You are on page 1of 12

Facultad de Ingeniera en Elctrica y Electrnica FUNDAMENTOS DE REDES

Integrantes: Almeida Fernando Espinosa Jorge Idrovo Fernando Responsable: Ing. Darwin Aguilar 2010-07-16

TEMA: ANLISIS DE CAPTURA DE TRAMAS UTILIZANDO WIRESHARK OBJETIVOS: - Lograr analizar e interpretar de correctamente y lgica el trfico que circula por nuestra red. - Realizar una correcta administracin de red mediante WIRESHARK con finalidad educativa y uso profesional. - Familiarizarnos con las herramientas que nos brinda este software para facilitarnos el anlisis en la captura de tramas. - Lograr obtener conocimiento conciso acerca de los programas que nos permiten escuchar el trfico que circula por nuestra red para determinar cul es el indicado y que beneficios nos puede brindar MARCO TERICO: A diferencia de los circuitos telefnicos, las redes de computadoras son canales de comunicacin compartidos. El compartir, significa que las computadoras pueden recibir informacin proveniente de otras maquinas. Al capturar la informacin que viene de otra parte de la red se le llama "sniffing". Las ms popular manera de conectar computadoras es a travs del Ethernet. El cableado Ethernet trabaja por el envo de paquetes de informacin por todos los nodos de la red. El paquete contiene en su cabecera la direccin de la maquina destino. Solo la maquina que contenga dicha direccin podr aceptar el paquete. Una maquina que acepte todos los paquetes sin importar los que contenga la cabecera, se dice que esta en estado promiscuo. Qu es un sniffer ? Un sniffer es un programa de para monitorear y analizar el trafico en una red de computadoras, detectando los cuellos de botellas y problemas que existan en ella. Un sniffer puede ser utilizado para "captar", lcitamente o no, los datos que son transmitidos en la red. Un ruteador lee cada paquete de datos que pasa por el, determina de manera intencional el destino del paquete dentro de la red. Un ruteador y un sniffer, pueden leer los datos dentro del paquete as como la direccin de destino. En que son utilizados los sniffer? El "sniffing" es la forma mas popular de atacar usada por los hackers. Un sniffer en especial, llamado "Esniff.c", es muy pequeo, esta diseado para trabajar sobre "SunOS", y solamente captura los primeros 300 bytes de todo telnet, ftp y proceso de inicio de sesin. Esto fue publicado en Phrack, una de las revistas semanales ms ledas publicada de manera gratuita disponible en el bajo mundo de las revistas para hackers. Wireshark, antes conocido como Ethereal, es un analizador de protocolos utilizado para realizar anlisis y solucionar problemas en redes de comunicaciones para desarrollo de

software y protocolos, y como una herramienta didctica para educacin. Cuenta con todas las caractersticas estndar de un analizador de protocolos. La funcionalidad que provee es similar a la de tctramasmp, pero aade una interfaz grfica y muchas opciones de organizacin y filtrado de informacin. As, permite ver todo el trfico que pasa a travs de una red (usualmente una red Ethernet, aunque es compatible con algunas otras) estableciendo la configuracin en modo promiscuo. Tambin incluye una versin basada en texto llamada tshark. Permite examinar datos de una red viva o de un archivo de captura salvado en disco. Se puede analizar la informacin capturada, a travs de los detalles y sumarios por cada paquete. Wireshark incluye un completo lenguaje para filtrar lo que queremos ver y la habilidad de mostrar el flujo reconstruido de una sesin de TCP Wireshark tiene un rico conjunto de caractersticas, entre las cuales cabe destacar:
 Captura en vivo y anlisis desconectado.  Explorador de paquetes estndar de 3 paneles (Standard three-pane packet

browser).
 Multi-plataforma, con versiones para Windows, GNU/LiNUX, MacOS X, Solaris,

FreeBSD, NetBSD, entre otros.


 Los datos capturados de la red pueden ser explorados va IGU, o con una

herramienta de lnea de rdenes.


