t2 Practica

BLOQUE I: ADMINISTRACIN BSICA DE S.O.S LINUX PRCTICA 2: ADMINISTRACIN EN RED DEL S.O. LINUX

FUNDAMENTOS DE APLICACIONES Y SERVICIOS TELEMTICOS DEPARTAMENTO DE INGENIERA TELEMTICA (DIT)-I-

Prctica 2 (0,2 Puntos)

Administracin en red del S.O. Linux

Fundamentos de Aplicaciones y Servicios Telemticos

2 Curso Grado en Ingeniera de Tecnologas de Telecomunicacin

Departamento de Ingeniera Telemtica (DIT)

Universidad de Sevilla

Fco. Javier Muoz Calle

Francisco Jos Fernndez Jimnez

Jos ngel Gmez Argudo

Ignacio Campos Rivera

Curso 2012/2013


FUNDAMENTOS DE APLICACIONES Y SERVICIOS TELEMTICOS DEPARTAMENTO DE INGENIERA TELEMTICA (DIT)-II-

NDICE

1. Objetivos y alcance (1 minuto) . . . . . . . . . . . . . . . . . . . . . . . . . 1

1.1 Introduccin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1

1.2 Objetivo de la prctica . . . . . . . . . . . . . . . . . . . . . . . . . . 1

1.3 Planificacin de la prctica . . . . . . . . . . . . . . . . . . . . . . . . 2

1.4 Documentacin de apoyo . . . . . . . . . . . . . . . . . . . . . . . . . 2

2. Configuracin de red del sistema Linux (30 minutos) . . . . . . . . . . . . . 2

2.1 Configuracin de las tarjetas de red (15 minutos) . . . . . . . . . . . . . 2

2.1.1 Construccin inicial de la tabla de encaminamiento . . . . . . . . 6

2.2 Resolucin de nombres (5 minutos) . . . . . . . . . . . . . . . . . . . 7

2.3 Otros ficheros con la configuracin bsica de la red (5 minutos) . . . . . 9

2.4 Parmetros de red del kernel (5 minutos) . . . . . . . . . . . . . . . . . 10

3. Comandos bsicos para trabajo en red de Linux (35 minutos) . . . . . . . . . 11

3.1 Comando ifconfig (5 minutos) . . . . . . . . . . . . . . . . . . . . . . 11

3.2 Comando ping (3 minutos) . . . . . . . . . . . . . . . . . . . . . . . . 12

3.3 Comando route (4 minutos) . . . . . . . . . . . . . . . . . . . . . . . 13

3.4 Comando traceroute (3 minutos) . . . . . . . . . . . . . . . . . . . . . 14

3.5 Comando netstat (3 minutos) . . . . . . . . . . . . . . . . . . . . . . . 14

3.6 Comando nmap (4 minutos) . . . . . . . . . . . . . . . . . . . . . . . 15

3.7 Comando arp (3 minutos) . . . . . . . . . . . . . . . . . . . . . . . . 15


FUNDAMENTOS DE APLICACIONES Y SERVICIOS TELEMTICOS DEPARTAMENTO DE INGENIERA TELEMTICA (DIT)-III-

3.8 Comandos host y nslookup (2 minutos) . . . . . . . . . . . . . . . . . . 16

3.9 Comando dig (4 minutos) . . . . . . . . . . . . . . . . . . . . . . . . . 16

3.10 Comando ip (4 minutos) . . . . . . . . . . . . . . . . . . . . . . . . . 16

4. Monitorizacin de trfico de red en Linux (25 minutos) . . . . . . . . . . . . . 17

4.1 Analizador de protocolos TcpDump (15 minutos) . . . . . . . . . . . . 17

4.2 Analizador de protocolos Wireshark (10 minutos) . . . . . . . . . . . . 19

5. Ejemplo de Test (5 minutos) . . . . . . . . . . . . . . . . . . . . . . . . . . 22

A. Anexo: Sintaxis de expresiones para el filtrado de trfico . . . . . . . . . . . . 26

A.1 Combinacin de Filtros . . . . . . . . . . . . . . . . . . . . . . . . . . 30

A.2 Filtros avanzados . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31


FUNDAMENTOS DE APLICACIONES Y SERVICIOS TELEMTICOS DEPARTAMENTO DE INGENIERA TELEMTICA (DIT)-1-

1. Objetivos y alcance (1 minuto)

1.1 Introduccin

En una red de rea local (LAN) los equipos estn configurados de forma que sea posible la comunicacinentre los mismos, el acceso a otros equipos que proporcionan servicios y el acceso al exterior dedicha red en el caso de que sea necesario solicitar servicios que no proporcionan los servidoreslocales.

El conocimiento de los parmetros y valores con los que estn configurados los equipos de unared, as como de los mecanismos que permiten la modificacin de dichos valores, es fundamentalen las tareas de administracin y mantenimiento de los ordenadores, equipos de redes, etc.

La monitorizacin de las condiciones en las que est operando la red local a la que un determinadoequipo est conectado, es tambin de gran utilidad para determinar el correcto funcionamientode dicha red.

1.2 Objetivo de la prctica

El objetivo de esta prctica es descubrir la configuracin de la red en la que est operando su equipo.El alumno deber descubrir la configuracin IP de ste (direccin fsica, direccin IP, mscarade red, servidores, etc.), as como la de otros.

El segundo objetivo de esta prctica es que el alumno se familiarice con el uso de las herramientasde monitorizacin que existen para redes en las que todos los equipos comparten un medio comn.El uso de un medio comn, como sucede con las redes Ethernet, puede generar problemas bajodeterminadas condiciones, los cuales pueden prevenirse o detectarse con la utilizacin de las herramientasaqu estudiadas.

Es importante que el alumno aprenda a administrar su equipo desde un entorno en modo texto,ejecutando directamente los comandos que le permitan descubrir cmo estn configurados los equiposde la red, siendo esto relevante dada la inexistencia de entornos grficos en multitud de servidores.Es importante entender el contenido de los archivos de configuracin antes de manejar otras herramientasque los modifiquen de forma opaca. ste ser un objetivo que se mantendr en todas las prcticasdel laboratorio.



1.3 Planificacin de la prctica

Sesiones de Prcticas de este Tema Apartados a realizar de esta memoria

Sesin 1 Todos (+ Test Prctica)

1.4 Documentacin de apoyo

"The Debian system: concepts and techniques". Martin F. Krafft. 2005. ISBN: 1593270690.

"Linux bible". Christopher Negus. Indianapolis, IN. Wiley, 2011. ISBN: 9780470929988.

"Pro Linux System Administration". James Turnbull, Peter Lieverdink, Dennis Matotek.Berkeley, CA. Apress, 2009. ISBN: 978-1-4302-1912-5.

"Linux Network Administrator's Guide (Openbook)". Olaf Kirch, Terry Dawson. O'Reilly,2000. ISBN: 1-56592-400-2

Pgina Web de tcpdump: http://www.tcpdump.org/

Pgina Web de Wireshark: http://www.wireshark.org/

2. Configuracin de red del sistema Linux (30 minutos)

En este apartado se presentan los ficheros que contienen la configuracin ms bsica de la red delequipo. Estos ficheros son ledos por diversos scripts implicados en el proceso de arranque delequipo. Todos ellos son archivos de administracin, por lo que su modificacin requiere permisosde superusuario.

