Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                

Introduccion A Wireshark

Descargar como pdf o txt
Descargar como pdf o txt
Está en la página 1de 15

Departamento de Sistemas de Comunicación y Control

Redes y Comunicaciones

Enunciado de la 1ª Actividad de evaluación

Introducción a Wireshark
Actividad: Introducción a Wireshark

Actividades de evaluación

Una forma de profundizar en la comprensión de los protocolos de red es "ver los


protocolos en acción" y "jugar con ellos" - observando la secuencia de mensajes
intercambiados entre dos entidades de protocolo, profundizando en los detalles del
funcionamiento del protocolo y haciendo que los protocolos realicen ciertas
acciones y luego observar estas acciones y sus consecuencias. En este curso
realizaremos esto usando Wireshark.

A lo largo del curso deberá realizar tres actividades de evaluación que supondrán el
30 por ciento de la calificación final en la convocatoria ordinaria de febrero y, esta
misma calificación supondrá el 10 por ciento de la calificación final en la
convocatoria extraordinaria de septiembre.

Estas actividades serán corregidas por los Tutores a los que el Equipo docente
dará pautas para su evaluación.

Las actividades serán realizadas con Wireshark y con este programa


profundizaremos en el estudio de diferentes protocolos. Dichas actividades y otras
más son material complementario del libro de texto Redes de Computadoras: Un
enfoque descendente, 7th ed., J.F. Kurose and K.W. Ross. El equipo docente ha
traducido y completado los enunciados para que tenga una mayor facilidad de
compresión de los mismos, pero observe que no es material libre,

© 2005-2016, J.F Kurose and K.W. Ross, All Rights Reserved

por lo que sólo puede ser utilizado dentro de, y para el propósito de este curso al
estar dicho curso protegido con su clave de entrada de estudiante, quedando
totalmente prohibido su uso más allá del ámbito de esta asignatura y su
redistribución.

Para cada una de las tres actividades deberá elaborar un informe lo más completo
posible que dé respuesta a las preguntas que se indiquen y entregarlo a través del
curso virtual, dentro de los plazos establecidos.

1.3
Redes y comunicaciones

Descripción de Wireshark

La herramienta básica para observar los mensajes intercambiados entre entidades


de protocolo en ejecución se denomina sniffer de paquetes. Como su nombre
sugiere, un sniffer de paquetes captura ("olfatea") los mensajes que son
enviados/recibidos desde/por su computadora; también almacenará y/o mostrará el
contenido de los diversos campos del protocolo en estos mensajes capturados. Un
sniffer de paquetes en sí es pasivo. Observa los mensajes que son enviados y
recibidos por las aplicaciones y los protocolos que se ejecutan en su computadora,
pero nunca envía paquetes propios. De forma similar, los paquetes recibidos nunca
se dirigen explícitamente al sniffer de paquetes. En su lugar, un sniffer de paquetes
recibe una copia de los paquetes que son enviados/recibidos desde/por la
aplicación y los protocolos que se ejecutan en su máquina.

La Figura 1 muestra la estructura de un sniffer de paquetes. A la derecha de la


Figura 1 se encuentran los protocolos (en este caso, los protocolos de Internet) y
las aplicaciones (como un navegador web o un cliente ftp) que normalmente se
ejecutan en su computadora. El sniffer de paquetes, que se muestra dentro del
rectángulo discontinuo de la Figura 1, es un añadido al software habitual en su
computadora y consta de dos partes:

 La librería de captura de paquetes recibe una copia de cada trama de la capa


de enlace que se envía o recibe de su equipo. Recuerde de la sección 1.5 del
libro de texto (Figura 1.24) que los mensajes intercambiados por protocolos de
la capa superior como HTTP, FTP, TCP, UDP, DNS o IP son eventualmente
encapsulados en tramas de la capa de enlace que se transmiten a través de
medios físicos tal como un cable Ethernet. En la Figura 1, el soporte físico
supuesto es una Ethernet y, por lo tanto, todos los protocolos de la capa
superior son eventualmente encapsulados dentro de una trama Ethernet. La
captura de todas las tramas de la capa de enlace le da así todos los mensajes
enviados/recibidos desde/por todos los protocolos y aplicaciones que se
ejecutan en su computadora.

