ICMP Wireshark

Lab-Getting Started V6.0Wireshark Wireshark es una herramienta multiplataforma utilizada para realizar análisis sobre paquetes de red. Existen diferentes usos para los cuales puede aplicarse Wireshark. Dentro del análisis dinámico de códigos maliciosos se la utiliza para detectar conexiones ocultas del propio malware con direcciones remotas para obtener otros archivos, para reportarse a un panel de control en caso de una botnet, entre otras variantes. La utilización de esta herramienta puede parecer de gran complejidad en un principio, pero es de gran utilidad una vez conocida su interfaz y su forma de operar, por lo tanto antes de la realización del laboratorio de ICMP realizaremos este laboratorio introductorio para familiarizarnos con la interfaz del programa. Resultados: Utilizando nuestro explorador de preferencia en este caso google Chrome (figura1) podremos generar el tráfico de paquetes para esta experiencia

Figura 1: Explorador de preferencia En la sección de capture de la tabla de herramienta de Wireshark seleccionamos option (figura 2) para poder seleccionar la interfaz la cual a través de ella realizaremos las capturas de paquete.

Figura 2: Paso para poder seleccionar interfaz Una vez realizado estos pasos aparecerá una ventana donde estarán todas las interfaces disponibles para utilizar, en este caso seleccionamos WIFI debido a que no se cuenta con internet por cable en la universidad.

Figura 3:selección de interfaz wifi.

Se realizó una captura de paquetes desde la interfaz Wifi antes de utilizar el explorador para generar trafico HTTP como se observa en la figura 4.

Figura 4: Captura de los primeros paquetes. Mientras se estaba realizando las capturas anteriores utilizando google Chrome accedimos a la siguiente página web http://gaia.cs.umass.edu/wireshark-labs/INTRO-wireshark-file1.html para así generar trafico HTTP. en la siguiente imagen se observa solo los paquetes HTTP debido a la utilización de un filtro q se observa en la barra inferior de la barra de herramientas. Se logra observar el mensaje HTTP GET y las direcciones ip de la fuente y destino entre otra información.

ICMP V6.0Wireshark ICMP Vamos a comenzar nuestra aventura ICMP mediante la captura de los paquetes generados por el programa Ping. Usted puede recordar que el programa Ping es una herramienta sencilla que permite a cualquier persona (por ejemplo, un administrador de red) para verificar si un host está vivo o no. El programa Ping en el host de origen envía un paquete a la dirección IP de destino; si el objetivo está vivo, el programa Ping en el host de destino responde enviando un paquete de vuelta al servidor de origen. Como ya habrán adivinado (dado que esta práctica se trata de ICMP), ambos de estos paquetes Ping son paquetes ICMP. Se realizará lo siguiente: • Vamos a comenzar esta aventura abriendo la aplicación del símbolo del sistema de Windows (que se puede encontrar en la carpeta de Accesorios). • Poner en marcha el analizador de paquetes de Wireshark, y comenzar Wireshark captura de paquetes. • El comando ping se encuentra en c: \ windows \ system32, por lo que escribir cualquiera de ellas "ping -n 10 nombre de host" o "c: \ windows \ system32 \ de ping -n 10 nombre de host" en la línea de comandos de MSDOS (sin las comillas) , donde nombre de host es un host en otro continente. Si estás fuera de Asia, es posible que desee entrar en www.ust.hk para el servidor Web de la Universidad de Hong Kong de Ciencia y Tecnología. El argumento "-n 10" indica que 10 mensajes ping deben ser enviados. A continuación, ejecute el programa Ping escribiendo retorno. • Cuando el programa termina Ping, detener la captura de paquetes de Wireshark. Resultados

Figura 5: Resultado de la implementación del comando ping en la ventana de símbolo de sistema.

Figura 5: Paquetes Request y Reply del comando ping en Wireshark En la imagen mostrada se puede ver el comportamiento que se da entre nuestro equipo y el equipo destino. Teniendo en cuenta que se realizarían 10 pruebas ping es necesario saber que cada una de esas pruebas generaría 2 paquetes, de los cuales uno seria la petición y el otro, la respuesta. Con esto, podemos observar que la lista de paquetes muestra 20 paquetes: las 10 consultas de ping enviadas por la fuente y las 10 respuestas recibidas de ping por la fuente.

Figura 6: Visualización de la fuente y el destino del proceso del comando ping.

Figura 7: Características del paquete ICMP Preguntas ¿Cuál es la dirección IP de su host? ¿Cuál es la dirección IP del host de destino? La dirección IP de mi equipo es 192.168.0.105. La dirección IP del destino host es 143.89.14.2

2. ¿Por qué es que un paquete ICMP no se tiene los números de puerto de origen y de destino? El paquete ICMP no tiene los números de puerto de origen y destino, porque este fue diseñado específicamente para comunicar la información de capa de red entre los hosts y routers, no entre los procesos de capa de aplicación. 3. Examinar uno de los paquetes de solicitud de ping enviados por su anfitrión. ¿Cuáles son los números de modelo y designación ICMP? ¿Qué otros campos tiene este paquete ICMP? Cuántos bytes son los campos de suma de comprobación, y el identificador de número de secuencia?