 Anlisis de VoIP.  Lectura/escritura de distintos formatos de archivo de captura: TCTramasmp

(libpcap), Catapult DCT2000, Cisco Secure IDS iplog, Microsoft Network Monitor, NAI Sniffer, Sniffer Pro and NetXray, Network Instruments Observer, Novell LANalyzer, RADCOM WAN/LAN Analyzer, Shomiti/Finisar Surveyor, Tektronix K12xx, Visual Networks Visual UpTime, WildPackets EtherPeek/TokenPeek/AiroPeek.
 Los archivos de captura son comprimidos con gzip y descomprimidos en tiempo de

ejecucin.
 Los datos pueden ser ledos desde Ethernet, IEEE 802.11(a/b/g), PPP/HDLC,

ATM, Bluetooth, USB, Token Ring, Frame Relay, FDDI, y otros, dependiendo de la plataforma.
 Soporte de desencriptacin para IPsec, ISAKMP, Kerberos, SSL/TLS, WEP, y

WPA/WPA2.
 Ms de 700 protocolos soportados, y subiendo.

Ahora para descargar el instalador vamos al sitio de la web http://www.wireshark.org/download.html .Es importante mencionar que las libreras necesarias como WinPcap estn incluidas en el instalador. Formato de la informacin Los paquetes de informacin (tambin conocidos como tramas) que enva cada computadora por la red deben tener un formato especfico y cumplir unas normas establecidas, para que sean comprendidas por todos los usuarios de la red. Esas normas cobijan aspectos como la longitud de los paquetes, polaridad o voltaje de los bits, cdigos para deteccin de errores, etc. En la figura 6 se muestra el formato de una trama o paquete de informacin. Cada trama empieza con un prembulo de 7 bytes iguales ( 10101010). Esto genera una onda cuadrada de 10 MHz, durante un tiempo de 5.6 micro seg, con el objeto de que el receptor se sincronice con el reloj de transmisor. Despus viene un byte llamado Inicio de trama ( 10101011 ), con el fin de marcar el comienzo de la informacin propiamente dicha.

Los bytes correspondientes a la direccin de destino y de origen se utilizan para saber a quin va el mensaje y quin lo enva. Adems, existe un carcter especial que puede indicar que el mensaje va dirigido a un grupo de usuarios o a todos los usuarios. El byte que indica la longitud del campo de datos indica al receptor cuantos bytes de informacin til o verdadera debe esperar a continuacin. Los datos corresponden al archivo en particular que se est enviando. Los bytes de relleno se emplean para garantizar que la trama total tenga una longitud mnima de 64 bytes (sin contar el prembulo ni el Inicio de trama), en caso de que el archivo de datos sea muy corto. Esto se hace con el fin de desechar las tramas muy cortas (menores de 64 bytes) que puedan aparecer en el cable de la red, como consecuencia de transmisiones abortadas por colisiones. El cdigo de redundancia sirve para hacer deteccin de errores. Si algunos bits de datos llegan al receptor errneamente (por causa del ruido), es casi seguro que el cdigo de redundancia ser incorrecto y, por lo tanto, el error ser detectado

DESARROLLO:

Para capturar las tramas, la computadora donde est instalado Wireshark debe tener una conexin activa a la red y Wireshark debe estar activo antes de que se pueda capturar cualquier dato. Cuando se inicia Wireshark, se muestra la siguiente pantalla.

FIG 1. BARRA DE HERRAMIENTAS DE WIRESHARK Para empezar con la captura de datos es necesario ir al men Captura y seleccionar Opciones. El cuadro de dilogo Opciones provee una serie de configuraciones y filtros que determinan el tipo y la cantidad de trfico de datos que se captura.

FIG 2. SELECCIN DE LA TARJETA DE RED Y MODO PROMISCUO Si esta caracterstica NO est verificada, slo se capturarn las TRAMAS destinadas a esta computadora.

