ESCUELA SUPERIOR POLITECNICA DE CHIMBORAZO FACULTAD DE INFORMÁTICA Y ELECTRÓNICA

ESCUELA DE INGENIERÍA EN SISTEMAS

REDES E INTEGRACION.

Análisis de captura de tráfico en la red local con wireshark utilizando FTP como protocolo de

estudio. hermessanc@gmail.com

dariogarcia1991@hotmail.com mary.ortiz.315428@facebook.com

NOMBRES

- Hermes Sánchez. 5227.

- Dario Garcia 5178.

- Laura Ortiz

DOCENTE: Ing. M.Sc. Patricio Moreno Costales.

Riobamba

Noviembre 2013

TEMA Análisis de captura de tráfico en la red local con wireshark utilizando FTP como protocolo de estudio.

OBJETIVOS

Objetivo general

Analizar la captura de tráfico en la red local con máquinas virtuales y sistema operativo Windows implementando wireshark como software de captura de tráfico, utilizando FTP como protocolo de estudio.

Objetivos específicos.

Configurar 3 máquinas virtuales con sistema operativo Windows server 2008, 2003 y

Windows xp para su implementación en red local.

Capturar el trafico de red con wireshark para el análisis de sus resultados en relación con el

uso del protocolo FTP.

Marcar diferencias y conclusiones del análisis y resultados obtenidos.

CONFIGURACIÓN

1. En el servidor Windows 2008 de nombre DEN-SRV4, cambiamos la configuración de la

interfaz Ethernet utilizada para la conexión en red local con las demás computadoras

relevantes para la práctica.

Dirección IP: 10.10.0.4 Mascara de subred: 255.0.0.0 Puerta de enlace: 10.10.10.1 Dirección Servidor DNS preferido: 10.10.0.2

2. El servidor DEN-SRV4 debe ser parte del dominio en el servidor de nombres, siendo este

contoso.msft

3. Una vez ubicado el dominio nos pide usuario y password del servidor de nombre de dominio

DNS, siendo la maquina DEN-DC1, con los siguientes datos.

Usuario: administrator Password: Pa$$w0rd

4. Una vez unido al dominio instalamos el servicio de internet information server (IIS) y los servicios de función requeridos para publicación FTP.

5. Una vez instalados el nuevo servicio y funciones de servicio FTP, verificamos su instancia.

6. Creamos un nuevo sitio FTP para su uso y estudio posterior.

7. Ubicamos la dirección ip de la máquina que contiene el sitio 10.10.0.4

8. Creamos una carpeta en el DEN-SRV4 donde se alojaran los archivos de subida y bajada por el protocolo FTP.

9. Seleccionamos el directorio creado en el paso anterior para nuestro sitio de FTP y asignamos permiso de lectura y escritura.

10. Iniciamos nuestro servicio en nuestro sitio FP.

11. Ahora comenzamos en la maquina cliente de nombre DEN-CL1, donde creamos un directorio y desde consola ejecutaremos comandos de FTP principalmente para subir y bajar archivos.

12. Nos ubicamos desde consola en el directorio antes creado y utilizamos el comando >ftp 10.10.0.4 para conectarnos con el servidor DEN-SRV4 quien contiene los servicios de FTP.

13. Nos solicitara autenticarnos con lo que procedemos.

Nombre de usuario del DEN-SRV4: administrador Password del DEN-SR4: Pa$$w0rd

14. Una vez conectado podemos hacer uso del comando propio del protocolo FTP, donde

utilizamos comandos para manipular archivos, siendo estos get y put para bajar y subir los archivos respectivamente.

15. Comenzamos a capturar el tráfico subiendo y bajando archivos con el servicio del protocolo FTP, configurando la interfaz Ethernet en el wireshark e iniciando la captura.

RESULTADOS Considerando que en el intercambio de paquetes FTP entran en juego dos conexiones, siendo la

primera sobre el puerto 21, la conexión de control, por donde se envían los diferentes comandos

hacia el servidor y sus respectivas contestaciones. La segunda conexión es la de datos y tal y como

su nombre indica, es por donde se envían y se reciben los datos pedidos, y, la comunicación existe

en dos formas para el establecimiento de la conexión de datos. La más usada por casi todos los

clientes FTP de forma predefinida es la pasiva.

