Practica 1 - Ejercicio del funcionamiento del software WireShark PDF

Preview

Summary

Ejercicio del funcionamiento del software WireShark...

Description

REDES DE COMPUTADORAS

Arjona Ortega Juan Fco.

Aragón Solís Jesús Benjamín

MAESTRO: WILBERT MEZQUITA HOYOS.

GRUPO: 6SA

Jueves 19 de marzo de 2015

Ingeniería en Sistemas Computacionales

CARRERA:

Redes de computadoras

ASIGNATURA: NUMERO PRACTICA

1

Analizador de protocolos Wireshark

TITULO DE LA PRACTICA: DURACION :

2 horas

PARTICIPANTES POR EQUIPO

4 El alumno identificará el proceso de entramado, con base a las capturas efectuadas por el analizador de red Wireshark

OBJETIVO:

Introducción Cuando los protocolos de capa superior se comunican entre sí, los datos fluyen hacia abajo en las capas OSI y se encapsulan en la trama de la Capa 2. La composición de la trama depende del tipo de acceso al medio. Por ejemplo, si el protocolo de capa superior es TCP/IP y el acceso al medio es Ethernet, la encapsulación de la trama de la Capa 2 será Ethernet II. Cuando se aprende sobre los conceptos de la Capa 2, es útil analizar la información del encabezado de la trama. El encabezado de la trama de Ethernet II se examinará en esta práctica de laboratorio. Las tramas de Ethernet II pueden admitir diversos protocolos de la capa superior, como TCP/IP. Tarea 1: Explicación de los campos de encabezado en una trama de Ethernet II. La trama Ethernet II, se compone de un Preámbulo, Dirección de destino, Dirección de fuente, Tipo de protocolo, Datos y una Secuencia de verificación de trama El formato de una trama de Ethernet II se muestra en la Figura 1.

Preámbulo (Preamble) Este campo contiene 62 bits de 1 y 0 en forma alternada finalizando con dos bits de 1 (en total 8 bytes), permitiendo ajustar los tiempos de ambas tarjetas (computadoras o equipos de comunicaciones) para tener una transmisión digital sincronizada. El campo no es mostrado por el programa analizador Wireshark pero siempre tiene el formato siguiente: 10101010 10101010 10101010 10101010 10101010 10101010 10101010 10101011. Dirección de destino(Destination Address) Corresponde a la dirección Ethernet (6 bytes) de la tarjeta Ethernet de destino de la trama a transmitir. Si esta dirección se compone enteramente de 1, entonces significa que es un mensaje Broadcast, es decir, un mensaje para todas las estaciones de la red local. Los primeros 3 bytes de esta dirección están normalizados por la IEEE y cada fabricante de tarjetas Ethernet le corresponde un único trió. En este caso la dirección de destino es 14:9E:20:00:02:00 en hexadecimal o 00010100 10011110 00100000 00000000 00000010 00000000 en binario. Dirección de origen (Source Address) Corresponde a la dirección Ethernet (6 bytes) de la tarjeta Ethernet que envía la trama a transmitir. Los primeros 3 bytes de esta dirección están normalizados por la IEEE y cada fabricante de tarjetas Ethernet le corresponde un único trió. En este caso la dirección de origen es 02:00:02:00:00:00 en hexadecimal o 00000010 00000000 00000010 00000000 00000000 00000000 en binario. Tipo de trama o protocolo (Ether Type) Este campo indica el tipo de protocolo que está ocupando el formato de la trama Ethernet versión II. En otras palabras, diferencia los distintos tipos de protocolos de capas superiores que puedan ocupar Ethernet. IP tiene un Ether Type de valor 0x0800, ARP tiene valor 0x0806, IPX tiene 0x8137. Todos los valores son asignados por la IEEE en el RFC 1700 y poseen valores mayores de 0x05DC (1500 decimal). En este caso el protocolo es IP 0x0800 en hexadecimal y el paquete IP viene contenido en el campo Datos de esta trama Ethernet II. Datos (DATA) Es en este campo donde reside la información transmitida y que generalmente consiste de paquetes de capas superiores. En este caso el campo DATA contiene un paquete IP. Secuencia de verificación de trama (FCS) Frame Check Sequence (FCS o CRC) es un campo de 4 bytes que contiene un secuencia de bits que permite revisar la integridad del paquete recibido para ser entregado a las capas superiores o descartado. Este campo tampoco es mostrado por el Wireshark debido a que la configuración del sistema operativo (Windows XP SP2) no permite capturar el campo FCS de la trama Ethernet II.

