En esta entrada vamos a cambiar un poco la forma de trabajar con respecto a lo que ha sido habitual hasta ahora: vamos a realizar una tarea y vamos a comentarla analizando los resultados.
Una de las tareas de un administrador de red es monitorizar el tráfico de sus redes, aunque en esta entrada nos vamos a centrar en la captura y análisis de paquetes de red.
Para realizar esta tarea contamos con Wireshark: analizador de tráfico de red multi-plataforma que intenta capturar paquetes de red y mostrar dichos paquetes en tanto detalle como sea posible (está disponible en el DVD de la EPS).
La tarea a realizar consiste en ejecutar Wireshark en una red (la del laboratorio o la de casa, como queráis) y capturar los paquetes que circulan por dicha red. Para generar tráfico, abrid un navegador y conectaros a http://www.eps.ua.es.
En los comentarios de esta entrada debéis copiar las cabeceras de 10 paquetes que capturéis con esta herramienta e indicad qué información habéis obtenido de ellos. También podéis comentar las interpretaciones de otro compañero con la información de los paquetes que nos proporciona (siempre y cuando ampliéis o corrijáis lo que se dice) .
2 replies on “Captura y análisis de paquetes de red”
He realizado una captura en la red de mi casa y he obtenido entre otros, estos paquetes de red:
————————————————————————————
ARP Who has 192.168.2.1? Tell 192.168.2.2
0000 ff ff ff ff ff ff 00 24 21 1c df a0 08 06 00 01 …….$ !…….
0010 08 00 06 04 00 01 00 24 21 1c df a0 c0 a8 02 02 …….$ !…….
0020 00 00 00 00 00 00 c0 a8 02 01 …….. ..
Es un mensaje que pregunta por la dirección MAC de la dirección IP preguntada.
————————————————————————————
DNS Standard query response CNAME origin.eps.ua.es A 193.145.231.113
0000 00 24 21 1c df a0 00 1c df 83 38 99 08 00 45 00 .$!….. ..8…E.
0010 00 60 0c d3 00 00 40 11 e8 66 c0 a8 02 01 c0 a8 .`….@. .f……
0020 02 02 00 35 d3 bb 00 4c e3 e3 15 ba 81 80 00 01 …5…L ……..
0030 00 02 00 00 00 00 03 77 77 77 03 65 70 73 02 75 …….w ww.eps.u
0040 61 02 65 73 00 00 01 00 01 c0 0c 00 05 00 01 00 a.es…. ……..
0050 02 91 56 00 09 06 6f 72 69 67 69 6e c0 10 c0 2b ..V…or igin…+
0060 00 01 00 01 00 02 91 56 00 04 c1 91 e7 71 …….V …..q
Ha traducido el nombre puesto en el navegador a la dirección IP.
————————————————————————————
HTTP GET /js/menu.js HTTP/1.1
0000 00 1c df 83 38 99 00 24 21 1c df a0 08 00 45 00 ….8..$ !…..E.
0010 02 34 13 39 40 00 80 06 79 dd c0 a8 02 02 c1 91 .4.9@… y…….
0020 e7 71 ee 5e 00 50 a1 b7 03 2e a2 7d e4 eb 50 18 .q.^.P.. …}..P.
0030 ff 3c 15 b9 00 00 47 45 54 20 2f 6a 73 2f 6d 65 .<….GE T /js/me
0040 6e 75 2e 6a 73 20 48 54 54 50 2f 31 2e 31 0d 0a nu.js HT TP/1.1..
0050 41 63 63 65 70 74 3a 20 2a 2f 2a 0d 0a 52 65 66 Accept: */*..Ref
0060 65 72 65 72 3a 20 68 74 74 70 3a 2f 2f 77 77 77 erer: ht tp://www
0070 2e 65 70 73 2e 75 61 2e 65 73 2f 0d 0a 41 63 63 .eps.ua. es/..Acc
0080 65 70 74 2d 4c 61 6e 67 75 61 67 65 3a 20 65 73 ept-Lang uage: es
0090 2d 45 53 2c 65 73 2d 45 53 3b 71 3d 30 2e 35 0d -ES,es-E S;q=0.5.