2.1 Configuracin de las tarjetas de red (15 minutos)

Para ver el nombre y configuracin de las distintas interfaces de red existentes en su equipo puedeusar el comando ifconfig -a. Al arrancar el equipo, la configuracin de las distintas interfacesde red es leda del fichero /etc/network/interfaces. A continuacin se presentan,a modo ilustrativo, las lneas de dicho fichero empleadas para configurar las siguientes interfaces(mas informacin en "man interfaces"):



a) Interfaz local lo:

/etc/network/interfacesauto loiface lo inet loopback

b) Interfaces correspondientes a tarjetas fsicas Ethernet (las tarjetas WiFi emplearn algunosparmetros adicionales): pueden configurarse mediante una de las dos opciones siguientes(en el fichero "interfaces" NO deben aparecer comentarios tras las lneas de configuracin):

Configuracin DHCP de la interfaz eth0:

/etc/network/interfacesauto eth0 iface eth0 inet dhcp



NOTA

En algunas distribuciones Linux actuales, tras ejecutar el comando service networkingrestart se muestra un aviso indicando que esta opcin est deprecated (desaconsejada)al no reactivar algunos tipos de interfaces de red (lo que no afecta a las interfaces Ethernet).Alternativamente a este comando, para garantizar la reactivacin de todas las interfaces de red,puede ejecutarse:

service networking stop && service networking start

o igualmente:

ifdown -a && ifup -a

b) Des/activar una interfaz de red concreta mediante la configuracin de dicho fichero:

Operacin Sintaxis Ejemplo

Desactivarifdown interfaz ifdown eth0ifconfig interfaz down ifconfig eth0 down

Activarifup interfaz ifup eth0ifconfig interfaz up ifconfig eth0 up

Entre ambas opciones, debe aclararse que:

"ifconfig interfaz down" desactiva la interfaz, pero no "limpia" procesosasociados (por ejemplo, no elimina de memoria el cliente DHCP "dhclient").

"ifdown eth0" desactiva la interfaz y limpia los procesos asociados.

"ifconfig interfaz up" slo configura los parmetros explcitos de la red (IPy mscara), no los parmetros adicionales tales como la pasarela.

"ifup eth0" aplica todos los parmetros recogidos en el fichero de configuracin"/etc/network/interfaces", esto es, los parmetros propios de la tarjeta (IPy mscara) y todos los dems, incluida la pasarela. Si se invoca este comando sobreuna interfaz que ya s encuentra activa ("up"), o de la que no se han limpiado sus procesosasociados, entonces no hace nada.



TAR

EAS

1 Visualice el contenido del fichero "/etc/network/interfaces" y compruebecomo su interfaz de red eth0 se encuentra configurada para ser configurada medianteDHCP. Ejecute el comando "ifconfig" y compruebe como tiene una direccin IP,que ha sido asignada por el servidor DHCP.

2 Ejecute el comando " ping 193.147.162.1" para comprobar que su tarjeta de redfunciona correctamente (recuerde que para detener el comando "ping" debe pulsar"Ctrl-C").

3 Edite el fichero "/etc/network/interfaces" y configure su interfaz eth0de forma esttica con los mismos valores de red que actualmente tiene configurados(los que muestra "ifconfig" y "route"). Aplique los cambios sobre la tarjeta de red,vuelva a ejecutar el comando "ping" anterior y compruebe que efectivamente todosigue funcionando igual.

4 Vuelva a editar el fichero "/etc/network/interfaces" para que la interfaz"eth0" siga configurndose por DHCP, y aplique los cambios.

5 Ejecute el comando "ifconfig" (como root) en otro equipo de la sala que estencendido para obtener su direccin IP (la llamaremos "IP_A", Recurdela porqueposteriormente se har uso de ella); si alguno de los PCs adyacentes al que estempleando se encuentra disponible, use dicho PC; en otro caso, solictele a su compaeroque le indique la direccin IP de su equipo. Desde su ordenador, ejecute "ping IP_A"y compruebe que responde.

6 Ejecute los siguientes comandos y analice lo que va sucediendo:

ifconfig eth0ping IP_Aping 193.147.162.1ifconfig eth0 downping IP_Aping 193.147.162.1ifconfig eth0 upping IP_Aping 193.147.162.1routeifup eth0ping IP_Aping 193.147.162.1routeifconfig eth0 downifup eth0ping IP_Aping 193.147.162.1routeifconfig eth0 down



TAR

EAS

ifup eth0ping IP_Aping 193.147.162.1routeifdown eth0ifup eth0ping IP_Aping 193.147.162.1route

La ejecucin de estos comandos le debe permitir comprobar la diferencia entre loscomandos "ifconfig eth0 up/down" e "ifup up/down".

2.1.1 Construccin inicial de la tabla de encaminamiento

La activacin de las interfaces de red (no la local) lleva aparejada la insercin de las primeras lneasen la tabla de encaminamiento. Al activar una interfaz ethX se aade en la tabla de encaminamiento

1" entrada de subred: correspondiente al rango de direcciones IP de la subred a la quedicha interfaz permite acceso a nivel 2. Estas entradas son ordenadas de forma automticade menor a mayor tamao de subred (de la mscara de ms a la de menos 1").

Si la interfaz contienen una entrada gateway, se establece dicha pasarela como la asociadaa la entrada default. Referente a la entrada por defecto (default) de la tabla deencaminamiento, debe tenerse que el script networkwing slo activa una entradapor defecto, la del ltimo parmetro gateway ledo en el fichero/etc/network/interfaces. En caso de que manualmente (con el comando "route")se hayan configurado varias entradas default, al activar una interfaz con el comando ifupinterfaze, slo se ver afectada la primera entrada default, que ser sustituida por la pasarelaconfigurada para dicha interfaz.

A modo de ejemplo, si la configuracin de la interfaz eth0 es:

/etc/network/interfacesiface eth0 inet staticaddress 192.168.0.2 netmask 255.255.255.0 network 192.168.0.0 broadcast 192.168.0.255 gateway 192.168.0.1

se aadirn las siguientes entradas a la tabla de encaminamiento:

Destination Gateway Genmask Interface 192.168.0.0 * 255.255.255.0 eth0



default 192.168.0.1 0.0.0.0 eth0Sobre esta situacin inicial de la tabla de encaminamiento siempre podrn realizarse modificacionesmediante el comando route.

Advierta como la tabla de encaminamiento de Linux no recoge la interfaz virtual "lo". Cuandose intenta enviar un paquete, antes de hacer uso de la tabla de encaminamiento Linux compruebasi el destinatario es el propio equipo, en cuyo caso lo enva por la interfaz local "lo" (no llegandoa hacer uso de la tabla de encaminamiento).

TAR

EAS

1 Visualice la tabla de encaminamiento con el comando "route".

2 Desactive la interfaz eth0 y visualice la tabla de encaminamiento.

3 Vuelva a reactivar la interfaz "eth0" y vuelva a visualizar la tabla de encaminamiento.Compruebe que los valores de direccin IP de subred y mscara corresponden conlos antes introducidos manualmente en el fichero de configuracin de la interfaz.

2.2 Resolucin de nombres (5 minutos)

Para configurar la resolucin de nombres en Linux se emplean los siguientes archivos, de los quepuede obtener ms informacin en el manual "man nsswitch.conf":

Fichero Utilidad Lneas

/etc/hostname

Nombre de la m-quina local (pasadoal comando hostna-me y a la variable"$HOSTNAME")

nombre

Ejemplo:FAST

/etc/hosts Resolucin local denombres

IP nombre otros_alias

Ejemplo:127.0.0.1 localhost local

/etc/resolv.conf IP servidores DNSnameserver IP_servidor_DNS

Ejemplo:nameserver 150.214.186.69




/etc/nsswitch.conf

Ordena el orden deconsulta de las ba-ses de datos a usar.Para la resolucin

de nombres("hosts"), el valor

"files" indica/etc/hosts)

hosts: files dns

/etc/host.conf

Prioridad de resolu-cin de nombres("hosts" indica

/etc/hosts y "bind"servidor DNS).Sustituido por

"nsswitch.conf" (semantiene para apli-caciones antiguas)

order hosts,bind



TAR

EAS

1 Visualice su fichero "/etc/resolv.conf" para conocer cuales son las direcciones IPde sus servidores DNS.

2 Ejecute el comando "ping trajano.us.es" y observe la direccin IP a la que se resuelve.

3 Edite el fichero "/etc/hosts" y asocie la direccin "127.0.0.1" al nombre "trajano.us.es".

4 Vuelva a ejecutar el comando "ping trajano.us.es" y compruebe como ahora se resuelvea la direccin IP local.

5 Utilice el fichero "/etc/nsswitch.conf" y aplique el orden de resolucin de nombres"hosts: dns files", comprobando como ahora al hacer "ping trajano.us.es", se vuelvea resolver a su direccin IP real.

6 Mediante los comandos "hostname" y "echo $HOSTNAME", obtenga el nombrede su mquina local, y compruebe que es el mismo que el configurado en el fichero"/etc/hostname".