1

En la Figura 2, la ventana de la Lista de panel muestra una captura de Wireshark del comando ping entre una computadora host del salón y Eagle Server. La sesión comienza con el protocolo ARP haciendo consultas para la dirección MAC del router de Gateway, seguida de una consulta DNS. Finalmente, el comando ping emite solicitudes de eco. La ventana de Detalles del paquete muestra la información detallada de la Trama 1. Se puede obtener la siguiente información de la trama de Ethernet II utilizando esta ventana: Campo Preámbulo

Valor No se muestra en la captura.

Descripción Este campo contiene bits de sincronización, procesados por el hardware de la NIC (Network Interface Card.)

Dirección de destino

ff:ff:ff:ff:ff:ff

Dirección de origen

00:16:76:ac:a7:6a

Direcciones de la Capa 2 para la trama. Cada dirección tiene una longitud de 48 bits, o 6 bytes, expresado como 12 dígitos hexadecimales, 0-9, A-F. Un formato común es 12:34:56:78:9A:BC. Los primeros seis números hexadecimales indican el fabricante de la tarjeta de interfaz de red (NIC). Remítase a http://www.neotechcc.org/forum/macid.htm para obtener una lista de códigos del fabricante. Los últimos seis dígitos hexadecimales, ac:a7:6a, representan el número de serie de NIC. La dirección de destino puede ser un broadcast que contiene sólo 1s o unicast. La dirección de origen es siempre unicast.

Tipo de trama

0x0806

Para las tramas de Ethernet II, estos campos contienen un valor hexadecimal que se utiliza para indicar el tipo de protocolo de capa superior en el campo de datos. Existen muchos protocolos de capa superior admitidos por Ethernet II. Dos tipos comunes de trama son: Valor: 0x0800 Descripción: Protocolo IPv4 Valor: 0x0806 Descripción: Address resolution protocol (ARP)

Datos

ARP

Contiene el protocolo del nivel superior encapsulado. El campo de datos está entre 46 y 1500 bytes.

FCS

No se muestra en la captura.

Secuencia de verificación de trama, utilizada por la NIC para identificar errores durante la transmisión. El valor lo calcula la máquina de envío, abarcando las direcciones de trama, campos de datos y tipo. El receptor lo verifica.

¿Cuál es el significado de sólo 1s en el campo de dirección de destino? Que su tiempo de respuesta fue de 1segundo. Conteste las siguientes preguntas sobre la dirección MAC de origen y de destino, con la información que contiene la ventana de Lista de paquetes para la primera trama. Dirección de destino: Dirección MAC: Fabricante de NIC: Número de serie de NIC:

Dirección de origen: 8c:89:a5:06:a3:36 Micro-ST 8c:89:a5

Dirección MAC: Fabricante de NIC: Número de serie de NIC:

08:9e:01:4b:5c:c4 QuantaCo 08:9e:01

2

Conteste las siguientes preguntas sobre la dirección MAC de origen y de destino, con la información que contiene la ventana de Lista de paquetes para la segunda trama. Dirección de destino: Dirección MAC: Fabricante de NIC: Número de serie de NIC:

Dirección de origen: 8c:89:a5:06:a3:36 Micro-ST 8c:89:a5

Dirección MAC: Fabricante de NIC: Número de serie de NIC:

08:9e:01:4b:5c:c4 QuantaCo 08:9e:01

La figura 3 contiene una vista ampliada de la captura de Wireshark de Trama 3. Utilice la información para completar la siguiente tabla: Campo Preámbulo Dirección de destino Dirección de origen Tipo de trama Datos FCS

Valor

8c:89:a5:06:3a:36 08:9e:01:4b:5c:c4 ARP ARP 00x0800

DESCRIPCION DE LA PRACTICA: Explicar los campos de encabezado en una trama de Ethernet II. Utilizar Wireshark para capturar y analizar tramas de Ethernet II.

