SlideShare una empresa de Scribd logo

Wireshark

Santiago NA
Santiago NA
1 de 24
Descargar para leer sin conexión
Actividad Wireshark Julián Andrés Ruiz Castañeda Santiago Cadavid Gómez CESGE SENA (Servicio Nacional de Aprendizaje) Medellín 2013
Actividad Wireshark Sniffers Julián Andrés Ruiz Castañeda Santiago Cadavid Gómez Tecnología en administración de redes Julián Ciro Ramírez Centro de servicios y gestión empresarial SENA (Servicio nacional de aprendizaje) Medellín 2013
Contenido Introducción 4 TAREAS BÁSICAS 5 Características de los tres paneles de Wireshark. 5 Métodos para escoger la interfaz de red 5 Visualización de los paneles en Wireshark 7 Configurar la columna de tiempo en el panel de lista de paquetes 8 Guardar capturas de manera Cíclica (que se mantengan solo los 10 últimos archivos) 9 Filtros 10 Filtro de Visualización y filtro de captura 10 Filtros de visualización 11 Estadísticas y análisis de flujos 12 Capturas de tráfico de 4 servidores Web 12 Diagrama de flujo de las conversaciones establecidas en el numeral anterior 15 Análisis gráfico del tráfico generado en el anterior numeral, usando la opción I/O Graphs, en el menú “Statistics” 15 Uso de la opción “Follow TCP Stream” 16 ANÁLISIS DE PROTOCOLOS DE APLICACIÓN 17 Trafico HTTP 17 Trafico FTP 18 Trafico DHCP 19 MANEJO DE OTRAS HERRAMIENTAS Y RECURSOS 20 Tcpdump/Windump 20 SPAN y RSPAN (Port mirroring) 20 Otras Aplicaciones que cumple la función de Sniffer 21 Consulta adicional 22 Conclusiones 23 Cibergrafía 24
Introducción En el siguiente trabajo, podemos analizar y comprender los distintos modos que hay para analizar tráfico de red por medio de Sniffers, en este caso Wireshark (uno de los más usados) y también se puede comprender el proceso en el cual se establecen distintas conexiones con servidores, usando distintos protocolos de internet que hay en la actualidad. Esto se lograra por medio de capturas de tráfico usando un Sniffer y pantallazos que nos suministrara una forma más accesible de entender estos procesos. Además podremos observar otros métodos y otros programas de captura de tráfico de red con sus distintas características y precios.
TAREAS BÁSICAS Características de los tres paneles de Wireshark. El panel 1 nos muestra la lista de paquetes que están pasando por la interfaz de red en tiempo real. El panel 2 nos muestra los detalles de cualquier paquete que seleccionemos en la lista de paquetes (panel 1) El panel 3 nos muestra de una forma más detallada en lenguaje de maquina (hexadecimal) los detalles del panel 2. Métodos para escoger la interfaz de red Para seleccionar la interfaz de red que queremos monitorear, debemos seleccionar el primer icono a la izquierda en la siguiente gráfica. Otra forma de seleccionar una interfaz para monitorearla, es seleccionando la
opción capture y en el despegable seleccionar interfaces. Otra manera es presionando Ctrl+i. Otra forma es dirigiéndose al icono donde se encuentra el cursor, luego cuando nos abra la ventana de preferencias seleccionamos capture y le damos click al despegable y seleccionamos la interfaz deseada.
Visualización de los paneles en Wireshark Para modificar la forma u orden de los paneles vamos al icono de preferencias (donde está el cursor), en la ventana emergente seleccionamos layout, luego podremos seleccionar la plantilla que deseamos utilizar para nuestros paneles, también podemos seleccionar la ubicación de cada uno de los paneles, damos aplicar y aceptar. Acá podemos ver como quedaron modificados nuestros paneles.
Configurar la columna de tiempo en el panel de lista de paquetes Para que en la columna de tiempo aparezca la hora y el día exacto en que el paquete pasa por la interfaz, vamos a view y seleccionamos time display format y luego seleccionamos la opción que nos mostrará el día y la fecha actual. Para hacerlo de una forma más rápida, presionamos Ctrl+Alt+1. Acá podemos ver cómo cambio la configuración de la hora.
Guardar capturas de manera Cíclica (que se mantengan solo los 10 últimos archivos) Vamos a captura en la ventana desplegable seleccionamos opciones, y luego chuleamos use múltiple files, luego también chuleamos next file every que nos indicara cuanto debe pesar cada archivo, y también chuleamos ring buffer with que nos indica cada cuantos archivos se renueva la información guardada. Luego podemos ver los archivos guardados en la carpeta que le asignamos en el campo file.
Filtros Filtro de Visualización y filtro de captura El filtro de captura nos permite seleccionar que entre solo un tipo de paquete El filtro de visualización nos permite seleccionar que paquete en específico queremos ver en el panel.
Filtros de visualización 1. Dirección IP de origen. Vamos al filtro de visualización y digitamos ip.src == (IP origen que queremos filtrar) 2. Dirección MAC de destino. Digitar en el campo de filtro de visualización eth.dst 3. Tráfico TCP que use el puerto 443. Vamos al filtro de visualización y escribimos tcp.port == 443 y dar clic en apply 4. Tráfico ARP. En filtro de visualización digitar arp y aplicar 5. Tráfico DNS.
Ir al acampo filtro de visualización y digitar dns y aplicar Estadísticas y análisis de flujos Capturas de tráfico de 4 servidores Web www.Google.com
www.youtube.com www.gmail.com
www.facebook.com Según las imágenes la conversación que más tráfico generó fue con youtube.com por ser un servidor de videos que se actualiza constantemente.
Diagrama de flujo de las conversaciones establecidas en el numeral anterior Como podemos ver en la anterior imagen se puede generar el diagrama de flujo mediante el menú “Statistics” y seleccionando la opción “Flow Graph” Saldrá el recuadro que observamos al lado izquierdo del Diagrama de flujo, allí podemos seleccionar que flujo analizar y con qué paquetes, el diagrama de flujo analiza con detalle la comunicación que se ha establecido con el servidor, además podemos observar la comunicación a través de señales de bits (ACK, Sync…) que son señales que establecen una conexión en el protocolo “TCP”. Análisis gráfico del tráfico generado en el anterior numeral, usando la opción I/O Graphs, en el menú “Statistics”
En el anterior Grafico podemos observar Gráficamente el tráfico que generó el acceso a los servidores web. Esto se logra ingresando por el menú de opciones “Statistics” y dando clic en la opción “IO graphs” luego seleccionamos en la ventana emergente el filtro que queremos que nos muestre el grafico Uso de la opción “Follow TCP Stream” “Follow TCP Stream” nos brinda la opción de ver un poco más que lleva el paquete que hemos seleccionado y previamente, nos muestra detalles de lo que va escrito en el mensaje o paquete que se está transmitiendo entre el servidor y nuestro equipo.
