Prctica 2

Monitorizacin de redes

Atoche Bethencourt, Francisco Flix 6/01/2011

ndice

1. Descripcin de los protocolos 2. Descripcin de la aplicacin que implementa el servicio 3. Desarrollo de la prctica 4. Valoracin personal e incidencias 5. Bibliografa

(Pg.3) (Pg.5) (Pg.6) (Pg. 16) (Pg. 17)

1. Descripcin terica formal de los protocolos que intervienen en el desarrollo de la misma.

Protocolo ICMP
El protocolo ICMP se encarga de transportar distintos mensajes de control as como de informar al origen si se ha producido algn error durante la entrega de un mensaje. Los mensajes ICMP viajan en el campo de datos de un datagrama IP. Si un mensaje ICMP se pierde o se daa no se crear una nueva rplica.

Protocolo TCP TCP es un protocolo de nivel de transporte completo que proporciona un servicio de transferencia fiable de datos y un mtodo para trasladar datos encapsulados con TCP a un protocolo de nivel de aplicacin. Muchos programas dentro de una red de datos compuesta por computadoras pueden usar este protocolo para crear conexiones entre ellos a travs de las cuales puede enviarse un flujo de datos. El protocolo garantiza que los datos sern entregados en su destino sin errores y en el mismo orden en que se transmitieron. Tambin proporciona un mecanismo para distinguir distintas aplicaciones dentro de una misma mquina, a travs del concepto de puerto. Las funciones que proporciona TCP son las siguientes: Orientado a la conexin: Dos computadoras establecen una conexin para intercambiar datos. Los sistemas de los extremos se sincronizan para manejar el flujo de paquetes y adaptarse a la congestin de la red. Operacin Full-Dplex: Una conexin TCP es un par de circuitos virtuales, cada uno en una direccin. Error Checking: una tcnica de checksum es usada para verificar que los paquetes no estn corruptos. Acknowledgements: Segn se reciba uno o ms paquetes, el receptor regresa un acknowledgement (reconocimiento) al emisor, indicando que recibi los paquetes. Si los paquetes no son notificados, el emisor puede reenviarlos o terminar la conexin si cree que el receptor no est conectado.

Control de flujo: Si el buffer del receptor est desbordando, este descarta los nuevos paquetes. Los acknowledgement fallidos que llegan al emisor le alertan para bajar la tasa de transferencia o dejar de transmitir. Servicio de recuperacin de paquetes: El receptor puede pedir la retransmisin de un paquete. Si el paquete no es notificado como recibido (ACK), el emisor enva de nuevo el paquete.

Significado de los diferentes campos:

Puerto de origen (16 bits): Puerto relacionado con la aplicacin en curso en la mquina origen. Puerto de destino (16 bits): Puerto relacionado con la aplicacin en curso en la mquina destino. Nmero de secuencia (32 bits): Cuando el indicador SYN est fijado en 0, el nmero de secuencia es el de la primera palabra del segmento actual. Cuando SYN est fijado en 1, el nmero de secuencia es igual al nmero de secuencia inicial utilizado para sincronizar los nmeros de secuencia (ISN). Nmero de acuse de recibo (32 bits): El nmero de acuse de recibo se relaciona con el nmero de secuencia del ltimo segmento esperado y no el del ltimo segmento recibido. Margen de datos (4 bits): Esto permite ubicar el inicio de los datos en el paquete. Aqu, el margen es fundamental porque el campo opcin es de tamao variable. Reservado (6 bits): Un campo que actualmente no est en uso pero se proporciona para el uso futuro. Indicadores (6x1 bit): Los indicadores representan informacin adicional: o URG: Si este indicador est fijado en 1, el paquete se debe procesar en forma urgente. o ACK: Si este indicador est fijado en 1, el paquete es un acuse de recibo. o PSH (PUSH): Si este indicador est fijado en 1, el paquete opera de acuerdo con el mtodo PUSH. o RST: Si este indicador est fijado en 1, se restablece la conexin. o SYN: El indicador SYN de TCP indica un pedido para establecer una conexin. o FIN: Si este indicador est fijado en 1, se interrumpe la conexin. Ventana (16 bits): Campo que permite saber la cantidad de bytes que el receptor desea recibir sin acuse de recibo. Suma de control (CRC): La suma de control se realiza tomando la suma del campo de datos del encabezado para poder verificar la integridad del encabezado. Puntero urgente (16 bits): Indica el nmero de secuencia despus del cual la informacin se torna urgente. Opciones + Relleno (tamao variable): El espacio restante despus de que las opciones se rellena con ceros para tener una longitud que sea mltiplo de 32 bits.

