taller wireshark

SISTEMA INTEGRADO DE GESTIÓN GESTIÓN DE REDES DE DATOS INSTRUCTOR: JULIAN CIRO RODRIGUEZ

15 de julio de 2013

SERVICIO NACIONAL DE APRENDIZAJE YIMY FERNANDO PÉREZ MEDINA

TALLER DE WIRESHARK

SERVICIO NACIONAL DE APRENDIZAJE SENA 15 de julio de 2013

GUÍA DE APRENDIZAJE WIRESHARK

Proceso Gestión de la Formación Profesional Integral Procedimiento Ejecución de la Formación Profesional Integral

1

1. Explique las características de los tres páneles de wireshark.

El panel 1 nos muestra la lista de paquetes que están pasando por la interfaz de

red en tiempo real.

El panel dos muestra los detalles de cualquier paquete que selecciones en la lista

de paquetes (Panel 1)

El panel 3 nos muestra de forma más detallada en lenguaje de máquina

hexadecimal los detalles del panel 2




2

2. Identifique los diferentes métodos que hay para listar y escoger la interfaz de red

apropiada para una captura.

Para seleccionar la interfaz de red que queremos monitorear, debemos

seleccionar el primer icono a la izquierda en la siguiente grafica

El comando rápido es Ctrol + i

También se encuentra en el menú en Capture + Interfaces

3. Explore y explique las diferentes posibilidades que tiene para presentar las

columnas en el panel de listado de paquetes de Wireshark.




3

4. Modifique la columna de tiempo en el panel de listado de paquetes, de

modo que en cada paquete aparezca la hora del día en la que tuvo lugar

dicho tráfico.

Se modifica en el menú View + Time Display Format +Date and Time of

Day. Comando rápido Ctrol + Alt + 1

1. FILTROS

5. Guarde las capturas en un directorio que, de manera cíclica, mantenga 10

archivos de 1 MB. Explicar el procedimiento

Filtros de visualización (Display Filter)

Establecen un criterio de filtro sobre los paquetes ya capturados y que estamos

visualizando en la pantalla principal de Wireshark. Estos filtros son más flexibles y

potentes. También se usa para filtrar el contenido de una captura almacenada en

un fichero .pcap




4

En la ventana Capture Options seleccionamos Use multiple files, Next file every en

1 seleccionamos megabytes (indicando que cada siguiente archivo sea de 1

megabyte), y Stop capture after en 10 files (donde le indicamos que detenga la

captura después de 10 archivos)




5

En la anterior gráfica podemos observar los 10 archivos capturados.

Filtros de captura (Capture Filter)

Se usan para capturar solo los paquetes de cumplan los requisitos indicados en el

filtro. Si no establecemos ninguno, Wireshark capturará todo el tráfico y lo

presentará en la pantalla principal.




6

6. Identifique y explique cómo crear los siguientes filtros de visualización:

1. Dirección IP de origen.

2. Dirección MAC de destino.

3. Tráfico TCP que use el puerto 443.

4. Tráfico ARP.

5. Tráfico DNS.

1. Filtro de visualización Dirección IP de origen:




7

2. Filtro de Visualización Dirección MAC de destino




8

3. Filtro de Visualización Tráfico TCP que use el puerto 443




9

4. Filtro de Visualización Tráfico ARP.




10

6. Filtro de Visualización Tráfico DNS

3. ESTADÍSTICAS Y ANÁLISIS DE FLUJOS

1. Haga una captura del tráfico generado a cuatro servidores web. Identifique

cuáles fueron las conversaciones y los equipos que más tráfico generaron, usando

las opciones de “Endpoints” y “Conversations” en el menú “Statistics”.




11

Periódico El Espectador




12

Periódico el Tiempo




13

Periódico el Heraldo




14

Periódico El Mundo




15

3. Genere el diagrama de flujo de las conversaciones establecidas en el

numeral anterior.




16

3. Realice un análisis gráfico del tráfico generado en el numeral 8, usando la

opcion I/O Graphs, en el menú “Statistics”.




17

4.Explique el uso de la opción “follow TCP stream”.

follow TCP stream” nos brinda la opción de ver un poco más que lleva el paquete

que hemos seleccionado y previamente, nos muestra detalles de lo que va escrito

en el mensaje o paquete que se está transmitiendo entre el servidor y nuestro

equipo.