1.4
Actividad: Introducción a Wireshark

packet sniffer

packet application (e.g., www


application
analyzer browser, ftp client)

operating
system Transport (TCP/UDP)
packet Network (IP)
capture copy of all Ethernet
Link (Ethernet)
frames sent/received
(pcap)
Physical

to/from network to/from network


Figura 1: Estructura de un sniffer.

 El segundo componente de un sniffer de paquetes es el analizador de


paquetes, que muestra el contenido de todos los campos dentro de un
mensaje de protocolo. Para ello, el analizador de paquetes debe "comprender"
la estructura de todos los mensajes intercambiados por los protocolos. Por
ejemplo, supongamos que estamos interesados en mostrar los diversos
campos en los mensajes intercambiados por el protocolo HTTP en la Figura 1.
El analizador de paquetes entiende el formato de las tramas Ethernet, por lo
que puede identificar el datagrama IP dentro de una trama Ethernet. También
entiende el formato de datagrama IP, para que pueda extraer el segmento TCP
dentro del datagrama IP. Por último, entiende la estructura del segmento TCP,
por lo que puede extraer el mensaje HTTP contenido en el segmento TCP.
Finalmente, entiende el protocolo HTTP y, por ejemplo, sabe que los primeros
bytes de un mensaje HTTP contendrán la cadena "GET", "POST" o "HEAD",
como se muestra en la Figura 2.8 del libro de texto.

Para nuestras actividades usaremos el sniffer de paquetes Wireshark


(http://www.wireshark.org/), lo que nos permitirá mostrar el contenido de los
mensajes que son enviados/recibidos de/por los protocolos en diferentes niveles de
la pila de protocolos. (Técnicamente hablando, Wireshark es un analizador de
paquetes que utiliza una biblioteca de captura de paquetes en su computadora).
Wireshark es un analizador gratuito que se ejecuta en Windows, Mac y Linux / Unix.
Es un analizador de paquetes ideal para nuestras actividades - es estable, tiene
una gran base de usuarios y un soporte bien documentado que incluye una guía de

1.5
Redes y comunicaciones

usuario (http://www.wireshark.org/docs/wsug_html_chunked/), manual


(http://www.wireshark.org/docs/man-pages/) y una FAQ detallada
(http://www.wireshark.org/faq.html), es capaz de analizar cientos de protocolos
posee y una interfaz de usuario bien diseñada. Funciona en ordenadores que
utilizan Ethernet, serie (PPP y SLIP), redes LAN inalámbricas 802.11 y muchas
otras tecnologías de capa de enlace (si el sistema operativo en el que se está
ejecutando permite a Wireshark hacerlo).

Instalación de Wireshark

Para ejecutar Wireshark necesita tener acceso a una computadora que admita
Wireshark y la biblioteca de captura de paquetes libpcap o WinPCap. El software
libpcap se instalará, si no está instalado dentro de su sistema operativo, cuando
instale Wireshark. Puede consultar http://www.wireshark.org/download.html para
obtener una lista de sistemas operativos y sitios de descarga compatibles.

Ahora descargue e instale Wireshark. Para ello, vaya a la página


http://www.wireshark.org/download.html y descargue e instale el binario Wireshark
para su computadora.1

Wireshark FAQ tiene una serie de sugerencias útiles e interesantes detalles de


información si tiene problemas para instalar o ejecutar Wireshark.

 Incluya en su primer informe qué versión de Wireshark se ha instalado.

1
Instale la última versión de Wireshark disponible para su sistema operativo. En el caso de Windows,
asegúrese de que instala también WinPcap y que éste arranca automáticamente con su sistema .

1.6
Actividad: Introducción a Wireshark

Ejecución de Wireshark

Al ejecutar el programa Wireshark obtendrá una pantalla de inicio que se parece a


la pantalla de abajo. Diferentes versiones de Wireshark tendrán diferentes pantallas
de inicio, ¡así que no se asuste si la suya no se ve exactamente igual que la
pantalla de abajo! La documentación de Wireshark indica "A medida que Wireshark
se ejecuta en muchas plataformas diferentes con muchos gestores de ventanas
diferentes, se aplican diferentes estilos y hay diferentes versiones del kit de
herramientas GUI subyacente utilizado, su pantalla puede ser diferente de las
capturas de pantalla proporcionadas. Pero como no hay diferencias reales en la
funcionalidad, estas capturas de pantalla deben ser comprensibles".