2. Descripcin de la aplicacin (demonio) que implementa el servicio que se pretende poner en marcha, incluyendo su funcionalidad y caractersticas ms reseables.
Wireshark
Es un analizador de protocolos utilizado para monitorizar y solucionar problemas en redes de comunicaciones. Permite examinar datos de una red activa o de un archivo de captura salvado en disco. Aade una interfaz grfica y muchas opciones de organizacin y filtrado de informacin. Algunas de las caractersticas de WireShark son las siguientes: Disponible para UNIX, LINUX, Windows y Mac OS. Captura los paquetes directamente desde una interfaz de red. Permite obtener detalladamente la informacin del protocolo utilizado en el paquete capturado. Cuenta con la capacidad de importar/exportar los paquetes capturados desde/hacia otros programas. Filtra los paquetes que cumplan con un criterio definido previamente. Realiza la bsqueda de los paquetes que cumplan con un criterio definido previamente. Permite obtener estadsticas. Sus funciones grficas son muy poderosas ya que identifica mediante el uso de colores los paquetes que cumplen con los filtros establecidos.

Nmap Nmap es una herramienta de cdigo abierto para exploracin de red y auditora de seguridad. Se dise para analizar rpidamente grandes redes, aunque funciona muy bien contra equipos individuales. Nmap utiliza paquetes IP para determinar qu equipos se encuentran disponibles en una red, qu servicios ofrecen, qu sistemas operativos ejecutan, qu tipo de filtros de paquetes o cortafuegos se estn utilizando, as como docenas de otras caractersticas. Aunque generalmente se utiliza Nmap en auditoras de seguridad, muchos administradores de redes y sistemas lo encuentran til para realizar tareas rutinarias, como puede ser el inventariado de la red, la planificacin de actualizacin de servicios y la monitorizacin del tiempo que los equipos o servicios se mantiene activos. La salida de Nmap es un listado de objetivos analizados, con informacin adicional para cada uno dependiendo de las opciones utilizadas. La informacin primordial es la tabla de puertos. Dicha tabla lista el nmero de puerto, protocolo, el nombre ms comn del servicio, y su estado. El estado puede ser open (abierto), filtered (filtrado), closed (cerrado), o unfiltered (no filtrado). Abierto significa que la aplicacin en la mquina destino se encuentra esperando conexiones o paquetes en ese puerto. Filtrado indica que un cortafuegos, filtro, u otro obstculo en la red est bloqueando el acceso a ese puerto, por lo que Nmap no puede saber si se encuentra abierto o cerrado. Los puertos cerrados no tienen ninguna aplicacin escuchando en los mismos, aunque podran abrirse en cualquier momento. Los clasificados como no filtrados son aquellos que responden a los sondeos de Nmap, pero para los que que Nmap no puede determinar si se encuentran abiertos o cerrados. Nmap informa de las combinaciones de estado open|filtered y closed|filtered cuando no puede determinar en cual de los dos estados est un puerto. La tabla de puertos tambin puede incluir detalles de la versin de la aplicacin cuando se ha solicitado deteccin de versiones. Nmap ofrece informacin de los protocolos IP soportados, en vez de puertos abiertos, cuando se solicita un anlisis de protocolo IP con la opcin (-sO). Adems de la tabla de puertos interesantes, Nmap puede dar informacin adicional sobre los objetivos, incluyendo el nombre de DNS segn la resolucin inversa de la IP, un listado de sistemas operativos posibles, los tipos de dispositivo y direcciones MAC.

