taller wireshark
DESCRIPTION
TRANSCRIPT
SISTEMA INTEGRADO DE GESTIÓN GESTIÓN DE REDES DE DATOS INSTRUCTOR: JULIAN CIRO RODRIGUEZ
15 de julio de 2013
SERVICIO NACIONAL DE APRENDIZAJE YIMY FERNANDO PÉREZ MEDINA
TALLER DE WIRESHARK
SERVICIO NACIONAL DE APRENDIZAJE SENA 15 de julio de 2013
GUÍA DE APRENDIZAJE WIRESHARK
Proceso Gestión de la Formación Profesional Integral Procedimiento Ejecución de la Formación Profesional Integral
1
1. Explique las características de los tres páneles de wireshark.
El panel 1 nos muestra la lista de paquetes que están pasando por la interfaz de
red en tiempo real.
El panel dos muestra los detalles de cualquier paquete que selecciones en la lista
de paquetes (Panel 1)
El panel 3 nos muestra de forma más detallada en lenguaje de máquina
hexadecimal los detalles del panel 2
SERVICIO NACIONAL DE APRENDIZAJE SENA 15 de julio de 2013
GUÍA DE APRENDIZAJE WIRESHARK
Proceso Gestión de la Formación Profesional Integral Procedimiento Ejecución de la Formación Profesional Integral
2
2. Identifique los diferentes métodos que hay para listar y escoger la interfaz de red
apropiada para una captura.
Para seleccionar la interfaz de red que queremos monitorear, debemos
seleccionar el primer icono a la izquierda en la siguiente grafica
El comando rápido es Ctrol + i
También se encuentra en el menú en Capture + Interfaces
3. Explore y explique las diferentes posibilidades que tiene para presentar las
columnas en el panel de listado de paquetes de Wireshark.
SERVICIO NACIONAL DE APRENDIZAJE SENA 15 de julio de 2013
GUÍA DE APRENDIZAJE WIRESHARK
Proceso Gestión de la Formación Profesional Integral Procedimiento Ejecución de la Formación Profesional Integral
3
4. Modifique la columna de tiempo en el panel de listado de paquetes, de
modo que en cada paquete aparezca la hora del día en la que tuvo lugar
dicho tráfico.
Se modifica en el menú View + Time Display Format +Date and Time of
Day. Comando rápido Ctrol + Alt + 1
1. FILTROS
5. Guarde las capturas en un directorio que, de manera cíclica, mantenga 10
archivos de 1 MB. Explicar el procedimiento
Filtros de visualización (Display Filter)
Establecen un criterio de filtro sobre los paquetes ya capturados y que estamos
visualizando en la pantalla principal de Wireshark. Estos filtros son más flexibles y
potentes. También se usa para filtrar el contenido de una captura almacenada en
un fichero .pcap
SERVICIO NACIONAL DE APRENDIZAJE SENA 15 de julio de 2013
GUÍA DE APRENDIZAJE WIRESHARK
Proceso Gestión de la Formación Profesional Integral Procedimiento Ejecución de la Formación Profesional Integral
4
En la ventana Capture Options seleccionamos Use multiple files, Next file every en
1 seleccionamos megabytes (indicando que cada siguiente archivo sea de 1
megabyte), y Stop capture after en 10 files (donde le indicamos que detenga la
captura después de 10 archivos)
SERVICIO NACIONAL DE APRENDIZAJE SENA 15 de julio de 2013
GUÍA DE APRENDIZAJE WIRESHARK
Proceso Gestión de la Formación Profesional Integral Procedimiento Ejecución de la Formación Profesional Integral
5
En la anterior gráfica podemos observar los 10 archivos capturados.
Filtros de captura (Capture Filter)
Se usan para capturar solo los paquetes de cumplan los requisitos indicados en el
filtro. Si no establecemos ninguno, Wireshark capturará todo el tráfico y lo
presentará en la pantalla principal.
SERVICIO NACIONAL DE APRENDIZAJE SENA 15 de julio de 2013
GUÍA DE APRENDIZAJE WIRESHARK
Proceso Gestión de la Formación Profesional Integral Procedimiento Ejecución de la Formación Profesional Integral
