Administracin de Plataformas y Filtros en Wireshark Nivel: Usuario

Objetivos: Conocer las distintas opciones de configuracin de Wireshark, las cules permitirn capturar los paquetes que se necesitan para analizar los resultados de las prcticas futuras de laboratorio Configurar filtros de captura en Wireshark, los cuales permitirn que la informacin que se obtenga a travs de la aplicacin tenga la informacin depurada sobre lo que se desea analizar. Configurar Filtros de vista que permitirn analizar la informacin capturada de una froma ms acertada y precisa, ganando tiempo al revisar solo los paquetes objetivo. Requerimientos Windows 2003 Server (real) Acrobat Reader Mquina virtual de Linux (Fedora Core 7) o Mquina Virtual de Windows (W2K3 server) Vmware

Seguridad

Nivel Gua: 1

Convenciones

Consejo Informacin Advertencia Tarea Extrema precaucin Ejecucin en una Terminal de Linux o Windows
Metodologa

Durante el desarrollo de la gua primero se indicar lo que se necesita hacer y despus como se har, de esta manera el estudiante est en la libertad de hacer la gua basado en el que, siempre y cuando conozca como lo va a hacer. Todos los conceptos sern desarrollados en el transcurso de la gua.

1 Carlos Andrey Montoya

Pasos Previos

Asegrese de tener instalado el Wireshark o Ethereal en el sistema operativo donde desee trabajar esta gua

Inicie con el usuario root en Linux o Administrator en Windows. Password Password1 El wireshark es el software que sucedi a ethereal, y funcionan de la misma manera en Windows que en Linux.

Desarrollo

1. Inicie la aplicacin de Wireshark

En Linux: ethereal & o wireshark &

En Windows: All Programs Wireshark Wireshark

2 Carlos Andrey Montoya

2. Antes de iniciar la captura, se debe configurar la interfaz por donde se desea capturar la informacin de la red. Para ello haga clic en el botn que lista las interfaces disponibles.

Antes seguir con la gua, asegrese de identificar la interfaz de red con la que quiere trabajar, si usted cuenta con ms de una interfaz de red puede verificar la columna IP para ver si tiene la direccin ip de la interfaz con al que usted desea capturar.

Para iniciar la configuracin de la interfaz haga clic en options de la interfaz seleccionada. 3 Carlos Andrey Montoya

En la figura: Wireshark Capture Options usted puede configurar los siguientes campos: Capture Frame Interface: Especifica con que interfaz se desea capturar. Slo se puede capturer con una interfaz a la vez y que Wireshark haya encontrado. No se puede utilizar la interfaz de loopback. IP address: Muestra la direccin IP de la interfaz seleccionada Buffer size: n megabyte(s): Define el tamao del buffer que ser usado durante la captura. Este es el tamao del buffer del kernel el cual almacenar los paquetes capturados hasta que sean guardados en un archivo en el disco duro. Si descubre que el sniffer le ha borrado paquetes, o no le aparecen algunos de ellos, se debe aumentar el tamao. Esta opcin solo est disponible en la versin de Windows. Capture packets in promiscuous mode: Este check box configura la tarjeta de red para capturar en modo promiscuo o no. 4 Carlos Andrey Montoya

Cuando una tarjeta se configura en modo promiscuo, permite capturar todos los paquetes que pasan por la interfaz. Si usted se encuentra en un entorno de switching capturara lo de su equipo ms el trfico de broadcast, pero si est en un entorno de hubs podr ver todo el trfico de la red. Si no configura la interfaz para capturar en modo promiscuo solo captur los paquetes que vayan dirigidos hacia su equipo. Si desea capturar el trfico de la red en un entorno de switching debe configurar sus equipos para hacer port mirroring de los puertos principales. Si otro proceso configura la interfaz en modo promiscuo, el sniffer capturar todo el trfico de la interfaz as est deshabilitado en wireshark. Para ms informacin: http://www.wireshark.org/faq.html#promiscsniff Limit each packet to n bytes: Este campo permite especificar el tamao mximo de los datos de cada paquete que ser capturado. Si no lo habilita el valor predeterminado es 65535. Si desea configurar esta opcin tenga en cuenta que: Si no necesita todos los datos de un paquete, por ejemplo, si solo necesita la informacin de enlace y cabeceras de IP y TCP puede configurar la captura para capturar pocos datos de los paquetes. De esta manera utilizar menos cpu y espacio en disco Si no captura todos los datos de los datos de los paquetes, podra ser que el dato que necesita de un paquete est en la parte que fue borrada, o no capturada, y de esta manera no cumplir con el objetivo de la captura. SI algn paquete es fragmentado, no se podr reemsamblar debido a que la informacin fue borrada o no capturada. Capture Filter: Este campo permite especificar filtros de captura los cuales trabajaremos durante el desarrollo de esta gua. Puede hacer clic en el botn Capture Filter: y armar un filtro de captura con la ayuda de los iconos.

