técnicas y herramientas de ataque a redes...
Post on 31-Jan-2018
233 Views
Preview:
TRANSCRIPT
Técnicas y Herramientas de Ataque a Redes TCP/IP
Analizador de red Wireshark
Analizador de red Wireshark
Introducción
Wireshark , antes conocido como Ethereal, es un sniffer que se compone de un gran número de utilidades, capaz de analizar múltiples protocolos, de sea uno de los sniffers más conocidos en el mercado. Es utilizado por muchas empresas, incluso instituciones educacionales como universidades, institutos, etc. El programa es gratuito, ya que es un software de código abierto desarrollado por un equipo internacional de expertos en redes.
El cambio de nombre, pasando de llamarse Ethereal a llamarse Wireshark, fue debido a diferencias entre los fundadores de Ethereal y diversos problemas con los derechos sobre la marca.
Para comenzar a utilizarlo, lo pdel programa de la web oficial:
Una vez descargado el ejecutable no tenemos más que instalarlo haciendo doble clic sobre el mismo al más puro estilo Windows e ir siguiendo las indicaciones del instalador. En el mismo proceso de intalación de Wireshark nos da la opción de instalar la librería WinPcap, que es necesaria para el funcionamiento del sniffer. Habrá que instalarla si no se ha hecho previamente a través de alguna otra aplic
Técnicas y Herramientas de Ataque a Redes TCP/IP
Analizador de red Wireshark
, antes conocido como Ethereal, es un sniffer que se compone de un gran número de utilidades, capaz de analizar múltiples protocolos, de sea uno de los sniffers más conocidos en el mercado. Es utilizado por muchas empresas, incluso instituciones educacionales como universidades, institutos, etc. El programa es gratuito, ya que es un software de código abierto
ipo internacional de expertos en redes.
El cambio de nombre, pasando de llamarse Ethereal a llamarse Wireshark, fue debido a diferencias entre los fundadores de Ethereal y diversos problemas con los derechos sobre la marca.
Para comenzar a utilizarlo, lo primero es descargarse la última versión gratuita del programa de la web oficial: http://www.wireshark.org
Una vez descargado el ejecutable no tenemos más que instalarlo haciendo sobre el mismo al más puro estilo Windows e ir siguiendo las
del instalador. En el mismo proceso de intalación de Wireshark nos da la opción de instalar la librería WinPcap, que es necesaria para el funcionamiento del sniffer. Habrá que instalarla si no se ha hecho previamente a través de alguna otra aplicación.
Figura 1. Instalación de WinPcap
1
, antes conocido como Ethereal, es un sniffer que se compone de un gran número de utilidades, capaz de analizar múltiples protocolos, de ahí que sea uno de los sniffers más conocidos en el mercado. Es utilizado por muchas empresas, incluso instituciones educacionales como universidades, institutos, etc. El programa es gratuito, ya que es un software de código abierto
El cambio de nombre, pasando de llamarse Ethereal a llamarse Wireshark, fue debido a diferencias entre los fundadores de Ethereal y diversos problemas con
rimero es descargarse la última versión gratuita
Una vez descargado el ejecutable no tenemos más que instalarlo haciendo sobre el mismo al más puro estilo Windows e ir siguiendo las
del instalador. En el mismo proceso de intalación de Wireshark se nos da la opción de instalar la librería WinPcap, que es necesaria para el funcionamiento del sniffer. Habrá que instalarla si no se ha hecho previamente
Técnicas y Herramientas de Ataque a Redes TCP/IP
Analizador de red Wireshark
Terminada la instalación, ya estamos listos para comenzar a utilizar el programa. El último paso será ejecutar el sniffer.
Figura 2. Ejecución de Wireshar
Captura de paquetes con
Una de las principales ventajas de este sniffer se basa en su interfaz. Muchos de los sniffers que hay en el mercado son en línea de comandos, lo que hace costoso su aprendizaje, pero Wireshark se compone de una interfaz amigable y con un alto contenido en usabilidadmanera intuitiva la mayoría de las acciones que deseemos realizar con él.
