Prctica 2

Analizadores software o sniffers

Uso de sniffers para la captura de trfico
Jon Petralanda Urien
David Ortiz Fernandez

Prctica 2
Analizadores software o sniffers

Jon Petralanda Urien

David Ortiz Fernandez

ndice
Analizadores software o sniffers ................................................................................. 3
Descargar e instalar el analizador Ethereal (WireShark) . Una vez familiarizados con su
funcionamiento, realizar la captura de una sesin completa desde vuestro equipo al
servidor de Rediris, tanto por FTP como HTTP, empleando para ello los filtros de que
dispone la herramienta de captura de datos. ................................................................ 3
Observar el tipo de tramas MAC que se generan en la red local y tratar de relacionarlas
con el funcionamiento terico de los protocolos de nivel de aplicacin. ................... 4
Anlisis de un ping (ICMP) entre dos equipos, observando las tramas generadas hacia el
nivel fsico, un acceso a un servidor web (HTTP), a un servidor ftp (FTP), etc. ...... 11
Anlisis de capturas ................................................................................................... 13
Realizar una captura de trfico de la red durante un tiempo razonable y guardarla como
fichero en el disco duro del PC. Realizar un anlisis de la misma off-line, aplicando
diferentes filtros y condiciones que permitan comprender lo que ocurre en determinadas
conexiones de red. Emplear la opcin Follow TCP Stream del analizador Ethereal para
realizar un seguimiento de conexiones completas: qu informacin de la conexin
obtenemos? Observar la expresin correspondiente al filtro que se aplica. .............. 13
Qu informacin aporta el anlisis mediante la opcin Follow Graph? .................. 15
Arquitectura de red .................................................................................................... 16
Alterando la configuracin de red del laboratorio, los equipos dejan de estar conectados
a un switch y se conectan directamente a un hub. Realiza capturas de trfico local y
analzalas. .................................................................................................................. 16
Ampliacin ................................................................................................................. 18
Desde el sitio web de Ethereal es posible descargar capturas (Sample Captures) de
funcionamiento de distintos protocolos de redes locales, metropolitanas y extensas, as
como ataques de red. Utilizando una de estas capturas, explicar brevemente el
funcionamiento de dicho protocolo o ataque. ............................................................ 18
Empleando un buscador convencional desde el navegador instalado en los PCs del
laboratorio, buscar en Internet trazas de trfico de otro tipo de redes (p.e. FDDI, Token
Bus, etc.) susceptibles de ser analizadas en alguno de los analizadores manejados.
Identificar las caractersticas ms representativas de cada subcapa MAC y los servicios
estudiados en la asignatura. ....................................................................................... 21
Realiza capturas de trfico inalmbrico con el Ethereal (WireShark). ...................... 21

Prctica 2
Analizadores software o sniffers

Jon Petralanda Urien

David Ortiz Fernandez

Analizadores software o sniffers

Descargar e instalar el analizador Ethereal (WireShark) . Una vez
familiarizados con su funcionamiento, realizar la captura de una sesin
completa desde vuestro equipo al servidor de Rediris , tanto por FTP como
HTTP, empleando para ello los filtros de que dispone la herramienta de
captura de datos.
Tras la conexin FTP al servidor de rediris, y una vez aplicado el filtro para
nicamente visualizar las tramas correspondientes al protocolo FTP el resultado
obtenido es el siguiente:

Aqu vemos como se establece la conexin, acordando utilizar el modo

pasivo y a travs de que puerto se mantendr dicha conexin, y como van
apareciendo distintos nmeros segn haya ido el envo de la trama (los 2xx indican
que la transferencia ha sido satisfactoria).
Por otro lado, realizamos la conexin HTTP a la web del propio rediris, y
nuevamente, aplicamos el filtro correspondiente:

Prctica 2
Analizadores software o sniffers

Jon Petralanda Urien

David Ortiz Fernandez

Y vemos nuevamente como se utiliza el mtodo get para solicitar los

contenidos a la web. En esta ocasin recibimos un 304 como respuesta, que nos
indica que el contenido de la pgina no ha sido modificado desde la fecha indicada
por el cliente.
Observar el tipo de tramas MAC que se generan en la red local y tratar de
relacionarlas con el funcionamiento terico de los protocolos de nivel de
aplicacin.