5 Carlos Andrey Montoya

Trabajar con archivos ms grandes que 100 MB puede causar que el equipo trabaje ms lento, en estos casos utilice la opcin de multiples files.

Capture File(s) frame File: Este campo permite especificar el nombre del archive que ser usado para guardar los paquetes capturados, Si no especifica ningn nombre ser guardado en una archivo temporal. Puede hacer clic en el botn Browse y buscar la ubicacin del archivo y seleccionar o escribir un nombre de archivo.

Use multiple files: no almacena toda la informacin de los paquetes en un solo archivo sino que crea uno nuevo cuando una condicin especifica se cumple. Next file every n megabyte(s): Funciona solo con la opcin de multiple files, cambia a un nuevo archivo cada que la captura llega a un determinado tope de espacio. Next file every n minute(s): Funciona solo con la opcin de multiple files, cambia a un nuevo archivo cada que ha pasado un determinado tiempo, ya sea segundos, minutos, horas, das. Ring buffer with n files: Funciona solo con la opcin de multiple files, crea un buffer en anillo con n archivos definidos. Stop capture after n file(s): Funciona solo con la opcin de multiple files, detiene la captura despus de haber guardado n archivos.

6 Carlos Andrey Montoya

Stop Capture... frame ... after n packet(s): Detiene la captura despus de un determinado nmero de paqutes capturados. ... after n megabytes(s): Detiene la captura despus de un determinado nmero de byte(s)/kilobyte(s)/megabyte(s)/gigabyte(s) han sido capturados. No aplica si se usan mltiples archivos ... after n minute(s): Detiene la captura despus de un determinado tiempo.

Display Options frame Update list of packets in real time: Esta opcin permite especificar si Wireshark debe mostrar los paquetes capturados en tiempo real, de lo contrario no mostrar los pauquetes capturados hasta que se detenga la captura. Las capturas de Wireshark corren en un proceso seprado al de mostrar los paquetes. Automatic scrolling in live capture: Est opcin permite que Wireshark realize el scroll de la barra cuando los paquetes no caben en una ventana. De esta manera podr estar monitoreando los paquetes nuevos de la captura. Esta opcin es deshabilitada si no se usa Update list of packets in real time. Hide capture info dialog: Esconde la ventana de dialogo de Wireshark, en esta ventana se muestra un resumen de la captura. Cuando se desea monitorear en tiempo real el trfico de la red, una buena opcin es habilitar las tres opciones del frame Display Options, debido a que permite visualizar todos los paquetes que se van capturando, en tiempo real.

Name Resolution frame Enable MAC name resolution: Esta opcin habilita al wireshark para trasladar las direcciones MAC en nombres de equipos. Se utiliza para reconocer ms fcil los equipos cuando no se reconoce sus direcciones MAC Enable network name resolution: Esta opcin habilita al wireshark para trasladar las direcciones IP en nombres de equipos. Se utiliza para reconocer ms fcil los equipos cuando no se reconoce sus direcciones IP

7 Carlos Andrey Montoya

Enable transport name resolution: Esta opcin habilita al wireshark para trasladar los Puertos en protocolos. Se utiliza para reconocer ms fcil los protocolos cuando no se reconoce los puertos predeterminados de las aplicaciones. Cuando realice capturas, deshabilite todas las opciones de resolucin de nombres, ya que si est tratando de rastrear un problema necesita comparar las direcciones ip y las MAC, no los nombres. Botones Una vez haya configurado las opciones de captura, puede hacer cliec en el botn start para iniciar la captura o cancel para cancelarla. Una vez haya iniciado la captura puede cancelarla cuando lo desee haciendo clic en el botn cancel el cual se muestra en la siguiente grfica.

Cuando se empieza a capturar se activa la venta de capturing est ventana est dividida en tres partes: a) Lista de los paquetes: En esta parte se muestra la lista de todos los paquetes que se capturan b) Detalle del paquete: al hacer clic sobre un paquete, se muestra el contenido del paquete, las capas de los protocolos y los datos asociados, est informacin est decodificada para ser ms entendible. c) Bytes del paquete: muestra el contenido del paquete en bytes. La visualizacin de estas partes se pueden activar o desactivar a travs del men view.

8 Carlos Andrey Montoya

Filtros de captura Como ya se mencion, los filtros de captura permiten acotar las capturas que se hagan y de esta manera no tener archivos demasiado extensos con informacin innecesaria.

