Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Wireshark - Analizando protocolos ICMP - ARP - DNS

  • 0 Respuestas
  • 6103 Vistas

0 Usuarios y 4 Visitantes están viendo este tema.

Conectado xyz

  • *
  • Moderador
  • Mensajes: 487
  • Actividad:
    16.67%
  • Reputación 10
    • Ver Perfil
    • Under0cde
« en: Marzo 25, 2017, 04:59:20 pm »
Esta ocasión la herramienta a utilizar es Wireshark.

 La documentación la encuentran en:
 
Código: [Seleccionar]
https://www.wireshark.org/docs/
 

El enlace de descarga de la aplicación:
 
Código: [Seleccionar]
https://1.na.dl.wireshark.org/win64/Wireshark-win64-2.2.5.exe

 https://1.na.dl.wireshark.org/win32/Wireshark-win32-2.2.5.exe

 https://1.na.dl.wireshark.org/src/wireshark-2.2.5.tar.bz2

 https://1.na.dl.wireshark.org/win32/WiresharkPortable_2.2.5.paf.exe
 

 Cuál es la finalidad del uso de la herramienta, principalmente el analisis de tramas y paquetes.

 Empecemos con la siguiente imagen:

 

 La consola esta limpia (sin lanzar comandos aún) a la derecha se encuentra corriendo Wireshark donde están las siguientes características en órden descendente:
  • Barra de Menús e Íconos de acceso rápido
  • Número de paquete con el timestamp, origen, destino, protocolo utilizado y longitud
  • Información detallada de tramas
  • Información hexadecimal y raw

Luego de realizar el siguiente comando:
 
Código: [Seleccionar]
ping localhost
 Obtenemos la siguiente imagen:

 

Donde Wireshark ya ha empezado a capturar todos los paquetes que transitan por la interfaz seleccionada.

Ingresando en el paquete número 1, encontramos la siguiente imagen:



Indicando en órden descendente:
  • Trama número 1
  • Capa 2 del modelo OSI
  • Tipo de protocolo que utiliza
  • Versión de protocolo

Empezando a conocer qué muestra la aplicación tenemos:


La información que la Trama Número 1 contiene es:
  • Interfaz mediante la cual está capturando tramas
  • Marcas de tiempo
  • Longitud y protocolos


Dentro de Ethernet II
se encuentra la dirección MAC origen y destino como tambíen la dirección IP origen y destino.


 Muestra la versión del protocolo, tipo de clase, carga efectica de longitud de trama.

 
Muestra la información que fue enviada y cuanto es la longitud.

¿ Porqué es necesario conocer ésta información ?

Empezar a comprender como funcionan las comunicaciones, procesos involucrados, direcciónes origen y destino utilizadas e información que se envía.

De esta forma, es posible entender a los Malwares debido que la mayoría trabaja con sockets. Sin dejar de lado otros aspectos de la comunicación, por ejemplo ARP-SPOOF, MAC-SPOOF y muchas cosas más interesantes.

Las dos imagenes siguientes muestran el estado del comando ping.
Código: [Seleccionar]
Icmp Request
Icmp Reply




A partir de aqui, realizaremos un
Código: [Seleccionar]
ping www.google.com.br y estudiaremos que sucede en la comunicación, veremos que protocolos intervienen.



Tal como la imagen anterior indica, al realizar una consulta por un host la comunicación es:
    Protocolos:
    • DNS
    • ARP
    • DNS
    • ICMP

    La consulta a realizar es mediante el nombre de un host entonces la comunicación necesita conocer su direccíón.

Aquí es recomendable conocer como trabaja cada protocolo.

 La siguiente imagen corresponde al primer paquete de la imagen anterior, donde analiza la consulta a [/list]
Código: [Seleccionar]
google.com.br e indica los tipos de protocolos que intervienen.

 

La siguiente imagen brinda información detallada del protocolo y puerto.
Con las siguientes incógnitas:
¿ Los puertos son Siempres los mismos ?
¿ La longitud es variable ?


 


La siguiente imagen desplega la siguiente informacíon, si el paquete es fragmentado o no (en caso de ser fragmentado llevara un identificador) dirección ip de origen y destino como tambien la geo-localización.



La última imagen, es bastante intuitiva acerca el protocolo ARP




-------

En la primer imagen, hay un sector
Código: [Seleccionar]
Apply a display filter donde permite ingresar diferentes tipos y concatenaciones de filtros para monitorear una comunicación.

Al utilizar un Port-Mirroring se estará monitoreando una red entera ya que el puerto del Switch que es monitor copia las tramas hacia mencionado puerto para que sea atrapado por algun software de monitoreo y asi poder conocer lo que pasa en la red.

Wireshark como monitor de red brinda información excepcional, tiene muchos filtros que permiten conocer estadísticamente que protocolos son los más utilizados, filtrar cabeceras Http, estados de conexiones, seguir flujos TCP, analizar como son re-ensamblados los paquetes.

Con las inquietudes

¿ Qué información encontrará si abre el archivo de https://underc0de.org/foro/underc0de/desafio-4-viernes-negro/msg110675/#msg110675 con Wireshark ?

 
Post para ampliar conocimientos

« Última modificación: Marzo 25, 2017, 05:00:51 pm por xyz »

 

¿Te gustó el post? COMPARTILO!



Manual wireshark

Iniciado por ANTRAX

Respuestas: 3
Vistas: 3608
Último mensaje Mayo 27, 2011, 04:43:24 pm
por kikerap
Introduccion al wireshark

Iniciado por aetsu

Respuestas: 2
Vistas: 4172
Último mensaje Abril 05, 2010, 03:38:31 pm
por OSX
Bruter 1.0 - Fuerza bruta por varios protocolos

Iniciado por d33k40

Respuestas: 8
Vistas: 4787
Último mensaje Enero 31, 2011, 11:29:47 am
por baron.power
Analizando .pcap con CapTipper

Iniciado por xyz

Respuestas: 0
Vistas: 2921
Último mensaje Enero 06, 2018, 11:45:21 pm
por xyz
La capa de red. Volumen IX : ICMP

Iniciado por 54NDR4

Respuestas: 0
Vistas: 2761
Último mensaje Marzo 26, 2013, 11:10:48 pm
por 54NDR4