ANÁLISIS DE PROTOCOLOS DE APLICACIÓN Trafico HTTP Se logra observar cómo se registra la solicitud de conexión que capturó Wireshark y nos muestra las flags (ASK, SYNC, FIN…) que se establecen cuando hacemos una petición al servidor ya sea de conexión o de petición de datos, en el https se pudo establecer conexión pero al intentar pedir el html no arroja información alguna y tampoco deja escribir el comando para generar esta petición.
Trafico FTP Se estableció conexión con el servidor de Debian, como lo podemos ver en la imagen, podemos observar cómo nos pidió usuario y contraseña a la cual se pudo acceder ingresando ftp como usuario y contraseña. En Wireshark podemos observar la comunicación que obtuvimos al ingresar en el servidor cuando ingresamos un comando y cuando ingresamos información, también podemos ver la respuesta del servidor cuando vamos a salir, se puedo lograr captar correctamente la información de los datos que ingresamos (contraseña y usuario) y el comportamiento que tuvo el servidor al ingresar un comando incorrecto y un comando correcto.
Trafico DHCP En el siguiente Grafico observamos el proceso para liberar una IP en un computador, al igual observamos el comportamiento que genera en el tráfico de Red con el programa Wireshark, se puede observar que aparece el comando que hemos ingresado para liberar la IP del equipo y la respuesta que obtuvimos al hacerlo, al igual se puede observar como actúa el DHCP al hacerle la petición de una nueva IP, Mandando una respuesta y luego vemos como finaliza con ACK (acuse de recibido) confirmando que el proceso ha sido efectuado.
MANEJO DE OTRAS HERRAMIENTAS Y RECURSOS Tcpdump/Windump Como se puede observar en la imagen este es otro método de captura de trafico de un interfaz de red al cual se puede acceder descargando el archivo “Windump” en Windows y guardarlo en la carpeta del sistema operativo (Windows) en Linux- Ubuntu no es necesario descargarlo allí se ejecuta el comando tcpdump y obtendremos similar resultado. En esta imagen se observa el redireccionamiento de la captura hacia un archivo de texto (.txt) al cual accederemos como se muestra en la imagen. SPAN y RSPAN (Port mirroring) Switch Port Analyzer Network (SPAN) La duplicación de puertos es un método de supervisión del tráfico de red. Con la duplicación de puertos habilitada, el conmutador envía una copia de todos los paquetes de red se ven en un puerto (o toda una VLAN) a otro puerto, donde se encuentra el paquete de análisis. Ingenieros o administradores de red utilizan la duplicación de puertos para analizar y depurar datos o diagnosticar errores en una red. Ayuda a que el administrador mantenga una estrecha vigilancia sobre el desempeño de la red y le alertará cuando se producen problemas. Se puede utilizar para duplicar el tráfico entrante o saliente (o ambos) en las interfaces simples o múltiples. Remote Switch Port Analyzer Network (RSPAN) Apoya puertos de origen, VLAN
de origen, de destino y los puertos en los diferentes switches (o pilas de diferentes interruptores), lo que permite el control remoto de múltiples switches en la red. Cambiar el tráfico para cada RSPAN sesión se realiza a través de una VLAN especificada por el usuario RSPAN que está dedicado para esa sesión RSPAN en todos los interruptores de participantes. El tráfico RSPAN de los puertos de origen o VLAN se copia en la VLAN RSPAN y enviado a través de puertos de enlace troncal de la VLAN RSPAN llevan a una sesión de seguimiento del destino VLAN RSPAN. Cada interruptor de la fuente RSPAN debe tener puertos o VLAN como fuentes RSPAN. El destino es siempre un puerto físico Otras Aplicaciones que cumple la función de Sniffer Microsoft Network Monitor. Microsoft Network Monitor es un analizador de paquetes de red gratuito y funciona en PCs Windows. Proporciona capacidad de la red de expertos para ver todo el tráfico de red en tiempo real en una intuitiva interfaz gráfica de usuario. Mientras tanto, puede capturar y ver información de la red más de 300 públicos, propiedad de Microsoft y los protocolos de red, incluyendo los paquetes de red inalámbrica. Capsa packet Sniffer Capsa es un analizador de red de paquetes es un software gratuito para los administradores de red para supervisar, diagnosticar y solucionar sus network.The paquete gratis de la red la versión del analizador viene con toneladas de características, y es lo suficientemente buena para uso doméstico, así como su uso en la pequeña empresa. InnoNWSniffer El InnoNWSniffer nombre es sinónimo de Inno Network Sniffer. La aplicación fue desarrollada para ser un pequeño escáner de propiedad intelectual similar a la de redes Sniffer. Puede escanear en vivo IP pública y escanear cualquier ordenador de la LAN. Más sobre el mismo puede dar una información detallada del sistema.
Consulta adicional GET Pide una representación del recurso especificado. Por seguridad no debería ser usado por aplicaciones que causen efectos ya que transmite información a través de la URL agregando parámetros a la URL. Ejemplo: GET /images/logo.png HTTP/1.1 obtiene un recurso llamado logo.png Ejemplo con parámetros: /index.php?page=main&lang=es POST Somete los datos a que sean procesados para el recurso identificado. Los datos se incluirán en el cuerpo de la petición. Esto puede resultar en la creación de un nuevo recurso o de las actualizaciones de los recursos existentes o ambas cosas.
Conclusiones 1. Los Sniffers son herramienta fundamental para un administrador de red pues le brinda la posibilidad y facilidad de analizar información de gran importancia a la hora de reparar una red. 2. Los programas de captura de tráfico de red no son los únicos que pueden hacer capturas de red, pues también hay métodos que están accesibles desde la consola de comando de nuestro equipo. 3. Wireshark nos ofrece una completa accesibilidad, mediante sus herramientas y su buen uso, lo que nos permite conocer un poco más sobre los distintos procesos que hay en los protocolos de red y las distintas conexiones que se establecen y pasan por nuestra NIC.
Cibergrafía http://wiki.wireshark.org/ https://blog.wireshark.org/ http://packetlife.net/blog/2008/jun/2/packet-captures-courtesy-wireshark-wiki/ http://www.miarec.com/faq/what-is-port-mirroring http://www.soportederedes.com/2007/06/wireshark-101-filtros-de-visualizacin.html http://acsblog.es/articulos/trunk/LinuxActual/Apache/html/x49.html http://www.tcpdump.org/

