paquetes Multicast y Broadcast de la red.

Como hay paquetes de unidifusión que no se envían a un host, no se colocarán en el puerto del conmutador al que está conectado su adaptador y no tendrá esos paquetes. Poner el adaptador en modo promiscuo no puede hacer que vea esos paquetes.

A continuación, se describen algunos métodos para evitar este problema.

Capture en la máquina que le interesa Si solo necesita los datos de captura de un host específico, intente capturar en esa máquina.



Ventaja: fácil de usar.



Desventaja: otro tráfico no disponible

Capturar usando un concentrador Ethernet Si tiene un concentrador Ethernet "antiguo" disponible, colóquelo dentro de la línea Ethernet desde la que desea capturar. Esta podría ser la línea entre un conmutador y un nodo o entre dos conmutadores.

¡Tenga en cuenta que esto interrumpirá el tráfico de la red mientras conecta los cables! Este método puede afectar / afectará el rendimiento de la red, si está utilizando el modo EthernetFullDuplex . Esto no es óptimo para la resolución de problemas de red. Tenga en cuenta que algunos "concentradores" son en realidad "concentradores de conmutación", que son conmutadores en lugar de concentradores "antiguos", y no ayudarán en este caso, y que los concentradores de "doble velocidad" (10 / 100Mb) no reenvían unidifusión tráfico entre puertos de 10 Mb / sy 100 Mb / s, lo que requiere que la máquina de captura ejecute su Ethernet a la misma velocidad que las máquinas cuyo tráfico está tratando de capturar. 

Ventaja: a menudo, un centro de este tipo está disponible



Desventaja: Esos centros pueden ser difíciles de encontrar (por lo que a menudo son no está disponible), afectará EthernetFullDuplex tráfico

Capturar usando un modo de monitor del interruptor Algunos conmutadores Ethernet (normalmente denominados "conmutadores gestionados") tienen un modo de monitor. Los conmutadores administrados han sido costosos en el pasado, pero ahora se pueden encontrar algunos modelos más económicos. Este modo de monitor puede dedicar un puerto para conectar su dispositivo de captura (Wireshark). A veces se le llama 'duplicación de puertos', 'monitoreo de puertos', 'Análisis itinerante' (3Com) o 'Analizador de puertos conmutados' o 'SPAN' (Cisco). Con la gestión del conmutador, puede seleccionar tanto el puerto de monitorización como asignar un puerto específico que desee monitorizar. Los procedimientos reales varían entre los modelos de conmutadores; es posible que deba utilizar un emulador de terminal, un software de cliente SNMP especializado o (más recientemente) un navegador web. Precaución: el puerto de monitoreo debe ser al menos tan rápido como el puerto monitoreado, o seguramente perderá paquetes.

Tenga en cuenta que es posible que algunos conmutadores no admitan la supervisión de todo el tráfico que pasa a través del conmutador, solo el tráfico en un puerto en particular. En esos conmutadores, es posible que no pueda capturar todo el tráfico en la red, solo el tráfico enviado hacia o desde alguna máquina en particular en el conmutador. Si bien los conmutadores administrados de alta gama (como, por ejemplo, Cisco Catalyst) generalmente dedican por completo un puerto de monitoreo a la tarea, es decir, dicho puerto sólo se puede usar para entregar el tráfico monitoreado a un dispositivo de captura y su dirección de entrada está silenciada (o solo habilitada para inyección de paquetes de reinicio TCP por un dispositivo de seguridad, por lo que no está aprendiendo las direcciones MAC de origen de las tramas recibidas), algunos modelos de gama baja mantienen el puerto de monitoreo completamente operativo y simplemente agregan las tramas reflejadas desde los puertos monitoreados a su dirección de salida, lo que hace que el comportamiento sea similar al de un concentrador, excepto que la velocidad del enlace puede ser de hasta 1 Gbit / sy el dispositivo se vende activamente. Un ejemplo de este tipo de interruptores de monitoreo es el GS105E de Netgear, actualmente disponible por menos de $ 50. Se rumorea que algunos conmutadores pueden controlar todo el rendimiento del conmutador. Como un conmutador puede transferir más tráfico del que puede transmitir una sola línea, es poco probable que vea todo el tráfico.



Ventaja: fácil de usar si hay un interruptor de este tipo disponible



Desventaja: se necesita un conmutador más caro (aunque no tan caro como antes), captura la pérdida de paquetes con tráfico elevado

Capturar usando una máquina en el medio Una máquina con dos tarjetas de interfaz de red (NIC) se puede utilizar como puente transparente, capturando todo el tráfico hacia y desde una sola máquina o un segmento de red. En Linux, se puede utilizar brctl (brcfg en sistemas más antiguos); bajo la familia BSD, brconfig. Aparentemente, Windows y Windows Server también permiten construir configuraciones de puente; Puede resultar más difícil hacer una instalación de Windows "silenciosa" en términos de tráfico de red que Unix.

