PDF de programación - Práctica3 - Analizadores de red: Wireshark y tcpdump.

Imágen de pdf Práctica3 - Analizadores de red: Wireshark y tcpdump.

Práctica3 - Analizadores de red: Wireshark y tcpdump.gráfica de visualizaciones

Publicado el 8 de Junio del 2017
477 visualizaciones desde el 8 de Junio del 2017
352,7 KB
8 paginas
Creado hace 11a (31/10/2009)
Departamento de
Automática y Computación
Automatika eta
Konputazio Saila

Campus de Arrosadía
Arrosadiko Campusa
31006 Pamplona - Iruñea
Tfno. 948 169113, Fax. 948 168924
Email: [email protected]

Práctica3 - Analizadores de red: Wireshark y tcpdump.

1- Objetivos

Comprender los conceptos básicos del monitoreo de tráfico de red mediante el uso del analizador

de protocolos Wireshark y del sniffer tcpdump.

2- Login

En esta práctica hará uso de su cuenta arssxy de Linux.

3- Wireshark: Herramienta de sniffing y analizador de protocolos

Un sniffer es una herramienta que se emplea para observar los mensajes que intercambian dos
entidades en comunicación a través de una red. El sniffer (literalmente "olfateador") captura las
tramas a nivel de enlace que se envían/reciben a través de los interfaces de red de nuestra
computadora.

Un dato importante es que un "sniffer" es un elemento pasivo: observa los mensajes que
intercambian aplicaciones y protocolos, pero ni genera información por sí mismo, ni es destinatario
de ésta. Las tramas que captura son siempre una copia (exacta) de las que en realidad se
envían/reciben en nuestro ordenador.

Un analizador de protocolos es un sniffer al que se le ha dotado de funcionalidad suficiente
como para entender y traducir los protocolos que se están hablando en la red. Es de utilidad para
desarrollar y depurar protocolos y aplicaciones de red. Permite al ordenador capturar diversas tramas
de red para analizarlas, ya sea en tiempo real o después de haberlas capturado. Por analizar se
entiende que el programa puede reconocer que la trama capturada pertenece a un protocolo concreto
(HTTP, TCP, ICMP,...) y mostrar al usuario la información decodificada. De esta forma, el usuario
puede ver todo aquello que en un momento concreto está circulando por la red que se está analizando.
Esto último es muy importante para un programador que esté desarrollando un protocolo, o cualquier
programa que transmita y reciba datos en una red, ya que le permite comprobar lo que realmente hace
el programa. Además de para los programadores, estos analizadores son muy útiles para todos
aquellos que quieren experimentar o comprobar cómo funcionan ciertos protocolos de red,
analizando la estructura y funcionalidad de las unidades de datos que se intercambian. También,
gracias a estos analizadores, se puede ver la relación que hay entre diferentes protocolos, para así
comprender mejor su funcionamiento.

Wireshark es un analizador de protocolos de red, con interfaz gráfico, que nos permitirá capturar
las tramas que entran y salen de nuestro ordenador para luego "diseccionarlas" y estudiar el contenido
de los mismas. Wireshark, emplea la misma librería de captura de paquetes (libpcap) que otros
sniffers conocidos, como tcpdump, aunque es capaz de leer muchos otros tipos de formato de captura.
Además es un software de libre distribución que puede correr en distintas plataformas (Windows,
Linux/Unix, y Mac). Pero, probablemente, lo más destacable sea su interfaz gráfica y la potente
capacidad de filtrado que presenta.

Arquitectura de Redes Sistemas y Servicios: Práctica 3

Departamento de
Automática y Computación
Automatika eta
Konputazio Saila

Campus de Arrosadía
Arrosadiko Campusa
31006 Pamplona - Iruñea
Tfno. 948 169113, Fax. 948 168924
Email: [email protected]

Nos vamos a centrar ahora en exponer unas nociones básicas de la forma en la que el analizador

de protocolos Wireshark presenta la información capturada.

Figura 1.- Captura de tráfico HTTP mediante Wireshark

En la Fig. 1, podemos ver en funcionamiento el analizador de protocolos Wireshark. Nos está
mostrando el contenido del archivo “captura-trafico-HTTP.cap”en el que hay 10 tramas previamente
capturadas usando también el mismo programa, pues Wireshark sirve para ambas cosas, para capturar
el tráfico de la red y para analizarlo, pudiendo salvarlo en un archivo si así se desea. Vamos a fijarnos
en detalle en la forma en que Wireshark (y otros analizadores de protocolos) nos muestran las tramas
capturadas.

Arquitectura de Redes Sistemas y Servicios: Práctica 3

Departamento de
Automática y Computación
Automatika eta
Konputazio Saila

Campus de Arrosadía
Arrosadiko Campusa
31006 Pamplona - Iruñea
Tfno. 948 169113, Fax. 948 168924
Email: [email protected]

Vemos que la ventana de Wireshark se encuentra dividida en tres paneles: El superior,“Packet
List” (según lo denomina el programa), el central, “Packet Details” y el inferior, “Packet Bytes”. Hay
que hacer notar que Wireshark llama “Packets” a las tramas capturadas. No hay que confundir estos
“Packets” (llamados así quizás por razones históricas) con las PDUs de nivel 3. Nosotros nos vamos
a referir siempre a los datos capturados por Wireshark como tramas.

El panel superior muestra un listado de las tramas capturadas. En este caso muestra las 10 tramas
que tenemos capturadas en el archivo “captura-trafico-HTTP.cap”. Nótese que hay una trama, la
número 6, “resaltada” en un color más oscuro. Eso es así pues hemos hecho clic sobre ella con el
ratón, seleccionándola de entre todas las del listado. La información que el listado de tramas muestra
respecto a cada una de las tramas es muy limitada, por razones obvias de espacio. Se reduce a los
campos más importantes de la misma y a un breve resumen que permita, de un vistazo, hacerse una
idea de lo que está ocurriendo en la red.

