Universidad Nacional Mayor de San Marcos

Facultad de Ingeniería de Sistemas

Escuela Académico-Profesional de Ingeniería de Sistemas

Curso: Redes de Computadoras

Laboratorio 1: Utilización de Wireshark

El entendimiento de los protocolos de red a menudo pueden ser profundizado "viendo protocolos en acción" y por "jugar con los protocolos" – observando la secuencia de mensajes intercambiados entre dos entidades de protocolo, profundizando en los detalles de las operaciones de los protocolos, y haciendo que los protocolos realicen determinadas acciones y luego observando estas acciones y sus consecuencias. Esto puede hacerse en escenarios simulados o en un entorno de red "Real" como Internet. En estos laboratorios con Wireshark, vamos a tomar el último enfoque.

Se ejecutarán varias aplicaciones de red en diferentes escenarios utilizando una computadora. Usted observará los protocolos de red en su computadora "en acción", interactuando e intercambiando mensajes con las entidades ejecutoras de protocolo en el resto del Internet. Por lo tanto, usted y su computadora serán una parte integral de estos laboratorios en vivo. Se observará, y aprenderá, en la práctica.

La herramienta básica para la observación de los mensajes intercambiados entre entidades de protocolo ejecutándose se denomina “analizador de paquetes”. Como su nombre lo indica, un analizador de paquetes captura ("huele") mensajes siendo enviados/recibidos desde/por un computador, también suele almacenar y/o mostrar el contenido de varios campos de protocolos en estos mensajes capturados. Un analizador de paquetes en sí es pasivo. Observa los mensajes enviados y recibidos por las aplicaciones y los protocolos que se ejecutan en tu equipo, pero nunca envía paquetes por sí mismo. De manera similar, los paquetes recibidos nunca se dirigen explícitamente al analizador de paquetes. En vez de eso, el analizador de paquetes recibe una copia de los paquetes que se envían/reciben desde/por la aplicación y los protocolos que se ejecutan en su máquina.

La figura 1 muestra la estructura de un analizador de paquetes. A la derecha de la figura 1 están los protocolos (en este caso, los protocolos de Internet) y aplicaciones (como un navegador web o un cliente de FTP) que normalmente se ejecutan en el ordenador. El rastreador de paquetes, que se muestra dentro del rectángulo de trazos en la figura 1 es una adición al software habitual en su equipo, y consta de dos partes. La biblioteca de la captura de paquetes recibe una copia de todos los marcos de capa de enlace que se envía o recibidos por el equipo. La biblioteca de captura de paquetes recibe una copia de todos los marcos de capa de enlace que es enviado o recibido por su equipo.

Recordemos que en la discusión de la sección1.5 en el texto (Figura1.20) que los mensajes intercambiados por los protocolos de nivel superior, tales como HTTP, FTP, TCP, UDP, DNS o IP son todos finalmente encapsulados en los marcos de la capa de enlace que son transmitidos a través de medios físicos tal como un cable Ethernet. En la figura 1, los medios de comunicación físicos asumidos son Ethernet, y por lo tanto todos los protocolos de las capas superiores finalmente serán encapsulados en una trama Ethernet. La captura de todos los marcos dela capa de enlace le dará, por lo tanto, todos los mensajes enviados/recibidos desde/por todos los protocolos y aplicaciones que se ejecutan en el ordenador.

El segundo componente es el analizador de paquetes, el cual muestra los contenidos de todos los campos dentro de un mensaje de protocolo. Para ello, el analizador de paquetes debe "entender" la estructura de todos los mensajes intercambiados por los protocolos. Por ejemplo, supongamos que estamos interesados en mostrar los distintos campos de mensajes intercambiados por el protocolo HTTP en la Figura 1. El analizador de paquetes entiende el formato de las tramas Ethernet, por lo que se puede identificar el datagrama IP dentro de una trama Ethernet. También comprende el formato de datagrama IP, de modo que pueda extraer el segmento TCP dentro del datagrama IP.Por último, entiende el protocolo HTTP y así, por ejemplo, sabe que los primeros bytes de un mensaje HTTP contendrá la cadena "GET", "POST", o "HEAD", como se muestra en la Figura 2.8 en el texto.