7 Ejecute el comando "hostname equipo" y salga del terminal de comandos en el quese encuentra trabajando. Vuelva a abrir un nuevo terminal de comandos y compruebecomo el prompt del sistema recoge el nuevo nombre dado al equipo (al invocarseel intrprete de comandos, ste lee el nombre actual del equipo para configurar lavariable de entorno $HOSTNAME, y la usa para mostrar el prompt). Ejecute "hostname"y compruebe como tambin se obtiene ese nombre.

2.3 Otros ficheros con la configuracin bsica de la red (5 minutos)

Adems de los ficheros comentados, en Linux existen muchos otros ficheros asociados con lasred. A continuacin se resumen algunos de ellos (puede utilizar el comando "man" para obtenerms informacin sobre ellos):


/etc/protocols Alias IDs IP (recogeIANA)

protocolo ID otros_alias

Ejemplo:icmp 1 ICMP

/etc/services Alias puertos (reco-ge IANA)

alias puerto/tcp_o_udp

Ejemplo:domain 53/tcp




/etc/networks Nombres subredes(i.e. lo usa route)

nombre IP_subred

Ejemplo:loopnet 127.0.0.0

/etc/ethers

Asignacin de IPs adireccin MAC(puede usarse paracrear entradas ma-nuales en la cachARP: "arp -f/etc/ethers")

direccin_MAC direccin_IP

Ejemplo:00:01:02:03:04:05 80.10.1.4

TAR

EAS

1 Visualice el contenido de los ficheros "/etc/protocols" y "/etc/services", y observecomo recogen los valores estandarizados para los nmeros de protocolo y nmerosde puertos.

2 Edite el fichero "/etc/networks" para conseguir que al ejecutar el comando "route",en la lnea que da acceso a su propia subred, en lugar de aparecer la IP de subred,aparezca un nombre.

3 Compruebe como el fichero "/etc/ethers" no existe en su equipo. Cree dicho archivocon la entrada "00:01:02:03:04:05 80.10.1.4" y selo para aadir una entrada manuala la cach ARP mediante el comando "arp -f /etc/ethers". Compruebecon el comando "arp" como dicha entrada manual (flag "M") se ha aadido correctamentea la cach ARP.

2.4 Parmetros de red del kernel (5 minutos)

Linux permite personalizar gran parte del comportamiento en red a travs de la configuracin delpropio kernel. Para ello, el kernel dispone de mltiples parmetros modificables en tiempo de ejecucin,accesibles a travs de la carpeta virtual "/proc/sys/". De todos los parmetros del kernel, loscontrolan el funcionamiento de la red se encuentran bajo la ruta "/proc/sys/net/". El valorde estos parmetros puede controlarse de dos formas (consulte la ayuda, man sysctl.confy man sysctl, para obtener ms informacin)

a) Configurando su valor para cada arranque del sistema mediante el fichero/etc/sysctl.conf: para configurar el parmetro ubicado en el fichero virtual"/proc/sys/dir1/dir2/parametro", se escribira la lnea:



/etc/sysctl.confdir1.dir2.parametro=valor

La carga de este fichero de configuracin puede realizarse mediante el comando sysctl-p, el cual es invocado durante el arranque del sistema (y por el script service networkrestart).

b) Modificar manualmente el valor de un parmetro en el kernel (al reiniciar el equipo estecambio se perder): dos opciones

echo "valor" > /proc/sys/carpeta_segun_parmetro/parametro

o haciendo uso del comando sysctl, el cual ya asume que el parmetro se encuentra dentrode la carpeta virtual /proc/sys/:

sysctl -w carpeta_segun_parmetro="valor"

Entre los diversos parmetro de red del kernel, podemos citar los siguientes a modo de ejemplo:

/net/ipv4/icmp_echo_ignore_all (booleano, esto es, 0 o distinto de 0):si se activa, la mquina no enviar respuesta a las solicitudes de ping que reciba del exterior.El valor predeterminado de este parmetro es 0.

/net/ipv4/icmp_echo_ignore_broadcasts (booleano): si se activa, lamquina no enviar respuesta a las solicitudes de ping recibidas que tengan como direccindestino una direccin de subred o difusin (pero si responder a las dems, si el parmetroicmp_echo_ignore_all no ha sido activado). El valor predeterminado de esteparmetro es 0.



TAR

EAS

1 Conctese va SSH a algn equipo de su sala que se encuentre encendido.

2 Desde dicha conexin SSH, haga un "ping" a la direccin IP de su propio equipo,comprobando que funciona.

3 En una consola de comandos de su propio equipo (no en la conexin SSH que tieneabierta con el otro ordenador), desactive la respuesta a las consultas ICMP medianteel comando:

echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all

4 Desde la conexin SSH, vuelva a realizar el ping a la direccin IP de su propio equipo,comprobando que ahora no funciona.

5 En la consola de comandos de su propio equipo, reactive la respuesta a las consultasICMP:

echo "0" > /proc/sys//net/ipv4/icmp_echo_ignore_all

6 Desde la conexin SSH, vuelva a realizar el ping a la direccin IP de su propio equipo,comprobando que vuelve a funcionar.

3. Comandos bsicos para trabajo en red de Linux (35 minutos)

Se comentan aquellos comandos que son tiles para descubrir la configuracin de la red, con unabreve descripcin de las principales opciones de los mismos, debiendo consultar los manuales paraobtener detalles ms precisos acerca del modo de operacin de dichos comandos. Muchos de estoscomandos ya los ha empleado en asignaturas anteriores, por lo que varias de las operaciones quese proponen le servirn de repaso.

Recuerde que para cambiar la configuracin de su equipo, ser necesario que disponga de los permisosde root.

3.1 Comando ifconfig (5 minutos)

Este comando (interface configuration) se utiliza para configurar las interfaces de red que residenen el kernel del sistema operativo. En el inicio del sistema puede emplearse para activar las interfaces,si es necesario. Adems, resulta til para depurar o mejorar el funcionamiento del equipo (consulteman ifconfig):



Si no se le pasan argumentos, al invocar el comando ifconfig se mostrar el estadode las interfaces que estn en estado activo.

Si slo se le pasa como argumento el nombre de una interfaz, al invocarlo slo presentarel estado de la misma.

Si pasamos a este comando la opcin -a (y slo esta) mostrar el estado de todas lasinterfaces de red, incluso de aquellas que estn desactivadas (down).

En cualquier otro caso, ifconfig servir para configurar una interfaz concreta (activndolao inhabilitndola, gestionando el uso del protocolo ARP, ...).

El comando "ifconfig" permite modificar manualmente la configuracin de las interfaces de red(cambio que se perder al reiniciar el sistema).

Por ltimo, recuerde el uso de la interfaz virtual local "lo".

TAR

EAS

Ejecute los siguientes comandos y analice el resultado que obtiene:

ifconfig -aifconfig eth0ping su_propia_direccin_IPping 193.147.162.1ifconfig eth0 192.168.0.1 netmask 255.255.255.252ifconfigrouteping su_propia_direccin_IPping 193.147.162.1service networking restart; ifup eth0ifconfigrouteping 193.147.162.1

A partir de esta informacin podr conocer cuntas tarjetas de red tiene su equipo conectadasa la LAN.

3.2 Comando ping (3 minutos)

Se utiliza para hacer pruebas de accesibilidad desde un equipo a otro (consulte man ping).Utiliza el mensaje de solicitud de eco del protocolo ICMP para instar a otro equipo a que le devuelvaun mensaje de respuesta de eco del mismo protocolo (si lo requiere, consulte en la bibliografa elfuncionamiento de este protocolo).



TAR

EAS

Realice y analice las siguientes pruebas:

ping su_propia_direccin_IP (prelo con [Ctrl-C])ping -c 4 su_propia_direccin_IPping -c 4 -i 3 su_propia_direccin_IPping -w 5 su_propia_direccin_IPping -w 8 -i 3 su_propia_direccin_IPping www.esi.us.esping -r www.esi.us.esping IP_Aping -r IP_Aping 193.147.162.1ping -r 193.147.162.1

3.3 Comando route (4 minutos)

Este comando permite manipular las tablas de rutas IP que tiene el kernel (consulte man route).El comando route se usa principalmente para establecer rutas estticas a mquinas o redes especficas,a travs de una interfaz, despus de que dicha interfaz haya sido configurada con ifconfig.

