ESCUELA SUPERIOR POLITECNICA DE CHIMBORAZO FACULTAD DE INFORMTICA Y ELECTRNICA ESCUELA DE INGENIERA EN SISTEMAS

REDES E INTEGRACION. Anlisis de captura de trfico en la red local con wireshark utilizando FTP como protocolo de estudio.
hermessanc@gmail.com dariogarcia1991@hotmail.com mary.ortiz.315428@facebook.com

NOMBRES Hermes Snchez. 5227. Dario Garcia 5178. Laura Ortiz

DOCENTE: Ing. M.Sc. Patricio Moreno Costales.

Riobamba Noviembre 2013

TEMA
Anlisis de captura de trfico en la red local con wireshark utilizando FTP como protocolo de estudio.

OBJETIVOS
Objetivo general
Analizar la captura de trfico en la red local con mquinas virtuales y sistema operativo Windows implementando wireshark como software de captura de trfico, utilizando FTP como protocolo de estudio.

Objetivos especficos.
Configurar 3 mquinas virtuales con sistema operativo Windows server 2008, 2003 y Windows xp para su implementacin en red local. Capturar el trafico de red con wireshark para el anlisis de sus resultados en relacin con el uso del protocolo FTP. Marcar diferencias y conclusiones del anlisis y resultados obtenidos.

CONFIGURACIN
1. En el servidor Windows 2008 de nombre DEN-SRV4, cambiamos la configuracin de la interfaz Ethernet utilizada para la conexin en red local con las dems computadoras relevantes para la prctica. Direccin IP: 10.10.0.4 Mascara de subred: 255.0.0.0 Puerta de enlace: 10.10.10.1 Direccin Servidor DNS preferido: 10.10.0.2

2. El servidor DEN-SRV4 debe ser parte del dominio en el servidor de nombres, siendo este contoso.msft

3. Una vez ubicado el dominio nos pide usuario y password del servidor de nombre de dominio DNS, siendo la maquina DEN-DC1, con los siguientes datos. Usuario: administrator Password: Pa$$w0rd

4. Una vez unido al dominio instalamos el servicio de internet information server (IIS) y los servicios de funcin requeridos para publicacin FTP.

5. Una vez instalados el nuevo servicio y funciones de servicio FTP, verificamos su instancia.

6. Creamos un nuevo sitio FTP para su uso y estudio posterior.

7. Ubicamos la direccin ip de la mquina que contiene el sitio 10.10.0.4

8. Creamos una carpeta en el DEN-SRV4 donde se alojaran los archivos de subida y bajada por el protocolo FTP.

9. Seleccionamos el directorio creado en el paso anterior para nuestro sitio de FTP y asignamos permiso de lectura y escritura.

10. Iniciamos nuestro servicio en nuestro sitio FP.

11. Ahora comenzamos en la maquina cliente de nombre DEN-CL1, donde creamos un directorio y desde consola ejecutaremos comandos de FTP principalmente para subir y bajar archivos.

12. Nos ubicamos desde consola en el directorio antes creado y utilizamos el comando >ftp 10.10.0.4 para conectarnos con el servidor DEN-SRV4 quien contiene los servicios de FTP.

13. Nos solicitara autenticarnos con lo que procedemos. Nombre de usuario del DEN-SRV4: administrador Password del DEN-SR4: Pa$$w0rd

14. Una vez conectado podemos hacer uso del comando propio del protocolo FTP, donde utilizamos comandos para manipular archivos, siendo estos get y put para bajar y subir los archivos respectivamente. 15. Comenzamos a capturar el trfico subiendo y bajando archivos con el servicio del protocolo FTP, configurando la interfaz Ethernet en el wireshark e iniciando la captura.

RESULTADOS
Considerando que en el intercambio de paquetes FTP entran en juego dos conexiones, siendo la primera sobre el puerto 21, la conexin de control, por donde se envan los diferentes comandos hacia el servidor y sus respectivas contestaciones. La segunda conexin es la de datos y tal y como su nombre indica, es por donde se envan y se reciben los datos pedidos, y, la comunicacin existe en dos formas para el establecimiento de la conexin de datos. La ms usada por casi todos los clientes FTP de forma predefinida es la pasiva. En la forma pasiva, es el propio servidor el que elige el puerto al que se le va enviar la informacin.

