Taller Sniffers WIRESHARK parte I

Integrantes: Diego Alonso Pulgarn Patio Juan Fernando Duque Gmez

Instructor: Lina Mckoll

Cdigo De Grupo: 176052

Centro De Servicios Y Gestin Empresarial Sena

2012

ANALISIS DE DE PROTOCOLOS DE APLICACION INFRAESTRUCTURA: Se cuenta con dos maquinas virtuales dentro de una red interna, una tiene sistema opertativo backtrack para hacer las practicas con wireshark y la otra un sistema operativo windows donde se encuentran los servicios DHCP, WEB, FTP. 1. WEB Se instalo un servidor web por el puerto 80 donde hay un simple documento en texto plano. Se inicio el wireshark como lo especifica la gua y se puso a capturar todo el entrante y saliente por la interfaz de la red. Se abri un navegador y hizo una conexin con la el servidor web digitado su IP en la barra de direccin, y se analizo el trafico que estaba ocurriendo en ese momento:

Como se puede observar la comunicacin empresa con un inicio de sesin TCP donde el cliente pregunta al servidor si esta disponible en el puerto 80 utilizando sus IP correspondientes y el servidor le responde afirmativamente luego el cliente afirma esta y procede pedirle la solicitud de una pagina web:

La solicitud es una peticin GET, y el servidor le responde en un mensaje http mandndole en texto plano la informacin de la pagina index que se esta visualizando.

Como se puede observar se captura el mensaje y se puede visualizar el texto. Luego de esto el cliente procedo a finalizar la comunicacin y el servidor le se despide, luego el cliente hace lo mismo acabando con sesin TCP.

Luego en el servidor se cambio el puerto por el cual estaba corriendo el servicio, se cambio al 443 para que fuera mas seguro, y se volvi a pedir desde el cliente una solicitud en el navegador por ese puerto:

Esta ves tamiben se inicia una comunicacin TCP como el caso anterior solo que esta vez la solicitud enviada se hace por el protocolo SSL por el puerto 443 y el wireshark lo toma como una comunicacin https, luego de hacer la solicitud el servidor le responde:

Esta ves tambin se pude observar todo el contenido del paquete por lo cual al final no es tan segura esta comunicacin. Luego se envan los paquetes del fin de la sesin TCP.

2. FTP Se instalo un servidor FTP en el servidor de windows por el puerto 21, asocindolo a una carpeta, con permiso para leer, bajar y modificar. Se inicio una comunicacin con el FTP por medio de la consola:

Se ingreso la IP, el usuario FTP y la contrasea, cuando se hace la comunicacin se ingresa en la consola ftp, estas son los paquetes capturados hasta el momento:

Como se muestra al principio tambin comienza una comunicacin TCP como en el web, (la trama 2 y 3 son del descubrimiento ARP para el envo de la trama), luego de responde que esta disponible el servicio ftp por el puerto 21 el servidor le pregunta el usuario para la conexin y el cliente lo digita y le enva en este caso es root,

Luego se digita la contrasea pero como se puede ver la contrasea no es segura porque se puede ver al capturar este paquete, luego el servidor responde que se ha logueado correctamente y en este punto se puede empezar a hacer uso de este recurso.

En esta ocasin se pide una lista de todos los archivos y directorios que el ftp tiene para compartir. Cuando se revisan los paquetes, la informacin es:

Se puede observar en esta imagen que la comunicacin TCP se sigue manteniendo, en el momento en que se ingresa el comando el cliente crea otra coneccion TCP para enviar enviar informacin, luego de avisar que va a enviar, manda el paquete con la peticin list como se puede ver en la imagen. El servidor recibe el mensaje y abre otra comunicacin TCP para enviar la informacin solicitada, empieza la comunicacin e inicia la transferencia de archivos:

Luego recibe este mensaje donde muestra la informacin solicitada y por ultimo termina la comunicacin TCP. Cuando se digital un comando incorrecto la consola en el cliente sabe que es incorrecto y no lo enva, evitando el tracio; luego se hizo una solicitud para descargar un archivo:

Con este comando se le pide al servidor un archivo en especifico, este es el trafico:

Comienza con el inicio de la comunicacin TCP, luego el cliente enva la solicitud Requet del archivo Juan.txt en este momento se inicia otra comunicacin para bajar los paquetes, en este punto el servidor empieza a mandarlos y luego finaliza la comunicacin con el cliente. 3. DHCP Se instalo un servidor DHCP en windows 7, por el puerto 67 y 68, se hizo un pool basico con unas direcciones asociadas a la red:

Cuando desde el cliente se pide una direccin IP por dhcp el trafico es el siguiente:

Se puede ver que hay paquetes DHCPv6 pero solo nos concentraremos en los DHCP normal, lo que pasa es que el cliente que no tiene ninguna IP (0.0.0.0), manda unas discover en broadcast de servicio DHCP, buscando que servidores le pueden ofrecer ip. Luego el servidor la recibe y manada otro brodcast a la red ofreciendo su servicio DHCP. El cliente recibe todas las ofertas que puede encontrar y escoge un servidor, procede a solicitar una configuracin TCP/IP al servidor, el servidor lo recibe y le manda al cliente una direccion IP con esto termina la comunicacin y el cliente obtiene su direccin.

DEFINICIONES: Modo monitor: Es el modo en el cual el wireshark se vuelve un monitor del trafico de la interfaz seleccionada, pero por si solo solo monitorea el trafico sea dirigido a esa interfaz como tal. Modo promiscuo: Es el modo que a parte de incluir el modo monitor tambin recibe y analiza todos los paquetes que pasen por la interfaz as no sea uno el origen o destino de los paquetes. Este modo puede ser utilizado por un atacante para analizar todos los paquetes de una red, y de estos sacar informacin de contraseas, usuarios, servicios y adems informacin til, una red inalmbrica es un buen ejemplo porque los paquetes estn en el medio y a todos los equipos les llega pero normalmente son rechazados pero wireshark los acepta.

CONCLUSIONES Wireshark es una herramienta muy til para analizar la red y darse cuenta lo que esta ocurriendo. Su utilizacin es muy fcil y su entorno es bastante como para ser utilizado. Esta herramienta nos puede dar informacin de procesos, servicios y aplicaciones que estn corriendo por la red, por lo cual es una especie de monitorizacin de trafico. Esta actividad fue muy interesante y muy til para explora herramientas Sniffers. Este actividad permiti la compresin de la comunicacin que hay en los servicios bsicos.