TELEMATICA I Ing. Pablo Hidalgo L.

CARRERA DE ELECTRONICA Y TELECOMUNICACIONES

PRCTICA N 6
1. 2. 3. TEMA: ANLISIS DE TRFICO EN UNA RED DE REA LOCAL OBJETIVO: Analizar el formato de PDUs en redes IEEE 802.3. Familiarizar al estudiante con una herramienta para anlisis de trfico en redes de rea local. Introduccin

Para observar y analizar el trfico en una red se utilizan herramientas de monitoreo, que presentan el trfico binario de la red en una forma inteligible para las personas. Estas herramientas se denominan analizadores de protocolos de red. En la presente prctica se va a utilizar el analizador de redes Wireshark. Un analizador de protocolos de red configura la interfaz de red en un modo denominado modo promiscuo que puede capturar todo el trfico que circula por la red.

Figura 1. Arquitectura de Software de un analizador de trfico sobre Linux 3.1 Wireshark

Cuando se ejecuta Wireshark y se realiza una captura de trfico, se presenta una ventana como la que se muestra en la figura 2. La ventana est dividida en tres zonas, en las que se presenta el trfico capturado en diferentes formatos: Zona de lista de paquetes capturados: Presenta un resumen de cada paquete capturado. Zona de detalle del paquete: Presenta el detalle del paquete seleccionado indicando los campos que lo conforman. Cada protocolo puede desplegarse pulsando sobre la pestaa de la izquierda para mostrar ms informacin o contraerse, para ocupar una sola lnea, pulsando sobre la misma pestaa.

TELEMATICA I Ing. Pablo Hidalgo L.

CARRERA DE ELECTRONICA Y TELECOMUNICACIONES

Zona del paquete en bytes: Presenta el detalle del paquete en formato hexadecimal y ASCII.

Figura 2. Ventana Principal de Wireshark 1.1.1

3.1.1 Captura de trfico Antes de iniciar una captura de trfico se debe seleccionar la interfaz de red que se va a utilizar.

Figura 3. Men Options de Wireshark 1.1.1

Dentro de este men se puede seleccionar el submen Options dentro del cual aparecer una ventana de opciones de captura.

TELEMATICA I Ing. Pablo Hidalgo L.

CARRERA DE ELECTRONICA Y TELECOMUNICACIONES

Figura 4. Ventana del men Opciones Para capturar datos en modo promiscuo se debe comprobar que la opcin Capture packets in promiscuous mode est seleccionada en la ventana de opciones. Este modo de operacin permite visualizar el trfico que circula por la red local y no slo aquel que va dirigido desde o hacia la interfaz Ethernet de su propio ordenador. 3.1.2 Filtros de captura Los filtros permiten capturar slo aquellos paquetes que tengan determinadas caractersticas. Para especificar un filtro de captura se lo debe indicar en la lnea Capture Filter de la Ventana de Opciones. Por ejemplo: Capturar el trfico desde o hacia la direccin IP 198.168.1.25:
host 198.168.1.25

Capturar el trfico hacia la direccin IP 198.168.1.25:

dst host 198.168.1.25

Capturar el trfico desde o hacia un rango de direcciones IP:

net 192.168.0.0/24

net 192.168.0.0 mask 255.255.255.0

Capturar el trfico desde un rango de direcciones IP:

src net 192.168.0.0/24

src net 192.168.0.0 mask 255.255.255.0

TELEMATICA I Ing. Pablo Hidalgo L.

CARRERA DE ELECTRONICA Y TELECOMUNICACIONES

Capturar el trfico hacia un rango de direcciones IP:

dst net 192.168.0.0/24

dst net 192.168.0.0 mask 255.255.255.0

Capturar solamente trfico DNS (puerto 53):

port 53

No capturar trfico HTTP ni SMTP en un servidor:

host www.example.com and not (port 80 or port 25) host www.example.com and not port 80 and not port 25

Capturar trfico excepto todo el trfico ARP y DNS:

port not 53 and not arp

Capturar trfico dentro de un rango de puertos (versin 0.9.1 en adelante)

tcp portrange 1501-1549

Capturar trfico solamente Ethernet tipo EAPOL:

ether proto 0x888e

Capturar solamente trfico unicast:

not broadcast and not multicast

Capturar trfico icmp:

ip protocol\icmp

3.1.3 Guardar una captura Si desea guardar una captura de trfico seleccione en el men File la opcin Save as y elija el directorio de destino en el disquete o en la memoria USB. El archivo de captura se guarda con las extensiones *.pcap o *.cap de Wireshark que utilizan la mayora de los analizadores de red. Las capturas pueden abrirse en cualquier otro ordenador que tenga instalado el programa Wireshark. 3.1.4 Filtros de Visualizacin Se puede tambin filtrar el trfico que se desea visualizar, ubicando operadores en la pantalla principal en donde se tiene Filter:

TELEMATICA I Ing. Pablo Hidalgo L.