Para comprender cómo funciona la división por ventanas que hace Wireshark, hagamos una primera captura escogiendo un paquete de tipo TCP, por ejemplo, para ver qué información podemos obtener.
Para comenzar con la capturadeseada que vamos a utilizar. opción Interfaces…, lo que hará que se visualicen todas las adaptadores de red) instaladas en el sistema.
Técnicas y Herramientas de Ataque a Redes TCP/IP
Terminada la instalación, ya estamos listos para comenzar a utilizar el programa. El último paso será ejecutar el sniffer.
Ejecución de Wireshark después de su instalación
aptura de paquetes con Wireshark
principales ventajas de este sniffer se basa en su interfaz. Muchos de los sniffers que hay en el mercado son en línea de comandos, lo que hace costoso su aprendizaje, pero Wireshark se compone de una interfaz amigable y con un alto contenido en usabilidad, es decir, que podemos encontrar de manera intuitiva la mayoría de las acciones que deseemos realizar con él.
Para comprender cómo funciona la división por ventanas que hace Wireshark, hagamos una primera captura escogiendo un paquete de tipo TCP, por
mplo, para ver qué información podemos obtener.
Para comenzar con la captura, el primer paso es seleccionar la interfaz deseada que vamos a utilizar. En el menú Capture, hacemos clic sobre la
, lo que hará que se visualicen todas las adaptadores de red) instaladas en el sistema.
2
Terminada la instalación, ya estamos listos para comenzar a utilizar el
después de su instalación
principales ventajas de este sniffer se basa en su interfaz. Muchos de los sniffers que hay en el mercado son en línea de comandos, lo que hace costoso su aprendizaje, pero Wireshark se compone de una interfaz amigable y
, es decir, que podemos encontrar de manera intuitiva la mayoría de las acciones que deseemos realizar con él.
Para comprender cómo funciona la división por ventanas que hace Wireshark, hagamos una primera captura escogiendo un paquete de tipo TCP, por
el primer paso es seleccionar la interfaz , hacemos clic sobre la
, lo que hará que se visualicen todas las interfaces (o
Técnicas y Herramientas de Ataque a Redes TCP/IP
Analizador de red Wireshark
Figura 3.
Pulsamos el botón Start red local (en el ejemplo de la
Figura 4.
Analizando la Figura 4 , observamos quepaquetes que van entrando y saliendo de la máquina. paquetes capturados con un número de captura (desde que se inició la captura ((Destination ), el protocolo utilizado (información adicional (Info
Técnicas y Herramientas de Ataque a Redes TCP/IP
Figura 3. Selección de la interfaz en Wireshark
junto a la interfaz utilizada para conectarnos a nuestra red local (en el ejemplo de la Figura 3 , Microsoft ).
Figura 4. Captura de paquetes con Wireshark
, observamos que el panel superior nos indicapaquetes que van entrando y saliendo de la máquina. Nos ofrece una lista de
s con un número de captura (No.), el tiempo en segundos desde que se inició la captura (Time ), las direcciones origen (Source
el protocolo utilizado (Protocol ), el tamaño (Info ) de cada paquete.
3
conectarnos a nuestra
superior nos indica los Nos ofrece una lista de
), el tiempo en segundos Source ) y destino
tamaño (Length ) e
Técnicas y Herramientas de Ataque a Redes TCP/IP
Analizador de red Wireshark
En el panel central podemos ver detalladamente la informacpaquete, incluyendo los datos de todas las cabeceras. los distintos niveles de protocolos (
En el panel inferior se nos panel superior en formato hexadecimal y ASCII.