Figura 2: Pantalla inicial Wireshark.

No hay mucho de interés en esta pantalla. Pero debe tener en cuenta que en la
sección Capture hay una lista de las “interfaces”. La computadora de la que
tomamos estas capturas de pantalla tiene sólo una interfaz real, "Wi-Fi en0", que es

1.7
Redes y comunicaciones

la interfaz para el acceso Wi-Fi. Todos los paquetes desde/hacia este equipo
pasarán a través de la interfaz Wi-Fi, por lo que es aquí donde queremos capturar
los paquetes. En un Mac, haga doble clic en esta interfaz (o en otro equipo localice
la interfaz en la página de inicio a través de la cual está obteniendo la conectividad
a Internet; por ejemplo, probablemente una interfaz WiFi o Ethernet y seleccione
esa interfaz).

 Incluya en su informe un pantallazo donde podamos ver la sección Capture


con sus interfaces.

Si hace clic en una de estas interfaces se iniciará la captura de paquetes (es decir,
Wireshark comenzará a capturar todos los paquetes que se envían a/desde esa
interfaz) y se abrirá una pantalla como la que se muestra a continuación, reflejando
información sobre los paquetes capturados. Una vez que inicie la captura de
paquetes puede detenerla utilizando el menú desplegable Capture y
seleccionando Stop.

command
menus

display filter
specification

listing of
captured
packets

details of
selected
packet
header

packet content
in hexadecimal
and ASCII

Figura 3: Interface de usuario Gráfica, durante la captura y análisis de paquetes.

1.8
Actividad: Introducción a Wireshark

¡Esto parece más interesante! La interfaz Wireshark tiene cinco componentes


principales:

 Los menús de comandos (command menus) son menús desplegables


estándar situados en la parte superior de la ventana. De interés para nosotros
ahora son los menús de File y Capture. El menú File le permite guardar
datos de paquetes capturados o abrir un archivo que contiene datos de
paquetes previamente capturados y salir de la aplicación Wireshark. El menú
Capture le permite comenzar la captura de paquetes.

 La ventana de listado de paquetes (packet-listing window) muestra un


resumen de una línea para cada paquete capturado, incluyendo el número de
paquete (asignado por Wireshark, que no es un número de paquete contenido
en el encabezado de un protocolo), la hora en que el paquete fue capturado, las
direcciones de origen y de destino, el tipo de protocolo y la información
específica del protocolo contenida en el paquete. El listado de paquetes se
puede ordenar de acuerdo con cualquiera de estas categorías haciendo clic en
el nombre de una columna. El campo de tipo de protocolo enumera el protocolo
de nivel más alto que envió o recibió este paquete, es decir, el protocolo que es
la fuente o sumidero final para este paquete

 La ventana de detalles de la cabecera del paquete (packet-header details


window) proporciona detalles sobre el paquete seleccionado (resaltado) en la
ventana de listado de paquetes. (Para seleccionar un paquete en la ventana de
listado de paquetes coloque el cursor sobre el resumen de una línea del
paquete en la ventana de lista de paquetes y haga clic con el botón izquierdo
del ratón). Estos detalles incluyen información sobre la trama Ethernet
(suponiendo que el paquete se envió/recibió a través de una interfaz Ethernet) y
el datagrama IP que contiene este paquete. La cantidad de detalles de la capa
Ethernet e IP que se muestran puede ampliarse o minimizarse haciendo clic en
el símbolo a la izquierda de la trama Ethernet o de la línea de datagrama IP en
la ventana de detalles del paquete. Si el paquete se ha transferido a través de
TCP o UDP también se mostrarán los detalles de TCP o UDP, que pueden

1.9
Redes y comunicaciones

ampliarse o minimizarse de forma similar. Finalmente, se proporcionan detalles


sobre el protocolo de más alto nivel que envió o recibió este paquete.

 La ventana de contenido de paquete (packet-contents window) muestra


todo el contenido del paquete capturado, tanto en formato ASCII como
hexadecimal.

