1

Ejercicios wireshark


Protocolo ICMP

Este protocolo (Internet Control Message Protocol Protocolo de
mensajes de control de Internet) se emplea para comprobar el estado de las
redes. Su funcionamiento bsico consiste en enviar un paquete de datos
destinado a una determinada direccin IP y en ver el tiempo que tarda en
recibirse la respuesta a dicho paquete. Se emplea para ver si existe
conectividad de red entre el ordenador desde el que se emite el comando y
el ordenador con el nombre o la direccin IP indicada en el comando.

Para analizar la estructura de este protocolo con WireShark, vamos a seguir
los pasos que se indican a continuacin:

1. Activar la captura de paquetes.
2. Abrir una ventana de lnea de comandos (Inicio >Buscar programas y
archivos >cmd >Aceptar).
3. Ejecutar el comando ping sun.rediris.es en la ventana anterior.
4. Cuando termine la ejecucin del comando ping, detener la captura de
paquetes.
5. Examinar los paquetes capturados en los paneles de la ventana principal
de WireShark.

Si no hemos activado ningn tipo de filtro, ni de protocolo ni de captura,
adems de los paquetes que nos interesa analizar, en el panel (1) aparecern
bastantes paquetes ms.

Para facilitar el anlisis, es recomendable aplicar un filtro de presentacin
para que slo aparezcan los paquetes de este protocolo. Para ello bastar
con escribir icmp en el campo texto de filtro de la ventana principal y
pulsar el botn Apply.

Si todo ha ido bien, al aplicar el filtro debern aparecer 8 paquetes, 4 de
ellos correspondientes a las solicitudes (request) y los otros 4
correspondientes a las respuestas (reply). Es posible que, an con el filtro
de protocolo, en el panel (1) veamos ms paquetes de los que nos interesa.
Esto puede ser debido a que estamos en una red compartida y que
probablemente est generando trfico de otros equipos y WireShark est
capturando tambin el trfico que envan, que al corresponder al mismo
2

protocolo aparecer igualmente en el panel (1). Para evitar este problema y
ver nicamente los datos enviados o recibidos por nuestro ordenador
tenemos dos alternativas:

1. Desactivar el modo promiscuo, antes de hacer la captura.
2. Modificar el filtro de presentacin, aadindole la condicin de filtrar
tambin por direccin IP, de la siguiente manera: icmp and host
192.168.x.x.

Como es lgico, en lugar de 192.168.x.x deberemos indicar la direccin IP
de nuestro ordenador. Si no la conocemos, deberemos ejecutar el comando
ipconfig en una ventana de lnea de comandos para descubrirla, o abrir el
centro de recursos compartidos (Windows 7) >conexin de red >detalles >
Direccin IPV4.

Para comprobar el funcionamiento del protocolo en otras condiciones,
repetiremos el experimento anterior ejecutando el comando ping l 5000
sun.rediris.es en el paso 3.

Con el parmetro l le indicamos al comando que enve 5000 bytes de
datos (el comportamiento predeterminado del comando, si no se especifica
este parmetro, es enviar 32 bytes). Como se trata de un tamao bastante
grande, podremos observar cmo se fragmenta el paquete de datos al
enviarlo a la red (los fragmentos no aparecern como protocolo ICMP).

Protocolo HTTP

Este protocolo es el empleado para acceder a pginas web a travs de
Internet. En esta prctica no vamos a entrar en los detalles de su
funcionamiento, pero nos va a servir para probar una de las funcionalidades
ms interesantes de WireShark, que es el seguimiento de un flujo TCP.

Como en el caso de ICMP, para analizar la estructura de este protocolo con
WireShark vamos a seguir los pasos que se indican a continuacin:

1. Opciones de captura de paquetes.
2. Desactivamos modo promiscuo
3. Realizar un filtro a la hora de capturar paquetes. Ponemos en la lnea
de Capture Filters: tcp port http and host 192.168.x.x donde x.x
corresponde al host desde donde estamos conectados.
4. Activar la captura de paquetes.
3

5. Lanzar un navegador web (como Google Chrome o Mozilla Firefox)
y acceder a cualquier pgina, como, p.ej., www.google.es. O
cualquier otra que creamos conveniente.
6. Cuando termine la carga de la pgina, detener la captura de paquetes.

Examinar los paquetes capturados en los paneles (1), (2) y (3) de la ventana
principal de WireShark.

Tambin en este caso deberemos aplicar un filtro de presentacin, para que
aparezcan nicamente los paquetes que nos interesa analizar. La expresin
del filtro deber ser similar a la del apartado anterior indicando en este caso
el protocolo http.

WireShark ofrece una funcionalidad que facilita la creacin de la expresin
del filtro si, como ocurre en este caso, queremos que aparezcan nicamente
los datos de una sesin TCP (concretamente, el acceso a una pgina web).
Para utilizar esta funcionalidad debemos identificar algn paquete
perteneciente a la sesin que nos ocupa, fcilmente localizable porque la
direccin IP de origen debe ser la de nuestro ordenador y el puerto TCP de
destino debe ser el 80, el habitual en la mayor parte de los servidores web
de Internet.

Una vez localizado algn paquete de la sesin, bastar con pulsar con el
botn derecho del ratn sobre l en el panel (1) y seleccionar la opcin
Follow TCP Stream en el men emergente que aparecer. Al hacerlo,
adems de crearse la expresin del filtro adecuada en el recuadro de texto
del filtro (B), aparecer una ventana adicional en la que se mostrar todo el
contenido de la sesin TCP correspondiente, como puede verse en la figura
siguiente:
4




En esta ventana podemos seleccionar/ver toda la conversacin que ha
tenido lugar entre nuestro navegador web (cuyas peticiones se muestran en
color rojo) y el servidor web (cuyas respuestas se muestran en color azul) o
ver nicamente las peticiones del cliente o las respuestas del servidor
(selector A en la figura 7).

Otros protocolos( ftp)

Como ejercicio para practicar un poco con Wireshark os propongo lo
siguiente:

1. Nos vamos a las opciones de captura.
2. Elegimos tcp port ftp and host 192.168.x.x, cambiando como
siempre el x.x por nuestra direccin ip.
3. Comenzamos la captura (Start)
4. Entramos en el programa filezilla.
5. Vamos a realizar una conexin rpida al servidor 172.19.246.8
(nuestro disco externo con tarjeta de red) en modo annimo, es decir,
simplemente le damos a Conexin Rpida.
6. Nos descargamos un fichero. Por ejemplo.
/share/imagenes/logotellez.png
5

7. Cuando termine la descarga paramos la captura.
8. Analizamos las distintas tramas que hemos podido obtener y
comentamos en pblico.

Ya por ltimo vamos a ver una de los agujeros de seguridad que
veamos antes cuando comentbamos el tema de ejecutar siempre
protocolos sobre puerto seguro, ya que las claves van encriptadas. En el
caso de ftp la clave va en texto plano y en el caso de sftp va encriptada.

Voy a conectar al mismo servidor ftp, pero con un usuario y clave. En la
captura veremos cmo sale la clave en texto plano y por lo tanto, el
sniffer tiene un dato relevante.



El analizador de protocolos WireShark que se ha utilizado en esta prctica
es una herramienta de dominio pblico, cuyo uso y distribucin son
completamente gratuitos.

La versin ms reciente de este programa puede encontrarse en la siguiente
direccin web: http://www.wireshark.org/download.html.