1. PRACTICA: INVESTIGAR ANALIZADORES DE
PROTOCOLOS, DESCARGAR E INSTALAR UNO Y MOSTRAR
SUS APLICACIONES.
MATERIA: REDES DE COMPUTADORAS.
FACILITADOR: M. C. JOSÉ EFRÉN MARMOLEJO
VALLE.
ESTUDIANTE: BLANCA ESTELA RODRÍGUEZ
GALLEGOS.
30/OCTUBRE/2012
2. Una de las actividades más comunes en la
administración de una red o administración de
seguridad, es la del análisis de tráfico de dicha red. No
sólo el tráfico que fluye a través de nuestra LAN, sino
que también debemos analizar el tráfico entrante y
saliente hacia INTERNET a través de los servicios que
tengamos instalados, proxies, etc. Esto es así porque,
como ya sabéis, es necesario para la detección de
problemas y, sobre todo, para detectar tráfico no
esperado, presencia de puertas traseras, escaneos y
cualquier otra intrusión.
3. Un analizador de protocolos es una
herramienta que sirve para desarrollar y
depurar protocolos y aplicaciones de red.
Permite al ordenador capturar diversas tramas
de red para analizarlas, ya sea en tiempo real o
después de haberlas capturado.
4. Los analizadores de protocolos, llamados también
analizadores de red, efectúan una serie de funciones
en el análisis del tráfico de la red en el tiempo real,
además de captura, decodificación y transmisión de
paquetes.
Los analizadores de protocolos buscan en los paquetes para
identificar la causa de un problema. También genera estadísticas
basadas en el tráfico de la red para ayudar a crear una imagen de
la red:
• Cableado
• Software
• Servidor de archivos
• Estaciones de trabajo
• Tarjetas de interfaz
5. • El analizador puede proporcionar datos sobre el
comportamiento de las redes entre los que se
incluyen:
• Componentes de la red defectuosos
• Errores de configuración o conexión
• Cuellos de botella LAN
• Fluctuaciones del tráfico
• Problema de protocolo
• Aplicaciones que pueden entrar en conflicto
• Tráfico inusual en el servidor
6. • Analizar y soportar demandas de nuevas
aplicaciones (como VoIP)
• Obtener mayor eficiencia de la red, al analizar todo
lo que pasa por ella, detectar problemas concretos.
• Analizar redes remotas, sin necesidad de realizar
largos viajes
• Analizar y monitorear varias redes a la vez
7. • Appsniffing: analizador de protocolos con una poderosa interface
gráfica que le permite rápidamente diagnosticar problemas y
anormalidades en su red. Algunas características son que la captura
puede ser efectuada tanto en el disco o en la memoria, admite el
análisis de datos en tiempo real, los filtros se pueden usar tanto en
tiempo real como después de la captura, el paquete se puede ver en
tiempo real, se puede analizar de forma remota en tiempo real,
permite estadísticas globales, y por último, permite un análisis TCP.
• Productos Observer (Expert Observer, Observer Suite, Observer
Probes, etc.): sirven para Ethernet, Inalámbricos 802.11b y 802.11a,
Token Ring y FDDI. Observer mide, captura y predice tendencias de
sus redes. Observer se ejecuta en el ambiente windows. Monitorea y
sirve como herramienta para resolver problemas que se presentan en
las redes.
8. • SuperAgent: SuperAgent es la solución número 1 para realizar la
monitorización, establecer las tendencias y solucionar los problemas
del rendimiento de aplicaciones. Le permite ver con precisión y detalle
los tiempos de respuesta del usuario final por toda la empresa y de
todas las aplicaciones de TCP, y sin la necesidad de usar extremos ni
sondas distribuidas.
• ReporterAnalyzer: ReporterAnalyzer es un analizador pasivo del lado
del servidor que rastrea y mide rápidamente las interfaces de WAN.
• OptiView Console: La consola de funcionamiento centralizado de
Optiview, con función de acceso remoto, detecta rápidamente y
supervisa continuamente los dispositivos de red, al mismo tiempo que
documenta su conectividad.
• OptiView Protocol Expert: Protocol Expert es una aplicación basada
en Windows que ofrece análisis de protocolos autónomos para
paquetes capturados de Workgroup Analyzer, Link Analyzer e
Integrated Network Analyzer de Optiview.
9. • Funcionan más allá del nivel físico de OSI, en los niveles 2,3 e
incluso 4. Pueden mostrar información acerca de estado del
cable físico, así como:
• Recuentos de tramas de mensajes
• Colisiones por exceso
• Colisiones por demora
• Recuentos de tramas erróneas
• Errores de congestión
• Balizamiento
Estos analizadores pueden monitorear el tráfico general de la red,
determinados tipos de situaciones de error o tráfico desde y aun
equipo determinado. Indican si un cable particular o una tarjeta
adaptadora de red determinada está causando problemas.
10. Hay que decir que Windump interpreta los datos dependiendo del
protocolo involucrado en la captura, esto es obvio, ya que no es lo mismo
una captura de consulta DNS que un inicio de sesión o establecimiento
de conexión TCP, o una captura icmp, aunque las diferencias, en algunos
casos, son pocas. En una captura icmp aparece la palabra icmp, sin
embargo en una captura tcp no aparece esta palabra.
11. • Para ver las interfaces de que disponemos:
• C:scan>windump -D
1.DevicePacket_{604C8AE3-5FAC-45A5-BFAA-
81175A8C32BF} (3Com EtherLink PCI)
2.DevicePacket_NdisWanIp (NdisWan Adapter)
• Si queremos usar la interface 1:
• C:scan>windump -i 1
• No quiero que me resuelva los nombres de host.
• C:scan>windump -n
• Cantidad de información que nos devuelve.
• C:scan>windump -v o -vv
12. • C:scan>windump port 8080
• Captura todo el tráfico icmp
• C:scan>windump icmp
windump: listening onDevicePacket_{604C8AE3-5FAC-45A5-BFAA-
81175A8C32BF}
09:53:00.509648 SERVING > 192.168.2.75: icmp: echo request
09:53:00.509729 192.168.2.75 > SERVING: icmp: echo reply
09:53:00.811224 SERVING > INGEN12: icmp: echo request
09:53:00.811410 INGEN12 > SERVING: icmp: echo reply
• Para filtrar y clarificar nuestros resultados podemos hacer uso de
filtros más avanzados y utilizar operadores lógicos.
• C:scan >windump not host INFOGRAFIA3 and not icmp
C:>windump host INFOGRAFIA3 and not port 80