Ejecutar Wireshark en solo una de las NIC es suficiente para capturar todo el tráfico. Muchas computadoras portátiles tienen un adaptador de red integrado; se puede agregar un segundo usando una tarjeta de PC. Las máquinas de escritorio se pueden instalar fácilmente con NIC adicionales. El puente es "transparente" a nivel de IP y protocolos similares, y "casi" transparente a nivel de Ethernet: crea un pequeño retraso en la transmisión de paquetes y las direcciones Ethernet de las dos NIC pueden responder a algunos mensajes de difusión.



Ventaja: no requiere cambios en el host monitoreado, usa solo hardware disponible generalmente



Desventaja: se requiere una configuración de máquina dedicada

Capturar usando un toque de red Varios proveedores ofrecen tomas de red, que se pueden conectar a una línea. Hay diferentes tipos de derivaciones, como derivaciones, derivaciones de agregación, derivaciones de replicación, derivaciones de derivación y derivaciones de cambio de medios. Para obtener una buena explicación de cada tipo, consulte The 101 Series: A Primer On Network TAPs . Las derivaciones tendrán cuatro conectores: dos para la línea existente y dos salidas para ambas direcciones del tráfico EthernetFullDuplex .

Para usar grifos de ruptura, debe capturar ambas salidas. Antes de la versión 1.8, Wireshark no podía capturar desde dos interfaces a la vez, por lo que para esas versiones debe iniciar dos instancias de Wireshark para capturar y fusionar los archivos de captura resultantes. En la mayoría de los sistemas Unix, incluido Red Hat, se pueden enlazar dos puertos Ethernet y Wireshark puede utilizar la interfaz enlazada. Esto evita tener que ejecutar dos instancias de Wireshark y fusionarlas. Para obtener más información, consulte "vinculación", "trunking" o (menos deseablemente) "puente" para su tipo de sistema operativo. 

Ventaja: todos los paquetes de tráfico EthernetFullDuplex se pueden capturar, no afectará el tráfico Ethernet



Desventaja: costoso, incómodo para trabajar (a menos que su versión de Wireshark pueda capturar desde múltiples interfaces)

Consulte Construcción y uso de un grifo de Ethernet pasivo en la página web de Snort sobre cómo construir un grifo de bricolaje. Puede comprar grifos de red desde simples pasivos del tamaño de un paquete de cigarrillos hasta grifos de línea múltiple montados en rack de 19 "que admiten monitoreo SNMP y fuente de alimentación redundante. Consulte TapReference para obtener información sobre varios accesorios de grifo. Asegúrese de probar el encendido y apagado de los grifos. Algunos toques son completamente transparentes cuando se apagan, pero pueden tardar hasta (aproximadamente) dos segundos en encenderse (por lo que, durante dos segundos, ningún paquete pasa).

Algunos otros enlaces sobre cómo construir un grifo de red de bricolaje: 

Cree un grifo de red pasivo para su red doméstica



Construyendo un Tap Ethernet



Construyendo un Hub Pasivo



Grifo de red de bricolaje "Estrella arrojadiza"



Hacer un toque de red pasivo

Con respecto a los grifos de bricolaje en comparación con los costosos grifos profesionales a la venta, se ha argumentado que ... El diferente número de torsiones por pulgada en cada par de cables (razón por la cual cada par siempre lee diferentes longitudes cuando aplica algo como un medidor de Fluke al cable de 4 pares) es lo que les da a los cables de grado de datos su resistencia básica a la interferencia de RF. para par trenzado sin blindaje (el blindaje proporciona protección adicional para par trenzado blindado). Si los desenrosca más allá de los 0.5 "en los extremos permitidos por las especificaciones, básicamente está eliminando toda esa resistencia a la interferencia de RF e introduciendo problemas adicionales como retransmisiones, etc., que sesgarían sus lecturas.

Capture usando un software MITM (Man-In-The-Middle) Para capturar paquetes que van entre dos computadoras en una red conmutada, puede usar un ataque MITM (ARP Poisoning). Este tipo de ataque engañará a las dos computadoras haciéndoles pensar que su dirección MAC es la dirección MAC de la otra máquina. Esto, a su vez, hará que el conmutador enrute todo su tráfico a su computadora, donde puede olerlo y luego enviar el tráfico como si nada hubiera pasado. Este tipo de ataque puede causar estragos en algunos conmutadores y LAN, así que utilícelo con cuidado.

¡No intente esto en ninguna LAN que no sea la suya! 

Ventaja: Barato



Desventaja: puede confundir los conmutadores, capturar la pérdida de paquetes con mucho tráfico

Consulte ¿Qué es la intoxicación por ARP? para más información.

