Sesion 8 R

Laboratorio de redes ITESM Dep.
Ciencias Computacionales
ltima modificacin: febrero de 2012 Pag. 1
INSTITUTO TECNOLGICO Y DE ESTUDIOS SUPERIORES DE MONTERREY
Laboratorio de Redes 1
Prctica 8 Monitoreo y anlisis de paquetes en GNU/Linux

Autores: Ing. Julio Montemayor; Ing. Ral Fuentes Samaniego

En esta prctica se emplear el analizador de paquetes y protocolos de red (sniffer) pero en esta
ocasin se enfocara su uso desde una plataforma GNU/Linux con objetivo de capturar cierto tipos de
paquetes y poder hacer una revisin de conversaciones no seguras.
Repaso de Wireshark
Durante las prcticas de Cisco hemos estado utilizando el sniffer Wireshark para obtener informacin
en diferentes prcticas. Ahora, estudiaremos a fondo el mismo programa en vez de los paquetes. La
siguiente imagen indica las distintas secciones de la interfaz grafica (GUI)

Laboratorio de redes ITESM Dep. Ciencias Computacionales
1. Panel de lista de paquetes: Muestra un resumen de cada paquete capturado. Pulsando sobre los
paquetes de este panel se controla el contenido de los otros dos paneles.

2. Panel de vista en rbol: Muestra el paquete seleccionado en el panel superior (1) con ms
detalle, permitiendo acceder a los distintos niveles de protocolos. Al pulsar sobre cada uno de los
niveles se resaltan los datos del paquete correspondientes a dicho nivel en el panel inferior (3).

3. Panel de detalle de los datos: Muestra el contenido del paquete seleccionado en el panel
superior (1) en formato hexadecimal y ASCII.

Adems de los tres paneles principales, tenemos los cinco elementos adicionales siguientes en la
barra de herramientas de filtrado, que se encuentra debajo de la barra de herramientas principal de
Wireshark:
A) Botn de filtro: Permite definir un filtro para la visualizacin de los paquetes, de forma que
podamos concentrarnos en el anlisis de un determinado protocolo o en el trfico entrante
o saliente de un ordenador determinado.
B) Texto del filtro: Aqu aparece el texto del filtro. Es posible introducir el texto del filtro
directamente en este campo o seleccionar alguno de los filtros que se hayan utilizado
anteriormente.
C) Botn para eliminar el filtro: Pulsando este botn se elimina el filtro que estuviera activo.
D) Botn para aplicar el filtro: Pulsando este botn se aplica el filtro definido y en el panel
principal (1) se muestran nicamente los paquetes que cumplan las condiciones indicadas
en el filtro.
E) Botn de expresin del filtro: Al pulsar en este botn se accede a un cuadro de dilogo para
la definicin de la expresin del filtro.
La lista de todos los protocolos que soporta Wireshark se encuentra en Analyze ==> Enabled
Protocols. En esta seccin puede activar o desactivar los protocolos. Es necesario prestar atencin
en que si desactivamos un protocolo, no aparecern los protocolos de nivel superior que dependan
de l. Por ejemplo, si desactivamos el protocolo TCP, no aparecern los protocolos de capa
superiores que los utilicen (capa aplicacin) tales como HTTP, SMTP, FTP, etc. Pero si apareceran
aquellos que utilizan UDP u otro protocolo.
(Telecomunicaciones) Finger de protocolos
En el men de Protocolos habilitados estar notando que existe una enorme cantidad de protocolos a
identificar. Entre ellos estarn protocolos del 802.11x y el 802.3 que son protocolos de capa 2 en OSI
pero tambin puede hallar protocolos como YMSG o Messenger que son protocolos de capa 4 y superior
que son especficos de programas de mensajes en tiempo real. Cmo es que Wireshark puede
diferenciar uno de otro? Bien, observemso con cuidado la siguiente captura de pantalla :

En ella, se capturo un paquete. En la parte alta esta el paquete desglosado con el contenido que posee y
la parte baja muestra el paquete en su forma en que se recibi (un stream de bytes). Particularmente se
tiene seleccionado el paquete de Ethernet en la parte alta y eso da como consecuencia que se
seleccione la parte baja que corresponde al mismo. La siguiente imagen, es una captura de la curricula
de Cisco CCNA respecto a la estructura de un frame Ethernet