6
6. Identifique y explique cómo crear los siguientes filtros de visualización:
1. Dirección IP de origen.
2. Dirección MAC de destino.
3. Tráfico TCP que use el puerto 443.
4. Tráfico ARP.
5. Tráfico DNS.
1. Filtro de visualización Dirección IP de origen:
SERVICIO NACIONAL DE APRENDIZAJE SENA 15 de julio de 2013
GUÍA DE APRENDIZAJE WIRESHARK
Proceso Gestión de la Formación Profesional Integral Procedimiento Ejecución de la Formación Profesional Integral
7
2. Filtro de Visualización Dirección MAC de destino
SERVICIO NACIONAL DE APRENDIZAJE SENA 15 de julio de 2013
GUÍA DE APRENDIZAJE WIRESHARK
Proceso Gestión de la Formación Profesional Integral Procedimiento Ejecución de la Formación Profesional Integral
8
3. Filtro de Visualización Tráfico TCP que use el puerto 443
SERVICIO NACIONAL DE APRENDIZAJE SENA 15 de julio de 2013
GUÍA DE APRENDIZAJE WIRESHARK
Proceso Gestión de la Formación Profesional Integral Procedimiento Ejecución de la Formación Profesional Integral
9
4. Filtro de Visualización Tráfico ARP.
SERVICIO NACIONAL DE APRENDIZAJE SENA 15 de julio de 2013
GUÍA DE APRENDIZAJE WIRESHARK
Proceso Gestión de la Formación Profesional Integral Procedimiento Ejecución de la Formación Profesional Integral
10
6. Filtro de Visualización Tráfico DNS
3. ESTADÍSTICAS Y ANÁLISIS DE FLUJOS
1. Haga una captura del tráfico generado a cuatro servidores web. Identifique
cuáles fueron las conversaciones y los equipos que más tráfico generaron, usando
las opciones de “Endpoints” y “Conversations” en el menú “Statistics”.
SERVICIO NACIONAL DE APRENDIZAJE SENA 15 de julio de 2013
GUÍA DE APRENDIZAJE WIRESHARK
Proceso Gestión de la Formación Profesional Integral Procedimiento Ejecución de la Formación Profesional Integral
11
Periódico El Espectador
SERVICIO NACIONAL DE APRENDIZAJE SENA 15 de julio de 2013
GUÍA DE APRENDIZAJE WIRESHARK
Proceso Gestión de la Formación Profesional Integral Procedimiento Ejecución de la Formación Profesional Integral
12
Periódico el Tiempo
SERVICIO NACIONAL DE APRENDIZAJE SENA 15 de julio de 2013
GUÍA DE APRENDIZAJE WIRESHARK
Proceso Gestión de la Formación Profesional Integral Procedimiento Ejecución de la Formación Profesional Integral
13
Periódico el Heraldo
SERVICIO NACIONAL DE APRENDIZAJE SENA 15 de julio de 2013
GUÍA DE APRENDIZAJE WIRESHARK
Proceso Gestión de la Formación Profesional Integral Procedimiento Ejecución de la Formación Profesional Integral
14
Periódico El Mundo
SERVICIO NACIONAL DE APRENDIZAJE SENA 15 de julio de 2013
GUÍA DE APRENDIZAJE WIRESHARK
Proceso Gestión de la Formación Profesional Integral Procedimiento Ejecución de la Formación Profesional Integral
15
3. Genere el diagrama de flujo de las conversaciones establecidas en el
numeral anterior.
SERVICIO NACIONAL DE APRENDIZAJE SENA 15 de julio de 2013
GUÍA DE APRENDIZAJE WIRESHARK
Proceso Gestión de la Formación Profesional Integral Procedimiento Ejecución de la Formación Profesional Integral
16
3. Realice un análisis gráfico del tráfico generado en el numeral 8, usando la
opcion I/O Graphs, en el menú “Statistics”.
SERVICIO NACIONAL DE APRENDIZAJE SENA 15 de julio de 2013
GUÍA DE APRENDIZAJE WIRESHARK
Proceso Gestión de la Formación Profesional Integral Procedimiento Ejecución de la Formación Profesional Integral
17
4.Explique el uso de la opción “follow TCP stream”.
follow TCP stream” nos brinda la opción de ver un poco más que lleva el paquete
que hemos seleccionado y previamente, nos muestra detalles de lo que va escrito
en el mensaje o paquete que se está transmitiendo entre el servidor y nuestro
equipo.