Estaremos usando el analizador de paquetes Wireshark [http://www.wireshark.org/] para estos laboratorios, lo que nos permite visualizar el contenido de los mensajes enviados/recibidos desde /por los protocolos en los diferentes niveles dela pila de protocolos. (Técnicamente hablando, Wireshark es un analizador de paquetes que utiliza una biblioteca de captura de paquetes en el ordenador). Wireshark es un analizador de protocolos de red gratuito que se ejecuta en Windows, Linux / Unix, y Mac. Es un analizador de paquetes ideal para nuestros laboratorios-es estable, tiene una gran base de usuarios y soporte bien documentado, que incluye una guía de usuario (http://www.wireshark.org/docs/wsug_html_chunked/), páginas de manual (http:// www.wireshark.org/docs/man-pages/), y una detallada FAQ

(http://www.wireshark.org/faq.html), una rica funcionalidad que incluye la capacidad de analizar cientos de protocolos, y unainterfaz de usuario bien diseñada. Funciona en ordenadores que utilizan Ethernet, Token Ring, FDDI, serial (PPP y SLIP), 802.11 LAN inalámbricas y conexiones ATM (si el sistema operativo en el que se está ejecutando permite a Wireshark hacerlo).

Descarga de Wireshark

Para ejecutar Wireshark, tendrá que tener acceso a un equipo que es compatible con Wireshark y el libpcap o WinPcap biblioteca de captura de paquetes. El software libpcap será instalado por ti, si no se instala dentro de su sistema operativo, al instalar Wireshark. Ver http://www.wireshark.org/download.html

para una lista de sistemas operativos compatibles y los sitios de descarga.

Descargue e instale el software Wireshark:

http://www.wireshark.org/download.htmly descargue e instale el ejecutable de Wireshark

Descargue la guía del usuario de Wireshark.

El FAQ de Wireshark tiene una serie de consejos útiles y datos interesantes de información, sobre todo si tiene problemas para instalar o ejecutar Wireshark.

Ejecutando Wireshark

Cuando ejecute el programa Wireshark, la interfaz gráfica de usuario de Wireshark de la Figura2 será mostrada. Inicialmente, ninguna data será mostrada en las distintas ventanas.

La interfaz de Wireshark tiene cinco componentes principales: Los menús de comandos son menús desplegables estándar situados en la parte superior

de la ventana. De interés para nosotros son los menús Archivo y Captura. El menú Archivole permite guardar los datos capturados de paquetes o abrir un archivo que contiene yacapturado los paquetes de datos, y salir de la aplicación Wireshark. El menú de capturale permite iniciarla captura de paquetes.

La ventana de lista de paquetes muestra un resumen de una línea por cada paquetecapturado, incluyendo el número de paquetes (asignado por Wireshark, esto no es un número de paquetes contenido en el encabezado de algún protocolo), el momento en que fue capturado el paquete, la fuente del paquete y la dirección de destino, el tipo de protocolo y la información específica del protocolo contenida en el paquete. La lista de paquetes puede ser clasificar de acuerdo a cualquiera de estas categorías haciendo clic en un nombre de columna. El campo tipo de protocolo indica el protocolo de más alto nivel que envió o recibió este paquete, es decir, el protocolo que es la fuente o sumidero final de este paquete.

La ventana de detalles de la cabecera del paquete proporciona detalles sobre el paquete seleccionado (Resaltado) en la ventana de lista de paquetes. (Para seleccionar un paquete en la ventana de lista de paquetes, coloque el cursor sobre una línea de resumen de un paquete en la ventana de lista de paquetes y haga clic con el botón izquierdo del ratón.). Estos detalles incluyen información acerca de la trama Ethernet (suponiendo que el paquete fue enviado / recibido través de una interfaz Ethernet) y el datagrama IP que

contiene este paquete. La cantidad de detalle de la capa IP y Ethernet que se muestra se puede ampliar o reducir al mínimo haciendo clic en los cuadros de “más o menos” a la izquierda de la línea de la trama Ethernet o datagrama IP en la ventana de detalles del paquete. Si el paquete ha sido traído por TCP o UDP, los detalles TCP o UDP también se mostrarán, que de igual forma se puede ampliar o reducir al mínimo. Por último, los detalles sobre los protocolos de más alto nivel que envió o recibió este paquete también se proporcionan.