3. Desarrollo de la prctica.
3.1 Objetivo:
El objetivo de esta fase es que el alumno aprenda a monitorizar el trfico que fluye a travs de un canal de transmisin de datos inalmbrico sin tener que conectarse a ningn punto de acceso.

3.2 Descripcin:
A continuacin, vamos a conocer una serie de aplicaciones tiles para estudiar el trfico que fluye por un canal de transmisin inalmbrico.

3.3 Operativa: 1. Configurar la tarjeta de red para monitorizar el canal de comunicacin inalmbrico deseado.
> iwconfig lo eth0 wlan0 no wireless extensions. no wireless extensions. IEEE 802.11bg ESSID:"ULPGC" Mode:Managed Frequency:2.422 GHz Access Point: 64:68:0C:34:B4:00 Bit Rate=1 Mb/s Tx-Power=20 dBm Retry long limit:7 RTS thr:off Fragment thr:off Power Management:off Link Quality=53/70 Signal level=-57 dBm Rx invalid nwid:0 Rx invalid crypt:0 Rx invalid frag:0 Tx excessive retries:0 Invalid misc:0 Missed beacon:0

> iwlist wlan0 scan Cell 02 - Address: 64:68:0C:34:B4:00 Channel:3 Frequency:2.422 GHz (Channel 3) Quality=54/70 Signal level=-56 dBm Encryption key:off ESSID:"ULPGC" Bit Rates:1 Mb/s; 2 Mb/s; 5.5 Mb/s; 11 Mb/s Bit Rates:6 Mb/s; 9 Mb/s; 12 Mb/s; 18 Mb/s; 24 Mb/s 36 Mb/s; 48 Mb/s; 54 Mb/s Mode:Master Extra:tsf=000000878a830500 Extra: Last beacon: 12ms ago IE: Unknown: 000469746967 IE: Unknown: 010482848B96 IE: Unknown: 030103 IE: Unknown: 2A0100 IE: Unknown: 2F0100 IE: Unknown: 32080C1218243048606C IE: Unknown: DD090010180202F4000000 Cell 03 - Address: 00:02:CF:76:66:17 Channel:9 Frequency:2.452 GHz (Channel 9) Quality=20/70 Signal level=-90 dBm Encryption key:on ESSID:"WLAN_4E" Bit Rates:1 Mb/s; 2 Mb/s; 5.5 Mb/s; 11 Mb/s; 22 Mb/s

Bit Rates:6 Mb/s; 9 Mb/s; 12 Mb/s; 18 Mb/s; 24 Mb/s 36 Mb/s; 48 Mb/s; 54 Mb/s Mode:Master Extra:tsf=0000009ac72f89ff Extra: Last beacon: 2148ms ago IE: Unknown: 0007574C414E5F3445 IE: Unknown: 010582848B962C IE: Unknown: 030109 IE: Unknown: 2A0100 IE: Unknown: 32080C1218243048606C

NOTA: La aplicacin airmon-ng (airmon-ng start wlan0) utilizada para accedes a redes inalmbricas privadas permite tambin activar el modo monitor de una tarjeta de red compatible. Adems, es posible tener gran cantidad de monitores activos en el sistema (p.e. mon0, mon1, mon2, etc.), ya que la aplicacin crea un nuevo dispositivo virtual de red cada vez que se ejecuta.

2. Poner en marcha el proceso de monitorizacin silencioso.

> ifconfig wlan0 down > iwconfig wlan0 mode monitor > ifconfig wlan0 up

3. Obtencin de la informacin propia.

Averiguar la configuracin de la mquina en la que nos encontramos. La informacin que podamos precisar para usarla posteriormente se debe de anotar en la siguiente tabla.

