REDES DE COMUNICACIÓN I
1
WIRESHARK (Septiembre 2012) Yineth Paola Pérez Báez
[email protected] — Palabras Claves; Wireshark, ping 4.2.2.2,
que se utiliza para acceder fácilmente a las capas de red de bajo nivel.
I. RESUMEN Todo administrador de red o seguridad, tarde o temprano se ve obligado a enfrentar algún problema que lo obligue a analizar qué está sucediendo en su red en el nivel más bajo que pueda. En este primer artículo intento dar una introducción al análisis de protocolo y cómo este nos puede servir para: solucionar problemas, analizar el desempeño de las redes, desarrollar software y protocolos. II. INTRODUCCIÓN
U
na herramienta básica para observar los mensajes intercambiados entre aplicaciones es un analizador de protocolos (packet sniffer). Un analizador de protocolos es un elemento pasivo, únicamente observa mensajes que son transmitidos y recibidos desde y hacia un elemento de la red, pero nunca envía él mismo mensajes. En su lugar, un analizador de protocolos recibe una copia de los mensajes que están siendo recibidos o enviados en el terminal donde está ejecutándose. Está compuesto principalmente de dos elementos: una librería de captura de paquetes, que recibe una copia de cada trama de enlace de datos que se envía o recibe, y un analizador de paquetes, que muestra los campos correspondientes a cada uno de los paquetes capturados III. .MARCO TEORICO A. Wireshark Wireshark antes conocido como Ethereal es un software que es usado para ver en forma detallada las estadísticas acerca de las interfaces configuradas, los sockets y las tablas de enrutamiento de la red. Muestra en varios formatos el contenido de las estructuras de datos que contienen información relacionada con la red, además de esto permite capturar y analizar las tramas Ethernet. Funciona en varios sistemas operativos y es software de distribución libre lo que hace que sea una ventaja para el desarrollo de este proyecto. Para el correcto funcionamiento del Wireshark es necesario de la herramienta WinPcap, para el establecimiento de las interfaces a sniffear. Esta herramienta accede a la red directamente a la capa de enlace en los entornos Windows, permitiendo a las aplicaciones capturar y transmitir paquetes de la red. Conforme a lo anterior se puede decir que WinPcap establece un directo curso que extiende el sistema operativo para proporcionar acceso de bajo nivel de red, y una biblioteca
IV. PROCEDIMIENTO A. Configuración de Captura Wireshark Para el uso del Wireshark con la intención de la captura de las trazas se siguió los siguientes pasos: Paso 1. Acceder Wireshark. Paso 2. En la barra de herramientas del Wireshark seleccionar la opción Edit preference. Paso 3. Elegir la opción Columns. En esta parte el Wireshark muestra información de las características que se quiere saber sobre el tráfico a capturar (paquetes), dando la opción de elegir la información de interés por el usuario, como los son:
No: es la etiqueta o el número de identificación de cada uno de los paquetes. Time: hace referencia al instante en que llega el paquete, este puede ser tanto de llegada al fuente como al destino. Source: esta muestra la dirección de la fuente que está enviando una solicitud. Destination: esta es la dirección del destino la que recibe las solicitudes enviadas y envía lo solicitado. Propocol: el tipo de protocolo con el que se está trabajando para realizar la comunicación de las dos entidades (unidad de equipo con el servidor). Length: tamaño del paquete que llega tanto al destino con a la fuente.
REDES DE COMUNICACIÓN I
2
Info: muestra el dato acerca del suceso que presentó, mostrando el nombre del servidor al que accedió o la acción realizada.
Fig. 3. Interfaz de visualización de Wireshark durante una captura
El tamaño de la muestra es de 5000 paquetes, esta cifra es escogida porque es una muestra donde se puede analizar y ver características del tráfico de forma significativa como se muestra en la figura 4. Fig. 1. Preferencias para la captura
Continuando con la configuración de la captura. Paso 4. se procede entonces a configurar el tiempo de llegada de los paquetes, ajustándolo para que arroje la cifra más significativa que es nanosegundos como se muestra en la figura 2.
Fig. 4. Opciones de Captura
Fig. 2. Formato del tiempo de la captura
Una vez se han realizado estos pasos se puede observar el proceso de captura al Wireshark con la herramienta WinPcap para ejemplo del lector esto se muestra en el figura 3.
Para la obtención de la traza de Wireshark es necesario exportarla a un archivo de texto plano en un tipo de formato CSV Comma Separate Values summary (*.cvs). Este tipo de formato da la gran ventaja de exportar los datos de una manera mucho más ordenada, debido a que lo hace por columnas, según las características que se hallan seleccionado en el Edit preference. El archivo de la traza se puede ver en la figura 4.
REDES DE COMUNICACIÓN I
3 A. Escenarios principio Cuándo utilizar test Ping
Figura 5. Archivo de texto plano exportado de Wireshark
V. ANÁLISIS Y RESULTADOS
Para verificar la conectividad del computador al router. Para verificar la actividad de la red. Para verificar la conectividad a Internet. Puede utilizar una dirección IP (es decir, 4.2.2.2 o 8.8.8.8) para comprobar si el router está conectado. Esto es útil cuando se puede ver una dirección IP de su proveedor de servicios de Internet (ISP) en la página de estado del router, pero no puede navegar por cualquier sitio web. Usted también puede hacer ping a un sitio web (por ejemplo www.facebook.com) para verificar la conectividad total a Internet. Si puede hacer ping al sitio web y obtener respuestas, pero el equipo aún no puede navegar por otros sitios web, que te dice que hay un problema en el equipo y no un problema del router.