Si se teclea route sin argumentos, se mostrar el contenido actual de la tabla de rutas.

Las opciones add y del se utilizan para que el comando route aada o borre unadeterminada ruta, sea de subred o de pasarela.

TAR

EAS

Ejecute las siguientes operaciones y analice los resultados:

/sbin/routeroute -nifconfig eth0 10.0.0.1 netmask 255.255.255.128route add -net 10.0.0.0 netmask 255.255.255.128 dev eth0route add default gw 10.0.0.2 netmask 0.0.0.0 dev eth0routeping IP_Aping 193.147.162.1route del -net 10.0.0.0 netmask 255.255.255.128 dev eth0route del defaultrouteping IP_Aping 193.147.162.1ping -r 193.147.162.1

A partir de esta informacin podr conocer la direccin IP de su encaminador por defecto.



3.4 Comando traceroute (3 minutos)

El comando traceroute se utiliza para realizar el seguimiento de la ruta que sigue un paquetehasta alcanzar su destino. El nico parmetro obligatorio es la direccin IP o el nombre del equipode destino (consulte man traceroute).

TAR

EAS

Realice las siguientes operaciones para estudiar el funcionamiento de este comando:

traceroute su_propia_direccin_IPtraceroute ait08.us.estraceroute trajano.us.estraceroute www.esi.us.estraceroute IP_Atraceroute -r IP_Atraceroute 193.147.162.1traceroute -r 193.147.162.1traceroute -I 193.147.162.1

3.5 Comando netstat (3 minutos)

Este comando (network statistics) permite ver, entre otras cosas, las conexiones de red establecidas,tablas de rutas, estadsticas de las interfaces, etc. (consulte man netstat):

Si se invoca sin argumentos imprimir una lista de los sockets abiertos.

El primer argumento que se le pasa al comando controla el tipo de informacin que dichocomando mostrar.

Si se desea obtener un listado de todos los sockets activos actualmente puede usarse el comandonetstat -l (no debe confundirse con la informacin aportada por el comando "service--status-all, el cual indica los servicios que estn configurados para que se activen al arrancarel sistema).

TAR

EAS

Realice las siguientes operaciones y analice el resultado:

netstatnetstat -routenetstat -lnetstat -tnetstat -unetstat -wnetstat -xservice --status-all



3.6 Comando nmap (4 minutos)

Este comando (network mapper) representa una potente herramienta para el escaneo del estadode los puertos y servicios en una red, permitiendo analizar la seguridad de una red. Se basa en elenvo de paquetes IP para determinar qu ordenadores estn disponibles en la red, qu servicios(puertos) estn ofreciendo, qu sistemas operativos (y que versin) estn corriendo, qu tipo defiltros o muros de seguridad se est usando, y docenas de otras caractersticas (consulte mannmap).

Uno de los usos ms tpicos del comando es comprobar qu mquinas se encuentran activas enuna red (o, al menos, qu mquinas responden a solicitudes de eco ICMP, puesto que, como sevio anteriormente, puede configurarse un sistema para que no responda a estas solicitudes) o lospuertos abiertos en una determinada mquina.

TAR

EAS

Realice las siguientes operaciones y analice los resultados:

nmap -sP 172.16.4.0/24nmap -p 80,8080 su_propia_direccin_IPnmap -sS -O su_propia_direccin_IPnmap -p 80,8080 IP_Anmap -sS -O IP_A

3.7 Comando arp (3 minutos)

El protocolo ARP (Address Resolution Protocol) permite la obtencin de la direccin fsica (MAC)correspondiente a la direccin de red de una mquina existente en la misma red local (ARP esun protocolo de nivel de enlace), usando para ello el envo de un mensaje ARP Broadcast. La informacinobtenida a partir del protocolo ARP es almacenada dinmicamente por el kernel en la cach ARP.

El comando arp manipula la cach ARP (almacena las asociaciones MAC/IP) de varias formas(consulte man arp). Recuerde: el comando arp slo opera sobre la cach ARP, no tieneninguna influencia sobre el protocolo ARP, el cual es controlado nicamente por el kernel.La cach ARP se encuentra almacenada dentro del propio kernel, pudiendo acceder a ella conel comando arp o, equivalentemente, mediante cat /proc/net/arp.

Con objeto de acelerar la traduccin entre direcciones fsicas e IP, puede crearse el fichero/etc/ethers, ya mencionado anteriormente, con las asociaciones que resulten ms usuales,cargando su informacin mediante el comando "arp -f /etc/ethers".



TAR

EAS

Analice el resultado de la ejecucin de los siguientes comandos

arparp -aping IP_Aarp IP_Aarp 193.147.162.1ping 193.147.162.1arp -d IP_Aarp IP_Aping IP_Aarp

3.8 Comandos host y nslookup (2 minutos)

Ambos comandos (host y name server look up) corresponden a utilidades DNS para realizarconversiones entre nombres de red y direcciones IP (bsicamente, se diferencian entre s en el formatode los datos presentados).

TAR

EAS

A modo de ejemplo ejecute lo siguiente y analice los resultados:

host www.esi.us.eshost esi.us.esnslookup ait08.us.eshost 193.147.162.169nslookup 193.147.162.130

3.9 Comando dig (4 minutos)

Este comando (domain information groper) ofrece informacin relacionada con los servidores DNS,estando determinado su funcionamiento por la RFC 1035 (consulte "man dig").

TAR

EAS

Ejecute los siguientes comandos y analice los resultados que aparecen:

dig www.google.esdig www.google.es NSdig us.es +trace

3.10 Comando ip (4 minutos)

Comando multifuncin que permite una configuracin avanzada de la red, incluyendo funcionesrealizadas mediante los comandos anteriormente analizados (consulte "man ip").



TAR

EAS

Ejecute los siguientes comandos y analice el resultado:

ip routeip addrip linkip neighip maddr

4. Monitorizacin de trfico de red en Linux (25 minutos)

Un sniffer, rastreador, monitor de red o analizador de protocolos es una herramienta para capturare interpretar el trfico que circule por el tramo de red en el que se encuentre el equipo. Medianteeste mtodo se pueden capturar claves de acceso, datos que se transmiten, nmeros de secuencia,etc...

Estos programas suelen usar el modo promiscuo de las interfaces de red, bajo el cual la interfazpermite capturar toda la informacin que transcurra por el tramo de red al que est conectada,y no solamente los paquetes dirigidos a ella.

En esta prctica se utilizarn los siguientes analizadores de protocolos sobre una red Ethernet:

tcpdump: Analizador de protocolos en modo texto. wireshark: Analizador de protocolos en modo grfico.

Ambas se basan en la librera de captura pcap (libpcap en sistemas Linux y winpcap en sistemasWindows). Esto lleva a que presenten muchas caractersticas comunes: misma sintaxis para definirfiltros de capturas, similar informacin proporcionada,... En el Anexo A de esta prctica se recogela Sintaxis de definicin de expresiones de filtrado empleada para escribir las expresiones defiltrado usadas por los dos analizadores que a continuacin se estudian.

4.1 Analizador de protocolos TcpDump (15 minutos)

El programa se ejecuta del siguiente modo:

tcpdump [parmetros] [expresin_de_filtrado]

escribindose la expresin de filtrado conforme a la sintaxis del Anexo A y destacando como principalesparmetros los siguientes:



Parmetros Funcionalidad

-cCon la opcin -c se especifica el nmero de paquetes que se quiere capturar.Si no se indica esta opcin, el programa se ejecuta hasta que se pulse Ctrl-C.Ejemplo: tcpdump -c 20

-iIndica la interfaz de red a monitorizar. Si no se indica ninguna, se usa la primeraen orden alfanumrico. Con any se captura de todas. Si se quiere monitorizarla interfaz eth0, se usa el comando: tcpdump -i eth0

-nCuando se est monitorizando la red puede que no interese que tcpdump intenteresolver los nombres de las maquinas (por motivos de seguridad por ejemplo).Para ello se dispone de la opcin -n.