Recomendados

Protocolo de enrutamiento
Protocolo de enrutamientoProtocolo de enrutamiento
Protocolo de enrutamientogpava
 
Unidad 2 Integración de Sistemas
Unidad 2 Integración de SistemasUnidad 2 Integración de Sistemas
Unidad 2 Integración de Sistemasvverdu
 
Enrutamiento estatico
Enrutamiento estaticoEnrutamiento estatico
Enrutamiento estaticoUniversidad Tecnica de Ambato
 
Comandos de configuracion de dispositivos cisco
Comandos de configuracion de dispositivos ciscoComandos de configuracion de dispositivos cisco
Comandos de configuracion de dispositivos ciscoCISCO NETWORKING
 
Protocolos de enrutamiento
Protocolos de enrutamientoProtocolos de enrutamiento
Protocolos de enrutamientoOswaldo Monsalvo
 
Unidad 2 ensamblador
Unidad 2 ensambladorUnidad 2 ensamblador
Unidad 2 ensambladoreveTalavera
 
1.2.4.5 packet tracer network representation - ilm
1.2.4.5 packet tracer network representation - ilm1.2.4.5 packet tracer network representation - ilm
1.2.4.5 packet tracer network representation - ilmmariosaavedra27
 
Tsp (Team Software Process )
Tsp (Team Software Process )Tsp (Team Software Process )
Tsp (Team Software Process )silviachmn
 

Recomendados

Protocolo de enrutamiento
Protocolo de enrutamientoProtocolo de enrutamiento
Protocolo de enrutamientogpava
 
Unidad 2 Integración de Sistemas
Unidad 2 Integración de SistemasUnidad 2 Integración de Sistemas
Unidad 2 Integración de Sistemasvverdu
 
Enrutamiento estatico
Enrutamiento estaticoEnrutamiento estatico
Enrutamiento estaticoUniversidad Tecnica de Ambato
 
Comandos de configuracion de dispositivos cisco
Comandos de configuracion de dispositivos ciscoComandos de configuracion de dispositivos cisco
Comandos de configuracion de dispositivos ciscoCISCO NETWORKING
 
Protocolos de enrutamiento
Protocolos de enrutamientoProtocolos de enrutamiento
Protocolos de enrutamientoOswaldo Monsalvo
 
Unidad 2 ensamblador
Unidad 2 ensambladorUnidad 2 ensamblador
Unidad 2 ensambladoreveTalavera
 
