Wireshark1

27
TALLER DE WIRESHARK GESTIÓN DE REDES DE DATOS SERVICIO NACIONAL DE APRENDIZAJE Diego Leon Gil Barrientos T.I: 95122620264 Ficha: 464327

description

Taller Basico sobre Wireshark

Transcript of Wireshark1

Page 1: Wireshark1

TALLER DE WIRESHARKGESTIÓN DE REDES DE DATOS

SERVICIO NACIONAL DE APRENDIZAJEDiego Leon Gil BarrientosT.I: 95122620264

Ficha: 464327

Page 2: Wireshark1

1

1. Explique las características de los tres páneles de wireshark.

R//

Este panel Numero 1 al darle start a las capturas de paquetes en el puerto 80 (internet) nos muestra los paquetes que se capturaron de una forma básica, indicándonos, el tiempo, destino, información básica de que consiste cada paquete, etc.

Este panel Numero 2 nos muestra de una forma mas detallada cada paquete del panel anterior al seleccionarlo , por ejemplo en la próxima imagen se observa las características mas especificas del primer paquete de la imagen anterior, indicándonos el tiempo exacto con milisegundos , lugar de procedencia, entre otros.

Page 3: Wireshark1

2

En el panel Numero 3 observamos detalladamente los bits, que llegaron en el paquete seleccionado en este caso el primero, y nos muestra unos cífrales en hexadecimal indicándonos el número de bits.

2. Identifique los diferentes métodos que hay para listar y escoger la interfaz de red apropiada para una captura.R//

El primer método y más gráfico y simple es escoger al iniciar el sniffer se observa debajo de “start” las diferentes interfaces de red, en este caso en mi computador solo una.

Page 4: Wireshark1

3

El segundo método y muy similar es ir a la opción “capture” y seleccionamos “interfaces…” e inmediatamente se abrirá las tarjetas de red que tenga el equipo.

El tercer método es por un “atajo” rápido es presionando CTRL + i , inmediatamente de nos abre la interfaz gráfica para seleccionar nuestra tarjeta de red.

Page 5: Wireshark1

4

3. Explore y explique las diferentes posibilidades que tiene para presentar las columnas en el panel de listado de paquetes de Wireshark.R//

Como vemos en la imagen anterior observamos las múltiples columnas que tiene el primer panel de wireshark al iniciar una captura , vemos primero que todo el número de paquete que es, después el tiempo de dicho paquete , luego vemos “source” (fuente) en este caso mi IP , consiguiente vemos “Destination” que es el destino que nos enviara el paquete ,después el tipo de protocolo que se está utilizando en este caso TCP y por último la información de paquete.

4. Modifique la columna de tiempo en el panel de listado de paquetes, de modo que cada en paquete aparezca la hora del día en la que tuvo lugar dicho tráfico.R//Las opciones de tiempo, se encuentran en el menú > View -> Time Display Format esto despliega un cuadro adicional donde se muestran las diferentes opciones.

Page 6: Wireshark1

5

Como vemos se logró cambiar y configurar la columna de tiempo mostrando la fecha, la hora y los segundos y milisegundos de cada paquete.El reto 5 esta adjunto al taller está en una carpeta.

5. Identifique y explique las diferencias entre un filtro de visualización y un filtro de captura.R//

Filtro de Captura nos indica que protocolo o qué tipo de paquetes de cientos que hay, en este caso se filtró para capturar solo HTTP.

Page 7: Wireshark1

6

En el filtro de visualización se selecciona el filtro pequeño y se selecciona de todo lo capturado , para especificar más lo que uno busca o necesite , en este caso vamos a filtrar específicamente mas http.

6. Identifique y explique cómo crear los siguientes filtros de visualización:

1. Dirección IP de origen.2. Dirección MAC de destino.3. Tráfico TCP que use el puerto 443.4. Tráfico ARP.5. Tráfico DNS.R//

Para la IP después de haber hecho el filtro de captura en este caso HTTP , luego de los paquetes ya capturados en la barrita resaltada escribimos en este requerimiento la IP y solo quedaran los paquetes con IP.

Page 8: Wireshark1

7

Acá se vio el filtro de tcp, y como se ve en la imagen el protocolo queda todo en TCP.

En la imagen anterior observamos el filtro de DNS y como se observa ya el protocolo es DNS.

Por ultimo vemos el filtro utilizando “arp” y como vemos solo aparecieron 2 paquetes (informaciones) y en protocolo se observa perfectamente ARP.

