Está en la página 1de 7

REPUBLICA BOLIVARIANA DE VENEZUELA MINISTERIO DE LA DEFENSA UNIVERSIDAD NACIONAL EXPERIMENTAL POLITECNICA DE LA FUERZA ARMADA NACIONAL NCLEO MARACAY INGENIERIA

DE TELECOMUNICACIONES LABORATORIO DE REDES DE TELECOMUNICACION

PRCTICA 2 CAPTURA Y ANLISIS DE TRFICO


OBJETIVOS 1. Conocer y utilizar un analizador de trfico para capturar datos. 2. Analizar los datos que circulan por la red y extraer conclusiones a partir de los paquetes capturados. 3. Conocer como detectar problemas causados por fallas o congestin, y adems entender mejor cmo funcionan los protocolos de comunicacin. INTRODUCCIN Existe una gran variedad de herramientas que permiten capturar los datos que viajan por las redes de comunicacin y posteriormente analizarlos. Se les conoce como: analizadores de protocolos, analizadores de redes, analizadores de trfico, sniffers. Ellos son muy tiles para los ingenieros, tcnicos y administradores de redes, ya que por medio del monitoreo permiten encontrar y solucionar variados y complejos problemas. Tambin son una excelente ayuda didctica para entender cmo funcionan los protocolos de las redes modernas. Pero representan un arma peligrosa en mano de personas mal intencionadas porque pueden capturar datos confidenciales (ej. contraseas) que no estn encriptadas. Algunos de los productos comerciales ms conocidos son: Iris ( www.eeye.com), Agilent Advisor (www.agilent.com), Sniffer Pro (www.nai.com). Ethereal (www.ethereal.com), es una herramienta rpida, simple y gratuita, al contrario de los anteriores, que son comerciales. Requiere un driver especial llamado WinPcap para capturar los paquetes. Tcpdump es una herramienta para ambiente Linux muy verstil, especialmente utilizada en tareas de seguridad informtica (por ejemplo, en la evaluacin de la seguridad de una red) as como en el anlisis del funcionamiento de las redes. Le versin para Windows es conocida como WinDump. Libpcap es una biblioteca de funciones para aplicaciones que requieran captura de paquetes, colocando la tarjeta de red en modo promiscuo. Se trata de una librera utilizada por una gran cantidad de productos: Tcpdump, Ethereal, Snort (sistema de deteccin de intrusos) y muchos otros programas. En esencia, los analizadores de protocolos capturan y almacenan los datos que viajan por la red. de esta forma, los tcnicos y administradores responsables de una red disponen de una ventana para ver lo que est ocurriendo en la misma, permitindoles solucionar problemas de fallas y congestin o estudiar y modelar el comportamiento de la red mediante la visin del trfico que circula. Si bien existen analizadores de redes en hardware (como Agilent Advisor) con la interfaz adecuada para distintas tecnologas (ATM, SDH, Frame Relay, etc.), la mayora de los analizadores de red son productos de software que utilizan la tarjeta de interfaz de la red (NIC, esto es Network Interface Card) para capturar indiscriminadamente todo el trfico Ethernet que circula por el hub (concentrador de cableado) en vez de solamente el trfico enviado especficamente a esa mquina. Tenga en cuenta que el hub acta como un repetidor y el trfico que llega a un puerto, es transmitido a todos los dems puertos. Si se utiliza una laptop, sta se puede fcilmente conectar al segmento de red que se quiere analizar.

Realizado por: Ing. Carlos Aparicio UNEFA 2006

Normalmente una tarjeta Ethernet descartara cualquier trfico que no vaya dirigido a ella o a la direccin de difusin de la red, por lo que el analizador deber hacer que la tarjeta entre en un estado especial denominado modo promiscuo. Una vez que la tarjeta se encuentra en ese modo, el analizador puede capturar y analizar cualquier trfico que pase por el segmento local Ethernet. Esto limita de algn modo el alcance de un analizador, puesto que no ser capaz de capturar el trfico externo al dominio local de la red (es decir, ms all de los routers, switches u otros dispositivos de segmentacin). Es obvio que un analizador hbilmente situado en el backbone (columna vertebral) de la red, en un enlace interred, o en otro punto de agregacin de la red, podr capturar un volumen mayor de trfico que otro colocado en un segmento aislado de Ethernet. Por ejemplo, muchas redes tienen un router en la periferia conectado por un lado a Internet y por el otro a un switch que interconecta las PCs. En este caso un buen sitio es colocar el analizador entre el router y el switch. Tenga en cuenta que un switch acta como un bridge (Puente) y el trfico que llega a un puerto, es transmitido slo al puerto donde est la mquina de destino. Los switches a veces permiten configurar un puerto (mirror) al cual se puede redirigir el trfico de cualquier otro puerto. Otra forma es utilizar un mini hub de 3 puertos, conectando all el switch, el router y el analizador.