-s

Para establecer la longitud de los datos que captura tcpdump usamos -s len,donde len es la longitud que nos interesa. Por defecto, tcpdump slo capturalos primeros 65535 bytes, lo cual es til si lo nico que se quiere son las cabecerasIP, TCP o UDP, pero en caso de estar analizando protocolos como NFS se truncanlos datos. En ese caso se puede ajustar la longitud de la captura a la MTU (MaximunTransmission Unit) del medio que se est usando. Por ejemplo, para capturartoda la trama Ethernet se puede usar -s 1500.

-vEn funcin de la cantidad de informacin que se quiera que tcpdump capturey decodifique, se puede usar -v,-vv,-vvv aumentando el grado de informacincon cada una de las opciones.

-xPara imprimir el contenido del paquete en formato hexadecimal, se puede usarla opcin -x. La longitud que imprime viene determinada por la opcin -so los 68 bytes que usa la captura por defecto.

-r, -w

Se puede trabajar offline con tcpdump. Para grabar la captura para posteriormenteleerla y analizarla se utiliza la opcin -w file donde file es el nombredel fichero donde se grabar la captura de datos. Posteriormente se puede leery analizar offline con -r file. Adems este tipo de ficheros de captura lopueden leer otros analizadores como, por ejemplo, wireshark.

Tal como se ha indicado, para que tcpdump sea capaz de capturar todos los paquetes que lleganal equipo (no slo los destinado a l) resulta necesario que la interfaz de red sea configurada enmodo promiscuo. Puede hacerse esto haciendo uso del comando ifconfig:

ifconfig eth0 promisc

Para eliminar el modo promiscuo bastara usar el comando recproco:

ifconfig eth0 -promisc



TAR

EAS

1 Haga pruebas con todas las anteriores opciones del comando tcpdump y analicelos resultados.

2 Realice las capturas de paquetes necesarias para:

Detectar los paquetes de su subred cuyo puerto origen o destino sea el 80. Mientrasrealiza la captura, intente acceder a una pgina Web que estuviese alojada enotro equipo distinto al suyo. Guarde la captura anterior en un fichero paraposteriormente poder analizarla usando wireshark.

Obtener la IP asociada a una determinada direccin fsica.

Detectar el ataque conocido como smurf (envo de solicitudes ping a la direccinde difusin de la red).

Detectar una configuracin errnea de red, comprobando si una determinada IP(la de su equipo por ejemplo) est siendo usada por ms de una mquina (hagauso para ello de la comprobacin de la direccin fsica).

4.2 Analizador de protocolos Wireshark (10 minutos)

Esta aplicacin, que ya ha empleado en asignaturas anteriores, permite analizar paquetes de formainteractiva o desde un archivo en el que previamente se haya realizado una captura de informacin.Para arrancarla basta ejecutar el comando "wireshark &".

TAR

EAS

Utilizando la herramienta "wireshark", realice las siguientes operaciones:

1 Active la captura de paquetes para el puerto 22 en la interfaz local "eth0". Tras ello,conctese mediante el servicio SSH al equipo con IP_A y ejecute en l el comando"ls". Tras ello, salga de la sesin SSH. Detenga la captura y analice la informacin.

2 Active la captura de paquetes en la interfaz local "eth0" con el siguiente filtro decaptura:

host direccin_IP_interfaz_eth0 and (tcp and port 80)

Tras ello, conctese mediante un navegador web a la pgina "http://www.google.es".Detenga la captura y analice la informacin. Seleccione una de las tramas recibidas(cualquiera), pulse con el botn derecho del ratn y seleccione Follow TCPStream. Comprobar que se puede ver todo lo que se ha transmitido y recibido,lo que indica la nula seguridad de este protocolo.



TAR

EAS

3 Repita lo mismo que en el apartado anterior pero cambiando en el filtro el puerto"80" por el "443", y accediendo a la pgina "https://ait08.us.es/". Comprobar quelos datos aparecen encriptados y no son visibles.

4 Repita el paso anterior, pero en lugar de usar el filtro de captura use el filtro devisualizacin:

ip.addr == direccin_IP_interfaz_eth0 and tcp and tcp.port== 80

5 Active la captura de paquetes con el siguiente filtro:

port 68

Compruebe que en el fichero "/etc/network/interfaces", su tarjeta "eth0" tiene configuradoel valor "dhcp". Ejecute el siguiente comando para solicitar al servidor DHCP quevuelva a asignarle la direccin IP:

dhclient -v

Detenga la captura en wireshark y analice la informacin obtenida. Observe la informacinque el servidor DHCP le da al cliente y la MAC que manda el cliente al servidor.

6 Capture el trfico IP entrante y saliente en la red del CdC en la que se encuentra.

7 Active la captura de paquetes en la interfaz local "eth0" con el filtro de captura "icmp".Ejecute los comandos:

ping 127.0.0.1ping 127.4.5.128ping IP_de_su_interfaz_eth0

Compruebe que no ha captura nada a consecuencia de esos comandos. Detenga lacaptura.

8 Vuelva a active la captura de paquetes con el filtro de captura "icmp", pero ahorasobre la interfaz local "lo". Ejecute los comandos:

ping 127.0.0.1ping 127.4.5.128ping IP_de_su_interfaz_eth0



TAR

EAS

Realice las siguientes operaciones y justifique los resultados:

Compruebe como los paquetes ICMP de todos esos comandos han sido cursadospor dicha interfaz "lo".

Analice las direcciones IP origen y destino capturadas para los distintos comandosanteriores, y compruebe como no coinciden.

9 Mediante el comando "arp -d IP_A", elimine en la cach ARP la entrada correspondienteal equipo con direccin IP_A. Ejecute "arp -n" para comprobar que se ha eliminadocorrectamente la MAC. Tras ello, ponga wireshark a capturar en la interfaz eth0con el filtro de captura "ether proto arp". Ejecute el comando "ping IP_A" y compruebeen wireshark como se obtienen mensajes ARP de solicitud y respuesta para obtenerla direccin MAC_A del equipo IP_A. Detenga la captura.

10 Mediante el comando "arp -n", mire cual es la direccin MAC_A asociada al equipoIP_A y gurdela en el fichero "/etc/ethers" aadiendo en ste la lnea "MAC_A IP_A".Mediante el comando "arp -d IP_A", vuelva a eliminar en la cach ARP la entradacorrespondiente al equipo con direccin IP_A. Ejecute "arp -n" para comprobar quese ha eliminado correctamente la MAC. Tras ello, ponga de nuevo wireshark a capturaren la interfaz eth0 con el filtro de captura "ether proto arp". Ejecute el comando "pingIP_A" y compruebe en wireshark como ahora no se estn enviando mensajes ARPde solicitud y respuesta para obtener la direccin MAC_A del equipo IP_A (al habersido aadida manualmente en la cach ARP). Detenga la captura.

Dado que tanto TcpDump como Wireshark se basan en la misma librera de captura, una capturarealizada con TcpDump puede ser visualizada posteriormente con Wireshark.

TAR

EAS

Realice las siguientes operaciones:

1 Captura con tcpdump el trfico de la interfaz eth0, guardndo la captura en el fichero/tmp/captura.cap:

tcpdump -i eth0 -w /tmp/captura.cap

2 Visualice en Wireshark la captura realizada:

wireshark /tmp/captura.cap



5. Ejemplo de Test (5 minutos)

INSTRUCCIONES PARA LA REALIZACIN DEL TEST

I) NORMAS COMUNES (iguales a todos los Tests de la asignatura)

Los tests de cada prctica son Exmenes. El examen es INDIVIDUAL. Durante la realizacindel Test no deber hablar ni mirar la pantalla de otro compaero. El incumplimientode estas normas podr ser interpretado como un intento de copia por parte del alumno,al que se le podr expulsar de la sala y aplicarle las sanciones pertinentes.

Slo podrn realizar el tests los alumnos presentes en la clase en la que se lleve a cabosu realizacin. Cuando el profesor realice el control de la asistencia, deber presentarlesu DNI o documento de identificacin equivalente. Sitelo en lugar visible.

Salvo por problemas sobrevenidos, se exigir que cada alumno asista, tanto para la clasecomo para la realizacin del Test, a la sala que tiene asignada conforme a su subgrupode prcticas.

