Wireshark

3,444 views
3,214 views

Published on

Tutorial de Wireshark diseñado en el año 2011 por un grupo de estudiantes de Ingeniería de Sistemas y Computación

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
3,444
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
259
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Wireshark

  1. 1. MANUAL SOFTWARE DE MONITOREO DE RED Elaborado por: Acero Pinilla Laura Constanza Camacho Ávila Edier Edilson Fuya Fuya Carlos Andrés Navarro Julio Eliana Rosas García Fredy Alejandro
  2. 2. CONTENIDO I. Introducción II. Objetivo III. A quien va dirigido IV. Requisitos del sistema V. Instalación de Wireshark VI. Características de Wireshark VII. Primeros pasos VIII. Prácticas de laboratorio IX. Fuentes de información
  3. 3. CAPÍTULO I INTRODUCCIÓN
  4. 4. I. INTRODUCCIÓN La gestión de redes es un conjunto de modelos, herramientas y métodos, enfocados a realizar actividades que permitan garantizar una alta disponibilidad de los recursos con que se cuenta. Para lograrlo hay que buscar herramientas software que permitan si no, estar un paso delante de los delincuentes informáticos, por lo menos a la par. Una de ellas es Wireshark, que permite llevar a cabo acciones de gestión de prestaciones y gestión de fallos, mediante la recolección, almacenamiento y evaluación o análisis de datos característicos de los elementos de una red y su operación.
  5. 5. CAPÍTULO II OBJETIVOS
  6. 6. II. OBJETIVOS. Este manual se desarrolla con el fin de enseñar a los usuarios a manejar la herramienta Wireshark mostrándoles las funciones de cada botón y dándoles la posibilidad de desarrollar unas guías de laboratorio que facilitarán el manejo de la misma.
  7. 7. CAPÍTULO III DIRIGIDO A
  8. 8. III. DIRIGIDO A Este manual va dirigido a:  Estudiantes que quieran aprender internamente cómo funciona una red.  Administradores que deseen resolver problemas en la red.  Ingenieros que quieran examinar problemas de seguridad.
  9. 9. CAPÍTULO IV REQUISITOS DEL SISTEMA
  10. 10. IV. REQUERIMIENTOS DEL SISTEMA  Para poder utilizar Winshark es necesario contar con las librerías de wincap, aunque el programa durante la instalación las instala si detecta que no se encuentran instaladas.  El programa es multiplataforma, hay distribución para Windows, GNU/Linux y Mac.
  11. 11. CAPÍTULO V INSTALACIÓN DE WIRESHARK
  12. 12. V. WIRESHARK INSTALACIÓN Lo primero que necesita es descargar el programa, se recomienda que sea del sitio web oficial. http://www.wireshark.org/download.html Luego se procede a realizar la instalación de la aplicación. Al ejecutar el archivo .exe nos aparece la siguiente ventana y debemos presionar el botón siguiente. La siguientes ventana del instalador, permite seleccionar los componentes a ser instalados, dónde Wireshark es el analizador de protocolos con interfaz gráfica, TShark se refiere a la consola del analizador de protocolos, Pluins / Extensions permite seleccionar los plugins con que trabajará, si se seleccionan todos se
  13. 13. aumenta la capacidad de operación de la aplicación. Tools ofrece Editcap, para leer y capturar archivos, Text2Pcap, convierte un archivo ASCII en formato libpcap, Mergecap, combina dos o más archivos de paquetes capturados en un único archivo, Capinfos, es un programa que proporciona información de los paquetes capturados y Rawsahrk es un programa para filtrar los paquetes brutos (completos). Luego seleccionamos las tareas adicionales que queramos instalar: en dónde deseamos crear un acceso directo de la aplicación y realizar la asociación de las extensiones de los archivos. Procedemos a presionar el botón siguiente.
  14. 14. Seleccionamos la carpeta en la que queremos instalar la aplicación. En esta ventana nos muestran cuánto espacio libre necesita Wireshark para poder ser instalado y cuál es el espacio disponible en el equipo.