1.2.4.5 packet tracer network representation - ilm
1.2.4.5 packet tracer network representation - ilm1.2.4.5 packet tracer network representation - ilm
1.2.4.5 packet tracer network representation - ilmmariosaavedra27
 
Tsp (Team Software Process )
Tsp (Team Software Process )Tsp (Team Software Process )
Tsp (Team Software Process )silviachmn
 
Iptables
IptablesIptables
Iptablescercer
 
Seguridad en redes
Seguridad en redesSeguridad en redes
Seguridad en redessterben gonzalez
 
Herramientas de detección de vulnerabilidades-NESSUS
Herramientas de detección de vulnerabilidades-NESSUSHerramientas de detección de vulnerabilidades-NESSUS
Herramientas de detección de vulnerabilidades-NESSUSseguridadelinux
 
Sistema de-maquina-virtual
Sistema de-maquina-virtualSistema de-maquina-virtual
Sistema de-maquina-virtualkerlly villon
 
Creacion de una red wan en cisco packet tracer
Creacion de una red wan en cisco packet tracerCreacion de una red wan en cisco packet tracer
Creacion de una red wan en cisco packet tracerJenny Lophezz
 
Modelo TSP
Modelo TSPModelo TSP
Modelo TSPIvan Vidal
 
Caracteristicas de un vtp
Caracteristicas de un vtpCaracteristicas de un vtp
Caracteristicas de un vtpErika Vazquez
 
Firewall (Corta Fuegos)
Firewall (Corta Fuegos)Firewall (Corta Fuegos)
Firewall (Corta Fuegos)Charxavier_00
 
IMPLEMENTACIÓN DE RED LAN
IMPLEMENTACIÓN DE RED LANIMPLEMENTACIÓN DE RED LAN
IMPLEMENTACIÓN DE RED LANANTONIO
 
Simuladores De Red
Simuladores De Red Simuladores De Red
Simuladores De Red SistemaOperativo2
 
Fundamentos de red: 9. Ethernet
Fundamentos de red: 9. EthernetFundamentos de red: 9. Ethernet
Fundamentos de red: 9. EthernetFrancesc Perez
 
Arquitectura de Redes
Arquitectura de RedesArquitectura de Redes
Arquitectura de RedesIsrael Montero
 
Analizador de protocolos
Analizador de protocolosAnalizador de protocolos
Analizador de protocolosMaria Elena Flores Cervantes
 
Plan de pruebas de software
Plan de pruebas de softwarePlan de pruebas de software
Plan de pruebas de softwareEdgardo Rojas
 
Como realizar una red lan básica con packet tracer
Como realizar una red lan básica con packet tracerComo realizar una red lan básica con packet tracer
Como realizar una red lan básica con packet tracerJenny Lophezz
 
1.2 Fallas
1.2 Fallas1.2 Fallas
1.2 FallasIris Campos
 
Configuracion y administracion del espacio en disco
Configuracion y administracion del espacio en disco Configuracion y administracion del espacio en disco
Configuracion y administracion del espacio en discoYael_21
 
Conoce todo sobre la zona desmilitarizada (DMZ)
Conoce todo sobre la zona desmilitarizada (DMZ)Conoce todo sobre la zona desmilitarizada (DMZ)
Conoce todo sobre la zona desmilitarizada (DMZ)Supra Networks
 
6.2.2.5 lab configuring i pv4 static and default routes
6.2.2.5 lab configuring i pv4 static and default routes6.2.2.5 lab configuring i pv4 static and default routes
6.2.2.5 lab configuring i pv4 static and default routesDaniela Centeno
 
Eliminar una vlan
Eliminar una vlanEliminar una vlan
Eliminar una vlanAime Rodriguez
 
Formato trabajos nuevo copy
Formato trabajos nuevo copyFormato trabajos nuevo copy
Formato trabajos nuevo copyYinaGarzon
 
Formato trabajos nuevo copy
Formato trabajos nuevo copyFormato trabajos nuevo copy
Formato trabajos nuevo copyYinaGarzon
 

Más contenido relacionado

La actualidad más candente

Iptables
IptablesIptables
Iptablescercer
 
Herramientas de detección de vulnerabilidades-NESSUS
Herramientas de detección de vulnerabilidades-NESSUSHerramientas de detección de vulnerabilidades-NESSUS
Herramientas de detección de vulnerabilidades-NESSUSseguridadelinux
 
Sistema de-maquina-virtual
Sistema de-maquina-virtualSistema de-maquina-virtual
Sistema de-maquina-virtualkerlly villon
 
Creacion de una red wan en cisco packet tracer
Creacion de una red wan en cisco packet tracerCreacion de una red wan en cisco packet tracer
Creacion de una red wan en cisco packet tracerJenny Lophezz
 
Caracteristicas de un vtp
Caracteristicas de un vtpCaracteristicas de un vtp
Caracteristicas de un vtpErika Vazquez
 
Firewall (Corta Fuegos)
Firewall (Corta Fuegos)Firewall (Corta Fuegos)
Firewall (Corta Fuegos)Charxavier_00
 
IMPLEMENTACIÓN DE RED LAN
IMPLEMENTACIÓN DE RED LANIMPLEMENTACIÓN DE RED LAN
IMPLEMENTACIÓN DE RED LANANTONIO
 
Fundamentos de red: 9. Ethernet
Fundamentos de red: 9. EthernetFundamentos de red: 9. Ethernet
Fundamentos de red: 9. EthernetFrancesc Perez
 
