wire shark
TRANSCRIPT
REDES DE COMUNICACIÓN I 1
— Palabras Claves; Wireshark, ping 4.2.2.2,
I. RESUMEN
Todo administrador de red o seguridad, tarde o temprano se
ve obligado a enfrentar algún problema que lo obligue a
analizar qué está sucediendo en su red en el nivel más bajo
que pueda. En este primer artículo intento dar una
introducción al análisis de protocolo y cómo este nos puede
servir para: solucionar problemas, analizar el desempeño de
las redes, desarrollar software y protocolos.
II. INTRODUCCIÓN
na herramienta básica para observar los mensajes
intercambiados entre aplicaciones es un analizador de
protocolos (packet sniffer). Un analizador de protocolos
es un elemento pasivo, únicamente observa mensajes que son transmitidos y recibidos desde y hacia un elemento de la red,
pero nunca envía él mismo mensajes. En su lugar, un
analizador de protocolos recibe una copia de los mensajes que
están siendo recibidos o enviados en el terminal donde está
ejecutándose. Está compuesto principalmente de dos
elementos: una librería de captura de paquetes, que recibe una
copia de cada trama de enlace de datos que se envía o recibe, y
un analizador de paquetes, que muestra los campos
correspondientes a cada uno de los paquetes capturados
III. .MARCO TEORICO
A. Wireshark
Wireshark antes conocido como Ethereal es un software que es usado para ver en forma detallada las estadísticas acerca de
las interfaces configuradas, los sockets y las tablas de
enrutamiento de la red. Muestra en varios formatos el
contenido de las estructuras de datos que contienen
información relacionada con la red, además de esto permite
capturar y analizar las tramas Ethernet. Funciona en varios
sistemas operativos y es software de distribución libre lo que
hace que sea una ventaja para el desarrollo de este proyecto.
Para el correcto funcionamiento del Wireshark es necesario de
la herramienta WinPcap, para el establecimiento de las
interfaces a sniffear. Esta herramienta accede a la red
directamente a la capa de enlace en los entornos Windows,
permitiendo a las aplicaciones capturar y transmitir paquetes
de la red. Conforme a lo anterior se puede decir que WinPcap
establece un directo curso que extiende el sistema operativo
para proporcionar acceso de bajo nivel de red, y una biblioteca
que se utiliza para acceder fácilmente a las capas de red de
bajo nivel.
IV. PROCEDIMIENTO
A. Configuración de Captura Wireshark
Para el uso del Wireshark con la intención de la captura de las
trazas se siguió los siguientes pasos:
Paso 1. Acceder Wireshark.
Paso 2. En la barra de herramientas del Wireshark seleccionar
la opción Edit preference.
Paso 3. Elegir la opción Columns.
En esta parte el Wireshark muestra información de las
características que se quiere saber sobre el tráfico a capturar
(paquetes), dando la opción de elegir la información de interés
por el usuario, como los son:
No: es la etiqueta o el número de identificación de
cada uno de los paquetes.
Time: hace referencia al instante en que llega el
paquete, este puede ser tanto de llegada al fuente
como al destino.
Source: esta muestra la dirección de la fuente que
está enviando una solicitud.
Destination: esta es la dirección del destino la que
recibe las solicitudes enviadas y envía lo solicitado.
Propocol: el tipo de protocolo con el que se está
trabajando para realizar la comunicación de las dos
entidades (unidad de equipo con el servidor).
Length: tamaño del paquete que llega tanto al
destino con a la fuente.
WIRESHARK
(Septiembre 2012)
Yineth Paola Pérez Báez <072003> [email protected]
U
REDES DE COMUNICACIÓN I 2
Info: muestra el dato acerca del suceso que presentó,
mostrando el nombre del servidor al que accedió o la
acción realizada.
Fig. 1. Preferencias para la captura
Continuando con la configuración de la captura.
Paso 4. se procede entonces a configurar el tiempo de llegada
de los paquetes, ajustándolo para que arroje la cifra más
significativa que es nanosegundos como se muestra en la
figura 2.
Fig. 2. Formato del tiempo de la captura
Una vez se han realizado estos pasos se puede observar el
proceso de captura al Wireshark con la herramienta WinPcap
para ejemplo del lector esto se muestra en el figura 3.
Fig. 3. Interfaz de visualización de Wireshark durante una captura
El tamaño de la muestra es de 5000 paquetes, esta cifra
es escogida porque es una muestra donde se puede
analizar y ver características del tráfico de forma
significativa como se muestra en la figura 4.
Fig. 4. Opciones de Captura
Para la obtención de la traza de Wireshark es necesario
exportarla a un archivo de texto plano en un tipo de formato
CSV Comma Separate Values summary (*.cvs). Este tipo de
formato da la gran ventaja de exportar los datos de una manera
mucho más ordenada, debido a que lo hace por columnas,
según las características que se hallan seleccionado en el Edit
preference. El archivo de la traza se puede ver en la figura 4.
REDES DE COMUNICACIÓN I 3
Figura 5. Archivo de texto plano exportado de Wireshark
V. ANÁLISIS Y RESULTADOS
Figura 6. Filtro de Protocolo HTTP
Ping es una herramienta de diagnóstico que permite al usuario verificar que una dirección IP particular existe y puede aceptar
peticiones.
Una prueba de ping ayuda a rastrear la comunicación entre el
ordenador y el router o cualquier dispositivo conectado a la
red. El comando ping también se puede utilizar para la
solución de problemas para probar la conectividad y el tiempo
de respuesta medida.
Realización de una prueba de ping en el marco de sus pasos de
solución de problemas será de gran ayuda en la solución de
problemas de conectividad, tanto para computadoras cableadas
e inalámbricas.