La ventana de paquetes de contenido muestra el contenido completo del datagrama capturado, en formato ASCII y hexadecimal.

Hacia la parte superior de la interfaz de usuario gráfica de Wireshark, esta la pantalla de filtro de paquetes por campo, en la que el nombre del protocolo u otro tipo de información se puede introducir con el fin de filtrar la información que aparece en la ventana de lista de paquetes (y por lo tanto, la cabecera del paquete y de paquetes de contenidos de Windows). En el siguiente ejemplo, vamos a utilizar la pantalla de filtro de paquetes por campo para que Wireshark oculte (no muestre) los paquetes excepto aquellos que corresponden a los mensajes HTTP.

Wireshark para una ejecución de prueba

La mejor manera de aprender acerca de cualquier nueva pieza de software es probarlo! Vamos a suponer que el equipo está conectado a Internet a través de un cable de interfaz Ethernet. Hacer lo siguiente:

1. Inicie su navegador web favorito, que mostrará su página de inicio seleccionado.

2. Inicie el software Wireshark. Inicialmente, verá una ventana similar a la quese muestra en la Figura 2, excepto que ningún dato de paquetes se podrá ver en la lista de paquetes, cabecera del paquete, o la ventana de contenidos de paquetes, dado que Wireshark no ha comenzado todavía la captura de paquetes.

3. Para comenzar la captura de paquetes, seleccione el menú desplegable de “captura” y seleccione Opciones. Esto hará que la ventana "Wireshark: Capture Options" se muestre, como se muestra en la Figura 3.

Figura 3: Captura de Wireshark ventana de Opciones

4. Puede utilizar la mayoría de los valores por defecto en esta ventana, pero desmarque la opción "Hide Capture info dialog" en las opciones presentadas. Las interfaces de red (es decir, las conexiones físicas) que su equipo tiene hacia la red se mostrarán en la interfaz del menú desplegable en la parte superior de la ventana de Opciones de Captura. En caso de que su equipo tiene más de un interfaz de red activa (por ejemplo, si tiene una conexión inalámbrica y un conexión Ethernet por cable), usted tendrá que seleccionar una interfaz a ser usada para enviar y recibir paquetes (mas probable la interfaz de cable). Después de seleccionar la interfaz de red (o usar la interfaz por defecto elegida por Wireshark), haga clic en Inicio. La captura de paquetes comenzará ahora - todos los paquetes enviados/recibidos desde/por el equipo están siendo capturados por Wireshark!5. Una vez que comience la captura de paquetes, una ventana de resumen de captura de paquetes aparecerá, como se muestra en la Figura 4. Esta ventana resume el número de paquetes de diversos tipos que están siendo capturados, y (importante!) contiene el botón Detener que le permite detener la captura de paquetes. No deje de captura de paquetes aún.

Figura 4: Ventana de captura de paquetes de Wireshark

6. Mientras Wireshark se está ejecutando, escriba la dirección URL: http://gaia.cs.umass.edu/wireshark-labs/INTRO-wireshark-file1.html y tenga esa página mostrada en su navegador. Para visualizar esta página, su navegador se contactará con el servidor HTTP en gaia.cs.umass.edu e intercambiara mensajes HTTP con el servidor para descargar esta página, como se discutió en la sección 2.2 del texto. Las tramas Ethernet que contienen estos mensajes HTTP que serán capturados por Wireshark.

