Wireshark

3.262 visualizaciones

Publicado el

0 comentarios
0 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Sin descargas
Visualizaciones
Visualizaciones totales
3.262
En SlideShare
0
De insertados
0
Número de insertados
7
Acciones
Compartido
0
Descargas
136
Comentarios
0
Recomendaciones
0
Insertados 0
No insertados

No hay notas en la diapositiva.

Wireshark

  1. 1. Actividad Wireshark Julián Andrés Ruiz Castañeda Santiago Cadavid Gómez CESGE SENA(Servicio Nacional de Aprendizaje) Medellín 2013
  2. 2. Actividad Wireshark Sniffers Julián Andrés Ruiz Castañeda Santiago Cadavid Gómez Tecnología en administración de redes Julián Ciro RamírezCentro de servicios y gestión empresarial SENA (Servicio nacional de aprendizaje) Medellín 2013
  3. 3. ContenidoIntroducción 4TAREAS BÁSICAS 5 Características de los tres paneles de Wireshark. 5 Métodos para escoger la interfaz de red 5 Visualización de los paneles en Wireshark 7 Configurar la columna de tiempo en el panel de lista de paquetes 8 Guardar capturas de manera Cíclica (que se mantengan solo los 10 últimos archivos) 9 Filtros 10 Filtro de Visualización y filtro de captura 10 Filtros de visualización 11 Estadísticas y análisis de flujos 12 Capturas de tráfico de 4 servidores Web 12 Diagrama de flujo de las conversaciones establecidas en el numeral anterior 15 Análisis gráfico del tráfico generado en el anterior numeral, usando la opción I/O Graphs, en el menú “Statistics” 15 Uso de la opción “Follow TCP Stream” 16ANÁLISIS DE PROTOCOLOS DE APLICACIÓN 17 Trafico HTTP 17 Trafico FTP 18 Trafico DHCP 19MANEJO DE OTRAS HERRAMIENTAS Y RECURSOS 20 Tcpdump/Windump 20 SPAN y RSPAN (Port mirroring) 20 Otras Aplicaciones que cumple la función de Sniffer 21 Consulta adicional 22Conclusiones 23Cibergrafía 24
  4. 4. IntroducciónEn el siguiente trabajo, podemos analizar y comprender los distintos modos quehay para analizar tráfico de red por medio de Sniffers, en este caso Wireshark(uno de los más usados) y también se puede comprender el proceso en el cual seestablecen distintas conexiones con servidores, usando distintos protocolos deinternet que hay en la actualidad. Esto se lograra por medio de capturas de tráficousando un Sniffer y pantallazos que nos suministrara una forma más accesible deentender estos procesos. Además podremos observar otros métodos y otrosprogramas de captura de tráfico de red con sus distintas características y precios.
  5. 5. TAREAS BÁSICASCaracterísticas de los tres paneles de Wireshark.El panel 1 nos muestra la lista de paquetes que están pasando por la interfaz dered en tiempo real.El panel 2 nos muestra los detalles de cualquier paquete que seleccionemos enla lista de paquetes (panel 1)El panel 3 nos muestra de una forma más detallada en lenguaje de maquina(hexadecimal) los detalles del panel 2.Métodos para escoger la interfaz de redPara seleccionar la interfaz de red que queremos monitorear, debemosseleccionar el primer icono a la izquierda en la siguiente gráfica.Otra forma de seleccionar una interfaz para monitorearla, es seleccionando la
  6. 6. opción capture y en el despegable seleccionar interfaces.Otra manera es presionando Ctrl+i.Otra forma es dirigiéndose al icono donde se encuentra el cursor, luego cuandonos abra la ventana de preferencias seleccionamos capture y le damos click aldespegable y seleccionamos la interfaz deseada.
  7. 7. Visualización de los paneles en WiresharkPara modificar la forma u orden de los paneles vamos al icono de preferencias(donde está el cursor), en la ventana emergente seleccionamos layout, luegopodremos seleccionar la plantilla que deseamos utilizar para nuestros paneles,también podemos seleccionar la ubicación de cada uno de los paneles, damosaplicar y aceptar.Acá podemos ver como quedaron modificados nuestros paneles.
  8. 8. Configurar la columna de tiempo en el panel de lista de paquetesPara que en la columna de tiempo aparezca la hora y el día exacto en que elpaquete pasa por la interfaz, vamos a view y seleccionamos time display format yluego seleccionamos la opción que nos mostrará el día y la fecha actual.Para hacerlo de una forma más rápida, presionamos Ctrl+Alt+1.Acá podemos ver cómo cambio la configuración de la hora.
  9. 9. Guardar capturas de manera Cíclica (que se mantengan solo los 10 últimosarchivos)Vamos a captura en la ventana desplegable seleccionamos opciones, y luegochuleamos use múltiple files, luego también chuleamos next file every que nosindicara cuanto debe pesar cada archivo, y también chuleamos ring buffer with quenos indica cada cuantos archivos se renueva la información guardada.Luego podemos ver los archivos guardados en la carpeta que le asignamos en elcampo file.