Mediante la visualización obtenida de Wireshark se puede observar que el paquete de ping request tiene como numero de modelo o tipo ICMP, el 8, y en número de código, el 0. Además se pudo apreciar que el paquete ICMP también cuenta con otros campos como lo son El identificador, el checksum, número de secuencia, y los campos de datos. 4. Examinar el paquete de respuesta de ping correspondiente. ¿Cuáles son los números de modelo y designación ICMP? ¿Qué otros campos tiene este paquete ICMP? Cuántos bytes son los campos de suma de comprobación, y el identificador de número de secuencia?

Con la ayuda del filtro de Wireshark, pudimos ver el comportamiento del paquete de respuesta correspondiente al paquete ping de petición del punto 3. Se puede mencionar que tiene como numero de modelo, el número 0 y como numero de código, el 0. Este paquete de ICMP tiene diversos campos como: el checksum, El identificador, número de secuencia.

ICMP y Traceroute

Traceroute se lleva a cabo de diferentes maneras en Unix / Linux / MacOS y Windows. En Unix / Linux, la fuente envía una serie de paquetes UDP al destino objetivo usando un número de puerto de destino poco probable; en Windows, la fuente envía una serie de paquetes ICMP al punto de destino. Para ambos sistemas operativos, el programa envía el primer paquete con TTL = 1, el segundo paquete con TTL = 2, y así sucesivamente. Recordemos que un router disminuirá el valor TTL de un paquete como el paquete pasa a través del router. Cuando un paquete llega a un router con TTL = 1, el router envía un paquete de error ICMP de vuelta a la fuente. En lo que sigue, vamos a utilizar el programa tracert de Windows nativo. Una versión shareware de un buen programa de Windows Traceroute es mucho pingplotter (www.pingplotter.com). Vamos a utilizar en nuestro laboratorio pingplotter Wireshark IP, ya que proporciona una funcionalidad adicional que necesitaremos allí. Se realizará lo siguiente: • Vamos a empezar abriendo la aplicación del símbolo del sistema de Windows (que se puede encontrar en la carpeta de Accesorios). • Poner en marcha el analizador de paquetes de Wireshark, y comenzar Wireshark captura de paquetes. • El comando tracert se encuentra en c: \ windows \ system32, por lo que escriba sea "nombre de host tracert" o "c: nombre de host \ windows \ system32 \ tracert" en la línea de comandos MS-DOS (sin las comillas), donde nombre de host es un anfitrión en otro continente. (Tenga en cuenta que en una máquina Windows, el comando es "tracert" y no "traceroute".) Si estás fuera de Europa, es posible que desee entrar en www.inria.fr para el servidor Web en el INRIA, un equipo de investigación en ciencias instituir en Francia. A continuación, ejecute el programa Traceroute escribiendo retorno. • Cuando el programa termina Traceroute, detener la captura de paquetes de Wireshark. Resultados

Figura 8: Resultado de la implementación del comando tracert en la ventana de símbolo de sistema.

Figura 9. paquete ICMP devuelto por un router Preguntas 5. ¿Cuál es la dirección IP de su host? ¿Cuál es la dirección IP del host de destino? Revisando el Wireshark, pudimos apreciar que el ip de origen es 192.168.0.105 y el de destino es 128.93.162.84. 6. Si ICMP envía paquetes UDP en vez (como en Unix / Linux), sería el número de protocolo IP siendo 01 para los paquetes de sondeo? Si no es así, ¿cuál sería? No es como se indica. Si ICMP envía paquetes UDP, el número de protocolo IP debe ser 0x11 7. Examine el paquete de eco ICMP en su pantalla. Se diferencia de los paquetes ICMP de consulta de ping en la primera mitad de este laboratorio? En caso afirmativo, ¿cómo?

Mediante la captura se puede observar que el paquete de Eco ICMP está conformado por los mismos campos con los que cuenta el paquete de consulta de ping. 8. Examine el paquete de error ICMP en su pantalla. Cuenta con más campos que el paquete de eco ICMP. ¿Qué se incluye en esos campos?

Gracias a capturas realizadas con la ayuda del software Wireshark se puede verificar que el paquete de error ICMP no es el mismo que los paquetes de consulta ping. Contiene tanto la cabecera IP y los primeros 8 bytes del paquete original de ICMP. 9. Examinar los últimos tres paquetes ICMP recibidos por el host de origen. ¿Cómo son estos paquetes diferentes de los paquetes ICMP de error? ¿Por qué son diferentes?

Mediante la captura realizaba a Wireshark, se puede apreciar que los últimos tres paquetes ICMP son mensajes de tipo o modelo 0 los cuales corresponden a respuesta de eco, en lugar de 11 el cual corresponde a la expiración de TTL. Con esto se puede decir que ellos son diferentes porque los datagramas han realizado toda la ruta hacia el host de destino antes de la expiración de TTL 10. Dentro de las mediciones tracert, ¿existe un vínculo cuyo retraso es significativamente más largo que los demás? Consulte la pantalla de la Figura 4, hay un enlace cuyo retraso es significativamente más largo que los demás? Sobre la base de los nombres de router, se puede adivinar la ubicación de los dos routers en el extremo de este enlace?

Mediante esta captura se puede apreciar que el salto o retraso más grande se da entre los pasos 8 y 9. Considerando los equipos a los que estos hosts están conectados se puede apreciar que la información va desde un servidor cw.net el cual el símbolo detecta en New York y estos paquetes llegan a Paris, Francia.