LABORATORIO N2: USO DEL ANALIZADOR DE TRAFICO WIRESHARK

I. OBJETIVOS.1. Conocer una aplicacin bsica de monitorizacin a nivel de paquetes.2. Aprender a extraer conclusiones a partir de los paquetes capturados

II. HERRAMIENTAS Y MATERIALES

1. Software wireshark Este laboratorio utiliza la herramienta de software wireshark para capturar y analizar una traza de paquetes. Un rastro de paquete es un registro de trfico en un punto de la red, como si una instantnea que se toma de todos los bits que se transmiten a travs de un cable en particular. El rastreo del paquete registra una marca de tiempo para cada paquete, junto con los bits que componen el paquete, a partir de las cabeceras de capa inferior a los contenidos de capa ms alta a partir de las cabeceras de cada inferior a los contenidos de cada ms alta wireshark se ejecuta en la mayora de sistemas operativos, incluyendo Windows, mac y Linux.

III. GUIA RAPIDA DE WIRESHARK:

Analizador de trfico wiresharkWireshark es una aplicacin que ofrece una interfaz sencilla de utilizar y permite visualizar los contenidos de las cabeceras de los protocolos involucrados en una comunicacin.Este tipo de programas, conocidos como analizadores de red, o sniffers, activan el modo promiscuo en la tarjeta de red capturan todas las tramas Ethernet que se envan dentro de la misma red de rea local.El modo promiscuo es una funcin software de la tarjeta de red que, si se activa, provoca que la tarjeta capture de la red todas las tramas, sin preocuparse de quin es el destinatario de la misma. Normalmente este flag est desactivado, y el sistema operativo slo recibe las tramas cuya direccin Ethernet destino es la suya.1. Pantalla de capturas2. Pantalla de campos3. Pantalla de contenidos

En la pantalla de capturas (1) se muestra la informacin ms relevante de los paquetes capturados como por ejemplo, las direcciones IP y puertos involucrados en las comunicaciones. Seleccionando un paquete en esta seccin podemos obtener informacin detallada sobre el en las otras dos secciones de la pantalla que comentares a continuacinEn la pantalla de campos (2) se muestra, utilizando controles tree-view, cada uno de los campos de cada una de las cabeceras de los protocolos que ha utilizado el paquete para moverse de una maquina a la otra. As, si se ha capturado una serie de paquetes de, por ejemplo una conexin telnet, se podra ver las cabeceras del protocolo TCP, del IP y de la que se tenga debajo de ellos (Trama Ethernet, por ejemplo, en una red Ethernet).En la pantalla de contenidos (3) muestra un volcado hexadecimal del contenido del paquete. Seleccionando cualquier campo en la parte central de la ventana se mostraran en negrita los datos correspondientes del volcado hexadecimal, los datos reales que estn viajando por la red.Todas las opciones que pueden ser empleadas, son accesibles por medio de los menos, la aplicacin contiene los siguientes mens

CAPTURA DE TRFICOPara capturar el trfico que est circulando en este momento en la red, usar la opcin Capture del men. Al seleccionar la opcin Options aparecer la caja de dialogo con las preferencias para la captura de los paquetes. El dialogo de captura dispone de varias opciones para el usuario

Visualizacin de resultados la lista de tramas capturas aparece en la parte superior de la pantalla principal de wireshark indicando el momento en el que fue capturada(time, las direcciones origen (source) y destino (destination)y el protocolo (Protocol) as como informacin adicional (info) del mismo.Al seleccionar una trama, en la parte inferior puede verse el detalle de la trama, incluyendo los datos de todas las cabeceras de cada trama. Puede verse la trama a nivel de enlace (Ethernet II), de red (Internet Protocol), y de transporte (User Datagran Protocol). Adems, soporta cierto nmero de protocolo de aplicacin como pueden ser HTTP, DNS o NFS.En la parte inferior se muestra el contenido del paquete tal cual tanto en hexadecimal (segunda columna y posteriores), como en ASCII (ltima columna)

Filtro de capturaWireshark permite filtrar la informacin acerca de los paquete capturados, tanto en el momento de la captura de los mismos como en la visualizacin, wireshark utiliza la misma sintaxis para la definicin de filtros que la orden de Unix tcpdump.Los filtros pueden hacer referencia a un protocolo, a un host, a un puerto, etc. Pueden ser combinados mediante operadores booleanos (and, or y not). Para eliminar problemas de procedencia de operadores pueden utilizarse parntesis.Los posibles calificadores son de uno de los tipos siguientes:

IV. PROCEDIMIENTO