Como sucede con la mayora de los recursos a disposicin de los administradores de redes, su uso se ha subvertido para realizar tareas en provecho de los intrusos y curiosos. Imagnese la enorme cantidad de datos importantes que pasan a travs de una red. Estos datos incluyen el nombre de usuario y su contrasea, mensajes de correo electrnico confidenciales, transferencia de archivos con datos financieros, etc. En un momento u otro, si esta informacin se enva a travs de una red, se convierte en bits y bytes que son visibles para alguien que emplee un analizador en algn punto de la ruta de los datos. Una red Ethernet compartida mediante un hub entonces es extremadamente vulnerable ante un analizador, puesto que en este tipo de redes todo el trfico se transmite a todas las mquinas conectadas al hub. Una red Ethernet conmutada (mediante un LAN switch) esencialmente sita a cada mquina en su propio dominio de colisin, de forma que solamente el trfico broadcast y el trfico destinado a esa mquina especfica alcanza la NIC. Una ventaja adicional para considerar al pasarse a una red conmutada es su mejor desempeo, al reducir la congestin. El costo de un LAN switch es ya comparable al costo de un hub tradicional, por lo que ya no existe ninguna excusa para seguir adquiriendo tecnologa Ethernet compartida. En todo caso los switches no eliminan completamente el riesgo de escucha. En efecto, existen nuevos analizadores como Ettercap (http://ettercap.sourceforge.net) que utilizan la tcnica de ARP poisoning para alterar las tablas del switch a fin de que enve las tramas a la direccin Ethernet donde se encuentra la mquina espa, adems de enviarlas a la mquina legtima. As que para mxima seguridad, el uso de switches debera complementarse con la encriptacin. Los sniffers clandestinos son un peligro serio y existen dos tcnicas bsicas para detectarlos: una basada en host y otra basada en la red. La tcnica ms directa basada en host consiste en determinar si la tarjeta de red de esa mquina est funcionando en modo promiscuo. En Unix, los sniffers aparecen en la lista de procesos y tienden a crear, con el tiempo, grandes archivos de registro, as que sencillos scripts que utilicen los comandos ps, lsof y grep pueden sacar a la luz alguna actividad sospechosa de tipo sniffer. Los intrusos ms inteligentes casi siempre disfrazan el proceso de sus sniffers e intentan esconder en un directorio oculto los archivos de registro que crean, por lo que estas tcnicas no son siempre efectivas. Existen distintas tcnicas para detectar la presencia de sniffers en una red. Por ejemplo, si mediante un agente SNMP instalado en una PC sospechosa se chequean las estadsticas de los paquetes IP recibidos y se ven que son anormales, se puede pensar que en esa PC est activo un sniffer. Tambin se dispone de herramientas especializadas, tales como PromiScan, AntiSniff y Neped.
Realizado por: Ing. Carlos Aparicio UNEFA 2006

Ethereal Ethereal (www.ethereal.com), es una analizador de protocolos rpido, simple y gratuito, al contrario de Iris, Agilent Advisor o Sniffer Pro, que son productos comerciales. Tethereal es la versin TTY (cnsola) de Ethereal, es decir que no posee la interfaz grfica, por lo cual es mucho ms eficiente y no carga tanto el PC. Permite mostrar en la pantalla los datos que se capturan o vaciarlos (dump) a un archivo para su posterior anlisis con Ethereal u otro analizador de protocolos.

Interfaz y mens Ethereal funciona en modo grfico y est programado con la librera de controles GTK. La ventana principal de la aplicacin se divide en tres partes de visualizacin y una zona inferior de trabajo con filtros.

