formato trabajos nuevo copy
TRANSCRIPT
[Fecha]
Actividad de wireshark GESTIÓN DE REDES DE DATOS
INSTRUCTOR: mauricio cardona restrepo
Autor
Yina paola garzon bedoya
SERVICIO NACIONAL DE APRENDIZAJE GESTIÓN DE REDES DE DATOS
ACTIVIDAD DE WIRESHARK
[FECHA]
ACTIVIDAD DE WIRESHARK 1
Actividad de wireshark
WIRESHARK, es una herramienta utilizada para identificar y analizar el tipo de trafico en un momento determinado.
SERVICIO NACIONAL DE APRENDIZAJE GESTIÓN DE REDES DE DATOS
ACTIVIDAD DE WIRESHARK
[FECHA]
ACTIVIDAD DE WIRESHARK 2
1: Explique las características de los tres paneles de wireshark.
El panel 1 nos muestran las listas de paquetes que se encuentran pasando
por la red; a esta acedemos por la tarjeta donde estamos conectados a red,
luego el filtro de las Expresión, luego el protocolo htt dentro de HTT
elegimos el requerimiento me……. Y le damos en == en el especio de arriba
le escribimos GET que es el comando para extraer información, y
asentamos, luego le damos en START ahí nos arroja la información de la red
El panel dos nos muestra los detalle de cualquier paquete que hemos elegido del panel uno
El panel tres nos muestra de forma más detallada el lenguaje de las maquinas los del panel dos
SERVICIO NACIONAL DE APRENDIZAJE GESTIÓN DE REDES DE DATOS
ACTIVIDAD DE WIRESHARK
[FECHA]
ACTIVIDAD DE WIRESHARK 3
2. Identifique los diferentes métodos que hay para listar y escoger la interfaz de red apropiada para una captura Una de las formas Para escoger la interfaz q vamos a meritoria es dándole clic al icono principal de la grafica
Otra forma es presionando ( ctrl) de el teclado y la letra (i)
Otra de las forma en por la pestañita capture y luego en interfaces…
SERVICIO NACIONAL DE APRENDIZAJE GESTIÓN DE REDES DE DATOS
ACTIVIDAD DE WIRESHARK
[FECHA]
ACTIVIDAD DE WIRESHARK 4
Otra forma es por el cursor luego en la ventana de preferencias
seleccionamos capture y le damos clic al despegable y seleccionamos la interfaz deseada
3. Explore y explique las diferentes posibilidades que tiene para presentar las columnas en el panel de listado de paquetes de Wireshark Para modificar o ordenar la formas, damos clic en el icono de preferencias que gráficamente son unas herramientas, en la ventana que nos muestra seleccionamos layout, luego seleccionamos la plantilla que deseamos utilizar también podemos ubicar la ubicación de cada panel y damos clic aapply y luego ok
SERVICIO NACIONAL DE APRENDIZAJE GESTIÓN DE REDES DE DATOS
ACTIVIDAD DE WIRESHARK
[FECHA]
ACTIVIDAD DE WIRESHARK 5
Así pueden quedar nuestros panele
SERVICIO NACIONAL DE APRENDIZAJE GESTIÓN DE REDES DE DATOS
ACTIVIDAD DE WIRESHARK
[FECHA]
ACTIVIDAD DE WIRESHARK 6
4. Modifique la columna de tiempo en el panel de listado de paquetes, de modo que cada en paquete aparezca la hora del día en la que tuvo lugar dicho tráfico. Para obtener estos datos damos clic en bien y seleccionamos time display formato y luego señalamos la opción que nos da el día y la fecha actual.
