CAPTURA Y ANLISIS DE TRFICO EN WLAN

Octubre 2012
Objetivo: Familiarizarse con el uso de analizadores de trfico como CommView for WiFi, Wireshark y C!dum" "ara ca"turar y
analizar las tramas #$%&'' (ue viajan "or las redes locales inalmbricas W)*+, a fin de detectar "roblemas causados "or
fallas o con,esti-n y brechas de se,uridad, y adems "ara entender mejor c-mo funciona los "rotocolos de comunicaci-n en
W)*+&
.e(uisitos: /is"oner de una !C o la"to" e(ui"ada con ada"tador inalmbrico con chi" *theros o e(uivalente& 0s aconsejable efectuar
"reviamente la "rctica .edes inalmbricas de rea local 1 W)*+& *dems see recomienda consultar Descripcin de los protocolos
TCP/IP al final de esta ,u2a&
!lataforma: Windows3)inu4&
+ota: +o ha,a esta "rctica usando una m(uina virtual V5ware o Virtual6o4, ya (ue el trfico 7000 #$%&'' es convertido a
0thernet&
Seccin A: Intr!uccin
04iste una ,ran variedad de herramientas (ue "ermiten ca"turar los datos (ue viajan "or las redes de comunicaci-n y "osteriormente
analizarlos& 8e les conoce como: analizadores de protocolos, analizadores de redes, analizadores de trfico, sniffers& 0llos son muy
9tiles "ara los in,enieros, t:cnicos y administradores de redes, ya (ue "or medio del monitoreo "ermiten encontrar y solucionar
variados y com"lejos "roblemas& ambi:n son una e4celente ayuda didctica "ara entender c-mo funcionan los "rotocolos de las redes
modernas& !ero re"resentan un arma "eli,rosa en mano de "ersonas mal intencionadas "or(ue "ueden ca"turar datos confidenciales
;ej& contrase<as= (ue no est:n encri"tadas&
>oy d2a e4isten muchos "roductos dis"onibles, la mayor2a comerciales, "ero tambi:n los hay ,ratuitos y de c-di,o abierto& 0ntre
estos 9ltimos se encuentra el famoso Wireshark ;?el tibur-n de los cables?= (ue es (uizs el ms "o"ular& *l,unos de los "roductos
comerciales ms conocidos son: 8niffer !ro, 0ther!eek, CommView, CommView for WiFi&
*iro!eek y Omni!eek son dos "roductos muy avanzados de la em"resa Wild"ackets& 0l "rimero de ellos est orientado
9nicamente a la ca"tura y anlisis del trfico en redes inalmbricas #$%&''& 0n cambio Omni!eek es ms com"leto y "ermite la
ca"tura y anlisis en redes W)*+ #$%&'', 0thernet '$3'$$ 5b"s cableadas, @i,abit 0thernet y W*+ ;ej& Frame .elay=&
C!dum" es una herramienta "ara ambiente )inu4 muy verstil, es"ecialmente utilizada en tareas de se,uridad informtica ;"or
ejem"lo, en la evaluaci-n de la se,uridad de una red= as2 como en el anlisis del funcionamiento de las redes& 04isten versiones "ara
Windows llamadas TcpDump.exe y WinDump.exe.
C!re"lay es una herramienta "ara )inu4 (ue "ermite reinyectar trfico en la red a "artir de las ca"turas efectuadas con C!dum"
o Wireshark&
)ib"ca" es una biblioteca de funciones "ara a"licaciones (ue re(uieran ca"tura de "a(uetes, colocando la tarjeta de red en modo
"romiscuo& 8e trata de una librer2a utilizada "or c"dum", C!re"lay, Wireshark, 8nort ;sistema de detecci-n de intrusos= y muchos
otros "ro,ramas& 0n la car"eta Captura del /V/ se encuentran varias de las herramientas antes mencionados&
0n esencia, los analizadores de "rotocolos ca"turan y almacenan los datos (ue viajan "or la red& /e esta forma, los t:cnicos y
administradores res"onsables de una red dis"onen de una ventana "ara ver lo (ue est ocurriendo en la misma, "ermiti:ndoles
solucionar "roblemas de fallas y con,esti-n o estudiar y modelar el com"ortamiento de la red mediante la visi-n del trfico (ue
circula&
8i bien e4isten analizadores de redes en hardware con la interfaz adecuada "ara distintas tecnolo,2as ;0thernet, 851'3OC1A,
851B3OC1'%, ', 0', /8A, 0A, V&AC, V&AD3.81BBE, 07*1CA$, .81%A%, F&%', >887, etc&=, la mayor2a de los analizadores de red son
"roductos de software (ue utilizan la tarjeta de interfaz de la red ;+7C, esto es Networ Interface Card= "ara ca"turar
indiscriminadamente todo el trfico 0thernet (ue circula "or el !u" ;concentrador de cableado= en vez de solamente el trfico enviado
es"ec2ficamente a esa m(uina& en,a en cuenta (ue el hub act9a como un re"etidor y el trfico (ue lle,a a un "uerto, es transmitido a
todos los dems "uertos& 8i se utiliza una la"to", :sta se "uede fcilmente conectar al se,mento de red (ue se (uiere analizar&
1%1
+ormalmente una tarjeta 0thernet descartar2a cual(uier trfico (ue no vaya diri,ido a ella o a la direcci-n de difusi-n de la red, "or
lo (ue el analizador deber hacer (ue la tarjeta entre en un estado es"ecial denominado modo promiscuo& Gna vez (ue la tarjeta se
encuentra en ese modo, el analizador "uede ca"turar y analizar cual(uier trfico (ue "ase "or el se,mento local 0thernet& 0sto limita
de al,9n modo el alcance de un analizador, "uesto (ue no ser ca"az de ca"turar el trfico e4terno al dominio local de la red ;es decir,
ms all de los routers, switches u otros dis"ositivos de se,mentaci-n=& 0s obvio (ue un analizador hbilmente situado en el backbone
;columna vertebral= de la red, en un enlace interred, o en otro "unto de a,re,aci-n de la red, "odr ca"turar un volumen mayor de
trfico (ue otro colocado en un se,mento aislado de 0thernet& !or ejem"lo, muchas redes tienen un router en la "eriferia conectado "or
un lado a 7nternet y "or el otro a un switch (ue interconecta las !Cs& 0n este caso un buen sitio es colocar el analizador entre el router
y el switch& en,a en cuenta (ue un switch act9a como un brid,e y el trfico (ue lle,a a un "uerto, es transmitido s-lo al "uerto donde
est la m(uina de destino& )os switches de buena calidad "ermiten confi,urar un "uerto es"ejo ;mirror "ort= al cual se "uede rediri,ir
el trfico de cual(uier otro "uerto y all2 ca"turarlo& Otra forma es utilizar un mini hub de A "uertos, conectando all2 el switch, el router
y el analizador&
Como sucede con la mayor2a de los recursos a dis"osici-n de los administradores de redes, su uso se ha subvertido "ara realizar
tareas en "rovecho de los intrusos y curiosos& 7ma,2nese la enorme cantidad de datos im"ortantes (ue "asan a trav:s de una red& 0stos
datos incluyen el nombre de usuario y su contrase<a, mensajes de correo electr-nico confidenciales, transferencia de archivos con
datos financieros, etc& 0n un momento u otro, si esta informaci-n se env2a a trav:s de una red, se convierte en bits y bytes (ue son
visibles "ara al,uien (ue em"lee un analizador en al,9n "unto de la ruta de los datos&
Gna red 0thernet com"artida mediante un !u" entonces es e4tremadamente vulnerable ante un analizador, "uesto (ue en este ti"o
de redes todo el trfico se transmite a todas las m(uinas conectadas al hub& Gna red 0thernet conmutada ;mediante un )*+ switch=
esencialmente sit9a a cada m(uina en su "ro"io dominio de colisi-n, de forma (ue solamente el trfico broadcast y el trfico
destinado a esa m(uina es"ec2fica alcanza la +7C& Gna ventaja adicional "ara considerar al "asarse a una red conmutada es su mejor
desem"e<o, al reducir la con,esti-n& 0l costo de un )*+ switch es ya com"arable al costo de un hub tradicional, "or lo (ue ya no
e4iste nin,una e4cusa "ara se,uir ad(uiriendo tecnolo,2a 0thernet com"artida&
0n todo caso los switches no eliminan com"letamente el ries,o de escucha& 0n efecto, e4isten herramientas como Cain y 0tterca"
(ue utilizan la t:cnica de *.! s"oofin, "ara alterar las tablas del switch a fin de (ue env2e las tramas a la direcci-n 0thernet donde se
encuentra la m(uina es"2a, adems de enviarlas a la m(uina le,2tima& *s2 (ue "ara m4ima se,uridad, el uso de switches deber2a
com"lementarse con la encri"taci-n&
0n las redes inalmbricas la ca"tura clandestina del trfico en relativamente ms facil (ue en las redes cableadas, donde un intruso
(ue bus(ue acceso a una )*+ cableada se enfrenta irremediablemente con el "roblema del acceso a la misma y es im"rescindible una
cone4i-n f2sica al cable de la red "or donde circulan los datos o a los dis"ositivos f2sicos de comunicaci-n (ue la conforman& 0n una
W)*+ el "roblema del intruso se torna et:reo: )as se<ales de radio a trav:s de las cuales se transmite la informaci-n, y (ue utilizan
los dis"ositivos de red (ue la conforman, se "ro"a,an con libertad absoluta a trav:s del es"acio, estando "or lo tanto al alcance de
cual(uiera (ue ten,a ca"acidad "ara interce"tarlas& *l intruso le basta "ermanecer en el rea de cobertura H (ue "uede ser muy e4tensa
1 "ara estar en contacto con la red local& !uede incluso estar en movimiento& Con una antena adecuada se "ueden interce"tar todas las
transmisiones de un "unto de acceso ;*!= y como a menudo se usan antenas onmidireccionales, no se necesita afinar "ara ca"turar el
trfico& )as tarjetas inalmbricas, como caso es"ecial, no "ueden trabajar en modo promiscuo sino en modo monitor, lo cual
esencialmente si,nifican (ue "ueden ca"turar el trfico inalmbrico a su alrededor, "ero no "ueden transmitir&
0l analizador de "rotocolos es una e4celente herrameintas no s-lo "ara analizar y resolver "roblemas de fallas y con,esti -n, sino
1A1
"ara a"render ms sobre los "rotocolos de comunicaci-n& )a tecnolo,2a Wi1Fi es bastante ms com"leja (ue 0thernet y se recomienda
consultar los libros (ue se encuentran en la car"eta #edes Inalm"ricas del /V/& 0l ane4o Descripcin de los protocolos TCP/IP al
final de esta ,u2a tambi:n "uede ayudar a entender mejor los detalles& * continuaci-n se har una breve descri"ci-n de los cam"os ms
im"ortantes de #$%&'' 5*C >eader "ara (ue sirva de orientaci-n&
)a "orci-n de control de la trama ;$rame Control= es im"ortante ya (ue determina el ti"o de datos (ue contiene el resto de la trama&
0l "rimer com"onente ;% bits= corres"onde a la %ersin del Protocolo ;actualmente $b$$=& 0l Tipo y el &u"tipo definen la clase de
informaci-n (ue contiene la trama& )a si,uiente tabla muestra los ti"os y subti"os ms relevantes&
i"o 8ubti"o
*dministraci-n ;$$= 8olicitud3.es"uesta de *sociaci-n
8olicitud3.es"uesta de .easociaci-n
8olicitud3.es"uesta de !robe
6eacon
/esasociaci-n
*utenticaci-n 3 /esautenticaci-n
Control ;$'= .8
C8
*CI
/atos ;'$= /atos J K
+ull /ata
)as tramas 'eacon son muy frecuentes e indican el canal utilizado, adems de otros datos& )os canales ', D y '' son los ms comunes
en #$%&''b3, y adems no se sola"an&
1B1
)as tramas de ti"o Null Data son ,eneralmente usadas "or las estaciones "ara informar a los *! de los cambios en su manejo de
ener,2a ;"aso a estado de ahorro de ener,2a=, de tal forma (ue el *! ten,a conocimiento de tal estado& 0l ahorro de ener,2a consiste en
(ue la interfaz a"a,a tem"oralmente al,unas de sus "artes, y lo 2ndica encendiendo el bit de (ane)o de *ner+,a en el $rame Control.
