Wireshark - Analizando protocolos ICMP - ARP - DNS

Iniciado por xyz, Marzo 25, 2017, 04:59:20 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Marzo 25, 2017, 04:59:20 PM Ultima modificación: Marzo 25, 2017, 05:00:51 PM por xyz
Esta ocasión la herramienta a utilizar es Wireshark.

La documentación la encuentran en:
 
Código: php
 https://www.wireshark.org/docs/
 


El enlace de descarga de la aplicación:
Código: php

https://1.na.dl.wireshark.org/win64/Wireshark-win64-2.2.5.exe

https://1.na.dl.wireshark.org/win32/Wireshark-win32-2.2.5.exe

https://1.na.dl.wireshark.org/src/wireshark-2.2.5.tar.bz2

https://1.na.dl.wireshark.org/win32/WiresharkPortable_2.2.5.paf.exe


Cuál es la finalidad del uso de la herramienta, principalmente el analisis de tramas y paquetes.

Empecemos con la siguiente imagen:



La consola esta limpia (sin lanzar comandos aún) a la derecha se encuentra corriendo Wireshark donde están las siguientes características en órden descendente:

  • Barra de Menús e Íconos de acceso rápido
  • Número de paquete con el timestamp, origen, destino, protocolo utilizado y longitud
  • Información detallada de tramas
  • Información hexadecimal y raw

Luego de realizar el siguiente comando:
Código: php
 ping localhost 


Obtenemos la siguiente imagen:



Donde Wireshark ya ha empezado a capturar todos los paquetes que transitan por la interfaz seleccionada.

Ingresando en el paquete número 1, encontramos la siguiente imagen:



Indicando en órden descendente:

  • Trama número 1
  • Capa 2 del modelo OSI
  • Tipo de protocolo que utiliza
  • Versión de protocolo

Empezando a conocer qué muestra la aplicación tenemos:


La información que la Trama Número 1 contiene es:

  • Interfaz mediante la cual está capturando tramas
  • Marcas de tiempo
  • Longitud y protocolos


Dentro de Ethernet II
se encuentra la dirección MAC origen y destino como tambíen la dirección IP origen y destino.


Muestra la versión del protocolo, tipo de clase, carga efectica de longitud de trama.


Muestra la información que fue enviada y cuanto es la longitud.

¿ Porqué es necesario conocer ésta información ?

Empezar a comprender como funcionan las comunicaciones, procesos involucrados, direcciónes origen y destino utilizadas e información que se envía.

De esta forma, es posible entender a los Malwares debido que la mayoría trabaja con sockets. Sin dejar de lado otros aspectos de la comunicación, por ejemplo ARP-SPOOF, MAC-SPOOF y muchas cosas más interesantes.

Las dos imagenes siguientes muestran el estado del comando ping.
Código: php

Icmp Request
Icmp Reply





A partir de aqui, realizaremos un
Código: php
 ping www.google.com.br 

y estudiaremos que sucede en la comunicación, veremos que protocolos intervienen.



Tal como la imagen anterior indica, al realizar una consulta por un host la comunicación es:
    Protocolos:
    • DNS
    • ARP
    • DNS
    • ICMP

    La consulta a realizar es mediante el nombre de un host entonces la comunicación necesita conocer su direccíón.

Aquí es recomendable conocer como trabaja cada protocolo.

La siguiente imagen corresponde al primer paquete de la imagen anterior, donde analiza la consulta a [/list]
Código: php
 google.com.br 
e indica los tipos de protocolos que intervienen.



La siguiente imagen brinda información detallada del protocolo y puerto.
Con las siguientes incógnitas:
¿ Los puertos son Siempres los mismos ?
¿ La longitud es variable ?





La siguiente imagen desplega la siguiente informacíon, si el paquete es fragmentado o no (en caso de ser fragmentado llevara un identificador) dirección ip de origen y destino como tambien la geo-localización.



La última imagen, es bastante intuitiva acerca el protocolo ARP




-------

En la primer imagen, hay un sector
Código: php
 Apply a display filter 
donde permite ingresar diferentes tipos y concatenaciones de filtros para monitorear una comunicación.

Al utilizar un Port-Mirroring se estará monitoreando una red entera ya que el puerto del Switch que es monitor copia las tramas hacia mencionado puerto para que sea atrapado por algun software de monitoreo y asi poder conocer lo que pasa en la red.

Wireshark como monitor de red brinda información excepcional, tiene muchos filtros que permiten conocer estadísticamente que protocolos son los más utilizados, filtrar cabeceras Http, estados de conexiones, seguir flujos TCP, analizar como son re-ensamblados los paquetes.

Con las inquietudes

¿ Qué información encontrará si abre el archivo de No tienes permitido ver los links. Registrarse o Entrar a mi cuenta con Wireshark ?

Post para ampliar conocimientos