Si esta caracterstica est verificada, se capturarn todas las TRAMAS destinadas a esta computadora y todas aquellas detectadas por la NIC de la computadora en el mismo segmento de red (es decir, aquellas que pasan por la NIC pero que no estn destinadas para la computadora). Nota: La captura de las otras TRAMAS depende del dispositivo intermediario que conecta las computadoras del dispositivo final en esta red. Si utiliza diferentes dispositivos intermediarios (hubs, switches, routers) durante estos cursos, experimentar los diferentes resultados de Wireshark. La ventana de visualizacin principal de Wireshark tiene tres paneles.

FIG 3. PANELES DE CAPTURAS DE WIRESHARK El panel de Lista de TRAMAS (o Paquete) ubicado en la parte superior del diagrama muestra un resumen de cada paquete capturado. Si hace clic en los paquetes de este panel, controla lo que se muestra en los otros dos paneles. El panel de detalles de TRAMAS (o Paquete) ubicado en el medio del diagrama, muestra ms detalladamente el paquete seleccionado en el panel de Lista del paquete. El panel de bytes de TRAMAS (o paquete) ubicado en la parte inferior del diagrama, muestra los datos reales (en nmeros hexadecimales que representan el binario real) del paquete seleccionado en el panel de Lista del paquete y resalta el campo seleccionado en el panel de Detalles del paquete. Cada lnea en la Lista del paquete corresponde a una TRAMAS o paquete de los datos capturados. Si seleccion una lnea en este panel, se mostrarn ms detalles en los paneles Detalles del paquete y Bytes del paquete. El ejemplo de arriba muestra las TRAMAS capturadas cuando se utiliz la utilidad ping y cuando se accedi a http://www.Wireshark.org. Se seleccion el paquete nmero 1 en este panel. El panel Detalles del paquete muestra al paquete actual (seleccionado en el panel Lista de paquetes) de manera ms detallada. Este panel muestra los protocolos y los campos de protocolo de los paquetes seleccionados. Los protocolos y los campos del paquete se muestran con un rbol que se puede expandir y colapsar. El panel Bytes del paquete muestra los datos del paquete actual (seleccionado en el panel Lista de paquetes) en lo que se conoce como estilo hexdump. En esta prctica de laboratorio no se examinar en detalle este panel. Sin embargo, cuando se requiere un

anlisis ms profundo, esta informacin que se muestra es til para examinar los valores binarios y el contenido de las TRAMAS. CAPTURAS DE PATALLA Y ANLISIS: 1.- CAPTURA DE TRAMAS REALIZANDO UN PING ENTRE DOS PCS

FIG 4. DIRECCIN IP ORIGEN Lo que se realizo en este paso fue configurar las direcciones ip de las dos pcs a 192.168.15.1 como direccin de fuente y posteriormente la direccin 192.168.15.3 como destino.

FIG 5. PING ENTRE LAS 2 PCS Procedemos a correr WIRESHARK y luego de cambiar las direcciones procedemos a hacer ping entre las dos pcs en donde todos los paquetes son recibidos perfectamente.

FIG 6. CAPTURA DE PAQUETES DEL PING DE DOS PCS Como se puede observar en WIRESHARK vemos las peticiones y recibos que realizan nuestras mquinas de origen y destino mediante el protocolo ICMP y paramos de correr el programa. Ahora para ver como ocurre BROADCAST en nuestra red decidimos desconectar una pc correr el programa y volver a conectar, entonces el la ventana de Wireshark vemos que produce efectivamente BROADCAST mediante el protocolo ARP de quin tiene la direccin 192.168.3 que es nuestra pc de destino.

FIG 7. ANLISIS DE TRAMAS DEL PING ENTRE PCS En el panel de detalles de trama se puede ver claramente que el tiempo de vida es de 128 que corresponde al tiempo que tomo el hacer ping de una pc a la otra, tambin podemos ver que el tamao de datos que se encuentra en la trama es de 23 bytes los cuales estn mostrados en el panel inferior en forma de hexadecimal y a su derecha en cdigo ascci.