0s "osible (ue una vez una estaci-n entre en estado de ahorro de ener,2a el *! le almacene las tramas (ue "rovienen del /8, evento
(ue re,istra encendiendo el bit ms datos&
Continuando con la descri"ci-n de la trama, lue,o de $rame Control est el cam"o Duracin, el cual contiene el tiem"o estimado
en microse,undos (ue el canal "ermanecer ocu"ado "or la transmisi-n (ue se encuentra en curso&
!or lo (ue res"ecta a las direcciones ;-ddress= 0n una trama #$%&'' "uede haber hasta B direcciones 5*C, aun(ue lo ms com9n
es A direcciones:
ransmitter *ddress ;*=: /el e(ui"o (ue transmite
.eceiver *ddress ;.*=: /el e(ui"o (ue recibe
8ource *ddress ;8*=: /el e(ui"o (ue remitente ori,inal
/estination *ddress ;/*=: /el e(ui"o del destinatario final
>ay % bits en los subcam"os $rom D& y To D& (ue se usan "ara indicar si la trama viene de un sistema de distribuci-n o va "ara un
sistema de distribuci-n&
1C1
Como ejem"lo, en la fi,ura se muestra una trama enviada "or una estaci-n inalmbrica ;cliente= hacia un servidor en la red cableada&
)a trama contiene A direcciones 5*C& 0l *! es el rece"tor de la trama y act9a como un "unto intermedio, desde donde la trama es
reenviada al sistema de distribuci-n hacia el servidor& *s2 (ue el *! es el rece"tor ;.*= y el destino final es el servidor ;/*=&
Como otro ejem"lo, en un "uente o en un W/8 ;Wireless Distri"ution &.stem= dos redes cableadas estn unidas "or dos *! actuando
como "uente& )a trama contiene B direcciones 5*C, llevando como 8* la direcci-n 5*C del cliente y como /* la direcci-n 5*C
del servidor&
)a fi,ura muestra ms detalles del uso de direcciones 5*C y lo bits $rom D& y To D& a medida (ue las tramas viajan "or la red de F
hasta L cruzando un "uente inalmbrico&
1D1
Continuando con la descri"ci-n de la trama, el cam"o Control de &ecuencia se divide a su vez en dos "artes: B bits de n/mero de
fra+mento y '% bits de n/mero de secuencia"
8u funci-n "rinci"al es "ermitir a la ca"a de enlace manejar el control de flujo de los datos (ue "rovienen de la ca"a su"erior ;red=,
descartando las tramas du"licadas y manejando tramas muy ,randes "rovenientes de tal ca"a fra,mentndolas, de forma muy similar a
la (ue lo hace el "rotocolo 7!&
0n el caso (ue la trama (ue se va a transmitir ya haya sido transmitida con anterioridad y no haya sido reconocida "or el rece"tor, se
enciende el bit de reintento en el cam"o de control y se env2a&
* cada trama recibida de la ca"a del nivel su"erior ;red= se le asi,na un n9mero de secuencia en orden de lle,ada, (ue aumenta de
trama en trama, a menos (ue se trate de una retransmisi-n o (ue sea necesario fra,mentarla& 0n este 9ltimo caso todos los fra,mentos
com"arten el mismo n9mero de secuencia y difieren en el n9mero de fra,mento, (ue comienza en cero "ara el "rimer fra,mento y
aumenta m4imo hasta $4$F, a medida (ue se van transmitiendo sus fra,mentos& !ara saber cuando se ha recibido el 9ltimo fra,mento
basta revisar el und:cimo bit del cam"o frame control (ue 2ndica si deben es"erarse ms fra,mentos o si se trata del 9ltimo fra,mento
"ara el n9mero de secuencia (ue indica el cam"o n9mero de secuencia&
0l Cuerpo de Datos ;Frame 6ody= contiene los datos de la ca"a de red ;usualmente 7!=, salvo (ue se trate de una trama de
administracin o control en cuyo caso corres"onde a las o"ciones (ue se indican "ara el ti"o1subti"o de dicha trama&
0l tama<o m4imo de la car,a de datos es de %A$B octetos de datos "rocedentes de la ca"a de red, sin embar,o, se habla de un
tama<o m4imo de cam"o de %A'% octetos con el fin de acomodar el o0er!ead W0! en caso (ue :ste se encuentre en uso&
Finalmente est el cam"o C.C ;C.clic #edundanc. C!ec= (ue se calcula en todas las estaciones (ue "rocesan la trama a "artir de
los dems cam"os (ue la conforman, com"arndose con el valor actual& 8i el resultado del clculo coincide con ese valor actual, hay
una muy alta "robabilidad (ue el contenido de la trama no se haya da<ado en su "aso "or el medio& 0l C.C tambi:n es llamado FC8
1M1
;$rame C!ec &e1uence=
Seccin #: C$$%ie& 'r WiFi
CommView for WiFi es un "ro,rama "ara Windows relativamente fcil de a"render a usar ya (ue su interfaz es muy intuitiva& 8i est
trabajando bajo )inu4, salte a la secci-n C& 0sta "o"ular herramienta "osee una serie de funcionalidades destacadas "ara la resoluci-n
de "roblemas de fallas, con,esti-n y se,uridad, al mostrar la informaci-n detallada contenida en cada "a(uete& *dems incluye
caracter2sticas adicionales (ue "ermiten identificar y resolver anomal2as en la red& )a confi,uraci-n de filtros sobre un nodo o
"rotocolo sos"echoso "ermite aislar y analizar un trfico anormal& Con filtros se restrin,e el flujo de "a(uetes ca"turados en base en
al,9n "armetro, tal como direcci-n, "rotocolo, "uerto, valor o lon,itud& CommView for WiFi "ermite efectuar una b9s(ueda o
escaneo de canales y detectar cules se encuentran en uso y cules son los ms activos& Gna vez seleccionado un canal se "uede
efectuar la ca"tura del trfico& 8e "ueden decodificar todos los "rotocolos #$%&'', as2 como tambi:n todos los "rotocolos de red alto
nivel& 0n un "anel se muestra la lista de "a(uetes ca"turados, la decodificaci-n en las diferentes ca"as del "rotocolo ;ej& #$%&'', 7!,
C!, >!= y el contendido en *8C77 y en he4adecimal& *dems e4iste la "osibilidad de nave,ar a trav:s de m9lti"les "a(uetes
seleccionados "ara reconstruir fra,mentos C!& 8e "uede analizar el desem"e<o de una red, tomado como base informaci-n
recolectada a "artir de una am"lia variedad de fuentes tales como: nodos, datos hist-ricos, tama<os y "rotocolos&
!or lo (ue se refiere a la se,uridad, CommView for WiFi "ermite identificar "roblemas de se,uridad "otenciales a trav:s de
mecanismos de rastreo de eventos sos"echosos, "or ejem"lo m9lti"les intentos fallidos de autenticaci-n "odr2an detectarse y as2, a
trav:s del trfico ca"turado intercambiado durante los diferentes intentos, ser2a "osible identificar a un "otencial atacante& *dems se
"uede es"ecificar la clave W0! y W!* de una red, lo cual "ermite desencri"tar "a(uetes cifrados con dichas claves&
'& Co"ie al disco duro el archivo CardC!ec.exe (ue se encuentra en la car"eta #edes Inalm"ricas2Comm%iew for Wi3$i del /V/&
)ue,o ejec9telo "ara as2 averi,uar si dis"one de la tarjeta a"ro"iada, de lo contrario no "odr hacer al,unas de las e4"eriencias ms
interesantes& ;+ota: 6ajo Windows M o Vista, al,unos ada"tadores van a funcionar bien, a "esar de (ue CardCheck di,a lo contrario=&
)a raz-n de todo esto es el ada"tador inalmbrico debe colocarse en modo monitor ;escuchar sin transmitir= y esto no es fcil bajo
Windows&
%& .evise los documentos (ue se encuentran en esa car"eta& 0n "articular, lea el archivo &upported !ardware. /e todos los ada"tadores
inalmbricos e4istentes en el mercado, s-lo al,unos son a"tos, siendo los ms a"ro"iados los (ue se basan en el chi"set *theros& 6ajo
Windows M o Vista, al,unos ada"tadores (ue no son *theros lo,ran funcionar bien&
A& 7nstale el "ro,rama mediante Comm%iew 4.5 (ue se encuentra en esa car"eta o descar,ue la 9ltima versi-n& /urante la instalaci-n
seleccione el modo %oIP y el idioma es"a<ol&
B& Gna vez com"letada la instalaci-n, inicie CommView y consulte r"idamente la ayuda en in,l:s ;6elp=& 0n la car"eta #edes
Inalm"ricas2Comm%iew for Wi$i del /V/ se encuentra el manual en castellano&
+ota: 0n esta versi-n de evaluaci-n, el "ro,rama funciona durante A$ d2as y tiene al,unas limitaciones& 0n caso de (ue haya caducado,
"uede intentar re,istrarlo utilizando el "rocedimento e4"licado en 7eame.txt en la car"eta 8e.maer& Otra "osibilidad es (ue desinstale
CommView D&A, reinicie la com"utadora e instale la versi-n anterior Comm%iew 4.9 (ue se encuentra en la misma car"eta y cuando
cadu(ue esa versi-n D&% ;o antes=, re"ita el "rocedimiento y reinstale la nueva versi-n D&A&
C& !ara "oder ca"turar trfico en vivo, es necesario dis"oner de un ada"tador inalmbrico com"atible y reem"lazar el driver ori,inal de
la tarjeta, con un driver es"ecial "archeado& 8i,a las instrucciones del "ro,rama "ara efectuar este "aso& 8i su ada"tador no es
com"atible, i,ualmente "odr hacer al,unas de las e4"eriencias, "ero se "erder2a el objetivo "rnci"al de esta "rctica&
1#1
D& 0l "ro,rama "osee A ventanas o cuadros "rinci"ales con informaci-n sobre los "a(uetes ca"turados:
0l cuadro su"erior muestra en cada fila una trama ca"turada, con un resumen de sus caracter2sticas ;"rotocolo, direcci-n y "uerto
de ori,en y destino, tiem"o, etc&=& >aciendo clic sobre una trama, se muestran sus detalles en los otros % cuadros&
0l cuadro del medio muestra ms detalles de una trama (ue se haya seleccionado, a nivel de las diferentes ca"as de los "rotocolos
;0thernet, 7!, C!, /+8=& +-tese (ue el orden de las ca"as de los "rotocolos ;de arriba hacia abajo= es de acuerdo a su "osici-n
secuencial en la trama, esto es de iz(uierda a derecha&
0l cuadro inferior muestra el contenido de los cam"os del "rotocolo, en formato he4adecimal y *8C77&
M& 0m"iece analizando trfico "reviamente ca"turado con *iro!eek u otro sniffer& !ara tal fin, desde la barra de o"ciones del men9
seleccione -rc!i0o : %isor de #e+istros& *(u2 seleccione -rc!i0o : Importar #e+istros : -iroPee.
#& +ave,ue hasta la car"eta #edes Inalm"ricas2(uestras Wi$i del /V/ y seleccione un archivo de ca"tura& !uede em"ezar con
Demo.apc, (ue contiene una ,ran variedad de trafico no encri"tado ;cone4i-n web a www&wild"ackets&com, elnet, "in, a
wild"ackets&com, F! desde ftp.wildpacets.com, b9s(ueda en www.+oo+le.com& ambi:n hay trfico de ,esti-n de y control& 0n
#eadme.!tm hay una descri"ci-n de las otras muestras de datos ca"turados ;*ssociation&a"c, >!1W0!&a"c, >!1GnW0!&a"c,
1E1
0)+01W0!&a"c, 0)+01GnW0!&a"c=& !or ahora no se deten,a mucho tiem"o a entender la informaci-n (ue muestra
Commview&
E& *bra ahora el archivo Contrase;a !ttp.apc& *l,unos de los e(ui"os involucrados en la transmisi-n tienen las si,uientes direcciones
5*C:
)inksys G86 Wireless *da"ter N $$:$C:B':FC:%':''
Fterasys G86 Wireless *da"ter N $$:0$:E#:C0:C%:*/
85C !C5C7* Wireless *da"ter N $$:$B:0%:*A:C0:C*
Camara Wi1Fi N $$:$F:DD:M*:*C:D%
.outer )inksys, "uerto )*+ N $$:$F:DD:C'&AD:D%
.outer )inksys, "uerto W*+ N $$:$F:DD:C':AD:DA
.outer )inksys, "uerto W)*+ N $$:$F:DD:C':AD:DB
'$& Gna funci-n muy im"ortante (ue "oseen los sniffers como CommView, es la "osibilidad de recontruir una sesi-n C! y buscar
datos mediantes filtros ;re,las=& !rese sobre el "a(uete O%DM (ue corres"onde a usa sesi-n >! ;"uerto #$=& Con el bot-n derecho
seleccione #econstruir sesin TCP&
''& 0n la nueva ventana (ue se abre seleccione *ditar : 'uscar e introduzca password. /eber2a a"arecer claramente la contrase<a
a"c<95.
'%& *l fondo de la ventana cambie el formato de visualizaci-n de *8C77 a >5)& *nalice el resultado& P!or (u: ahora no a"arece la
contrase<aQ
'A& *bra el archivo Contrase;a $TP.apc (ue se encuentra en la car"eta #edes Inalm"ricas2(uestras Wi$i del /V/& Contiene las
ca"tura de una sesi-n F! ;$ile Transfer Protocol=& Vaya al al "a(uete ODC y con el bot-n derecho seleccione #econstruir sesin
TCP& *nalice el resultado&
'B& *bra el archivo Contrase;a P=P.apc (ue se encuentra en la car"eta #edes Inalm"ricas2(uestras2Wi$i del /V/& Contiene las
ca"tura de sesiones de corre" electr-nico mediante 85! y !O!A& Vaya al al "a(uete OM% y con el bot-n derecho seleccione
#econstruir sesin TCP& *nalice el resultado&
'C& 8i se ha entusiasmado con el uso del sniffer "ara es"iar contrase<as, ten,a en cuenta (ue es una actividad il2cita, "enada "or la )ey
contra /elitos 7nformticos& 5s bien deber2a a"render a usar el sniffer "ara com"render mejor c-mo o"eran las redes de
comunicaci-n y a dia,nosticar "roblemas causados "or fallas o con,esti-n, como se e4"lica a continuaci-n&
'D& 0n "rimer lu,ar seleccione la si,uiente "osici-n de las A ventanas de CommView "ara as2 visualizar mejor la estructura en ca"as
de los distintos "rotocolos de red ;ej& #$%&'', #$%&% ))C, 7!, C!, >!=& )os % 2conos a la derecha son muy 9tiles, ya (ue "ermiten
activar el des"lazamiento automtico y mantener visible el "a(uete seleccionado cuando se ca"tura trfico en vivo&
1'$1
'M& 0l orden de arriba hacia abajo en Commview corres"onde a la enca"sulaci-n de los "rotocolos de iz(uierda a derecha en la trama&
'#& )a versi-n de evaluaci-n de CommView no muestra el contenido de los cam"os del "rotocolo ;en formato he4adecimal y *8C77=,
en las tramas im"ares y en cambio a"arece el mensaje: *sta 0ersin de e0aluacin muestra solo la mitad de los pa1uetes. !ero
i,ualmente "uede ver esos datos si marca el "a(uete y con el bot-n derecho selecciona *n0iar : Pa1uete : &eleccionado.