  10. 10. FiltrosFiltro de Visualización y filtro de capturaEl filtro de captura nos permite seleccionar que entre solo un tipo de paqueteEl filtro de visualización nos permite seleccionar que paquete en específicoqueremos ver en el panel.
  11. 11. Filtros de visualización1. Dirección IP de origen.Vamos al filtro de visualización y digitamos ip.src == (IP origen que queremosfiltrar)2. Dirección MAC de destino.Digitar en el campo de filtro de visualización eth.dst3. Tráfico TCP que use el puerto 443. Vamos al filtro de visualización y escribimos tcp.port == 443 y dar clic en apply4. Tráfico ARP.En filtro de visualización digitar arp y aplicar5. Tráfico DNS.
  12. 12. Ir al acampo filtro de visualización y digitar dns y aplicarEstadísticas y análisis de flujosCapturas de tráfico de 4 servidores Webwww.Google.com
  13. 13. www.youtube.comwww.gmail.com
  14. 14. www.facebook.comSegún las imágenes la conversación que más tráfico generó fue con youtube.compor ser un servidor de videos que se actualiza constantemente.
  15. 15. Diagrama de flujo de las conversaciones establecidas en el numeral anteriorComo podemos ver en la anterior imagen se puede generar el diagrama de flujomediante el menú “Statistics” y seleccionando la opción “Flow Graph” Saldrá elrecuadro que observamos al lado izquierdo del Diagrama de flujo, allí podemosseleccionar que flujo analizar y con qué paquetes, el diagrama de flujo analiza condetalle la comunicación que se ha establecido con el servidor, además podemosobservar la comunicación a través de señales de bits (ACK, Sync…) que sonseñales que establecen una conexión en el protocolo “TCP”.Análisis gráfico del tráfico generado en el anterior numeral, usando la opciónI/O Graphs, en el menú “Statistics”
  16. 16. En el anterior Grafico podemos observar Gráficamente el tráfico que generó elacceso a los servidores web. Esto se logra ingresando por el menú de opciones“Statistics” y dando clic en la opción “IO graphs” luego seleccionamos en laventana emergente el filtro que queremos que nos muestre el graficoUso de la opción “Follow TCP Stream”“Follow TCP Stream” nos brinda la opción de ver un poco más que lleva elpaquete que hemos seleccionado y previamente, nos muestra detalles de lo queva escrito en el mensaje o paquete que se está transmitiendo entre el servidor ynuestro equipo.
  17. 17. ANÁLISIS DE PROTOCOLOS DE APLICACIÓNTrafico HTTPSe logra observar cómo se registra la solicitud de conexión que capturó Wiresharky nos muestra las flags (ASK, SYNC, FIN…) que se establecen cuando hacemosuna petición al servidor ya sea de conexión o de petición de datos, en el https sepudo establecer conexión pero al intentar pedir el html no arroja informaciónalguna y tampoco deja escribir el comando para generar esta petición.
  18. 18. Trafico FTPSe estableció conexión con el servidor de Debian, como lo podemos ver en laimagen, podemos observar cómo nos pidió usuario y contraseña a la cual se pudoacceder ingresando ftp como usuario y contraseña. En Wireshark podemosobservar la comunicación que obtuvimos al ingresar en el servidor cuandoingresamos un comando y cuando ingresamos información, también podemos verla respuesta del servidor cuando vamos a salir, se puedo lograr captarcorrectamente la información de los datos que ingresamos (contraseña y usuario)y el comportamiento que tuvo el servidor al ingresar un comando incorrecto y uncomando correcto.
  19. 19. Trafico DHCPEn el siguiente Grafico observamos el proceso para liberar una IP en uncomputador, al igual observamos el comportamiento que genera en el tráfico deRed con el programa Wireshark, se puede observar que aparece el comando quehemos ingresado para liberar la IP del equipo y la respuesta que obtuvimos alhacerlo, al igual se puede observar como actúa el DHCP al hacerle la petición deuna nueva IP, Mandando una respuesta y luego vemos como finaliza con ACK(acuse de recibido) confirmando que el proceso ha sido efectuado.
