Documentos de Académico
Documentos de Profesional
Documentos de Cultura
6
Objetivos
Redes de Computadores
La monitorizacin de redes resulta una herramienta fundamental en dos sentidos. Por un lado, permite apreciar de forma realista muchos de los conceptos fundamentales de las redes en general, y de los protocolos TCP/IP en particular (encapsulacin, fragmentacin, secuenciacin de mensajes, etc). Por otro lado, permite realizar un diagnstico muy preciso de las redes en funcionamiento, desde la deteccin de errores, la verificacin de los mecanismos de seguridad y la evaluacin de prestaciones de la red. Es por ello que en esta primera prctica estudiaremos una herramienta gratuita de monitorizacin de redes, denominada Analizer, que trabaja sobre un interfaz de red denominado WinPCap. Es posible encontrar ms informacin en la web http://analyzer.polito.it/ La monitorizacin de red, o captura de tramas, consiste en la obtencin directa de tramas tal y como aparecen a nivel de LAN. Puesto que el medio de transmisin es, generalmente, una lnea de difusin, la monitorizacin permite observar la totalidad de las comunicaciones que tienen lugar a travs de la red, y por tanto resulta una herramienta muy potente, tanto desde el punto de vista positivo (diagnstico de red) como el negativo (compromete la confidencialidad de las comunicaciones). La cantidad de informacin obtenida de una monitorizacin es enorme. Por tanto, es necesario establecer unos filtros de aceptacin, que permiten que las tramas no consideradas relevantes no se almacenen ni muestren al usuario. Los objetivos de la presente prctica pueden resumirse en los siguientes: Que el alumno conozca y comprenda los fundamentos de la monitorizacin de redes, encapsulado de unidades a diferentes niveles y demultiplexacin de las mismas. Que el alumno adquiera la habilidad necesaria para realizar sin dificultades la seleccin de los filtros adecuada. Que el alumno afiance sus conocimientos tericos acerca del protocolo ARP mediante observacin de casos reales.
Captura de tramas
Para comenzar la captura emplearemos la opcin File New Capture, o bien el botn correspondiente en la barra de tareas, indicado en la imagen con una flecha
En ambos casos se abre la ventana de seleccin de filtros. En ella se encuentran varios parmetros importantes: Select Adapter: Permite, en caso de que nuestro computador disponga de diversos interfaces de red, indicar sobre cul de ellos se realizar la captura. Es destacable que en muchos casos se detecta un interfaz de red genrico NDIS que corresponde a un acceso alternativo a la tarjeta de red, o bien las conexiones de acceso telefnico. En tal caso, es conveniente seleccionar el interfaz de ms bajo nivel (por ejemplo, antes la tarjeta que el interfaz NDIS), y tener en cuenta que el acceso telefnico a redes no es totalmente compatible con WinPcap
Promiscouos Mode : En modo normal, las tarjetas de red nicamente almacenan aquellas tramas que han sido dirigidas explcitamente a su direccin MAC, aquellas dirigidas a grupos suscritos o difusiones. Para la monitorizacin entre dos mquinas desde una tercera es imprescindible recibir trama s que no cumplen ninguna de estas tres condiciones, y que por lo tanto seran ignoradas en condiciones normales. Mediante esta casilla se indica al adaptador de red que pase a modo promiscuo, en el cual debe recoger todas las tramas que aparezcan por la red sin considerar las condiciones anteriores. Select Filter: Permite seleccionar cules de las tramas recibidas por el adaptador deben ser almacenadas por el programa. En nuestro caso, comenzaremos probando el protocolo ARP.