Nombre del host portatil-fran DNS primario 80.58.61.250 4. Captura simple de paquetes

Direccin IP 192.168.1.10 Servidor DHCP 192.168.1.254

Direccin MAC 00:19:7d:d4:02:b4 Mscara de Subred 255.255.255.0

Para monitorizar el trfico utilizaremos la aplicacin Wireshark, especificando la interfaz de red activa. Hemos de capturar solamente los paquetes pertenecientes a nuestra mquina, realizando un filtrado por la direccin IP. Para ver las entradas que tenemos almacenadas en la cach ARP, usamos el comando arp:
Direccin 192.168.1.254 TipoHW DireccinHW ether 64:68:0c:34:b3:fd Indic Mscara C Interfaz wlan0

A continuacin, borraremos todas las entradas que existan en la cach para posteriormente poner a trabajar a Wireshark monitorizando los paquetes pertenecientes a nuestra mquina..
> arp d 192.168.1.254 Direccin 192.168.1.254 TipoHW DireccinHW ether (incomplete) Indic Mscara Interfaz C wlan0

Abrimos un terminal del sistema y hacemos ping sobre algn equipo que pertenezca a nuestra red.
> ping 192.168.1.254

N 83 85 96 97

Ping (tabla ARP vaca) Fuente Destino Proto Funcin Azurewav_8c:97:4e Comtrend_34:b3:fd ARP Who has 192.168.1.254? Tell 192.168.1.11 Comtrend_34:b3:fd Azurewav_8c:97:4e ARP 192.168.1.254 is at 64:68:0c:34:b3:fd 192.168.1.10 192.168.1.254 ICMP Echo (ping) request (id=0x9507, seq(be/le)=1/256, ttl=64) 192.168.1.254 192.168.1.10 ICMP Echo (ping) reply (id=0x9507, seq(be/le)=1/256, ttl=64)

Volvemos a ejecutar el mismo ping sin alterar las tablas ARP.

> ping 192.168.1.254

N 66 67

Ping (tabla ARP completa) Fuente Destino Proto Funcin 192.168.1.10 192.168.1.254 ICMP Echo (ping) request (id=0x9507, seq(be/le)=1/256, ttl=64) 192.168.1.254 192.168.1.10 ICMP Echo (ping) reply (id=0x9507, seq(be/le)=1/256, ttl=64)

Las dos primeras lneas que veamos en la tabla anterior y que ahora han desaparecido corresponden a la peticin ARP, que ya no es necesaria porque la MAC de la direccin 192.168.1.254 la tenemos almacenada en cach.
Direccin 192.168.1.254 TipoHW DireccinHW ether 64:68:0c:34:b3:fd Indic Mscara C Interfaz wlan0

4. Analizar un paquete ICMP de los capturados anteriormente.

N 66

Fuente 192.168.1.10

Destino Proto 192.168.1.254 ICMP

Ping (ICMP) Funcin Echo (ping) request (id=0x9507, seq(be/le)=1/256, ttl=64)

Bytes paquete 000D - 0024

Cabecera IEE 802.11 Data, Flags

Bytes cabecera 2 2 6 6 6 2

Contenido 08 01 (datos)(normal) 34 00 (52) 64 68 0c 34 b4 00 00 19 7d d4 02 b4 64 68 0c 34 b3 fd d0 33 (0) (829) 45 (4) (20 bytes) 00 00 54 (84) 00 00 40 00 40 (64) 01 (ICMP) b6 50 (correcto) c0 a8 01 0a (192.168.1.10) c0 a8 01 fe (192.168.1.254) 08 (ping) 00 (0) 55 2a (correcto) 95 07 00 01 (1) 10 97 23 4d e4 e5 0a 00 08 09 0a 0b 0c 0d 0e 0f 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f 20 21 22 23 24 25 26 27 28 29 2a 2b 2c 2d 2e 2f 30 31 32 33 34 35 36 37

Significado Tipo/Subtipo Frame Control Duracin BSS ID Origen Destino N Fragmento N Secuencia Versin/Longitud cabecera Servicios diferenciados Longitud total Identificacin Flags/ Offset fragmento Tiempo de vida Protocolo Checksum Fuente Destino Tipo Cdigo Checksum Identificador N secuencia Datos