00a0 0a 55 73 65 72 2d 41 67 65 6e 74 3a 20 4d 6f 7a .User-Ag ent: Moz
00b0 69 6c 6c 61 2f 34 2e 30 20 28 63 6f 6d 70 61 74 illa/4.0 (compat
00c0 69 62 6c 65 3b 20 4d 53 49 45 20 38 2e 30 3b 20 ible; MS IE 8.0;
00d0 57 69 6e 64 6f 77 73 20 4e 54 20 36 2e 30 3b 20 Windows NT 6.0;
00e0 54 72 69 64 65 6e 74 2f 34 2e 30 3b 20 47 54 42 Trident/ 4.0; GTB
00f0 36 2e 36 3b 20 55 73 65 72 2d 61 67 65 6e 74 3a 6.6; Use r-agent:
0100 20 4d 6f 7a 69 6c 6c 61 2f 34 2e 30 20 28 63 6f Mozilla /4.0 (co
0110 6d 70 61 74 69 62 6c 65 3b 20 4d 53 49 45 20 36 mpatible ; MSIE 6
0120 2e 30 3b 20 57 69 6e 64 6f 77 73 20 4e 54 20 35 .0; Wind ows NT 5
0130 2e 31 3b 20 53 56 31 3b 20 68 74 74 70 3a 2f 2f .1; SV1; http://
0140 62 73 61 6c 73 61 2e 63 6f 6d 29 20 3b 20 53 4c bsalsa.c om) ; SL
0150 43 43 31 3b 20 2e 4e 45 54 20 43 4c 52 20 32 2e CC1; .NE T CLR 2.
0160 30 2e 35 30 37 32 37 3b 20 2e 4e 45 54 20 43 4c 0.50727; .NET CL
0170 52 20 33 2e 35 2e 33 30 37 32 39 3b 20 2e 4e 45 R 3.5.30 729; .NE
0180 54 20 43 4c 52 20 31 2e 31 2e 34 33 32 32 3b 20 T CLR 1. 1.4322;
0190 2e 4e 45 54 20 43 4c 52 20 33 2e 30 2e 33 30 36 .NET CLR 3.0.306
01a0 31 38 3b 20 49 6e 66 6f 50 61 74 68 2e 32 3b 20 18; Info Path.2;
01b0 4f 66 66 69 63 65 4c 69 76 65 43 6f 6e 6e 65 63 OfficeLi veConnec
01c0 74 6f 72 2e 31 2e 33 3b 20 4f 66 66 69 63 65 4c tor.1.3; OfficeL
01d0 69 76 65 50 61 74 63 68 2e 30 2e 30 3b 20 2e 4e ivePatch .0.0; .N
01e0 45 54 34 2e 30 43 3b 20 2e 4e 45 54 34 2e 30 45 ET4.0C; .NET4.0E
01f0 29 0d 0a 41 63 63 65 70 74 2d 45 6e 63 6f 64 69 )..Accep t-Encodi
0200 6e 67 3a 20 67 7a 69 70 2c 20 64 65 66 6c 61 74 ng: gzip , deflat
0210 65 0d 0a 48 6f 73 74 3a 20 77 77 77 2e 65 70 73 e..Host: http://www.eps
0220 2e 75 61 2e 65 73 0d 0a 43 6f 6e 6e 65 63 74 69 .ua.es.. Connecti
0230 6f 6e 3a 20 4b 65 65 70 2d 41 6c 69 76 65 0d 0a on: Keep -Alive..
0240 0d 0a ..
Obtiene el recurso js requerido.
Hay muchos otros paquetes pidiendo imagenes y otros elementos necesarios para cargar la
página.
————————————————————————————
SSLv3 Server Hello, Change Cipher Spec, Encrypted Handshake Message
0000 00 24 21 1c df a0 00 1c df 83 38 99 08 00 45 00 .$!….. ..8…E.
0010 00 be 7b 97 40 00 30 06 34 46 5e f5 78 bd c0 a8 ..{.@.0. 4F^.x…
0020 02 02 01 bb ee f3 b5 97 4a ba 06 23 12 33 50 18 …….. J..#.3P.
0030 ff 3c 64 af 00 00 16 03 00 00 4a 02 00 00 46 03 .<d….. ..J…F.
0040 00 4d 1c cd f3 74 b3 a0 f3 0e 72 dd 94 98 4c 43 .M…t.. ..r…LC
0050 5d c3 ab 34 68 78 8a 6f 3a 3c c5 d9 19 7e e2 13 ]..4hx.o :<…~..
0060 31 20 e2 14 00 00 93 23 61 bc b2 b0 db ca a5 7f 1 …..# a…….
0070 5c 00 78 b2 3f 1d a6 0a 87 e3 cb ca d9 19 d3 3b \.x.?… …….;
0080 67 9a 00 05 00 14 03 00 00 01 01 16 03 00 00 3c g……. ……..[.