Filtros
Otra de las funciones bastante útiles que nos ofrece este sniffer es la de incorporar filtros a las capturas que realizamos. Podemos realizar filtros de captura o filtros de visualización, teniendo en cuenta que la sintaxis de ambos es diferente. Para estaexpresiones booleanas para establecer preferencias. Los filtros se escriben en minúsculas, por lo que si escribimos TCP la aplicación no entenderá escribir tcp
Filtros de captura
Los filtros de captura debemos definirlos antes de comenzar a capturar paquetes. En la ventana donde escogemos la interfaz deseada, a la que accedemos desde Capturey, a continuación, pulsamos el botón
Figura 5.
Técnicas y Herramientas de Ataque a Redes TCP/IP
central podemos ver detalladamente la informac, incluyendo los datos de todas las cabeceras. Nos permite acceder a
los distintos niveles de protocolos (enlace, red, transporte y aplicación
nos muestra el contenido del paquete seleccionado enrior en formato hexadecimal y ASCII.
Otra de las funciones bastante útiles que nos ofrece este sniffer es la de incorporar filtros a las capturas que realizamos. Podemos realizar filtros de captura o filtros de visualización, teniendo en cuenta que la sintaxis de ambos es diferente. Para establecer varios filtros podemos valernos de las expresiones booleanas and , or y not , pudiendo incluir paréntesis también para establecer preferencias. Los filtros se escriben en minúsculas, por lo que
la aplicación no entenderá la sintaxis, así que debemos
Los filtros de captura debemos definirlos antes de comenzar a capturar paquetes. En la ventana donde escogemos la interfaz deseada, a la que
Capture>Interfaces…, hacemos clic sobre el botón y, a continuación, pulsamos el botón Capture Filter:
Figura 5. Ventana para filtros de captura
4
central podemos ver detalladamente la información para cada Nos permite acceder a
aplicación).
muestra el contenido del paquete seleccionado en el
Otra de las funciones bastante útiles que nos ofrece este sniffer es la de incorporar filtros a las capturas que realizamos. Podemos realizar filtros de captura o filtros de visualización, teniendo en cuenta que la sintaxis de ambos
blecer varios filtros podemos valernos de las , pudiendo incluir paréntesis también
para establecer preferencias. Los filtros se escriben en minúsculas, por lo que así que debemos
Los filtros de captura debemos definirlos antes de comenzar a capturar paquetes. En la ventana donde escogemos la interfaz deseada, a la que
, hacemos clic sobre el botón Options
Técnicas y Herramientas de Ataque a Redes TCP/IP
Analizador de red Wireshark
Se pueden establecer filtros porIP, tramas Ethernet, etc. También es posible combinar filtros, como se comentóanteriormente, mediante el uso de operadores lógicos y paréntesis para indicar la preferencia.
Si quisiéramos, por ejemplo, establecer un filtro para una determinada dirección IP (193.145.138.12) y un puerto en concreto (80), lo crearíamos según la 6.
Figura 6.
Si tras aplicar el filtro navegamos por cualquier página que no sea www.ulpgc.es , observaremos que no se captura ningúnembargo, al acceder a la web especificada, veremos que capturtráfico que intercambiamos con el servidor
Técnicas y Herramientas de Ataque a Redes TCP/IP
Se pueden establecer filtros por segmentos TCP, datagramas UDP, . También es posible combinar filtros, como se comentó
anteriormente, mediante el uso de operadores lógicos y paréntesis para indicar
Si quisiéramos, por ejemplo, establecer un filtro para una determinada dirección IP (193.145.138.12) y un puerto en concreto (80), lo crearíamos según la
Figura 6. Creación de un filtro de captura en Wireshark
Si tras aplicar el filtro navegamos por cualquier página que no sea , observaremos que no se captura ningún
embargo, al acceder a la web especificada, veremos que capturtráfico que intercambiamos con el servidor (Figura 7 ).