En la primera parte (1) se muestra la informacin ms relevante de los paquetes capturados, como, por ejemplo, las direcciones IP y puertos involucrados en la comunicacin. Seleccionando un paquete en esta seccin podemos obtener informacin detallada sobre l en las otras dos secciones de la pantalla que comentaremos a continuacin. En la parte central de la ventana (2) se muestra, utilizando controles tree-view, cada uno de los campos de cada una de las cabeceras de los protocolos que ha utilizado el paquete para moverse de una mquina a la otra. As, si hemos capturado una serie de paquetes de, por ejemplo, una conexin telnet, podremos ver las cabeceras del protocolo TCP, del IP y de los que tengamos debajo de ellos (trama Ethernet, por ejemplo, en una red Ethernet). La tercera parte de la ventana (3) muestra un volcado hexadecimal del contenido del paquete. Seleccionando cualquier campo en la parte central de la ventana se mostrarn en negrita los datos correspondientes del volcado hexadecimal, los datos reales que estn viajando por la red. En la barra inferior aparecen cuatro componentes muy interesantes a la hora de hacer anlisis de capturas: Creacin de filtros (A), filtro actual (B), borrar filtro (C) y mensajes adicionales (D). Para obtener un mayor detalle de estos mens, se debe consultar la gua del usuario en la pgina Web de la aplicacin.

Realizado por: Ing. Carlos Aparicio UNEFA 2006

Captura de Datos Seleccione Capture | Interfaces. Aqu seleccione la interfaz a utilizar (ej. Ethernet) pulsando Prepare. Nota: Si la interfaz Ethernet no se puede seleccionar, significa que probablemente no est instalado correctamente el driver WinPcap y tiene que volver a instalarlo. A continuacin se abre una ventana que permite definir las opciones de la captura. Active la opcin Update lists of packets in real time, ya que de otro modo los datos se envan a un buffer y slo se ven al parar la captura (esto sera conveniente si hay mucho trfico y entonces la PC podra sobrecargarse).

Tambin active Automatic scrolling in live capture y Hide capture info dialog. Si desactiva la opcin Capture packets in promiscous mode, solamente capturar las tramas Ethernet que salen o entran a su mquina. Nota: Si est usando una tarjeta inalmbrica para WLAN que no soporta el modo promiscuo, quizs tenga que desactivar esta opcin para capturar el trfico. Si activa Limit each packet to 68 bytes, solamente va a capturar el inicio de las tramas, es decir los encabezados, ya que los datos del usuario a menudo no son relevantes para diagnosticar problemas. Adems as se reduce la carga sobre Ethereal. Si desactiva las opciones Name Resolution, no se traducen direcciones numricas (MAC, IP, puertos) a nombres (por ejemplo, interrogando el DNS). De esta forma el despliegue en pantalla es mucho ms rpido y hay menos posibilidad de que se pierdan algunas tramas. Finalmente pulse Start y si hay trfico, debera empezar a llenarse la pantalla de datos capturados en tiempo real. Puede parar la captura mediante Capture | Stop. Utilice la opcin Statistics en el men de Ethereal para obtener informacin valiosa para este fin. Analice los datos capturados y determine si su PC de encuentra conectada a un switch o a un hub (concentrador). Aydese tambin usando Statistics en el men de Ethereal. Razone su conclusin. Filtros de captura Ethereal permite filtrar la informacin acerca de los paquetes capturados, tanto en el momento de la captura de los mismos como en la visualizacin. Ethereal utiliza la misma sintaxis para la definicin de filtros que la orden de Unix tcpdump. La descripcin que se ofrece a continuacin no es ms que una adaptacin de la informacin que aparece en la pgina man de tcpdump.

Realizado por: Ing. Carlos Aparicio UNEFA 2006

Un filtro de precaptura (Capture | Start | Capture Filter ) permite evitar que se acumulen datos irrelevantes en la pantalla y en el buffer. Pruebe a capturar el trfico IP de su PC mediante la expresin host <direccin IP>, tal como se muestra en la figura.

A continuacin seleccione Capture | Start y pulse Capture Filter. Aqu seleccione el nombre del filtro que cre anteriormente (Ej. mi PC).