18

PARTE 2: Análisis de protocolos de aplicación

1 – HTTP

Hacer telnet al servidor www.sena.edu.co a través del puerto 80

Ayuda: Suponiendo que se accederá a un servicio llamado web.cvb.net y se leerá

el archivo index.html, será: telnet web.cvb.net 80, luego de establecer la conexión

GET /index.html HTTP/1.0




19

2 – FTP

Establezca una conexión ftp al servidor ftp.debian.org:

a) Una vez que se dio el login y password apropiados, ejecutar un comando válido

(por ejemplo ls). b) Dar un comando no válido

c) Seguir con wireshark lo que sucede en las dos conexiones asociadas: la de

control y la de datos d) Terminar la sesión.




20

2 – DHCP

a) Libere y solicite una dirección IP a su servidor DHCP




21




22

PARTE 3: MANEJO DE OTRAS HERRAMIENTAS Y RECURSOS

Descripción general

1.Cree una captura del tráfico web generado entre un host en Linux y el servidor

http://www.sena.edu.co, usando tcpdump, redireccionando la salida a un archivo de texto.

2. Consulte y explique qué es SPAN y RSPAN (Port mirroring).

SPAN - este es el puerto del analizador Switch. Es sinónimo de duplicación de puertos.

SPAN le permite tomar todo el tráfico en un puerto de switch o varios puertos, incluso toda

una VLAN y copia en un puerto de destino.

RSPAN - es sólo SPAN remoto - aquí se puede realizar lo anterior en múltiples Switches -

tráfico desde múltiples switches a su puerto de destino.




23

3. Consulte y liste las características y costos de diferentes appliances que cumplan la

función de sniffing.

Capsa Packet Sniffer

Capsa es un analizador de red de paquetes es un software gratuito para los administradores

de red para supervisar, diagnosticar y solucionar sus network. The paquete gratis de la red

la versión del analizador viene como toneladas de características, y es lo suficiente mente

bueno para uso domésticos, así como su uso en las pequeñas empresas

Microsoft Network Monitor

Es un analizador de red de paquetes de una red gratuita y funciona en pcs Windows.

Proporciona capacidad de la red de expertos para ver todo el tráfico de la red en tiempo real

en u8na una intuitiva interfaz gráfica en usuario. Mientras tanto puedo ver información de

la red más de 300 públicos, propiedades de Microsoft y los protocolos de red, incluyendo

los paquetes inalámbricos

Innonew Sniffer

La aplicación fue diseñado para ser un pequeño escáner de propiedades intelectuales similar

a las de las redes sniffer. Puedes escáner en vivo IP públicas y escáner cualquier ordenador

de la LAN. Y puede dar una información más detallada del sistema




24

1. Conectar GNS3 con la máquina anfitriona.

Utilizamos la aplicación hdwwiz para montar un adaptador de bucle invertido.




25




26

Ping del router al pc:

Ping de la máquina al router:




27

2. Demostración de MAC




28

3. Hypervisor

Un hipervisor (en inglés hypervisor) o monitor de máquina virtual (virtual machine

monitor) es una plataforma que permite aplicar diversas técnicas de control

de virtualización para utilizar, al mismo tiempo, diferentes sistemas operativos (sin

modificar o modificados, en el caso de para virtualización) en una misma

computadora. Es una extensión de un término anterior, «supervisor», que se

aplicaba a los kernels de los sistemas operativos.

http://es.wikipedia.org/wiki/Idioma_ingl%C3%A9s

http://es.wikipedia.org/wiki/Virtualizaci%C3%B3n

http://es.wikipedia.org/wiki/Sistema_operativo

http://es.wikipedia.org/wiki/Paravirtualizaci%C3%B3n

http://es.wikipedia.org/wiki/N%C3%BAcleo_(inform%C3%A1tica)




29

Uno de los primeros hipervisores para PC fue Vmware, desarrollado a fines de los

años 1990. La arquitectura x86, usada en la mayoría de los sistemas de PC, es

particularmente difícil de virtualizar. Pero los grandes fabricantes de

microprocesadores, como AMD e Intel, están incorporando extensiones para tratar

las partes de la arquitectura x86 que son más difíciles o ineficientes de virtualizar,

proporcionando un apoyo adicional al hipervisor por parte del hardware. Esto

permite un código de virtualización más simple y un mejor rendimiento para una

virtualización completa.

