UNIVERSIDAD FRANCISCO GAVIDIA FACULTAD DE INGENIERIA Y ARQUITECTURA PRIMER PRACTICA DE LABORATORIO CICLO 01- 2014 Asigna !

"a# $E38 $%"a"i%: Sabado de 4:50 p.m a 6:30 a.m P"%'(s%"# #n%. :os/ ;a"l Pineda (-)ai*: rpineda<u,%.edu.s)

G"!&%# 98 A!*a# ;edes

Prctica sobre Analizadores de Protocolos

1. Fundamentos
Para el desarrollo de la prctica se utilizar el analizador de protocolos Ethereal, de libre distribucin y disponible en: http://www.wireshark.com/download.html. Arranque el analizador de protocolos !en" #nicio $odos los pro%ramas &ireshark &ireshark'. (bser)ar una )entana di)idida en tres zonas* en cada una de ellas se muestran los paquetes capturados con distinto ni)el de detalle: En la zona superior se presenta una l+nea por cada trama capturada con un resumen de sus contenidos: bsicamente un n"mero de secuencia, el instante de captura por de,ecto, relati)o al inicio de la captura', ori%en y destino, protocolo ms alto de los detectados, e in,ormacin relati)a al protocolo concreto por e-emplo, en caso de ser un paquete #.!P, puede identi,icar que se trata de una peticin de eco'. $ambi/n es posible a0adir otras columnas para )isualizar ms in,ormacin de cada trama, aunque esto no ser necesario en la prctica. Esta zona es el sitio indicado para obser)ar qu/ secuencia de mensa-es ha tenido lu%ar a %randes ras%os en una comunicacin. 1eleccionando una trama en esta seccin superior se muestra in,ormacin ms detallada sobre la misma en las otras dos zonas. En la zona central se puede )er los )alores de los campos de las distintas cabeceras detectadas en la trama, comenzando por la cabecera del ni)el de enlace por e-emplo, Ethernet', de una manera ,cilmente le%ible, en ,orma de rbol de in,ormacin. 2ste es un buen sitio para buscar, por e-emplo, qu/ )alor tiene el campo $$3 de la cabecera #P de un data%rama determinado. 4inalmente, en la zona in,erior se o,rece el )alor de cada octeto de la trama capturada, escrito en notacin he5adecimal, lo que permite analizar los contenidos del paquete que no han sido decodi,icados en las secciones menos detalladas.

En caso de querer %uardar una captura para analizarla ms adelante, se puede hacer mediante el men" 64ile 1a)e As...7, pudiendo ele%ir entre %uardar todas las tramas capturadas, slo las que se muestran por e-emplo, si se ha aplicado un ,iltro de )isualizacin', o slo las marcadas en caso de haber marcado al%unas tramas'. $ambi/n se puede seleccionar el ,ormato del archi)o por e-emplo, libpcap'. Posteriormente, mediante 64ile (pen...7 es posible abrir cualquier archi)o de captura pre)iamente %uardado.

En este punto, dediquen por lo menos =9 !inutos para conocer la #nter,az y las di,erentes opciones del pro%rama. .apture al%unas trazas. Procedimiento para capturar trazas: 8. Presione el boton que se muestra en un circulo en la si%uiente ,i%ura.

=. Posteriormente, marque todos los check bo5s que se muestran en la si%uiente ,i%ura y presione el botn .apture.

1eleccione la inter,az que )a a estar conectada a la ;ed para captura y presione 6start7 >. En este instante se comenzara a capturar, todos los paquetes de datos que lle%an a su computadora. 3a presentacion de estas capturas es en tiempo real. )ea la opciones ?isplay !ode'

En caso de querer %uardar una captura para analizarla ms adelante, se puede hacer mediante el men" 64ile 1a)e As...7, pudiendo ele%ir entre %uardar todas las tramas capturadas, slo las que se muestran por e-emplo, si se ha aplicado un ,iltro de )isualizacin', o slo las marcadas en caso de haber marcado al%unas tramas'. $ambi/n se puede seleccionar el ,ormato del archi)o por e-emplo, libpcap'. Posteriormente, mediante 64ile (pen...7 es posible abrir cualquier archi)o de captura pre)iamente %uardado. 3a documentacin del analizador se encuentra accesible en !en" #nicio $odos los pro%ramas Ethereal Ethereal ?ocumentation. En ocasiones le ser necesario conocer al%unos parmetros de red de su propia mquina. Para ello, debe e-ecutar la orden 6ipconfig /all7 en una )entana del 61+mbolo del sistema7 !en" #nicio de &indows Pro%ramas Accesorios 1+mbolo del sistema'. Escriba los parmetros de red de su propia mquina: ?ireccin Ethernet ,+sica': ?ireccin #P: !scara de subred:

;outer puerta de enlace' predeterminado: 1er)idor es' de ?@1 predeterminado s':