Cul es tu direccin MAC? De qu fabricante es tu tarjeta? Conoces alguna

otra forma de identificar esta direccin sin emplear el analizador? Identifica
las direcciones MAC de destino. Observas diferencias al acceder a distintos
destinos locales y remotos? Cules? Por qu?

Nuestra tarjeta de red ha sido fabricada por Dell, y la MAC real que le
corresponde a nuestro equipo, como explicaremos posteriormente, es la:
00:14:22:57:24:97.
Para acceder a un punto exterior de la red, debemos pasar por el
gateway, por lo que el destino de nuestros paquetes ser el gateway (cuya MAC es
00:30:4F:48:12:B1). Sin embargo, para acceder a un destino local podemos ver
directamente la MAC del equipo destino.

Prctica 2
Analizadores software o sniffers

Jon Petralanda Urien

David Ortiz Fernandez

Para saber la direccin MAC que nos asigna VMware (nos da una MAC que no
es la real) iremos a la consola del sistema operativo sobre el que corre vmware
IPCONFIG/ALL (debemos trabajar en modo bridged) y apuntaremos donde pone
"direccin fsica".

Para conocer nuestra MAC real debemos hacer un ping a un compaero

utilizando un sistema operativo sobre el que corra VMware, ya que este programa
nos oculta la MAC, asignndonos una ficticia. Por otro lado, el compaero debe

Prctica 2
Analizadores software o sniffers

Jon Petralanda Urien

David Ortiz Fernandez

trabajar en modo NAT, para que la MAC que le aparezca sea la real. Una vez hecho
todo este proceso, nuestra MAC real es la siguiente: 00:14:22:57:24:97. Tambin
ejecutar el sistema operativo que est tras VMWare y hacer el ipconfig/all ah, ahora
como estamos en la mquina fsica sabremos nuestra MAC real.

Qu ocurre con el campo de longitud/tipo de la trama Ethernet? Qu uso

le dan las diversas mquinas? Qu otro tipo de informacin relevante
puedes identificar?
Las tramas de red tienen el siguiente formato:

Prembulo SOF Destino Origen Tipo

Datos
FCS
7 bytes
1 byte 6 bytes 6bytes 2 bytes 46 a 1500 bytes 4 bytes

Prembulo: Campo de 7 bytes (56 bits) que contiene una secuencia de bits
usada para sincronizar y estabilizar el medio fsico antes de iniciar la transmisin de
datos. El patrn del prembulo es:
10101010 10101010 10101010 10101010 10101010 10101010 10101010
Estos bits se transmiten en orden de izquieda a derecha y en la codificacin
Manchester representan una forma de onda peridica.
SOF (Start Of Frame) Inicio de Trama :Campo de 1 byte (8 bits) que contiene
un patrn de 1 y 0 alternados, y que termina con dos 1 consecutivos. El patrn del
SOF es: 10101011 . Indica que el siguiente bit ser el bit ms significativo del campo
de MAC de destino. Aunque se detecte una colisin durante la emisin del
prembulo o del SOF, el emisor debe continuar enviando todos los bits de ambos
hasta el fin del SOF.
Direccin de destino: Campo de 6 bytes (48 bits) que especifica la direccin
MAC de tipo EUI-48 hacia la que se enva la trama. Esta direccin de destino puede
ser de una estacin, de un grupo multicast o la direccin de broadcast de la red.
Cada estacin examina este campo para determinar si debe aceptar el paquete.
Direccin de origen: Campo de 6 bytes (48 bits) que especifica la MAC de
tipo EUI-48 desde la que se enva la trama. La estacin que deba aceptar el paquete
conoce a travs de este campo la direccin de la estacin origen con la cual
intercambiar datos.
Tipo: Campo de 2 bytes (16 bits) que identifica el protocolo de red de alto
nivel asociado con el paquete, o en su defecto la longitud del campo de datos. Es
interpretado en la capa de enlace de datos.

