Introduccion a Wireshark PDF

Preview

Summary

Pequeña introducción al simulador Wireshark y primera actividad del curso propuesta por ED....

Description

Departamento de Sistemas de Comunicación y Control

Informática y Comunicaciones

Enunciado de la 1ª Actividad con simulador

Introducción a Wireshark

Actividad: Introducción a Wireshark

Actividad con simulador

Una forma de profundizar en la comprensión de los protocolos de red es "ver los protocolos en acción" y "jugar con ellos" - observando la secuencia de mensajes intercambiados entre dos entidades de protocolo, profundizando en los detalles del funcionamiento del protocolo y haciendo que los protocolos realicen ciertas acciones y luego observar estas acciones y sus consecuencias. En este curso realizaremos esto usando Wireshark. A lo largo del curso deberá realizar tres actividades. Estas actividades serán corregidas por los Tutores a los que el Equipo docente dará pautas para su evaluación. Esta corrección le permitirá saber su grado de conocimiento y resolución, pues debe recordar que en los test de evaluación continua puede haber preguntas relacionadas con estas prácticas. Las

actividades

serán

realizadas

con

Wireshark

y

con

este

programa

profundizaremos en el estudio de diferentes protocolos. Dichas actividades y otras más son material complementario del libro de texto Redes de Computadoras: Un enfoque descendente, 7th ed., J.F. Kurose and K.W. Ross. El equipo docente ha traducido y completado los enunciados para que tenga una mayor facilidad de compresión de los mismos, pero observe que no es material libre, © 2005-2016, J.F Kurose and K.W. Ross, All Rights Reserved por lo que sólo puede ser utilizado dentro de, y para el propósito de este curso al estar dicho curso protegido con su clave de entrada de estudiante, quedando totalmente prohibido su uso más allá del ámbito de esta asignatura y su redistribución. Para cada una de las tres actividades deberá elaborar un informe lo más completo posible que dé respuesta a las preguntas que se indiquen y entregarlo a través del curso virtual, dentro de los plazos establecidos.

1.3

Informática y comunicaciones

Descripción de Wireshark

La herramienta básica para observar los mensajes intercambiados entre entidades de protocolo en ejecución se denomina sniffer de paquetes. Como su nombre sugiere, un sniffer de paquetes captura ("olfatea") los mensajes que son enviados/recibidos desde/por su computadora; también almacenará y/o mostrará el contenido de los diversos campos del protocolo en estos mensajes capturados. Un sniffer de paquetes en sí es pasivo. Observa los mensajes que son enviados y recibidos por las aplicaciones y los protocolos que se ejecutan en su computadora, pero nunca envía paquetes propios. De forma similar, los paquetes recibidos nunca se dirigen explícitamente al sniffer de paquetes. En su lugar, un sniffer de paquetes recibe una copia de los paquetes que son enviados/recibidos desde/por la aplicación y los protocolos que se ejecutan en su máquina. La Figura 1 muestra la estructura de un sniffer de paquetes. A la derecha de la Figura 1 se encuentran los protocolos (en este caso, los protocolos de Internet) y las aplicaciones (como un navegador web o un cliente ftp) que normalmente se ejecutan en su computadora. El sniffer de paquetes, que se muestra dentro del rectángulo discontinuo de la Figura 1, es un añadido al software habitual en su computadora y consta de dos partes: •

La librería de captura de paquetes recibe una copia de cada trama de la capa de enlace que se envía o recibe de su equipo. Recuerde de la sección 1.5 del libro de texto (Figura 1.24) que los mensajes intercambiados por protocolos de la capa superior como HTTP, FTP, TCP, UDP, DNS o IP son eventualmente encapsulados en tramas de la capa de enlace que se transmiten a través de medios físicos tal como un cable Ethernet. En la Figura 1, el soporte físico supuesto es una Ethernet y, por lo tanto, todos los protocolos de la capa superior son eventualmente encapsulados dentro de una trama Ethernet. La captura de todas las tramas de la capa de enlace le da así todos los mensajes enviados/recibidos desde/por todos los protocolos y aplicaciones que se ejecutan en su computadora. 1.4

Actividad: Introducción a Wireshark

packet sniffer packet analyzer

application (e.g., www browser, ftp client)

application

operating system packet capture (pcap)

Transport (TCP/UDP) Network (IP)

copy of all Ethernet frames sent/received

Link (Ethernet) Physical

to/from network

to/from network Figura 1: Estructura de un sniffer.