002D - 0040

IP

1 1 2 2 2 1 1 2 4 4

0041 - 0080

ICMP

1 1 2 2 2 56

5. A continuacin, llevaremos a cabo el seguimiento de una conexin TCP desde su establecimiento hasta su liberacin. Durante todo este proceso, hemos de tener nuestro analizador de red monitorizando. Como el sitio Web de la asignatura de redes est continuamente cado, realizaremos las pruebas utilizando un servidor a nuestra eleccin donde hemos alojado una pgina de prueba que nos servir expresamente para la prctica. http://franatoche.zzl.org/hola_mundo.html

a) Establecimiento de la conexin indicando los paquetes que la integran as como los valores de los flags de la cabecera en cada uno de ellos y los valores de las ventanas de recepcin en cada direccin de flujo.

Una conexin TCP se realiza en tres pasos (three-way handshake)

El cliente A enva un paquete de SYN al sistema destinatario con un nmero de secuencia inicial asociado a la conexin. (Cliente) Seq = 0

El servidor B responde con un paquete SYN-ACK (acuse de recibo), confirmando la recepcin del SYN enviado por el emisor y le enva a su vez su propio nmero de secuencia. (Servidor) Seq = 0, Ack = (Cliente) Seq + 1 = 0+1 = 1

10

Para finalizar, el sistema A reconoce la recepcin del SYN del servidor B mediante el envo de un ACK. Este es el momento en que queda establecida la conexin. Ya se puede iniciar la transferencia de datos entre el cliente y el servidor. (Cliente)Seq = (Cliente)Seq +1 = 0 +1 = 1 , Ack = (Servidor)Seq + 1 = 0+1 = 1

b) Fase de transferencia de datos contando el nmero de paquetes que se han transmitido en cada direccin del flujo de datos y cuantos de ellos llevaban encapsulado un mensaje HTTP en su campo de datos.

En la primera lnea, el cliente solicita haciendo uso del comando GET del protocolo HTTP la pagina hola mundo.

11

A continuacin, el servidor responde a la peticin del cliente mediante un ACK y comienza a transmitir el fichero solicitado.

c) Liberacin de la conexin indicando los paquetes que la integran as como los valores de los flags de la cabecera en cada uno de ellos y los valores de las ventanas de recepcin en cada direccin de flujo. La fase de finalizacin de la conexin usa una negociacin en cuatro pasos (four-way handshake), terminando la conexin desde cada lado independientemente. Cuando uno de los dos extremos de la conexin desea desvincularse, transmite un paquete FIN que el otro interlocutor asentir con un ACK.

12

Generalmente, los clientes HTTP buscando una mayor eficiencia, no cierran las conexiones TCP, sino que dejan que expiren. 6. Realizar un proceso de footprinting. Antes de planificar un posible ataque a un sistema, se debe conocer el objetivo, es decir, obtener su huella identificativa o footprinting. Por tanto, la primera tarea a realizar consiste en dedicar un esfuerzo considerable a obtener y recolectar sta informacin.
> ping www.tuenti.com PING www.tuenti.com (95.131.168.196) 56(84) bytes 64 bytes from wwwb11.tuenti.com (95.131.168.196): 64 bytes from wwwb11.tuenti.com (95.131.168.196): 64 bytes from wwwb11.tuenti.com (95.131.168.196): 64 bytes from wwwb11.tuenti.com (95.131.168.196): 64 bytes from wwwb11.tuenti.com (95.131.168.196): of data. icmp_seq=1 icmp_seq=2 icmp_seq=3 icmp_seq=4 icmp_seq=5

ttl=51 ttl=50 ttl=51 ttl=51 ttl=51

time=103 ms time=104 ms time=105 ms time=98.7 ms time=102 ms

--- www.tuenti.com ping statistics --5 packets transmitted, 5 received, 0% packet loss, time 4005ms rtt min/avg/max/mdev = 98.740/102.932/105.000/2.222 ms