Prctica 2
Analizadores software o sniffers

Jon Petralanda Urien

David Ortiz Fernandez

Datos: Campo de 46 a 1500 Bytes de longitud. Cada Byte contiene una

secuencia arbitraria de valores. El campo de datos es la informacin recibida del
nivel de red (la carga til). Este campo, tambin incluye los H3 y H4 (cabeceras de
los niveles 3 y 4), provenientes de niveles superiores.
FCS (Frame Check Sequence - Secuencia de Verificacin de Trama): Campo de
32 bits (4 bytes) que contiene un valor de verificacin CRC (control de redundancia
cclica). Este CRC se calcula por el emisor sobre todo el contenido de la trama, y se
vuelve a calcular por el receptor para compararlo con el recibido y verificar la
integridad de la trama.
Utilizando el protocolo 802.3 aparece la longitud de la trama ethernet (38).
Cuando analizamos un paquete que ha sido enviado usando protocolo eth2 no
aparece dicha longitud, ya que este protocolo no incluye en la trama ningn campo
de tamao, en su lugar eth2 incorpora un campo que define el tipo de paquete.
En estas 2 imgenes podemos ver las diferencias. En la imagen superior
vemos el formato de la trama utilizando el protocolo 802.3 y en la inferior el
ethernetII:

Prctica 2
Analizadores software o sniffers

Jon Petralanda Urien

David Ortiz Fernandez

Qu otro tipo de conexiones se pueden observar en la red (ARP, DNS)?

Identificar las tramas de nivel de enlace y, si es posible, los servicios
utilizados en ellas.

Adems de los comentados o pendientes de comentar (como FTP, HTTP, TCP

o ICMP), en las sesiones capturadas se pueden identificar tramas de los siguientes
protocolos:
-ARP: Adress Resolution Protocol, para resolver direcciones IP desconocidas
mediante consultas
-MSNMS: Protocolo utilizado en el popular programa Msn Messenger para
mensajera instantnea.
- STP: Spanning-Tree, para la gestin del enlace
- DNS: Domain Name Server, para la traduccin entre nombres de mquinas
o servidores e IPs
-DHCP: Dynamic Host Configuration Protocol. Protocolo del tipo clienteservidor que sirve para que los nodos de red obtengan sus parmetros
automticamente.

Prctica 2
Analizadores software o sniffers

Jon Petralanda Urien

David Ortiz Fernandez

-IGMP: Internet Group Management Protocol. Se utiliza para intercambiar

informacin acerca del estado de pertenencia entre enrutadores IP y miembros de
grupos de multidifusin. Los hosts miembros individuales informan acerca de la
pertenencia de hosts al grupo de multidifusin y los enrutadores de multidifusin
sondean peridicamente el estado de la pertenencia.
Y como vemos en esta imagen, hay muchos tipos de tramas del nivel de
enlace:

Alterar la configuracin de la tarjeta de red de modo promiscuo a modo no

promiscuo. Qu cambios se manifiestan en las capturas?

Con el modo promiscuo recogemos todo el trfico que vaya por delante
nuestro, independientemente de que vaya dirigido a nosotros o no. Si hacemos el
anlisis en modo no promiscuo, el trfico que veremos reflejado ser
exclusivamente el nuestro.
Si utilizamos un hub da lo mismo que trabajemos en modo promiscuo o no
promiscuo, ya que toda la informacin que pase por l la saca por las dems bocas,
con lo cual esa informacin tambin nos llegar a nosotros.
En resumen, el modo promiscuo se diferencia del no promiscuo en que no
slo se escucha todo, sino que adems se puede procesar la info que se ha
escuchado porque se puede sacar de la tarjeta ethernet. En modo no promiscuo,
simplemente, los datos que no van dirigidos a nuestro ordenador se desechan.

Indica las principales diferencias que identificas cuando realizas capturas

con el Ethereal en tu mquina virtual configurada en modo bridged y en
modo NAT.