5
segmentos TCP, datagramas UDP, paquetes . También es posible combinar filtros, como se comentó
anteriormente, mediante el uso de operadores lógicos y paréntesis para indicar
Si quisiéramos, por ejemplo, establecer un filtro para una determinada dirección IP (193.145.138.12) y un puerto en concreto (80), lo crearíamos según la Figura
Si tras aplicar el filtro navegamos por cualquier página que no sea paquete. Sin
embargo, al acceder a la web especificada, veremos que capturamos todo el
Técnicas y Herramientas de Ataque a Redes TCP/IP
Analizador de red Wireshark
Figura 7. Captura de paquetes en Wireshark con un filtro de captura aplicado
Filtros de visualización
Los filtros de visualización los podemos añadir bien cuando hayamos terminado de capturar paquetes o podemos establecer son exactamente los midiferencia radica en que el sniffer captura todo el tráfico de la red y simplemente nosotros establecemos un f
A la hora de establecer los filtros, tales como igual (==), distinto (igual que (>=) y menor o igual que (de operadores lógicos, tales como Y (
En la ventana principal de Wireshark se encuentra el cuadro de texto para poder especificar el filtro de visualización. Por ejemplo, una vez iniciada la captura de paquetes, indicando la interfaz deseada, podríamos indicar en el cuadro el siguiente filtro:sólo visualizaríamos los paquetes cuyo
Técnicas y Herramientas de Ataque a Redes TCP/IP
Captura de paquetes en Wireshark con un filtro de captura aplicado
Filtros de visualización
Los filtros de visualización los podemos añadir bien cuando hayamos terminado o bien cuando se están capturando. Los filtros que
podemos establecer son exactamente los mismos que los filtros de captura;diferencia radica en que el sniffer captura todo el tráfico de la red y simplemente nosotros establecemos un filtro para ver determinada información.
A la hora de establecer los filtros, podemos incluir operadores de comparación ), distinto (!= ), mayor que (>), menor que (
) y menor o igual que (<=). Además, podemos hacer uso también de operadores lógicos, tales como Y (and - &&), O (or - || ) y NOT (
En la ventana principal de Wireshark se encuentra el cuadro de texto para poder especificar el filtro de visualización. Por ejemplo, una vez iniciada la captura de paquetes, indicando la interfaz deseada, podríamos indicar en el
el siguiente filtro: ip.addr==193.145.138.12 y, a partir de ahora, sólo visualizaríamos los paquetes cuyo origen o destino fuera la máquina con
6
Captura de paquetes en Wireshark con un filtro de captura aplicado
Los filtros de visualización los podemos añadir bien cuando hayamos terminado bien cuando se están capturando. Los filtros que
smos que los filtros de captura; la diferencia radica en que el sniffer captura todo el tráfico de la red y
iltro para ver determinada información.
cluir operadores de comparación ), menor que (<), mayor o
er uso también ) y NOT (not - ! ).
En la ventana principal de Wireshark se encuentra el cuadro de texto para poder especificar el filtro de visualización. Por ejemplo, una vez iniciada la captura de paquetes, indicando la interfaz deseada, podríamos indicar en el
y, a partir de ahora, la máquina con
Técnicas y Herramientas de Ataque a Redes TCP/IP
Analizador de red Wireshark
dirección IP 193.145.138.12, que es donde se Las Palmas de Gran Canaria (observaremos que se capturan los paquetes correspondientes.
Figura 8. Captura de paquetes en Wireshark con un filtro de visualización aplicado
Entre otras, las primitivas utilizadas en
• udp.srcport , para
• tcp.dstport , para especificar el puerto TCP
• ip.src , para especificar la d
• ip.dst , para especificar la dirección IP destino
• ip.addr , para especificar la misma dirección IP origen y destino
Estadísticas y gráficas
Capturar los paquetes es tan sólo la mitad del trabajo. Determinar la causa de un mal funcionamiento o analizar la evidencia en busca del atacante es algo que requiere paciencia y dedicación. Por suerte, Wireshark incluye una serie herramientas que harán
Técnicas y Herramientas de Ataque a Redes TCP/IP
193.145.138.12, que es donde se aloja la web de la Universidad de Las Palmas de Gran Canaria (www.ulpgc.es ). Si nos conectamos a la web, observaremos que se capturan los paquetes correspondientes.