Los primeros 8 bytes y el FCS no se muestran en Wireshark debido a limitante de hardware, y es que
cuando el sniffer puede leer los bytes el hardware de la NIC ya removi el prembulo y el FCS.
Los primeros 6 bytes que obtenemos son: FF-FF-FF-FF-FF-FF que son 6 bytes constantes, que
corresponden a la direccin Mac destino (especficamente es una direccin broadcast). Los siguientes 6
bytes son la direccin MAC del origen (un dispositivo de la Marca Cisco, identificados por la parte alta
de la MAC) seguidos inmediatamente por dos bytes: 08-06 que nos sirven para indicar la longitud de los
datos del frame L2 (Que vienen siendo los headers de las capas superiores y sus datos);
Especficamente, 0x0806 nos indica que el contenido es un mensaje ARP cuya longitud es conocida, para
otro tipo de mensajes el valor cambiara. Finalmente, despus de los datos quedan por llenar los ltimos
espacios y estamos hablando de un Trailer de puros ceros para completar el tamao tpico del frame.
Si los datos superan dicho tamao el triler es descartado.

La captura anterior nos muestra ahora el desglose del paquete capturado con toda la informacin de
Ethernet visible. Adems, esta seleccionado y desglosado el protocolo superior a L2 que en este caso es
ARP de L3 con los datos que tpicamente manda.
Los protocolos de redes siempre tienen un comportamiento constante y predecible para identificarlos
incluyendo los programas, estas caractersticas se les pueden llamar huellas del protocolo o como
finger que es el termino empleado en ingles. En el caso de Ethernet, el hecho que el sniffer lo
capturara de esa interfaz deja bastante obvio que se trata de l, inmediatamente siempre vendr un
paquete de 6 bytes y otro de 6 y uno de tipo de dato que contiene. Todas estas caractersticas son una
huella digital de ese frame y por lo tanto fcilmente identificable para los programas de software,
incluso prepara la informacin necesaria para intentar identificar el rastro (finger o huella) del
siguiente nivel en este caso es un protocolo de L3 denominado ARP.
Son estos datos lo que define el finger, caractersticas que nunca cambian del protocolo, y por lo mismo
el sniffer los puede clasificar de forma sencilla.. Entre mas alta sea la capa mayor ser la cantidad de
componentes que los identifique. Por ejemplo, cuando el sniffer ya sabe que esta analizando un paquete
de capa 4 que corresponde a TCP (Esto porque los niveles anteriores entregaron esa informacin) y el
puerto corresponde a HTTP sabe que el paquete es efectivamente de http. Si un usuario fabricara el
mensaje y alterara solamente el campo del puerto a otro el paquete ya no tendra sentido y no se
tomara en cuenta por el sniffer para esa clasificacin (Si aparecera pero como uno genrico de capa
anterior).

Esta ultima captura, aunque incompleta muestra uno de los segmentos de una ventana de comunicacin
TCP de un servidor WEB a la maquina destino y se puede ver el contenido de los datos de TCP como
pedazos de cdigo HTML. Wireshark lo identifica como TCP en vez de http por el simple hecho que es
una transmisin de datos y no un inicio de comunicacin con el servidor.
Filtros
Durante el transcurso del laboratorio hemos utilizado los filtros de manera muy sencilla buscando a lo
sumo uno o dos protocolos o bien con direcciones de algn protocolo especificas. Pero el filtro puede ir
mas halla
Los filtros se escriben como clausulas booleanas y por lo mismo los operadores lgicos: AND ( && ), OR
( || ) y NOT ( ! ) son reconocidos para las clausulas. Con ello podemos ir creando filtrados
especializados tales donde buscamos paquetes provenientes de ciertas redes y de cierto tipo de
protocolo de nivel alto o incluso el contenido de ciertos protocolos como http o TCP. En ultima instancia
podemos buscar texto.
Tambin, como bsquedas booleanas reconoce los smbolos de igual (eq , == ) no igual (ne . != ), mayor
que ( gt , > ) , menor que ( lt , < ), mayor o igual a (ge , >= ) y menor o igual a ( le , <= )
Los siguientes son algunos ejemplos de filtro obtenidos de la Wiki de Wireshark (wiki.wireshark.org)
(TCPDUMP) Captura de trafico proveniente o enviado al host 172.18.5.4
host 172.18.5.4