MATERIAL:

 Computadora  HUB  Cable UTP conexión directa  Wireshark (WiresharkPortable-1.8.2.paf.exe) http://www.wireshark.org/download/win32/all-versions/ PROCEDIMIENTO:

Instalación del analizador

3

Pantalla principal del analizador En la siguiente figura se presenta un ejemplo de la pantalla principal del programa, en la que se pueden ver los distintos elementos que la componen, cuya descripción se da a continuación.

1. Panel de lista de paquetes: Muestra un resumen de cada paquete capturado. Pulsando sobre los paquetes de este panel se controla el contenido de los otros dos paneles. 2. Panel de vista en árbol: Muestra el paquete seleccionado en el panel superior (1) con más detalle, permitiendo acceder a los distintos niveles de protocolos. Al pulsar sobre cada uno de los niveles se resaltan los datos del paquete correspondientes a dicho nivel en el panel inferior (3). 3. Panel de detalle de los datos: Muestra el contenido del paquete seleccionado en el panel superior (1) en formato hexadecimal y ASCII. Además de los tres paneles principales, tenemos los cinco elementos adicionales siguientes en la barra de herramientas de filtrado, que se encuentra debajo de la barra de herramientas principal de Wireshark: A)Botón de filtro: Permite definir un filtro para la visualización de los paquetes, de forma que podamos concentrarnos en el análisis de un determinado protocolo o en el tráfico entrante o saliente de un ordenador determinado. Existe una serie de expresiones de filtro predeterminadas que se pueden emplear directamente; también existe la posibilidad de crear una nueva, asignándole un nombre para una utilización posterior más cómoda. B) Texto del filtro: Aquí aparece el texto del filtro. Es posible introducir el texto del filtro directamente en este campo o seleccionar alguno de los filtros que se hayan utilizado anteriormente. C) Botón para eliminar el filtro: Pulsando este botón se elimina el filtro que estuviera activo, presentándose en el panel principal (1) todos los paquetes capturados. D) Botón para aplicar el filtro: Pulsando este botón se aplica el filtro definido y en el panel principal (1) se muestran únicamente los paquetes que cumplan las condiciones indicadas en el filtro. E) Botón de expresión del filtro: Al pulsar en este botón se accede a un cuadro de diálogo para la definición de la expresión del filtro, cuyo funcionamiento se describirá más adelante.

4

Comienzo de una sesión de captura La captura de paquetes se puede activar de diversas formas:

1.- Seleccionando Capture->Interfaces..., que presentará un cuadro de diálogo similar al siguiente: con la lista de interfaces de red disponibles en el equipo que estemos empleando. Para dar comienzo a la captura bastará con pulsar en el botón Start correspondiente a la interfaz deseada. 2.- Seleccionando la opción de menú Capture->Start, o pulsando la combinación de teclas Ctrl+K. Si todavía no se ha seleccionado una interfaz, habrá que hacerlo antes de iniciar la captura de paquetes, para lo cual será necesario seleccionar la opción de menú Capture->Options... Al hacerlo