SERVICIO NACIONAL DE APRENDIZAJE GESTIÓN DE REDES DE DATOS
ACTIVIDAD DE WIRESHARK
[FECHA]
ACTIVIDAD DE WIRESHARK 7
En esta imagen se puede apreciar cómo cambio la configuración de la fecha actual
SERVICIO NACIONAL DE APRENDIZAJE GESTIÓN DE REDES DE DATOS
ACTIVIDAD DE WIRESHARK
[FECHA]
ACTIVIDAD DE WIRESHARK 8
5. Guarde las capturas en un directorio que, de manera cíclica, mantenga 10 archivos de 1 MB. Explicar el procedimiento. En la opción capture, luego en opciones y luego chuleamos use múltiple file, luego chuleamos use multiplefiles, luego netx file every y luego ring buffer with
SERVICIO NACIONAL DE APRENDIZAJE GESTIÓN DE REDES DE DATOS
ACTIVIDAD DE WIRESHARK
[FECHA]
ACTIVIDAD DE WIRESHARK 9
Lugo buscamos los archivos donde le asignamos en el campo file
2. FILTROS 5. Identifique y explique las diferencias entre un filtro de visualización un filtro de captura.
El filtro de captura nos permite seleccionar un solo tipo d paquete
SERVICIO NACIONAL DE APRENDIZAJE GESTIÓN DE REDES DE DATOS
ACTIVIDAD DE WIRESHARK
[FECHA]
ACTIVIDAD DE WIRESHARK 10
El filtro de visualización nos permite seleccionar los paquetes que queremos ver en el panel
6. Identifique y explique cómo crear los siguientes filtros de visualización:
1. Dirección IP de origen
En el filtro de visualización copiamos ip.src == la dirección del origen
2. Dirección MAC de destino.
En el filtro copiamos
SERVICIO NACIONAL DE APRENDIZAJE GESTIÓN DE REDES DE DATOS
ACTIVIDAD DE WIRESHARK
[FECHA]
ACTIVIDAD DE WIRESHARK 11
3. Tráfico TCP que use el puerto 443. En el filtro colocamos tcp.port ==443 y damos click en apply
4. Tráfico ARP.
En el filtro colocamos arp y apply
5. Tráfico DNS. En el filtro ponemos
SERVICIO NACIONAL DE APRENDIZAJE GESTIÓN DE REDES DE DATOS
ACTIVIDAD DE WIRESHARK
[FECHA]
ACTIVIDAD DE WIRESHARK 12
3. ESTADÍSTICAS Y ANÁLISIS DE FLUJOS 1. Haga una captura del tráfico generado a cuatro servidores web. Identifique cuáles fueron las conversaciones y los equipos que más tráfico generaron, usando las opciones de “Endpoints” y “Conversations” en el menú “Statistics”.
• Comenzamos la captura normal mente luego de damos clic a statistics y en conversations como muestra la imagen. Ya a este paso
debemos tener el servidor abierto al cual queremos capturar el
tráfico http://www.medellincultura.gov.co/Altavoz_2013_
SERVICIO NACIONAL DE APRENDIZAJE GESTIÓN DE REDES DE DATOS
ACTIVIDAD DE WIRESHARK
[FECHA]
ACTIVIDAD DE WIRESHARK 13
Y nuevamente le damos en statistics pero en endpoints
• Comenzamos la captura normal mente luego de damos clic a statistics y en conversations como muestra la imagen. Ya a este paso
debemos tener el servidor abierto al cual queremos capture el
trafico http://www.une.com.co/hogares
SERVICIO NACIONAL DE APRENDIZAJE GESTIÓN DE REDES DE DATOS
ACTIVIDAD DE WIRESHARK
[FECHA]
ACTIVIDAD DE WIRESHARK 14
Y nuevamente le damos en statistics pero en endpoints
SERVICIO NACIONAL DE APRENDIZAJE GESTIÓN DE REDES DE DATOS
ACTIVIDAD DE WIRESHARK
[FECHA]
ACTIVIDAD DE WIRESHARK 15
• Comenzamos la captura normal mente luego de damos clic a statistics y en conversations como muestra la imagen. Ya a este paso
debemos tener el servidor abierto al cual queremos capture el
trafico http://www.riverplate.com/
SERVICIO NACIONAL DE APRENDIZAJE GESTIÓN DE REDES DE DATOS
ACTIVIDAD DE WIRESHARK
[FECHA]
ACTIVIDAD DE WIRESHARK 16
Y nuevamente le damos en statistics pero en endpoints
• Comenzamos la captura normal mente luego de damos clic a statistics y en conversations como muestra la imagen. Ya a este paso
debemos tener el servidor abierto al cual queremos capture el
trafico http://www.edu.com/
SERVICIO NACIONAL DE APRENDIZAJE GESTIÓN DE REDES DE DATOS
ACTIVIDAD DE WIRESHARK
[FECHA]
ACTIVIDAD DE WIRESHARK 17
Y nuevamente le damos en statistics pero en endpoints
Verificando las imágenes la conversación que más trafico arrojo fue la de une y la de la alcaldía/ educación 2. Genere el diagrama de flujo de las conversaciones establecidas en el numeral anterior.