> traceroute www.tuenti.com traceroute to www.tuenti.com (95.131.168.193), 30 hops max, 60 byte packets 1 192.168.1.254 (192.168.1.254) 1.697 ms 2.130 ms 3.583 ms 2 192.168.153.1 (192.168.153.1) 47.648 ms 50.084 ms 51.406 ms 3 98.Red-81-46-42.staticIP.rima-tde.net (81.46.42.98) 54.396 ms 55.718 ms 59.863 ms 4 So6-0-0-0-grtmadad1.red.telefonica-wholesale.net.10.16.84.in-addr.arpa (84.16.10.73) 86.862 ms 87.576 ms So5-0-0-0-grtmadad1.red.telefonicawholesale.net (84.16.11.37) 86.167 ms 5 Xe5-1-0-0-grtmadno1.red.telefonica-wholesale.net (84.16.13.225) 92.479 ms Xe7-1-1-0-grtmadde2.red.telefonica-wholesale.net (84.16.13.206) 91.391 ms 93.112 ms 6 Xe7-1-1-0-grtmadpe3.red.telefonica-wholesale.net (84.16.13.214) 95.498 ms So4-3-0-0-grtmadpe3.red.telefonica-wholesale.net (84.16.12.206) 72.676 ms So-41-3-0-grtmadpe3.red.telefonica-wholesale.net (84.16.12.49) 124.679 ms 7 * * * 8 po2-4G.ar2.MAD1.gblx.net (67.17.108.186) 104.009 ms 105.760 ms 107.682 ms 9 207.136.179.230 (207.136.179.230) 109.646 ms !X * *

13

1 2 3 4 5 6 7 8

192.168.1.254 1.429 ms 3.368 ms 3.802 ms 192.168.153.1 67.383 ms 67.691 ms 67.810 ms 80.58.122.17 68.914 ms 69.436 ms 70.142 ms 84.16.11.49 89.218 ms 89.753 ms 91.905 ms 84.16.13.214 97.315 ms 99.948 ms 100.398 ms * * * 67.17.108.186 130.040 ms 110.589 ms 110.955 ms 207.136.179.230 111.219 ms !X * *

> nslookup www.tuenti.com Server: Address: 80.58.61.250 80.58.61.250#53

Non-authoritative answer: Name: www.tuenti.com Address: 95.131.168.196 Name: www.tuenti.com Address: 95.131.168.193 Name: www.tuenti.com Address: 95.131.168.194 Name: www.tuenti.com Address: 95.131.168.195

Al parecer, la direccin http://www.tuenti.com est asociada en el servidor DNS a cuatro direcciones IP diferentes. 7. Realizar un proceso de fingerprinting. A continuacin, haciendo uso de la aplicacin nmap vamos a intentar averiguar la versin del Sistema Operativo del servidor que estamos analizando.
> nmap -O www.tuenti.com Starting Nmap 5.00 ( http://nmap.org ) at 2011-01-05 20:23 WET Warning: Hostname www.tuenti.com resolves to 4 IPs. Using 95.131.168.195. Device type: general purpose|webcam|WAP|broadband router|firewall Running (JUST GUESSING) : Linux 2.6.X|2.4.X (90%), AXIS Linux 2.6.X (89%), Sphairon embedded (89%), FON Linux 2.6.X (87%), Gemtek embedded (86%), Siemens embedded (86%), Check Point Linux 2.4.X (86%), Asus embedded (85%) Aggressive OS guesses: Linux 2.6.20-1 (Fedora Core 5) (90%), AXIS 207 Network Camera (Linux 2.6.16) or 241Q Video Server (89%), DD-WRT v24 SP1 (Linux 2.4.36) (89%), Linux 2.4.20 (Red Hat 7.2) (89%), DD-WRT v23 - v24 (Linux 2.4.20 2.4.35) (89%), DD-WRT v24 SP1 (Linux 2.4) (89%), Linux 2.6.17 - 2.6.28 (89%), Linux 2.6.19 (89%), Linux 2.6.24 (Fedora 8) (89%), Linux 2.6.24 - 2.6.28 (89%) No exact OS matches for host (test conditions non-ideal). OS detection performed. Nmap done: 1 IP address (1 host up) scanned in 15.06 seconds