En la forma pasiva, es el propio servidor el que elige el puerto al que se le va enviar la información.

Ahora haciendo un análisis de los resultados obtenidos en el proceso de comunicación y

transferencia de datos con el protocolo de estudio FTP.

Las primeras líneas que observamos en la captura corresponden al inicio de la comunicación con el servidor FTP. Se trata del establecimiento de conexión en tres pasos.

cliente servidor TCP 62 amx-icsp > ftp [SYN] Seq=0 Win=65535 Len=0 MSS=1460 SACK_PERM=1 servidor cliente TCP 62 ftp > amx-icsp [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0 MSS=1460 SACK_PERM=1 cliente servidor TCP 60 amx-icsp > ftp [ACK] Seq=1 Ack=1 Win=65535 Len=0

El cliente envia SYN con un número secuencia Seq=0 y Ack=0

El servidor lo recibe, envia SYN y ACK y responde con su propio número de secuencia Seq=0 y con un ACK = al número de secuencia anterior + 1, es decir: Ack=1

El cliente a su vez responde con ACK y número de secuencia inicial (Seq=0) +1 y ACK = número de secuecia anterior (Seq=0) +1, es decir: Ack=1

En la línea anterior vemos como el servidor responde al cliente con el código 220 que indica servicio preparado para nuevo usuario y nuestra información del software/versión del servidor FTP:

Response: 220 Microsoft FTP services.

El cliente inicia el diálogo y sesión FTP con el servidor. USER identifica al usuario para acceder al sistema de ficheros del servidor:

Request: USER administrador

El servidor responde requiriendo la contraseña del usuario con el código 331 que indica “OK” al usuario administrador y que necesita contraseña:

Response: 331 Password required for administrador

El cliente responde con la contraseña

Request: Pa$$w0rd

El servidor responde con código 230 que indica que el usuario está conectado y que continúe con la sesión:

Response: 230 User administrador Logged in.

Ahora el cliente con la siguiente orden PORT n1, n2, n3, n4, n5, n6; indica al servidor el establecimiento del modo activo. Con esta orden, se indica que se espera conexión del servidor en la dirección IP n1,n2,n3,n4, en este caso 10.10.0.45 tal como vemos en la captura gráfica de Wireshark, y en el puerto n5 y n6, calculando el puerto de la siguiente forma:

n5*256+n6

Así pues, siendo n5=19 y n6=137, 19*256+137=5001. que, como vemos en la captura un poco más a bajo, es el puerto usado por el cliente. el servidor inicia conexión desde el puerto 20 hacian el puerto “resultante” de la orden PORT:

Request: PORT 10,10,0,45,19,137

El cliente con la orden NLST, indica el tipo de representación de los datos, es decir ASCII.

Request: NLST

Y POR ULTIMO TENEMOS UNA TRASFERENCIA COMPLETA.

CONCLUSIONES

La configuración en 3 máquinas virtuales marca una pauta de rendimiento muy bajo, y se

pero se considera lo suficientemente eficiente como para el análisis y rescate de estudio de

la implementación y operación para el entendimiento del protocolo FTP.

El datos circulantes en la red se tiende a muy vulnerable al momento de conseguir capturar

el tráfico que hay en la red, esto, si se lo realiza con fines dolosos, sin embargo, se puede

apreciar y analizar con este tráfico obtenido la manera en la cual el cliente y el servidor con

los diferentes servicios de FTP proporcionado, establecen parámetros de comunicación y

transferencia de archivos, conociendo así, que utiliza protocolos como el TCP que se orienta

a la conexión para la fiable transferencia de archivos con el protocolo de estudio principal

siendo el FTP.

Se tiene una comunicación muy limpia y transparente para el cliente permitiendo seguridad

y confianza de la integridad de los datos tanto al subir o bajar contenido por el protocolo

FTP sabiendo la utilización de TCP para su comunicación.