La realizacin de los Test se har a travs de la Web de la Asignatura en EnseanzaVirtual, mediante la pestaa Evaluaciones. Cuando llegue el momento de la realizacindel Test, el profesor le indicar que acceda a la plataforma y le suministrar la clavenecesaria para poder comenzar el Test.

Para garantizar una adecuada realizacin del examen, el profesor podr indicar unaredistribucin de los alumnos en el aula.

Para permitir una adecuada organizacin, cuando el profesor anuncie el comienzo dela realizacin del Test, cada alumno deber abandonar cualquier tarea que est haciendocon su equipo, acceder la Web de la Asignatura en Enseanza Virtual, pestaa Evaluaciones,y comenzar el Test de la Asignatura, de modo que TODOS los alumnos comiencen elTest mas o menos simultneamente.

Una vez comenzado el Test, no se permitir la entrada de ningn alumno en la sala.Cuando finalice el Test, salga en silencio de la sala para no molestar a los dems compaerosque siguen realizndolo.

Durante la realizacin del test deber mirar nicamente a su pantalla. Cualquier intentode mirar la pantalla de otro compaero, as como hablar con ste, podr ser sancionado.



Durante los Tests, podr usar el ordenador (incluso Internet), as como usar la documentacinque estime oportuna, pero tenga en cuenta que la duracin de los Tests es breve, porlo que si invierte un tiempo excesivo en buscar, probablemente no tenga tiempo suficientepara terminar el Test.

Si durante la realizacin del examen tiene problemas con el tamao de la letra, recuerdeque siempre puede agrandarla o achicarla mediante las opciones de visualizacin desu Navegador, o mediante las pulsaciones Ctrl-[+] o Ctrl-[-] (siendo [+], [-]del teclado numrico).

Si lleva consigo un telfono mvil, desconctelo completamente.

II) NORMAS PARTICULARES DE CADA TEST (podran variar de un Test a otro, revselas siempre)

El Test consta de 5 cuestiones, todas igualmente ponderadas ("2 puntos", sobre 10, porcuestin).

Cada cuestin presenta 3 opciones, de las cuales slo 1 de ellas es correcta.

La cuestin mal contestada descuenta 1/3 de una cuestin bien contestada, sobre el totaldel Test (una cuestin no contestada no puntuar, ni positiva ni negativamente).

Si obtuviese en el Test una calificacin negativa, se le computara como "0" puntos alsumarla con las dems pruebas de la asignatura (dems Tests de Prcticas y Examen).

Si alguna pregunta del Test tuviese que ser anulada, su puntuacin sera distribuidaentre las dems cuestiones del Test.

La adecuada interpretacin de las cuestiones planteadas en el examen forma parte delmismo (el profesor no responder a ninguna pregunta relativa a la interpretacin de lascuestiones del Test).

III) PROCEDIMIENTO DE ENTREGA DEL TEST

Cuando termine el Test, asegrese de que ha pulsado el botn "Terminar".

Tras ello, levante la mano para que el profesor acuda a su puesto de trabajo y compruebeque todo est correcto.

Cuando el profesor se lo indique, salga de la sala en silencio.

NOTA: Estas Instrucciones sern referenciadas cuando comience el Test. Se le presentanaqu para que no necesite invertir tiempo del examen en su lectura.



1) Indique cual de los siguientes comandos permite modificar la tabla de encaminamiento:

(a) netstat

(b) nmap

(c) ip

2) La activacin del modo promiscuo en una interfaz habilita a sta para que capture mensajespara los que no somos el destinatario:

(a) A nivel de enlace

(b) A nivel IP

(c) Tiene que ser a nivel de enlace e IP

3) Los filtros de visualizacin son adecuados para reducir el tamao en disco que puede ocuparuna captura realizada:

(a) Cierto

(b) No afectan

(c) Cierto, aunque su sintaxis es particular de wireshark

4) Dada una red 172.16.17.0/24, con un servidor DHCP de IP 172.16.17.254, el mensajeDHCP Discovery usado al comienzo de una comunicacin DHCP se enva a:

(a) La direccin IP del servidor DHCP, 172.16.17.254.

(b) La direccin IP de difusin de la red, 172.16.17.255.

(c) La direccin IP de difusin 255.255.255.255 con MAC, generalmente, FF:FF:FF:FF:FF:FF.



5) La palabra auto en el fichero /etc/network/interfaces permite que una interfaz se activeo desactive automticamente cuando sea necesario su uso:

(a) Falso

(b) Cierto, pero depende de la interfaz

(c) Cierto, en cualquier tipo de interfaz.

Cuestin 1 2 3 4 5

Solucin (c) (a) (b) (c) (a)

APAGUE EL EQUIPO

Cuando finalice la prctica no olvide apagar el equipo. Para ello:

1 Apague el "equipo" de la mquina Linux Debian, bien desde la opcin "Apagar" delescritorio KDE o Gnome, o bien mediante el comando "poweroff".

2 Una vez en el Ubuntu desde el que entr en la mquina virtual, apague finalmente elordenador usando la opcin "Apagar".



A. Anexo: Sintaxis de expresiones para el filtrado de trfico

Este punto tiene como objeto describir la sintaxis de las expresiones de filtrado utilizadas en losprogramas basados en la librera pcap. Se harn pruebas con tcpdump, pero todo es igualmenteaplicable a wireshark o dems aplicaciones basadas en esa librera.

Un filtro o expresin de filtrado tiene por objeto indicar las caractersticas de la captura a realizar.En ausencia de sta se capturar todo el trfico que vea el adaptador de red. La sintaxis de un filtroes un conjunto de primitivas enlazadas por operadores:

Primitiva operador Primitiva

donde cada primitiva est formada por un calificador y su valor asociado:

calificador valor

siendo:

a) Modificador o calificador: establece la propiedad que se desea especificar. Los 3 modificadoresposibles son:

Tipo: puede ser host, net o port. Indican, respectivamente, una maquina (por ejemplohost 172.16.17.1), una red completa (por ejemplo net 172.16), o un puertoconcreto (por ejemplo port 22). Por defecto es host.

Direccin: especifica desde o hacia donde se va a mirar el flujo de datos. Puede ser src(direccin fuente) o dst (direccin destino), y podemos combinarlos con or y and.Para el caso de protocolos punto a punto se puede sustituir por inbound (flujo entrante)u outbound (flujo saliente). Por ejemplo si se quiere direccin destino 172.16.17.2y origen 193.147.162.169, el filtro sera:

dst 172.16.17.2 and src 193.147.162.169

Si se quiere que sea la direccin destino 172.16.17.2 o la direccin origen193.147.162.169, sera:

dst 172.16.17.2 or src 193.147.162.169

Si no existe este modificador se supone src or dst.

Protocolo: protocolo a capturar, pudiendo ser tcp, udp, ip, ether (en este caso capturatramas a nivel de enlace), arp (peticiones arp), rarp (peticiones reverse-arp), fddi



(para redes FDDI, cuyo encapsulado es similar a ether). Existen otros protocolos mspara nivel de enlace, pero su uso es escaso.

b) Valor o ID de la primitiva: valor numrico o nombre alfanumrico del calificador asociado.Pueden representar nombres de host, direccines IP, nmeros de puertos y otros valores de filtrado.