7. Después de que su navegador ha mostrado la página INTRO-wireshark-file1.html, detenga la captura de paquetes Wireshark seleccionando Stop en la ventana de captura de Wireshark. Esto hará que la ventana de captura de Wireshark desaparezca y que la ventana principal de Wireshark muestre todos los paquetes capturados desde que comenzó la captura de paquetes.La ventana principal de Wireshark ahora debe ser similar a la Figura 2. Ahora tienes paquetes de datos que contiene todos los mensajes de protocolos intercambiados entre su equipo y otras entidades de la red! Los mensajes HTTP intercambiados con el servidor Web gaia.cs.umass.edu deberían aparecer en algún lugar de la lista de paquetes capturado. Sin embargo, habrá muchos otros tipos de paquetes mostrados también (véase, por ejemplo, los diferentes tipos de protocolos mostrados en la columna de Protocolo en la Figura 2).A pesar de que la única acción que se realizo fue descargar una página web, evidentemente hubo muchos otros protocolos ejecutándose en el equipo que no fueron vistos por el usuario. Vamos a aprender mucho más acerca de estos protocolos a medida que progresemos a través del texto! Por ahora, sólo debe tener en cuenta que a menudo hay mucho más allá de lo que "lo que el ojo puede ver"!

8. Escriba "http" (sin las comillas y en minúsculas - todos los nombres de protocolo están en minúsculas en Wireshark) en la ventana de visualización especificación de filtro en la parte superior de la ventana principal de Wireshark. A continuación, seleccione Aplicar (a la derecha de donde ingreso "Http"). Esto hará que sólo mensajes HTTP sean mostrados en la ventana de lista de paquetes.

9. Seleccione el primer mensaje HTTP mostrado en la ventana de lista de paquetes. Este debe ser el mensaje HTTP GET que fue enviado desde el ordenador al servidor HTTP gaia.cs.umass.edu. Cuando se selecciona el mensaje HTTP GET, la trama Ethernet, el datagrama IP, el segmento TCP y la información del encabezado del mensaje HTTP se mostrarán en la ventana de cabeceras de paquete. Al hacer clic en las cajas de “más o menos” en el lado izquierdo de la ventana de detalles de paquetes, se minimizara la cantidad de información mostrada de marcos, Ethernet, protocolo de Internet, y TCP. Se maximizara la cantidad de información mostrada sobre el protocolo HTTP. La pantalla de Wireshark debe verse más o menos como se muestra en Figura 5. (Note, en particular, la cantidad minimizada de información de protocolo para todos los protocolos excepto HTTP, y la cantidad maximizada de información de protocolo HTTP en la ventana de cabecera de paquete).

10. Salir de Wireshark

¡Felicitaciones! Ya ha completado el primer laboratorio.

Figura 5: pantalla de Wireshark después del paso 9

Entregables

El objetivo de este primer laboratorio fue sobre todo presentarle a Wireshark. Las siguientes preguntas demostraran que ha sido capaz de conseguir poner Wireshark en marcha y funcionando, y ha explorado algunas de sus capacidades. Conteste las siguientes preguntas, basadas en su experimentación con Wireshark:

1. Haga una lista de hasta 10 protocolos diferentes que aparecen en la columna de protocolos en la ventana de lista de paquetes (sin filtro) en el paso 7.RPTA:

ICMPV6TCPSSLDNSNBNSLLMNRTLSV1.2HTTP

2. ¿Cuánto tiempo le tomó a partir del momento en que el mensaje HTTP GET fue enviado hasta que la respuesta HTTP OK fue recibida? (De manera predeterminada, el valor de la columna de tiempo en la ventana del lista de paquetes la cantidad de tiempo, en segundos, desde que comenzó el rastreo de Wireshark. Para mostrar el campo Hora en el formato de la hora del día, seleccione vista en el menú desplegable de Wireshark, a continuación, seleccione Formato de tiempo para mostrar, a continuación, seleccione la hora del día.

16.110886000 segundos2015-04-05 12:36:13.375505000 hora del día

3. ¿Cuál es la dirección de Internet de gaia.cs.umass.edu (también conocido como wwwnet. cs.umass.edu)? ¿Cuál es la dirección de Internet de su computadora?

128.119.245.12192.168.0.105

4. Imprimir los dos mensajes HTTP que se muestran en el paso 9. Para ello, seleccione Imprimir en Archivo del menú de comandos de Wireshark y seleccione "solo paquete seleccionado" y "Imprimir como se muestra" y luego haga clic en Aceptar.

Nota:

Traducido del libro:

“Computer Networking: A Top Down Approach”,

5th edition.

Jim Kurose, Keith Ross

Addison-Wesley, 2007