8. Realizar un escaneo de puertos.

> nmap -T Normal --allports 95.131.168.193 Interesting ports on wwwb41.tuenti.com (95.131.168.193): Not shown: 993 closed ports PORT STATE SERVICE 80/tcp open http 443/tcp open https

14

444/tcp 646/tcp 1720/tcp 2020/tcp 2605/tcp

open filtered filtered filtered open

snpp ldp H.323/Q.931 xinupageserver bgpd

> nmap -T Normal --allports 95.131.168.195 Interesting ports on wwwb21.tuenti.com (95.131.168.195): Not shown: 994 closed ports PORT STATE SERVICE 80/tcp open http 443/tcp open https 444/tcp open snpp 646/tcp filtered ldp 1720/tcp filtered H.323/Q.931 2605/tcp open bgpd > nmap -T Normal --allports 95.131.168.196 Interesting ports on wwwb11.tuenti.com (95.131.168.196): Not shown: 994 closed ports PORT STATE SERVICE 80/tcp open http 443/tcp open https 444/tcp open snpp 646/tcp filtered ldp 1720/tcp filtered H.323/Q.931 2605/tcp open bgpd > nmap -T Normal --allports 95.131.168.194 Interesting ports on wwwb31.tuenti.com (95.131.168.194): Not shown: 994 closed ports PORT STATE SERVICE 80/tcp open http 443/tcp open https 444/tcp open snpp 646/tcp filtered ldp 1720/tcp filtered H.323/Q.931 2605/tcp open bgpd Nmap done: 1 IP address (1 host up) scanned in 9.87 seconds

15

4. Valoracin personal e incidencias de la prctica

Hemos tenido problemas con las exigencias del guin debido a que a la hora de finalizar la prctica, el servidor de redes ha estado continuamente cado sobretodo en fechas navideas. La prctica me ha parecido muy positiva y adems no ha resultado tan sencilla como las otras. Este grado de dificultad se debe en cierta medida al desconocimiento de la materia y a la necesidad de un trabajo previo de investigacin. Utilizar la aplicacin Wireshark para monitorizar el trfico de una red resulta fcil, no obstante el problema se plantea cuando debemos interpretar los datos obtenidos por la misma y ser capaces de sacar conclusiones. Para llevar a cabo el seguimiento de una conexin TCP desde su establecimiento hasta su liberacin, hemos diseado y alojado en un servidor gratuito una pgina web muy sencilla (hola mundo), lo que nos ha ayudado a entender a simple vista el funcionamiento del protocolo. A continuacin, hemos repetido las pruebas de navegacin y monitorizacin aadiendo alguna imagen para aumentar la complejidad. Por ltimo, mencionar que se ha hecho notar la versatilidad y utilidad de la aplicacin nmap que cuenta con gran cantidad de herramientas que pueden resultar tiles para analizar el estado de una red o dispositivo terminal. NOTA: El fichero con cinco minutos de monitorizacin de los puntos de acceso inalmbricos de la ULPGC que son accesibles desde el laboratorio de redes, se puede descargar de: http://franatoche.zzl.org/inalambrico_ULPGC.zip

16

5. Bibliografa

Alfon, 2008. Anlisis de red con Wireshark. Interpretando los datos http://seguridadyredes.nireblog.com/post/2008/02/14/analisis-de-red-con-wireshark interpretando-los-datos Alfon, 2008. Capturas de trfico de red. Establecimiento de una conexin TCP http://seguridadyredes.nireblog.com/post/2008/01/29/analisis-capturas-trafico-de-redinterpretacion-segmento-tcp-ii-establecimento-conexian-tcp Alfon, 2010. Finalizacin o cierre de una conexin TCP http://seguridadyredes.nireblog.com/post/2010/03/16/wireshark-tshark-finalizacion-ocierre-de-una-conexion-tcp Gordon Lyon, 2010. NMap http://nmap.org/man/es/ Wikipedia, 2010. TCP http://es.wikipedia.org/wiki/Transmission_Control_Protocol Wikipedia, 2010. Wireshark http://es.wikipedia.org/wiki/Wireshark

17