Analisis de red con Wireshark

UNIVERSIDAD DE GUADALAJARA

CENTRO UNIVERSITARIO DE CIENCIAS EXACTAS E INGENIERIA
DEPARTAMENTO DE ELECTRÒNICA Y COMPUTACIÓN

TALLER DE REDES DE COMPUTADORAS
CC213

CICLO 2010-A

ANÁLISIS DE RED CON WIRESHARK


Alumno: Carmona Lara Manuel

Código: 301212419

Profesor: Alejandro Martínez Varela

Sección: D-02

_________________________________________________

PRACTICA: ANÁLISIS DE RED CON WIRESHARK

OBJETIVO:
El objetivo de la práctica es el de capturar todas las tramas y paquetes de una sesión de red (HTTP) y verificar la funcionalidad de los protocolos y su correspondencia con el modelo OSI. El alumno elaborará un reporte donde registre los datos capturados relacionados con los formatos de encabezado de Ethernet, de IP y de TCP.
La herramienta que utilizaremos para la captura y análisis de las sesiones de red es Wireshark.

MARCO TEÓRICO:
Wireshark, antes conocido como Ethereal, es un analizador de protocolos utilizado para realizar análisis y solucionar problemas en redes de comunicaciones para desarrollo de software y protocolos, y como una herramienta didáctica para educación. Cuenta con todas las características estándar de un analizador de protocolos.
La funcionalidad que provee es similar a la de tcpdump, pero añade una interfaz gráfica y muchas opciones de organización y filtrado de información. Así, permite ver todo el tráfico que pasa a través de una red (usualmente una red Ethernet, aunque es compatible con algunas otras) estableciendo la configuración en modo promiscuo. También incluye una versión basada en texto llamada tshark.
Permite examinar datos de una red viva o de un archivo de captura salvado en disco. Se puede analizar la información capturada, a través de los detalles y sumarios por cada paquete. Wireshark incluye un completo lenguaje para filtrar lo que queremos ver y la habilidad de mostrar el flujo reconstruido de una sesión de TCP.
Wireshark es software libre, y se ejecuta sobre la mayoría de sistemas operativos Unix y compatibles, incluyendo Linux, Solaris, FreeBSD, NetBSD, OpenBSD, y Mac OS X, así como en Microsoft Windows.

MATERIAL:
2 computadoras con Wireshark, Apache y Navegador de Internet instalados.
1 cable UTP para Ethernet cruzado.

DESARROLLO:
1. Primero que nada conectamos las dos computadoras entre sí con el cable UTP para Ethernet cruzado como se muestra en la siguiente figura:

2. Luego configuramos nuestra IP de la computadora, que en el caso de Windows XP lo hacemos yéndonos al menú inicio -> Panel de control -> Conexiones de red -> elegimos Conexión de área local y damos clic derecho sobre ella y le damos a Propiedades -> elegimos Protocolo Internet (TCP/IP) y le damos a Propiedades -> marcamos la casilla “Usar la siguiente dirección IP” y en el campo donde dice “Dirección IP” escribimos en una de las computadora 148.202.10.11 y en la otra computadora en el mismo campo escribimos 148.202.10.13 y en el campo donde dice “Máscara de subred” escribimos en ambas computadoras 255.255.255.0, todos los demás campos dejarlos en blanco, aceptar y cerrar las Conexiones de red.

3. Desactivar en ambas computadoras todo software p2p o cualquiera que acceda a Internet de forma automática (ejemplos: MSN. Ares, limewire, skype, etc...).

4. Desactivar todos los firewall que estén corriendo en los equipos, incluyendo los que se encuentran en los programas antivirus como parte de su funcionalidad.

5. Desactivar otras conexiones de red inalámbricas como WiFi, 3G, etc...

6. Realizar pings de una computadora a otra para verificar que el tráfico de los paquetes es exitoso, esto se logra al tener Apache instalado en ambas computadoras, en una computadora abrimos la consola de comandos (en Windows XP es escribiendo cmd en el menú Inicio -> Ejecutar) y con ayuda de un comando escribimos lo que queramos, luego abrimos el navegador de Internet y en la campo de dirección, escribimos la ip de la otra computadora y al dar enter, lo que escribimos en el apache debe aparecer en el navegador de la otra computadora.

7. Abrimos Wireshark y elegimos interfaz Ethernet cableada. Posteriormente iniciamos la captura de la sesión http.

La forma en que Wireshark nos muestra la sesión que hemos capturado es la siguiente:

La sesión que capturada inmediatamente después de hacer los pings fue la siguiente:




La sesión que capturamos tal como está contiene paquetes como imágenes y otros elementos que mandamos de un equipo a otro, si mandamos mucho contenido de este tipo nuestra sesión se ve muy contaminada de elementos, los cuales pueden ser de tipo ACK (color gris en la imagen), NBNS (color amarillo), TCP y HTTP que son las que nos interesan aparecen en negro y verde respectivamente.

Para limpiar nuestra sesión de estos elementos y quedarnos solo con la información de TCP y HTTP hacemos lo siguiente:

De las tramas capturadas elegimos la primera de Protocolo TCP y le damos clic derecho -> elegimos “Follow TCP stream” y veremos como nos quedamos únicamente con las tramas de Protocolo TCP y HTTP que son las que nos interesan, la sesión ya filtrada luce así:


La información que obtuvimos de nuestra sesión para la trama de Ethernet es la siguiente tabla, que representa los valores para cada campo del encabezado:

La tabla que describe el encabezado IP de un paquete e incluye los datos de cada campo respecto a la captura es la siguiente:

La tabla que describe el encabezado de TCP del mismo paquete e incluye los datos de cada campo respecto a la captura es la siguiente:

CONCLUSIONES:
Esta práctica fue muy útil para conocer el formato y el tipo de información que viaja en los encabezados de las tramas de los protocolos TCP y HTTP, pues pudimos diferenciar los datos que pertenecían únicamente a los protocolos de interconexión, de los datos que son enviados por el usuario de una computadora a la otra.