Debemos especificar la interfaz de red sobre la que vamos a capturar los paquetes, utilizando para ello el cuadro combinado denominado Interface, situado en la parte superior de este cuadro de diálogo. Si el ordenador dispone de módem o tiene varias tarjetas de red, tendremos que seleccionar la que queramos analizar. El resto de opciones podemos dejarlas, de momento, con los valores predeterminados. El proceso de captura da comienzo al pulsar sobre el botón Start, y su evolución la podremos observar de varias formas: Si no está marcada la opción Update list of packets in real time en el panel Display Options, y tampoco está marcada la opción Hide capture info dialog, aparecerá el cuadro de diálogo que se muestra en la figura siguiente. En la siguiente imagen podremos ver el número de paquetes capturados de los principales protocolos que maneja Wireshark. También podremos detener la captura pulsando sobre el botón Stop. Una vez terminada una sesión de captura, en la ventana principal aparecerá la información de los paquetes capturados, como se muestra en la figura de la primera página. También existe la opción de presentar la información de los paquetes capturados según se van capturando. Para ello es necesario activar la casilla de verificación Update list of packets in real time, que se encuentra en el panel Display Options del cuadro de diálogo de opciones de captura. Esta opción, combinada con Automatic scrolling in live capture, permite ver en el panel principal de la aplicación (1) los últimos paquetes que va recogiendo el proceso de captura.

5

4. Filtrado de información Dada la enorme cantidad de información que circula por una tarjeta de red mientras está funcionando, resulta especialmente útil poder limitar de alguna manera dicha información, para poder concentrarse en el análisis del tráfico de red concreto que interese estudiar. Wireshark ofrece numerosas posibilidades de filtrado de información, que básicamente consisten en la selección de protocolos, la definición de un filtro de captura y la definición de un filtro de presentación de la información. La utilización de cada una de estas opciones se detalla en los siguientes apartados. Protocolos Como primer nivel de filtrado, podemos escoger los protocolos con los que deseamos trabajar. La lista completa de protocolos que maneja Wireshark puede verse en un cuadro de diálogo al que podremos acceder mediante la opción de menú Analyze->Enabled Protocols.... En dicho cuadro de diálogo, que se presenta a continuación, podemos activar o desactivar la utilización de los protocolos que deseemos. A la hora de activar o desactivar protocolos, debemos tener en cuenta la advertencia que aparece en este cuadro de diálogo, y que indica que, si desactivamos un protocolo, no aparecerán los protocolos de los niveles superiores que dependan de él. Por ejemplo, si desactivamos el protocolo de nivel de transporte TCP, no aparecerán tampoco todos los protocolos de nivel de aplicación que dependan de él, como HTTP, SMTP, FTP y muchos otros.

Para realizar las tareas de esta práctica dejaremos activados inicialmente todos los protocolos que maneja el programa. No obstante, puedes experimentar con la activación y desactivación de alguno de estos protocolos para comprobar el efecto que tiene. Captura El siguiente nivel de filtrado que ofrece Wireshark se aplica al proceso de captura de los paquetes de red. Podemos definir un filtro que capture únicamente los paquetes de un determinado protocolo o destinados a un determinado ordenador o puerto. La utilización de un filtro se realiza en el cuadro de diálogo de opciones de captura, introduciendo la expresión del filtro en el cuadro de texto situado al lado del botón Capture Filter. En esta práctica no vamos a detenernos a estudiar los filtros de captura, pero puedes experimentar con diversas expresiones de filtro para comprobar su efecto. Por ejemplo, la siguiente expresión: tcp port 23 and host 192.168.1.5 forzará la captura únicamente de los paquetes del protocolo TCP con origen o destino en el puerto 23 y cuyo origen o destino sea un ordenador con dirección IP 192.168.1.5. Otra posibilidad de filtrado a la hora de capturar paquetes consiste en desactivar el modo “promiscuo”, desmarcando para ello la casilla denominada Capture packets in promiscuous mode en el cuadro de diálogo de opciones de captura, de forma que sólo se capturen los paquetes originados o destinados a nuestro ordenador. Esta opción sólo tiene efecto si la red a la que pertenece nuestro ordenador se ha creado mediante un concentrador (hub); en caso de que la red se haya creado mediante un conmutador (switch) no debería haber diferencia entre que esta opción estuviera activada o no. Es recomendable desactivar el modo “promiscuo” en cualquier caso porque, si la red se ha creado mediante un concentrador, Wireshark puede capturar paquetes correspondientes a otros ordenadores, lo que complicará el análisis de la información que nos interesa. Presentación