En este paso existen varias posibilidades. Una de ellas consiste en seleccionar alguno de los filtros predefinidos en el rbol de la derecha, que representan a las capturas ms habituales. Por otro lado, tambin es posible especificar un filtro mediante un mtodo similar al empleado por el programa TCPDUMP, que se especifica en un anexo al final de la presente prctica. Es necesario realizar un inciso acerca de la visibilidad de tramas. En un medio de difusin, como por ejemplo ethernet sobre coaxial o con hubs, todas las tramas son visibles por todas las estaciones. Sin embargo, si existen en la topologa puentes, conmutadores o pasarelas, estos elementos actan como divisores de dominios de colisin, y por tanto impiden la visibilidad de las tramas que no entran en el dominio de colisin del monitor. El laboratorio de redes se encuentra aislado del resto de la UPVNET por una pasarela router. Por tanto, nicamente sern visibles las tramas correspondientes al laboratorio y los servidores de redes (herodes y zoltar)
Cuando se considere realizada la captura, se detendr mediante el botn Stop y la aplicacin pasar a mostrar los paquetes capturados con el siguiente formato:
Lista de tramas capturadas
Cuando se selecciona en la lista de tramas capturadas en el recuadro inferior aparece un rbol con el detalle de los campos de cada nivel (informacin general, informacin de ethernet, etc. ), y a la derecha un volcado hexadecimal y otro ASCII del campo de datos de la trama.
Pasos
(1) Capturando paquetes IP Como primera aproximacin a la utilizacin de la aplicacin para captura de paquetes y anlisis de protocolos Analyzer, a continuacin realizaremos una captura de paquetes IP y analizaremos los formatos de las tramas generadas que contengan datagramas IP
Paso 1: Iniciamos una captura (File New Capture...), o bien mediante el icono correspondiente, y definimos un filtro que capture todas las tramas que contengan datagramas IP que entren o salgan de nuestro computador. Para realizar esta seleccin podramos seleccionar el protocolo IP del rbol de la derecha (dentro del apartado Network Layer) o bien escribir en el campo User-defined filter el filtro ip. No obstante, si queremos evitar sobrecargar la captura con paquetes de difusin, podemos afinar ms el filtro indicando ip and not ip broadcast and not ip multicast . Asegrate de que el adaptador de red escogido es el correcto y que no ests recibiendo en modo promiscuo Una vez definido el filtro, se comienza la captura de paquetes pulsando OK. Para generar algo de trfico en tu mquina, abre un cliente web (Netscape, Explorer) y accede a la pgina www.redes.upv.es. Cuando haya finalizado la descarga de la pgina seleccionada, detn la captura. Obtendrs un resultado similar al de la figura: Selecciona en la parte superior de la ventana la primera trama que ha generado tu computador. Analiza los diferentes campos de la cabecera de la trama Ethernet y de la cabecera IP. A partir de esta informacin rellena las siguientes tablas: Cabecera de la trama Ethernet capturada:
Direccin fsica destino Direccin fsica origen tipo
Identificacin
flags
desplaz. fragmento
tiempo vida
protocolo
checksum de la cabecera
direccin IP fuente
direccin IP destino
opciones (variable)
En TCP/IP se utiliza un protocolo para la obtencin de direcciones fsicas a partir de direcciones IP dentro de una red de rea local. Este protocolo se conoce con el nombre ARP (Address Resolution Protocol). Los detalles del funcionamiento de este protocolo se han visto en las clases de teora del curso. En esta prctica nos limitaremos a comprobar la existencia de este protocolo a travs de la orden arp de DOS. Esta orden permite ver (y modificar) la cach ARP de nuestro computador. La cach ARP es una tabla que almacena temporalmente las relaciones entre direcciones IP y direcciones fsicas que ha conseguido averiguar nuestro computador utilizando el protocolo ARP. Es importante destacar, que la mayora de estas entradas se generaran automticamente (y de forma transparente al usuario) cuando se ejecuta una aplicacin Internet (ping, cliente web, cliente ftp, etc.). Por tanto, muy rara vez (fuera de esta prctica) es necesario que el usuario modifique manualmente esta tabla. Ms concretamente, la orden arp de DOS permite:
Ver la cach local de ARP (arp a) Eliminar entradas de la cach (arp d direccin_IP o arp d *) Aadir entradas a la cach ( arp s direccin_IP direccin_Fsica)
(2) Utilizando el comando arp. Paso 1: Desde una ventana DOS ejecuta la orden arp a para comprobar que la cach ARP est vaca. Si no lo est, cierra todas las aplicaciones que hagan uso de la red y elimina la entradas del a cach ARP usando la orden arp d *, o simplemente esperando un par de minutos (sin ejecutar nuevas aplicaciones en red) y las entradas desaparecern de la cach. A continuacin ejecuta un navegador WEB para acceder a la mquina 158.42.180.64 (es la direccin de la mquina www.redes.upv.es) mediante el URL http://158.42.180.64 y examina de nuevo la cach ARP. Anota la informacin obtenida en la tabla siguiente:
Direccin IP Direccin Fsica
Paso 2: Elimina manualmente las entradas de la cach ARP (o espera un par de minutos) y utiliza el mismo navegador para acceder al servidor www.uji.es. Anota la informacin obtenida en la tabla siguiente:
Direccin IP Direccin Fsica
Cuestin 1: A qu mquina corresponde la direccin almacenada en la cach?. Consulta la informacin ofrecida por la orden ipconfig para resolver este apartado. Crees que esta direccin corresponde a la mquina www.uji.es? Por qu?