2. Ping a una mquina interna

En esta parte se )a a analizar la secuencia de acciones que tiene lu%ar a consecuencia de la e-ecucin de la aplicacin 6pin%7 en una mquina, siendo el ob-eti)o una mquina de la misma subred. 1i%a de manera ordenada los pasos que se detallan a continuacin: Abra una )entana de opciones de captura en el analizador: men" 6.apture 1tart...7 o directamente mediante A.trlBCD' y aplique las si%uientes opciones sin hacer clic en 6(C7 a"n': 1eleccione la inter,az sobre la que se desea capturar tr,ico en la casilla 6#nter,ace7. ?eshabilite 6.apture packet in promiscuous mode7 de manera que slo se capturar el tr,ico Ethernet con ori%en o destino esta mquina, adems del tr,ico di,usi)o'. ?eshabilite i%ualmente 6Enable !A. name resolution7, 6Enable network name resolution7 y 6Enable transport name resolution7, de manera que el analizador no intente resol)er direcciones a nombres para e)itar que se %enere y capture ms tr,ico debido a esto'. En la ,i%ura si%uiente que si%ue se puede obser)ar las posibilidades que o,rece la )entana de opciones de captura:

: A)eri%Ee la direccin #P de una mquina de su misma subred que no sea el router por e-emplo, desde una )entana de 61+mbolo del sistema7, realice un 7 ping [mquina]6 al nombre de la mquina ele%ida y anote la direccin #P que le corresponde'. Escriba la direccin IP de la mquina a la que hace el &ing: ?esde una )entana de 61+mbolo del sistema7 obser)e el estado de la tabla A;P de su P.. Para ello e-ecute la orden 6arp -a7. En caso de no estar )ac+a, borre todas las entradas presentes e-ecutando la orden 6arp -d7. $ras hacerlo, compruebe que e,ecti)amente ahora la tabla est )ac+a mediante 6 arp -a7'. Arranque una captura en el analizador botn 6(C7 de la )entana de opciones de captura'. 1e abrir una nue)a )entana de captura que muestra al%unas estad+sticas. E-ecute la orden 6ping7 a la direccin #P no al nombre' de la mquina ele%ida y espere las cuatro respuestas. Pare la captura botn 61top7 de la )entana de captura'.

(bser)e qu/ entradas han aparecido en su tabla de A;P. F.unto tiempo tardan en borrarse apro5imadamenteG para a)eri%uarlo, teclee cada pocos se%undos la orden 6arp -a7 hasta que la s' entrada s' relacionada s' con el pin% hayan desaparecido'. Anote e in estigue las Entradas que han aparecido en la tabla A!P" # por qu$ ha aparecido cada una # asi tambien el %iempo apro&imado que tardan en borrarse la's( entrada's(:

Haya a la )entana principal del analizador. ?e las tramas capturadas debe distin%uir aqu/llas que se han )isto implicadas en todo el proceso desde la e-ecucin de la orden 6ping7 en el P. hasta la recepcin de las respuestas de la otra mquina* no sern "nicamente paquetes #.!P'. ?ibu-e en un dia%rama las tramas que han inter)enido, por su orden, -unto con in,ormacin sobre el protocolo al que pertenecen y su propsito. FPuede identi,icar qu/ in,ormacin ha decidido introducir su mquina en el campo de datos de las peticiones de ecoG

%ramas que han inter enido. )omplete el diagrama con *lechas que indiquen qu$ mensa+es se han intercambiado las mquinas 'inclu#endo los protocolos # tipos de mensa+es(:

In*ormacin que su mquina pone en el campo de datos de las peticiones eco:

,. Ping a una mquina e&terna

En este caso se )a a e-ecutar un 6ping7 de manera muy similar al apartado anterior, pero a una mquina no perteneciente a la subred. 3os pasos a se%uir son, por este orden: Abra una )entana de opciones de captura en el analizador. Eli-a el nombre no la direccin #P' de una mquina e5terna a su subred y realice un 6ping7 para ase%urarse de que contesta al mismo por e-emplo, puede intentarlo con www.upm.es, o con cualquier otra'. Ase%"rese de )aciar a continuacin la cach/ de ?@1 de la mquina, mediante la orden 6ipconfig /flushdns7. Ase%"rese tambi/n de que la tabla A;P de su P. est )ac+a, de la manera descrita anteriormente. Arranque la captura. E-ecute la orden 6ping7 en su mquina utilizando el nombre no la direccin #P' de la mquina ele%ida, y espere las cuatro respuestas. Pare la captura. FIu/ entradas han aparecido en este caso en la tabla A;PG

Entradas que han aparecido en la tabla A!P" # por qu$ ha aparecido cada una:

Haya a la )entana principal del analizador y localice las di,erencias entre los procedimientos se%uidos en el caso anterior y /ste. FA qu/ se debenG !esuma # +usti*ique las di*erencias entre los acontecimientos que tienen lugar en este caso # en el caso del apartado anterior:

-. %raceroute
Ahora se )a a obser)ar qu/ tipo de tramas #.!P entran en -ue%o al e-ecutar una aplicacin t+pica de 6traceroute7. Para ello, en este orden: Abra una )entana de opciones de captura en el analizador. Arranque una captura de tr,ico. En una )entana de 61+mbolo del sistema7 e-ecute la aplicacin traceroute la orden es 6tracert [direccin-o-nombre]7 utilizando el nombre Awww.%oo%le.comD. Espere hasta su conclusin. Pare la captura. Haya a la )entana principal del analizador y obser)e qu/ paquetes #.!P no ten%a en cuenta el resto de protocolos' se han %enerado como consecuencia de la e-ecucin del traceroute: entre qu/ mquinas, y de qu/ tipo.