  15. 15. Como se comentaba inicialmente la aplicación pide la instalación de WinCap (en caso que no se encuentre instalado en el equipo). Este hace referencia a la versión para Windows de la biblioteca libpcap. Más información en http://wiki.wireshark.org/WinPcap Wireshark utiliza esta biblioteca para capturar datos en tiempo real de la red en Windows. El programa procede a instalarse, pero a la vez nos muestra la ventana de instalación de WinCap.
  16. 16. Finalizar la instalación de WinPCam, seleccionando “next”, hasta finalizar y de igual manera con Wireshark. Listo ahora se puede empezar a utilizar la herramienta.
  17. 17. CAPÍTULO VI CARACTERÍSTICAS DE WIRESHARK
  18. 18. VI. CARACTERISTICAS Esta aplicación es un analizador de protocoles de red, es de código abierto, tipo sniffer, este es un tipo de software que permite detectar e interceptar tramas de una red, de acuerdo con unos parámetros de búsqueda. Permite capturar, desplegar y filtrar paquetes para este caso, de una red de Windows, sin embargo está disponible también para GNU/Linux, Unix y MAC. Su principal objetivo es el análisis de tráfico, permite obtener soluciones rápidas para una red. A pesar que no es un IDS (Intrusion Detection System), Sistema de Detección de Intrusos o un IPS (Intrusion Prevention System), Sistema de Prevención de Intrusos, aplicaciones que permiten identificar y evitar accesos no autorizados a un computador o a una red, sí es un sniffer como ellos y ofrece ventajas respecto de estos sistemas, como la agilidad para el monitoreo y auditoría extensa en una red, es decir que es eficiente.
  19. 19. CAPÍTULO VII PRIMEROS PASOS
  20. 20. VII. PRIMEROS PASOS Al ejecutar el icono de la aplicación esta empieza a cargar la información mostrando la siguiente ventana. En la cual se puede apreciar un porcentaje de carga. INTERFAZ PRINCIPAL La aplicación WireShark comprende una serie de funciones, las cuales podemos visualizar en la siguiente figura.
  21. 21. Para realizar el estudio de cada una de las herramientas de WireShark se dividirá en secciones, que permitirán un análisis más profundo de las posibles actividades que se pueden desarrollar con dicho software. COMPONENTES DE LA BARRA DE MENÚ La siguiente imagen muestra los diferentes menú-ítems que conforman la barra de menú. File Dentro del menú File encontramos las siguientes funciones:
  22. 22. File:Open Le permite al usuario abrir un archive de trabajo existente. File:Open Recent Permite al usuario abrir un archivo trabajado recientemente. File:Merge Permite combinar un archivo de captura con el que se encuentra cargado en la aplicación. Si se presiona la opción “merge” antes de guardar un archivo de captura la aplicación nos muestra el siguiente mensaje de error.
  23. 23. File:Close Permite cerrar un archivo de captura. File:Save La opción Save permite al usuario guardar la captura actual o los paquetes que se muestran en un archivo. File:Save As Además de guardar una captura, el usuario puede seleccionar si desea guardar todos los paquetes o simplemente aquellos que han sido filtrados y/o los que están marcados. Además hay un menú que permite seleccionar de una lista de formatos de archivo el formato que desea guardarlo.