Paso 3: A continuacin emplearemos el Analyzer para observar la secuencia de pasos de una peticin ARP y los efectos en la cach ARP. Para ello necesitaremos ejecutar simultneamente: a) Una ventana MSDOS donde emplearemos el comando arp para ver la cach ARP y la orden ping para generar las peticiones correspondientes. b) El Analyzer para observar el detalle de las tramas que se transmiten y reciben. En primer lugar, prepara la captura con el Analyzer de forma anloga a la empleada anteriorme nte: El objetivo consiste en la captura de todas las tramas ARP relativas a nuestro computador. No lances an la captura. Una vez dispuesto el monitor, en la ventana MSDOS vaca la cach ARP mediante el comando arp d * Tras ello, pon en marcha la captura. Vuelve a la ventana MSDOS y ejecuta la orden ping zoltar.redes.upv.es. Dicha orden ser estudiada con ms detalle en prcticas futuras. Baste decir aqu que causa la transmisin y recepcin de una serie de datagramas IP sobre la mquina destino. A continuacin muestra la cach ARP con la orden arp a. Detn la captura en el Analyzer Rellena la siguiente tabla con el contenido de dicha cach.
N 1 2 3 Direccin IP Direccin Fsica
En un caso ptimo, la captura contendra nicamente dos tramas, un ARP REQUEST y su correspondiente ARP REPLY. No obstante, es habitual que tambin se hayan capturado ARP REQUEST que no estn relacionados con el ping ejecutado. A efectos de este ejercicio, no consideraremos estas tramas. Rellena la tabla siguiente con la informacin extrada del ARP REQUEST Cabecera de la trama:
Direccin fsica destino Direccin fsica origen tipo
Operacin
direccin IP fuente
Direccin fsica 2
direccin IP 2
Rellena la tabla siguiente con la informacin acerca de la trama ARP REPLY Cabecera de la trama:
Direccin fsica destino Direccin fsica origen tipo
Operacin
direccin IP fuente
Direccin fsica 2
direccin IP 2
Cuestin 2: Qu ent rada de la cach ARP observada en la pregunta anterior corresponde con estas tramas?
Cuestin 3: Si existen otras entradas en la cach A que tramas de las capturadas corresponden?
Cuestin 4: De todas estas entradas en la cach Cul crees que se eliminar antes? Por qu?
Paso 4: Monitoriza la cantidad de paquetes ARP que recibe tu PC. Para ello inicia el Analyzer y selecciona la opcin statistics New Real Time monitor. El filtro adecuado es arp. En el ajuste de las caractersticas de monitorizacin selecciona la opcin de visualizar el trfico en nmero de paquetes (show traffic packets ) , dejando el resto de los parmetros con los valores por omisin. A continuacin se nos presentan cuatro tipos de visualizacin: Texto en columna de valores, lneas, barras verticales o diagramas de tartas. Selecciona lneas y procede a la captura. Observa el monitor en marcha durante algunos minutos, y anota de forma aproximada el valor mximo que aparece.
Paquetes/segundo