NOTA: Wireshark y TCPDUMP permiten traduccin de nombre.
(TCPDUMP) Captura de trafico de o hacia un rango de dirreciones IP
net 192.168.0.0/24
net 192.168.0.0 mask 255.255.255.0

(TCPDUMP) Captura de trafico proveniente de un rango de dirreciones
Src net 192.168.0.0/24
Src net 192.168.0.0 mask 255.255.255.0

(TCPDUMP) Captura de trafico enviado a un rango de dirreciones
dst net 192.168.0.0/24
dst net 192.168.0.0 mask 255.255.255.0

(TCPDUMP) Captura de trafico non-HTTP y non-SMTP (ambos son equivalentes)
host www.example.com and not (port 80 or port 25)
host www.example.com and not port 80 and not port 25

(TCPDUmp) Captura solicitudes HTTP GET.
Este es un filtro hecho a medida del mismo protocolo, se pueden identificar porque los paquetes HTTP
especficamente envan la cadena en string GET )0x47455420 en hex) en un encabezado de TCP de
tamao fijo.
port 80 and tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420

(Shark) Captura trafico de dispositivos de cierto proveedor
Este filtro es revisando exclusivamente el rango de los 24 bits mas alto de las direcciones MAC que
especficamente identifican a dichos proveedores.
eth.addr[0:3]==00:06:5B

TCPDUMP y Wireshark
En los ejemplos habr notado la leyenda TCPDUMP y Shark antecediendo al nombre, pues bien, estas
leyendas se deben a que TCPDUMP fue uno de los primeros sniffers y Wireshark utiliza ciertas libreras
de TCPDump permitindole utilizar la sintaxis de este en su bsqueda adems de la sintaxis propia de
Wireshark.
Como regla general, siempre que se desee utilizar la sintaxis de TCPDump se debe de hacer antes de
iniciar la captura, para ello sin catura iniciada en Wireshark se elige la opcin de Captura (Capture) en el
men principal y de ah se escoge Opciones de captura (Capture Options) con lo cual aparecer una
nueva ventana como la siguiente:

En ella, si se coloca sintaxis de TCPDump o Shark no aparecer en el lugar de filtro pero esta en
constante funcionamiento. La razn de esto es para facilitar el trabajo de anlisis de trafico.
Supongamos por ejemplo que se tiene un filtro general para solo capturar paquetes de HTTP con el cual
se hace desde las opciones de captura al colocar el filtro adecuado (de sintaxis TCPDump), de esta forma
empezaran a aparecer solamente paquetes TCP de trafico HTTP, ahora a partir de la informacin
inicialmente capturada y utilizando el filtrado general de Wireshark podemos ir redefiniendo la
bsqueda (por ejemplo buscando por Mac Address).
En sntesis, estos comandos son poderosos, pero aquellos comandos que son heredados del sniffer
TCPDump a Wireshark solo son reconocidos desde la opcin de capturas antes de iniciar una captura
de paquetes.
Comandos de consola (Linux)
Wireshark es especficamente una aplicacin de interfaz grfica (GUI por sus siglas en ingles) sin
embargo, puede ser arrancada desde consola. El nombre del comando es wireshark y lo siguiente es
la captura de texto del argumento --help:
Wireshark 1.6.2
Interactively dump and analyze network traffic.
See http://www.wireshark.org for more information.

Copyright 1998-2011 Gerald Combs <gerald@wireshark.org> and contributors.
This is free software; see the source for copying conditions. There is NO
warranty; not even for MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.