6

El último nivel de filtrado de que disponemos en Wireshark es el de presentación de los paquetes. Podemos definir un filtro mediante el cual seleccionemos, para que se vean en el panel principal (1), únicamente aquellos paquetes de datos que nos interesa analizar. Este tipo de filtro es el más completo y en su expresión se pueden utilizar la mayor parte de los parámetros de los protocolos que estamos analizando. Para utilizar un filtro de presentación podemos escribir su expresión directamente en el recuadro de texto del filtro (B) y aplicarlo mediante el botón Apply (D). Tenemos otra alternativa, que consiste en pulsar el botón de filtro denominado Filter (A). Al hacerlo aparece el cuadro de diálogo de definición del filtro, que tiene el siguiente aspecto.

Con este cuadro de diálogo podemos definir diversos filtros, asignándoles distintos nombres para su posterior aplicación. También podemos acceder a este cuadro de diálogo mediante la opción de menú Analyze->Display Filters.... Si no conocemos la sintaxis de los filtros o los parámetros que podemos emplear en los mismos, podemos utilizar el botón Expression... para crear una expresión de forma visual. Al pulsarlo accedemos al siguiente cuadro de diálogo. Con este cuadro de diálogo podemos definir diversos filtros, asignándoles distintos nombres para su posterior aplicación. También podemos acceder a este cuadro de diálogo mediante la opción del menú Analyze > Display Filters … Si no conocemos la sintaxis de los filtros o los parámetros que podemos emplear en los mismos, podemos utilizar el botón Expresión… para crear una expresión de forma visual. Al pulsarlo accedemos al siguiente cuadro de diálogo:

Tarea 2: Utilización de Wireshark para capturar y analizar tramas de Ethernet II. Paso 1: Configurar Wireshark para las capturas de paquetes. Paso 2: Comenzar a hacer ping a una página de internet y capturar la sesión. Abra una ventana terminal de Windows. Haga clic en Inicio > Ejecutar, escriba cmd y haga clic en Aceptar. Haga ping a google.com y cuando el comando haya finalizado la ejecución, detenga las capturas de Wireshark. Paso 3: Analizar la captura de Wireshark. La ventana de la Lista de paquetes de Wireshark debe comenzar con una solicitud y respuesta ARP para la dirección MAC del Gateway. Luego, se realiza una solicitud DNS para la dirección IP de google.com. Finalmente, se ejecuta el comando ping. La captura debe verse similar a la que se mostró en la Figura 2. Utilice la captura de Wireshark del comando ping para contestar las siguientes preguntas:

7

Información de la dirección MAC de la computadora de origen. Dirección MAC: 8c:89:a5:06:a3:36 Fabricante de NIC: Micro-ST Número de serie de NIC: 8c:89:a5 Información de la dirección MAC del destino: Dirección MAC: 08:9e:01:4b:5c:c4 Fabricante de NIC: QuantaCo Número de serie de NIC: 08:9e:01 Un estudiante de otra escuela quisiera saber la dirección MAC para google.com ¿Qué le diría al estudiante? ¿Cuál es el valor del tipo de trama de Ethernet II para una solicitud ARP? IDK ¿Cuál es el valor del tipo de trama de Ethernet II para una respuesta ARP? IDK ¿Cuál es el valor del tipo de trama de Ethernet II para una solicitud ARP? IDK ¿Cuál es el valor del tipo de trama de Ethernet II para una respuesta de solicitud DNS? 120ms ¿Cuál es el valor del tipo de trama de Ethernet II para un eco ICMP? IDK ¿Cuál es el valor del tipo de trama de Ethernet II para una respuesta de eco ICMP? IDK

Tarea 3: Desafío Utilice Wireshark para capturar sesiones de otros protocolos TCP/IP, como FTP y HTTP. Analice los paquetes capturados y verifique que el tipo de trama de Ethernet II continúe siendo 0x0800. Tarea 4: Reflexión En esta práctica de laboratorio se examinó la información del encabezado de trama de Ethernet II. Un campo de preámbulo contiene siete bytes de secuencias que alternan 0101, y un byte que indica el inicio de la trama, 01010110. Cada una de las direcciones...