'E& 0n las tramas identifi(ue los cam"os del encabezado y su si,nificado, "or ejem"lo los ti"os y subti"os, tal como se e4"lic- en la
8ecci-n *& !or lo ,eneral en una red inalmbrica hay mucho trfico de ,esti-n ;ej& beacon= y de control ;ej& *CI=& *nalice los cam"os
de las direcciones 5*C e identifi(ue tramas con una direcci-n unicast, multicast ;si es "osible= y broadcast y su funci-n&
%$& !ase ahora a ca"turar trfico en vivo, "ara lo cual debe tener un ada"tador a"ro"iado (ue se "ueda "oner en modo monitor& 8i
dis"one de Windows Vista o Windows M, hay ms ada"tadores a"ro"iados (ue bajo Windows F!& Consulte el archivo &upported
adapters en la car"eta #edes Inalm"ricas2Comm%iew for Wi$i "ara ver la lista& /e no dis"oner de un ada"tador a"ro"iado bajo
Windows, salte a la si,uiente secci-n e int:ntelo hacer bajo )inu4& Otra "osibilidad es utilizar Comm%iew convencional, "ero s-lo
funciona "ara redes cableadas& 8e encuentra en la car"eta Captura del /V/&
%'& 0n Commview vaya a Preferencias y en (iscelneas, active Desplazamiento automtico.
%%& )ue,o vaya a -rc!i0o y seleccione Iniciar captura& Gna forma e(uivalente es "ulsar el bot-n de Iniciar ubicado debajo de -rc!i0o&
%A& 0n la ventana del *xplorador (ue se abre, seleccione la "esta<a =pciones y confi,ure la ca"tura& 8i activa la o"ci-n (ostrar datos
mientras explora, se "odrn visualizar lue,o las estad2sticas del trfico en todos los canales "reseleccionados&
1''1
%B& )ue,o seleccione la "esta<a *xplorar y "ulse el bot-n Iniciar exploracin& /e esta manera em"ieza un "roceso de barrido de todos
los canales "reseleccionados& 0n cada canal se detiene durante un tiem"o confi,urable ;ej& M se,undos=& 0l 04"lorador muestra los
detalles de cada *! o red ad1hoc, distin,ui:ndolos con 2conos diferentes&
%C& +ote los detalles de cada e(ui"o encontrado& )os canales ', D y '' son los ms utilizados en #$%&''b3, y adems no se sola"an&
%D& /es"u:s de un buen rato deten,a la e4"loraci-n y fije el canal en el cual va a hacer la ca"tura& Finalmente "ulse Capturar& 0l
ada"tador se "one automticamente en el modo monitor, "udiendo ca"turar tramas de las dems m(uinas cercanas, "ero deja de
transmitir, descon:ctandose de cual(uier "unto de acceso con el cual estuviese conectado&
%M& 0n la ventana de CommView ahora se muestran los detalles de los distintos nodos ;incluyendo las estaciones inalmbricas, con un
2cono distinto=& *nalice el trfico ca"turado abriendo las diferentes "esta<as ;Nodos, Canales, etc&=
1'%1
%#& *bra la "esta<a Pa1uetes y ahora "odr ver las tramas #$%&'' a medida (ue son ca"turadas& !or lo ,eneral en una red inalmbrica
hay mucho trfico de ,esti-n ;ej& beacon= y de control ;ej& *CI=& !ara ver 9nicamente el trfico de datos, active el "rimer filtro de los
tres (ue a"arecen en la barra de CommView y desactive los otros dos&
%E& !osiblemente el trfico de datos est: encri"tado con W0! o W!* y no se "ueda visualizar ni si(uiera la direcci-n 7! o el "uerto&
A$& !ara desencri"tar el trfico, en Comm%iew for Wi$i vaya a Preferencias : Cla0es W*P/WP-.
A'& *(u2 deber introducir las claves, si las conoce&
1'A1
A%& *hora "odr ver desencri"tados muchos de los nuevos "a(uetes a medida (ue son ca"turados& !eo en el caso de W!* es "osible
(ue no lo lo,re, ya (ue el "roceso es ms com"lejo y deber ca"turar tambi:n el momento en (ue el cliente se conecta al "unto de
acceso& *dems el "roceso de desencri"taci-n en tiem"o real consume muchos recursos del C!G y hace (ue se "ierdan "a(uetes& 0s
"referible ca"turar con tcpdump o airodump3n+, como se e4"lica ms adelante y en las ,u2as de las "rcticas sobre &e+uridad W*P y
&e+uridad WP-&
AA& )a versi-n de evaluaci-n de CommView no muestra el contenido de los cam"os del "rotocolo ;en formato he4adecimal y *8C77=,
en las tramas im"ares y en cambio a"arece el mensaje: *sta 0ersin de e0aluacin muestra solo la mitad de los pa1uetes. !ero
i,ualmente "uede ver esos datos si marca el "a(uete y con el bot-n derecho selecciona *n0iar : Pa1uete : &eleccionado.
AB& * menudo resulta 9til saber el tama<o de lo "a(uetes& *ctive esta o"ci-n mediante %er : Columnas de Pa1uetes : Tama;o&
AC& 6ajo %er hay % funciones interesantes: *stad,sticas e Informacin de #eferencia de Puertos& *nalice esa informaci-n&
AD& 8eleccione Preferencias : =pciones y e4"lore la informaci-n bajo las distintas "esta<as& 6ajo >eneral desactive Con0ertir 0alores
num?ricos de puertos y Con0ertir Direcciones IP a Nom"res de 6ost& *nalice c-mo cambia lo (ue se muestra en la ca"tura& !ulse F'
"ara invocar la ayuda conte4tual y entender mejor este "unto&
AM& 5ar(ue un "a(uete (ue "roven,a de su e(ui"o y con el bot-n derecho seleccione Crear -lias : @tilizando Direccin $,sica de
=ri+en& *ll2 "on,a (i PC& *nalice c-mo cambia lo (ue se muestra en la ca"tura& PCul es la ventaja de usar un alias a(u2Q
1'B1
A#& 8eleccione lue,o Crear -lias : @tilizando IP =ri+en& *ll2 "on,a (i IP& *nalice c-mo cambia lo (ue se muestra en la ca"tura&
PCul es la ventaja de usar un alias a(u2Q
AE& CommView "osee un "rctico sistema de filtros mediante re,las (ue hacen "osible descartar "a(uetes (ue no interesan o ca"turar
s-lo a(uellos im"ortantes& !or ejem"lo, "on,a la si,uiente re,la "ara ver s-lo el trfico >! saliente:
B$& 5ediante #e+las -0anzadas se "ueden crear filtros muy sofisticados utilizando f-rmulas y e4"resiones l-,icas&
1'C1
B'& 0scriba una re,la avanzada ;"or ejem"lo "ara ca"turar s-lo los "a(uetes mayores de '$$ bytes= y "ruebe si funciona&
B%& !are la ca"tura mediante el bot-n Detener Captura y "ulse el bot-n 'orrar ;con el 2cono de escoba= "ara eliminar los datos
ca"turados& ambi:n elimine los filtros (ue hab2a creado&
BA& Gna funci-n muy im"ortante (ue "oeen los sniffers como CommView, es la "osibilidad de recontruir una sesi-n C!& !ara "robar
esta funci-n, con:ctese a !ttpA//www.cant0.net, active la ca"tura y en la casilla "ara entrar al correo, introduzca un nombre ;ej&
0mendillo= y una contrase<a cual(uiera ;ej& a"c<95=&
BB& !are la ca"tura y "rese sobre un "a(uete >! ;"uerto #$=& Con el bot-n derecho seleccione #econstruir sesin TCP y analice el
resultado& rate de encontrar la contrase<a&
BC& Gna manera ms fcil de encontrarla es usando un filtro& !on,a entonces la si,uiente re,la:
BD& !rese ahora sobre un "a(uete cual(uiera y con el bot-n derecho seleccione -"rir Pa1ueteBsC en Nue0a %entana : Todo.
BM& 0n el %isor de #e+istro (ue a"arece, seleccione #e+las : -plicar y ahora se vern s-lo los "a(uetes (ue llevan la "alabra password,
"or lo (ue deber2a ser ms fcil encontrar la contrase<a& ;* menos (ue cantv&net haya decidido encri"tar las contrase<as con >!8,
como hace la mayor2a de los otros "roveedores de correo "or 7nternet=&
B#& .e"ita la ca"tura y b9s(ueda de contrase<a con otros "roveedores ;ej& >otmail, Lahoo, @mailK=& +o la "odr encontrar, ya (ue
"robablemente est encri"tada ;usualmente con >!8, (ue a su vez utiliza 88), &ecure &ocet 7a.er=& Com"ruebe (ue, sin embar,o,
el resto del trfico no est encri"tado y "uede reconstruir la sesi-n C!, viendo claramente el te4to&
BE& Com"ruebe (ue @mail encri"ta todo el trfico ya (ue utiliza a !ttpsA//+mail.+oo+le.com en vez (ue al tradicional
!ttpA//www.+mail.com&
C$& 0n la si,uiente e4"eriencia se va observar la fra,mentaci-n de data,ramas 7! mediante el comando "in,, enviando mensajes 7C5!
echo de "etici-n ;re1uest= de tama<o ,rande ;ej& '$$$$= bytes a una direcci-n e4terna ;ej& %$$&BB&A%&'%=& Ciertos ata(ues de ne,aci-n
de servicio ;/o8= se hacen con mensajes 7C5! de tama<o muy ,rande&
C'& 8eleccione el filtro 7C5! e inicie la ca"tura&
1'D1
C%& 0ntre las funciones ms interesantes de CommView est el "oder de crear "a(uetes o de reenviar cont2nua y r"idamente "a(uetes
"reviamente ca"turados, lo cual es muy 9til "ara simular ata(ues o "ara realizar "ruebas de stress bajo trfico intenso& !ara "robar esta
funci-n, mar(ue un "a(uete y con el bot-n derecho seleccione *n0iar Pa1uete. >,alo una sola vez y de forma continua, "ero ten,a
cuidado ya (ue "uede causar trastornos en la red& +ote (ue se muestra el contenido de las tramas aun(ue sean im"ares, lo cual "ermite
obviar la limitaci-n (ue tiene la versi-n de evaluaci-n de CommView&
CA& ambi:n "uede modificar el "a(uete antes de enviarlo& !ulse el bot-n en forma de L "ara as2 abrir el constructor de "a(uetes&
CB& )ue,o edite el cam"o (ue le interesa ;"or ejem"lo IP &ource=& /e esta forma "odr2a realizar un ata(ue ti"o IP &poofin+&
CC& Cuando usted modifica datos en un "a(uete, se "odr2a alterar la suma de che(ueo ;c!ecsum= y el "a(uete ser2a desechado en el
destino& !ara corre,ir el checksum, "ulse el bot-n &
1'M1
Seccin C: TCP!u$( ) TCPre(*+)
C!dum" es un "ro,rama clsico en )inu4 y cuya utilidad "rinci"al es analizar el trfico (ue circula "or la red& 8e a"oya en la librer2a
de ca"tura "ca", la cual "resenta una interfaz uniforme y (ue esconde las "eculiaridades de cada sistema o"erativo a la hora de
ca"turar tramas de red&
C!re"lay es una herramienta "ara )inu4 (ue "ermite reinyectar trfico en la red a "artir de las ca"turas efectuadas con C!dum"
o Wireshark& !uede ser muy 9til "ara efectuar "ruebas de estr:s, "or ejem"lo sometiendo un servidor Web a recibir un trfico "esado&
ambi:n "uede ser usado "ara "robar firewalls y sistemas de detecci-n de intrusos ;7/8=, ya (ue se "ueden modificar los encabezados
a nivel de ca"a %, A o B y simular ata(ues&
0n las si,uientes e4"eriencias se asume (ue est usando la distribuci-n Gbuntu de )inu4 o el )ive /V/ de 6ackrack, utilizado
"ara auditor2a de se,uridad& 8i no est familiarizado con )inu4, conuslte la ,u2a de la "rctica Confi,uraci-n y o"eraci-n de )inu4&
'& )o "rimero (ue debe decidir al usar C!dum", es la interfaz donde se va a ca"turar el trfico& !ara averi,uar las interfaces
dis"osibles, desde un terminal ejecute el comando ifconfi+, el cual muestra la lista de las interfaces activas, as2 como sus "arametros de
confi,uraci-n& )ue,o ejecute ifconfi+ 3a, el cual muestra la lista de todas las interfaces& 8i la interfaz inalmbrica est desactivada,
deber activarla ;como root= mediante:
D sudo ifconfi+ interfaz up
reem"lazando interfaz "or el nombre de la interfaz a"ro"iada ;ej& at!E o wlanE=&
%& 0l comando iwlist "ermite visualizar la lista de redes cercanas&
D sudo iwlist interfaz scan
donde interfaz es "or ejem"lo at!E o wlanE&
0l comando iwlist es "arte del "a(uete Wireless3tools (ue utilizan el *!7 de las Wireless *xtensions "ro"orcionado "or el kernel de
)inu4, "ara as2 confi,urar "armetros es"ec2ficos de las redes inalmbricas y obtener ciertas estad2sticas& 8e trata de un desarrollo de
c-di,o abierto "atrocinado "or >ewlett1!ackard&
A& 8e,uidamente "ruebe a ca"turar, ejecutando "or ejem"lo:
R sudo tcpdump 3i interfaz
reem"lazando interfaz "or el nombre de la interfaz a"ro"iada ;ej& at!E=&
B& 8i no se des"lie,a nada, "uede tratar usted mismo de ,enerar trfico visitando una ",ina Web y haciendo "in, a al,9n sitio& ome
en cuenta (ue en redes inalmbricas no va a "oder ca"turar nada si usted "reviamente no se conect- un "unto de acceso o a una red ad1
hoc& 0l trfico ca"turado muestra tramas 0thernet, no #$%&''&
C& !ara "arar la ca"tura, "ulse Control C& *nalice los datos ca"turados&
1'#1
D& !ara ca"turar y ver tramas #$%&'', debe "oner el ada"tador en modo monitor en vez de modo mana+ed, ejecutando los comandos:
D sudo ifconfi+ at!E down
D sudo iwconfi+ at!E mode monitor
+ota: 8i est o"erativa la utilidad Networ (ana+er ;la cual se usa "or ejem"lo en Gbuntu=, (uizs deba cerrarla ya (ue ella reactiva el
modo mana+ed.
