Академический Документы
Профессиональный Документы
Культура Документы
Prctica 2
Analizadores software o sniffers
ndice
Analizadores software o sniffers ................................................................................. 3
Descargar e instalar el analizador Ethereal (WireShark) . Una vez familiarizados con su
funcionamiento, realizar la captura de una sesin completa desde vuestro equipo al
servidor de Rediris, tanto por FTP como HTTP, empleando para ello los filtros de que
dispone la herramienta de captura de datos. ................................................................ 3
Observar el tipo de tramas MAC que se generan en la red local y tratar de relacionarlas
con el funcionamiento terico de los protocolos de nivel de aplicacin. ................... 4
Anlisis de un ping (ICMP) entre dos equipos, observando las tramas generadas hacia el
nivel fsico, un acceso a un servidor web (HTTP), a un servidor ftp (FTP), etc. ...... 11
Anlisis de capturas ................................................................................................... 13
Realizar una captura de trfico de la red durante un tiempo razonable y guardarla como
fichero en el disco duro del PC. Realizar un anlisis de la misma off-line, aplicando
diferentes filtros y condiciones que permitan comprender lo que ocurre en determinadas
conexiones de red. Emplear la opcin Follow TCP Stream del analizador Ethereal para
realizar un seguimiento de conexiones completas: qu informacin de la conexin
obtenemos? Observar la expresin correspondiente al filtro que se aplica. .............. 13
Qu informacin aporta el anlisis mediante la opcin Follow Graph? .................. 15
Arquitectura de red .................................................................................................... 16
Alterando la configuracin de red del laboratorio, los equipos dejan de estar conectados
a un switch y se conectan directamente a un hub. Realiza capturas de trfico local y
analzalas. .................................................................................................................. 16
Ampliacin ................................................................................................................. 18
Desde el sitio web de Ethereal es posible descargar capturas (Sample Captures) de
funcionamiento de distintos protocolos de redes locales, metropolitanas y extensas, as
como ataques de red. Utilizando una de estas capturas, explicar brevemente el
funcionamiento de dicho protocolo o ataque. ............................................................ 18
Empleando un buscador convencional desde el navegador instalado en los PCs del
laboratorio, buscar en Internet trazas de trfico de otro tipo de redes (p.e. FDDI, Token
Bus, etc.) susceptibles de ser analizadas en alguno de los analizadores manejados.
Identificar las caractersticas ms representativas de cada subcapa MAC y los servicios
estudiados en la asignatura. ....................................................................................... 21
Realiza capturas de trfico inalmbrico con el Ethereal (WireShark). ...................... 21
Prctica 2
Analizadores software o sniffers
Prctica 2
Analizadores software o sniffers
Nuestra tarjeta de red ha sido fabricada por Dell, y la MAC real que le
corresponde a nuestro equipo, como explicaremos posteriormente, es la:
00:14:22:57:24:97.
Para acceder a un punto exterior de la red, debemos pasar por el
gateway, por lo que el destino de nuestros paquetes ser el gateway (cuya MAC es
00:30:4F:48:12:B1). Sin embargo, para acceder a un destino local podemos ver
directamente la MAC del equipo destino.
Prctica 2
Analizadores software o sniffers
Para saber la direccin MAC que nos asigna VMware (nos da una MAC que no
es la real) iremos a la consola del sistema operativo sobre el que corre vmware
IPCONFIG/ALL (debemos trabajar en modo bridged) y apuntaremos donde pone
"direccin fsica".
Prctica 2
Analizadores software o sniffers
trabajar en modo NAT, para que la MAC que le aparezca sea la real. Una vez hecho
todo este proceso, nuestra MAC real es la siguiente: 00:14:22:57:24:97. Tambin
ejecutar el sistema operativo que est tras VMWare y hacer el ipconfig/all ah, ahora
como estamos en la mquina fsica sabremos nuestra MAC real.
Prembulo: Campo de 7 bytes (56 bits) que contiene una secuencia de bits
usada para sincronizar y estabilizar el medio fsico antes de iniciar la transmisin de
datos. El patrn del prembulo es:
10101010 10101010 10101010 10101010 10101010 10101010 10101010
Estos bits se transmiten en orden de izquieda a derecha y en la codificacin
Manchester representan una forma de onda peridica.
SOF (Start Of Frame) Inicio de Trama :Campo de 1 byte (8 bits) que contiene
un patrn de 1 y 0 alternados, y que termina con dos 1 consecutivos. El patrn del
SOF es: 10101011 . Indica que el siguiente bit ser el bit ms significativo del campo
de MAC de destino. Aunque se detecte una colisin durante la emisin del
prembulo o del SOF, el emisor debe continuar enviando todos los bits de ambos
hasta el fin del SOF.
Direccin de destino: Campo de 6 bytes (48 bits) que especifica la direccin
MAC de tipo EUI-48 hacia la que se enva la trama. Esta direccin de destino puede
ser de una estacin, de un grupo multicast o la direccin de broadcast de la red.
Cada estacin examina este campo para determinar si debe aceptar el paquete.