  24. 24. File: File set  List Files. Muestra un diálogo con toda la información del archivo que se encuentra cargado actualmente. Datos como el nombre, fecha de creación y modificación, tamaño y ubicación del archivo. File: File set  Next File. File: File set  Previous File. Si el archivo cargado actualmente forma parte de un conjunto de archivos, el usuario puede abrir el archivo siguiente o anterior al tiempo con el actual. File:Export
  25. 25. Permite exportar los datos capturados en un formato externo. Nota: los datos no se pueden importar de nuevo en Wireshark, así que asegúrese de mantener el archivo de captura. File:Print Permite imprimir un archivo de captura. File:Quit Permite al usuario cerrar la aplicación. Edit En el menu Edit el usuario encontrará los menú ítems que se muestran en la siguiente gráfica:
  26. 26. Edit: Copy En el menu item Copy encontramos: Edit Copy  Description Field name Field Value Permite al usuario copiar bien sea la descripción, el nombre o valor que se encuentra en la celda seleccionada al portapapeles. Según la elección del usuario. Edit: Find Packet
  27. 27. Este ítem permite al usuario buscar un paquete específico mediante unos parámetros que el mismo asigna. Se tienen también los ítems Find Next y Find Previous que muestran el siguiente diálogo. El primero permite buscar un paquete desde uno seleccionado hacia adelante y el segundo viceversa. Edit: Mark Packet (toggle)
  28. 28. Al presionar el menú ítem Mark Packet se selecciona o deselecciona en caso de que se encuentre marcado el paquete seleccionado. Los paquetes que se encuentran sombreados con negro son los que han sido seleccionados. Edit: Find Next Mark Edit: Find Previous Mark
  29. 29. Tanto la función Find Next Mark como Find Previous Mark permiten al usuario desplazarse por los paquetes seleccionados bien sea hacia adelante o atrás según lo desee el usuario. Edit Mark All Packets  Unmark All Packets Estas funciones le permiten al usuario seleccionar/deseleccionar todos los paquetes. Edit: Time Reference Set Time Reference (toggle) Permite tomar el paquete seleccionado como un paquete de referencia de tiempo. Cuando un paquete se establece como un paquete de referencia de tiempo, las marcas de hora en la lista de paquetes será reemplazado con la cadena "* * REF". Al seleccionar este menú ítem la herramienta nos muestra el siguiente diálogo, en el cual se puede visualizar el estado, tiempo y progreso del proceso.
  30. 30. Edit: Configuration Profiles Permite al usuario administrar perfiles de configuración para poder utilizar más de un conjunto de preferencias y configuraciones. Al seleccionar esta opción el sistema muestra al usuario la siguiente ventana.
  31. 31. Edit: Preferences Permite al usuario configurar la parte gráfica de la herramienta, la forma de captura, impresión y opciones de protocolo. VIEW El menú View se encuentra compuesto por los menú ítems que se observan en la Figura. Los cuales explicaremos a continuación.
  32. 32. Los ítems que se encuentran resaltados al ser seleccionados por el usuario, permiten mostrar u ocultar las respectivas barras. Por lo tanto les mostraremos que barra corresponde a cada ítems para fácil manejo del usuario. View Main Toolbar Filter Toolbar Wireless Toolbar
  33. 33.  Statusbar  Packet List Permite a los usuarios observar la lista de paquetes.  Packet Details Permite al usuario visualizar los detalles de un paquete seleccionado.  Packet Bytes
  34. 34.  Time Display Format Permite al usuario seleccionar un formato de tiempo dentro de diferentes opciones. Ajusta el formato de la fecha y hora de paquetes que aparecen en la ventana de lista de paquetes. View Name Resolution  Resolve Name
  35. 35. Permite al usuario tratar de resolver un nombre para el elemento seleccionado.  Colorize Packet List Activar o desactivar las reglas para colorear. Al deshabilitar esta opción mejorará el rendimiento. Fig. Muestra activado el Colorize Packet List Fig. Muestra desactivado el Colorize Packet List  Auto Scroll in Live Capture Al seleccionar esta opción la lista de paquetes se desplaza automáticamente mostrando al usuario los últimos en la lista.  Zoom (In, Out, normal) Le permite al usuario jugar con el tamaño de letra de la lista de paquetes, permitiéndole además restablecer los valores al tamaño normal.
  36. 36.  Resize All Columns Restablece el tamaño de las columnas para adaptarse mejor al paquete actual, mientras realiza el proceso muestra el siguiente diálogo.