CARRERA DE ELECTRONICA Y TELECOMUNICACIONES

Los operadores que se pueden utilizar para construir expresiones de filtro son los siguientes: > gt < lt >= ge <= le == eq != ne Mayor que Menor que Mayor o igual que Menor o igual que Igual a No igual a

Hay bsquedas que pueden ser muy sencillas y similares a los filtros de captura, por ejemplo: arp - Para visualizar todos los paquetes de arp http - Para visualizar paquetes cuyo protocolo de aplicacin es http tcp - Para visualizar todos los paquetes tcp udp - Para visualizar todos los paquetes udp icmp - Para visualizar paquetes icmp por ejemplo paquetes de ping.

Si lo que se desea es filtrar direcciones especficas se puede utilizar los siguientes filtros: ip.addr == 192.168.0.1 ip.src == 192.168.01 tcp.port == 80 tcp.srcport == 80 Buscar paquetes con ip origen o destino igual a 192.168.0.1 Buscar paquetes con ip origen igual a 192.168.0.1 Buscar paquetes tcp que contengan puerto origen o destino 80 Buscar paquetes tcp con puerto de origen igual a 80

3.2 Descripcin de la prctica 3.2.1 Configuracin de la red Configure en su equipo la interfaz de red LAN con la direccin IP y la mscara siguientes:
PC 1 2 3 4 5 Direccin IP 192.168.1.1 /24 192.168.1.2 /24 192.168.1.3 /24 192.168.1.4 /24 192.168.1.5 /24 PC 6 7 8 9 10 Direccin IP 192.168.3.1 /24 192.168.3.2 /24 192.168.3.3 /24 192.168.3.4 /24 192.168.3.5 /24 PC 11 12 13 14 15 Direccin IP 192.168.5.1 /24 192.168.5.2 /24 192.168.5.3 /24 192.168.5.4 /24 192.168.5.5 /24 PC 16 17 18 19 20 Direccin IP 192.168.7.1 /24 192.168.7.2 /24 192.168.7.3 /24 192.168.7.4 /24 192.168.7.5 /24

3.2.2 Modo promiscuo

Iniciar una captura de datos asegurndose de que est habilitada la opcin Capture packets in promiscuous mode en la ventana de opciones de captura. Sin detener la captura, realizar un ping a la direccin IP del PC situado dentro de su red Detener el ping y la captura de datos. Analizar resultados:

TELEMATICA I Ing. Pablo Hidalgo L.

CARRERA DE ELECTRONICA Y TELECOMUNICACIONES

Nmero de paquetes capturados Quines son los remitentes y los destinatarios de esos paquetes? Qu protocolos aparecen?. Repetir las operaciones anteriores pero deshabilitando el modo promiscuo Analice resultados y compare con el caso anterior

o o o

3.2.3 Anlisis de Protocolo ARP

Examinar la tabla ARP de su computador. Si contiene la entrada de la direccin IP a la que ha realizado el ping, brrela:
o

arp d 192.168.X.X arp d *

Especificar un filtro para capturar slo los paquetes con origen y destino en su propia mquina e inicie una captura de datos. Sin detener la captura, realice un ping a una direccin dentro de la red. Detener la captura y asegrese de que ha capturado cuatro paquetes, dos del protocolo ARP y dos del protocolo ICMP. Analice el primer paquete. Cul es su tamao total en bytes? Cul es el tamao de la cabecera de Ethernet II? Cul es la direccin MAC del destinatario? Y la del remitente? Qu protocolo hay encapsulado en el paquete? Analice el mensaje ARP encapsulado en el primer paquete y complete los siguiente valores: o Hardware type
o o o o o o o Protocol type Hardware size Protocol size Operation code Sender hardware address Sender protocol address Target hardware address Target protocol address

Analice los dos paquetes ARP y compare los mismos.

3.2.4 Protocolo ICMP Analizar el tercer paquete de la captura realizada en el punto 3.2.3 o Versin del protocolo IP o Tamao total del paquete en bytes o Tamao de la cabecera IP en bytes o Protocolo al que pertenece el mensaje encapsulado en el datagrama IP o Tipo de mensaje o Direccin origen y destino o Campo Type y Code

Analizar el cuarto paquete de la captura realizada en el punto 3.2.3 o Protocolo al que pertenece el mensaje encapsulado en el paquete o Tipo de mensaje o Direccin origen y destino o Campo Type y Code

4. INFORME