Figura 7. Ping 4.2.2.2
A. Escenarios principio Cuándo utilizar test Ping
Para verificar la conectividad del computador al
router.
Para verificar la actividad de la red.
Para verificar la conectividad a Internet. Puede
utilizar una dirección IP (es decir, 4.2.2.2 o 8.8.8.8)
para comprobar si el router está conectado. Esto es
útil cuando se puede ver una dirección IP de
su proveedor de servicios de Internet (ISP) en la
página de estado del router, pero no puede navegar por cualquier sitio web. Usted también puede hacer
ping a un sitio web (por ejemplo
www.facebook.com) para verificar la conectividad
total a Internet. Si puede hacer ping al sitio web y
obtener respuestas, pero el equipo aún no puede
navegar por otros sitios web, que te dice que hay un
problema en el equipo y no un problema del router.
B. Las respuestas de ping
Ping funciona mediante el envío de un Internet Control Message Protocol (ICMP) Echo Request a una interfaz
especificada en la red y a su vez, envía respuestas para validar
la conexión.
La respuesta del comando ping es lo más importante para
mantener un ojo en la hora de realizar una prueba de
ping. Sabiendo lo que significa cada respuesta ayudará a
identificar la ruta de solución de problemas de derecho.
A continuación se presentan las respuestas principales que
comúnmente vemos al hacer ping.
• Responder a - Significa que la conexión es buena.
• Tiempo de espera agotado - El comando ping ha
agotado el tiempo porque no hubo respuesta desde el
host o el host de destino no funciona.
• Host desconocido - Esta respuesta significa que el
equipo no puede reconocer la dirección IP que está
intentando hacer ping. Por lo general, este mensaje de
error se recomienda al usuario comprobar la ortografía
del nombre de host.
• Red de Destino / Host unreachable - Esto significa
que el host que está tratando de hacer ping no funciona
o no está funcionando en la red.
• Error de hardware - Esto generalmente significa que
el adaptador de red está deshabilitado o que haya
desenchufado el cable Ethernet.
REDES DE COMUNICACIÓN I 4
PROTOCOLOS
A. Capa de Aplicación
HTTP: Hypertext Transfer Protocol (protocolo de
transferencia dehipertexto) es el protocolo usado en
cada transacción de la World Wide Web.
SDDP: Protocolo Simple de Descubrimiento de Servicios (Simple Service Discovery Protocol) es un
protocolo que sirve para la búsqueda de
dispositivos UPnP ( conjunto de protocolos de
comunicación que permite a periféricos en red.
Un paquete SSDP consiste en un HTTP-Request con la
instrucción 'NOTIFY' para anunciar o con
'M-SEARCH' para buscar un servicio. El HTTP-Body
queda vacío. La cabecera contiene atributos específicos
de UPnP.
DNS: Domain Name System (sistema de nombres de
dominio) es un sistema de nomenclatura jerárquica
para computadoras, servicios o cualquier recurso
conectado a Internet o a una red privada.
FTP (File Transfer Protocol, Protocolo de
Transferencia de Archivos) es ofrecido por la capa de
aplicación del modelo de capas de red TCP/IP al
usuario, utilizando normalmente el puerto de red 20 y
el 21.
B. Capa de sesión
SSL: Secure Sockets Layer (capa de conexión segura)
son protocolos criptográficos que proporcionan
comunicaciones seguras por una red,
comúnmente Internet.
C. Capa de Transporte
UDP: User Datagram Protocol es
un protocolo del nivel de transporte basado en el
intercambio de datagramas.
TCP: Transmission Control Protocol (Protocolo de
Control de Transmisión), es uno de los protocolos
fundamentales en Internet.
D. Capa de Red
ICMPv6: Protocolo de Mensajes de Control de
Internet Versión 6 (ICMP para IPv6) es una nueva
versión de ICMP y es una parte importante de la
arquitectura IPv6.
E. Capa de Enlace
ARP: Address Resolution Protocol (Protocolo de
resolución de direcciones).Es un protocolo de la capa
de enlace de datos responsable de encontrar la
dirección hardware (Ethernet MAC) que corresponde a
una determinada dirección IP.
MODO ATAQUE
En una red wireless, puedes obtener la información de
las personas que están navegando por internet
utilizando ese medio. Esa seria la manera de ataque
utilizando Wireshark para monitorear la red y así mirar
normalidades al instante.
Direcciones IP
Nombre de Host
Router y Rutas de Transmisión
Datos (texto plano)
Información de Protocolos
CONCLUSIONES
Wireshark es un programa muy útil para este tipo de
cosas, tanto para ahondar en software que no
conocemos como para investigar la seguridad de
nuestro equipo. No me ha parecido un software
extremadamente intuitivo, y queda el experimentar con
más filtros y probar a fondo el programa.
Como hemos visto, Wireshark viene provisto de
innumerables funcionalidades gracias a las cuales
podremos identificar y analizar múltiples problemas
de red, no solo aquellos causados por malas
configuraciones o fallos en dispositivos sino también
un gran abanico de ataques, externos e internos, que
pueden tomar diversas formas.
Wireshark, aparte de ser uno de los mejores
analizadores de protocolos actuales, es una excelente
fuente de conocimiento para todo entusiasta de las
redes y las comunicaciones.
REFERENCIAS
[1] http://www6.nohold.net/Cisco2/ukp.aspx?pid=82&vw=1&articleid=24664
[2] http://www.wireshark.org/
ANEXOS
REDES DE COMUNICACIÓN I 5
Traza 1: PRIMEROEX
Traza 2: SEGUNDOEX
Traza 3: TERCEROEX
Traza 4: CUARTOEX
Primer Autor Yineth Paola Pérez Báez
Estudiante de Ingeniería de Telecomunicaciones. Fundación Universitaria San
Martín.