  20. 20. MANEJO DE OTRAS HERRAMIENTAS Y RECURSOSTcpdump/WindumpComo se puede observar en la imagen este es otro método de captura de traficode un interfaz de red al cual se puede acceder descargando el archivo “Windump”en Windows y guardarlo en la carpeta del sistema operativo (Windows) en Linux-Ubuntu no es necesario descargarlo allí se ejecuta el comando tcpdump yobtendremos similar resultado. En esta imagen se observa el redireccionamientode la captura hacia un archivo de texto (.txt) al cual accederemos como semuestra en la imagen.SPAN y RSPAN (Port mirroring)Switch Port Analyzer Network (SPAN) La duplicación de puertos es un método desupervisión del tráfico de red. Con la duplicación de puertos habilitada, elconmutador envía una copia de todos los paquetes de red se ven en un puerto (otoda una VLAN) a otro puerto, donde se encuentra el paquete de análisis.Ingenieros o administradores de red utilizan la duplicación de puertos para analizary depurar datos o diagnosticar errores en una red. Ayuda a que el administradormantenga una estrecha vigilancia sobre el desempeño de la red y le alertarácuando se producen problemas. Se puede utilizar para duplicar el tráfico entranteo saliente (o ambos) en las interfaces simples o múltiples.Remote Switch Port Analyzer Network (RSPAN) Apoya puertos de origen, VLAN
  21. 21. de origen, de destino y los puertos en los diferentes switches (o pilas de diferentesinterruptores), lo que permite el control remoto de múltiples switches en la red.Cambiar el tráfico para cada RSPAN sesión se realiza a través de una VLANespecificada por el usuario RSPAN que está dedicado para esa sesión RSPAN entodos los interruptores de participantes.El tráfico RSPAN de los puertos de origen o VLAN se copia en la VLAN RSPAN yenviado a través de puertos de enlace troncal de la VLAN RSPAN llevan a unasesión de seguimiento del destino VLAN RSPAN. Cada interruptor de la fuenteRSPAN debe tener puertos o VLAN como fuentes RSPAN. El destino es siempreun puerto físicoOtras Aplicaciones que cumple la función de SnifferMicrosoft Network Monitor.Microsoft Network Monitor es un analizador de paquetes de red gratuito y funcionaen PCs Windows. Proporciona capacidad de la red de expertos para ver todo eltráfico de red en tiempo real en una intuitiva interfaz gráfica de usuario. Mientrastanto, puede capturar y ver información de la red más de 300 públicos, propiedadde Microsoft y los protocolos de red, incluyendo los paquetes de red inalámbrica.Capsa packet SnifferCapsa es un analizador de red de paquetes es un software gratuito para losadministradores de red para supervisar, diagnosticar y solucionar sus network.Thepaquete gratis de la red la versión del analizador viene con toneladas decaracterísticas, y es lo suficientemente buena para uso doméstico, así como suuso en la pequeña empresa.InnoNWSnifferEl InnoNWSniffer nombre es sinónimo de Inno Network Sniffer. La aplicación fuedesarrollada para ser un pequeño escáner de propiedad intelectual similar a la deredes Sniffer. Puede escanear en vivo IP pública y escanear cualquier ordenadorde la LAN. Más sobre el mismo puede dar una información detallada del sistema.
  22. 22. Consulta adicionalGETPide una representación del recurso especificado. Por seguridad no debería serusado por aplicaciones que causen efectos ya que transmite información a travésde la URL agregando parámetros a la URL.Ejemplo:GET /images/logo.png HTTP/1.1 obtiene un recurso llamado logo.pngEjemplo con parámetros:/index.php?page=main&lang=esPOSTSomete los datos a que sean procesados para el recurso identificado. Los datosse incluirán en el cuerpo de la petición. Esto puede resultar en la creación de unnuevo recurso o de las actualizaciones de los recursos existentes o ambas cosas.
  23. 23. Conclusiones1. Los Sniffers son herramienta fundamental para un administrador de redpues le brinda la posibilidad y facilidad de analizar información de gran importanciaa la hora de reparar una red.2. Los programas de captura de tráfico de red no son los únicos que puedenhacer capturas de red, pues también hay métodos que están accesibles desde laconsola de comando de nuestro equipo.3. Wireshark nos ofrece una completa accesibilidad, mediante susherramientas y su buen uso, lo que nos permite conocer un poco más sobre losdistintos procesos que hay en los protocolos de red y las distintas conexiones quese establecen y pasan por nuestra NIC.
  24. 24. Cibergrafíahttp://wiki.wireshark.org/https://blog.wireshark.org/http://packetlife.net/blog/2008/jun/2/packet-captures-courtesy-wireshark-wiki/http://www.miarec.com/faq/what-is-port-mirroringhttp://www.soportederedes.com/2007/06/wireshark-101-filtros-de-visualizacin.htmlhttp://acsblog.es/articulos/trunk/LinuxActual/Apache/html/x49.htmlhttp://www.tcpdump.org/

×