Los hipervisores pueden clasificarse en dos tipos:

Hipervisor tipo 1: También denominado nativo, unhosted o bare metal (sobre el

metal desnudo), es software que se ejecuta directamente sobre el hardware, para

ofrecer la funcionalidad descrita.

Algunos de los hipervisores tipo 1 más conocidos son los siguientes: VMware ESXi

(gratis), VMware ESX (de pago), Xen (libre), Citrix XenServer (gratis),

Microsoft Hyper-V Server (gratis).

Hipervisor tipo 2: También denominado hosted, es software que se ejecuta sobre un

sistema operativo para ofrecer la funcionalidad descrita.

http://commons.wikimedia.org/wiki/File:Hipervisor_-_Primer_nivel.svg

http://es.wikipedia.org/wiki/Freeware

http://es.wikipedia.org/wiki/VMware_ESX

http://es.wikipedia.org/wiki/Software_de_pago

http://es.wikipedia.org/wiki/Xen

http://es.wikipedia.org/wiki/Software_libre

http://es.wikipedia.org/wiki/Hyper-V

http://commons.wikimedia.org/wiki/File:Hipervisor_-_Primer_nivel.svg




30

Algunos de los hipervisores tipo 2 más utilizados son los siguientes:

Oracle: VirtualBox (gratis), VirtualBox OSE (libre), VMware: Workstation (de

pago), Server (gratis), Player (gratis), QEMU (libre), Microsoft: Virtual PC, Virtual

Server.

Webgrafia:

http://wiki.wireshark.org/https://blog.wireshark.org/http://packetlife.net/blog/2008/j

un/2/packet-captures-courtesy-wireshark-wiki/

http://www.miarec.com/faq/what-is-port-

mirroringhttp://www.soportederedes.com/2007/06/wireshark-101-filtros-de-

visualizacin.html

http://acsblog.es/articulos/trunk/LinuxActual/Apache/html/x49.htmlhttp://www.tcpd

ump.org/

http://es.wikipedia.org/wiki/Hipervisor

http://www.seguridadwireless.net/hwagm/wireless-windows-drivers-monitor.html

https://www.google.com.co/#sclient=psy-

ab&q=como+se+puede+utilizar+en+un+ataque+al+modo+promiscuo&oq=como+s

e+puede+utilizar+en+un+ataque+al+modo+promiscuo&gs_l=hp.3...5301.8987.2.94

29.6.5.1.0.0.0.342.1031.0j4j0j1.5.0...0.0.0..1c.1.12.hp.9gyReyAtGNE&psj=1&bav=

http://commons.wikimedia.org/wiki/File:Hipervisor_-_Segundo_nivel.svg

http://es.wikipedia.org/wiki/VirtualBox

http://es.wikipedia.org/wiki/QEMU

http://es.wikipedia.org/wiki/Virtual_PC

http://wiki.wireshark.org/https:/blog.wireshark.org/http:/packetlife.net/blog/2008/jun/2/packet-captures-courtesy-wireshark-wiki/

http://wiki.wireshark.org/https:/blog.wireshark.org/http:/packetlife.net/blog/2008/jun/2/packet-captures-courtesy-wireshark-wiki/

http://www.miarec.com/faq/what-is-port-mirroringhttp:/www.soportederedes.com/2007/06/wireshark-101-filtros-de-visualizacin.html



http://acsblog.es/articulos/trunk/LinuxActual/Apache/html/x49.htmlhttp:/www.tcpdump.org/

http://acsblog.es/articulos/trunk/LinuxActual/Apache/html/x49.htmlhttp:/www.tcpdump.org/

http://es.wikipedia.org/wiki/Hipervisor

http://www.seguridadwireless.net/hwagm/wireless-windows-drivers-monitor.html

https://www.google.com.co/#sclient=psy-ab&q=como+se+puede+utilizar+en+un+ataque+al+modo+promiscuo&oq=como+se+puede+utilizar+en+un+ataque+al+modo+promiscuo&gs_l=hp.3...5301.8987.2.9429.6.5.1.0.0.0.342.1031.0j4j0j1.5.0...0.0.0..1c.1.12.hp.9gyReyAtGNE&psj=1&bav=on.2,or.r_qf.&bvm=bv.47




http://commons.wikimedia.org/wiki/File:Hipervisor_-_Segundo_nivel.svg




31

on.2,or.r_qf.&bvm=bv.47008514,d.eWU&fp=600d63469e79cb99&biw=1024&bih

=673



taller wireshark

Technology