  37. 37.  Expand Subtrees Permite al usuario observar la información que contiene un árbol, mediante el despliegue del mismo. Árbol ampliado Información que contiene  Expand/Collapse All Expandir o contraer todas las ramas de los detalles del paquete.  Colorize Conversation Permite al usuario seleccionar el color para una conversación. Reset Coloring 1-10 Resetea los colores de las conversaciones.  Coloring Ruling
  38. 38.  Show packet in new window Le muestra al usuario los paquetes en otra ventana diferente a la principal de la aplicación. Nueva ventana  Reload Permite al usuario actualizar un archivo de captura. Go Ventana principal
  39. 39. El menu Go le permite al usuario desplazarse por los paquetes: retrocediendo, yendo al siguiente, a un paquete específico, al siguiente o anterior paquete específico, al primero o el último según lo desee. CAPTURE En el menú Capture se encuentran los siguientes menú ítems: WireShark cuenta con dos maneras para iniciar la captura de los paquetes: 1. Haciendo doble clic en que se encuentra en la ventana principal de la aplicación, se despliega una ventana donde se listan las interfaces locales disponibles para iniciar la captura de paquetes. Tres botones se visualizan por cada interfaz  Start, para iniciar  Options, para configurar  Details, proporciona información adicional de la interfaz como su descripción, estadísticas, etc.
  40. 40. Capture  Interfaces… 2. Otra opción es seleccionar del menú Capture>Interfaces Capture  Options Cuando el usuario presiona este menú ítems se despliega la siguiente ventana donde se muestra opciones de configuración para la interfaz para especificar el nombre de archivo, de lo contario un archivo temporal se creará para celebrar la captura. La ubicación del archivo puede ser elegido mediante el ajuste de la variable de entorno TMPDIR antes de comenzar Wireshark. De lo contrario, la ubicación predeterminada TMPDIR es dependiente del sistema, pero es probable que sea / var / tmp o / tmp.
  41. 41. Capture  Start Al presionar Start. Wireshark iniciará la captura de paquetes en directo con las opciones previamente seleccionadas. Mientras esto sucede, accede a algunos sitios web de su preferencia. Es necesario hacer esto para generar tráfico a través de la interfaz de red y, por tanto, permitir que Wireshark pueda capturar las frames Ethernet correspondientes. Capture  Stop Al presionar Stop se detiene la captura en ejecución en vivo. La ventana principal de Wireshark aparece ahora dividida en 3 secciones. La sección superior es un listado de las frames, en el mismo orden cronológico en que fueron capturados. También
  42. 42. Capture  Restart Permite al usuario reiniciar la captura, esto puede ser conveniente para eliminar paquetes que no son valiosos en la captura. Capture  Display Filters Para guardar o abrir un filtro existente (previamente creado y guardado) se debe seleccionar Analyze>Display Filter en el menú o Capture>Capture Filter.
  43. 43. Para definir un filtro se debe presionar el botón y la expresión y presionar se indica el nombre del filtro para salvar los cambios. Para crear accesos directos para los macros complejos se debe seleccionar ANALIZE Analyze  Display filters Permite al usuario crear un filtro basado en los datos actualmente destaca en los detalles del paquete y aplicar el filtro. Analyze  Apply As Filter La opción Analyze>Apply as Filter crea un filtro que las pruebas para un partido de los datos, la opción no seleccionada crea un filtro que las pruebas para un nopartido de los datos. Y el seleccionado o seleccionada, y no seleccionado, y O no seleccionado las opciones de añadir al final de la pantalla de filtro en la franja en la parte superior (o inferior), el operador AND y OR seguido de la expresión pantalla filtro nuevo.