0l comando iwconfi+ es "arte del "a(uete Wireless3tools (ue utilizan el *!7 de las Wireless *xtensions "ro"orcionado "or el kernel de
)inu4, "ara as2 confi,urar "armetros es"ec2ficos de las redes inalmbricas y obtener ciertas estad2sticas& )a sinta4is ,eneral de este
comando es:
iwconfi+ interfaz accin parmetro
*l,unos ejem"los:
D sudo iwconfi+
5uestra informaci-n sobre los distintos ada"tadores de red ;ej: lo, eth$, eth', ath$, wlan$=& 8e "uede ver el nombre de red ;0887/=, la
direcci-n 5*C del "unto de acceso (ue se est utilizando, el nivel de la se<al y al,unas cosas ms& !or lo ,eneral el sistema detecta el
"unto de acceso ms ?cercano? y en forma "redeterminada y trata de conectarse con :l& 8i el ada"tador no es inalmbrico o si el
m-dulo no se car,- correctamente, a"arece al lado el mensaje: no wireless extensions& 2"icamente a"arecen al menos % interfaces: lo
y et!E& )a "rimera es es el lazo local ;loop"ac= y la se,unda es la interfaz 0thernet connvencional "ara )*+ cableada& 8i hay un
ada"tador inalmbrico, "uede a"arecer la interfaz como wlanE, at!E, wifiE, et!<& )a interfaz ath$ "or lo ,eneral corres"onde a un
ada"tador inalmbrico con chi" *theros y manejado "or un driver o m-dulo madwifi ;(ulti"and -t!eros Dri0er for Wi$i=& )os
ada"tadores con el chi" -t!eros son los ms recomendables "ara )inu4 y se encuentran en varios "roductos de Cisco, !ro4im, etc& 8i
el ada"tador inalmbrico de su !C ha sido reconocido "or Gbuntu, deber2a a"arecer en la lista de interfaces& 8i no le a"arece nin,una
interfaz inalmbrica ;ej& wlanE, at!E, wifiE, et!<=, (uizs "or(ue se trate de un ada"tador G86, entonces deber buscar en 7nternet
al,una soluci-n "ara (ue funcione&
D sudo iwconfi+ at!E mode Fad!oc, mana+ed, master, monitorG
Gn ada"tador inalmbrico "uede trabajar en varios modos (ue determinan la forma en (ue se comunica con los dems e(ui"os de la
red& !or ejem"lo, un "unto de acceso trabaja en modo master y la com"utadora deber utilizar el modo mana+ed "ara conectarse con
ese "unto de acceso& 0l modo ad3!oc se utiliza cuando se (uiere establecer comunicaci-n con otro e(ui"o directamente, sin necesidad
de un "unto de acceso intermedio& 0l modo monitor es 9til "ara ca"turar en el aire "a(uetes #$%&'' con herramientas como C!dum"
y Wireshark& 8i dis"one de un ada"tador inalmbrico con chi" *theros, "osiblemente a"arezcan % interfaces "ara ese ada"tador: at!E y
wifiE& 0ste es debido a (ue madwifi maneja interfaces inalmbricas virtuales, (ue se "ueden crear y destruir a "artir de la interfaz real
wifiE& )a interfaz ath$ es virtual y o"era en en el modo mana+ed.
M& Con Gbuntu "osiblemente obten,a un error si est utilizando un ada"tador con chi" *theros junto con el driver madwifi ;(ulti"and
-t!eros Dri0er for Wi$i=, ya (ue hay % o ms interfaces ;ej& ath$, wifi$=, varias de la cuales ;ej& ath$= son V*! ; %irtual -ccess Point=&
0n tal caso debe ejecutar lo si,uiente:
D sudo aptitude install madwifi3tools ;re(uiere cone4i-n a 7nternet=
D sudo ifconfi+ at!E down
D sudo iwconfi+ at!E mode monitor
D sudo ifconfi+ at!E up
#& Verifi(ue si ath$ efectivamente se "uso en modo monitor ;aun(ue (uizs ahora ten,a otro nombre, ej& ath'=&
D sudo iwconfi+
E& Con el chi" *theros a veces no se lo,ra "oner el ada"tador en modo monitor y entonces hay (ue recurrir con los si,uientes
comandos:
D sudo wlanconfi+ at!E destro.
D sudo wlanconfi+ at! create wlande0 wifiE wlanmode monitor
1'E1
'$& !osiblemente a"arezca la misma interfaz ath$ o una nueva interfaz ;ej& at!<= en modo monitor& !uede obli,ar a esa interfaz "ara
(ue o"ere en modo monitor y en un dado canal ;ej& D=&
D sudo iwconfi+ at!E mode monitor c!annel 4
''& Finalmente debe levantar la interfaz mediante el comando:
D sudo ifconfi+ at!E up
'%& 8i dis"one de una la"to" con ada"tador Centrino AEBC, (uizs no lo,re "onerlo en modo monitor& 8i est usando 6ackrack en vez
de Gbuntu, "ruebe con los si,uientes comandos:
H modpro"e 3r iwl5IJK
H modpro"e ipwraw
'A& Gna vez en modo monitor, ya "uede ca"turar tramas 7000 #$%&'' con C!dum" ;o Wirshark, como se e4"lica en la si,uiente
secci-n=& !ara establecer el tama<o de las tramas a ca"turar en tc"dum", se usa 3s size& !or defecto tc"dum" s-lo ca"tura los "rimeros
D# bytes, lo cual es 9til si lo 9nico (ue se (uiere son las cabaceras 7!, C! o G/!& !or ejem"lo, "ara ca"turar toda la trama, se "uede
usar 3s E&
'B& 0n funci-n de la cantidad de detalles (ue se (uieran visualizar con tc"dum", se "uede usar 1v,1vv,1vvv, aumentando el ,rado de
informaci-n con cada una de las o"ciones&
'C& *l,o muy im"ortante con C!dum" es el uso de filtros, "ermitiendo eliminar los "a(uetes (ue no interesan& 0jem"lo: Ca"turar el
trafico cuya 7! de ori,en sea 'E%&'D#&'&':
H sudo tcpdump 3i at!E src !ost <I9.<4L.<.<
'D& !ara enviar los datos a un archivo en vez (ue a la "antalla, a,re,ue al comando anterior la o"ci-n 3w se,uido "or el nombre del
archivo ;ej& Captura<.cap=&
'M& !ara ver todas las o"ciones de uso de C!dum", ejecute tcpdump 33!elp o man tcpdump
'#& Como habr observado, C!dum" es muy "oco ami,able, ya (ue no "osee una interfaz ,rfica, "or lo (ue el trfico ca"turado con
C!dum" se suele analizar lue,o con Wireshark ;o ca"turarlo directamente con Wireshark lue,o de haber "uesto el ada"tador en
modo monitor=& !ara a"render a utilizar Wireshark, "rosi,a con la si,uiente secci-n&
Seccin D: Wire,-+r. /(cin+*0
0l "o"ular Wireshark es un sniffer ms "oderoso y fle4ible (ue CommView for WiFi, "ero menos ami,able, lo cual si,nifica (ue es
un "oco ms d2ficil de a"render a usarlo en todos sus detalles& Gna im"ortante ventaja es (ue es ,ratuito y o"era bajo diferentes
sistemas o"erativos& )amentablemente, si usted va a utilizar Wireshark bajo Windows, no "odr ca"turar y ver tramas #$%&'', ya (ue
"ara eso el ada"tador inalmbrico debe estar en modo monitor ;y no es fcil bajo Windows=& )o (ue "odr2a hacer es conectarse un
"unto de acceso o a una red ad1hoc y ver el trfico como tramas 0thernet, lo cual no es interesante "ara esta "rctica& !or tal raz-n es
conveniente utilizar Wireshark bajo )inu4, "oniendo "reviamente el ada"tador inalmbrico en modo monitor, tal como se e4"lic- en la
secci-n anterior& Otra "osibilidad es utilizar un )ive /V/ como 6ackrack, (ue o"era bajo )inu4 y trae Wireshark incor"orado&
'& Consulte el libro Practical Pacet -nal.sis (ue se encuentra en la car"eta Captura2Wires!ar del /V/ y eventualmente visite el
sitio de adiestramiento Wireshark Gniversity&
%& 8i est usando Windows, instale Wireshark desde la car"eta Captura2Wires!ar del /V/& )a 9ltima versi-n de Wireshark se
obtiene de htt":33www&wireshark&or,. /urante la instalaci-n instale WinPcap, (ue es el driver (ue "ermite ca"turar trfico bajo
Windows& )ue,o corra Wireshark mediante Inicio : Pro+ramas : Wires!ar.
A& 8i en cambio est usando Gbuntu, entonces Wireshark no est "reinstalado y debe instalarlo& 8i usted dis"one de una cone4i-n a
7nternet, el sistema busca en los re"ositorios todos archivos necesarios, los baja y los instala& !ara tal fin desde el men9 seleccione
&istema : -dministracin : >estor de pa1uetes &.naptics. 0n Confi+uracin : #epositorios, active &oftware li"re mantenido por la
comunidad& !ulse #ecar+ar. )ue,o ha,a clic en 'uscar e introduzca el nombre de la a"licaci-n ;wireshark=& Gna vez encontrados los
1%$1
diferentes "a(uetes re(ueridos "roceda a su descar,a e instalaci-n mediante -plicar& )ue,o corra Wireshark desde -plicaciones :
Internet : Wires!ar Bas rootC.
B& /esde el men9 de o"ciones de Wireshark seleccione $iles : =pen "ara as2 abrir un archivo de muestra de datos ca"turados ubicado
en la car"eta #edes Inalm"ricas2(uestras Wi$i del /V/& !uede em"ezar con Demo.apc, (ue contiene una ,ran variedad de trafico
no encri"tado ;cone4i-n web a www&wild"ackets&com, elnet, "in, a wild"ackets&com, F! desde ftp.wildpacets.com, b9s(ueda en
www.+oo+le.com& ambi:n hay trfico de ,esti-n de y control& 0n #eadme.!tm hay una descri"ci-n de las otras muestras de datos
ca"turados ;*ssociation&a"c, >!1W0!&a"c, >!1GnW0!&a"c, 0)+01W0!&a"c, 0)+01GnW0!&a"c=& !or ahora no se
deten,a mucho tiem"o a entender la informaci-n (ue muestra Wireshark&
C& )a "antalla muestra A cuadros ;panes=& 0l su"erior contiene una lista de las tramas ca"turadas con un resumen de su contenido&
0l cuadro su"erior muestra en cada fila una trama ca"turada, con un resumen de sus caracter2sticas ;direcci-n de ori,en y destino,
tama<o, tiem"o, etc&=& >aciendo clic sobre una trama, se muestran sus detalles en los otros % cuadros& 0n la trama M se revela
claramente la contrase<a ;a"c<95= de inicio de la sesi-n !O!&
0l cuadro del medio muestra ms detalles de una trama (ue se haya seleccionado, a nivel de las diferentes ca"as de los "rotocolos
;Frame, 0thernet, 7!, C!, elnet=& +-tese (ue el orden de los "rotocolos est invertido, em"ezando "or el ms bajo, esto es
Frame&
0l cuadro inferior muestra el contenido de los cam"os del "rotocolo, en formato he4adecimal y *8C77&
D& 8eleccionando %iew : *xpand -ll, e4"anda la estructura de los "rotocolos "ara as2 observar mejor todos los detalles&
M& 8eleccionando %iew : Time Displa. $ormat active la o"ci-n Time of Da. ;o Date and Time of Da.= a fin de (ue se muestre el
tiem"o absoluto de la ca"tura en vez del tiem"o relativo ;&econds &ince 'e+innin+ of Capture=&
#& *bra ahora el archivo Contrase;a !ttp.apc& *l,unos de los e(ui"os involucrados en la transmisi-n tienen las si,uientes direcciones
5*C:
)inksys G86 Wireless *da"ter N $$:$C:B':FC:%':''
Fterasys G86 Wireless *da"ter N $$:0$:E#:C0:C%:*/
85C !C5C7* Wireless *da"ter N $$:$B:0%:*A:C0:C*
Camara Wi1Fi N $$:$F:DD:M*:*C:D%
1%'1
.outer )inksys, "uerto )*+ N $$:$F:DD:C'&AD:D%
.outer )inksys, "uerto W*+ N $$:$F:DD:C':AD:DA
.outer )inksys, "uerto W)*+ N $$:$F:DD:C':AD:DB
E& Gna funci-n muy im"ortante (ue "oeen los sniffers, es la "osibilidad de recontruir una sesi-n C! y buscar datos mediantes filtros
;re,las=& !rese sobre el "a(uete O%DM (ue corres"onde a usa sesi-n >! ;"uerto #$=& Con el bot-n derecho seleccione $ollow TCP
&tream&
'$& 0n la nueva ventana (ue se abre seleccione *ditar : 'uscar e introduzca Password. /eber2a a"arecer claramente la contrase<a
a"c<95.