Inundación MAC Los conmutadores mantienen una tabla de traducción que asigna varias direcciones MAC a los puertos físicos del conmutador. Como resultado de esto, un conmutador puede enrutar paquetes de forma inteligente de un host a otro, pero tiene una memoria limitada para este trabajo. La inundación de MAC hace uso de esta limitación para bombardear el conmutador con direcciones MAC falsas hasta que el conmutador no pueda mantener el ritmo. Luego, el conmutador entra en lo que se conoce como "modo de apertura por error", en el que comienza a actuar como un concentrador al transmitir paquetes a todas las máquinas de la red. Una vez que eso sucede, la olfateo se puede realizar fácilmente. La inundación de MAC se puede realizar utilizando macof, una utilidad que viene con la suite dsniff .

¡No intente esto en ninguna LAN que no sea la suya! 

Ventaja: Barato



Desventaja: afectará el tráfico EthernetFullDuplex , captura la pérdida de paquetes en tráfico alto

Monitorear puerto versus toma de red Algunos argumentos para usar una toma de red pasiva en lugar de un puerto de monitor (duplicación de puertos, SPAN, etc.) (consulte las secciones anteriores) para realizar el rastreo: 1. Los puertos de monitor no pasan tramas incorrectas, tramas largas o cortas o paquetes con formato incorrecto; por lo tanto, no hay estudios de referencia 2. Los puertos de monitor no pasan las etiquetas de VLAN: el resultado es que no sabe de qué VLAN proviene una trama y también puede dar como resultado que el mismo paquete se presente dos o más veces. 3. Los puertos de monitor cambian la sincronización; por lo tanto, si está realizando estudios de RTP o estudios de sincronización, no hay fluctuaciones ni sincronización diferenciada. 4. Tal vez un conmutador pueda manejar la conmutación, para lo cual fue hecho, pero los puertos de monitoreo no son la prioridad de un conmutador y, por lo tanto, son problemas. 5. Todas sus matemáticas son excelentes y demuestran que los conmutadores pueden manejar su trabajo, pero la replicación es la prioridad más baja. 6. Yo y otros hemos probado varios conmutadores (de 10G) de bajo costo a lo mejor y hemos encontrado mucha variación ... incluso los Mfr apoyan los hallazgos. 7. Ni siquiera quiero discutir sobre RSPAN otra lata de problemas. 8. Los puertos de monitor son aceptables para estudios de conexión. 9. Los puertos de monitoreo no son aceptables para el acceso a CALEA y posiblemente para formas similares de vigilancia policial. 10. Los puertos de monitor no son aceptables para estudios de cumplimiento o auditoría. 11. Monitorear archivos de captura de puertos puede causar problemas en casos judiciales, problemas de dudas razonables. Ver también: 

¿Puerto SPAN o TAP? CSO Beware (por Tim O'Neill)

Por otro lado, se ha argumentado que ... Punto 2: 

Los puertos de monitor no pasan etiquetas VLAN

En general, no es cierto, ya que, en muchos conmutadores existentes, se puede configurar para reflejar también las etiquetas VLAN. (Por ejemplo, Cisco: configure el puerto span como un tronco). Toda la duplicación de puertos (o duplicación de VLAN para el caso) en estos días está integrada en los ASIC del conmutador. Será una copia asistida por hardware del búfer de paquetes o, mejor aún, simplemente una copia del puntero al mismo búfer. La latencia se medirá en microsegundos y, de hecho, no será diferente de la operación estándar de conmutación / enrutamiento. Obviamente, si está duplicando un enlace dúplex, efectivamente está convirtiendo a un flujo semidúplex. Entonces, si está duplicando un puerto, digamos con 500 Mbps de salida (TX) y 500 Mbps de entrada (RX), se convertirá en un flujo de salida de 1 Gbps (solo TX) en el puerto de monitoreo. Así que estoy de acuerdo en que habrá algunos cambios de paquetes a medida que se intercalen. Pero en su mayor parte va a un retraso de un solo paquete. Para una trama jumbo de tamaño completo de 9000 bytes a 1 Gbps, este retardo de entrelazado solo será de 72 microsegundos (9000 * 8/10 ^ 9). No creo que haya nadie que vaya a requerir un análisis de jitter o retraso en algo mejor que 1 milisegundo, que es 10 veces este retraso de paquete. (Sé que hay algunas aplicaciones del piso de negociación de acciones que son bastante críticas en cuanto al tiempo, pero dudo que los retrasos de menos de un milisegundo sean importantes). Entonces, diría que para el 99% de las personas y las aplicaciones, la duplicación de puertos será mejor. Tiene mucha flexibilidad para poder encenderlo y apagarlo sin interrumpir el tráfico de producción. A menudo, puede duplicar 1 o varios puertos e incluso VLAN completas o múltiples, además de permitir el monitoreo remoto en algunas circunstancias. Los grifos deben instalarse durante una interrupción y dejarse in situ hasta que se pueda arreglar una interrupción adicional. Además, los taps que he usado requieren dos...