Captura de paquetes en Wireshark con un filtro de visualización aplicado
Entre otras, las primitivas utilizadas en el filtrado de visualización son:
, para especificar el puerto UDP origen
, para especificar el puerto TCP destino
, para especificar la dirección IP origen
, para especificar la dirección IP destino
, para especificar la misma dirección IP origen y destino
Capturar los paquetes es tan sólo la mitad del trabajo. Determinar la causa de un mal funcionamiento o analizar la evidencia en busca del atacante es algo que requiere paciencia y dedicación. Por suerte, Wireshark incluye una serie herramientas que harán nuestra vida mucho más fácil en el momento de
7
la web de la Universidad de ectamos a la web,
Captura de paquetes en Wireshark con un filtro de visualización aplicado
el filtrado de visualización son:
, para especificar la misma dirección IP origen y destino
Capturar los paquetes es tan sólo la mitad del trabajo. Determinar la causa de un mal funcionamiento o analizar la evidencia en busca del atacante es algo que requiere paciencia y dedicación. Por suerte, Wireshark incluye una serie de
vida mucho más fácil en el momento de
Técnicas y Herramientas de Ataque a Redes TCP/IP
Analizador de red Wireshark
analizar los paquetes. Cuando hayamos realizado una captura, Wireshark tiene un menú llamado Statisticsherramientas que se encargarán de anadatos en informes sencillos de interpretar.
Cuando tengamos suficientes paquetes capturados, nos dirigimos a Statistics>Conversationshan tenido las distintas direcciones IP, emparejando todas las sesiones TCP/IP.Se abrirá una nueva ventana que nos presentará la información encontrada y, dependiendo del tipo de tráfico, las pestañas de la ventana se activarán para poder clasificar las comunicaciones según los pordenar las conversaciones por sus atributos.
Figura 9.
Tenemos la opción de guardar la infpinchamos en el botón Copy
Si queremos analizar la informacStatistics>IO Graphs. Con este tipo de gráficos podemos ver en tiempo real el tráfico que se está generando en nuestro host. En el eje X se nos muestra el tiempo en segundos transcurrido desde que realizamos la captura y el número de paquetes capturados.
Técnicas y Herramientas de Ataque a Redes TCP/IP
Cuando hayamos realizado una captura, Wireshark tiene Statistics. Dentro de éste encontraremos una serie de
herramientas que se encargarán de analizar la sesión capturada y resumir los datos en informes sencillos de interpretar.
Cuando tengamos suficientes paquetes capturados, nos dirigimos a Conversations. Esta opción nos resumirá las conversaciones que
direcciones IP, emparejando todas las sesiones TCP/IP.Se abrirá una nueva ventana que nos presentará la información encontrada y, dependiendo del tipo de tráfico, las pestañas de la ventana se activarán para poder clasificar las comunicaciones según los protocolos involucrados y ordenar las conversaciones por sus atributos.
Figura 9. Estadísticas de conversación entre hosts
Tenemos la opción de guardar la información tomada por la estadística si Copy
Si queremos analizar la información de manera gráfica podemos ir a . Con este tipo de gráficos podemos ver en tiempo real el
tráfico que se está generando en nuestro host. En el eje X se nos muestra el tiempo en segundos transcurrido desde que realizamos la captura y el número de paquetes capturados.
