Taller Wireshark - Diego Pulgarin - Juan Fernando Duque

 

Taller Sniffers WIRESHARK parte I

Integrantes: Diego Alonso Pulgarín Patiño Juan Fernando Duque Gómez

Instructor: Lina Mckoll

Código De Grupo: 176052

Centro De Servicios Y Gestión Empresarial Sena

2012

 

ANALISIS DE DE PROTOCOLOS DE APLICACION INFRAESTRUCTURA: Se cuenta con dos maquinas virtuales dentro de una red interna, una tiene sistema opertativo backtrack para hacer las practicas con wireshark y la otra un sistema operativo windows donde se encuentran los servicios DHCP, DHCP, WEB, FTP. FTP. 1. WEB Se instalo un servidor web por el puerto 80 donde hay un simple documento en texto plano. Se inicio el wireshark como lo especifica la guía y se puso a capturar todo el entrante y saliente por la interfaz de la red. Se abrió un navegador y hizo una conexión con la el servidor web digitado su IP en la barra de dirección, y se analizo el trafico que estaba ocurriendo en ese momento:

 

Como se puede observar la comunicación empresa con un inicio de sesión TCP donde el cli client ente preg pregu unta nta al serv servid idor or si est esta di disp spon onib iblle en el pu puer ertto 80 uti utili liza zand ndo o sus sus IP correspondientes y el servidor le responde afirmativamente luego el cliente afirma esta y procede pedirle la solicitud de una pagina web:

La solicitud es una petición GET, y el servidor le responde en un mensaje http mandándole en texto plano la información de la pagina index que se esta visualizando.

Como se puede observar se captura el mensaje y se puede visualizar el texto. Luego de esto el cliente procedo a finalizar la comunicación y el servidor le se despide, luego el cliente hace lo mismo acabando con sesión TCP TCP..

 

Luego en el servidor servidor se cambio el puerto por el cual estaba corriendo corriendo el servicio, servicio, se cambio cambio al 443 para que fuera “mas seguro”, y se volvió a pedir desde el cliente una solicitud en el navegador por ese puerto:

Esta ves tamiben se inicia una comunicación TCP como el caso anterior solo que esta vez la solicitud enviada se hace por el protocolo SSL por el puerto 443 y el wireshark lo toma como una comunicación https, luego de hacer la solicitud el servidor le responde:

Esta ves también se pude observar todo el contenido del paquete por lo cual al final no es tan segura esta comunicación. Luego Lu ego se envían los paquetes del fin de la sesión TCP. TCP.

 

2. FTP Se instalo un servidor FTP en el servidor de windows por el puerto 21, asociándolo a una carpeta, con permiso para p ara leer, bajar y modificar. Se inicio una comunicación con el FTP por medio de la consola:

Se ingreso la IP, el usuario FTP y la contraseña, cuando se hace la comunicación se ingresa en la consola ftp, estas son los paquetes capturados hasta el momento:

Como se muestra al principio también comienza una comunicación TCP como en el web, (la trama 2 y 3 son del descubrimiento ARP para el envío de la trama), luego de responde que esta disponible el servicio ftp por el puerto 21 el servidor le pregunta el usuario para la conexión y el cliente lo digita y le envía en este caso es root,

 

Luego se digita la contraseña pero como se puede ver la contraseña no es segura porque se puede pue de ver al capt captur urar ar es este te paqu paquet ete, e, lu lueg ego o el serv servid idor or respon responde de qu que e se ha logue loguead ado o correctamente y en este punto se puede empezar a hacer uso de este recurso.

En esta ocasión se pide una lista de todos los archivos y directorios que el ftp tiene para compartir. Cuando se revisan los paquetes, la información es:

 

Se puede observar en esta imagen que la comunicación TCP se sigue manteniendo, en el moment mom ento o en que se ingresa ingresa el comando comando el client cliente e crea otra coneccion coneccion TCP para enviar enviar enviar información, luego de avisar que va a enviar, manda el paquete con la petición list como se puede ver en la imagen. El servidor recibe el mensaje y abre otra comunicación TCP para enviar la información información solicitada, empieza empieza la comunicación e inicia la transferencia de archivos:

Luego recibe este mensaje donde muestra la información solicitada y por ultimo termina la comunicación TCP. Cuando se digital un comando incorrecto la consola en el cliente sabe que es incorrecto y no lo envía, evitando el tracio; luego se hizo una solicitud para descargar un archivo:

Con este comando se le pide al servidor un archivo en especifico, este es el trafico:

 

Comienza con el inicio de la comunicación TCP, luego el cliente envía la solicitud Requet del archivo Juan.txt en este momento se inicia otra comunicación para bajar los paquetes, en este punto el servidor empieza a mandarlos y luego finaliza la comunicación con el cliente. 3. DHCP Se instalo un servidor DHCP en windows 7, por el puerto 67 y 68, se hizo un pool basico con unas direcciones asociadas a la red:

Cuando desde el cliente se pide una dirección IP por dhcp el trafico es el siguiente:

 

Se puede ver que hay paquetes DHCPv6 pero solo nos concentraremos en los DHCP normal, lo que pasa es que el cliente que no tiene ninguna IP (0.0.0.0), manda unas discover en broadcast de servicio DHCP, buscando que servidores le pueden ofrecer ip. Luego el servidor la recibe y manada otro brodcast a la red ofreciendo su servicio DHCP. El cliente recibe todas las ofertas que puede encontrar y escoge un servidor, procede a solicitar una configuración TCP/IP al servidor, el servidor lo recibe y le manda al cliente una direccion IP con esto termina la comunicación y el cliente obtiene su dirección.

 

DEFINICIONES: Modo monitor Modo monitor:: Es el modo en el cual el wireshark se vuelve un monitor del trafico de la interfaz seleccionada, pero por si solo solo monitorea el trafico sea dirigido a esa interfaz como tal. Modo promiscuo:  promiscuo:  Es el modo que a parte de incluir el modo monitor también recibe y analiza todos los paquetes que pasen por la interfaz así no sea uno el origen o destino de los paquetes. Este modo puede ser utilizado por un atacante para analizar todos los paquetes de una red, y de estos sacar información de contraseñas, usuarios, servicios y además información útil, una red inalámbrica es un buen ejemplo porque los paquetes están en el medio y a todos los equipos les llega pero normalmente son rechazados pero wireshark los acepta.

 

CONCLUSIONES Wireshark rk es una herramienta herramienta muy útil para analizar la red y darse cuenta lo que esta  – Wiresha ocurriendo.

 – Su utilización es muy fácil y su entorno es bastante como para ser utilizado.  – Esta herramienta nos puede dar información de procesos, servicios y aplicaciones que están corriendo por la red, por lo cual es una especie de monitorización de trafico.

 – Esta actividad fue muy interesante y muy útil para explora herramientas Sniffers.  – Este actividad permitió la compresión de la comunicación que hay en los servicios básicos.