''& *bra el archivo Contrase;a $TP.apc (ue se encuentra en la car"eta #edes Inalm"ricas2(uestras Wi$i del /V/& Contiene las
ca"tura de una sesi-n F! ;$ile Transfer Protocol=& Vaya al al "a(uete ODC y con el bot-n derecho seleccione $ollow TCP &tream&
*nalice el resultado&
'%& *bra el archivo Contrase;a P=P.apc (ue se encuentra en la car"eta #edes Inalm"ricas2(uestras2Wi$i del /V/& Contiene las
ca"tura de sesiones de corre" electr-nico mediante 85! y !O!A& Vaya al al "a(uete OM% y con el bot-n derecho seleccione $ollow
TCP &tream&
'A& Gna vez (ue se haya familiarizado con la estructura de las tramas #$%&&'' y se"a usar Wireshark, "uede em"ezar a ca"turar trfico
en vivo& 0l trfico ca"turado muestra tramas 0thernet, no #$%&''& 8eleccione entonces Capture : =ptions. 8e abrir una ventana (ue
"ermite definir las o"ciones de la ca"tura& 0n "rimer lu,ar seleccione la interfaz (ue va a utilizar&
1%%1
'B& Con un ada"tador inalmbrico debe desactivar la o"ci-n Capture pacets in promiscous mode& ome en cuenta (ue en redes
inalmbricas, no va a "oder ca"turar nada si usted "reviamente no se conect- un "unto de acceso o a una red ad1hoc, a menos (ue haya
lo,rado "oner la interfaz en modo monitor, como ya se e4"lic- en la &eccin CA TCPdump . TCPrepla.& 0sto no es usualmente
"osible usando Wireshark bajo Windows& *ctive la o"ci-n @pdate lists of pacets in real time, ya (ue de otro modo los datos se
env2an a un buffer y s-lo se ven al "arar la ca"tura ;esto ser2a conveniente si hay mucho trfico y entonces la !C "odr2a
sobrecar,arse=& *ctive -utomatic scrollin+ in li0e capture y 6ide capture info dialo+& 8i activa 7imit eac! pacet to 4L ".tes,
solamente va a ca"turar el inicio de las tramas, es decir los encabezados, ya (ue los datos del usuario a menudo no son relevantes "ara
dia,nosticar "roblemas& *dems as2 se reduce la car,a sobre la com"utadora& 8i desactiva las o"ciones Name #esolution, no se
traducen direcciones num:ricas ;5*C, 7!, "uertos= a nombres ;"or ejem"lo, interro,ando el /+8=& /e esta forma el des"lie,ue en
"antalla es mucho ms r"ido y hay menos "osibilidad de (ue se "ierdan al,unas tramas&
'C& Finalmente "ulse &tart y si hay trfico, deber2a em"ezar a llenarse la "antalla de datos ca"turados en tiem"o real& !uede "arar la
ca"tura mediante Capture : &top&
'D& !osiblemente el trfico est: encri"tado con W0! o W!* y no se "ueda visualizar ni si(uiera la direcci-n 7! o el "uerto& !ara
desencri"tar el trfico, vaya a *dit : Preferences. *(u2 seleccione Protocols en la columna iz(uierda y nave,ue hasta I*** LE9.<<.
7ntroduzca las claves, si las conoce, active la casilla *na"le decr.ption y "ulse -ppl..
1%A1
'M& *hora "odr ver desencri"tados muchos de los nuevos "a(uetes a medida (ue son ca"turados& !ero en el caso de W!* es "osible
(ue no lo lo,re, ya (ue el "roceso es ms com"lejo y deber ca"turar tambi:n el momento en (ue el cliente se conecta al "unto de
acceso& *dems el "roceso de desencri"taci-n en tiem"o real consume muchos recursos del C!G y hace (ue se "ierdan "a(uetes& 0s
"referible ca"turar con tcpdump o mejor a9n con airodump3n+, como se e4"lica en las ,u2as de las "rcticas sobre &e+uridad W*P y
&e+uridad WP-&
'#& 8i se ha entusiasmado con el uso de Wireshark "ara es"iar contrase<as, ten,a en cuenta (ue es una actividad il2cita, "enada "or la
)ey contra /elitos 7nformticos& 5s bien deber2a a"render a usar Wireshark "ara com"render mejor c-mo o"eran las redes de
comunicaci-n y a dia,nosticar "roblemas causados "or fallas o con,esti-n& )a o"ci-n &tatistics en el men9 "ro"orciona valiosa
informaci-n "ara este fin&
'E& !ruebe a a"licar un filtro a los datos ca"turados& )a e4"resi-n "ara el filtro se escribe en la casilla su"erior de la "antalla ; $ilter= y
deben usarse min9sculas& )os si,uientes son otros ejem"los de filtros:
tcp.portMM9<
ip.addrMM9EN.J4.<55.<JE
ip.addrOM9EN.J4.<55.<JE
ip.addrMM9EN.J4.<55.<JE or ip.addrMM<I9.<.<.<
ip.addrMM9EN.J4.<55.<JE and tcp.fla+s.s.n
ip.addrMM9EN.J4.<55.<JE and not tcp.portMMLE
frame.ptPlenQ<9L
ip.len le <KEE
et!.src MMELAEEAEIA<KAcaAfe
0l s2mbolo de admiraci-n S si,nifica ne,aci-n ;not=& 0n lu,ar de SN se "uede usar la notaci-n abreviada ne ;not e(ual=& )a si,uiente es
una lista de o"eradores:
e1, MM e1ual
ne, OM not e1ual
+t, R +reater t!an
lt, Q less t!an
+e, RM +reater t!an or e1ual to
le, QM less t!an or e1ual to
+ote (ue los dos filtros si,uientes no dan el mismo resultado:
1%B1
ip.addr ne 9EN.J4.<55.<JE ;no "asa nada=
not ip.addr e1 9EN.J4.<55.<JE ;elimina todo=
0l "rimer filtro dice: Tmostrar las tramas con una direccin IP no i+ual a 9EN.J4.<55.<JEU& 0s decir (ue basta (ue al,una de las
direcciones 7! ;ori,en o destino= de la trama no sea i,ual a 'E%&'D#&B&', "ara (ue la trama "ase "or el filtro&
0l se,undo filtro dice: Tno mostrar las tramas 1ue posean al+una direccin IP i+ual a 9EN.J4.<55.<JE,U 0s decir (ue basta (ue
al,una de las direcciones 7! ;ori,en o destino= sea i,ual a %$M&BD&'AA&'B$, "ara (ue la trama no "ase "or el filtro&
%$& 0l si,uiente filtro muestra s-lo las tramas #$%&'' de datos, e4cluyendo las de control y de ,esti-n:
wlan.fc.t.pe MM9
)as tramas de ,esti-n son de ti"o $ y las de control de ti"o '&
%'& 0l si,uiente filtro muestra s-lo las tramas #$%&'' (ue funcionan como faro:
wlan.fc.t.pePsu"t.pe MM L

%%& 0l si,uiente filtro muestra s-lo las tramas #$%&'' de ,esti-n (ue llevan el nombre de "unto de acceso:
wlanPm+t.ssid MMSW7-N3%(S
%A& 0l si,uiente filtro elimina los !robe .e(uest, !robe .es"onse y 6eacon:
OBwlan.fc.t.pe MM E and wlan.fc.su"t.pe MM JC and OBwlan.fc.t.pe MM E and wlan.fc.su"t.pe MM KC and OBwlan.fc.t.pe MM E and
wlan.fc.su"t.pe MM LC
Seccin E: In'r$e
0labore un informe de no menos de # ",inas donde se re"ortan las e4"eriencias ms relevantes, se analizan los resultados obtenidos,
finalizando con conclusiones y eventuales recomendaciones&
0l informe debe ser individual y redactado con "alabras "ro"iasV no se "ermite re"etir el te4to del material (ue se encuentra en esta
,u2a, en el /V/ o en otras fuentes& /ebe contener un resumen de las actividades realizadas, con ejem"lo de resultados& /eben
analizarse y discutirse esos resultados, en "articular si se "resentaron "roblemas o as"ectos ines"erados& ambi:n deben incluirse las
conclusiones y eventuales recomendaciones&
)os informes deben enviarse re,ularmente al "rofesor a lo lar,o del curso, mediante el correo electr-nico& 8ern "enalizadas las
entre,as retrasadas y no se ace"tarn entre,as muy retrasadas& *dems +O se ace"tarn informes entre,ados todos juntos los 9ltimos
d2as de finalizaci-n del curso&
1%C1
De,cri(cin !e *, (rtc*, TCP1IP
en Redes de Computadoras
(r An!re& S" T+nenb+u$
Prentice:2+**3 1445
Varios "rotocolos de la familia C!37! suministran los servicios de bajo nivel, corres"ondientes a las tres ca"as inferiores del stackV
estos incluyen C!, G/!, 7C5! e 7!& Otros "rotocolos de la familia C!37! estn orientados a las ca"as su"eriores, de a"licaci-n y
"resentaci-n, y estn diri,idos a tareas o servicios es"ec2ficos como correo electr-nico ;85!, !O!A=, transferencia de archivos
;F!=, acceso remoto ;elnet= y acceso al Web ;>!=&
* continuaci-n se hace una breve descri"ci-n de los "rotocolos ms im"ortantes de las ca"as inferiores, de acuerdo al es(uema de
la fi,ura ', (ue ilustra el stack de "rotocolos de un host conectado a una red 0thernet "or medio de una tarjeta de interfaz ;+7C=&
Fi,ura '& 0nca"sulamiento de "rotocolos en C!37!
Ca"a de enlace: 0thernet
!ara redes locales ;)*+= actualmente la tecnolo,2a ms "o"ular a nivel de la ca"a de enlace es 0thernet& 0l estndar #$%&A difiere de
0thernet en el sentido de (ue describe una familia com"leta de sistemas, o"erando a velocidades (ue van desde ' a '$$$$ 5bit3s sobre
varios medios f2sicos ;cobre, f2bra=&
)a estructura bsica de las tramas utilizadas en 0thernet y en #$%&A se muestra en la fi,ura %& Cada trama comienza un prem"ulo
de M bytes cada uno con el "atr-n de bits '$'$'$'$ a fin de "ermitir (ue el reloj del rece"tor se sincronice con el del transmisor&
/es"u:s, viene el delimitador (ue contiene el "atr-n '$'$'$'' y (ue denota el inicio efectivo de la trama&
Gna trama contiene dos direcciones, una de ellas es "ara el destinatario y la otra "ara la fuente& 8e utilizan direcciones de D bytes,
es decir B# bits& 0l bit de mayor orden en la direcci-n del destinatario, corres"onde a un $, en las direcciones ordinarias, y un ' "ara las
direcciones de ,ru"o& )as direcciones de ,ru"o autorizan a m9lti"les estaciones "ara escuchar en una sola direcci-n& Cuando se env2a
una trama a una direcci-n ,ru"al, todas las estaciones del ,ru"o la reciben& )a transmisi-n a un ,ru"o de estaciones se denomina
difusi-n restrin,ida ;multicast=& )as direcciones (ue tienen todos los bits a ' estn reservadas "ara difusi-n ,eneral ; "roadcast=& Gna
trama (ue tiene 9nicamente valores de ' en su cam"o destinatario, se env2a a todas las estaciones de la red&
1%D1
Fi,ura %& 0structura de las tramas 0thernet y #$%&A
0l cam"o de lon+itud ;len,th= indica cuntos bytes "resentes en el cam"o de datos, desde un m2nimo de $ hasta un m4imo de 'C$$&
*un(ue un cam"o de datos de $ bytes es le,al, ori,ina un "roblema& !or ejem"lo, cuando un transmisor:rece"tor detecta una colisi-n,
trunca la trama (ue se est transmitiendo, "or lo cual (uiere decir (ue, en el cable a"arecern "edazos de tramas y bits "arsitos& !ara
sim"lificar la distinci-n entre las tramas (ue son vlidas debern tener "or lo menos una lon,itud de DB bytes, desde la direcci-n
destinataria hasta el c-di,o de redundancia& 8i la "arte de datos corres"ondiente a una trama es menor de BD bytes, el cam"o de relleno
se utilizar "ara llenar la trama al tama<o m2nimo re(uerido& Otra de las razones "ara atener una trama de lon,itud m2nima es con
objeto de evitar (ue una estaci-n com"lete la transmisi-n de una trama corta, antes de (ue el "rimer bit haya alcanzado el e4tremo
final del cable, donde "odr2a sufrir una colisi-n con al,una otra trama& )as tramas (ue contienen menos de DB bytes se consideran
fra,mentos resultante de al,una colisi-n y deben ser descartadas ;se les llama runts, mientras (ue a las tramas ms lar,as del l2mite
le,al se le llama )a""ers=&
0s o"ortuno hacer notar (ue usualmente las tramas (ue se utilizan con C!37! son 0thernet y no #$%&A& )a diferencia "rinci"al es
(ue en 0thernet el cam"o de lon,itud no se usa "ara tal fin, sino "ara identificar el ti"o de "rotocolo de la ca"a su"erior mediante un
n9mero ;ty"e=& !or ejem"lo, si lleva 7!, entonces el n9mero es $#$$ en he4adecimal&
0l cam"o final ;$C&, frame c!ec se1uence= corres"onde al c-di,o de redundancia ciclico ;C.C=& 0s un c-di,o es"ecial de A% bits
(ue "ermite detectar errores en los datos, "or ejem"lo debido al ruido en el cable&
Ca"a de enlace: !!!