FIG 8. GRFICA DE FLUJO (PING ENTRE PCS) Utilizando una de las herramientas que nos brinda WIRESHARK es desplegar todos los paquetes que entran y salen de nuestra tarjeta de red con la cual podemos verificar el flujo que presenta nuestra red. Tenemos primero la peticin y recibo que se obtuvo al realizar ping como lo indican las flechas, a parte tenemos el Broadcast que hicimos al desconectar y desconectar una pc en este caso la de destino y se muestra quin tiene la direccin 192.168.15.3 y le responde quees direccin corresponde a Dell_de:32:15. Tambin tenemos en el panel hexadecimal hemos constatado la direccin Mac de destino, Mac de origen, la ip de origen que van formando la trama. 2.- CAPTURA DE TRAMAS INGRESANDO A INTERNET

FIG 8. CAPTURA DE TRAMAS EL INGRESAR A INTERNET Al momento de realizar la conexin a internet vemos obviamente que nuestro programa ya nos est arrojando capturas de paquetes, de los cuales escogimos uno y lo analizamos como se muestra en la figura 8, donde podemos apreciar que utiliza el protocolo STP en la cual se configura la ruta y tambin podemos ver en el panel hexadecimal las MAC origen y destino, el tamao de 38, y sabemos que se utiliza el puerto 0x8005. GRFICO DE FLUJO

FIG 9. GRFICO DE FLUJO EL INGRESAR A INTERNET En este grfico se muestra bsicamente el proceso que se realiza al entrar al internet en donde se indica la configuracin de la ruta utilizando el puerto 0x8005, el ping donde se muestran la peticin y recibo entre las direcciones ip de origen y destino y vemos que pasa por el switch 3com, tambin se aprecia el broadcast al ingresar una pc a la red preguntando quin tiene la direccin 172.132.168.133 y le responde que esa direccin corresponde a 00:25:64:de:32:15

CONCLUSIONES: - Es una herramienta til para cualquiera que trabaje con redes y se puede utilizar en la mayora de las prcticas de laboratorio en los cursos CCNA para el anlisis de datos y el diagnstico de fallas. - Se pudo concluir que Wireshark se utiliza , para realizar una administracin del ancho de banda y notar fallas y tomar acciones correctivas, para saber si algo nos esta consumiendo ancho de banda ms de lo establecido. - Es necesario si se quiere oir todo el trfico de la red configurar Wireshark en modo promiscuo y verificar que estemos utilizando la tarjeta de red . - Wireshark es un sniffer que nos brinda una herramienta til pero tambin puede ser una herramienta que puede perjudicar a otros debido a que la pueden utilizar para descifrar claves WEP, o a los usuarios que estn utilizando protocolos telnet o ftp, o MSN debido a que la informacin no es encriptada y se puede escuchar toda la conversacin. - Debido a que los programas se actualizan y miran a internet por eso existe gran cantidad de trfico al momento de correr WIRESHRAK, entonces es necesario colocar filtros para obtener un rango de trfico en el cul deseamos realizar nuestro anlisis. RECOMENDACIONES: - Es importante tener presente que los nmeros arrojados por estas estadsticas solo tendrn sentido si se tiene un conocimiento previo el protocolo de lo contrario sern un poco compleja de comprender. - Gran capacidad de filtrado - Trabaja tanto en modo promiscuo como en modo no promiscuo - Se recomienda cuando se quiere descargar un archivo y no encontramos un programa que lo pueda hacer directamente peticin GET en WIRESHARK que nos indica que es un archivo de cualquier extensin. BIBLIOGRAFA: http://www.fortunecity.es/banners/interstitial.html?http://webopedia.internet.com/TERM/s/s niffer.html www.quebajar.com/programas-download-software.-detectar-paquetes-de-emule-conwireshark www.wikipedia.org/wiki/Packet_sniffer www.wireshark.org/download.html www.espanol-desinformado.com/captura-con-wireshark-de-ficheros-smb

You might also like