Prctica 2
Analizadores software o sniffers

Jon Petralanda Urien

David Ortiz Fernandez

Cuando trabajamos en modo NAT el sistema operativo sobre el que corre el

VMWARE encubre la direccin IP (172.x.x.x, creada por VMWARE) y nos crea una
MAC tambin virtual. Sin embargo en el destino se ve nuestra direccin MAC real.
En modo bridged, sin embargo, nuestra IP es la de la mquina fsica, no una
virtual. La direccin MAC de nuestro equipo que veamos tambin ser una virtual.
En modo NAT no vemos lo que ocurre en la red pues nos lo tapa el VMWare,
sin embargo en modo bridged vemos todo el trfico de la red.
Por decirlo de otra manera el PC emulado con VMWare puede utilizar la
conexin a Internet del anfitrin con NAT o en modo bridge. En modo puente
(bridge), el PC emulado se comporta como si estuviera conectado directamente a la
LAN. Esto necesita una direccin IP propia que debe ser valida en la red local.
Repetir los experimentos anteriores realizando conexiones con otras
aplicaciones, como por ejemplo, ping, telnet o ssh para conectaros a otro
equipo, observando el trfico en la red. Asimismo, se pueden utilizar
protocolos de red Microsoft, trabajando en Windows, como los utilizados
para compartir recursos (carpetas e impresoras, NetBIOS), SMB, etc. o bien
otras herramientas de testeo y configuracin de red como tracert y net
(Windows), traceroute (Linux)
Para poder realizar un ping al ordenador de un equipo del laboratorio
debemos conocer la direccin IP fsica de dicho PC. Si intentamos realizar el ping
utilizando la IP virtual no podremos realizar la conexin, ya que el switch no
reconocer esa IP creada.
Como ejemplo de otras aplicaciones haremos un ping en el siguiente ejercicio
y como protocolo de Microsoft, utilizaremos el protocolo MSNMS que sirve para el
servicio de mensajera instantnea ofrecida por Microsoft:

Prctica 2
Analizadores software o sniffers

Jon Petralanda Urien

David Ortiz Fernandez

En la captura observamos como se establece una conexin de mensajera a

travs del protocolo TCP a nivel de red y MSNMS a nivel de enlace, una vez realizado
esto se envan los paquetes de mensajes correspondientes con respuesta a nivel de
TCP, ms adelante veremos como estos mensajes se pueden visualizar a travs de
este sniffer. En el caso de nuestra red, vemos como la comunicacin solo se hace a
travs del Router-Porttil (como podemos observar es una captura de trfico
wireless)
Como ejemplo simple, se propone de nuevo el anlisis de un ping (ICMP)
entre dos equipos, observando las tramas generadas hacia el nivel fsico, un
acceso a un servidor web (HTTP), a un servidor ftp (FTP), etc.
Si hacemos un ping al equipo de un compaero del laboratorio, vemos que
las tramas generadas son tramas ICMP y vemos como la secuencia es la siguiente:
desde nuestro equipo enviamos un paquete al equipo destino y desde ste se nos
contesta. Esta secuencia se repite 4 veces, tal y como podemos ver en la siguiente
imagen:

Prctica 2
Analizadores software o sniffers

Jon Petralanda Urien

David Ortiz Fernandez

Por otro lado, en la siguiente captura hemos analizado una sesin FTP (es la
misma sesin que la utilizada al comienzo de la prctica). En ella vemos como se
intercalan, entre otras, tramas spanning-tree (de gestin del enlace).

Y si hacemos lo mismo con una captura de sesin HTTP:

Prctica 2
Analizadores software o sniffers

Jon Petralanda Urien

David Ortiz Fernandez

Anlisis de capturas
Realizar una captura de trfico de la red durante un tiempo razonable y
guardarla como fichero en el disco duro del PC. Realizar un anlisis de la
misma off-line, aplicando diferentes filtros y condiciones que permitan
comprender lo que ocurre en determinadas conexiones de red. Emplear la
opcin Follow TCP Stream del analizador Ethereal para realizar un
seguimiento de conexiones completas: qu informacin de la conexin
obtenemos? Observar la expresin correspondiente al filtro que se aplica.
Mediante la opcin Follow TCP Stream, una de las ms tiles del sniffer, se
nos muestran todos los paquetes relacionados con el paquete que hayamos
seleccionado, con lo cual, es ms fcil ver una comunicacin con una pgina web, o
con cualquier otro protocolo. En este nuevo estado, podremos seleccionar ver los
paquetes en ASCII, en Hexadecimal, en arrays de C... segn queramos o
necesitemos.
Las ventajas de la opcin de seguimiento de trazas TCP son:

1. Nos permite realizar un completo seguimiento de una comunicacin TCP,

incluso dentro de una captura mucho mayor.
2. Evita tener que interpretar una gran cantidad de mensajes de control (ACK,
SYN, etc.) aadidos implcitamente por el propio protocolo de transporte.
3. Podemos separar de forma rpida los datos enviados/recibidos por
emisor/receptor de los mensajes de control aadidos por TCP.