0l "rotocolo "ara cone4iones "unto a "unto ;!!!= es una soluci-n muy "o"ular "ara trans"ortar trfico ;incluyendo 0thernet= entre dos
sitios, "or ejem"lo entre la casa y el "rovedor de acceso a 7nternet ;78!= v2a modem&
)a estructura de la trama !!! es muy "arecida a la trama >/)C y se muestra en fi,ura A&
Fi,ura B& 0structura de la trama !!!
)a bandera ;$la+= indica el inicio y el final de la trama& )os cam"os -ddress y Control T Normalmente no se utilizan& 0l cam"o
Protocol lleva el c-di,o del "rotocolo enca"sulado, de acuerdo al .FC 'M$$& 0l cam"o Pa.load lleva los datos del "rotocolo
enca"sulado y su lon,itud m4ima es de 'C$$ bytes& 0l cam"o C!ecum lleva el c-di,o "ara detectar errores ;C.C=&
Ca"a de red: 7!
!asando ahora a la ca"a encima de la ca"a de enlace, all2 nos encontramos con data,ramas 7! (ue contienen una cabecera con los
si,uientes cam"os: versi-n, 7>), ti"o de servicio, lon,itud total, identificaci-n, marcadores, des"lazamiento del fra,mento, tiem"o de
vida, "rotocolo, suma de com"robaci-n de la cabecera, direcci-n de ori,en, direcci-n de destino, o"ciones y relleno&
1%M1
Fi,ura C& >eader 7!
%ersinA 0ste cam"o "ro"orciona informaci-n sobre la versi-n de 7! (ue se ha utilizado "ara construir el "a(uete& 0l estndar
actual es 7! versi-n B y en el futuro tendremos 7! versi-n D&
I67A 0ste n9mero es la lon,itud total de la cabecera, en unidades de B bytes& )a lon,itud m2nima de una cabecera 7! es C, o un total
de %$ bytes&
Tipo de ser0icio: 0ste cam"o "ermite solicitar una determinada calidad en la transmisi-n& 0n funci-n del ti"o de red "or la (ue
est:n viajando los datos, este cam"o "uede ser utilizado o i,norado& !or ejem"lo, confi,urando adecuadamente este cam"o, se
"ueden solicitar una ruta con low dela. ;bajo retardoC, !i+! t!rou+!put ;alto caudal= o !i+! relia"ilit. ;alta confiabilidad=&
7on+itud totalA )a lon,itud total del "a(uete (ue se env2a&
IdentificacinA Gtilizado "ara ensamblar los "a(uetes fra,mentados&
IndicadoresA 0stos indicadores se utilizan "ara determinar si un "a(uete es un fra,mento de un "a(uete mayor o si se "uede
fra,mentar&
Deplazamiento del fra+mento BoffsetC: 7ndica la "osici-n del fra,mento con res"ecto al "a(uete ori,inal no fra,mentado&
Tiempo de 0idaA 0ste byte re"resenta el tiem"o de vida de un "a(uete& Consiste en un 9nico byte, (ue almacena un determinado
n9mero en se,undos& 0n cada dis"ositivo "or el (ue "ase el "a(uete, una enrutador o "asarela "or ejem"lo, este valor se ha de
decrementar en al menos una unidad&
ProtocoloA 0ste cam"o indica el "rotocolo (ue fue utilizado en la "arte de datos del "a(uete, "or ejem"lo C! o G/!&
&uma de compro"acin de la ca"eceraA 0ste n9mero re"resenta una verificaci-n, (ue ase,ura (ue la informaci-n contenida en la
cabecera si,ue inalterada&
Direccin ori+en/destinoA 0stos d2,itos constituyen las direcciones 7! de A% bits "ara identificar a las m(uinas a trav:s de los
distintos se,mentos de una red&
=pcionesA )as o"ciones "ueden contener diversos datos, entre otros informaci-n de enrutamiento& 0s "osible llevar un re,istro de
la ruta (ue tome un "a(uete, a medida (ue viaje a trav:s de la red, confi,urando una o"ci-n de este cam"o&
#ellenoA )a cabecera 7! debe ser divisible en unidades de B bytes ;A% bits=& !ara ase,urar (ue la cabecera cum"le esta condici-n se
a<aden ceros al final de la misma&
Ca"a de red: 7C5!
*dems del 7!, (ue se usa "ara la transferencia de datos, C!37! tiene varios "rotocolos de control (ue se usan en la ca"a de red,
incluidos 7C5!, *.!, y .*.!& )a o"eraci-n de 7nternet es su"ervisada cuidadosamente "or los enrutadores& *7 ocurrir al,o
ines"erado, el 7C5! ;Internet Control (essa+e Protocol= informa del suceso& 8e han definido un ,ran n9mero de ti"os de rnensajes
7C5!, "or ejem"lo 0C>O ;conocido como "in,=, (ue tambi:n se usa "ara "robar la conectividad& Cada ti"o de mensaje de 7C5! se
enca"sula en un "a(uete 7!& )os ms im"ortantes se listan a continuaci-n&
$: 0cho re"ly
A: /estination unreachable
B: 8ource (uench
C: .edirect
#: 0cho
E: .outer advertisement
'$: .outer solicitation
'': ime e4ceeded
'%: !arameter "roblem
'A: imestam" re(uest
1%#1
'B: imestam" re"ly
'C: 7nformation re(uest ;obsolete=
'D: 7nformation re"ly ;obsolete=
'M: *ddress mask re(uest
'#: *ddress mask re"ly
A$: raceroute
A': /ata,ram conversion error
A%: 5obile host redirect
AA: 7!vD Where*reLou
AB: 7!vD 7*m>ere
)os mensajes ti"o # de solicitud de echo ;*c!o re1uest= y ti"o $ de res"uesta al echo ;*c!o repla.= sirven "ara ver si un destino dado
es alcanzable y est vivo ;"in,=& 8i el cam"o Code es $ si,nifica (ue no hay "roblemas& Identifier es un n9mero invariable (ue
identifica a la m(uina de ori,en& &e1uence num"er es un n9mero variable (ue lo ,enera la m(uina de ori,en "ara diferenciar los
mensajes
Fi,ura D& >eader 7C5! ti"o 0C>O
0l mensaje /estino inalcanzable ;Destination unreac!a"le= se usa cuando la subred o un enrutador no "ueden ubicar el destino& 0l
cam"o Code "ara mensajes ti"o A ;destino inalcanzable=, contiene uno de los si,uientes valores:
$: +etwork unreachable
': >ost unreachable
%: !rotocol unreachable
A: !ort unreachable
B: Fra,mentation needed but the /o +ot Fra,ment bit was set
C: 8ource route failed
D: /estination network unknown
M: /estination host unknown
#: 8ource host isolated ;obsolete=
E: /estination network administratively "rohibited
'$: /estination host administratively "rohibited
'': +etwork unreachable for this ty"e of service
'%: >ost unreachable for this ty"e of service
'A: Communication administratively "rohibited by filterin,
'B: >ost "recedence violation
'C: !recedence cutoff in effect
0l mensaje de iem"o e4cedido ;Time exceeded= se env2a cuando un "a(uete se descarta debido a (ue su contador lle,a a cero&
0ste suceso es un s2ntoma de (ue los "a(uetes estn en ciclo, de (ue hay un con,estionamiento enorme, o de (ue los valores de
tem"orizaci-n son demasiado bajos&
0l mensaje de !roblema de "armetro ;Parameter pro"lem= indica (ue se ha detectado un valor ile,al en un cam"o de cabecera&
0ste "roblema indica una falla en el software de 7! del host, o "osiblemente en el software de un enrutador transitado&
0l mensaje 8u"resi-n de ori,en ;&ource 1uenc!= se usaba antes "ara controlar a los hosts (ue enviaban demasiados "a(uetes& *l
recibir un host este mensaje, se es"eraba (ue se refrenara& 0ste mensaje se usa "oco en la actualidad "or(ue, al ocurrir
con,estionamientos, estos "a(uetes tienden a echarle ms le<a al fue,o& 0l control de con,estionamiento de 7nternet se hace ahora en
,ran medida en la ca"a de trans"orte&
0l mensaje de .edireccionamiento ;#edirect= se usa cuando un enrutador se da cuenta de (ue un "a(uete "arece estar mal enrutado
y el enrutador lo usa "ara indicar al host transmisor el "osible error&
)os mensajes 8olicitud de marca de tiem"o ;Timestamp re1uest= y .es"uesta de marca de tiem"o ;Timestamp repl.= son "arecidos,
e4ce"to (ue el tiem"o de lle,ada del mensaje y el tiem"o de "artida de la res"uesta se re,istran en ln res"uesta& 0ste recurso se em"lea
"ara medir el desem"e<o de la red&
Ca"a de trans"orte: C! y G/!
* nivel de esta ca"a tenemos se,mentos C! ;Transmission Control Protocol= o G/! ;@ser Data+ram Protocol=& G/! es muy
im"ortante hoy, ya (ue se utiliza mucho en voz sobre 7! ;Vo7!= y en otras a"licaciones& )a diferencia fundamental entre G/! y C!
1%E1
es (ue G/! no "ro"orciona necesariamente transmisiones de datos confiables& /e hecho, el "rotocolo no ,arantiza (ue los datos
lle,uen a su destino& *un(ue esto "uede "arecer un re(uerimiento e4tra<o "ara un "rotocolo, en realidad es muy 9til& Cuando la
finalidad de un "ro,rama es transmitir la m4ima informaci-n en el menor tiem"o "osible, y cada elemento de datos carece relativa1
mente de im"ortancia, se utiliza G/!& !or ejem"lo, las a"licaciones (ue transmiten v2deo estn interesadas en enviar el flujo de v2deo
a su destino tan r"ido como "uedan& +o tiene demasiada im"ortancia si uno o dos "24eles se "ierden, sino (ue el v2deo se ,enere lo
ms suave y fluido "osible& 0ste ti"o de comunicaciones tambi:n se em"lea en muchos jue,os de 7nternet& Cuando ju,amos con otras
"ersonas "or 7nternet, es "oco "robable (ue todos los elementos de informaci-n sobre la "osici-n sean im"rescindibles "ara (ue el
jue,o funcione adecuadamente, "or lo (ue los datos se env2an lo ms r"ido "osible y lo (ue no 7le,a en su formato ori,inal se
descarta& 5uchos "ro,ramas utilizan cone4iones se"aradas C! y G/! )a informaci-n im"ortante sobre el estado se env2a a trav:s de
una cone4i-n C! confiable, mientras (ue el flujo de datos "rinci"ales se env2a "or G/!&
0l "ro"-sito de C! es "ro"orcionar transmisiones de datos (ue "uedan ser consideradas confiables y mantener una cone4i-n
virtual entre dis"ositivos o servicios (ue est:n hablando entre s2& C! es res"onsable de la recu"eraci-n de datos en caso de (ue los
se,mentos se reciban de forma no secuencial, o si se "roduce al,9n ti"o de corru"ci-n durante la entre,a& 0sta recu"eraci-n la lleva a
cabo "ro"orcionando un n9mero de secuencia con cada se,mento (ue env2a& .ecu:rdese (ue el nivel de red inferior trata cada "a(uete
como una unidad se"arada, "or lo (ue es "osible (ue los se,mentos se env2en a trav:s de rutas diferentes, incluso aun(ue todos ellos
formen "arte de un mismo mensaje& 0ste enrutamiento es muy similar a la forma con la (ue el nivel de red ,estiona la fra,mentaci-n y
ensamblado de los "a(uetes, s-lo (ue en un nivel su"erior& !ara ase,urar (ue los datos se han recibido correctamente, C! re(uiere
(ue se reciba una confirmaci-n, denominada *CI, de la m(uina de destino, una vez (ue haya recibido satisfactoriamente los datos&
8i no se recibe la confirmaci-n *CI adecuada en un determinado es"acio de tiem"o, se retrans mitir el se,mento& 8i la red est
con,estionada, esta retransmisi-n dar lu,ar a la du"licaci-n de los se,mentos enviados& 8in embar,o, la m(uina rece"tora utilizar
el n9mero de secuencia "ara determinar si son du"licados, en cuyo caso los descartar&
C! tambi:n "ermite (ue el rece"tor es"ecifi(ue la cantidad de datos (ue desea (ue le env2en& *' es"ecificar los n9meros de
secuencia ace"tables, "osteriores a la 9ltima secuencia recibida, el emisor ser informado de (ue el rece"tor s-lo es ca"az de recibir un
conjunto de datos muy es"ec2fico y no se,uir enviando datos cie,amente y es"erando su confirmaci-n&
Gn se,mento C! contiene la si,uiente informaci-n: "uerto de ori,en, "uerto de destino, n9mero de secuencia, n9mero de
confirmaci-n, lon,itud de la cabecera, banderas G.@3*CI3!8>3.838L+3F7+, ventana, suma de com"robaci-n, "untero de
ur,encia, o"ciones y relleno&
Fi,ura M& >eader C!