SERVICIO NACIONAL DE APRENDIZAJE GESTIÓN DE REDES DE DATOS
ACTIVIDAD DE WIRESHARK
[FECHA]
ACTIVIDAD DE WIRESHARK 18
Para poder ver el diagrama del flujo nos vamos a statistics y en la opción flowgraph y luego seleccionamos el flujo que queremos seleccionar, EL PAQUETE DE FLUJO analiza la conversación entre el servidor y el computador, podemos observar la comunicación a través de bits
3. Realice un análisis gráfico del tráfico generado en el numeral 8, usando la opción I/O Graphs, en el menú “Statistics”.
SERVICIO NACIONAL DE APRENDIZAJE GESTIÓN DE REDES DE DATOS
ACTIVIDAD DE WIRESHARK
[FECHA]
ACTIVIDAD DE WIRESHARK 19
Con Statistics I/O Graphs, podemos ver gráficamente el tráfico de los servodores que nos encontramos utilizando
• UTILIZANDO OTRO FILTRO
SERVICIO NACIONAL DE APRENDIZAJE GESTIÓN DE REDES DE DATOS
ACTIVIDAD DE WIRESHARK
[FECHA]
ACTIVIDAD DE WIRESHARK 20
4. Explique el uso de la opción “follow TCP stream”.
Follow TCP stream esta nos permite ver más detalladamente que lleva el
paquete que estamos filtrando, nos deja ver lo que se escribe en un
mensaje o lo que se está trasmitiendo entre el servidor y el pc. Para
explorar esta función le damos clic en la pestaña analice y luego en follow TCP stream
1 – HTTP
a) Ingresar a una página que usted prefiera y descargar un video como se muestra en el video tutorial que se adjunta en este taller.
SERVICIO NACIONAL DE APRENDIZAJE GESTIÓN DE REDES DE DATOS
ACTIVIDAD DE WIRESHARK
[FECHA]
ACTIVIDAD DE WIRESHARK 21
SERVICIO NACIONAL DE APRENDIZAJE GESTIÓN DE REDES DE DATOS
ACTIVIDAD DE WIRESHARK
[FECHA]
ACTIVIDAD DE WIRESHARK 22
2 – DHCP
Para liberar una IP en un computador, al igual observamos el
comportamiento que genera en el tráfico de Red con el programa
Wireshark, se puede observar que aparece el comando que hemos
ingresado para liberar la IP del equipo y la respuesta que obtuvimos al
hacerlo, al igual se puede observar cómo actúa el DHCP al hacerle la
petición de una nueva IP, Mandando una respuesta y luego vemos como
finaliza con ACK (acuse de recibido) confirmando que el proceso ha sido efectuado.
a) Libere y solicite una dirección IP a su servidor DHCP
SERVICIO NACIONAL DE APRENDIZAJE GESTIÓN DE REDES DE DATOS
ACTIVIDAD DE WIRESHARK
[FECHA]
ACTIVIDAD DE WIRESHARK 23
b) Seguir con wireshark las petición/respuesta dadas por el servidor.
