Lab 3

Lab 3

Manejo De Un Analizador De Protocolos De Red

Introducción

El analizador de protocolos que veremos a continuación nos permitirá conocer qué tipo de tráfico está presente en nuestra red. A demás como administradores de una red, debemos saber siempre que está pasando en la misma. Con esta aplicación también podemos detectar tormentas de broadcast que en algunos casos son provocadas por virus.

El analizador que usaremos en este laboratorio es el “WireShark” es un programa gratuito, para Windows de Microsoft, que permite analizar los protocolos de los paquetes que pasan por una tarjeta de red de los tipos utilizados comúnmente hoy en día, tales como Tarjetas Ethernet, Wi Fi, etc.

Este programa permite hacer análisis tales como la jerarquía de protocolos de los paquetes analizados y gráficos del tráfico capturado total o del tráfico por cada tipo de protocolo.

Objetivos:

ü  Manejar un programa de análisis de protocolos de red común

ü  Afianzar los conceptos de: Paquete, Tarjeta de Red, Dirección IP, Arquitectura de protocolos, Arquitectura TCP/IP.

ü  Realizar análisis de tráfico en una red para determinar: los protocolos empleados en la red, la cantidad de tráfico generada por cada protocolo, las direcciones de origen y destino de los paquetes, etc.

Que es Wireshark:

Wireshark es un analizador de protocolos open-source diseñado por Gerald Combs y que actualmente está disponible para plataformas Windows  y Unix.

Conocido originalmente como Ethereal, su principal objetivo es el  análisis de tráfico además de ser una excelente aplicación didáctica para el estudio de las comunicaciones y para la resolución de problemas de red. 

Wireshark implementa una amplia gama de filtros que facilitan la definición de criterios de búsqueda para los más de 1100 protocolos soportados actualmente (versión 1.4.3); y todo ello por medio de una interfaz sencilla e intuitiva que permite desglosar por capas cada uno de los paquetes capturados. Gracias a que Wireshark “entiende” la estructura de los protocolos, podemos visualizar los campos de cada una de las cabeceras y capas que componen los paquetes monitoriados, proporcionando un gran abanico de posibilidades al administrador de redes a la hora de abordar ciertas tareas en el análisis de tráfico.

Pueden existir situaciones en las que Wireshark no sea capaz de interpretar ciertos protocolos debido a la falta de documentación o estandarización de los mismos, en cuyo caso la ingeniería inversa será la mejor forma de abordar la situación.

 Procedimiento

 Primero debe instalarse el paquete WireShark, para lo que debe ejecutarse el programa instalador.

1.      Abrir el programa Wireshark haciendo doble click sobre el icono del programa en  Windows.

2.      El programa desplegará una ventana típica de las aplicaciones en Windows, con unos menús en la parte de arriba y algunos botones que permiten dar algunas órdenes más directamente. Los datos capturados se mostrarán en tres áreas destinadas a este propósito. El área superior muestra información de cada uno de los paquetes capturados, tal como la dirección IP origen, dirección IP destino, el protocolo que lo envía, el tiempo en que se capturó (tomando como cero el inicio de la captura) y una breve descripción de la función que cumple el paquete.

3.      Establecimiento de Condiciones iniciales:

Antes de Iniciar una captura, debe establecerse cuál es la interfaz física (tarjeta de red) que se utilizará para tomar las muestras de tráfico. Esto se hace mediante el menú “Capture” en la opción “Interfaces”. Al hacer click en esta opción, se desplegará una ventana, en donde se encuentran todas las interfaces físicas disponibles en el computador utilizado. En esta ventana deberá escogerse la tarjeta de red Ethernet si el computador está conectado a una red LAN tipo Ethernet, o una tarjeta de red inalámbrica tipo Wi Fi, si la conexión a analizar fuese la de una red inalámbrica de este tipo (Para utilizar la tarjeta de red inalámbrica se necesita otros complementos adicionales a los que ofrece wireshark).

4.      Para establecer las condiciones de la captura, deberán establecerse las condiciones de la misma haciendo click en el botón “Options” de la Interfaz de red deseada. Al hacer esto, aparecerá una ventana (se escogió la tarjeta de red Ethernet).

5.      En la ventana “Options”  aparecerán entre otras opciones: el nombre de la tarjeta de red a utilizar, su dirección IP asignada, el tamaño del buffer de almacenamiento en Megabytes y una opción para capturar datos en modo promiscuo. El modo promiscuo es una opción que permite que se capturen paquetes que pertenezcan a comunicaciones de otros computadores diferentes al utilizado para la captura. El modo “No promiscuo” seria lo totalmente opuesto, es decir, solo permite capturar los paquetes que salen o entran desde/hacia el computador que realiza la captura. Es importante aclarar que cuando se utiliza una tarjeta de red inalámbrica tipo WiFi, solo se permite la captura en el modo “No Promiscuo”, por lo que no se realizaran capturas con esta interfaz si se utiliza el modo Promiscuo.