  44. 44.  Analyze  Prepare a Filter crear un filtro basado en los datos actualmente destacan en los detalles del paquete. La tira de filtro en la parte superior (o inferior) se actualiza, pero no se aplica todavía. Analyze Enabled Protocols Le permite al usuario estudiar qué protocolo específico está activado o desactivado o poder activar o desactivar algún protocolo se hace clic en Analyze>Enabled Protocols y seleccionar que la lista completa sea activada o desactivada, o invertida utilizando los botones que se encuentran debajo de la lista. Cuando un protocolo está deshabilitado, la disección de un paquete en particular se detiene cuando se alcanza ese protocolo, y Wireshark pasa al siguiente paquete. Los protocolos de capas superiores que de otra manera se han procesado no se mostrará. Por ejemplo, deshabilitar TCP evitar la disección y exposición de TCP, HTTP, SMTP, Telnet, y cualquier otro protocolo depende exclusivamente de TCP. AnalyzeDecode As
  45. 45. Si usted tiene un paquete seleccionado del panel de lista de paquetes podrá cambiar los sectores divididos que se utilizan para descifrar este paquete seleccionando Analyze>Decode As donde se despliega un diálogo que tiene un panel para la capa de enlace, capa de red y el protocolo de capa de transporte / números de puerto, y permitirá a cada uno de estos para cambiar de forma independiente. Por ejemplo, si el paquete seleccionado es un paquete TCP al puerto 12345, mediante este diálogo puede indicar a Wireshark para decodificar todos los paquetes hacia o desde ese puerto TCP como paquetes HTTP. Analyze  User Specified Decodes Crear una nueva ventana que muestra si un identificador de protocolo fue cambiado por el usuario para las asignaciones de disector se selecciona Analyze>User Specified Decodes… Esta ventana también permite al usuario restablecer todos los decodifica a sus valores predeterminados.
  46. 46. Analyze Follow TCP Stream Si usted tiene un paquete TCP, UDP o SSL seleccionado y desea mostrar el contenido de la secuencia de datos para la conexión TCP a la que pertenece ese paquete como texto en una ventana separada, y dejar la lista de paquetes en un estado de filtrado, con sólo los paquetes que se parte de esa conexión TCP que se muestra puede seleccionar Analyze>Follow TCP Stream. Puede volver a su antigua visión presionando ENTER en el cuadro de visualización de texto del filtro, con lo que la invocación de la pantalla del filtro viejo (o reiniciarlo de nuevo a la pantalla sin filtro). La ventana en la que se muestra la secuencia de datos le permite seleccionar: • si se muestra toda la conversación, o uno o el otro lado de la misma; • si los datos que se muestra debe ser tratada como texto ASCII o EBCDIC o como datos hexadecimales en bruto; y le permite imprimir lo que se muestra actualmente, con las mismas opciones de impresión que se utilizan para el Archivo: Imprimir del menú de paquetes, o guardarlo como texto en un archivo Para saber la Información de Expertos seleccionar Analyze>Expert Info
  47. 47. Expertos compuestos de información hacer clic en Analyze>Expert Info Composite donde muestra un registro de las anomalías encontradas por Wireshark en un archivo de captura. Para ver la Conversación filtro seleccionar Analyze>Conversation Filter donde hay dos opciones PN-IO AR y PN-IO AR (with data)
  48. 48. Statistics Permite al usuario mostrar información resumida acerca de la captura, incluyendo el tiempo transcurrido, la cantidad de paquetes, los recuentos de bytes y otros.
  49. 49. Statistics  Summary Si un filtro es en efecto la información de resumen se muestran sobre la captura y sobre los paquetes que se muestra actualmente.
  50. 50. Statistics  Protocolo Hierarchy En este se organizan los protocolos en la misma jerarquía en el que se encuentran en la traza. Statistics  Conversations Permite al usuario ver las listas de las conversaciones seleccionable por el protocolo.
  51. 51. Statistics  Endpoints Este menú ítem le muestra al usuario la lista de direcciones de Punto Final por el protocolo de paquetes / bytes /.... con lasque cuenta.