El panel central muestra los detalles relativos al contenido de la trama que hayamos seleccionado
en el panel superior, en este caso la trama (“Frame”) número 6. Los detalles de la trama, que son
muchos, son mostrados en forma de árbol, cuyas ramas podemos contraer o expandir, para tener una
visión más general (contrayendo las ramas) o una visión más detallada (expandiéndolas). En la
imagen podemos ver como hay una
primera rama, que está contraída (se sabe porque aparece un
signo “+ “ que permitiría expandirla). Esta primera rama nos indica el número de orden de la trama
con respecto a las demás (Frame 6) y diversa información relacionada con el instante en que la trama
fue capturada. Es decir, la información de esta primera rama la aporta el programa Wireshark y NO
es algo que tenga que ver con el contenido de la trama. Son cosas como la fecha y la hora de la
captura, número de octetos que se han capturado de la trama, número de orden, etc… Las restantes
ramas que van apareciendo en el panel central ya sí que tienen que ver con el contenido de la trama.
Aparece una rama por cada cabecera que se detecta en la trama. En este caso el analizador de
protocolos nos indica que en la trama 6 hay una cabecera Ethernet versión 2, luego hay una cabecera
IP (Internet Protocol), luego una cabecera TCP (Transmisión Control Protocol) y así sucesivamente.

Concretamente vemos que la rama correspondiente a la cabecera Ethernet versión 2 está
expandida y podemos ver los tres campos que la componen. Está resaltado en un color más oscuro el
campo Tipo (“Type”) y podemos ver su valor (que es 0x0800, número hexadecimal pues empieza por
0x) y su significado, en este caso IP (es correcto, pues ya sabemos que el valor 0x0800 en el campo
tipo de una trama Ethernet versión 2 quiere decir que la trama contiene datos del protocolo IP).

Por último, el panel inferior muestra, sin ninguna información extra, los octetos (“bytes”) de los
que está compuesta la trama que se ha seleccionado en el panel superior y cuyos detalles ya estamos
viendo en el panel central. Esos octetos se muestran en hexadecimal (cada octeto son dos dígitos
hexadecimales) organizados en filas de 16 octetos. Como ayuda podemos ver que cada fila de 16
octetos viene precedida de un número en hexadecimal que nos indica la posición que ocupa el
primero octeto de la fila en la trama. Por ejemplo, la primera fila viene precedida por el número 0000
(hexadecimal) lo que quiere decir que el primer octeto de esa fila es el que estaba en la posición
primera de la trama (la cero). La segunda fila está etiquetada con el número 0010 (hexadecimal), que
es el 16 en decimal. Luego el primer octeto de esa segunda fila ocupa la posición 16 en la trama. Si
nos fijamos nos damos cuenta que estas etiquetas de ayuda que aparecen al principio de cada fila van
de 16 en 16 (de 0010 en 0010 en hexadecimal) porque las filas tienen 16 octetos exactamente. Por
comodidad, este panel inferior nos muestra también, en su parte derecha, una copia de los octetos de
la trama pero en formato ASCII. Es decir, cada octeto es traducido al carácter equivalente según el

Arquitectura de Redes Sistemas y Servicios: Práctica 3

Departamento de
Automática y Computación
Automatika eta
Konputazio Saila

Campus de Arrosadía
Arrosadiko Campusa
31006 Pamplona - Iruñea
Tfno. 948 169113, Fax. 948 168924
Email: [email protected]

código ASCII. Los caracteres no imprimibles (los que no equivalen a letras, números o símbolos) se
representan como un punto. Esto puede ser útil en ciertas tramas que contengan PDUs con datos en
modo texto. Nótese que el panel inferior y el panel central son la misma cosa vista de dos modos
diferentes. No hay más que ver como al haber seleccionado el campo “Type” en el panel central, en
el panel inferior podemos ver resaltado un par de octetos de la trama, que son precisamente el 08 y
00, el valor que tiene dicho campo “Type”. Hay que precisar que el analizador nos muestra en este
panel inferior toda la trama Ethernet versión 2 o IEEE 802.3 salvo los 64 bits primeros del
preámbulo. Es decir, que el octeto primero que podremos ver será el primer octeto de la dirección
MAC destino. Otro campo que muchas veces no aparece será la cola de la trama (el FCS, “Frame
Check Sequence) pues hay tarjetas que son incapaces de proporcionar este dato en el momento de la
captura.

Finalmente, por encima de estas tres secciones aparecen otros dos elementos: los menús de

comandos (menús desplegables y barra de herramientas) y el campo de filtrado de visualización.

4- ¿Qué necesito para estar en red?

Un ordenador que vaya a funci
  • Links de descarga
http://lwp-l.com/pdf4347

Comentarios de: Práctica3 - Analizadores de red: Wireshark y tcpdump. (0)


No hay comentarios
 

Comentar...

Nombre
Correo (no se visualiza en la web)
Valoración
Comentarios...
CerrarCerrar
CerrarCerrar
Cerrar

Tienes que ser un usuario registrado para poder insertar imágenes, archivos y/o videos.

Puedes registrarte o validarte desde aquí.

Codigo
Negrita
Subrayado
Tachado
Cursiva
Insertar enlace
Imagen externa
Emoticon
Tabular
Centrar
Titulo
Linea
Disminuir
Aumentar
Vista preliminar
sonreir
dientes
lengua
guiño
enfadado
confundido
llorar
avergonzado
sorprendido
triste
sol
estrella
jarra
camara
taza de cafe
email
beso
bombilla
amor
mal
bien
Es necesario revisar y aceptar las políticas de privacidad