Puerto de ori+enA Gn n9mero de 'D bits (ue es"ecifica el "uerto de ori,en de los datos& Cuando la m(uina rece"tora res"onde,
utiliza este n9mero como "uerto de destino "ara la res"uesta&
Puerto de destinoA 0l n9mero de "uerto del dis"ositivo rece"tor al cual van diri,idos los datos&
N/mero de secuenciaA 7ndica el orden de un determinado "a(uete& 8e utiliza "ara reordenar secuencias de se,mento y eliminar
du"licados&
N/mero de confirmacinA 7dentifica el si,uiente n9mero de secuencia es"erado&0s decir, confirma (ue ha recibido bien hasta +:'
bytes de datos&
7on+itud de la ca"eceraA 7ndica el tama<o del header en unidades de B bytes& )a lon,itud m2nima de una cabecera C! es C, o un
total de %$ bytes&
#eser0adoA *ctualmente sin utilizar ;Gnused=&
@#>/-C8/P&6/#&T/&UN/$INA 6anderas de un bit, (ue se utilizan "ara es"ecificar determinadas condiciones (ue estn "resentes
en la cone4i-n& G.@: )os datos contenidos en ur,ente son im"ortantes y no se deben i,norar& *CI: )os datos contenidos en el
cam"o de confirmaci-n no se deben i,norar& !8>: Forzar la transmisi-n& .8& .einicializa la cone4i-n& 8L+: 8incroniza los
n9meros de secuencia& F7+: +o hay ms datos del emisor&
%entanaA /etermina la cantidad de datos (ue el emisor "uede recibir&
&uma de compro"acinA Otra com"robaci-n ms de la e4actitud de los datos& Observe (ue en cada nivel hay una verificaci-n de
errores inde"endiente&
1A$1
Puntero de ur+enciaA 7dentifica los datos (ue debern ser considerados como ur,entes&
=pcionesA )as o"ciones se "ueden utilizar "ara es"ecificar informaci-n adicional sobre la cone4i-n C! ;"or ejem"lo 588,
ma4imum se,ment size=&
#ellenoA Funciona de la misma manera (ue en la cabecera 7!& 8e utiliza "ara rellenar la cabecera C! de forma (ue sea un m9lti"lo
de B bytes&
C! es un "rotocolo de la ca"a de trans"orte "ara comunicar datos confiablemente entre dos m(uinas a trav:s de un circuito virtual&
)os se,mentos C! (ue atraviesan la red "ueden lle,ar fuera de orden o da<ados& !or tal raz-n se utiliza el n9mero de secuencia "ara
reordenarlos y el n9mero de confirmaci-n "ara confirmar su rece"ci-n correcta& 0n la fi,ura # se muestra c-mo en una sesi-n F!
ca"turada con un analizador de "rotocolos, se incrementa el n9mero de secuencia en 'A%% bytes, el cual re"resenta el n9mero efectivo
de datos enviados en cada se,mento& 0l tama<o ;&ize= de 'AMD bytes indicado en la 9ltima columna es el tama<o total de la trama
0thernet e incluye %$ bytes del header C!, ms %$ bytes de header 7!, ms 'B bytes del header 0thernet, es decir 'A%%JCB& )os 'B
bytes del header 0thernet corres"onden a las direcciones 5*C ;DJD bytes= y ti"o de "rotocolo ;% bytes=, "ero no incluye los % bytes
del FC8 ;che(uo de errores=, los cuales se encar,a de "rocesarlos la subca"a ))C y son invisibles "ara el analizador de "rotocolos&
Fi,ura #& 0jem"lo de incremento del n9mero de secuencia en una transferencia de archivos ;F!=
!ero antes de "oder transferir realmente datos usando C!, se debe establecer una cone4i-n entre las % m(uinas usando el
"rocedimento llamado a"ret-n de manos de A v2as ;5Awa. !ands!ain+= mediante los fla,s 8L+ y *CI y el n9mero de secuencia
inicial ;78+=, tal como se ilustra en la fi,ura ''&
0l host ' (ue (uiere establecer la cone4i-n env2a un se,mento con la bandera 8L+ ;sincronizar=& 0ste se,mento contiene el
n9mero de "uerto de destino y un n9mero aleatorio de secuencia inicial 4& 0l host % contesta con un se,mento con la bandera 8L+ y
(ue contiene su "ro"io n9mero aleatorio de secuencia inicialV adems lleva el n9mero de confirmaci-n 4J' y la bandera *CI& 0l host
' env2a otro se,mento con la bandera 8L+ y con n9mero de secuencia 4J'V adems confirma la rece"ci-n mediante yJ'& * este "unto
se ha establecido una cone4i-n full1du"le4 y se "uede comenzar a transferir datos&
Fi,ura E& 0l 5Awa. !ands!ain+
1A'1
0n la fi,ura '$ se ilustra un ejem"lo sim"le de establecimiento de cone4i-n& )as l2neas estn numeradas "ara facilitar la referenciaV
las flechas (ue a"untan hacia la derecha indican la salida de un se,mento C! desde el "rotocolo C! * hasta el 6, o la lle,ada de un
se,mento a 6 "rocedente de *& )as flechas (ue a"untan hacia la iz(uierda indican lo contrario&
)os estados C! re"resentan el estado des"u:s de la salida o lle,ada del "a(uete ;cuyo contenido se muestra en el centro de cada
l2nea=& 0l contenido se muestra de forma abreviada, con n9mero de secuencia, cam"o *CI e indicadores de control ;C)=& 0n aras de
la claridad, se han dejado fuera otros cam"os referentes a la ventana, direcciones, lon,itudes y te4to&
0n la l2nea % de la tabla, C! * comienza enviando un se,mento 8L+ (ue indica (ue va a utilizar n9meros de secuencia a "artir
del n9mero '$$& 0n la l2nea A, C! 6 env2a un 8L+ y confirma el 8L+ recibido de C! *& Obs:rvese (ue el cam"o de confirmaci-n
indica (ue C! 6 es"era ahora recibir el n9mero de secuencia '$', confirmando as2 el 8L+ (ue ocu"aba el n9mero de secuencia '$$&
0n la l2nea B, C! * res"onde con un se,mento vac2o (ue contiene la confirmaci-n *CI, "ara el se,mento 8L+ del C! 6 y en la
l2nea C, C! * env2a al,unos datos& Observe (ue el n9mero de secuencia del se,mento en la l2nea C es el mismo (ue en la l2nea B,
"or(ue los mensajes *CI no ocu"an es"acio de n9meros de secuencia ;si lo hicieran, terminar2amos teniendo (ue confirmar los
mensajes de confirmaci-n=&
Fi,ura '$& 0jem"lo de 53wa. !ands!ain+
1A%1
Wire*e,, LAN +n+*)6er,
#) An!) Drn+n
Net&r. 7+8+6ine
!rotocol analyzers are usually re,arded as testin, and "lannin, tools: Lou donWt "lu, one in unless you actually have a network, or at
least some cable, and often not until somethin, ,oes wron,&
7n a Wireless )*+ ;W)*+=, thin,s are different& 7ts "hysical medium is the electroma,netic s"ectrum, which e4ists everywhere
and res"ects few boundaries& Wi1Fi is now available at two different fre(uencies: 7000 #$%&''b3, at %&B@>z and 7000 #$%&''a at
C@>z and both can suffer interference from nei,hborin, networks and other sources& he only way to know for sure which will work
best in a "articular environment is to "erform a com"rehensive site survey before buyin, a sin,le access "oint&
0ven if you have no intention of investin, in Wi1Fi, knowin, whatWs "assin, throu,h your airwaves can still be useful& 7n addition
to full featured hardware and software analyzers, several vendors are "itchin, sim"ler, chea"er versions as security tools& hese are
desi,ned to detect and track down ro,ue access "oints W)*+ base stations set u" by em"loyees without the 7 de"artmentWs
knowled,e& *lmost all Wi1Fi hardware has its security features off by default, and the chea"er consumer level models may not include
any security at all, so these ro,ues can act as an o"en door into an otherwise well "rotected network&
Prtc* (rce,,in8
Lou donWt necessarily need a full scale analyzer to track down ro,ue access "oints or test radio rece"tion& * Wi1Fi e(ui""ed la"to"
runnin, Windows F! or 5ac O8 F can automatically lo, on to any o"en wireless network available&
here are also several free "ro,rams that can hel"& he most "o"ular is +et8tumbler, which scans all Wi1Fi fre(uencies for
unsecured networks and measures the si,nal to noise ratio and throu,h"ut of each one& 7t can even be linked to a @!8 receiver and
ma""in, software, which makes it "o"ular amon, both war drivers "eo"le who search cities for Wi1Fi access "oints that ;intentionally
or not= "rovide free 7nternet access and 7 de"artments tryin, to locate security holes in their own networks&
8ome wireless +7C vendors have even added basic radio scannin, functions to their driver software, attem"tin, to differentiate
themselves in whatWs becomin, a commodity market& /es"ite the "lethora of W)*+ cards, most are based on circuitry and reference
desi,ns from just four chi" makers: 7ntersil, e4as 7nstruments, and *,ere for #$%&''bV and *theros for #$%&''a& !ro4imWs dual1mode
cards, for e4am"le, are su""lied with software that runs under any A%1bit version of Windows& hey can scan every available channel
in both the #$%&''a and #$%&''b bands, and "resent the user with a visual dis"lay of si,nal stren,th and bandwidth&
Wi1Fi "rotocol analyzers ,o well beyond either +et8tumbler or the +7C vendorsW software, but in different ways& 8ome can decode
hi,her level "rotocols, includin, the entire C!37! stack and more& Others focus on the lower layers, detectin, interference sources in
the radio s"ectrum itself& 5any concentrate on security alarms, while a few include "lannin, and ma""in, tools& 8ome can ,enerate
re"orts aimed at even the least technical e4ecutive, or s"readsheets filled with he4adecimal characters& *ll "romise to sim"lify the task
of installin,, su""ortin,, and securin, a wireless network&
Di,+((e+rin8 int t-e et-er
5ost "rotocol analyzers are software based, desi,ned to run on a standard Windows la"to"& he wireless versions are no e4ce"tion
;see able '=& his makes it easier to transfer data onto other software and li,htens the load that nomadic troubleshooters have to cart
around, assumin, that theyWre carryin, a la"to" anyway&
On the other hand, la"to"s arenWt desi,ned to be used at the same time as theyWre bein, carried& his isnWt a "roblem with ordinary
0thernet, but Wi1Fi si,nals need to be measured literally everywhere that a user or attacker mi,ht be, not just at cable outlets&
For "eo"le who think best on their feet, *ir5a,net, +etwork *ssociates, and Wireless Valley Communications "roduce analyzer
software for Windows C0 A ;!ocket !C= handhelds& he Windows C0 versions usually have more limited ca"abilities than their
la"to" e(uivalents, but can share data with them& !ocket !Cs are also restricted to #$%&''b, as their relatively slow "rocessors canWt
kee" u" with the hi,h s"eeds of #$%&''a&
he other "roblem with buildin, an #$%&'' "rotocol analyzer in a !C is that Windows doesnWt really su""ort the #$%&'' "rotocols&
7nstead, it relies on driver software that converts #$%&'' frames to re,ular 0thernet before they reach the !C& his is why, before the
name Wi1Fi cau,ht on, #$%&''b was known as Wireless 0thernet: From the !CWs "ers"ective, it is 0thernet&
While most a""lications mi,ht like Wi1Fi to seem like 0thernet, Wi1Fi "rotocol analyzers donWt& o look inside #$%&'' "ackets,
they need s"ecially rewritten drivers, which can re(uire hel" from the +7C vendor or chi" maker& he similarities shared between
+7Cs allow some software to su""ort any card based on a "articular chi"set, usually 7ntersilWs !rism 77, but even here, there are
differences&
CiscoWs *ironet, for e4am"le, uses "art of the !rism chi"set, but re"laces other "arts with its own chi" that handles the )i,htwei,ht
04tensible *uthentication !rotocol ;)0*!=, CiscoWs "ro"rietary authentication mechanism& *ironet cards re(uire different drivers than
re,ular !rism1based cards, but these usually arenWt hard to find since Cisco is such a "o"ular brand&
1AA1
!ro,ram Vendor !latforms
#$%&''
y"e
+7C
.e(uired
Wired
0thernet
)ayers
.o,ue *!
/etection
*ir5a,net /uo
*ir5a,net
www&airma,net&com
Win C0 A, E#,
+ B, %$$$, F!
b and a
8u""lied !C or
CFJ Card
+o %:B Les
*iro!eek +F
Wild!ackets
www&wild"ackets&com
Win %$$$, F! b or a
7ntersil or
*theros1based
O"tional %:M Les
Wireshark30thereal
+one
www&ethereal&or,
)inu4 %&BD,
Free68/ B&D
b
7ntersil !rism
77,
Cisco *ironet
Les %:M +o
)*+Fielder
Wireless Valley
Communications
www&wirelessvalley&com
Win C0 A, E#,
+ B, %$$$, F!
b, a or F> Cisco *ironet Les %,A +o
)inkFerret
6aseband echnolo,ies
www&baseband&com
Win E#, + B,
%$$$, F!
b
Cisco *ironet
AB$3AC$
Les %:M +o
Observer
+etwork 7nstruments
www&networkinstruments&com
Win E#, + B,
%$$$ F!
b or a
Cisco *ironet,
!ro4im 8kyline
Les %:M Les
8niffer Wireless
+etwork *ssociates
www&sniffer&com
Win C0 A, E#,
+ B, %$$$, F!
b or a
!ro4im, Cisco,
8ymbol, *,ere
O"tional %:M Les
!acketyzer
+etwork Chemistry
www&networkchemistry&com
Win EC, E#, +
B, %$$$, F!