8
Cuando hayamos realizado una captura, Wireshark tiene . Dentro de éste encontraremos una serie de
lizar la sesión capturada y resumir los
Cuando tengamos suficientes paquetes capturados, nos dirigimos a . Esta opción nos resumirá las conversaciones que
direcciones IP, emparejando todas las sesiones TCP/IP. Se abrirá una nueva ventana que nos presentará la información encontrada y, dependiendo del tipo de tráfico, las pestañas de la ventana se activarán para
rotocolos involucrados y
rmación tomada por la estadística si
ión de manera gráfica podemos ir a . Con este tipo de gráficos podemos ver en tiempo real el
tráfico que se está generando en nuestro host. En el eje X se nos muestra el tiempo en segundos transcurrido desde que realizamos la captura y en el eje Y,
Técnicas y Herramientas de Ataque a Redes TCP/IP
Analizador de red Wireshark
Al igual que con la estadística guardar el gráfico pulsando el botón
Otra gráfica interesante es el grStatistics>Flow Graph…TCP, con sus correspondientes ACK, y el tiempo de propagación que hay entre los diferentes paquetes que se mandan. Este tipo de gráficos es muinteresante a nivel didáctico, ya que podemos ver claramente cómo se mandan los ACK de confirmación por los características de los protocolos.
Técnicas y Herramientas de Ataque a Redes TCP/IP
Figura 10. IO Graphs con Wireshark
l igual que con la estadística Conversations, tenemos la posibilidad de gráfico pulsando el botón Save
Otra gráfica interesante es el gráfico de flujo, que podemos escoger en Flow Graph… Con este gráfico podemos ver el flujo de conexiones
TCP, con sus correspondientes ACK, y el tiempo de propagación que hay entre los diferentes paquetes que se mandan. Este tipo de gráficos es muinteresante a nivel didáctico, ya que podemos ver claramente cómo se mandan los ACK de confirmación por los paquetes de datos enviados y otras características de los protocolos.
9
, tenemos la posibilidad de
áfico de flujo, que podemos escoger en Con este gráfico podemos ver el flujo de conexiones
TCP, con sus correspondientes ACK, y el tiempo de propagación que hay entre los diferentes paquetes que se mandan. Este tipo de gráficos es muy interesante a nivel didáctico, ya que podemos ver claramente cómo se mandan
de datos enviados y otras
Técnicas y Herramientas de Ataque a Redes TCP/IP
Analizador de red Wireshark
Experimentación
Protocolo ICMP
Este protocolo (Internet Control Message ProtocolControl de Internet) se emplea para comprobar el estado de las redes. Su funcionamiento básico consiste en enviar un paquete de datos destinado a una determinada dirección IP y ena dicho paquete. Se emplea para ver siordenador desde el que se emite el comando y eldirección IP indicada en el comando
Para analizar la estructura de este protocolo con Wirespasos que se indican a continuación:
1. Inicia la captura de paquetes2. Abre una ventana de línea de comandos3. Ejecuta el comando 4. Cuando termine la ejecución del comando
paquetes 5. Examina los paquetes capturados en los paneles de la ventana
de Wireshark. Como no has activado ni de visualización,
Técnicas y Herramientas de Ataque a Redes TCP/IP
Figura 11. Flow Graph en Wireshark
Internet Control Message Protocol – Protocolo de Mensajes de de Internet) se emplea para comprobar el estado de las redes. Su
consiste en enviar un paquete de datos destinado a una determinada dirección IP y en ver el tiempo que tarda en recibirse la respuesta a dicho paquete. Se emplea para ver si existe conectividad de red entre el ordenador desde el que se emite el comando y el ordenador con el nombre o la dirección IP indicada en el comando.