Las primitivas completas que se pueden definir usando los anteriores calificadores son las siguientes(lo que aparece entre [ y ] es opcional, y el smbolo | significa "o"):

I) Calificador Tipo:

a) [dst|src] host maquina: especifica la direccin destino u origen del paquetecon el valor maquina el cual puede ser una direccin IPv4 (o IPv6 si se ha compilado soportepara el mismo), o un nombre DNS. Ejemplos (sustituya x para indicar la IP de su equipoen la subred del laboratorio):

Capture el trafico cuya IP origen sea su mquina 172.16.17.x:

tcpdump src host 172.16.17.x

Capture todo el trfico cuya direccin origen o destino sea su mquina:

tcpdump host 172.16.17.x

b) [dst|src] net red: direccin de red destino, origen o ambas. El parmetro redpuede ser una direccin numrica (por ejemplo 192.168.1.0) o bien un alias que seresuelva a direccin (en los sistemas Unix se obtiene con ayuda del fichero /etc/networks).Decir que tambin se admite el clsico direccionamiento CIDR, que permite especificaruna mscara usando net IP_red mask mascara o bien net red/bits(nmero de bits a 1 de la mscara); y hacer notar que el uso de net ... mask noes compatible con direcciones IPv6. Ejemplos:

Capture todo el trfico cuya red destino sea 172.16.17.x (cambie x por 0 128 segn la subred del laboratorio en la que se encuentre su equipo):

tcpdump dst net 172.16.17.x

Capture todo el trfico cuya red origen sea 172.16.17.0/24, esto es, capture todoslos paquetes cuya direccin IP origen est en el rango comprendido entre 172.16.17.0y 172.16.17.255 (los dos comandos indicados son equivalentes):

tcpdump src net 172.16.17.0 mask 255.255.255.0tcpdump src net 172.16.17.0/24



Capture todo el trfico con origen o destino 172.16.17.0/24, esto es, capture todoslos paquetes cuya direccin IP origen o destino est en el rango comprendido entre172.16.17.0 y 172.16.17.255 (los dos comandos indicados son equivalentes):

tcpdump net 172.16.17.0 mask 255.255.255.0tcpdump net 172.16.17.0/24

c) [dst|src] port puerto: puerto del paquete (ya sea udp o tcp). El puerto esun valor numrico entre 0-65535 o bien un nombre que en Unix se resuelve a travs del/etc/services. Ejemplos:

Capture todo el trfico con destino al puerto 23 (telnet):

tcpdump dst port 23

Capture todo el trfico con destino u origen puerto 80 (www):

tcpdump port 80

II) Calificador Protocolo:

a) ether src|dst|host direccin_ethernet: especifica la direccin fsicadel paquete. Este filtro es cierto si la direccin origen (src), la destino (dst) o cualquierade las dos (host) coincide con direccin_ethernet. Ejemplos:

Capture el trfico con destino a la direccin Ethernet de la interfaz eth0 de su mquina:

tcpdump ether dst xx:xx:xx:xx:xx:xx

b) ether proto protocolo: la condicin impuesta por este filtro se cumple si elprotocolo que contiene la trama es de tipo protocolo. Los protocolos de nivel de enlacey red admitidos son ip, ip6, arp, rarp, atalk, aarp, decnet, sca, lat, mopdl,moprc e iso. Estos nombres son, adems, identificadores del sistema, por lo que debende ser escapados (esto es, se les debe anteponer un carcter especial que le dice al sistemaoperativo que no debe intentar interpretar lo que viene a continuacin) anteponindolesel carcter \ (de lo contrario, el shell los interpretar como variables o comandos del sistema),el cual debe escaparse a su vez, es decir, debe usarse un doble barra (consulte los ejemplosque se indican a continuacin).

Para facilitar la escritura de estos calificadores (que requieren el empleo de caracteres deescape) se encuentran definidos los siguientes alias ip, ip6, arp, rarp, arp, decnete iso, siendo equivalentes a ether proto ip, ether proto ip6, etc. (engeneral, protocolo ether proto protocolo). Ejemplos (se usa la opcin



-n del tcpdump para no realizar la conversin a nombre, pero no pertenece a la expresindel filtro):

Capture todo el trfico arp:

tcpdump -n ether proto \\arptcpdump -n arp

Capture todo trfico ip:

tcpdump -n ether proto \\iptcpdump -n ip

c) ether broadcast: captura las tramas dirigidas hacia la direccin de difusin Ethernet(todos los bits a 1"). La palabra ether es opcional.

d) ether multicast: captura las tramas dirigidas a una direccin multicast ethernet(primer bit a uno).

e) ip|ip6 proto protocolo: se captura el protocolo encapsulado en IP quese le indique. El protocolo puede ser icmp, icmp6, igmp (Internet Group ManagentProtocol), igrp (Interior Gateway Routing Protocol), pim (Protocol Independent Multicast),ah (IP Authentication header), esp (Encapsulating Security Payload), udp o tcp. Encaso de usar icmp, udp o tcp hay que escapar el protocolo mediante el carcter \,es decir, ip proto \\icmp. Los protocolos corresponden en realidad a un nmeroque en los sistemas tipo Unix se encuentra registrado en el fichero /etc/protocols.Por comodidad existen los alias tcp, udp e icmp que equivalen a ip proto tcpor ip6 proto tcp, etc. (protocolo ip proto protocolo or ip6proto protocolo); (en concreto, wireshark no admite la sintaxis "ip proto \\udp",sino simplemente "udp", mientras que tcpdump admite las dos).

Ejemplos:

Capturar todos los paquetes icmp:

tcpdump ip proto \\icmptcpdump icmp

Capturar todo el trfico udp:

tcpdump ip proto \\udptcpdump udp



f) ip|ip6 protochain protocolo: en este caso lo que se busca es que dentrode las diferentes cabeceras encapsuladas en un paquete IP, una de ellas pertenezca al protocoloespecificado.

g) ip|ip6 broadcast: se capturan los paquetes dirigidos a la direccin de difusinde la red IP (las direcciones que son todo 0 o 1, o bien la direccin local de la subred).

h) ip|ip6 multicast : se capturan los paquetes dirigidos a una direccin multicastIP.

III) Otras primitivas:

a) vlan [vlanid]: se capturan paquetes 802.1Q VLAN. Esto modifica el resto dela interpretacin del paquete capturado, en especial los desplazamientos a partir de loscuales se empieza a decodificar los protocolos, ya que se asume que estamos capturandopaquetes que viajan en tramas VLAN. Si est presente el parmetro vlanid, slo semostraran aquellos paquetes que vayan a la VLAN con identificador vlanid.

b) gateway maquina: se capturan los paquetes que usen el equipo de direccin IPmaquina como router. Los paquetes que cumplen con esa condicin son aquellos quetienen como direccin Ethernet destino maquina, pero ni la direccin IP destino u origenes dicho equipo, usando as dicho equipo como nodo intermedio. maquina debe estardefinida tanto en /etc/ethers como en /etc/hosts.

c) less|greater longitud: captura los paquetes cuyo tamao sea menor, mayoro igual a la longitud indicada.

A.1 Combinacin de Filtros

Se pueden combinar las expresiones anteriores con los ayuda de los operadores not, and yor (corresponden a la "negacin", el "y lgico" y el "o lgico"), dando lugar a filtros ms complejos.Se pueden usar tambin los equivalentes del lenguaje C: !, && o ||.

Siempre se pueden combinar expresiones con ayuda de parntesis. El uso de parntesis permiteque los grupos de expresiones de filtrado sean evaluados juntos como una sola primitiva virtual.En los shell de Unix, los parntesis deben escaparse (anteponer el simbolo \ antes del carcterespecial para que no se interprete como tal carcter especial) porque son metacaracteres que seinterpretan (esto es aplicable a tcpdump, que se ejecuta bajo la Shell, pero no a wiresharkpues ste usa interfaz X-Windows). Ejemplos:

Capture todo el trfico Web (TCP port 80):



tcpdump tcp and port 80

Capture todas las peticiones DNS:

tcpdump udp and dst port 53

Capture el trfico al puerto telnet o ssh:

tcpdump tcp and $port 22 or port 23$

Capture todo el trfico excepto el Web:

tcpdump tcp and not port 80

A.2 Filtros avanzados

La sintaxis de los filtros de capturas permite hacer filtros a mano, indicando qu bytes de la tramase desean capturar e interpretarlos. Cuando queremos definir filtros de esta manera la expresingeneral es (en el manual man tcpdump se ofrece informacin detallada sobre la sintaxis deestos filtros avanzados):

expr relop expr

donde:

relop puede ser cualquiera de las operaciones de relacin de C: > ,< , >=,



Resumen Sintaxis Filtros de captura (bsica)

I) Filtrado a nivel de Red (IP) y Transporte (TCP/UDP).