B. Las respuestas de ping Ping funciona mediante el envío de un Internet Control Message Protocol (ICMP) Echo Request a una interfaz especificada en la red y a su vez, envía respuestas para validar la conexión. Figura 6. Filtro de Protocolo HTTP
Ping es una herramienta de diagnóstico que permite al usuario verificar que una dirección IP particular existe y puede aceptar peticiones. Una prueba de ping ayuda a rastrear la comunicación entre el ordenador y el router o cualquier dispositivo conectado a la red. El comando ping también se puede utilizar para la solución de problemas para probar la conectividad y el tiempo de respuesta medida. Realización de una prueba de ping en el marco de sus pasos de solución de problemas será de gran ayuda en la solución de problemas de conectividad, tanto para computadoras cableadas e inalámbricas.
La respuesta del comando ping es lo más importante para mantener un ojo en la hora de realizar una prueba de ping. Sabiendo lo que significa cada respuesta ayudará a identificar la ruta de solución de problemas de derecho. A continuación se presentan las respuestas principales que comúnmente vemos al hacer ping. • Responder a - Significa que la conexión es buena. • Tiempo de espera agotado - El comando ping ha agotado el tiempo porque no hubo respuesta desde el host o el host de destino no funciona. • Host desconocido - Esta respuesta significa que el equipo no puede reconocer la dirección IP que está intentando hacer ping. Por lo general, este mensaje de error se recomienda al usuario comprobar la ortografía del nombre de host. • Red de Destino / Host unreachable - Esto significa que el host que está tratando de hacer ping no funciona o no está funcionando en la red. • Error de hardware - Esto generalmente significa que el adaptador de red está deshabilitado o que haya desenchufado el cable Ethernet.
Figura 7. Ping 4.2.2.2
REDES DE COMUNICACIÓN I
4
PROTOCOLOS
E. Capa de Enlace
A. Capa de Aplicación HTTP: Hypertext Transfer Protocol (protocolo de transferencia dehipertexto) es el protocolo usado en cada transacción de la World Wide Web. SDDP: Protocolo Simple de Descubrimiento Servicios (Simple Service Discovery Protocol) es protocolo que sirve para la búsqueda dispositivos UPnP ( conjunto de protocolos comunicación que permite a periféricos en red.
de un de de
Un paquete SSDP consiste en un HTTP-Request con la instrucción 'NOTIFY' para anunciar o con 'M-SEARCH' para buscar un servicio. El HTTP-Body queda vacío. La cabecera contiene atributos específicos de UPnP. DNS: Domain Name System (sistema de nombres de dominio) es un sistema de nomenclatura jerárquica para computadoras, servicios o cualquier recurso conectado a Internet o a una red privada.
ARP: Address Resolution Protocol (Protocolo de resolución de direcciones).Es un protocolo de la capa de enlace de datos responsable de encontrar la dirección hardware (Ethernet MAC) que corresponde a una determinada dirección IP. MODO ATAQUE En una red wireless, puedes obtener la información de las personas que están navegando por internet utilizando ese medio. Esa seria la manera de ataque utilizando Wireshark para monitorear la red y así mirar normalidades al instante. Direcciones IP Nombre de Host Router y Rutas de Transmisión Datos (texto plano) Información de Protocolos
FTP (File Transfer Protocol, Protocolo de Transferencia de Archivos) es ofrecido por la capa de aplicación del modelo de capas de red TCP/IP al usuario, utilizando normalmente el puerto de red 20 y el 21. B. Capa de sesión SSL: Secure Sockets Layer (capa de conexión segura) son protocolos criptográficos que proporcionan comunicaciones seguras por una red, comúnmente Internet. C. Capa de Transporte UDP: User Datagram Protocol es un protocolo del nivel de transporte basado en el intercambio de datagramas. TCP: Transmission Control Protocol (Protocolo de Control de Transmisión), es uno de los protocolos fundamentales en Internet. D. Capa de Red ICMPv6: Protocolo de Mensajes de Control de Internet Versión 6 (ICMP para IPv6) es una nueva versión de ICMP y es una parte importante de la arquitectura IPv6.
CONCLUSIONES Wireshark es un programa muy útil para este tipo de cosas, tanto para ahondar en software que no conocemos como para investigar la seguridad de nuestro equipo. No me ha parecido un software extremadamente intuitivo, y queda el experimentar con más filtros y probar a fondo el programa. Como hemos visto, Wireshark viene provisto de innumerables funcionalidades gracias a las cuales podremos identificar y analizar múltiples problemas de red, no solo aquellos causados por malas configuraciones o fallos en dispositivos sino también un gran abanico de ataques, externos e internos, que pueden tomar diversas formas. Wireshark, aparte de ser uno de los mejores analizadores de protocolos actuales, es una excelente fuente de conocimiento para todo entusiasta de las redes y las comunicaciones. REFERENCIAS [1] http://www6.nohold.net/Cisco2/ukp.aspx?pid=82&vw=1&articl eid=24664 [2] http://www.wireshark.org/
ANEXOS
REDES DE COMUNICACIÓN I Traza 1: PRIMEROEX Traza 2: SEGUNDOEX Traza 3: TERCEROEX Traza 4: CUARTOEX Primer Autor Yineth Paola Pérez Báez Estudiante de Ingeniería de Telecomunicaciones. Fundación Universitaria San Martín.
5