3. ESTADÍSTICAS Y ANÁLISIS DE FLUJOS

7. Haga una captura del tráfico generado a cuatro servidores web. Identifique cuáles fueron las conversaciones y los equipos que más tráfico generaron, usando las opciones de “Endpoints” y “Conversations” en el menú “Statistics”.R//

Se realizó la captura con 4 servidores web (google, Facebook, Youtube, Incube2)El total por los 4 servidores fue 852 paquetes capturados, los que más flujo generó fue incube2 y YouTube.

Page 9: Wireshark1

8

En la imagen anterior se aprecia según lo planteado dándole al menú “statics” aplicando conversations, en total con esta aplicación nos mostró 33 conversaciones en ADDRESS A la ip que envio el paquete, y la ADDRESS B es el destino que viene siendo mi PC.

Con el menú “statics” pero ya dándole a endpoints, nos sale los diversos, Ethernet =5, IPV4= 34, TCP=106 y UDP=40.

En lo anterior fue todos los servidores WEB a la vez.

A continuación vamos a hacer ya pero servidor por servidor.

Page 10: Wireshark1

9

WWW.GOOGLE.COM

WWW.FACEBOOK.COM

Page 11: Wireshark1

10

WWW.YOUTUBE.COM

Page 12: Wireshark1

11

WWW.INCUBE2.COM

8. Genere el diagrama de flujo de las conversaciones establecidas en el numeral anterior.R//WWW.GOOGLE.COM

Page 13: Wireshark1

12

WWW.FACEBOOK.COM

WWW.YOUTUBE.COM

Page 14: Wireshark1

13

WWW.INCUBE2.COM

9. Realice un análisis gráfico del tráfico generado en el numeral 8, usando la opcion I/O Graphs, en el menú “Statistics”.R//

Como vemos en la gráfica anterior esta filtrado todos los paquetes HTTP , y los paquetes por segundo.

Page 15: Wireshark1

14

10. Explique el uso de la opción “follow TCP stream”.R//Si está trabajando con protocolos basados en TCP que puede ser muy útil para ver los datos de un flujo TCP en la forma en que la capa de aplicación lo ve. Tal vez usted está buscando para las contraseñas en una corriente de Telnet, o usted está tratando de dar sentido a un flujo de datos. Tal vez lo que necesita un filtro de pantalla para mostrar sólo los paquetes de ese flujo TCP. Si es así, la capacidad de Wireshark para seguir un flujo TCP será útil para usted.Sólo tiene que seleccionar un paquete TCP en la lista de paquetes de la corriente / conexión que está interesado y luego seleccione la opción de menú Follow TCP Stream en el menú Herramientas Wireshark (o utilizar el menú contextual de la lista de paquetes).

En la imagen anterior escogimos unos de los paquetes TCP y le dimos la opcion: “follow TCP stream” y nos salió la siguiente información.

Page 16: Wireshark1

15

PARTE 2: Análisis de protocolos de aplicación

11 – HTTPa) Ingresar a una página que usted prefiera y descargar un video como se muestra en el video tutorial que se adjunta en este taller.R//

Escogí al azar un video de la página www.citytv.com y mediantes el sniffer (wireshark) capture los diversos paquetes:

El paquete seleccionado fue el numero 567 , y la descripción fue la siguiente:Full request URI: http://www.citytv.com.co/video/get-url-archivo/931032Luego de haberla copiado en el navegador (google chrome) le borre del HTTP, hacia atrás y me abrió inmediatamente el video.

Page 17: Wireshark1

16

2 – DHCPa) Libere y solicite una dirección IP a su servidor DHCPb) Seguir con wireshark las petición/respuesta dadas por el servidor.R//

Primero que todo se abrió el sniffer, abrimos “CMD” en Windows y escribimos el comando “ipconfig”, luego le damos “ipconfig/relase” inmediatamente se perdió la puerta de enlace y la IP de conexión a internet.

Inmediatamente se volvió a configurar todo, se reanudó la conexión a internet y se observa la llegada del paquete donde viene la IP asignada.

Page 18: Wireshark1

17

Notas-Algunas tarjetas wireless (dependiendo del modelo y el chipset que utilicen) tienen un modo que se conoce como monitor.Cuando se pone la tarjeta en este modo se suelen hablar de ponerla en modo monitorización o monitor.Este modo permite la captura de los paquetes de una red wireless (que van por el aire en ondas de radio) sin estar asociados a la red. Este modo monitor se conoce de forma técnica como modo RFMON (omito una explicación técnica) y no ha de confundirse con el modo promiscuo de sus compañaras, las tarjetas de red Ethernet.Este modo es vital para poder realizar cualquier técnica de auditoría inalámbrica, por ejemplo, para romper el cifrado WEP es necesario recoger un gran número de paquetes con IVs débiles.Cuando queremos hacer esto en Windows nuestras posibilidades se limitan, sobre todo por la falta de modelos compatibles con los controladores. En Windows se utiliza el controlador de airopeek de la compañía wildpackets.