Plan de pruebas de software
Plan de pruebas de softwarePlan de pruebas de software
Plan de pruebas de softwareEdgardo Rojas
 
Como realizar una red lan básica con packet tracer
Como realizar una red lan básica con packet tracerComo realizar una red lan básica con packet tracer
Como realizar una red lan básica con packet tracerJenny Lophezz
 
Configuracion y administracion del espacio en disco
Configuracion y administracion del espacio en disco Configuracion y administracion del espacio en disco
Configuracion y administracion del espacio en discoYael_21
 
Conoce todo sobre la zona desmilitarizada (DMZ)
Conoce todo sobre la zona desmilitarizada (DMZ)Conoce todo sobre la zona desmilitarizada (DMZ)
Conoce todo sobre la zona desmilitarizada (DMZ)Supra Networks
 
6.2.2.5 lab configuring i pv4 static and default routes
6.2.2.5 lab configuring i pv4 static and default routes6.2.2.5 lab configuring i pv4 static and default routes
6.2.2.5 lab configuring i pv4 static and default routesDaniela Centeno
 

La actualidad más candente (20)

Iptables
IptablesIptables
Iptables
 
Seguridad en redes
Seguridad en redesSeguridad en redes
Seguridad en redes
 
Herramientas de detección de vulnerabilidades-NESSUS
Herramientas de detección de vulnerabilidades-NESSUSHerramientas de detección de vulnerabilidades-NESSUS
Herramientas de detección de vulnerabilidades-NESSUS
 
Sistema de-maquina-virtual
Sistema de-maquina-virtualSistema de-maquina-virtual
Sistema de-maquina-virtual
 
Creacion de una red wan en cisco packet tracer
Creacion de una red wan en cisco packet tracerCreacion de una red wan en cisco packet tracer
Creacion de una red wan en cisco packet tracer
 
Modelo TSP
Modelo TSPModelo TSP
Modelo TSP
 
Caracteristicas de un vtp
Caracteristicas de un vtpCaracteristicas de un vtp
Caracteristicas de un vtp
 
Firewall (Corta Fuegos)
Firewall (Corta Fuegos)Firewall (Corta Fuegos)
Firewall (Corta Fuegos)
 
IMPLEMENTACIÓN DE RED LAN
IMPLEMENTACIÓN DE RED LANIMPLEMENTACIÓN DE RED LAN
IMPLEMENTACIÓN DE RED LAN
 
Simuladores De Red
Simuladores De Red Simuladores De Red
Simuladores De Red
 
Fundamentos de red: 9. Ethernet
Fundamentos de red: 9. EthernetFundamentos de red: 9. Ethernet
Fundamentos de red: 9. Ethernet
 
Arquitectura de Redes
Arquitectura de RedesArquitectura de Redes
Arquitectura de Redes
 
Analizador de protocolos
Analizador de protocolosAnalizador de protocolos
Analizador de protocolos
 
Plan de pruebas de software
Plan de pruebas de softwarePlan de pruebas de software
Plan de pruebas de software
 
Como realizar una red lan básica con packet tracer
Como realizar una red lan básica con packet tracerComo realizar una red lan básica con packet tracer
Como realizar una red lan básica con packet tracer
 
1.2 Fallas
1.2 Fallas1.2 Fallas
1.2 Fallas
 
Configuracion y administracion del espacio en disco
Configuracion y administracion del espacio en disco Configuracion y administracion del espacio en disco
Configuracion y administracion del espacio en disco
 
Conoce todo sobre la zona desmilitarizada (DMZ)
Conoce todo sobre la zona desmilitarizada (DMZ)Conoce todo sobre la zona desmilitarizada (DMZ)
Conoce todo sobre la zona desmilitarizada (DMZ)
 
6.2.2.5 lab configuring i pv4 static and default routes
6.2.2.5 lab configuring i pv4 static and default routes6.2.2.5 lab configuring i pv4 static and default routes
6.2.2.5 lab configuring i pv4 static and default routes
 
Eliminar una vlan
Eliminar una vlanEliminar una vlan
Eliminar una vlan
 

Similar a Wireshark

Formato trabajos nuevo copy
Formato trabajos nuevo copyFormato trabajos nuevo copy
Formato trabajos nuevo copyYinaGarzon
 
Formato trabajos nuevo copy
Formato trabajos nuevo copyFormato trabajos nuevo copy
Formato trabajos nuevo copyYinaGarzon
 
Tutorial wireshark rev_1
Tutorial wireshark rev_1Tutorial wireshark rev_1
Tutorial wireshark rev_1Rubersy Ramos
 
Tutorial de protocolos udp,tcp,sctp
Tutorial de protocolos udp,tcp,sctpTutorial de protocolos udp,tcp,sctp
Tutorial de protocolos udp,tcp,sctpJavier Acosta Alfaro
 
Informe Evaluacion Trafico
Informe Evaluacion TraficoInforme Evaluacion Trafico
Informe Evaluacion Traficoguest99b32c
 
Informe Evaluacion Trafico
Informe Evaluacion TraficoInforme Evaluacion Trafico
Informe Evaluacion TraficoGuido Pineda
 