SERVICIO NACIONAL DE APRENDIZAJE SENA 15 de julio de 2013
GUÍA DE APRENDIZAJE WIRESHARK
Proceso Gestión de la Formación Profesional Integral Procedimiento Ejecución de la Formación Profesional Integral
18
PARTE 2: Análisis de protocolos de aplicación
1 – HTTP
Hacer telnet al servidor www.sena.edu.co a través del puerto 80
Ayuda: Suponiendo que se accederá a un servicio llamado web.cvb.net y se leerá
el archivo index.html, será: telnet web.cvb.net 80, luego de establecer la conexión
GET /index.html HTTP/1.0
SERVICIO NACIONAL DE APRENDIZAJE SENA 15 de julio de 2013
GUÍA DE APRENDIZAJE WIRESHARK
Proceso Gestión de la Formación Profesional Integral Procedimiento Ejecución de la Formación Profesional Integral
19
2 – FTP
Establezca una conexión ftp al servidor ftp.debian.org:
a) Una vez que se dio el login y password apropiados, ejecutar un comando válido
(por ejemplo ls). b) Dar un comando no válido
c) Seguir con wireshark lo que sucede en las dos conexiones asociadas: la de
control y la de datos d) Terminar la sesión.
SERVICIO NACIONAL DE APRENDIZAJE SENA 15 de julio de 2013
GUÍA DE APRENDIZAJE WIRESHARK
Proceso Gestión de la Formación Profesional Integral Procedimiento Ejecución de la Formación Profesional Integral
20
2 – DHCP
a) Libere y solicite una dirección IP a su servidor DHCP
SERVICIO NACIONAL DE APRENDIZAJE SENA 15 de julio de 2013
GUÍA DE APRENDIZAJE WIRESHARK
Proceso Gestión de la Formación Profesional Integral Procedimiento Ejecución de la Formación Profesional Integral
21
SERVICIO NACIONAL DE APRENDIZAJE SENA 15 de julio de 2013
GUÍA DE APRENDIZAJE WIRESHARK
Proceso Gestión de la Formación Profesional Integral Procedimiento Ejecución de la Formación Profesional Integral
22
PARTE 3: MANEJO DE OTRAS HERRAMIENTAS Y RECURSOS
Descripción general
1.Cree una captura del tráfico web generado entre un host en Linux y el servidor
http://www.sena.edu.co, usando tcpdump, redireccionando la salida a un archivo de texto.
2. Consulte y explique qué es SPAN y RSPAN (Port mirroring).
SPAN - este es el puerto del analizador Switch. Es sinónimo de duplicación de puertos.
SPAN le permite tomar todo el tráfico en un puerto de switch o varios puertos, incluso toda
una VLAN y copia en un puerto de destino.
RSPAN - es sólo SPAN remoto - aquí se puede realizar lo anterior en múltiples Switches -
tráfico desde múltiples switches a su puerto de destino.
SERVICIO NACIONAL DE APRENDIZAJE SENA 15 de julio de 2013
GUÍA DE APRENDIZAJE WIRESHARK
Proceso Gestión de la Formación Profesional Integral Procedimiento Ejecución de la Formación Profesional Integral
23
3. Consulte y liste las características y costos de diferentes appliances que cumplan la
función de sniffing.
Capsa Packet Sniffer
Capsa es un analizador de red de paquetes es un software gratuito para los administradores
de red para supervisar, diagnosticar y solucionar sus network. The paquete gratis de la red
la versión del analizador viene como toneladas de características, y es lo suficiente mente
bueno para uso domésticos, así como su uso en las pequeñas empresas
Microsoft Network Monitor
Es un analizador de red de paquetes de una red gratuita y funciona en pcs Windows.
Proporciona capacidad de la red de expertos para ver todo el tráfico de la red en tiempo real
en u8na una intuitiva interfaz gráfica en usuario. Mientras tanto puedo ver información de
la red más de 300 públicos, propiedades de Microsoft y los protocolos de red, incluyendo
los paquetes inalámbricos
Innonew Sniffer
La aplicación fue diseñado para ser un pequeño escáner de propiedades intelectuales similar
a las de las redes sniffer. Puedes escáner en vivo IP públicas y escáner cualquier ordenador
de la LAN. Y puede dar una información más detallada del sistema
SERVICIO NACIONAL DE APRENDIZAJE SENA 15 de julio de 2013
GUÍA DE APRENDIZAJE WIRESHARK
Proceso Gestión de la Formación Profesional Integral Procedimiento Ejecución de la Formación Profesional Integral
24
1. Conectar GNS3 con la máquina anfitriona.
Utilizamos la aplicación hdwwiz para montar un adaptador de bucle invertido.