  52. 52. Statistics  Packet Lengths Permite al usuario agrupar cargos de longitud de paquete (0 a 19 bytes, los bytes de 20 a 39). Statistics  IO Graphs
  53. 53. Al seleccionar este menú ítem se abre una ventana donde hasta 5 gráficos en colores diferentes se pueden mostrar para indicar el número de paquetes o el número de bytes por segundo para todos los paquetes que coincidan con el filtro especificado. Por defecto sólo un gráfico que se mostrará con indicación del número de paquetes por segundo. Debajo del área de dibujo y barra de desplazamiento se encuentran los controles. En la parte inferior izquierda habrá cinco conjuntos similares de los controles para controlar cada gráfico individual, como "Pantalla: <button>" qué botón se activará ese gráfico individuales de encendido / apagado. Si <button> está marcada, el gráfico se mostrará. "Color: <color>", que es sólo un botón para mostrar el resultado en el color que se utiliza para dibujar ese gráfico (color sólo está disponible en la versión Gtk2) y por último "filtro: <filter-text>" que se puede utilizar para especificar un pantalla de filtro para que el gráfico en particular. Si el filtro de texto está vacío, todos los paquetes se utilizará para calcular la cantidad de ese gráfico. Si el filtro de texto se especifica sólo los paquetes que coinciden con ese filtro de presentación será considerado en el cálculo de la cantidad. Statistics  Conversation List Al presionar este menú ítem se abrirá una nueva ventana que muestra una lista de todas las conversaciones entre los dos extremos. La lista tiene una fila para cada conversación única y muestra el número total de paquetes / bytes vistos, así como el número de paquetes / bytes en cada dirección.
  54. 54. Statistics  Service Response Time Al Seleccionar Statistics>Service Response Time donde se despliegan un conjunto de opciones como:                AFP CAMEL DCE-RPC GTP H.225 RAS LDAP MEGACO MGCP NCP ONC-RPC RADIUS SCSI SMB SMB2 Si se seleccionan alguna de las anteriores opciones se despliega el siguiente diálogo:
  55. 55. Statistics BOOTP- DHCP Statistics  Compare Para hacer la comparación de dos archivos de captura hacer clic en Statistics>Compare
  56. 56. Statistics  Flow Graph Para obtener el gráfico de flujo: General / TCP seleccionar Statistics>Flow Graph Statistics  HTTP Permite observar la distribución de carga HTTP, contador de paquetes y solicitudes.
  57. 57. Statistics  IP Addresses Permite obtener un Conteo / Precio / Porcentaje por dirección IP. Statistics  IP Destinations Seleccionar Statistics> IP Destinations para obtener Conteo / Precio / Porcentaje por dirección IP / protocolo / puerto.
  58. 58. Statistics  IP Protocol Types Permite obtener conteo / Precio / Porcentaje por tipo de protocolo IP. Statistics  ONC-RPC Programs
  59. 59. Este cuadro de diálogo se abrirá una ventana que muestra las estadísticas agregadas RTT para todos los programas ONC-RPC / versiones que existen en el archivo de captura. ESCENARIO: Para capturar las PDU (Unit Data Protocol), el computador donde está instalado el Wireshark debe poseer una conexión activa a la red, del mismo modo Wireshark debe estar en modo activo para que de esta manera se pueda realizar la captura de cualquier dato. Al momento de inicializar el Programa se muestra la siguiente pantalla: Para empezar con la captura pertinente de los datos se procede por realizar los siguientes pasos:  Primero ingresar a la Opción Capture, luego seleccionar Opciones.
  60. 60. Luego de darle clic en Opciones aparecerá el siguiente diálogo:
  61. 61. Este dialogo provee una serie de opciones las cuales determinan la manera como se va a llevar a cabo la captura de los datos, por tal motivo se debe seleccionar el adaptador de red con el que se cuenta. Generalmente, para un computador, es por defecto el adaptador de Ethernet conectado:
  62. 62. Luego se pueden configurar otras opciones adicionales las cuales determinan si la captura de paquetes se realizará de modo promiscuo. Esto indica que si no está activada esta característica se capturarán todas las PDU destinadas a este computador. Si por el contrario esta característica esta activada se capturarán todas las UDP destinadas a este computador y todas aquellas detectadas por la NIC de el computador en el mismo segmento de RED, es decir, todas aquellas direcciones que pasan por la NIC pero que necesariamente no tienen como destino final este computador.