Usage: wireshark [options] ... [ <infile> ]

Capture interface:
-i <interface> name or idx of interface (def: first non-loopback)
-f <capture filter> packet filter in libpcap filter syntax
-s <snaplen> packet snapshot length (def: 65535)
-p don't capture in promiscuous mode
-k start capturing immediately (def: do nothing)
-Q quit Wireshark after capturing
-S update packet display when new packets are captured
-l turn on automatic scrolling while -S is in use
-B <buffer size> size of kernel buffer (def: 1MB)
-y <link type> link layer type (def: first appropriate)
-D print list of interfaces and exit
-L print list of link-layer types of iface and exit

Capture stop conditions:
-c <packet count> stop after n packets (def: infinite)
-a <autostop cond.> ... duration:NUM - stop after NUM seconds
filesize:NUM - stop this file after NUM KB
files:NUM - stop after NUM files
Capture output:
-b <ringbuffer opt.> ... duration:NUM - switch to next file after NUM secs
filesize:NUM - switch to next file after NUM KB
files:NUM - ringbuffer: replace after NUM files
Input file:
-r <infile> set the filename to read from (no pipes or stdin!)

Processing:
-R <read filter> packet filter in Wireshark display filter syntax
-n disable all name resolutions (def: all enabled)
-N <name resolve flags> enable specific name resolution(s): "mntC"

User interface:
-C <config profile> start with specified configuration profile
-g <packet number> go to specified packet number after "-r"
-J <jump filter> jump to the first packet matching the (display)
filter
-j search backwards for a matching packet after "-J"
-m <font> set the font name used for most text
-t ad|a|r|d|dd|e output format of time stamps (def: r: rel. to first)
-u s|hms output format of seconds (def: s: seconds)
-X <key>:<value> eXtension options, see man page for details
-z <statistics> show various statistics, see man page for details

Output:
-w <outfile|-> set the output filename (or '-' for stdout)

Miscellaneous:
-h display this help and exit
-v display version info and exit
-P <key>:<path> persconf:path - personal configuration files
persdata:path - personal data files
-o <name>:<value> ... override preference or recent setting
-K <keytab> keytab file to use for kerberos decryption
--display=DISPLAY X display to use

Como se puede apreciar es posible ejecutar Wireshark ya listo para iniciar la captura, pero la GUI
siempre aparecer (Aunque existe un argumento para ocultarla).
Para el filtrado puede utilizar un archivo que contenga el filtrado a utilizar o bien utilizar dobles comillas
para todo el filtrado. Este filtrado, es el equivalente al de Capture Option por lo tanto, una vez
arrancado Wireshark solo aparecern los paquetes que cumplan con el filtro.
El comando wireshark -D mostrara en la terminal las interfaces que reconoce Wireshark, algo
equivalente a ifconfig, pero solamente el nombre de las interfaces. Mientras que con el argumento -L
veramos el tipo de tecnologa que tiene la maquina.
Ejemplo de seguimiento de Flujo
A continuacin analizaremos el protocolo HTTP y probaremos una funcionalidad bastante interesante de
Wireshark, el seguimiento de un flujo TCP.
1. Iniciar la captura de paquetes (es opcional utilizar filtros de TCPDump)
2. Abrir el navegador y entrar a la pgina del curso: cs.mty.itesm.mx/lab/redes1
3. Una vez que se haya cargado la pgina, detener la captura de paquetes.
4. Examinar los paquetes capturados.
5. Aplique un filtro que muestre nicamente los paquetes cuya direccin origen sea la suya y
tenga como destino el puerto http, 80. Por ejemplo
ip.src == 192.168.43.12 and tcp.port == 80

A continuacin busque un paquete similar al de la imagen, y haga click derecho Follow TCP
Stream.

al seleccionar esta opcin ha aparecido en la opcin de filtro un filtro de TCP para seguir el hilo de
conversaciones (mensajes entre los dos participantes); este filtro es similar al siguiente:tcp.stream eq
6 (Dependiendo de cual paquete escogi para seguir).
Un mal manejo del entendimiento de los protocolos puede llevar a no capturar lo deseado, por ejemplo,
en el caso del ejemplo de paquetes, se tiene seleccionado un paquete HTTP que inicializa una accin de
transmisin y la conversacin que se dio entre el servidor web y el cliente es el siguiente:

Esto en sntesis es la comunicacin con el servidor donde esta alojado el sitio (un servidor Apache como
se puede ver la informacin) y que incluye adems el inicio de una transmisin (en este caso varias) de
pagina web. La informacin de estas paginas web se enva en menajes TCP ya que excede el tamao
mnimo, por lo tanto si queramos la informacin web debemos buscar un mensaje TCP del servidor al
nodo el cual utiliza el stream 4 en vez del stream 6 (tcp.stream eq 4). Con esta correccin la
conversacin que se captura es la siguiente:

Ahora se puede apreciar que efectivamente, hemos capturado la transmisin del trafico web del
servidor a nosotros.
Pero conocer a fondo el protocolo puede no ser tan fcil. Pues bien, hay otro modo de ir preparndonos
la captura tal cmo utilizar la opcin de buscar el contenido del os paquetes, pero se requiere conocer
el valor de algn campo (por ejemplo el texto que se transmiti en los TCP del os datos). Para ello
utilizaremos la herramienta de bsqueda de paquetes la cual puede ser accedida en Edit Find
Packet y es una ventana similar a la siguiente:

Observen que pueden buscar por filtro o por valor hexadecimal y string. Si estamos buscando texto, este
usualmente se transmite en cdigo ASCII por lo tanto bsqueda en hexadecimal o string nos sirve. Por
supuesto, buscar en hexadecimal significa convertir Laboratorio a su valor en hexadeximal.
Limitantes de Capa 2
Wireshark captura paquetes que llegan al medio por el cual el nodo este conectado a la red, por lo
mismo, si un mensaje nunca pasa por nuestro enlace entonces jams lo veremos. Mientras que en el
conjunto de tecnologa dentro de lo que se refiere como Wi-Fi (802.11 a,b,g y n) utilizan un mismo
medio para todo los paquetes (el aire) el protocolo 802.3 (Ethernet) puede ser separado en distintos
dominios de colisin.
Todo los nodos dentro de un dominio de colisin vern el trafico de todos y es aqu donde viene una
limitante, en las redes Ethernet contemporneas ya rara vez se utilizan dispositivos Hub (L1) en su lugar
existen swtiches o conmutadores (L2) los cuales ponen a un nodo por dominio de colisin y por lo
mismo solo vera trafico destinado a l, Broadcast y/o multicast.

Actividades

Interfaz Grafica Finger
Ejecute Analyze Enabled Protocols y asegrese de no dejar habilitado ningn protocolo (utilice la
opcin de deshabilitar todos). Conteste las siguientes preguntas:
1. Wireshark ha dejado de capturar paquetes?______
2. Explique lo que ha pasado
_______________________________________________________________________
_______________________________________________________________________
_______________________________________________________________________
Captura de conversaciones en un canal IRC
Esta actividad consiste en capturar las conversaciones de usuarios involucrados en un canal IRC al que
los alumnos se conectaran utilizando un cliente IRC indicado por el instructor.
Ejecucin del servidor y clientes IRC
El instructor dar la direccin IP del servidor IRC ya que utilizaremos uno local a nuestra red. Para la
conexin fcil al servidor utilice el siguiente comando:
Redes1@ccnalab12:~$ xchat -a --url=irc://AA.BB.CC.DD/#Itesm --command="/nick
A0xxxxxx"
Donde AA.BB.CC.DD es la direccin IPv4 dada por el instructor y A0xxxxx es la matrcula de cada
alumno. Con este comando el alumno iniciara una sesin IRC en el canal #Itesm, con el objetivo de
rastrear las conversaciones que ah se lleven por medio de la herramienta Wireshark.
Si en algn momento el usuario requiere cambiar su nombre de pila (nickname) utilice el comando
/nick <Nickname> y para entrar a un canal el comando /join <#canal> desde el cliente IRC.
Durante la practica los alumnos estarn escribiendo texto en el canal #Itesm con objetivo de estar
enviando trafico relativamente constante.
Recopilacin de datos
Para propsitos de la prctica obtenga la siguiente informacin:
Anote la direccin IP del servidor IRC: _______________________________________
Anote su direccin MAC: _______________________________________
Anote su direccin IP: _______________________________________
Protocolo (Capa transporte) utiliza IRC _______________________________________
Puerto de IRC _______________________________________
Cul es el flujo de informacin del modelo IRC?
NO
Sgue capturando y funconando, soo que no reconoce unos protocoos
que e estan egando.
1.17.113.35
10.17.113.111
b8:ac:6f:9f:ce:45
6667
TCP
_______________________________________________________________________
_______________________________________________________________________
_______________________________________________________________________
_______________________________________________________________________
TIP: La pregunta se enfoca hacia donde viaja la informacin y como le llega a los
dems y si esto es igual con el nodo que enva la entrada original.
Filtros de sintaxis Shark
Utilizando exclusivamente el filtro con sintaxis propia de Wireshark en el panel Texto del filtro
asegrese de que aparezcan solamente los paquetes de IRC y escriba a continuacin el filtro que utilizo.
_______________________________________________________________________
_______________________________________________________________________

