Introduccin a Wireshark

Wireshark es un programa analizador de protocolos UDP, TCP, ICMP, IPX, de carcter profesional.

Es capaz de diseccionar gran cantidad de protocolos, SMTP, HTTP, POP3, 802.11, 802.3 (Ethernet), etc. entre otros. Su arquitectura modular facilita la creacin e integracin de nuevos decodificadores (dissectors) de protocolo, y por esto existe una gran comunidad que suele agregar un decoder para casi cualquier tipo de protocolo existente. Adems de sus capacidades de decodificacin, tambin son destacables sus diversas funcionalidades para la obtencin de datos desde las capturas, grficos y tendencias. Una de sus caractersticas ms importantes son los filtros que permiten filtrar la informacin obtenida desde la red y de esta manera llegar a comprender y centrarnos en los datos relevantes.

Tambin se puede examinar absolutamente toda la informacin que tiene un archivo en nuestro disco rgido.

Analizar los paquetes de datos es una manera de controlar los problemas en el trfico de la red o para detectar problemas de conexin.

Wireshark est orientado a ayudar a los usuarios en la solucin de problemas, anlisis, desarrollo de software y protocolos. Todas las caractersticas estndar que usted esperara encontrar en un analizador de protocolos estn aqu, pero tambin tiene algunos extras aadidos porque es de cdigo abierto y se ha mejorado para su comodidad. La contribucin de los consultores de redes globales en todo el mundo son las que hacen que un sistema analizador se transforme en particularmente poderoso.

El programa cuenta con un extenso manual, por si usted no est familiarizado con el anlisis de protocolo. Para los que ya manejan esta clase de aplicaciones, Wireshark le proporciona inspeccin profunda de cientos de protocolos, la captura en vivo y anlisis fuera de lnea e incluso anlisis de VoIP. Todos los datos de red capturados se pueden consultar a travs de una interfaz sencilla de utilizar.

Practica 1 WIRESHARK

Como ya fue mencionado Wireshark es un programa de cdigo libre y gratuito. El instalable se baj de la pgina oficial http://www.wireshark.org/, y esta es una captura del programa.

Como mi PC es de escritorio, Wireshark no detecta otros dispositivos o interfaces de red ms que Ethernet, y para iniciar una captura solo basta con dar clic en Start.

Como se alcanza a apreciar ya se realiz la captura, la cual se detuvo uno segundos despus, se logra ver que aparecieron varios protocolos, dentro de los cuales figuraron IGMPv3, DHCPv6, ARP, y uno llamado Microsoft Windows Browser Protocol. Y luego se salv la captura.

Microsoft Windows Browser Protocol: Este protocolo de red, fue desarrollado por Microsoft para su famoso sistema operativo Windows, como muchas de las cosas que Microsoft desarrolla este protocolo es de uso privativo y no tiene nada que ver con Internet o HTTP. El Browser Protocol registra los nombres SMB o de NetBIOS de una red, los almacena y los comparte para los dems nodos de la red. SMB: Server Message Block o SMB es un Protocolo de red (que pertenece a la capa de aplicacin en el modelo OSI) que permite compartir archivos e impresoras (entre otras cosas) entre nodos de una red. Es utilizado principalmente en ordenadores con Microsoft Windows. NetBIOS, Sistema de Entrada Salida Bsica de Red es un protocolo estndar de IBM, que permite que las aplicaciones sobre diferentes computadoras se comuniquen dentro de una red de rea local (LAN). NetBIOS provee los servicios de sesin descriptos en la capa 5 del modelo OSI. Es un protocolo de aplicacin para compartir recursos en red. Se encarga de establecer la sesin y mantener las conexiones. Pero este protocolo debe transportarse entre mquinas a travs de otros protocolos; debido a que por s mismo no es suficiente para transportar los datos en redes LAN como WAN, para lo cual debe usar otro mecanismo de transporte. Un protocolo que puede prestar servicio de transporte a NetBIOS puede ser TCP/IP.