How to medidas de desempeño
How to medidas de desempeñoHow to medidas de desempeño
How to medidas de desempeñomiss051
 
P8 servidor dns y dhcp alex
P8 servidor dns y dhcp alex P8 servidor dns y dhcp alex
P8 servidor dns y dhcp alex Alex San Martin
 

Similar a Wireshark (20)

Formato trabajos nuevo copy
Formato trabajos nuevo copyFormato trabajos nuevo copy
Formato trabajos nuevo copy
 
Formato trabajos nuevo copy
Formato trabajos nuevo copyFormato trabajos nuevo copy
Formato trabajos nuevo copy
 
Wireshark1
Wireshark1Wireshark1
Wireshark1
 
Taller wireshark
Taller wiresharkTaller wireshark
Taller wireshark
 
Sesión 2.- Monitor de red y ARP.pdf
Sesión 2.- Monitor de red y ARP.pdfSesión 2.- Monitor de red y ARP.pdf
Sesión 2.- Monitor de red y ARP.pdf
 
Practica 3 analizador de tráfico
Practica 3 analizador de tráficoPractica 3 analizador de tráfico
Practica 3 analizador de tráfico
 
Tutorial wireshark rev_1
Tutorial wireshark rev_1Tutorial wireshark rev_1
Tutorial wireshark rev_1
 
Tutorial de protocolos udp,tcp,sctp
Tutorial de protocolos udp,tcp,sctpTutorial de protocolos udp,tcp,sctp
Tutorial de protocolos udp,tcp,sctp
 
wireshark
wiresharkwireshark
wireshark
 
Wireshark
WiresharkWireshark
Wireshark
 
Informe Evaluacion Trafico
Informe Evaluacion TraficoInforme Evaluacion Trafico
Informe Evaluacion Trafico
 
Informe Evaluacion Trafico
Informe Evaluacion TraficoInforme Evaluacion Trafico
Informe Evaluacion Trafico
 
How to medidas de desempeño
How to medidas de desempeñoHow to medidas de desempeño
How to medidas de desempeño
 
P8 servidor dns y dhcp alex
P8 servidor dns y dhcp alex P8 servidor dns y dhcp alex
P8 servidor dns y dhcp alex
 
Taller
TallerTaller
Taller
 
CvTrafficCounter
CvTrafficCounterCvTrafficCounter
CvTrafficCounter
 
Curso Redes Linex 5
Curso Redes Linex 5Curso Redes Linex 5
Curso Redes Linex 5
 
Curso Redes Linex 5
Curso Redes Linex 5Curso Redes Linex 5
Curso Redes Linex 5
 
Unidad iii admon de redes
Unidad iii admon de redesUnidad iii admon de redes
Unidad iii admon de redes
 
3.10 wireshark y ntop
3.10 wireshark y ntop3.10 wireshark y ntop
3.10 wireshark y ntop
 