Para establecer los filtros de captura, estos se deben poner antes de iniciarla. Para ello ingrese por options de la interfaz de la que desea capturar, y colocar sus filtros de captura en el campo Capture Filter. Para establecer los filtros tiene las siguientes opciones Especificar el protocolo, por ejemplo: o tcp o ip o arp o icmp

9 Carlos Andrey Montoya

Especificar un puerto o rango de puertos o port 53 o port 80 o port 25 o portrange 1025-2050 o portrange 2000-30000 Note que cuando utiliza port #, no est especificando protocolo de transporte ni fuente o destino as que capturar todos los paquetes que tenga en puerto el nmero 25 Especificar trfico de broadcast o multicast o broadcast o multicast

Especificar un equipo o una red o host 192.168.130.111 o net 192.168.130.0/24 o host www.wireshark.org

Especificar una fuente o un destino (ip o tcp o udp) o src 192.168.130.111 o dst host www.wireshark.org o src port 2024 o src portrange 1024-65535 o dst port http o tcp dst port 80

10 Carlos Andrey Montoya

Negar condiciones o not arp o not ip o not icmp o not host 192.168.130.111 o not tcp port 25

Anidar condiciones o ip and tcp port 80 o tcp port http or tcp port 25 o (host 192.168.130.111 and tcp port 80) or host www.wireshark.org Pruebe cada uno de estos filtros, teniendo en cuenta su direccin IP en el caso que lo requiera, navegue a travs de la red y verifique las capturas Tenga en cuenta que los filtros utilizados, usan puertos especficos, por ejemplo 80 o http, si usted no navega utilizando estos puertos no ver ninguna captura. Para inducir trfico por este puerto abra el browser (Internet Explorer o Firefox) y entre a www.wireshark.org o www.icesi.edu.co Una forma de inducir trfico por un puerto y direccin especficos es telnet DIRIP PUERTO cambie DIRIP por la direccin IP con la que desea probar y PUERTO por el puerto especifico que desea trabajar. Para salirse del telnet, si tiene respuesta del servidor: quit o exit Para mayor informacin sobre los filtros de captura revise la pgina http://wiki.wireshark.org/CaptureFilters, en esta pgina

11 Carlos Andrey Montoya

Filtros de Visualizacin Una vez se ha capturado el trfico, usted puede establecer otros filtros para buscar comunicaciones especficas, o problemas puntuales. estos filtros no eliminan los paquetes que se han capturado solo muestra los que cumplen con las condiciones del filtro, si se elimina el filtro, se volver a mostrar todos los paquetes. Para establecer un filtro puede escribirlo en le campo filter o hacer clic en el botn Expression y armarlo por medio del men de ayuda

Para establecer los filtros de visualizacin hay que tener en cuenta las reglas del filtro de captura, sin embargo el formato de la expresin es muy diferente en algunos casos. Algunas de las opciones son: Especificar el protocolo, por ejemplo: o tcp o ip o arp o icmp

Especificar un puerto o rango de puertos o tcp.port==53 o tcp.port==80 o tcp.port==25 o tcp.port > 1025 and tcp.port < 2050 o tcp.port > 2000 and tcp.port < 30000 12 Carlos Andrey Montoya

Especificar un equipo o una red o ip.addr==192.168.130.111 o ip.addr==192.168.130.0/24

Especificar una fuente o un destino (ip o tcp o udp) o ip.src==192.168.130.111 o ip.dst==200.3.192.20 www.icesi.edu.co (200.3.192.20) o tcp.srcport==2024 o tcp.srcport>1024 && tcp.srcport<65535 o http o tcp.dstport==80

Negar condiciones o not arp o not ip o not icmp o not ip.addr==192.168.130.111 o not tcp.port==25 o !ip.src==192.168.130.111

Anidar condiciones o ip and tcp.port 80 o tcp.port==80 or tcp.port==25 o (ip.addr==192.168.130.111 and tcp.port==80) or ip.addr==200.3.192.20 o (ip.src==192.168.130.111 && tcp.port==80) || ip.dst==200.3.192.20 o !ARP && !ICMP && ip.addr==192.168.130.0/24 || tcp.port==25 13 Carlos Andrey Montoya

Pruebe cada uno de estos filtros, teniendo en cuenta su direccin IP en el caso que lo requiera, navegue a travs de la red y verifique las capturas Tenga en cuenta que los filtros utilizados, usan puertos especficos, por ejemplo 80 o http, si usted no navega utilizando estos puertos no ver ninguna captura. Para inducir trfico por este puerto abra el browser (Internet Explorer o Firefox) y entre a www.wireshark.org o www.icesi.edu.co Para ms informacin sobre los Display Filters visite la pgina:

http://wiki.wireshark.org/DisplayFilters Wireshark permite identificar paquetes que cumplen con algunas reglas establecidas, la identificacin se hace mediante colores en los paquetes capturados. Si desea ms informacin sobre este servicio visite la siguiente pgina de Internet:

http://wiki.wireshark.org/ColoringRules Esta gua est basada en la ayuda de Wireshark

14 Carlos Andrey Montoya