En base a los datos que obtiene de los paquetes capturados, conteste las siguientes preguntas:
1. La comunicacin de IRC se maneja en distintos protocolos o uno solo?
_____________________
2. El envo de los datos en dicho protocolo, cambia de puertos o de Stream como en http?
_____________________
TIP: Tome en cuenta, que cuando el paquete se fragmenta o por la naturaleza de UDP o
TCP se envan paquetes con el objetivo de la suma o validacin del ACK.
Filtros de sintaxis TCPDump
Reinicie la captura de los mensajes utilizando exclusivamente filtros TCPDump desde Captura >
Opciones para capturar los mismos paquetes.
_______________________________________________________________________
_______________________________________________________________________

Reto de los datos.
Haga un seguimiento de flujo de los paquetes, copie todo el texto que aparezca y colquelo en un
archivo de texto.
1. Utilice el comando GREP para intentar capturar lneas de un usuario en particular del canal.
Dicho usuario que sea usted mismo.
Sintaxis: _________________________________________________
Transmsson Contro Protoco, Src Port: 49602 (49602),
Dst Port: rcd (6667), Seq: 84, Ack: 6107, Len: 26
2. Intente utilizar los comandos de Shell para capturar lneas de dicho alumno y que adems el
alumno dijera palabras claves (una secuencia de nmeros como tarjeta de crdito o
contraseas).
Sintaxis: _________________________________________________
3. Si deja pasar tiempo sin que nadie introduzca texto vera que recibe cada cierto tiempo un
mensaje de IRC. Por qu cree que pase esto?
_________________________________________________
Detenga la captura y dirjase a Archivo > Exportar guarde el archivo resultante en formato de texto y
que se exporten solo mensajes desplegados con el filtro y continuacin aplique la sintaxis del problema
1 (GREP).
En sntesis debi obtener lneas similares a las anteriores pero con mas informacin, esto se debe a que
Wireshark solo desplego los datos de la capa transporte y el archivo de texto resultante se guardo con el
contenido de todo los datos.
4. sera posible crear un programa que desplegara informacin similar al flujo de datos mostrado
en Wireshark de ciertos usuarios y ciertos patrones?
_________________________________________________
Shell
Escriba la sintaxis necesarias para que Wireshark arranque iniciando directamente la captura de la
interfaz con red y cuyo filtro (TCPDump) sea el utilizado para la captura de los paquetes de IRC.
_______________________________________________________________________
_______________________________________________________________________
_______________________________________________________________________
Escriba la sintaxis necesaria para que Wireshark inicie y este creando archivos de 128 KB con el filtro ya
aplicado. Se recomienda se lea el manual de Wireshark para la sintaxis. Utilice como nombre base de los
archivos: Captura
_______________________________________________________________________
_______________________________________________________________________
_______________________________________________________________________
Escriba la sintaxis para que Wireshark se detenga despus de escribir 500 paquetes, asegrese de
utilizar el argumento Q para que Wireshark se cierre completamente Utilice como nombre base de los
archivos: Captura
_______________________________________________________________________
_______________________________________________________________________
_______________________________________________________________________

Sesion 8 R

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Sesion 8 R

Cargado por

Copyright:

Formatos disponibles

Laboratorio de redes ITESM Dep.

También podría gustarte