Wireshark - Analizando protocolos ICMP - ARP - DNS

  • 0 Respuestas
  • 7498 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado xyz

  • *
  • Ex-Staff
  • *****
  • Mensajes: 533
  • Actividad:
    0%
  • Reputación 13
    • Ver Perfil
    • Under0cde

Wireshark - Analizando protocolos ICMP - ARP - DNS

  • en: Marzo 25, 2017, 04:59:20 pm
Esta ocasión la herramienta a utilizar es Wireshark.

 La documentación la encuentran en:
 
Código: You are not allowed to view links. Register or Login
https://www.wireshark.org/docs/
 

El enlace de descarga de la aplicación:
 
Código: You are not allowed to view links. Register or Login
 https://1.na.dl.wireshark.org/win64/Wireshark-win64-2.2.5.exe

 https://1.na.dl.wireshark.org/win32/Wireshark-win32-2.2.5.exe

 https://1.na.dl.wireshark.org/src/wireshark-2.2.5.tar.bz2

 https://1.na.dl.wireshark.org/win32/WiresharkPortable_2.2.5.paf.exe
 

 Cuál es la finalidad del uso de la herramienta, principalmente el analisis de tramas y paquetes.

 Empecemos con la siguiente imagen:

 

 La consola esta limpia (sin lanzar comandos aún) a la derecha se encuentra corriendo Wireshark donde están las siguientes características en órden descendente:
  • Barra de Menús e Íconos de acceso rápido
  • Número de paquete con el timestamp, origen, destino, protocolo utilizado y longitud
  • Información detallada de tramas
  • Información hexadecimal y raw

Luego de realizar el siguiente comando:
 
Código: You are not allowed to view links. Register or Login
ping localhost
 Obtenemos la siguiente imagen:

 

Donde Wireshark ya ha empezado a capturar todos los paquetes que transitan por la interfaz seleccionada.

Ingresando en el paquete número 1, encontramos la siguiente imagen:



Indicando en órden descendente:
  • Trama número 1
  • Capa 2 del modelo OSI
  • Tipo de protocolo que utiliza
  • Versión de protocolo

Empezando a conocer qué muestra la aplicación tenemos:


La información que la Trama Número 1 contiene es:
  • Interfaz mediante la cual está capturando tramas
  • Marcas de tiempo
  • Longitud y protocolos


Dentro de Ethernet II
se encuentra la dirección MAC origen y destino como tambíen la dirección IP origen y destino.


 Muestra la versión del protocolo, tipo de clase, carga efectica de longitud de trama.

 
Muestra la información que fue enviada y cuanto es la longitud.

¿ Porqué es necesario conocer ésta información ?

Empezar a comprender como funcionan las comunicaciones, procesos involucrados, direcciónes origen y destino utilizadas e información que se envía.

De esta forma, es posible entender a los Malwares debido que la mayoría trabaja con sockets. Sin dejar de lado otros aspectos de la comunicación, por ejemplo ARP-SPOOF, MAC-SPOOF y muchas cosas más interesantes.

Las dos imagenes siguientes muestran el estado del comando ping.
Código: You are not allowed to view links. Register or Login
Icmp Request
Icmp Reply




A partir de aqui, realizaremos un
Código: You are not allowed to view links. Register or Login
ping www.google.com.br y estudiaremos que sucede en la comunicación, veremos que protocolos intervienen.



Tal como la imagen anterior indica, al realizar una consulta por un host la comunicación es:
    Protocolos:
    • DNS
    • ARP
    • DNS
    • ICMP

    La consulta a realizar es mediante el nombre de un host entonces la comunicación necesita conocer su direccíón.

Aquí es recomendable conocer como trabaja cada protocolo.

 La siguiente imagen corresponde al primer paquete de la imagen anterior, donde analiza la consulta a [/list]
Código: You are not allowed to view links. Register or Login
google.com.br e indica los tipos de protocolos que intervienen.

 

La siguiente imagen brinda información detallada del protocolo y puerto.
Con las siguientes incógnitas:
¿ Los puertos son Siempres los mismos ?
¿ La longitud es variable ?


 


La siguiente imagen desplega la siguiente informacíon, si el paquete es fragmentado o no (en caso de ser fragmentado llevara un identificador) dirección ip de origen y destino como tambien la geo-localización.



La última imagen, es bastante intuitiva acerca el protocolo ARP




-------

En la primer imagen, hay un sector
Código: You are not allowed to view links. Register or Login
Apply a display filter donde permite ingresar diferentes tipos y concatenaciones de filtros para monitorear una comunicación.

Al utilizar un Port-Mirroring se estará monitoreando una red entera ya que el puerto del Switch que es monitor copia las tramas hacia mencionado puerto para que sea atrapado por algun software de monitoreo y asi poder conocer lo que pasa en la red.

Wireshark como monitor de red brinda información excepcional, tiene muchos filtros que permiten conocer estadísticamente que protocolos son los más utilizados, filtrar cabeceras Http, estados de conexiones, seguir flujos TCP, analizar como son re-ensamblados los paquetes.

Con las inquietudes

¿ Qué información encontrará si abre el archivo de You are not allowed to view links. Register or Login con Wireshark ?

 
Post para ampliar conocimientos

« Última modificación: Marzo 25, 2017, 05:00:51 pm por xyz »

 

Manual wireshark

Iniciado por ANTRAX

Respuestas: 3
Vistas: 3857
Último mensaje Mayo 27, 2011, 04:43:24 pm
por kikerap
Introduccion al wireshark

Iniciado por aetsu

Respuestas: 2
Vistas: 4485
Último mensaje Abril 05, 2010, 03:38:31 pm
por OSX
Bruter 1.0 - Fuerza bruta por varios protocolos

Iniciado por d33k40

Respuestas: 8
Vistas: 5230
Último mensaje Enero 31, 2011, 11:29:47 am
por baron.power
Analizando .pcap con CapTipper

Iniciado por xyz

Respuestas: 0
Vistas: 3272
Último mensaje Enero 06, 2018, 11:45:21 pm
por xyz
La capa de red. Volumen IX : ICMP

Iniciado por 54NDR4

Respuestas: 0
Vistas: 2960
Último mensaje Marzo 26, 2013, 11:10:48 pm
por 54NDR4