Prctica 2
Analizadores software o sniffers

Jon Petralanda Urien

David Ortiz Fernandez

Gracias a esta opcin podemos ver textos planos enviados de un usuario a

otro haciendo un seguimiento del protocolo msnms (cuando se mande un mensaje
en info nos avisar con un MSG). Para este ejemplo hemos hecho una captura
wireless desde nuestro porttil a una conversacin MSN mantenida entre nosotros
2:

En esta captura podemos apreciar cmo Wireshark separa emisor y receptor

asignndole un color distinto a los mensajes de cada uno (rojo para el emisor y azul
para el receptor).

Prctica 2
Analizadores software o sniffers

Jon Petralanda Urien

David Ortiz Fernandez

Para cada mensaje transmitido Wireshark nos muestra su cabecera MIME,

gracias a ella podemos distinguir entre los mensajes de control (text/xmsmsgscontrol) y los de informacin (text/plain: charset-UTF-8). Observar que al
final de cada mensaje de informacin podemos leer los datos tal cual fueron
enviados/recibidos.
Qu informacin aporta el anlisis mediante la opcin Follow Graph?
Aparte de los temas relacionados con la seguridad, Wireshark tambin
aporta una funcionalidad ms cercana al rea de la Auditora, concretamente nos
permite recoger todo tipo de estadsticas sobre una captura previa. Gracias al uso
de estas estadsticas podemos supervisar ms cmodamente el uso que se est
haciendo de los recursos de la red.

Desde el men de estadsticas podemos obtener un pequeo resumen de la

captura realizada, en l aparece la siguiente informacin:

Tiempo y tamao de la captura.

Formato de la captura.
Nmero de paquetes capturados.
Media de paquetes por segundo.
Tamao medio de paquete.
...

Para el caso especfico de los servidores podemos obtener estadsticas sobre

el nmero de accesos, la distribucin de estas peticiones a lo largo del tiempo, etc.
Toda esta informacin puede ser recogida de forma visual en una grfica creada
automticamente por Wireshark.
Ahora miraremos un ejemplo. En negro, podemos visualizar el trfico total.
En rojo, el trafico TCP y en azul, la cantidad de paquetes con la direccin IP 10.96.4.4
gracias al uso de filtros y los colores, podemos hacer las combinaciones que
queramos para ver las estadsticas de uso de los distintos protocolos.

Prctica 2
Analizadores software o sniffers

Jon Petralanda Urien

David Ortiz Fernandez

Arquitectura de red
Alterando la configuracin de red del laboratorio, los equipos dejan de
estar conectados a un switch y se conectan directamente a un hub. Realiza
capturas de trfico local y analzalas.
En primer lugar definiremos el funcionamiento de un switch y el de un hub.
Hub: trabaja a nivel fsico, lo que entre por cualquiera de las bocas lo saca por
las dems, por lo que si dos equipos quieren hablar a la vez hay colisin.
Precisamente por esto, por el gran nmero de colisiones que provocan, hoy en da
apenas se utilizan.
Switch: trabaja a nivel2, por lo que conoce la capa ethernet. La trama solo
sale por la boca que corresponde a la direccin destino. El switch se encarga de
saber donde esta cada MAC. Cuando no sabe donde esta una direccin destino se
comporta como un hub y saca la informacin por todas las bocas. Los switches se
suelen utilizar cuando se desea conectar mltiples redes, fusionndolas en una sola.
Al igual que los bridges, dado que funcionan como un filtro en la red, mejoran el
rendimiento y la seguridad de las redes LAN.