 Hacia la parte superior de la interfaz gráfica de usuario de Wireshark se


encuentra el campo de filtro de visualización de paquetes (packet display
filter field), en el que se puede introducir un nombre de protocolo u otra
información para filtrar la información mostrada en la ventana de listado de
paquetes (y ventanas de cabeceras de paquetes y contenido de paquetes). En
el ejemplo a continuación utilizaremos el campo de filtro de visualización de
paquetes para que Wireshark oculte (no muestre) los paquetes excepto los que
correspondan a mensajes HTTP.

1ª Actividad: Introducción a Wireshark

¡La mejor manera de aprender sobre cualquier programa de software es probarlo!


Supondremos que su computadora está conectada a Internet a través de una
interfaz Ethernet cableada. De hecho, le recomendamos que realice este primer
laboratorio en una computadora que tenga una conexión Ethernet cableada, en
lugar de una conexión inalámbrica. Haga lo siguiente:

1. Arranque su navegador web favorito, que mostrará la página principal


seleccionada.

2. Inicie el software Wireshark. Inicialmente verá una ventana similar a la que


se muestra en la Figura 2. Wireshark aún no ha comenzado a capturar
paquetes.

3. Para iniciar la captura de paquetes seleccione el menú desplegable


Capture y seleccione Options. Esto hará que se visualice la ventana

1.10
Actividad: Introducción a Wireshark

Wireshark: Capture Interfaces, parecida a la que muestra en la


Figura 4.

Figura 4: Ventana Wireshark Capture Interface.

 Incluya en su informe un pantallazo donde podamos ver su pantalla de


Wireshark: Capture Interfaces.

4. Verá una lista de las interfaces en su computadora. Haga clic en Start para
la interfaz en la que desea iniciar la captura de paquetes (en el caso, la
conexión de red Gigabit). La captura de paquetes comenzará ahora -
¡Wireshark ahora está captando todos los paquetes que son
enviados/recibidos de/por su computadora!

 Incluya en su informe un pantallazo donde podamos ver su pantalla de captura


de Wireshark destacando los cinco componentes de ella como hemos descrito en la
Figura 3.

5. Una vez que comience la captura de paquetes, aparecerá una ventana


similar a la mostrada en la Figura 3. Esta ventana muestra los paquetes que
se están capturando. Al seleccionar el menú desplegable Capture y
seleccionar Stop puede detener la captura de paquetes. Pero no detenga la
captura de paquetes todavía. Vamos a capturar algunos paquetes
interesantes primero. Para ello, tendremos que generar cierto tráfico de red.
Vamos a hacerlo utilizando un navegador web, que utilizará el protocolo
HTTP para descargar contenido de un sitio web.

6. Mientras Wireshark se está ejecutando, introduzca la URL


http://gaia.cs.umass.edu/wireshark-labs/INTRO-wireshark-file1.html y que

1.11
Redes y comunicaciones

esa página se muestre en su navegador. Con el fin de mostrar esta página,


su navegador se pondrá en contacto con el servidor HTTP en
gaia.cs.umass.edu e intercambiará mensajes HTTP con el servidor para
descargar esta página, como se explica en la sección 2.2 del libro de texto.
Wireshark capturará las tramas Ethernet que contienen estos mensajes
HTTP (así como todas las demás tramas que pasen a través de su
adaptador Ethernet).

7. Después de que su navegador haya mostrado la página INTRO-wireshark-


file1.html (es una simple línea de felicitaciones) detenga la captura de
paquetes de Wireshark seleccionando Stop en la ventana de captura de
Wireshark. La ventana principal de Wireshark ahora debería ser similar a la
Figura 3. Ahora tiene datos de paquetes en vivo que contienen todos los
mensajes de protocolo intercambiados entre su computadora y otras
entidades de red. Los intercambios de mensajes HTTP con el servidor web
gaia.cs.umass.edu deben aparecer en algún lugar del listado de paquetes
capturados. Pero habrá muchos otros tipos de paquetes mostrados también
(véase, por ejemplo, los muchos tipos de protocolo diferentes mostrados en
la columna Protocolo en la Figura 3). A pesar de que la única acción que
realizó fue descargar una página web, evidentemente había muchos otros
protocolos que se ejecutaban en su computadora que no son vistos por el
usuario. ¡Aprenderemos mucho más acerca de estos protocolos a medida
que avancemos en la asignatura! Por ahora, sólo debes estar consciente de
que ¡a menudo hay mucho más de lo que "ve el ojo"!