00a0 8e a2 8a 82 3c b5 71 53 3d 33 88 7c 72 e3 00 5b ……h.. .v..
Es un protocolo de seguridad de paquetes de Internet.
————————————————————————————
TCP http > 61112 [ACK] Seq=56 Ack=541 Win=6468 Len=0
0000 00 24 21 1c df a0 00 1c df 83 38 99 08 00 45 00 .$!….. ..8…E.
0010 00 28 93 fe 40 00 32 06 49 24 c1 91 e7 71 c0 a8 .(..@.2. I$…q..
0020 02 02 00 50 ee b8 a2 99 4c ca 63 a4 2c 21 50 10 …P…. L.c.,!P.
0030 19 44 bc b0 00 00 00 00 00 00 00 00 .D…… ….
Uno de los cientos de paquetes TCP enviados entre el servidor de la eps y el navegador.
He capturado con el whireshark en la red de mi casa:
Campos: Número de paquete en la captura / Tiempo de captura desde el inicio / Dirección origen / dirección destino / protocolo superior / subtipo del mensaje de ese protocolo
23 1.381947 192.168.1.1 192.168.1.255 RIPv1 Response
Mensaje que envía el router (192.168.1.1) a la dirección de broadcast de mi red usando el protocolo RIPv1 que sirve para intercambiar información acerca de los equipos de la red. Este en concreto es un mensaje de tipo respuesta que envía información actualizada de las tablas de rutas de los equipos de mi red al resto de equipos cada cierto tiempo. De esta forma si se produce algún cambio todos los equipos de la red pueden conocerlo.
Cabecera RIP:
Tipo de mensaje RIP: Command: Response (2)
Direcciones ip de la red actualizadas:
IP Address: 0.0.0.0, Metric: 2
IP Address: 192.168.153.1, Metric: 1
Si nos fijamos en el resto de la cabecera vemos que se envía sobre udp.
User Datagram Protocol, Src Port: router (520), Dst Port: router (520)
28 4.607376 192.168.1.34 80.58.0.33 DNS Standard query A
http://www.eps.ua.es
Cuando abro la página http://www.eps.ua.es en mi navegador, lo primero que ocurre es la solicitud al servidor DNS (alguno de los que mi equipo tiene en su lista) para obtener la ip correspondiente a la dirección(nombre) introducido.
192.168.1.34 es la dirección ip de mi equipo y 80.58.0.33 es la del servidor DNS al que va dirigido el mensaje.
Al analizar la cabecera DNS del paquete vemos alguna información interesante, como por ejemplo que la respuesta está en el paquete número 29 de la captura.
Si analizamos la cabecera udp, protocolo sobre el que funciona dns, podemos ver que el puerto destino es el 53 y el de origen en nuestra máquina el 57717
User Datagram Protocol, Src Port: 57717 (57717), Dst Port: 53 (53)
Analizamos ahora el paquete de respuesta.
29 4.656619 80.58.0.33 192.168.1.34 DNS Standard query response CNAME origin.eps.ua.es A 193.145.231.113
Si analizamos la cabecera DNS y dentro de ella el campo answers podemos ver alguna información interesante:
Podemos ver que el nombre http://www.eps.ua.es se trata de una alias(cname) para el verdadero nombre del servidor origin.eps.ua.es y que la dirección ip correspondiente es la 193.145.231.113
30 4.657422 192.168.1.34 193.145.231.113 TCP 49297 > 80 [SYN] Seq=0 Win=8192 Len=0 MSS=1460 WS=2
Paquete tcp entre mi equipo y el servidor web 193.145.231.113 (origin.eps.ua.es).
Este paquete es el inicio de la conexión tcp. (tcp es un protocolo orientado a conexión)
Podemos conocer algunos datos como:
Puerto de origen : 49297
Puerto Destino: 80
Número de secuencia: 0 Sirve para indicar que ningún segmento se ha perdido y que estos siguen en el orden correcto. Como el bit SYN está activo , indica que es el número inicial de la secuencia.
Ventana: 8192 bytes tamaño de la ventana de recepción, que especifica el número de bytes que el receptor está actualmente esperando recibir.
MSS: tamaño máximo de segmento, 1460 bytes. Es el tamaño máximo de datos que se acepta transmitir en la conexión.