Ahora haciendo un anlisis de los resultados obtenidos en el proceso de comunicacin y transferencia de datos con el protocolo de estudio FTP.

Las primeras lneas que observamos en la captura corresponden al inicio de la comunicacin con el servidor FTP. Se trata del establecimiento de conexin en tres pasos.
cliente servidor cliente servidor TCP cliente TCP servidor TCP 62 amx-icsp > ftp [SYN] Seq=0 Win=65535 Len=0 MSS=1460 SACK_PERM=1 62 ftp > amx-icsp [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0 MSS=1460 SACK_PERM=1 60 amx-icsp > ftp [ACK] Seq=1 Ack=1 Win=65535 Len=0

El cliente envia SYN con un nmero secuencia Seq=0 y Ack=0 El servidor lo recibe, envia SYN y ACK y responde con su propio nmero de secuencia Seq=0 y con un ACK = al nmero de secuencia anterior + 1, es decir: Ack=1 El cliente a su vez responde con ACK y nmero de secuencia inicial (Seq=0) +1 y ACK = nmero de secuecia anterior (Seq=0) +1, es decir: Ack=1

En la lnea anterior vemos como el servidor responde al cliente con el cdigo 220 que indica servicio preparado para nuevo usuario y nuestra informacin del software/versin del servidor FTP:
Response: 220 Microsoft FTP services.

El cliente inicia el dilogo y sesin FTP con el servidor. USER identifica al usuario para acceder al sistema de ficheros del servidor:
Request: USER administrador

El servidor responde requiriendo la contrasea del usuario con el cdigo 331 que indica OK al usuario administrador y que necesita contrasea:
Response: 331 Password required for administrador

El cliente responde con la contrasea

Request: Pa$$w0rd

El servidor responde con cdigo 230 que indica que el usuario est conectado y que contine con la sesin:
Response: 230 User administrador Logged in.

Ahora el cliente con la siguiente orden PORT n1, n2, n3, n4, n5, n6; indica al servidor el establecimiento del modo activo. Con esta orden, se indica que se espera conexin del servidor en la direccin IP n1,n2,n3,n4, en este caso 10.10.0.45 tal como vemos en la captura grfica de Wireshark, y en el puerto n5 y n6, calculando el puerto de la siguiente forma:

n5*256+n6
As pues, siendo n5=19 y n6=137, 19*256+137=5001. que, como vemos en la captura un poco ms a bajo, es el puerto usado por el cliente. el servidor inicia conexin desde el puerto 20 hacian el puerto resultante de la orden PORT:
Request: PORT 10,10,0,45,19,137

El cliente con la orden NLST, indica el tipo de representacin de los datos, es decir ASCII.
Request: NLST

Y POR ULTIMO TENEMOS UNA TRASFERENCIA COMPLETA.

CONCLUSIONES
La configuracin en 3 mquinas virtuales marca una pauta de rendimiento muy bajo, y se pero se considera lo suficientemente eficiente como para el anlisis y rescate de estudio de la implementacin y operacin para el entendimiento del protocolo FTP. El datos circulantes en la red se tiende a muy vulnerable al momento de conseguir capturar el trfico que hay en la red, esto, si se lo realiza con fines dolosos, sin embargo, se puede apreciar y analizar con este trfico obtenido la manera en la cual el cliente y el servidor con los diferentes servicios de FTP proporcionado, establecen parmetros de comunicacin y transferencia de archivos, conociendo as, que utiliza protocolos como el TCP que se orienta a la conexin para la fiable transferencia de archivos con el protocolo de estudio principal siendo el FTP. Se tiene una comunicacin muy limpia y transparente para el cliente permitiendo seguridad y confianza de la integridad de los datos tanto al subir o bajar contenido por el protocolo FTP sabiendo la utilizacin de TCP para su comunicacin.