Prctica 2
Analizadores software o sniffers

Jon Petralanda Urien

David Ortiz Fernandez

Si conectamos 3 equipos en un hub, y, por ejemplo, uno hace un ping al otro

(sin que el nuestro est involucrado) vemos que ese trfico tambin va dirigido a
nosotros, ya que como hemos dicho, el hub saca la informacin por todas las bocas,
con lo cual esa informacin tambin nos la manda. Por ejemplo, en esta captura en
la que hacemos cual un ping al equipo de un compaero mientras estamos 3
equipos conectados por el hub, vemos como aparecen mltiples ARPs que no van
dirigidas a ninguno de los equipos implicados en el ping, ya que el ping es entre
los equipos 192.168.1.110 y 192.168.1.124 y se le realizan consultas al 192.168.1.104:

Ahora nos hacen un ping a nosotros con la misma configuracin (3 equipos

conectados a travs de un hub), pero trabajando en modo no promiscuo. Como
hemos dicho antes, en este modo de anlisis solo aparecer el trfico
correspondiente a nuestra tarjeta de red, es decir, en este caso solo aparecern las
consultas ARP que se nos hagan y el ping que recibimos:

Prctica 2
Analizadores software o sniffers

Jon Petralanda Urien

David Ortiz Fernandez

Ampliacin

Desde el sitio web de Ethereal es posible descargar capturas (Sample

Captures) de funcionamiento de distintos protocolos de redes locales,
metropolitanas y extensas, as como ataques de red. Utilizando una de estas
capturas, explicar brevemente el funcionamiento de dicho protocolo o
ataque.

Como la parte de redes de rea extensa hemos tratado en otros apartados (hemos
visto los protocolos FTP, TCP, HTTP,) en este apartado nos centraremos en las
restantes cuestiones.
Como ejemplo de un protocolo de red local (LAN) hemos tomado el NFS, para las
redes MAN (de rea metropolitana) el protocolo DQDB, y como ejemplo simple de
un ataque hemos seleccionado un intento de saturacin de una red local mediante
el envo masivo de ARPs.

Redes Locales
Para la parte de un protocolo utilizado en redes locales, nos descargamos una
captura de NFS (Network File System), que permite que los equipos pertenecientes
a una red local accedan a recursos remotos como si fueran recursos locales. Las
principales caractersticas de este protocolo son:

Prctica 2
Analizadores software o sniffers
-

Jon Petralanda Urien

David Ortiz Fernandez

Se basa en la tecnologa cliente-servidor. Los clientes acceden a los datos

almacenados en el servidor.
Como los datos se hallan centralizados en un lugar remoto, pero pueden ser
ledos y modificados por las distintas estaciones locales, stas necesitan
menos espacio en disco.
Los directorios /home pueden ser creados en el servidor, para que
posteriormente se pueda acceder a ellos desde cualquier equipo de la red.
Se pueden compartir dispositivos de almacenamiento, con lo que se reduce
el gasto en hardware.
Las operaciones sobre los ficheros son sncronas.

Si analizamos la siguiente captura, vemos como en primer lugar el cliente (cuya IP es

10.65.200.21) intenta establecer la conexin con el servidor (de IP 10.65.200.11). Una
vez establecida la conexin, el cliente pide al servidor que le enve un paquete
(podemos pensar que est tratando de leer un fichero). Una vez se ha completado
la transferencia el cliente le enva una peticin de finalizacin indicando de
momento puede dar por finalizada la conexin. Acto seguido le enva una nueva
peticin de establecimiento de conexin, que el servidor acepta. Tras el envo de un
nuevo paquete el servidor le indica mediante un FIN que no tiene ms tramas que
enviar, y que por lo tanto se puede finalizar la conexin. Pasados unos instantes, el
cliente acepta la peticin de finalizacin de conexin. Despus se vuelve a
establecer una conexin, tras lo que comienza un intercambio de paquetes en muy
poco tiempo, por lo que podemos pensar que se trata de la escritura de un fichero
remoto (el cliente recibe paquetes y enva el mismo en un breve intervalo de
tiempo). La captura de la sesin en cuestin es la siguiente:

Redes Metropolitanas

Prctica 2
Analizadores software o sniffers

Jon Petralanda Urien

David Ortiz Fernandez

El protocolo ms extendido en las redes de rea metropolitana (MAN) es el

estndar DQDB o 802.6. Este estndar se define como dos buses de datos, en el que
la informacin circula en ellos en el sentido contrario al que lo hace en el otro (uno
de ida y otro de vuelta). Estos dos buses estn conectados a las distintas estaciones,
y en cada extremo tienen un generador de segmentacin.
Si realizramos una captura de este protocolo, veramos como los paquetes que
circulan por un bus se copian en el otro. Se podra decir que por uno de los buses
sale del origen y por el otro bus le llega al destino. Por lo tanto veramos el mismo
paquete dos veces, separados por un breve intervalo de tiempo, que sera el tiempo
que tardara en enviarse el paquete. Lamentablemente no hemos podido encontrar
ninguna captura de este protocolo, en parte porque las redes MAN han dejado de
ser utilizadas, ya que en su lugar se implementan redes de rea extensa (WAN).
Ataque de Red
A continuacin analizaremos un ejemplo simple de un ataque de red. En este ataque
se intenta sobrecargar una red local mediante el envo masivo de consultas ARP.
Vemos como desde un mismo equipo se llegan a realizar alrededor de 600 consultas
en menos de 30 segundos, es decir, a 20 consultas por segundo, capaz de ralentizar
considerablemente el trfico de datos por la red.
En estas capturas vemos el trfico que produce el equipo atacante mientras realiza
este ataque de saturacin (el destino ser principalmente el Gateway de esa LAN,
con lo que tambin se ralentizarn sus respuestas a otros usuarios):

Y en esta captura vemos que el atacante llega a provocar que circulen 622 paquetes
en 29 segundos (21 paquetes por segundo):

Prctica 2
Analizadores software o sniffers

Jon Petralanda Urien

David Ortiz Fernandez

Empleando un buscador convencional desde el navegador instalado en los

PCs del laboratorio, buscar en Internet trazas de trfico de otro tipo de
redes (p.e. FDDI, Token Bus, etc.) susceptibles de ser analizadas en alguno
de los analizadores manejados. Identificar las caractersticas ms
representativas de cada subcapa MAC y los servicios estudiados en la
asignatura.

No nos ha sido posible realizar este ejercicio puesto que no hemos

encontrado ninguna traza de trfico de otro tipo de red susceptible de ser analizada
en algn analizador manejado. La mayor aproximacin que podramos hacer hacia
este tipo de redes es la de basarnos en la arquitectura de la misma. Por ejemplo en
una red Token Ring en el analizador deberamos de ser capaces de ver cosas como
el testigo y como se va pasando de terminal en terminal para poder realizar la
transferencia de datos

Realiza capturas de trfico inalmbrico con el Ethereal (WireShark).

Aqu un ejemplo de una captura de trfico con WireShark:

Prctica 2
Analizadores software o sniffers

Jon Petralanda Urien

David Ortiz Fernandez

Aqu podemos ver la relacin entre el terminal Wi-fi y el punto de acceso en

los distintos tipos de conexiones. La principal caracterstica del trfico wireless es,
sin duda, la falta de seguridad en este tipo de redes, en internet hay cientos de
pginas y manuales para poder hackear claves, redes y dems variantes. Lo cierto es
que nos ha sorprendido ver con que relativa facilidad se puede acceder a cierta
informacin de otra red a travs de un sniffer como WireShark. Adems hemos
llegado a la conclusin de que mucha de la informacin que transmitimos por la red
viaja como texto plano. Esto supone un grave fallo de seguridad ya que cualquier
sniffer que est escuchando puede capturar toda esta informacin. Una posible
solucin a este problema sera el uso de encriptacin aunque haya varios
desencriptadores que funcionan bastante bien.

Como curiosidad y a modo de ejemplo de esta vulnerabilidad, podemos mirar

el trfico de la red del vecino si nos conectamos a su red Wireless, podemos ver
donde accede o, gracias al protocolo msnms saber su e-mail. Adems su clave la
podemos ver encriptada si captamos muchos paquetes en modo promiscuo (unos
5000) y gracias a un programa de desencriptacin descifrar su contrasea.