NOTA:
1. Se debe analizar-discutir lo observado durante las prácticas. No cuenta como discusión simplemente decir “se corrió el comando xyz y el resultado es el que se muestra a continuación”. Se debe detallar como sucedió el intercambio de mensajes del protocolo, lo que significan, dar comentarios personales, etc. Se pueden auxiliar de RFCs y otros documentos que den Información complementaria y solidifiquen sus argumentos. Cuando analizamos el tráfico con wireshark no detecta el video que
decidimos capturar este nos muestra efectivamente el enlace ya que
como se reprodujo fue detectado, a digitarle los comandos
correspondientes para liberar la ip y otorgarle otra, él DNS hizo un
cambio la dirección Ip, ejemplo es como si pidiéramos cambio de
SERVICIO NACIONAL DE APRENDIZAJE GESTIÓN DE REDES DE DATOS
ACTIVIDAD DE WIRESHARK
[FECHA]
ACTIVIDAD DE WIRESHARK 24
línea telefónica, es diferente nuestro numero pero al llamar nos
dirigimos al mismo teléfono y a la misma persona. Con el filtro
bootp nos mostró el cambio que hizo el servidor DNS a nuestro
computador nos mostró la máscara, el broadcas correcta de nuestra nueva ip
2. Incluya su opinión acerca del uso del modo monitor y modo promiscuo, indicando de qué manera puede ser utilizado por un atacante.
Modo promiscuo
El modo promiscuo o monitor sirve para que la tarjeta (wifi o inalámbrica)
procese todos los paquetes que circulan por la red, sean para ese host o no;
Ya que el modo promiscuo recibe todo lo q trafica por la red, un atacante
puede consigues "ver" la información que circula por la red, ver y
manipular archivos de cualquier persona mientras esta estuvo navegando en la red
Modo monitor
El modo monitor es una modalidad en la cual nuestra tarjeta simplemente
escucha transmisiones inalámbricas pero no emite señal para solicitar
conexión. La ventaja de usar este modo, es que no es necesario solicitar una
IP para escuchar paquetes de datos de redes inalámbricas), pero si nos
sirven para averiguar datos. un atacante puede utilizar el modo monitor
para ver el nivel de protección que tiene nuestra instalación, incluso este
pudieran estar a decenas de metros de nuestra posición. Con esta pueden robar claves WEP / WPA personales, esta puede ver todo lo que navegamos
SERVICIO NACIONAL DE APRENDIZAJE GESTIÓN DE REDES DE DATOS
ACTIVIDAD DE WIRESHARK
[FECHA]
ACTIVIDAD DE WIRESHARK 25
4. Agregue sus conclusiones sobre la actividad. En esta actividad me di cuenta de lo vulnerable que podemos llegar
a ser en nuestro propios pcs, hemos visto cómo actúa el Modo monitor y el promiscuo los Cuale llagan hacer muy exactos al
momento de capturar lo que se está ejecutando en el procesador de
alguien más, pero aprendimos brevemente como poder manipular la
información que se viaja por la red de otras personas, además
hemos visto nuevas opciones de descargas completas de video que
no son muy útiles aun para la vida cotidiana
PARTE 3: MANEJO DE OTRAS HERRAMIENTAS Y RECURSOS
Descripción general
1. Cree una captura del tráfico web generado entre un host en Linux y el
servidor http://www.sena.edu.co, usando tcpdump, redireccionando la salida a un archivo de texto.
Este es otro método de captura de trafico de un interfaz el cual se puede acceder descargando windump y en Linux con
SERVICIO NACIONAL DE APRENDIZAJE GESTIÓN DE REDES DE DATOS
ACTIVIDAD DE WIRESHARK
[FECHA]
ACTIVIDAD DE WIRESHARK 26
2. Consulte y explique qué es SPAN y RSPAN
SPAN permite tomar el tráfico que atraviesa por un puerto, grupo de puertos o VLAN completa de un switch y lo copia en el puerto de destino,
que es el puerto en el que debemos conectar nuestra estación de monitoreo.
Adicionalmente, al configurar esta funcionalidad se especifica no sólo los
puertos de origen y destino, sino también si se desea copiar el tráfico que tiene ese puerto como origen, destino o ambos.