•

El segundo componente de un sniffer de paquetes es el analizador de paquetes, que muestra el contenido de todos los campos dentro de un mensaje de protocolo. Para ello, el analizador de paquetes debe "comprender" la estructura de todos los mensajes intercambiados por los protocolos. Por ejemplo, supongamos que estamos interesados en mostrar los diversos campos en los mensajes intercambiados por el protocolo HTTP en la Figura 1. El analizador de paquetes entiende el formato de las tramas Ethernet, por lo que puede identificar el datagrama IP dentro de una trama Ethernet. También entiende el formato de datagrama IP, para que pueda extraer el segmento TCP dentro del datagrama IP. Por último, entiende la estructura del segmento TCP, por lo que puede extraer el mensaje HTTP contenido en el segmento TCP. Finalmente, entiende el protocolo HTTP y, por ejemplo, sabe que los primeros bytes de un mensaje HTTP contendrán la cadena "GET", "POST" o "HEAD", como se muestra en la Figura 2.8 del libro de texto.

Para

nuestras

actividades

usaremos

el

sniffer

de

paquetes

Wireshark

(http://www.wireshark.org/), lo que nos permitirá mostrar el contenido de los mensajes que son enviados/recibidos de/por los protocolos en diferentes niveles de la pila de protocolos. (Técnicamente hablando, Wireshark es un analizador de paquetes que utiliza una biblioteca de captura de paquetes en su computadora). Wireshark es un analizador gratuito que se ejecuta en Windows, Mac y Linux / Unix. Es un analizador de paquetes ideal para nuestras actividades - es estable, tiene una gran base de usuarios y un soporte bien documentado que incluye una guía de 1.5

Informática y comunicaciones

usuario

(http://www.wireshark.org/docs/wsug_html_chunked/),

(http://www.wireshark.org/docs/man-pages/)

y

una

manual

FAQ

detallada

(http://www.wireshark.org/faq.html), es capaz de analizar cientos de protocolos posee y una interfaz de usuario bien diseñada. Funciona en ordenadores que utilizan Ethernet, serie (PPP y SLIP), redes LAN inalámbricas 802.11 y muchas otras tecnologías de capa de enlace (si el sistema operativo en el que se está ejecutando permite a Wireshark hacerlo).

Instalación de Wireshark

Para ejecutar Wireshark necesita tener acceso a una computadora que admita Wireshark y la biblioteca de captura de paquetes libpcap o WinPCap. El software libpcap se instalará, si no está instalado dentro de su sistema operativo, cuando instale Wireshark. Puede consultar http://www.wireshark.org/download.html para obtener una lista de sistemas operativos y sitios de descarga compatibles. Ahora

descargue

e

instale

Wireshark.

Para

ello,

vaya

a

la

página

http://www.wireshark.org/download.html y descargue e instale el binario Wireshark para su computadora.1 Wireshark FAQ tiene una serie de sugerencias útiles e interesantes detalles de información si tiene problemas para instalar o ejecutar Wireshark.  Incluya en su primer informe qué versión de Wireshark se ha instalado.

1

Instale la última versión de Wireshark disponible para su sistema operativo. En el caso de Windows,

asegúrese de que instala también WinPcap y que éste arranca automáticamente con su sistema.

1.6

Actividad: Introducción a Wireshark

Ejecución de Wireshark

Al ejecutar el programa Wireshark obtendrá una pantalla de inicio que se parece a la pantalla de abajo. Diferentes versiones de Wireshark tendrán diferentes pantallas de inicio, ¡así que no se asuste si la suya no se ve exactamente igual que la pantalla de abajo! La documentación de Wireshark indica "A medida que Wireshark se ejecuta en muchas plataformas diferentes con muchos gestores de ventanas diferentes, se aplican diferentes estilos y hay diferentes versiones del kit de herramientas GUI subyacente utilizado, su pantalla puede ser diferente de las capturas de pantalla proporcionadas. Pero como no hay diferencias reales en la funcionalidad, estas capturas de pantalla deben ser comprensibles".

Figura 2: Pantalla inicial Wireshark.

No hay mucho de interés en esta pantalla. Pero debe tener en cuenta que en la sección Capture hay una lista de las “interfaces”. La computadora de la que tomamos estas capturas de pantalla tiene sólo una interfaz real, "Wi-Fi en0", que es 1.7

Informática y comunicaciones

la interfaz para el acceso Wi-Fi. Todos los paquetes desde/hacia este equipo pasarán a través de la interfaz Wi-Fi, por lo que es aquí donde queremos capturar los paquetes. En un Mac, haga doble clic en esta interfaz (o en otro equipo localice la interfaz en la página de inicio a través de la cual está obteniendo la conectividad a Internet; por ejemplo, probablemente una interfaz WiFi o Ethernet y seleccione esa interfaz).  Incluya en su informe un pantallazo donde podamos ver la sección Capture con sus interfaces. Si hace clic en una de estas interfaces se iniciará la captura de paquetes (es decir, Wireshark comenzará a capturar todos los paquetes que se envían a/desde esa interfaz) y se abrirá una pantalla como la que se muestra a continuación, reflejando información sobre los paquetes capturados. Una vez que inicie la captura de paquetes

puede

detenerla

utilizando

el

menú

desplegable

seleccionando Stop. command menus display filter specification listing of captured packets

details of selected packet header

packet content in hexadecimal and ASCII Figura 3: Interface de usuario Gráfica, durante la captura y análisis de paquetes.