Wireshark

  • 1. Actividad Wireshark Julián Andrés Ruiz Castañeda Santiago Cadavid Gómez CESGE SENA (Servicio Nacional de Aprendizaje) Medellín 2013
  • 2. Actividad Wireshark Sniffers Julián Andrés Ruiz Castañeda Santiago Cadavid Gómez Tecnología en administración de redes Julián Ciro Ramírez Centro de servicios y gestión empresarial SENA (Servicio nacional de aprendizaje) Medellín 2013
  • 3. Contenido Introducción 4 TAREAS BÁSICAS 5 Características de los tres paneles de Wireshark. 5 Métodos para escoger la interfaz de red 5 Visualización de los paneles en Wireshark 7 Configurar la columna de tiempo en el panel de lista de paquetes 8 Guardar capturas de manera Cíclica (que se mantengan solo los 10 últimos archivos) 9 Filtros 10 Filtro de Visualización y filtro de captura 10 Filtros de visualización 11 Estadísticas y análisis de flujos 12 Capturas de tráfico de 4 servidores Web 12 Diagrama de flujo de las conversaciones establecidas en el numeral anterior 15 Análisis gráfico del tráfico generado en el anterior numeral, usando la opción I/O Graphs, en el menú “Statistics” 15 Uso de la opción “Follow TCP Stream” 16 ANÁLISIS DE PROTOCOLOS DE APLICACIÓN 17 Trafico HTTP 17 Trafico FTP 18 Trafico DHCP 19 MANEJO DE OTRAS HERRAMIENTAS Y RECURSOS 20 Tcpdump/Windump 20 SPAN y RSPAN (Port mirroring) 20 Otras Aplicaciones que cumple la función de Sniffer 21 Consulta adicional 22 Conclusiones 23 Cibergrafía 24
  • 4. Introducción En el siguiente trabajo, podemos analizar y comprender los distintos modos que hay para analizar tráfico de red por medio de Sniffers, en este caso Wireshark (uno de los más usados) y también se puede comprender el proceso en el cual se establecen distintas conexiones con servidores, usando distintos protocolos de internet que hay en la actualidad. Esto se lograra por medio de capturas de tráfico usando un Sniffer y pantallazos que nos suministrara una forma más accesible de entender estos procesos. Además podremos observar otros métodos y otros programas de captura de tráfico de red con sus distintas características y precios.
  • 5. TAREAS BÁSICAS Características de los tres paneles de Wireshark. El panel 1 nos muestra la lista de paquetes que están pasando por la interfaz de red en tiempo real. El panel 2 nos muestra los detalles de cualquier paquete que seleccionemos en la lista de paquetes (panel 1) El panel 3 nos muestra de una forma más detallada en lenguaje de maquina (hexadecimal) los detalles del panel 2. Métodos para escoger la interfaz de red Para seleccionar la interfaz de red que queremos monitorear, debemos seleccionar el primer icono a la izquierda en la siguiente gráfica. Otra forma de seleccionar una interfaz para monitorearla, es seleccionando la
  • 6. opción capture y en el despegable seleccionar interfaces. Otra manera es presionando Ctrl+i. Otra forma es dirigiéndose al icono donde se encuentra el cursor, luego cuando nos abra la ventana de preferencias seleccionamos capture y le damos click al despegable y seleccionamos la interfaz deseada.
  • 7. Visualización de los paneles en Wireshark Para modificar la forma u orden de los paneles vamos al icono de preferencias (donde está el cursor), en la ventana emergente seleccionamos layout, luego podremos seleccionar la plantilla que deseamos utilizar para nuestros paneles, también podemos seleccionar la ubicación de cada uno de los paneles, damos aplicar y aceptar. Acá podemos ver como quedaron modificados nuestros paneles.
  • 8. Configurar la columna de tiempo en el panel de lista de paquetes Para que en la columna de tiempo aparezca la hora y el día exacto en que el paquete pasa por la interfaz, vamos a view y seleccionamos time display format y luego seleccionamos la opción que nos mostrará el día y la fecha actual. Para hacerlo de una forma más rápida, presionamos Ctrl+Alt+1. Acá podemos ver cómo cambio la configuración de la hora.
  • 9. Guardar capturas de manera Cíclica (que se mantengan solo los 10 últimos archivos) Vamos a captura en la ventana desplegable seleccionamos opciones, y luego chuleamos use múltiple files, luego también chuleamos next file every que nos indicara cuanto debe pesar cada archivo, y también chuleamos ring buffer with que nos indica cada cuantos archivos se renueva la información guardada. Luego podemos ver los archivos guardados en la carpeta que le asignamos en el campo file.
  • 10. Filtros Filtro de Visualización y filtro de captura El filtro de captura nos permite seleccionar que entre solo un tipo de paquete El filtro de visualización nos permite seleccionar que paquete en específico queremos ver en el panel.
  • 11. Filtros de visualización 1. Dirección IP de origen. Vamos al filtro de visualización y digitamos ip.src == (IP origen que queremos filtrar) 2. Dirección MAC de destino. Digitar en el campo de filtro de visualización eth.dst 3. Tráfico TCP que use el puerto 443. Vamos al filtro de visualización y escribimos tcp.port == 443 y dar clic en apply 4. Tráfico ARP. En filtro de visualización digitar arp y aplicar 5. Tráfico DNS.
  • 12. Ir al acampo filtro de visualización y digitar dns y aplicar Estadísticas y análisis de flujos Capturas de tráfico de 4 servidores Web www.Google.com
  • 14. www.facebook.com Según las imágenes la conversación que más tráfico generó fue con youtube.com por ser un servidor de videos que se actualiza constantemente.
  • 15. Diagrama de flujo de las conversaciones establecidas en el numeral anterior Como podemos ver en la anterior imagen se puede generar el diagrama de flujo mediante el menú “Statistics” y seleccionando la opción “Flow Graph” Saldrá el recuadro que observamos al lado izquierdo del Diagrama de flujo, allí podemos seleccionar que flujo analizar y con qué paquetes, el diagrama de flujo analiza con detalle la comunicación que se ha establecido con el servidor, además podemos observar la comunicación a través de señales de bits (ACK, Sync…) que son señales que establecen una conexión en el protocolo “TCP”. Análisis gráfico del tráfico generado en el anterior numeral, usando la opción I/O Graphs, en el menú “Statistics”
  • 16. En el anterior Grafico podemos observar Gráficamente el tráfico que generó el acceso a los servidores web. Esto se logra ingresando por el menú de opciones “Statistics” y dando clic en la opción “IO graphs” luego seleccionamos en la ventana emergente el filtro que queremos que nos muestre el grafico Uso de la opción “Follow TCP Stream” “Follow TCP Stream” nos brinda la opción de ver un poco más que lleva el paquete que hemos seleccionado y previamente, nos muestra detalles de lo que va escrito en el mensaje o paquete que se está transmitiendo entre el servidor y nuestro equipo.