tura de este protocolo con Wireshark, vaque se indican a continuación:
Inicia la captura de paquetes una ventana de línea de comandos (Símbolo del sistema)
l comando ping rediris.es en la ventana anteriorCuando termine la ejecución del comando ping , detén la captura de
os paquetes capturados en los paneles de la ventanaComo no has activado ningún tipo de filtro, ni de
ni de visualización, además de los paquetes que te interesa analizar, en
10
Protocolo de Mensajes de de Internet) se emplea para comprobar el estado de las redes. Su
consiste en enviar un paquete de datos destinado a una el tiempo que tarda en recibirse la respuesta
existe conectividad de red entre el ordenador con el nombre o la
hark, vas a seguir los
(Símbolo del sistema) en la ventana anterior
én la captura de
os paquetes capturados en los paneles de la ventana principal ningún tipo de filtro, ni de captura
interesa analizar, en
Técnicas y Herramientas de Ataque a Redes TCP/IP
Analizador de red Wireshark
el panel superior análisis, es recomendable aplicar un filtro de aparezcan los paquetes deen el cuadro de texto junto a bien, al aplicar el filtro deberán aparecer 8 paquetes, 4 de elloscorrespondientes a las solicitudes (request) y los otros 4 correspondientes a las
Es posible que, aún con el filtro de protocolo, en el panel más paquetes de los que teotros compañeros están ejcapturando también elprotocolo, aparecerá igualmente en elver únicamente los datos enviados o recibidos pordos alternativas:
a. desactivar el modo (Capture>Interfaces…desmarcar la opción
b. modificar el filtro de filtrar tambiénip.addr==
Protocolo HTTP Este protocolo es el empleado para acceder a páginas web a través de Internet. En esta práctica no vamos a entrar en los detalles de su funcionamiento, pero nos va a servirmás interesantes de Wires
Como en el caso de ICMP, para analizar la estrucWireshark vas a seguir los pasos que se indican a continuación:
1. Inicia la captura de paquetes2. Lanza un navegador web3. Cuando termine la carga de la página, det4. Examina los paquetes capturados en los paneles de la ventana
de Wireshark. También en este caso debevisualización para que aparezcaninteresa analizar. La expresión del filtro deberá ser
Wireshark ofrece una funcionalidad que facilita la creación de la expresión del filtro si,únicamente los datos de una sesiónuna página web). Para utilizar esta funcionalidad
Técnicas y Herramientas de Ataque a Redes TCP/IP
superior aparecerán bastantes paquetes más. Para facilitar el análisis, es recomendable aplicar un filtro de visualización aparezcan los paquetes del protocolo utilizado. Para ello,
uadro de texto junto a Filter: y pulsa el botón Apply. bien, al aplicar el filtro deberán aparecer 8 paquetes, 4 de elloscorrespondientes a las solicitudes (request) y los otros 4 correspondientes a las respuestas (reply).
e que, aún con el filtro de protocolo, en el panel más paquetes de los que te interesa. Se deberá, probablemente, a que
compañeros están ejecutando la misma prueba y Wirescapturando también el tráfico que envían, que al corresponder al mismo
aparecerá igualmente en el panel. Para evitar este problema y ver únicamente los datos enviados o recibidos por tu ordenador t
var el modo promiscuo antes de hacer la captura Interfaces…, botón Options de la interfaz de red,
desmarcar la opción Capture packets in promiscuousodificar el filtro de visualización añadiéndole la condición de
filtrar también por dirección IP, de la siguiente manera: ip.addr== tu_dirección_IP
Este protocolo es el empleado para acceder a páginas web a través de práctica no vamos a entrar en los detalles de su
funcionamiento, pero nos va a servir para probar una de las funcionalmás interesantes de Wireshark: el seguimiento de un flujo TCP.