1.8

Capture

y

Actividad: Introducción a Wireshark

¡Esto parece más interesante! La interfaz Wireshark tiene cinco componentes principales: •

Los menús de comandos (command menus) son menús desplegables estándar situados en la parte superior de la ventana. De interés para nosotros ahora son los menús de File y Capture. El menú File le permite guardar datos de paquetes capturados o abrir un archivo que contiene datos de paquetes previamente capturados y salir de la aplicación Wireshark. El menú Capture le permite comenzar la captura de paquetes.

•

La ventana de listado de paquetes (packet-listing window) muestra un resumen de una línea para cada paquete capturado, incluyendo el número de paquete (asignado por Wireshark, que no es un número de paquete contenido en el encabezado de un protocolo), la hora en que el paquete fue capturado, las direcciones de origen y de destino, el tipo de protocolo y la información específica del protocolo contenida en el paquete. El listado de paquetes se puede ordenar de acuerdo con cualquiera de estas categorías haciendo clic en el nombre de una columna. El campo de tipo de protocolo enumera el protocolo de nivel más alto que envió o recibió este paquete, es decir, el protocolo que es la fuente o sumidero final para este paquete

•

La ventana de detalles de la cabecera del paquete (packet-header details window) proporciona detalles sobre el paquete seleccionado (resaltado) en la ventana de listado de paquetes. (Para seleccionar un paquete en la ventana de listado de paquetes coloque el cursor sobre el resumen de una línea del paquete en la ventana de lista de paquetes y haga clic con el botón izquierdo del ratón). Estos detalles incluyen información sobre la trama Ethernet (suponiendo que el paquete se envió/recibió a través de una interfaz Ethernet) y el datagrama IP que contiene este paquete. La cantidad de detalles de la capa Ethernet e IP que se muestran puede ampliarse o minimizarse haciendo clic en el símbolo a la izquierda de la trama Ethernet o de la línea de datagrama IP en la ventana de detalles del paquete. Si el paquete se ha transferido a través de TCP o UDP también se mostrarán los detalles de TCP o UDP, que pueden

1.9

Informática y comunicaciones

ampliarse o minimizarse de forma similar. Finalmente, se proporcionan detalles sobre el protocolo de más alto nivel que envió o recibió este paquete. •

La ventana de contenido de paquete (packet-contents window) muestra todo el contenido del paquete capturado, tanto en formato ASCII como hexadecimal.

•

Hacia la parte superior de la interfaz gráfica de usuario de Wireshark se encuentra el campo de filtro de visualización de paquetes (packet display filter field), en el que se puede introducir un nombre de protocolo u otra información para filtrar la información mostrada en la ventana de listado de paquetes (y ventanas de cabeceras de paquetes y contenido de paquetes). En el ejemplo a continuación utilizaremos el campo de filtro de visualización de paquetes para que Wireshark oculte (no muestre) los paquetes excepto los que correspondan a mensajes HTTP.

1ª Actividad: Introducción a Wireshark

¡La mejor manera de aprender sobre cualquier programa de software es probarlo! Supondremos que su computadora está conectada a Internet a través de una interfaz Ethernet cableada. De hecho, le recomendamos que realice este primer laboratorio en una computadora que tenga una conexión Ethernet cableada, en lugar de una conexión inalámbrica. Haga lo siguiente: 1. Arranque su navegador web favorito, que mostrará la página principal seleccionada. 2. Inicie el software Wireshark. Inicialmente verá una ventana similar a la que se muestra en la Figura 2. Wireshark aún no ha comenzado a capturar paquetes. 3. Para iniciar la captura de paquetes seleccione el menú desplegable Capture y seleccione Options. Esto hará que se visualice la ventana

1.10

Actividad: Introducción a Wireshark

Wireshark: Capture Interfaces, parecida a la que muestra en la Figura 4.

Figura 4: Ventana Wireshark Capture Interface.