  63. 63. RESOLUCIÓN DEL NOMBRE DE RED EN WIRESHARK: Esta opción permite determinar si la herramienta controla o no las direcciones de red encontradas al momento de realizar el chequeo de las PDU existentes en la red. Esta una opción importante de considerar puesto que si se escoge podría agregar más datos a las PDU lo que conlleva a que se podría distorsionar el análisis a realizar. Al momento de dar clic en el botón Start se muestra un dialogo, el cual permite ver el proceso de captura de paquetes en un tiempo determinado:
  64. 64. Al darle Stop carga las opciones que encontró al momento de realizar la consulta, y muestra en la pantalla principal permite visualizar lo que encontró en ese instante de tiempo. Esta ventana principal posee tres paneles el primero (De arriba hacia abajo) presenta una lista de paquetes, el segundo panel muestra el detalle de los paquetes, y el tercer paquete muestra.
  65. 65. Panel de lista de paquetes Panel de detalles de paquete Panel de Bytes de paquetes En el primer panel (Lista de paquetes) muestra un resumen de cada paquete encontrado. Si se realiza clic en este panel en los siguientes dos panel se va a mostrar la información pertinente a este paquete. En el segundo panel (Detalles del paquete) como su nombre lo indica, muestra en detalle el paquete seleccionado en el primer panel. Este panel muestra el protocolo y los campos del paquete se pueden expandir con un árbol que se puede expandir. En el tercer panel (Bytes del paquete) muestra los datos reales en formato hexagésimal. Sirve para examinar los valores binarios y el contenido de cada uno de los PDU.
  66. 66. CAPÍTULO VIII PRÁCTICAS
  67. 67. TAREA 1: CAPTURA DE PDU MEDIANTE PING. PASO 1: Hay que tener en cuenta que para poder llevar a cabo esta práctica se debe estar completamente seguro que Wireshark debe estar en modo activo y que se cuente con una conectividad activa a la red. Después de estar seguro que la configuración mencionada anteriormente es la correcta se debe proceder a llevar a cabo las configuraciones de captura que se describen en las primeras hojas. Desde la línea de comando ping en la dirección IP de otra red conectada encienda el dispositivo final a utilizar en este laboratorio. En este , haga ping a la última máquina de la red. Después de recibir las respuestas exitosas al ping en la ventana de línea de comandos, detenga la captura del paquete. PASO 2: El panel de lista de paquetes en Wireshark debe verse ahora parecido a este: Observe los paquetes de la lista de arriba, selecciones tres de ellos y localice los paquetes individuales en las lista de paquetes de su equipo, y realice su respectivo análisis. PASO 3: SELECCIONE (RESALTE) CON EL MOUSE EL PRIMER PAQUETE DE SOLICITUD ECO DE LA LISTA. En el detalle de paquetes de la lista se mostrará ahora algo parecido a este:
  68. 68. Haga clic en cada uno de los cuatro en su respectivo “+” para expandir la información. El panel de detalles del paquete será algo parecido a: Como se puede observar, los detalles de cada sección y protocolo se pueden expandir más. ¿Cuáles son los protocolos que están en la trama de Ethernet? Si selecciona una línea en el panel de detalles del paquete, toda o parte de la información en el panel de Bytes del paquete también quedará resaltada. Por ejemplo, si la segunda línea (+ Ethernet ||) está resaltada en el panel de detalles, el panel de bytes resalta ahora los valores correspondientes: En este caso muestra los respectivos valores binarios que representan la información de la PDU.