34 5.220068 192.168.1.34 193.145.231.113 HTTP GET / HTTP/1.1
Paquete de datos sobre el protocolo HTTP. Mi equipo con ip 192.168.1.34 solicita información al equipo donde se encuentra en servidor web 193.145.231.113. Además le envía alguna información sobre el, como el navegador usado por el cliente, lenguaje…..También vemos que la versión usada de HTTP es la 1.1.
11 0.698132 65.55.94.222 192.168.1.34 TLSv1 Server Hello, Certificate, Server Hello Done
Se trata de un paquete en el que un equipo con ip 65.55.94.22 me envía información para realizar una conexión segura usando el protocolo de encriptación TLSv1. Este protocolo aplicación permite enviar información encriptada usando el protocolo de transporte tcp. Seguramente es debido alguna aplicación interna del sistema operativo windows con el que funciona mi máquina.
Dentro de la cabecera tcp podemos ver:
Puerto de origen : 443 (https)
Puerto destino: 49296
Dentro de la cabecera TLS/ SSL (SSL era el predecesor) podemos ver entre otros:
La versión:
Version: TLS 1.0 (0x0301)
Algunos certificados:
Certificate (id-at-commonName=Microsoft Secure Server Authority,dc=redmond,dc=corp,dc=microsoft,dc=com)
14 0.780335 fe80::85e2:1b1f:4e4b:a56a ff02::c SSDP M-SEARCH * HTTP/1.1
Paquete que usa el protocolo simple de descubrimiento de servicios SSDP. Sirve para la búsqueda de dispositivos plug and play en una red. En este caso la máquina origen es mi pc del que se indica la MAC fe80::85e2:1b1f:4e4b:a56a y ff02::c el destino que serian todos los nodos de la red. Si alguno de ellos ofrece el servicio deseado le contesta con un mensaje norma http con el código 200 OK.
El servicio solicitado es el siguiente:
ST:urn:Microsoft Windows Peer Name Resolution Protocol: V4:IPV6:LinkLocal\r\n
Además vemos podemos ver que el protocolo de transporte usado es UDP y conocer los puerto origen y destino:
User Datagram Protocol, Src Port: 53414 (53414), Dst Port: ssdp (1900)
Como ya no encuentro en la captura más paquetes usen protocolos voy analizar 3 paquetes de la conexión que corresponde a solicitudes y respuestas en la conexión para obtener los datos de la página web.
737 7.515043 193.145.231.113 192.168.1.34 HTTP HTTP/1.1 200 OK (GIF89a)
Si analizamos la cabecera ip:
ip origen: 193.145.231.113
ip destino: 192.168.1.34
version de protocolo ip :4
tamaño de cabecera ip: 20 bytes
tamaño total(incluye datos de protocolos superiores) : 977 bytes
En cuanto a la cabecera TCP podemos ver:
Puerto origen–>Source port: http (80)
Puerto destino–> Destination port: 49324 (49324)
Número de secuencia–>Sequence number: 1 (relative sequence number)
Número de respuesta. El mensaje de respuesta por parte del equipo destino tendrá que contener este número de secuencia–>Acknowledgement number: 546 (relative ack number)
bit PSH= 1 . Indica que los datos de este mensaje y los que se encontraban ya en el bufen han se transferidos lo antes posible a la aplicación.
bit ACK=1 . Espera mensaje de confirmación por parte del receptor
Cabecera HTTP:
Si lo analizamos podemos conocer algunos datos del servidor web y de la información enviada que este caso se trata de un archivo de imagen gif.
Fecha de envío–>Date: Sun, 09 Jan 2011 12:22:09 GMT\r\n
Servidor web utilizado–>Server: Apache\r\n
Tipo de contenido: Content-Type: image/gif\r\n
Podemos incluso conocer las dimensiones de la imagen.
738 7.515122 192.168.1.34 193.145.231.113 TCP 49324 > http [FIN, ACK] Seq=546 Ack=938 Win=64860 Len=0
Es el paquete de respuesta al anterior ya que si nos fijamos en el número de secuencia 546 coincide con el número ACK del anterior. Es enviado por tanto desde mi equipo como podemos comprobar en la cabecera ip , la ip origen es la 192.168.1.34
Por otro lado si nos fijamos en la cabecera TCP el bit FIN esta activo lo que indica que el emisor ya no tiene más paquetes para enviar en esta conexión TCP. El bit ACK esta 1 , lo que indica que espera confirmación por parte del receptor 193.145.231.113
740 7.515606 193.145.231.113 192.168.1.34 TCP http > 49324 [FIN, ACK] Seq=938 Ack=546 Win=7040 Len=0
Paquete de confirmación al anterior.