 Incluya en su informe un pantallazo donde podamos ver su pantalla de Wireshark: Capture Interfaces. 4. Verá una lista de las interfaces en su computadora. Haga clic en Start para la interfaz en la que desea iniciar la captura de paquetes (en el caso, la conexión de red Gigabit). La captura de paquetes comenzará ahora ¡Wireshark

ahora

está

captando

todos

los

paquetes

que

son

enviados/recibidos de/por su computadora!  Incluya en su informe un pantallazo donde podamos ver su pantalla de captura de Wireshark destacando los cinco componentes de ella como hemos descrito en la Figura 3. 5. Una vez que comience la captura de paquetes, aparecerá una ventana similar a la mostrada en la Figura 3. Esta ventana muestra los paquetes que se están capturando. Al seleccionar el menú desplegable Capture y seleccionar Stop puede detener la captura de paquetes. Pero no detenga la captura de paquetes todavía. Vamos a capturar algunos paquetes interesantes primero. Para ello, tendremos que generar cierto tráfico de red. Vamos a hacerlo utilizando un navegador web, que utilizará el protocolo HTTP para descargar contenido de un sitio web. 6. Mientras

Wireshark

se

está

ejecutando,

introduzca

http://gaia.cs.umass.edu/wireshark-labs/INTRO-wireshark-file1.html

1.11

la

URL y

que

Informática y comunicaciones

esa página se muestre en su navegador. Con el fin de mostrar esta página, su navegador se pondrá en contacto con el servidor HTTP en gaia.cs.umass.edu e intercambiará mensajes HTTP con el servidor para descargar esta página, como se explica en la sección 2.2 del libro de texto. Wireshark capturará las tramas Ethernet que contienen estos mensajes HTTP (así como todas las demás tramas que pasen a través de su adaptador Ethernet). 7. Después de que su navegador haya mostrado la página INTRO-wiresharkfile1.html (es una simple línea de felicitaciones) detenga la captura de paquetes de Wireshark seleccionando Stop en la ventana de captura de Wireshark. La ventana principal de Wireshark ahora debería ser similar a la Figura 3. Ahora tiene datos de paquetes en vivo que contienen todos los mensajes de protocolo intercambiados entre su computadora y otras entidades de red. Los intercambios de mensajes HTTP con el servidor web gaia.cs.umass.edu deben aparecer en algún lugar del listado de paquetes capturados. Pero habrá muchos otros tipos de paquetes mostrados también (véase, por ejemplo, los muchos tipos de protocolo diferentes mostrados en la columna Protocolo en la Figura 3). A pesar de que la única acción que realizó fue descargar una página web, evidentemente había muchos otros protocolos que se ejecutaban en su computadora que no son vistos por el usuario. ¡Aprenderemos mucho más acerca de estos protocolos a medida que avancemos en la asignatura! Por ahora, sólo debes estar consciente de que ¡a menudo hay mucho más de lo que "ve el ojo"! 8. Escriba "http" (sin las comillas, y en minúsculas - todos los nombres de protocolo están en minúsculas en Wireshark) en la ventana de especificación del filtro de visualización en la parte superior de la ventana principal de Wireshark. A continuación, seleccione Apply (a la derecha de donde ha introducido "http"). Esto hará que sólo se muestre mensaje HTTP en la ventana de lista de paquetes. 9. Busque el mensaje HTTP GET enviado desde su computadora al servidor HTTP gaia.cs.umass.edu. (Busque un mensaje HTTP GET en la sección 1.12

Actividad: Introducción a Wireshark

"listado de paquetes capturados" de la ventana de Wireshark, ver Figura 3) que muestra "GET" seguido de la URL gaia.cs.umass.edu que tu introdujo. Cuando seleccione el mensaje GET HTTP, la trama Ethernet, el datagrama IP, el segmento TCP y la información de la cabecera del mensaje HTTP se mostrarán en la ventana de cabecera de paquetes.2 Haga clic en los símbolos en el lado izquierdo de la ventana de detalles de paquetes para minimizar la cantidad de información mostrada de la Trama de Ethernet, el Protocolo de Internet y el Protocolo de Control de Transmisión. Por otra parte, maximice la cantidad de información mostrada sobre el protocolo HTTP. La pantalla de Wireshark debería verse ahora aproximadamente como se muestra en la Figura 5. (En particular, minimice la cantidad de información de protocolo para todos los protocolos excepto HTTP y maximice la cantidad de información de protocolo para HTTP en la ventana de cabecera de paquete.)  Incluya en su informe un pantallazo donde podamos ver su pantalla de captura de Wireshark. 10. Salga de Wireshark ¡Felicitaciones! ¡Ya ha completado su primera actividad con Wireskark! Preguntas a responder: El objetivo de este primer laboratorio es principalmente presentarle a Wireshark. Las siguientes preguntas demostrarán que ha podido poner en marcha Wireshark y explorar algunas de sus capacidades. Incluya en su informe la respuesta lo más documentada posible (incluyendo para ello pantallazos si fuera necesario) a dicha...