src or dst"Por omisin

DestinodstOrigensrc

Significadoprocedencia

src or dst"Por omisin

DestinodstOrigensrc

Significadoprocedencia

Subred, o alias en /etc/networks (Ej: 172.16.17,172.16.17.0/24, 172.16.17.0 mask 255.255.255.0)netPuerto TCP/UDP (o alias en /etc/services, como ftp=21, http=80,...,http://www.iana.org/assignments/port-numbers)

portportrange

IP concreta (o alias de /etc/hosts y DNS, man hosts)hostvalortipo_filtrado

Subred, o alias en /etc/networks (Ej: 172.16.17,172.16.17.0/24, 172.16.17.0 mask 255.255.255.0)netPuerto TCP/UDP (o alias en /etc/services, como ftp=21, http=80,...,http://www.iana.org/assignments/port-numbers)

portportrange

IP concreta (o alias de /etc/hosts y DNS, man hosts)hostvalortipo_filtrado

Mensajes capturados

Filtros especiales

dst IPv4/IPv6 multicastdst IP subred/difusin red o difusin general

ip/ip6 multicastip/ip6 broadcastMensajes capturados

Filtros especiales

dst IPv4/IPv6 multicastdst IP subred/difusin red o difusin general

ip/ip6 multicastip/ip6 broadcast

A) Filtrado por direcciones IP o puertos TCP/UDP

[ip][procedencia] tipo_filtrado valorA) Filtrado por direcciones IP o puertos TCP/UDP

[ip][procedencia] tipo_filtrado valorOpcional

ip6

icmp = ip/ip6 proto \\icmp

tcp = ip/ip6 proto \\tcpudp = ip/ip6 proto \\udpAlias (para todos igual)

protocolo_transporte

protocolo_red

Requieren doble escapado: \\tcp, \\udp, \\icmp, \\igmp, \\igrp, \\pim, \\ah, \\asp, ... o nmero equivalente (/etc/protocols, como \\tcp = 6, http://www.iana.org/assignments/protocol-numbers).

ip (por omisin) ip6

icmp = ip/ip6 proto \\icmp

tcp = ip/ip6 proto \\tcpudp = ip/ip6 proto \\udpAlias (para todos igual)

protocolo_transporte

protocolo_red

Requieren doble escapado: \\tcp, \\udp, \\icmp, \\igmp, \\igrp, \\pim, \\ah, \\asp, ... o nmero equivalente (/etc/protocols, como \\tcp = 6, http://www.iana.org/assignments/protocol-numbers).

ip (por omisin)

B) Filtrado por protocolo de transporte sobre IP

[protocolo_red] proto protocolo_transporteB) Filtrado por protocolo de transporte sobre IP

[protocolo_red] proto protocolo_transporte

A) Filtrado pordirecciones MAC ether procedencia valorA) Filtrado pordirecciones MAC ether procedencia valor

MAC src o dst

hostMAC destino

(o alias de /etc/ethers)dst

MAC origen(o alias de /etc/ethers, man ethers)

valor (ninguno por omisin)

srcprocedenciaMAC src o dst

hostMAC destino

(o alias de /etc/ethers)dst

MAC origen(o alias de /etc/ethers, man ethers)

valor (ninguno por omisin)

srcprocedencia

Paquetes que han llegado atravesando el router; debe usar /etc/hosts y/etc/ethers (igual: ether host MAC_router and not ip host IP_router)gateway Name_routermulticast = ether multicastdst MAC multicast (10...0)ether multicast

ether broadcastFiltros especiales

broadcast = ether broadcastdst MAC de difusin (1...1)AliasMensajes capturados

Paquetes que han llegado atravesando el router; debe usar /etc/hosts y/etc/ethers (igual: ether host MAC_router and not ip host IP_router)gateway Name_routermulticast = ether multicastdst MAC multicast (10...0)ether multicast

ether broadcastFiltros especiales

broadcast = ether broadcastdst MAC de difusin (1...1)AliasMensajes capturados

II) Filtrado a nivel de Enlace (Ethernet).

ip = ether proto \\ip

arp = ether proto \\arprarp = ether proto \\rarpAlias (para todos igual)

protocolo_redRequieren doble escapado: \\arp, \\rarp, \\ip, \\ip6, ... o nmero ethertype equivalente (/etc/ethertypes, como \\ip = 0x0800 \\ip = 2048, http://www.iana.org/assignments/ethernet-numbers).

ip = ether proto \\ip

arp = ether proto \\arprarp = ether proto \\rarpAlias (para todos igual)

protocolo_redRequieren doble escapado: \\arp, \\rarp, \\ip, \\ip6, ... o nmero ethertype equivalente (/etc/ethertypes, como \\ip = 0x0800 \\ip = 2048, http://www.iana.org/assignments/ethernet-numbers).

B) Filtrado por protocolo de red sobre Ethernet ether proto protocolo_red

B) Filtrado por protocolo de red sobre Ethernet ether proto protocolo_red

*) Operadores (negacin y combinacin de filtros): "not" "!", "or" "||", "and" "&&" (los operadores pueden usarse antes y dentro de las expresiones). Ej:

src or dst host not 172.16.17.1 && $port not 22 and not ftp-data$ether dst 01:02:03:04:05:06 or $ip and tcp$ and ! $ip proto \\udp$src or dst host not 172.16.17.1 && $port not 22 and not ftp-data$ether dst 01:02:03:04:05:06 or $ip and tcp$ and ! $ip proto \\udp$NOTA: Los escapados "\" son necesarios en la lnea de comandos (tcmdump, ...), al ser variables/comandos (doble escapado) o metacaracteres (simple escapado) del sistema, pero no en la interfaz grfica de wireshark.

p&& ! o || ! dan errorde sintaxis, pero s se admitenand ! o or !.pEntre dos valores(ej. net (IP or IP2)) slo pueden usarseand y or, no&& ni ||pSlose admiten parntesis() antes deuna expresin odel ltimo campo (valor/prot.)

Si se usase tcpdump, sera necesario aadir los caracteres de escape. Si se escribe el filtro entre comillas, escapado: \(simple)=>no necesario, \\(doble)=>\(simple).



Ejemplos

172.16.17.2

172.16.17.126MAC: 00:4f:4e:0f:fa:2c

172.16.17.254172.16.17.228

172.16.17.1

Subred ASubred A Subred BSubred B

Equipo e interfaz sobre la que se realizan las capturas

172.16.17.128/25172.16.17.0/25

Hub HubRouter(ait08)

InetInetSlo aplica NAT hacia Inet, NO entre las subredes A/B

ether src 00:4f:4e:0f:fa:2c &&ether proto arpTrfico arp procedente del router (ait08)

src net 172.16.17.128/25 and ! srchost 172.16.17.126Trfico que llega de la Subred B, exceptuando al router

not broadcast and not multicastnot (broadcast and multicast)Captura todo el trafico excepto el de broadcast y multicastether src 00:4f:4e:0f:fa:2c and !(src net (10 or 172.16 or 192.168))&& (icmp[icmptype]=icmp-echo or srcport 80) && dst 172.16.17.2

Solicitudes http (puerto estndar) mensajes icmp procedentes de Internet y destinadas al

equipo con IP 172.16.17.2

ether src 00:4f:4e:0f:fa:2c and !src host 172.16.17.126Trfico que llega de fuera de la Subred A, exceptuando al router

No especificar ningunoTodo el trfico (slo til para pequeas capturas)Filtro de captura wiresharkTrfico a capturar

ether src 00:4f:4e:0f:fa:2c &&ether proto arpTrfico arp procedente del router (ait08)

src net 172.16.17.128/25 and ! srchost 172.16.17.126Trfico que llega de la Subred B, exceptuando al router

not broadcast and not multicastnot (broadcast and multicast)Captura todo el trafico excepto el de broadcast y multicastether src 00:4f:4e:0f:fa:2c and !(src net (10 or 172.16 or 192.168))&& (icmp[icmptype]=icmp-echo or srcport 80) && dst 172.16.17.2

Solicitudes http (puerto estndar) mensajes icmp procedentes de Internet y destinadas al

equipo con IP 172.16.17.2

ether src 00:4f:4e:0f:fa:2c and !src host 172.16.17.126Trfico que llega de fuera de la Subred A, exceptuando al router

No especificar ningunoTodo el trfico (slo til para pequeas capturas)Filtro de captura wiresharkTrfico a capturar

Avanzado

t2 Practica

Documents

Transcript of t2 Practica