PDF de programación - Practica 3 - Observando la red 1

ARQUITECTURA DE REDES, SISTEMAS Y SERVICIOS
Área de Telemática, Departamento de Automática y Computación
Universidad Pública de Navarra

Práctica 3

Observando la red

1. Objetivos



El objetivo principal que se persigue en esta práctica es ser capaz de observar el tráfico

de red mediante un analizador de protocolos como Wireshark y comprender los

conceptos básicos de uso de unos protocolos sobre otros.



2. Usando Wireshark

Lanza el programa wireshark desde el menú aplicaciones o con el comando:

$ wireshark &



El programa se lanzará y abrirá una ventana. Wireshark es un analizador de protocolos.

Su función principal es mostrar los paquetes observados en un interfaz y ayudar a


diseccionarlos identificando cada cabecera de protocolo y los campos con información

incluidos en la cabecera. Puede hacer esto directamente observando la red (o las

redes) a las que está conectado el ordenador pero también permite grabar los

paquetes que ha visto en un fichero para su posterior análisis. A estas grabaciones las
llamamos normalmente ficheros de captura o trazas. Wireshark también es capaz de

abrir un fichero de traza previamente grabado aunque sea en otra máquina y hacer su


análisis sobre los paquetes observados en la grabación.



La pantalla inicial de Wireshark es muy similar a la que puedes ver en la siguiente
imagen.



1

ARQUITECTURA DE REDES, SISTEMAS Y SERVICIOS
Área de Telemática, Departamento de Automática y Computación
Universidad Pública de Navarra



Lo primero que vamos a hacer va a ser realizar una nueva captura de la red. Para ello


debes elegir en cuál de los interfaces que unen un ordenador a la red quieres capturar.
Observa la lista de interfaces disponibles eligiendo el primer icono de arriba. ¿Tu

ordenador tiene varios interfaces de red? Aunque es posible tener varias tarjetas de red

y estar conectado a varias redes, en el caso del laboratorio la mayoría de los interfaces



que ve son virtuales y no representan en realidad una salida a una red física.
El interfaz eth0 es el correspondiente a la tarjeta Ethernet de tu ordenador. Puedes

observar el cable por detrás que lo une al punto de red de la mesa. Eso es eth0. Del

resto de los interfaces que ves, el indicado como loes el llamado interfaz de loopback

que sirve para que programas de este ordenador puedan hablarse entre sí usando


protocolos de red aunque el ordenador esté desconectado o no posea un interfaz


interfaz any no es un interfaz sino la manera en que Wireshark permite
físico. El


observar todos a la vez. En está práctica queremos observar la red Ethernet del


laboratorio así que elige siempre eth0.



Una vez elegido el interfaz a usar, podemos capturar directamente sin pensar mucho
(pulsando Start) o bien configurar algunas opciones en la captura (pulsando Options).

Esto mismo se podía hacer desde las opciones de la pantalla inicial o con los iconos de

arriba que dejan iniciar captura rápido desde el ultimo interfaz seleccionado o ir


directamente a las opciones.
Elige Options en el interfaz eth0(o el icono Capture Options). Aquí puedes configurar

algunas cosas de interés. Las que no se explican puedes dejarlas como están.



● Interface: permite elegir el interfaz. Disponemos de los mismos que hemos



visto anteriormente. Elige eth0 si no está ya seleccionado


● Link-layer header type: permite elegir el tipo de trama que se envía en ese



interfaz. En nuestro caso es Ethernet


● Capture packets in promiscuous mode: el modo promiscuo indica si
queremos capturar todas las tramas que se vean en ese interfaz o solo las

que haya enviado o vayan dirigidas a este ordenador. De momento vamos a

ver todas las disponibles, con lo que activaremos esta casilla

● Limit each packet to xxx bytes: se puede limitar que no se capturen paquetes
2



ARQUITECTURA DE REDES, SISTEMAS Y SERVICIOS
Área de Telemática, Departamento de Automática y Computación
Universidad Pública de Navarra