.ota: para esto puede resultar muy "til la utilizacin de un ,iltro de )isualizacin, que selecciona, de entre todas las tramas capturadas, aqu/llas que coinciden con el criterio especi,icado y no muestra el resto'. En este caso, es "til seleccionar las tramas en las

que se ha detectado el protocolo #.!P. Para ello, escriba en la casilla in,erior izquierda se0alada por 64ilter:7' la palabra 6icmp7 sin las comillas' y aplique el ,iltro 6Apply7'. ;ecuerde que para )ol)er a )isualizar todas las tramas debe pulsar el botn 6;eset7. !esumen de los paquetes I)/P obser ados 'entre qu$ mquinas" de qu$ tipo(:

A la )ista de los resultados, describa de manera resumida qu/ procedimiento utiliza la aplicacin traceroute para ir a)eri%uando el camino que si%uen los data%ramas desde la mquina en que se e-ecuta la orden hasta el destino especi,icado.

0escriba bre emente el procedimiento que utiliza la aplicacin "a+("%! (:

#ndique si con el comando ping se puede obtener la misma in,ormacin de la ruta a un destino al e-ecutar 6ping7 en la )entana de 61+mbolo del sistema7 se proporcionan todos los parmetros que se pueden usar'. En caso a,irmati)o, describa la ,orma en que se har+a. 1E&isten otras posibilidades de obtener la ruta a una mquina" usando el comando &ing2 En caso a*irmati o" descr3balas bre emente:

4. 0escarga de un archi o

En este apartado se lle)ar a cabo la descar%a de un archi)o relati)amente )oluminoso con un na)e%ador web para obser)ar la )elocidad de descar%a en ,uncin del tiempo. Jorre el ,iltro de )isualizacin que de,ini en el apartado anterior. Abra una )entana de opciones de captura en el analizador. En este caso se )a a de,inir un ,iltro de captura casilla se0alada por 64ilter:7 en la )entana de opciones de captura'. Kn ,iltro de captura, a di,erencia de uno de )isualizacin, impide que se capture el tr,ico que no coincida con el criterio seleccionado. ?e esta manera, posteriormente slo se podr analizar el tr,ico que este ,iltro haya permitido capturar. En este caso estamos interesados en capturar todo el tr,ico $.P que ten%a ori%en o destino a ni)el #P' en nuestra mquina. Para ello, en la casilla destinada al ,iltro de captura, teclee lo si%uiente sustituyendo la direccin de e-emplo 689.9.9.87 por la de su mquina': ip proto \tcp and ip host 10.0.0.1 Abra un na)e%ador web y desacti)e la utilizacin de un ser)idor pro5y si es necesario. En el caso del na)e%ador #nternet E5plorer de !icroso,t, se hace mediante 6Lerramientas (pciones de #nternet .one5iones .on,i%uracin de 3A@...7, desacti)ando la casilla 6Ktilizar un ser)idor pro5y para su 3A@7, aceptando el cambio. En .aso de problemas consultar con el encar%ado de los laboratorios. Arranque una captura. ?escar%ue o )ea con el na)e%ador un archi)o de al%unos cientos de kilobytes para pro)ocar el establecimiento de una cone5in de )arios se%undos de duracin. .omo su%erencias, puede probar con: http://www.r,cMeditor.or%/r,c/r,cMinde5.t5t .uando se haya terminado de descar%ar el archi)o, pare la captura 61top7'. Heri,ique que protocolo se us para mostrar o descar%ar el archi)o usando su na)e%ador.

$area de #n)esti%acin:

#n)esti%ar el ,itlro que se tiene que aplicar en wireshark para mostrar solo los paquetes arp de una determinada !A. address.

arp.src.hw_mac (direccin MAC de la fuente) arp.dst.hw_mac (direccin MAC del destino)

#n)esti%ar el ,iltro para mostrar los paquetes en)iados y recibidos por un ser)idor de dominio ?@1'. 0.5

F.ual seria el ,iltro para mostrar todos las tramas relacionadas al ser)icio ?L.P protocolo #P )ersin NG. 0hcp 6

F.ual 4iltrar todos los paquetes del protocolo L$$P cuyo ori%en es la #P 8OO.8N.8PN.Q>G ip.src 77 188.16.146.9, and http

#n)esti%ar cual seria el ,iltro para mostrar todos los paquetes cuyo destino sea la #P =8N.=RN.N9.8R, independientemente de su protocolo. ip.dst 77 216.2-6.6:.1-