La expresin para los filtros precaptura (a la entrada) es distinta de los filtros postcaptura (a la salida, es decir, Display Filter) y se basa en la sntaxis del conocido programa de Unix llamado tcpdump, cuya versin para Windows se llama Windump. Un filtro de captura tiene la forma de una serie de expresiones primitivas unidas mediante las conjunciones and/or y opcionalmente precedidas por not: [not] primitive [and|or [not] primitive ...] Una primitiva es una expresin como la siguiente, que permite filtrar el trfico de un host por direccin IP o por nombre: [src|dst] host <host> Las palabras opcionales src|dst permiten especificar que estamos interesados slo en el trfico de la fuente o del destino. Por ejemplo, el siguiente filtro nos permite ver slo la respuestas a un ping a www.cantv.net src host www.cantv.net La siguiente expresin permite filtrar paquetes que vayan o vengan de la red 10.20.30: net 10.20.30 La siguiente expresin permite filtrar por puertos TCP o UDP: [tcp|udp] [src|dst] port <port> Por ejemplo, capturar todo el trfico http, excepto el del host 10.0.0.5
Realizado por: Ing. Carlos Aparicio UNEFA 2006

tcp port 80 and not host 10.0.0.5 La siguiente expresin permite filtrar por direcciones Ethernet: ether [src|dst] host <ehost>

Herramientas de Anlisis de Informacin Existen otras herramientas que permiten facilitar el anlisis de la informacin, dentro de las cuales se tienen: 1. Coloracin de paquetes en funcin de filtros: Que se obtiene por medio del men Display | Colorize Display. Para ello se debe definir un filtro que determine el criterio por el que se determinar qu paquetes se colorearn, tambin se escoge el color de fondo (background) y el color del texto (foreground). Una vez definidos estos datos se debe guardar el filtro (save) y aplicarlo (apply). 2. Seguimiento de un paquete TCP: Por medio de esta opcin se puede reconstruir la informacin que ha pasado por la red en una transaccin TCP. Para emplear esta opcin se debe seleccionar la opcin de men Tools | Follow TCP Stream. Esta opcin de men tambin es contextual y aparecer al hacer clic con el botn derecho del ratn en un paquete con el protocolo TCP.

LABORATORIO Instale y configure una LAN mediante el uso de un Switch conectado a un Hub empleando los cables desarrollados en la practica 1. Algunos host se conectarn al Switch y otros al Hub. Una vez lograda la conexin, ejecute Ethereal en todas las PCs de la LAN. Efectu el comando ping entre los host para empezar a capturar datos. Observe los resultados en la interfaz de ethereal tal cual se describi en la introduccin de esta gua. Utilice filtros de captura, filtros de visualizacin y filtros que apliquen color a los paquetes capturados, empleando los asistentes que posee la aplicacin.

Filtros para aplicar color Crear filtros permanentes Filtros de visualizacin

Active la aplicacin NetMeeting (si en el host no se encuentra configurado el NetMeeting, desde Inicio | Ejecutar, teclee conf y presione aceptar, posteriormente siga las instrucciones que le irn apareciendo en ventanas consecutivas), emplee los diversos servicios que posee esta aplicacin (compartir un programa, conversacin, pizarra y transferir archivos) y observe los paquetes capturados. Ejecute ahora una sesin con la aplicacin Hyper Terminal (programa muy utilizado para configurar routers en forma remota como por cable de consola) y escriba cualquier texto e intercambie algunos archivos de poco tamao con lo cual podr ver los paquetes que se transmiten. Seleccione capture | interfaces y elija la NIC Wireless presione prepare y configure la captura como en las actividades anteriores, esta vez se analizar los paquetes que se transmite en la WLAN del laboratorio.

Realizado por: Ing. Carlos Aparicio UNEFA 2006

POST-LABORATORIO Elabore un informe: 1. Al ejecutar Ethereal en todos los equipos, cuando se efecta el comando ping entre ellos Qu paquetes se capturan en los host que estn conectados al Switch y en los que estn conectados en el Hub? Explique. 2. Cules protocolos de comunicacin intervienen en las actividades desarrolladas en esta prctica?, diga cual es la finalidad de cada uno? 3. Mencione que aspectos positivos y negativos se generan mediante el uso de sniffers en redes de computadoras?

Realizado por: Ing. Carlos Aparicio UNEFA 2006