IGMP (Internet Group Management Protocol): Este protocolo se utiliza para intercambiar informacin acerca del estado de pertenencia entre enrutadores IP que admiten la multidifusin y miembros de grupos de multidifusin. Los hosts miembros individuales informan acerca de la pertenencia de hosts al grupo de multidifusin y los enrutadores de multidifusin sondean peridicamente el estado de la pertenencia. La ltima versin disponible de este protocolo es la IGMPv3 descrita en el RFC 3376. DHCP (Dynamic Host Configuration Protocol): Es un protocolo de configuracin dinmica de host, es un protocolo de red que permite a los clientes de una red IP obtener sus parmetros de configuracin automticamente. Se trata de un protocolo de tipo cliente/servidor en el que generalmente un servidor posee una lista de direcciones IP dinmicas y las va asignando a los clientes conforme stas van estando libres, sabiendo en todo momento quin ha estado en posesin de esa IP, cunto tiempo la ha tenido y a quin se la ha asignado despus. Su implementacin actual est en la DHCPv6 se publica el RFC 3315. ARP (Address Resolution Protocol): El protocolo de Resolucin de Direccin permite que se conozca la direccin fsica de una tarjeta de interfaz de red correspondiente a una direccin IP. Para que las direcciones fsicas se puedan conectar con las direcciones lgicas, el protocolo ARP interroga a los equipos de la red para averiguar sus direcciones fsicas y luego crea una tabla de bsqueda entre las direcciones lgicas y fsicas en una memoria cach. Cuando un equipo debe comunicarse con otro, consulta la tabla de bsqueda. Si la direccin requerida no se encuentra en la tabla, el protocolo ARP enva una solicitud a la red. Todos los equipos en la red comparan esta direccin lgica con la suya. Si alguno de ellos se identifica con esta direccin, el equipo responder al ARP, que almacenar el par de direcciones en la tabla de bsqueda, y, a continuacin, podr establecerse la comunicacin.

Ahora vamos a analizar un caso de trfico especfico y voy a tomar como apoyo la pagina www.intercambiosvirtuales.org, pero antes vamos ejecutar MSDOS y a ejecutar el comando ipconfig, el cual nos proporcionara la siguiente informacin, y ya sabremos nuestra Direccin IPv6 e IPv4, as como tambin la Direccin de Mascara y la Direccin de la Puerta de Enlace Predeterminada o tambin conocida como Default Gateway.

Una vez hecho de esto iniciamos una captura de paquetes en Wireshark, y ejecutamos en MSDOS el siguiente comando: ping www.intercambiosvirtuales.org

Al ejecutar en comando anterior MSDOS nos devolvi la siguiente informacin, la cual es la Direccin del sitio www.intercambiosvirtuales.org, el tiempo de respuesta, y la cantidad de paquetes enviados, recibidos y perdidos, asi como tambin el tiempo mximo de ida y vuelta en milisegundos.

Ahora vamos a analizar solo el protocolo DSN de lo que fue capturado con Wireshark DNS (Domain Name System): El sistema de nombres de dominio es un sistema de nomenclatura jerrquica para computadoras, servicios o cualquier recurso conectado a Internet o a una red privada. Su funcin ms importante, es traducir (resolver) nombres inteligibles para las personas en identificadores binarios asociados con los equipos conectados a la red, esto con el propsito de poder localizar y direccionar estos equipos mundialmente. El servidor DNS utiliza una base de datos distribuida y jerrquica que almacena informacin asociada a nombres de dominio en redes como Internet. Aunque como base de datos el DNS es capaz de asociar diferentes tipos de informacin a cada nombre, los usos ms comunes son la asignacin de nombres de dominio a direcciones IP y la localizacin de los servidores de correo electrnico de cada dominio. La asignacin de nombres a direcciones IP es ciertamente la funcin ms conocida de los protocolos DNS. Por ejemplo, si la direccin IP del sitio FTP de prox.mx es 200.64.128.4, la mayora de la gente llega a este equipo especificando ftp.prox.mx y no la direccin IP. Adems de ser ms fcil de recordar, el nombre es ms fiable. La direccin numrica podra cambiar por muchas razones, sin que tenga que cambiar el nombre.

Se puso el filtro de protocolo DNS y la que seleccione me indica que capturo 7 frame, que capturo 135 bytes, que el tipo de encapsulamiento es Ethernet, la fecha y la hora a la que llegaron los paquetes Octubre 9, 2013 10:34:46.474846000 y que los protocolos contenidos dentro del frame son Ethernet, IP, UDP y DNS.

En esta captura se muestra que se us IPv4 y la fuente en este caso tiene la Direccin IP 200.66.96.5 cuya direccin debe ser la del servidor DNS que respondi la direccin del sitio que fue solicitado y que el destino tiene la Direccin IP 10.175.229.198 que en una captura anterior se vio que es la direccin de mi PC. Tambin se ve que la longitud de la cabecera IPv4 es de 20 bytes.

Dentro de DNS nos indica que se mand una pregunta y se regresaron tres respuestas.

Dentro de las respuestas el DNS nos indica que el nombre es intercambiosvirtuales.org, que es una direccin de tipo A, que la longitud de los datos es 4 y que la direccin del sitio es 108.162.207.187 que coincide con la direccin entregada por MSDOS cuando se mand el comando ping.

Conclusiones En esta prctica se aprendi que con Wireshark se puede hacer anlisis de protocolos que funcionan o trabajan cuando la PC interacta con la red, as como poder observar que es lo hace cada uno de los protocolos, cuales son las direcciones de origen y destino, que informacin est siendo recibida y la comprobaciones fueron correctas, todo esto nos puede servir para poder identificar un problema que se llegara a presentar.