Resumidamente el modo monitor lo que hace es capturar paquetes, que van transportándose por una red, y este los captura sin que sean para él.

CONCLUSIONES

1. Mediante la actividad practica se aprendió el funcionamiento de un sniffer en este casi el Wireshark, que básicamente captura todos los paquetes que llegan y salen de nuestro computador, en este caso en internet.

2. Los paquetes que captura el sniffer (Wireshark) son totalmente accesible de una forma de URL, que nos permite la visualización y descarga de dichos, se practicó en la actividad descargando un video, basándonos en las instrucciones de un video tutorial que nos compartió nuestro instructor (Mauricio Cardona).

3. También referente a un reto que no pude realizar por falta de recursos (Linux) se aprendió que se puede trabajar un “sniffer” por medio de comandos y este captura perfectamente el tráfico también.

Page 19: Wireshark1

18

RETO:PARTE 3: MANEJO DE OTRAS HERRAMIENTAS Y RECURSOS

2. Consulte y explique qué es SPAN y RSPAN (Port mirroring).R//SPAN - este es el puerto del analizador Switch. Es sinónimo de duplicación de puertos. SPAN le permite tomar todo el tráfico en un puerto de switch o varios puertos, incluso toda una VLAN y copia en un puerto de destino.

RSPAN - es sólo SPAN remoto - aquí se puede realizar lo anterior en múltiples Switches - tráfico desde múltiples switches a su puerto de destino.

3. Consulte y liste las características y costos de diferentes appliances que cumplan la función de sniffing.R//En concreto "Sniffing" (a los que lo realizan se les denomina "Sniffers"), y es precisamente lo primero que viene a la cabeza, cuando se habla de robo de información. Se trata de una técnica por la cual se puede "escuchar" todo lo que circula por una red. Esto que en principio es propio de una red interna o Intranet, también se puede dar en la red de redes: Internet.

Esto se hace mediante aplicaciones que actúan sobre todos los sistemas que componen el tráfico de una red, así como la interactuación con otros usuarios y ordenadores. Capturan, interpretan y almacenan los paquetes de datos que viajan por la red, para su posterior análisis (contraseñas, mensajes de correo electrónico, datos bancarios, etc.)

Page 20: Wireshark1

19

El modo más sencillo de comprender su funcionamiento, es examinándola forma en que funciona un sniffer en una red Ethernet. Se aplican los mismos principios para otras arquitecturas de red.

Un sniffer de Ethernet es un programa que trabaja en conjunto con la tarjeta de interfaz de red (NIC, Network Interface Card), para absorber indiscriminadamente todo el tráfico que esté dentro del umbral de audición del sistema de escucha. Y no sólo el tráfico que vaya dirigido a una tarjeta de red, sino a la dirección de difusión de la red 255.255.255.255 (osea a todas partes).

Para ello, el sniffer tiene que conseguir que la tarjeta entre en modo "promiscuo", en el que -como indica la propia palabra- recibirá todos los paquetes que se desplazan por la red. Así pues, lo primero que hay que hacer es colocar el hardware de la red en modo promiscuo; a continuación el software puede capturar y analizar cualquier tráfico que pase por ese segmento.

Esto limita el alcance del sniffer, pues en este caso no podrá captar el tráfico externo a la red (osea, más allá de los routers y dispositivos similares), y dependiendo de donde esté conectado en la Intranet, podrá acceder a más datos y más importantes que en otro lugar. Para absorber datos que circulan por Internet, lo que se hace es crear servidores de correo o de DNS para colocar sus sniffers en estos puntos tan estratégicos.

EJEMPLOS De Sniffing

SpyNet- Ethereal- WinSniffer

Page 21: Wireshark1

20

Web grafía

http://espanol.answers.yahoo.com/question/index?qid=20110128140805AAFCkqRhttp://foro.elhacker.net/hacking_wireless/modo_promiscuo_y_monitor_iquestson_lo_mismo-t216793.0.htmlhttp://es.wikipedia.org/wiki/Puerto_espejohttp://www.wireshark.org/docs/wsug_html_chunked/ChAdvFollowTCPSection.htmlhttp://wiki.wireshark.org/http://www.icesi.edu.co/ocw/tic/administracion_plataformas_y_seguridad/administracion-basica/filtros-en-wiresharkhttp://www.youtube.com/watch?v=nOzJBxLPDPAhttps://blog.wireshark.org/http://www.allinterview.com/showanswers/18067.htmlhttp://www.internetmania.net/int0/int93.htm