Como en el caso de ICMP, para analizar la estructura de este protocolo con a seguir los pasos que se indican a continuación:
Inicia la captura de paquetes Lanza un navegador web y accede a la página www.ulpgc.es
Cuando termine la carga de la página, detén la captura de paquetesExamina los paquetes capturados en los paneles de la ventana
También en este caso debes aplicar un filtro de para que aparezcan únicamente los paquetes que
interesa analizar. La expresión del filtro deberá ser: tcp
hark ofrece una funcionalidad que facilita la creación de la expresión del filtro si, como ocurre en este caso, quieres únicamente los datos de una sesión TCP (concretamente, el acceso a una página web). Para utilizar esta funcionalidad debes identificar algún
11
Para facilitar el visualización para que sólo
l protocolo utilizado. Para ello, escribe icmp . Si todo ha ido
bien, al aplicar el filtro deberán aparecer 8 paquetes, 4 de ellos correspondientes a las solicitudes (request) y los otros 4
e que, aún con el filtro de protocolo, en el panel superior veas interesa. Se deberá, probablemente, a que
ecutando la misma prueba y Wireshark está ponder al mismo
Para evitar este problema y ordenador tienes
antes de hacer la captura de la interfaz de red,
Capture packets in promiscuous mode) añadiéndole la condición de
por dirección IP, de la siguiente manera: icmp and
Este protocolo es el empleado para acceder a páginas web a través de práctica no vamos a entrar en los detalles de su
para probar una de las funcionalidades
tura de este protocolo con
www.ulpgc.es én la captura de paquetes
Examina los paquetes capturados en los paneles de la ventana principal aplicar un filtro de
los paquetes que te
hark ofrece una funcionalidad que facilita la creación de la que aparezcan
P (concretamente, el acceso a identificar algún
Técnicas y Herramientas de Ataque a Redes TCP/IP
Analizador de red Wireshark
paquete perteneciente a la sesión que porque la dirección IP de origen debe ser la de TCP de destino debe ser el 80, el habitual en la mayor parte de los servidores web desesión, bastará con pulsar con el botón derechopanel superior y seleccionar la opción además de crearse la expresión del filtrojunto a Filter:, aparecerá una ventana adicional en latodo el contenido de la sesión TCP correspondientepuedes seleccionar ver toda lanavegador web (cuyas peticiones se muestran en color rojo) y el servidor web (cuyas respuestas se muestran en color azul) o ver únicamente las peticiones del cliente
Bibliografía
Jimeno García, M.T.; Míguez Pérez, C.; Heredia Soler, E.; Caballero Velasco, M.A.: “Destripa la Red. Edición 2011
García-Moran, J.P.; Fernández Hansen, Y.; Martínez Sánchez, R.; Ochoa Martín, Ángel; Ramos Varón, A.A.: 2011”. Ra-Ma. 2011
Técnicas y Herramientas de Ataque a Redes TCP/IP
paquete perteneciente a la sesión que te ocupa, fácilmenteporque la dirección IP de origen debe ser la de tu ordenador y el puerto
estino debe ser el 80, el habitual en la mayor parte de los servidores web de Internet. Una vez localizado algún paquete de la sesión, bastará con pulsar con el botón derecho del ratón sobre él en el
seleccionar la opción Follow TCP Streamademás de crearse la expresión del filtro adecuada en el cuadro de texto
aparecerá una ventana adicional en la que se mostrará todo el contenido de la sesión TCP correspondiente. En esta ventana
seleccionar ver toda la conversación que ha tenido lugar entrenavegador web (cuyas peticiones se muestran en color rojo) y el servidor
(cuyas respuestas se muestran en color azul) o ver únicamente las peticiones del cliente o ver únicamente las respuestas del
Jimeno García, M.T.; Míguez Pérez, C.; Heredia Soler, E.; Caballero Velasco, Destripa la Red. Edición 2011 ”. ANAYA MULTIMEDIA. 2011
Moran, J.P.; Fernández Hansen, Y.; Martínez Sánchez, R.; Ochoa Martín, Ángel; Ramos Varón, A.A.: “Hacking y Seguridad en Internet. Edición
12
ocupa, fácilmente localizable ordenador y el puerto
estino debe ser el 80, el habitual en la mayor parte de los Una vez localizado algún paquete de la
del ratón sobre él en el Follow TCP Stream. Al hacerlo,
cuadro de texto que se mostrará En esta ventana
conversación que ha tenido lugar entre tu navegador web (cuyas peticiones se muestran en color rojo) y el servidor
(cuyas respuestas se muestran en color azul) o ver únicamente las las respuestas del servidor.
Jimeno García, M.T.; Míguez Pérez, C.; Heredia Soler, E.; Caballero Velasco, ”. ANAYA MULTIMEDIA. 2011
Moran, J.P.; Fernández Hansen, Y.; Martínez Sánchez, R.; Ochoa Hacking y Seguridad en Internet. Edición
top related