Direccin de origen: Campo de 6 bytes (48 bits) que especifica la MAC de
tipo EUI-48 desde la que se enva la trama. La estacin que deba aceptar el paquete
conoce a travs de este campo la direccin de la estacin origen con la cual
intercambiar datos.
Tipo: Campo de 2 bytes (16 bits) que identifica el protocolo de red de alto
nivel asociado con el paquete, o en su defecto la longitud del campo de datos. Es
interpretado en la capa de enlace de datos.
Prctica 2
Analizadores software o sniffers
Prctica 2
Analizadores software o sniffers
Prctica 2
Analizadores software o sniffers
Con el modo promiscuo recogemos todo el trfico que vaya por delante
nuestro, independientemente de que vaya dirigido a nosotros o no. Si hacemos el
anlisis en modo no promiscuo, el trfico que veremos reflejado ser
exclusivamente el nuestro.
Si utilizamos un hub da lo mismo que trabajemos en modo promiscuo o no
promiscuo, ya que toda la informacin que pase por l la saca por las dems bocas,
con lo cual esa informacin tambin nos llegar a nosotros.
En resumen, el modo promiscuo se diferencia del no promiscuo en que no
slo se escucha todo, sino que adems se puede procesar la info que se ha
escuchado porque se puede sacar de la tarjeta ethernet. En modo no promiscuo,
simplemente, los datos que no van dirigidos a nuestro ordenador se desechan.
Prctica 2
Analizadores software o sniffers
Prctica 2
Analizadores software o sniffers
Prctica 2
Analizadores software o sniffers
Por otro lado, en la siguiente captura hemos analizado una sesin FTP (es la
misma sesin que la utilizada al comienzo de la prctica). En ella vemos como se
intercalan, entre otras, tramas spanning-tree (de gestin del enlace).
Prctica 2
Analizadores software o sniffers
Anlisis de capturas
Realizar una captura de trfico de la red durante un tiempo razonable y
guardarla como fichero en el disco duro del PC. Realizar un anlisis de la
misma off-line, aplicando diferentes filtros y condiciones que permitan
comprender lo que ocurre en determinadas conexiones de red. Emplear la
opcin Follow TCP Stream del analizador Ethereal para realizar un
seguimiento de conexiones completas: qu informacin de la conexin
obtenemos? Observar la expresin correspondiente al filtro que se aplica.
Mediante la opcin Follow TCP Stream, una de las ms tiles del sniffer, se
nos muestran todos los paquetes relacionados con el paquete que hayamos
seleccionado, con lo cual, es ms fcil ver una comunicacin con una pgina web, o
con cualquier otro protocolo. En este nuevo estado, podremos seleccionar ver los
paquetes en ASCII, en Hexadecimal, en arrays de C... segn queramos o
necesitemos.
Las ventajas de la opcin de seguimiento de trazas TCP son:
Prctica 2
Analizadores software o sniffers
Prctica 2
Analizadores software o sniffers
Prctica 2
Analizadores software o sniffers
Arquitectura de red
Alterando la configuracin de red del laboratorio, los equipos dejan de
estar conectados a un switch y se conectan directamente a un hub. Realiza
capturas de trfico local y analzalas.
En primer lugar definiremos el funcionamiento de un switch y el de un hub.
Hub: trabaja a nivel fsico, lo que entre por cualquiera de las bocas lo saca por
las dems, por lo que si dos equipos quieren hablar a la vez hay colisin.
Precisamente por esto, por el gran nmero de colisiones que provocan, hoy en da
apenas se utilizan.
Switch: trabaja a nivel2, por lo que conoce la capa ethernet. La trama solo
sale por la boca que corresponde a la direccin destino. El switch se encarga de
saber donde esta cada MAC. Cuando no sabe donde esta una direccin destino se
comporta como un hub y saca la informacin por todas las bocas. Los switches se
suelen utilizar cuando se desea conectar mltiples redes, fusionndolas en una sola.
Al igual que los bridges, dado que funcionan como un filtro en la red, mejoran el
rendimiento y la seguridad de las redes LAN.
Prctica 2
Analizadores software o sniffers
Prctica 2
Analizadores software o sniffers
Ampliacin
Como la parte de redes de rea extensa hemos tratado en otros apartados (hemos
visto los protocolos FTP, TCP, HTTP,) en este apartado nos centraremos en las
restantes cuestiones.
Como ejemplo de un protocolo de red local (LAN) hemos tomado el NFS, para las
redes MAN (de rea metropolitana) el protocolo DQDB, y como ejemplo simple de
un ataque hemos seleccionado un intento de saturacin de una red local mediante
el envo masivo de ARPs.
Redes Locales
Para la parte de un protocolo utilizado en redes locales, nos descargamos una
captura de NFS (Network File System), que permite que los equipos pertenecientes
a una red local accedan a recursos remotos como si fueran recursos locales. Las
principales caractersticas de este protocolo son:
Prctica 2
Analizadores software o sniffers
-
Redes Metropolitanas
Prctica 2
Analizadores software o sniffers
Y en esta captura vemos que el atacante llega a provocar que circulen 622 paquetes
en 29 segundos (21 paquetes por segundo):
Prctica 2
Analizadores software o sniffers
Prctica 2
Analizadores software o sniffers