RSPAN
Por su lado, RSPAN permite que el tráfico generado en múltiples switches
distribuidos en la red pueda ser reenviado al puerto al que hemos
conectado nuestra estación de monitoreo. Así, por ejemplo, si una VLAN
cualquiera se encuentra configurada en múltiples switches de la red,
RSPAN permite que todo el tráfico que tiene como destino puertos de la
VLAN en cuestión, de cualquiera de los switches involucrados sea copiado a nuestro puerto de trabajo
3. Consulte y liste las características y costos de diferentes
appliances que cumplan la función de sniffing.
CAPSA PACKET SNIFFER Capsa es un analizador de red de paquetes es un software gratuito
para los administradores de red para supervisar, diagnosticar y
solucionar sus network. The paquete gratis de la red la versión del
analizador viene como toneladas de características, y es lo suficiente
mente bueno para uso domésticos, así como su uso en las pequeñas
empresas
MICROSOFT NETWORK MONITOR Es un analizador de red de paquetes de una red gratuita y funciona
en pcs Windows. Proporciona capacidad de la red de expertos para
ver todo el tráfico de la red en tiempo real en u8na una intuitiva
interfaz gráfica en usuario. Mientras tanto puedo ver información
SERVICIO NACIONAL DE APRENDIZAJE GESTIÓN DE REDES DE DATOS
ACTIVIDAD DE WIRESHARK
[FECHA]
ACTIVIDAD DE WIRESHARK 27
de la red más de 300 públicos, propiedades de Microsoft y los
protocolos de red, incluyendo los paquetes inalámbricos
INNONW SNIFFER La aplicación fue diseñado para ser un pequeño escáner de
propiedades intelectuales similar a las de las redes sniffer. Puedes
escáner en vivo ip públicas y escáner cualquier ordenador de la LAN.
Y puede dar una información más detallada del sistema
SERVICIO NACIONAL DE APRENDIZAJE GESTIÓN DE REDES DE DATOS
ACTIVIDAD DE WIRESHARK
[FECHA]
ACTIVIDAD DE WIRESHARK 28
WEBGRAFIA
Cibergrafíahttp://wiki.wireshark.org/https://blog.wireshark.org/http://packetlife.net/blog/2008/jun/2/packet-captures-courtesy-wireshark-wiki/
http://www.miarec.com/faq/what-is-port-
mirroringhttp://www.soportederedes.com/2007/06/wireshark-101-filtros-de-visualizacin.html
http://acsblog.es/articulos/trunk/LinuxActual/Apache/html/x49.htmlhttp://www.tcpdump.org/
http://www.seguridadwireless.net/hwagm/wireless-windows-drivers-
monitor.html
https://www.google.com.co/#sclient=psy-
ab&q=como+se+puede+utilizar+en+un+ataque+al+modo+promiscuo&oq
=como+se+puede+utilizar+en+un+ataque+al+modo+promiscuo&gs_l=hp
.3...5301.8987.2.9429.6.5.1.0.0.0.342.1031.0j4j0j1.5.0...0.0.0..1c.1.12.hp.9g
yReyAtGNE&psj=1&bav=on.2,or.r_qf.&bvm=bv.47008514,d.eWU&fp=600
d63469e79cb99&biw=1024&bih=673
https://www.google.com.co/#sclient=psy-
ab&q=como+se+puede+utilizar+en+un+ataque+al+modo+promiscuo&oq
=como+se+puede+utilizar+en+un+ataque+al+modo+promiscuo&gs_l=hp
.3...5301.8987.2.9429.6.5.1.0.0.0.342.1031.0j4j0j1.5.0...0.0.0..1c.1.12.hp.9g
yReyAtGNE&psj=1&bav=on.2,or.r_qf.&bvm=bv.47008514,d.eWU&fp=600
d63469e79cb99&biw=1024&bih=673
SERVICIO NACIONAL DE APRENDIZAJE GESTIÓN DE REDES DE DATOS
ACTIVIDAD DE WIRESHARK
[FECHA]
ACTIVIDAD DE WIRESHARK 29