reporte practica 1 laboratorio de redes

6
Redes de Telecomunicaciones Practica de laboratorio 1 Soto Hernández Christian Programa wireshark El programa wireshark es un analizador de paquetes que entran y/o salen de la computadora por alguno de sus puertos, para esta practica se analizaran los paquetes del puerto de red Ethernet. Para poder utilizar el programa se debe hacer desde la linea de comandos y así poder tener derechos de administrador, la instrucción es la siguiente: sudo wireshark Para comenzar a capturar datos del puerto de red se debe realizar los siguientes pasos: 1-ir al menú en la parte superior y entrar a la sección "capture" 2-dentro de el pequeño submenu seleccionar la opción "options" 3-en la nueva ventana seleccionar el grupo de opciones "interfaces" 4-seleccionar la opción "eth2" Su contenido se muestra en 3 ventanas: La ventana superior es la ventana de paquetes, en esta ventana se muestran todos los paquetes de

Upload: christian-soto

Post on 24-Jun-2015

162 views

Category:

Documents


4 download

DESCRIPTION

uso del programa wireshark para analizar paquetes que entran por alguna interfaz

TRANSCRIPT

Page 1: reporte practica 1 laboratorio de redes

Redes de TelecomunicacionesPractica de laboratorio 1

Soto Hernández Christian

Programa wireshark

El programa wireshark es un analizador de paquetes que entran y/o salen de la computadora por alguno de sus puertos, para esta practica se analizaran los paquetes del puerto de red Ethernet.

Para poder utilizar el programa se debe hacer desde la linea de comandos y así poder tener derechos de administrador, la instrucción es la siguiente: sudo wireshark

Para comenzar a capturar datos del puerto de red se debe realizar los siguientes pasos:

1-ir al menú en la parte superior y entrar a la sección "capture"2-dentro de el pequeño submenu seleccionar la opción "options"3-en la nueva ventana seleccionar el grupo de opciones "interfaces"4-seleccionar la opción "eth2"

Su contenido se muestra en 3 ventanas:

La ventana superior es la ventana de paquetes, en esta ventana se muestran todos los paquetes de

Page 2: reporte practica 1 laboratorio de redes

información que entran y salen por un puerto.

La ventana de en medio es una ventana de subcampos de los paquetes, en esta ventana se observan unas estructuras con etiquetas que corresponden a la información contenida dentro del paquete seleccionado en la ventana de paquetes,.

La ventana inferior es la ventana hexadecimal, en esta ventana se observa el paquete seleccionado en la ventana de paquetes en forma de archivo hexadecimal, y a la derecha dentro de esa ventana se ve el archivo decodificado en ASCII.

Una vez que se han comenzado a capturar datos, en la ventana de paquetes (de ahora en adelante denominada VP) se observaran una serie de mensajes ordenados de forma cronológica, cada uno representa un paquete y tienen un color asignado para que sea mas fácil identificar los diferentes tipos de paquetes.

En esta ocasión se analizaran los paquetes relacionados con una consulta web y una solicitud al servidor DNS mediante el comando ping.

Comenzamos con la solicitud web, abrimos el navegador web y escribimos la dirección de la pagina a la que se desea ir entrar en la barra de direcciones y presionamos ir; regresamos a la aplicación wireshark y en la VP buscamos un paquete que use el protocolo HTTP, y en info diga GET/HTTP/1.1, para que sea mas fácil encontrarlo, podemos usar un filtro, debajo de la barra de herramientas escribimos Http en el campo vacío y presionamos Apply.

Una vez encontrado y seleccionado el paquete en la VP procedemos a observar su contenido en la ventana de subcampos de paquetes (de ahora en adelante llamada VSP), la información se muestra como estructuras expansibles al dar clicen el signo +, la primer estructura nombrada “Frame N” donde n es el número de paquete encontrado, aquí se encuentra información técnica respecto al mismo paquete, como tamaño, protocolo, puerto y fecha.

La segunda estructura debe llamarse “Ethernet” en esta se encuentra información sobre las direcciones MAC de origen y destino.

La siguiente estructura llamada “Internet Protocol”, en esta encontramos la versión de IP que se usa, origen, destino, el valor de los bit banderas de control, y cheksum una suma de control para asegurar que el paquete llego sin errores.

Page 3: reporte practica 1 laboratorio de redes

La siguiente estructura se llama “Transmisión Control Protocol”, aquí se encuentra información sobre el puerto origen y destino, además de otros bits bandera y cheksum.La ultima estructura llamada “Hypertext Transerf Protocol”, esta corresponde a el mensaje enviado por el navegador web, aquí se encuentra el nombre de dominio, el navegador, versión del navegador, el tipo de archivos que soporta, la codificación de caracteres que maneja, entre otras cosas.

Después de ese paquete se pueden observar otros paquetes con solicitudes GET que por el momento vamos a ignorar, abajo de estos se debe observar el paquete de respuesta del servidor HTTP/1.1 200 OK (text/html).

Si seleccionamos este paquete en VP, observamos en VSP que tienen estructuras de información muy parecidas a las de la solicitud, pero aquí también se incluyen otras estructuras, entre ellas una llamada “Reassambled TCP Segments”, es decir el archivo no llego dentro de un solo paquete, fue segmentado y reensamblado al llegar al destino, los paquetes tienen un tamaño máximo de 1440 bytes; mientras llegaban los segmentos de paquetes el navegador leía parte del documento y encontraba que había archivos enlazados e incrustados en la pagina (Javascript, CSS, imágenes) así que se iban haciendo las solicitudes al servidor de estos archivos.

Por ultimo esta una estructura llamada “Line-based text data: text/html” donde se muestra el documento html completado.

Page 4: reporte practica 1 laboratorio de redes

Si revisamos los siguientes paquetes en la VP veremos que corresponden a la solicitud y recepción de los archivos incrustados.

Continuamos ahora con la consulta al DNS con el comando ping.

En la linea de comandos escribimos ping y el nombre del dominio que queremos resolver, en este caso particular se eligió www.taringa.net.

Si observamos la VP encontramos que primero se realiza la consulta con el protocolo DNS, en la VSP observamos que el paquete es similar a una consulta HTTP, pero en esta no se utiliza TCP, en su lugar

Page 5: reporte practica 1 laboratorio de redes

se usa “User Datagram Protocol” (UDP).

La estructura que sigue es “Domain Name System”, aqui se observa que se hizo una pregunta para resolver el nombre del dominio www.taringa.net.

Un poco mas abajo dentro de VP encontramos la respuesta DNS, en VSP observamos que se obtuvo más de una respuesta, pues al ser un sitio web muy grande tiene mas de un servidor cada uno con su propia dirección IP.

El siguiente paquete de VP corresponde al “Echo (ping) request” en la VSP observamos que la única información es un mensaje de 56 bytes sin sentido alguno.

Page 6: reporte practica 1 laboratorio de redes

Debajo de este se encuentra la respuesta “Echo (ping) reply” si lo revisamos en la VSP nos damos cuenta que se repite el mensaje de 56 bytes, eso es porque lo que hace ping no es una resolución de DNS sino una consulta sobre el estado del servido y así saber si se encuentra disponible y cuanto tiempo tarda en responder.

ConclusionesEl programa wireshark puede ser una herramienta muy poderosa si se tiene el conocimiento adecuado sobre los paquetes que se mueven por los puertos, pues así podría encontrar transmisión y/o recepción de datos no autorizados, como los que producen los programas maliciosos.