enteros sino sólo el principio de cada uno para ahorrar memoria y espacio en


disco ya que es posible que lo que queramos ver son sólo las cabeceras,
siendo un tanto indiferente el contenido. De momento no capturaremos

muchos paquetes así que no indicaremos límite


● Capture filter: permite decidir de una manera flexible qué paquetes queremos

capturar y cuáles no. Es una expresión de texto en un lenguaje de reglas que

pone condiciones a todos los paquetes se reciben. Si un paquete cumple la



regla se captura y se muestra o se guarda y si no la cumple se descarta. En
esta primera prueba asegúrate de que el campo está vacío, lo que significa


que queremos capturarlos todos



● Deja el resto de opciones como están y pulsa Start

Wireshark empezará a capturar paquetes y mostrar una lista de los que ha capturado.

En cuanto haya unos cuantos detén la captura pulsando Stop.



Si seleccionas un paquete de la lista puedes ver detalles sobre ese paquete en los

paneles inferiores. Para ver la información un poco más clara, desactiva los colores

pulsando el botón colorize packets. Abajo del todo se ve el contenido del paquete

completo y en el medio el análisis que hace Wireshark del contenido del mismo.

Podemos desplegar cada una de las cabeceras y seleccionar los campos de cada

cabecera de modo que en el panel inferior se mostrará dónde está situado ese campo.



   



El nivel inferior del análisis, Frame, muestra los datos de la captura del paquete y no es

propiamente una cabecera. Dentro de Frame verás tramas Ethernet y dentro de las
tramas Ethernet veras paquetes IP o ARP. IP a su vez puede transportar paquetes TCP

o UDP. Por ejemplo elige un paquete cualquiera y observa con ayuda del análisis dónde



están situadas las direcciones origen y destino de Ethernet. Observa también cómo los

paquetes de diferentes tipos IP o ARP tienen diferente valor en el campo Type.



Busca en tu captura paquetes que transporten protocolos TCP o UDP sobre IP y
observa el encapsulado de unos paquetes dentro de otros.
Utiliza el comando ifconfigpara averiguar la dirección de tu interfaz Ethernet. Puedes

observar la dirección MAC (direcciónHW) y la dirección IP (Direc. Inet).



3

ARQUITECTURA DE REDES, SISTEMAS Y SERVICIOS
Área de Telemática, Departamento de Automática y Computación
Universidad Pública de Navarra

$ ifconfig eth0
eth0      Link encap:Ethernet  direcciónHW 00:1e:37:2c:db:b2 
          Direc. inet:10.1.1.26  Difus.:10.1.255.255  Másc:255.255.0.0

         ...



Utiliza la dirección IP para localizar un paquete enviado por tu ordenador. Fíjate que en
la lista de paquetes puedes aplicar un filtro para seleccionar algunos. Esto se llama

display filter y se escribe en un lenguaje de reglas. Puedes editar reglas y añadirlas


pulsando en el botón expression (tendrás que elegir en la lista los protocolos sobre los

que aplicar las reglas, busca Ethernet por ahí). Por ejemplo puedes ver solo los
paquetes que tengan una dirección IP o una dirección MAC concreta eligiendo reglas

como estas (averigua qué hacen). Pulsa en el botón apply para aplicar el filtro.



eth.addr==00:1e:37:2c:db:b2  (pon tu dirección MAC)
eth.src==00:1e:37:2c:db:b2   (pon tu dirección MAC)
ip.src==10.1.1.26            (pon tu dirección IP)



En este paquete examina la cabecera de Ethernet para comprobar las direcciones MAC

origen y destino de la trama Ethernet. Comprueba que la dirección MAC de origen

coincide con la de tu ordenador (que puedes ver también haciendo ifconfigen un

terminal). Observa que las direcciones IP origen y destino del paquete aparecen en la



cabecera de IP que va dentro de la trama Ethernet. Borra el filtro de display con clear


para volver a observar todos los paquetes.