  69. 69. TAREA 2: CAPTURA DE FTP PDU PASO 1: INICIE LA CAPTURA DE PAQUETES. Considerando que Wireshark sigue su funcionamiento, desde los pasos anteriores, inicie la captura de paquetes haciendo clic en la opción Iniciar en el menú Captura de Wireshark. Ingrese ftp (por lo general es la última maquina perteneciente a la red p.e 192.168.254.254) en la línea de comandos del equipo donde se ejecuta wireshark. Cuando se lleve a cabo la conexión, ingrese anónimo como usuario, sin ninguna contraseña. ID del usuario: anónimo. Password: <Intro> También se puede iniciar sesión con id de usuario cisco y contraseña cisco. Una vez que inicio sesión con éxito, ingrese get/pub/eagle1/charpter1/gaim1.5.0.exe y presione la enter. Con esta operación comenzará la descarga del archivo desde el servidor ftp. El resultado será parecido a este: C:Documents and Settingsccna1>ftp eagle-server.example.com Connected to eagle-server.example.com. 220 Welcome to the eagle-server FTP service. User (eagle-server.example.com:(none)): anonymous 331 Please specify the password. Password:<ENTER> 230 Login successful. ftp> get /pub/eagle_labs/eagle1/chapter1/gaim-1.5.0.exe 200 PORT command successful. Consider using PASV. 150 Opening BINARY mode data connection for pub/eagle_labs/eagle1/chapter1/gaim-1.5.0.exe (6967072 bytes). 226 File send OK. ftp: 6967072 bytes received in 0.59Seconds 11729.08Kbytes/sec. Una vez que la descarga del archive se haya completado, ingrese quit: ftp> quit 221 Goodbye. C:Documents and Settingsccna1> Una vez que los archives se hayan descargado exitosamente, detenga la captura PDU en wireshark.
  70. 70. PASO 2: Aumente el tamaño del panel de la lista de paquetes de Wireshark y deplácese por la PDU que se encuentran en la lista. Localice y tome nota de las PDU asociadas con la descarga del archivo. Estas serán las PDU del protocolo de capa 4 y del protocolo FTP capa 7. Identifique los tres grupos de PDU asociados con la transferencia del archivo. Si realizó el paso de arriba, haga coincidir los paquetes de los mensajes y las indicaciones en la ventana de la línea de comandos FTP. El primer grupo está asociado con la frase “conexión” y el inicio de sesión con el servidor. Localice y haga una lista de ejmplos de mensajes intercambiados en la segunda fase, que es el pedido de descarga real y la tranferencia de datos. _________________________________________________________________ _______________________________________________________ _________________________
  71. 71. CAPÍTULO IX FUENTES DE INFORMACIÓN
  72. 72. http://seguridadyredes.nireblog.com/post/2008/01/17/analisis-capturas-trafico-redinterpretacian-datagrama-ip-parte-i http://seguridadyredes.nireblog.com/post/2010/04/05/wireshark-capturaconversaciones-voip-protocolo-sip-sdp-y-rtp-extraccion-de-audio Wireshark. Captura Conversaciones VoIP. Protocolo SIP, SDP Y RTP. Extracción De Audio. http://seguridadyredes.nireblog.com/post/2010/03/24/wireshark-tsharkcapturando-impresiones-en-red Wireshark / Tshark. Capturando Impresiones En Red. http://seguridadyredes.nireblog.com/post/2008/12/01/graficas-con-wireshark-iiparte-tcptrace Gráficas Con Wireshark (II Parte). Tcptrace. http://seguridadyredes.nireblog.com/post/2008/03/24/analisis-de-red-conwireshark-filtros-de-captura-y-visualizacian Análisis De Red Con Wireshark. Filtros De Captura Y Visualización. http://seguridadyredes.nireblog.com/post/2009/02/19/tshark-detectandoproblemas-en-la-red Tshark Detectando Problemas En La Red. http://seguridadyredes.nireblog.com/post/2008/02/14/analisis-de-red-conwireshark-interpretando-los-datos Análisis De Red Con Wireshark. Interpretando Los Datos.

×