me pareció bastante interesante ya que a grandes rasgos determina los elementos a examinar de el snifador de redes wireshark o programa para realizar auditorias sobre el tráfico de nuestra red:
1DIC/094
Análisis de red con Wireshark
Wireshark es el principal analizador de protocolos del mundo, siendo una herramienta sin coste y totalmente operativa sin restricción alguna.
Esta herramienta nos ayudará a tener una visión exacta de lo que ocurre en nuestra red, permitiendonos detectar problemas y solucionarlos de forma efectiva.
El artículo se centrará en los aspectos básicos de la aplicación, teniendo una visión global de los siguientes apartados:
- Instalando Wireshark.
- Eligiendo interfaz de captura.
- Capas del paquete.
- Filtrado básico.
Instalando Wireshark
El primer paso será descargar la aplicación del sitio oficial para comenzar su instalación.
Una vez descargado lo ejecutamos para comenzar el proceso de instalación y para continuar hacemos clic en el botón Next.
Aceptamos la licencia haciendo clic en el botón I Agree.
A continuación nos permite elegir que opciones queremos instalar, dejamos marcadas todas y hacemos clic en el botónNext.
Ahora nos da a elegir si crear iconos en el escritorio y menú de aplicaciones, además de asociar las extensiones de ficheros que abrirá Wireshark. Lo dejamos de forma predeterminada y hacemos clic en el botón Next.
Indicamos en que directorio instalar la aplicación y hacemos clic en el botón Next. Nosotros lo dejamos en la ubicación predeterminada.
En este paso nos indica que va a instalar WinPcap, ya que es necesario para poder realizar las capturas de tráfico, lo dejamos seleccionado y hacemos clic en el botón Install.
Nos aparece el instalado de WinPcap, hacemos clic en el botón Next.
En la ventana de bienvenida hacemos clic de nuevo en el botón Next.
Aceptamos la licencia haciendo clic en el botón I Agree.
Por último WinPcap nos indica que arrancará a la hora de iniciar el equipo, lo dejamos marcado y hacemos clic en el botónInstall.
Hacemos clic en el botón Finish para proseguir con la instalación de Wireshark.
Wireshark habrá continuado instalando y una vez terminado hacemos clic en el botón Next.
Para terminar hacemos clic en el botón Finish.
Eligiendo interfaz de captura
Ejecutamos la aplicación para comenzar nuestra captura. Una vez arrancada la aplicación hacemos clic en el primer icono de la barra de herramientas.
Para comenzar la captura hacemos clic en el botón Start, antes debemos ver que la columna Packets tiene tráfico. Nos aparecerá en la pantalla los paquetes que va capturando la aplicación.
Capas del paquete
A continuación vamos a observar como se estructura un paquete, la explicación será totalmente básica, pero será de ayuda para iniciarnos en la lectura de estas capturas.
Para el ejemplo vamos a lanzar un ping, haremos doble clic sobre uno de los paquetes y trabajaremos sobre dicha ventana.
Vemos que disponemos de 4 líneas, las dos primeras líneas muestra la capa 1 (acceso a la red), la tercera línea la capa 2 (Internet), la cuarta línea la capa 3 (transporte), en nuestro caso al usar un ping como paquete no disponemos de capa de aplicación, si observaramos un paquete http, veríamos que disponemos de más líneas, lo que sería la capa de aplicación.
Ahora vamos a ver cada línea un poco más a fondo.
- La primera línea corresponde a la capa física del modelo OSI, es decir, la primera capa. Aquí los valores que se muestran son los pertenecientes a ethernet.
- La segunda línea corresponde a la capa de enlace de datos del modelo OSI, pero en este caso como estamos trabajando con TCP/IP, este protocolo une las capas 1 y 2 del modelo OSI en la capa 1 del modelo TCP/IP. Aquí observamos las direcciones MAC del dispositivo origen y destino.
- La tercera línea corresponde a la capa de red del modelo OSI, la cual muestra el direccionamiento IP de origen y destino así como las marcas que se usan para QoS, TTL, versión IP, etc. Aquí vamos a marcar de colores la IP origen, destino, versión IP y el valor DSCP correspondiente al QoS DiffServ de capa 3.
- La cuarta línea corresponde a la capa de transporte del modelo OSI, que coincide en nombre con la capa 3 del modelo TCP/IP. Aquí vamos a observar que el tipo de transporte usado es ICMP, el checksum, número de secuencia e identificador, etc. Marcaremos todos los valores nombrados.
Filtrado básico
Durante una captura aparece mucha información que para resolver un problema resulta irrelevante, en este apartado vamos a ver como filtrar esa información para que la lectura de Wireshark resulte más cómoda.
Existe una gran cantidad de variables que podemos usar para realizar un filtro adecuado a nuestras necesidades, la barra de filtrado la mostramos a continuación.
En esta barra disponemos de un cuadro de texto donde escribir la sentencia de nuestro filtro o podemos hacer clic en el botón Expression... donde aparecerá el listado de todas las posibles opciones.
Todas estas expresiones quedan lejos de este artículo, pero si las observáis no os resultará nada difícil seleccionar la que necesitáis.
Esta ventana de expresiones se divide en tres columnas, donde en la primera tenemos las expresiones, la segunda aparece la relación y en la tercera donde escribiremos el valor. Pulsamos el botón OK y aparecerá en el cuadro de texto de la barra de filtrado.
A continuación vamos a ver sentencias básicas para el filtrado de los paquetes.
- Expresión -> Ej: ARP (mostrará solo los paquetes ARP en la pantalla).
- NOT expresión -> Ej: NOT ARP (eliminará todos los paquetes ARP de la pantalla). NOT es un indicador fijo, otros filtros pueden ser NOT TCP, NOT UDP; como comprobamos NOT se mantiene en toda sentencia.
- Expresión && Expresión -> Ej: IP.SRC == 192.168.0.31 && NOT TCP (mostrará solo los paquetes con IP origen 192.168.0.31 que no sean TCP). Podemos concadenar más opciones añadiendo sucesivamente && Expresión. La expresión IP.SRC resulta ser fija, donde la IP es variable y también los valores ==, && y NOT son indicadores comunes para toda expresión de filtrado.
Nos resultará de ayuda que conforme vamos escribiendo nuestro filtro, aparecerá un asistente diciendonos que comandos podemos ir escribiendo conforme a las letras que hemos introducido.
A continuación se muestra sentencias de algunos filtros:
- NOT TCP -> No muestra los paquetes que sean TCP (podemos cambiar TCP por ICMP, UDP, DNS, etc.).
- IP.SRC== -> Indicaremos cual es la IP origen del paquete (podemos cambiar por IP.DST para IP destino).
- IP.SRC==192.168.0.1 && IP.DST==192.168.0.31 -> Indicamos paquetes con una dirección origen concreta hacia una dirección destino concreta.
0 comentarios:
Publicar un comentario