b
W8!'$$
*ccess
!oint
+o %,A +o
Wireless 8canner
7nternet 8ecurity 8ystems ;788=
www&iss&net
Win %$$$, F! b
Orinoco @old,
Com"a( W) '$
+o %,A Les
able '& 8oftware1based Wi1Fi "rotocol analyzers& *t least nine different "ro,rams "romise to turn a la"to" or !/* into an #$%&''
"rotocol analyzer&
S$+rter c+r!,
hou,h +7Cs are relatively chea" in terms of cost, they occu"y valuable s"ace inside a la"to"& 5ost analyzers re(uire one in a !C card
and wonWt work with the Wi1Fi networkin, now built into many hi,h end la"to"s& he e4ce"tion is *iro!eek from Wild!ackets, which
su""orts 7ntel 5ini!C7 interfaces& Gnfortunately, this su""ort is so far limited to #$%&''a, which is still rare to find built in& 0ven
7ntelWs own 6anias chi"set, which aims to include dual band Wi1Fi in all !Cs, will at first only include #$%&''b&
he need to rewrite drivers also means that analyzers la, behind other Wi1Fi e(ui"ment& he chea"er software Wireless 8canner
from 7nternet 8ecurity 8ystems ;788= and )inkFerret from 6aseband echnolo,ies doesnWt yet su""ort #$%&''a& he "roblem is even
,reater for 0thereal, the "o"ular free "rotocol analyzer& *lthou,h 0thereal itself works with many different systems, includin,
virtually all versions of Windows and Gni4, raw #$%&''b "acket ca"ture is only su""orted under )inu4 and Free68/&
o monitor #$%&''b, users of 0thereal for Windows need !acketyzer& his o"en source "ro,ram runs alon,side 0thereal and
connects ;via ordinary 0thernet and G86= to +etwork ChemistryWs W8!'$$, a s"ecially ada"ted access "oint& 8e"aratin, the radio
from the !C like this enables Wi1Fi analysis from a deskto" com"uter, but makes a la"to" based system even more cumbersome to
carry around&
*ir5a,net su""lies its own card alon, with its software, which ensures that there are no driver issues& 7t also acts as a co"y
"revention mechanism, because each installation of the software is hard coded to a s"ecific cardWs 5*C address so just like the
?don,les? that used to be su""lied with hi,h end a""lications, you need to be careful not to lose the card&
he *ir5a,net +7Cs are all standard com"onents, usually a Cisco #$%&''b !C card, which will work with either a deskto" or a
handheld& ;*ir5a,net even sells a ?combo? "acka,e, includin, both ty"es of software but just one card&= *s an alternative, its
handheld software is available with a !ro4im CFJ card, which can fit into smaller devices& Com"a(Ws i!*X is the most "o"ular
Windows C0 handheld and the one recommended by both *ir5a,net and +etwork *ssociates su""orts CFJ cards natively, but
re(uires an e4"ansion cradle to hold a full1size !C card&
5ore interestin,ly, the *ir5a,net la"to" software is available in a ?/uo? version, su""lied with a dual mode +et@ear !C card&
his can scan all available channels of #$%&''a and #$%&''b simultaneously, lettin, network mana,ers com"are the "erformance of the
two variants directly or track down both ty"es of ro,ue access "oint in a sin,le swee"&
Observer from +etwork 7nstruments, 8niffer Wireless from +etwork *ssociates, and *iro!eek can also analyze #$%&''a, while
)*+Fielder from Wireless Valley Communications can even understand the older Fre(uency >o""in, ;F>= variant of #$%&''&
;hou,h F> is much slower than Wi1Fi and has the same security "roblems, itWs enjoyin, a resur,ence thanks to a lon,er ran,e&= +one
of these su""ort dual mode cards, so simultaneous analysis re(uires a la"to" with at least two s"are !C card slots&
1AB1
2+r! un&ire!
7nstead of worryin, about cards and drivers, some vendors have desi,ned hardware based analyzers ;see able %=& Gnlike la"to"s,
these are desi,ned to be used while walkin, around, and some can also run other Windows a""lications&
/evice Vendor
Form
Factor
O8
Wired
0thernet
)ayers
.o,ue *!
/etection
>andheld !ak
*ir5a,net
www&airma,net&com
i!*X Win C0 +o %:B Les
)ocust
6erkeley Varitronics 8ystems ;6V8=
www&bvsystems&com
>andheld Own +o ',% Les
O"tiView Wireless
Fluke +etworks
www&flukenetworks&com
ablet !C Win E# Les %:M Les
Wave.unner
Fluke +etworks
www&flukenetworks&com
i!*X )inu4 +o %:B Les
LellowYacket
6erkeley Varitronics
8ystems ;6V8=
www&bvsystems&com
i!*X Win C0 +o ',% Les
able %& >ardware1based #$%&''b *nalyzers& Five devices can scan and troubleshoot #$%&''b networks&
hree devices are built around i!*Xs, with varyin, de,rees of customization: *ir5a,netWs >andheld !ak, FlukeWs Wave.unner,
and 6erkeley Varitronics 8ystemsWs ;6V8= LellowYacket& he least chan,ed is >andheld !ak, which is sim"ly *ir5a,netWs Windows
C0 software and #$%&''b !C card bundled to,ether and "reinstalled in an i!*X with an e4"ansion sled& 7tWs also available with an
e4ternal antenna, which increases its ran,e& hou,h users are unlikely to have e4ternal antennas, war drivers sometimes do, and theyWre
useful when trackin, down ro,ue access "oints or interference sources&
FlukeWs Wave.unner looks almost the same as the *ir5a,net !ak until itWs switched on& 7n addition to su""lyin, its own !C card,
Fluke has re"laced the usual Windows C0 with )inu4, which allows a ,reater de,ree of customization: Whereas Windows C0
includes many a""lications, the Wave.unner devotes its entire "rocessin, ca"acity to Wi1Fi decodin,&
his makes the Wave.unner faster than the !ak, but not as versatile: Lou canWt use it to store your contact lists, edit s"readsheets,
or load other )inu4 a""lications& +either can you download the source code to build your own: hou,h Fluke has im"roved some
)inu4 com"onents and contributed them back to the o"en source community ;at www&handhelds&or,=, the actual "rotocol analysis is
carried out by FlukeWs own "ro"rietary, closed source a""lication&
he LellowYacket adds the most to the i!*X& *lthou,h it still runs Windows C0, it doesnWt use a re,ular !C or CFJ card& he
i!*X sits inside 6V8Ws own cradle, which includes s"ecialized s"ectrum analyzer circuitry and an o"tional directional antenna and
@!8 receiver& * s"ectrum analyzer allows the LellowYacket to ,o beyond "rotocol decodin,, dis"layin, every radio si,nal within the
#$%&''b fre(uency band& 7tWs a "urely "assive device, thou,h: Gnlike the other "roducts, it canWt transmit test "ackets or connect to a
network&
6V8Ws other tool, )ocust, is essentially a LellowYacket without the i!*X, usin, a "ush button keyboard and monochrome dis"lay
for its user interface& 6V8 makes similar devices for monitorin, F> based #$%&'' ;the Cricket= and 6luetooth ;the 5antis=& *lthou,h
these standards all use the same fre(uencies as #$%&''b, the devices are se"arate, so network mana,ers will need to buy different
models to monitor different kinds of %&B@>z networks&
FlukeWs O"tiView is the lar,est and most so"histicated hardware analyzer, built around what 5icrosoft is now "itchin, as the
ablet !C, a full:featured, la"to":sized !C with a touch sensitive screen rather than a keyboard& he O"tiView actually "redates the
ablet !C conce"t:+etwork 5a,azine ,ave it an award for the best troubleshootin, tool released in %$$$, but Fluke has ke"t it u" to
date by addin, several new o"tions, of which Wi1Fi is the most recent& +etworkers who already use O"tiView for 0thernet or @i,abit
0thernet can u",rade to Wi1Fi by installin, a Fluke #$%&''b card&
8o far, none of the hardware1based analyzers su""ort #$%&''a, thou,h both Fluke and 6V8 "lan to do so in the future& Fluke will
add a new o"tion for the O"tiView, and 6V8 will offer a se"arate device that scans the C@>z fre(uencies&
An+*8 +n+*),i,
6y definition, Wi1Fi "rotocol analyzers must be able to decode the #$%&'' "rotocols at the 5*C layer& hey must also be able to
understand 7! and filter "ackets by address& Where they differ is in their su""ort for hi,her level "rotocols and how much of the
#$%&'' s"ecification they include&
he most com"rehensive su""ort for hi,her level "rotocols is found in Wi1Fi analyzers that were ori,inally desi,ned for wired
0thernet& Observer, )inkFerret, 0thereal, and O"tiView all include 0thernet as standard, while *iro!eek and 8niffer Wireless offer it
as a se"arate "ro,ram ;0ther!eek and re,ular 8niffer, res"ectively=& 7n all cases, the wired version came first, so the vendors ;and the
o"en1source community, in 0therealWs case= had time to add su""ort for the entire C!37! stack, as well as 7!F and more e4otic
1AC1
"rotocols& *lthou,h *ir5a,net doesnWt make wired analyzers, it reco,nizes that W)*+s donWt e4ist in isolation and has made its
software able to share data with 8niffer and 0thereal&
8everal analyzers can also share data with ma""in, software to "lot access "oint locations& he most advanced is 8ite!lanner, an
a""lication su""lied with )*+Fielder that dis"lays A/ covera,e ma"s& 6V8 also su""lies its own ma""in, software, 6irds0ye, and
can e4"ort ,eo,ra"hic data to 04cel& *iro!eek and O"tiView can draw network dia,rams automatically, showin, lo,ical or "hysical
connections by 7! or 5*C address& *ir5a,net and +et8tumbler su""ort 5icrosoft 5a"!oint&
6V8Ws devices eschew hi,her level "rotocols, lookin, down into the radio layer instead& hanks to their s"ectrum analyzers, both
the LellowYacket and the )ocust can track down interference sources that arenWt the result of other Wi1Fi networks& For #$%&''b, these
include microwave ovens, 6luetooth devices, and older F> based networks& 7nterference is much rarer in #$%&''a networks because
much of the C@>z band is reserved for communications, but it can still occur: * few cordless "hones and outdoor wireless last mile
systems already use the C@>z band, and others are sure to follow&
*iro!eek and *ir5a,net both include many security alarms, notifyin, network administrators of "otential intruders& Other
analyzers are intended "urely as security tools& For e4am"le, FlukeWs Wave.unner device doesnWt dis"lay detailed "rotocol decodes,
instead concentratin, on si,nal stren,th, encry"tion use, and other information needed to detect security vulnerabilities or o"timize
wireless covera,e& 788Ws Wireless 8canner software takes this a""roach a ste" further: 7t "roduces detailed re"orts in "lain 0n,lish that
recommend actions such as disablin, />C!, or blockin, the 5*C address of a sus"icious client&
his kind of automated monitorin, can be useful, but donWt rely on it e4clusively& he #$%&'' s"ecification is constantly evolvin,,
with the most ra"id chan,es occurrin, in the security field& !rotocol analyzers canWt always kee" u"&
WEP be-in! t-e e+r,
*ll Wi1Fi analyzers can tell whether an access "oint or client is usin, Wired 0(uivalent !rivacy ;W0!=, #$%&''Ws notoriously "oor
encry"tion mechanism, and most can detect a "otential ro,ue access "oint or client& he Wave.unner and LellowYacket even have
audible "ro4imity indicators, which emit a @ei,er counter like sound when they close in on one&
>owever, none of the devices su""ort all of the latest security features "ro"osed by the 7000& he vendor that comes closest is
*ir5a,net& 7n addition to W0! and CiscoWs )0*!, its software can determine whether a network is usin, em"oral Iey 7nte,rity
!rotocol ;I7!= or #$%&'4, key e4chan,e and authentication features aimed at makin, W0! less insecure& 7t cannot "rocess wire s"eed
.jindael ;*08=, the "ro"osed re"lacement for W0! thatWs already been built into some cards and access "oints&
he ,rowin, "enetration of #$%&''a will cause further security headaches, as will the third Wi1Fi variant, 7000 #$%&'',& hou,h
the standard hasnWt yet been ratified, #$%&'', cards and access "oints are already shi""in,&
6ecause #$%&'', is desi,ned to be backward com"atible with #$%&''b, it uses the same fre(uencies as #$%&''b and, if an #$%&''b
node is "resent, transmits some si,nalin, information in #$%&''b format& *n #$%&''b analyzer should be able to detect the e4istence of
an #$%&'', network, even if it canWt deci"her the data bein, transmitted& Connectin, an #$%&''b analyzer to a "ure #$%&'', network
could also slow the whole network down, since it would need to transmit the si,nalin, information at a lower s"eed&
5ost ro,ue access "oints are currently based on #$%&''b, sim"ly because itWs chea"er& 6ut this situation isnWt likely to last: 6oth
#$%&''a and #$%&'', offer much hi,her data rates and are often touted for consumer a""lications, so theyWll soon be available in every
chain store& * full security swee" should include these newer variants in addition to #$%&''b& 6ut even the most thorou,h device is no
substitute for educatin, em"loyees on the risks of an insecure wireless network&
Re,urce,
7n addition to the +et8tumbler "ro,ram for Windows la"to"s, www&netstumbler&com has lots of news and information about free
wireless access and Wi1Fi security, and links to similar software for )inu4 and Windows C0&
o deci"her the more detailed out"ut of a wireless analyzer, download the #$%&'' s"ecs from standards&ieee&or,3,etieee#$%3&
#$%&'': he /efinitive @uide ;OW.eilly, %$$'=, by 5atthew @ast, has a clear descri"tion of the #$%&'' "rotocols and, more
im"ortantly, ste"1by1ste" instructions on settin, u" and usin, the free 0thereal software for #$%&'' analysis&
For a detailed descri"tion of FlukeWs O"tiView, see !roduct 8"otli,ht of the Yanuary %$$' issue of +etwork 5a,azine&
For a lab test of the wireless versions of the three major software1based "rotocol analyzers ;8niffer, Observer, and *iro!eek=, see
+etwork Com"utin,, 5ay %Mth, %$$%, "a,e DC&
For more on the dan,ers of o"en access "oints and ways to close them, see three "revious +etwork 5a,azine articles: ?.oad
6locks for War /rivers,? /ecember %$$%V utorial )esson 'DM, Yune %$$%V and +etwork /efense, /ecember %$$'&