6.      Inicio de la operación de Captura: 

Una vez se establezcan las condiciones iniciales, se podrá dar inicio a la operación de captura simplemente haciendo click en el botón “Start” de la ventana “Options”. Es importante aclarar que no es indispensable ir a la ventana “Options” para dar inicio a la captura. Si las condiciones de la tarjeta están correctas desde un principio, podría hacerse click en el botón “Start” en la ventana “Interfaces”.

Una vez que se inicia la captura de los paquetes, irá apareciendo la información de los paquetes capturados en la ventana principal del WireShark. Cuando se desee terminar la captura se puede dar click en la opción “Stop” del menú “Capture”. Este es un tipo de finalización de captura que se realiza cuando el usuario lo desee. Es importante aclarar que las capturas de información ocupan gran cantidad de espacio en disco duro, por lo que no es deseable dejar demasiado tiempo funcionando la operación de captura. Otra forma de detener la operación de captura es programar el tiempo que tardará la captura en la ventana “Options”.

7.      Almacenamiento de los datos

Antes de iniciar cualquier operación de análisis, es importante almacenar los datos de la captura. El almacenamiento se hace en forma de archivos en un formato especial del WireShark. Para almacenar los datos, deberá hacerse click en el menú “File” en la opción “Save” o en la opción “Save As”. Para este ejemplo, haga click en la opción “Save As” y aparecerá una ventana como.

 

Escoja la carpeta donde se ubicará el archivo y el nombre del archivo, por ejemplo “Prueba1”. Utilice el formato de archivo por defecto que tiene el WireShark. Finalmente de la opción “Guardar”. Observe que en esta ventana también se tiene la opción de almacenar todos los paquetes, sólo los que hayan sido seleccionados, o también se puede dar un rango de paquetes según su orden de captura.

8.      Análisis de los paquetes:

a)      Un primer análisis puede realizarse sencillamente observando la ventana principal del WireShark. En la parte superior aparecen los datos principales de cada paquete: El número de orden en que se capturó, el tiempo en que se capturó a partir del inicio de la captura, la dirección IP fuente, la dirección IP destino, el tipo de protocolo que transporta (según la información de la capa más alta que contenga) y una breve descripción de la función de este paquete. En la parte intermedia de la ventana principal, aparecen todos los protocolos que utilizan este paquete para enviar su información. Finalmente, en la parte más baja de la ventana principal aparece la información útil que transporta el paquete. Esta información útil es mostrada en forma de caracteres ASCII, por lo que, dependiendo de la aplicación, si esta transporta texto claro, se podrá ver la información claramente, mientras que si transporta otro tipo de información (vídeo, voz, imágenes, texto encriptado) ésta ya no podrá ser legible.

b)      Un segundo tipo de análisis utiliza la descripción en forma de árbol que muestra todos los protocolos utilizados en todos los paquetes muestreados. Para observar esta herramienta de análisis, haga click en el menú “Statistics” y en la opción “Protocol Hierarchy”. Aparecerá una ventana.

Puede observarse que en el árbol de protocolos, se inicia la raíz con el protocolo Ethernet. De este nace una rama con el protocolo IP y luego se abren dos ramas con los protocolos de transporte TCP y UDP. De estos protocolos se desprenden los protocolos de las aplicaciones. Finalmente, hay dos protocolos cuyas ramas no nacen del protocolo IP, estos son ARP y Descubrimiento PPP sobre Ethernet. Para cada protocolo se especifica el porcentaje de paquetes que lo transportan, el número de paquetes, el número de bytes y la velocidad en Mbps, entre otros datos. Una tercera herramienta muy útil para análisis del tráfico son las gráficas del tráfico de paquetes en función del tiempo. Para utilizar esta herramienta, haga click en el menú “Statistics” y luego haga click en la opción “I/O Graphs”. Aparecerá una ventana como.

En la ventana inicial de la herramienta aparecerá una gráfica que muestra la variación del tráfico total durante el tiempo que duró el muestreo. Esta gráfica aparece en Negro. En la parte inferior derecha se observan los parámetros de la gráfica, tales como la escala (“Tick Interval”), el número de píxeles por marca, las unidades del Eje Y (puede ser en paquetes/marca, bytes/marca o bits/marca) y la escala del eje Y, que inicialmente se asigna automáticamente.

Esta gráfica puede complementarse agregando gráficos del comportamiento de algún protocolo en especial que se desee analizar. Esto puede lograrse escribiendo por ejemplo, en su casilla Filtro (“Filter”), el nombre del protocolo a graficar (p.ej. teclee “udp”). Luego se hace click en el botón “Graph 2” y aparecerá en color rojo la variación del tráfico.  En realidad, la forma del gráfico por defecto es como líneas. Sin embargo, para ver las dos gráficas es necesario cambiar una de ellas a “impulsos” en lugar de líneas (ya que la línea negra del tráfico total no deja ver las otras líneas algunas veces). El tráfico total se observa como impulsos negros, mientras que el tráfico UDP se observa en forma de líneas rojas.

Los gráficos obtenidos pueden grabarse en archivos de tipo png, bmp, etc. Esto se logra haciendo click en el botón “Save”. Entonces aparecerá una ventana solicitando el nombre del archivo y el tipo de formato que tendrá.