8. Escriba "http" (sin las comillas, y en minúsculas - todos los nombres de


protocolo están en minúsculas en Wireshark) en la ventana de especificación
del filtro de visualización en la parte superior de la ventana principal de
Wireshark. A continuación, seleccione Apply (a la derecha de donde ha
introducido "http"). Esto hará que sólo se muestre mensaje HTTP en la
ventana de lista de paquetes.

9. Busque el mensaje HTTP GET enviado desde su computadora al servidor


HTTP gaia.cs.umass.edu. (Busque un mensaje HTTP GET en la sección

1.12
Actividad: Introducción a Wireshark

"listado de paquetes capturados" de la ventana de Wireshark, ver Figura 3)


que muestra "GET" seguido de la URL gaia.cs.umass.edu que tu introdujo.
Cuando seleccione el mensaje GET HTTP, la trama Ethernet, el datagrama
IP, el segmento TCP y la información de la cabecera del mensaje HTTP se
mostrarán en la ventana de cabecera de paquetes.2 Haga clic en los
símbolos en el lado izquierdo de la ventana de detalles de paquetes para
minimizar la cantidad de información mostrada de la Trama de Ethernet, el
Protocolo de Internet y el Protocolo de Control de Transmisión. Por otra
parte, maximice la cantidad de información mostrada sobre el protocolo
HTTP. La pantalla de Wireshark debería verse ahora aproximadamente
como se muestra en la Figura 5. (En particular, minimice la cantidad de
información de protocolo para todos los protocolos excepto HTTP y
maximice la cantidad de información de protocolo para HTTP en la ventana
de cabecera de paquete.)

 Incluya en su informe un pantallazo donde podamos ver su pantalla de captura


de Wireshark.

10. Salga de Wireshark

¡Felicitaciones! ¡Ya ha completado su primera actividad con Wireskark!

Preguntas a responder:

El objetivo de este primer laboratorio es principalmente presentarle a Wireshark.


Las siguientes preguntas demostrarán que ha podido poner en marcha Wireshark y
explorar algunas de sus capacidades. Incluya en su informe la respuesta lo más
documentada posible (incluyendo para ello pantallazos si fuera necesario) a dichas
preguntas:

2
Recuerde que el mensaje HTTP GET que se envía al servidor web gaia.cs.umass.edu está contenido dentro
de un segmento TCP, que está contenido (encapsulado) en un datagrama IP, que está encapsulado en un
marco Ethernet. Si este proceso de encapsulación aún no está muy claro, revise la sección 1.5 en el libro de
texto.

1.13
Redes y comunicaciones

Figura 5: Ventana de Wireshark en el paso 9.

1. Señale tres protocolos diferentes que aparecen en la columna de protocolo


en la ventana sin filtrar de la lista de paquetes en el paso 7.  Incluya en tu
informe un pantallazo donde podamos verlos.

2. ¿Cuánto tiempo pasó desde que se envió el mensaje HTTP GET hasta que
se recibió la respuesta HTTP OK?  Incluya en su informe un pantallazo
donde podamos ver los tiempos de envío del mensaje y recepción de la
respuesta. (Por defecto, el valor de la columna Time en la ventana de
listado de paquetes es la cantidad de tiempo, en segundos, desde que se
inició el rastreo de Wireshark. Para mostrar el campo Time en el formato de
hora del día, seleccione el menú desplegable View de Wireshark, luego
seleccione Time Display Format (Formato de hora) y por último
seleccione Time-of-day (Hora del día).)

1.14
Actividad: Introducción a Wireshark

3. ¿Cuál es la dirección de Internet de gaia.cs.umass.edu (también conocida


como www-net.cs.umass.edu)? ¿Cuál es la dirección de Internet de su
computadora? Destaque en el pantallazo dónde están estas direcciones.

4. Imprima los mensajes HTTP GET y REPLY mencionados en el paso 9


anterior. Para ello, seleccione Print en el menú de comando File de
Wireshark y seleccione los botones radiales Selected Packet Only y
Print as displayed y, a continuación, haga clic en OK.

1.15

También podría gustarte