SERVICIO NACIONAL DE APRENDIZAJE SENA 15 de julio de 2013
GUÍA DE APRENDIZAJE WIRESHARK
Proceso Gestión de la Formación Profesional Integral Procedimiento Ejecución de la Formación Profesional Integral
25
SERVICIO NACIONAL DE APRENDIZAJE SENA 15 de julio de 2013
GUÍA DE APRENDIZAJE WIRESHARK
Proceso Gestión de la Formación Profesional Integral Procedimiento Ejecución de la Formación Profesional Integral
26
Ping del router al pc:
Ping de la máquina al router:
SERVICIO NACIONAL DE APRENDIZAJE SENA 15 de julio de 2013
GUÍA DE APRENDIZAJE WIRESHARK
Proceso Gestión de la Formación Profesional Integral Procedimiento Ejecución de la Formación Profesional Integral
27
2. Demostración de MAC
SERVICIO NACIONAL DE APRENDIZAJE SENA 15 de julio de 2013
GUÍA DE APRENDIZAJE WIRESHARK
Proceso Gestión de la Formación Profesional Integral Procedimiento Ejecución de la Formación Profesional Integral
28
3. Hypervisor
Un hipervisor (en inglés hypervisor) o monitor de máquina virtual (virtual machine
monitor) es una plataforma que permite aplicar diversas técnicas de control
de virtualización para utilizar, al mismo tiempo, diferentes sistemas operativos (sin
modificar o modificados, en el caso de para virtualización) en una misma
computadora. Es una extensión de un término anterior, «supervisor», que se
aplicaba a los kernels de los sistemas operativos.
SERVICIO NACIONAL DE APRENDIZAJE SENA 15 de julio de 2013
GUÍA DE APRENDIZAJE WIRESHARK
Proceso Gestión de la Formación Profesional Integral Procedimiento Ejecución de la Formación Profesional Integral
29
Uno de los primeros hipervisores para PC fue Vmware, desarrollado a fines de los
años 1990. La arquitectura x86, usada en la mayoría de los sistemas de PC, es
particularmente difícil de virtualizar. Pero los grandes fabricantes de
microprocesadores, como AMD e Intel, están incorporando extensiones para tratar
las partes de la arquitectura x86 que son más difíciles o ineficientes de virtualizar,
proporcionando un apoyo adicional al hipervisor por parte del hardware. Esto
permite un código de virtualización más simple y un mejor rendimiento para una
virtualización completa.
Los hipervisores pueden clasificarse en dos tipos:
Hipervisor tipo 1: También denominado nativo, unhosted o bare metal (sobre el
metal desnudo), es software que se ejecuta directamente sobre el hardware, para
ofrecer la funcionalidad descrita.
Algunos de los hipervisores tipo 1 más conocidos son los siguientes: VMware ESXi
(gratis), VMware ESX (de pago), Xen (libre), Citrix XenServer (gratis),
Microsoft Hyper-V Server (gratis).
Hipervisor tipo 2: También denominado hosted, es software que se ejecuta sobre un
sistema operativo para ofrecer la funcionalidad descrita.
SERVICIO NACIONAL DE APRENDIZAJE SENA 15 de julio de 2013
GUÍA DE APRENDIZAJE WIRESHARK
Proceso Gestión de la Formación Profesional Integral Procedimiento Ejecución de la Formación Profesional Integral
30
Algunos de los hipervisores tipo 2 más utilizados son los siguientes:
Oracle: VirtualBox (gratis), VirtualBox OSE (libre), VMware: Workstation (de
pago), Server (gratis), Player (gratis), QEMU (libre), Microsoft: Virtual PC, Virtual
Server.
Webgrafia:
http://wiki.wireshark.org/https://blog.wireshark.org/http://packetlife.net/blog/2008/j
un/2/packet-captures-courtesy-wireshark-wiki/
http://www.miarec.com/faq/what-is-port-
mirroringhttp://www.soportederedes.com/2007/06/wireshark-101-filtros-de-
visualizacin.html
http://acsblog.es/articulos/trunk/LinuxActual/Apache/html/x49.htmlhttp://www.tcpd
ump.org/
http://es.wikipedia.org/wiki/Hipervisor
http://www.seguridadwireless.net/hwagm/wireless-windows-drivers-monitor.html
https://www.google.com.co/#sclient=psy-
ab&q=como+se+puede+utilizar+en+un+ataque+al+modo+promiscuo&oq=como+s
e+puede+utilizar+en+un+ataque+al+modo+promiscuo&gs_l=hp.3...5301.8987.2.94
29.6.5.1.0.0.0.342.1031.0j4j0j1.5.0...0.0.0..1c.1.12.hp.9gyReyAtGNE&psj=1&bav=
SERVICIO NACIONAL DE APRENDIZAJE SENA 15 de julio de 2013
GUÍA DE APRENDIZAJE WIRESHARK
Proceso Gestión de la Formación Profesional Integral Procedimiento Ejecución de la Formación Profesional Integral
31
on.2,or.r_qf.&bvm=bv.47008514,d.eWU&fp=600d63469e79cb99&biw=1024&bih
=673