  • 17. ANÁLISIS DE PROTOCOLOS DE APLICACIÓN Trafico HTTP Se logra observar cómo se registra la solicitud de conexión que capturó Wireshark y nos muestra las flags (ASK, SYNC, FIN…) que se establecen cuando hacemos una petición al servidor ya sea de conexión o de petición de datos, en el https se pudo establecer conexión pero al intentar pedir el html no arroja información alguna y tampoco deja escribir el comando para generar esta petición.
  • 18. Trafico FTP Se estableció conexión con el servidor de Debian, como lo podemos ver en la imagen, podemos observar cómo nos pidió usuario y contraseña a la cual se pudo acceder ingresando ftp como usuario y contraseña. En Wireshark podemos observar la comunicación que obtuvimos al ingresar en el servidor cuando ingresamos un comando y cuando ingresamos información, también podemos ver la respuesta del servidor cuando vamos a salir, se puedo lograr captar correctamente la información de los datos que ingresamos (contraseña y usuario) y el comportamiento que tuvo el servidor al ingresar un comando incorrecto y un comando correcto.
  • 19. Trafico DHCP En el siguiente Grafico observamos el proceso para liberar una IP en un computador, al igual observamos el comportamiento que genera en el tráfico de Red con el programa Wireshark, se puede observar que aparece el comando que hemos ingresado para liberar la IP del equipo y la respuesta que obtuvimos al hacerlo, al igual se puede observar como actúa el DHCP al hacerle la petición de una nueva IP, Mandando una respuesta y luego vemos como finaliza con ACK (acuse de recibido) confirmando que el proceso ha sido efectuado.
  • 20. MANEJO DE OTRAS HERRAMIENTAS Y RECURSOS Tcpdump/Windump Como se puede observar en la imagen este es otro método de captura de trafico de un interfaz de red al cual se puede acceder descargando el archivo “Windump” en Windows y guardarlo en la carpeta del sistema operativo (Windows) en Linux- Ubuntu no es necesario descargarlo allí se ejecuta el comando tcpdump y obtendremos similar resultado. En esta imagen se observa el redireccionamiento de la captura hacia un archivo de texto (.txt) al cual accederemos como se muestra en la imagen. SPAN y RSPAN (Port mirroring) Switch Port Analyzer Network (SPAN) La duplicación de puertos es un método de supervisión del tráfico de red. Con la duplicación de puertos habilitada, el conmutador envía una copia de todos los paquetes de red se ven en un puerto (o toda una VLAN) a otro puerto, donde se encuentra el paquete de análisis. Ingenieros o administradores de red utilizan la duplicación de puertos para analizar y depurar datos o diagnosticar errores en una red. Ayuda a que el administrador mantenga una estrecha vigilancia sobre el desempeño de la red y le alertará cuando se producen problemas. Se puede utilizar para duplicar el tráfico entrante o saliente (o ambos) en las interfaces simples o múltiples. Remote Switch Port Analyzer Network (RSPAN) Apoya puertos de origen, VLAN
  • 21. de origen, de destino y los puertos en los diferentes switches (o pilas de diferentes interruptores), lo que permite el control remoto de múltiples switches en la red. Cambiar el tráfico para cada RSPAN sesión se realiza a través de una VLAN especificada por el usuario RSPAN que está dedicado para esa sesión RSPAN en todos los interruptores de participantes. El tráfico RSPAN de los puertos de origen o VLAN se copia en la VLAN RSPAN y enviado a través de puertos de enlace troncal de la VLAN RSPAN llevan a una sesión de seguimiento del destino VLAN RSPAN. Cada interruptor de la fuente RSPAN debe tener puertos o VLAN como fuentes RSPAN. El destino es siempre un puerto físico Otras Aplicaciones que cumple la función de Sniffer Microsoft Network Monitor. Microsoft Network Monitor es un analizador de paquetes de red gratuito y funciona en PCs Windows. Proporciona capacidad de la red de expertos para ver todo el tráfico de red en tiempo real en una intuitiva interfaz gráfica de usuario. Mientras tanto, puede capturar y ver información de la red más de 300 públicos, propiedad de Microsoft y los protocolos de red, incluyendo los paquetes de red inalámbrica. Capsa packet Sniffer Capsa es un analizador de red de paquetes es un software gratuito para los administradores de red para supervisar, diagnosticar y solucionar sus network.The paquete gratis de la red la versión del analizador viene con toneladas de características, y es lo suficientemente buena para uso doméstico, así como su uso en la pequeña empresa. InnoNWSniffer El InnoNWSniffer nombre es sinónimo de Inno Network Sniffer. La aplicación fue desarrollada para ser un pequeño escáner de propiedad intelectual similar a la de redes Sniffer. Puede escanear en vivo IP pública y escanear cualquier ordenador de la LAN. Más sobre el mismo puede dar una información detallada del sistema.
  • 22. Consulta adicional GET Pide una representación del recurso especificado. Por seguridad no debería ser usado por aplicaciones que causen efectos ya que transmite información a través de la URL agregando parámetros a la URL. Ejemplo: GET /images/logo.png HTTP/1.1 obtiene un recurso llamado logo.png Ejemplo con parámetros: /index.php?page=main&lang=es POST Somete los datos a que sean procesados para el recurso identificado. Los datos se incluirán en el cuerpo de la petición. Esto puede resultar en la creación de un nuevo recurso o de las actualizaciones de los recursos existentes o ambas cosas.
  • 23. Conclusiones 1. Los Sniffers son herramienta fundamental para un administrador de red pues le brinda la posibilidad y facilidad de analizar información de gran importancia a la hora de reparar una red. 2. Los programas de captura de tráfico de red no son los únicos que pueden hacer capturas de red, pues también hay métodos que están accesibles desde la consola de comando de nuestro equipo. 3. Wireshark nos ofrece una completa accesibilidad, mediante sus herramientas y su buen uso, lo que nos permite conocer un poco más sobre los distintos procesos que hay en los protocolos de red y las distintas conexiones que se establecen y pasan por nuestra NIC.