14
1 Carlos Andrey Montoya Filtros en Wireshark Nivel: Usuario Administración de Plataformas y Seguridad Nivel Guía: 1 Objetivos: - Conocer las distintas opciones de configuración de Wireshark, las cules permitirán capturar los paquetes que se necesitan para analizar los resultados de las prácticas futuras de laboratorio - Configurar filtros de captura en Wireshark, los cuales permitirán que la información que se obtenga a través de la aplicación tenga la información depurada sobre lo que se desea analizar. - Configurar Filtros de vista que permitirán analizar la información capturada de una froma más acertada y precisa, ganando tiempo al revisar solo los paquetes objetivo. Requerimientos Windows 2003 Server (real) Acrobat Reader Máquina virtual de Linux (Fedora Core 7) o Máquina Virtual de Windows (W2K3 server) Vmware Convenciones Consejo Información Advertencia Tarea Extrema precaución Ejecución en una Terminal de Linux o Windows Metodología Durante el desarrollo de la guía primero se indicará lo que se necesita hacer y después como se hará, de esta manera el estudiante está en la libertad de hacer la guía basado en el que, siempre y cuando conozca como lo va a hacer. Todos los conceptos serán desarrollados en el transcurso de la guía.

Filtros en Wireshark

Embed Size (px)

Citation preview

  • 1

    Carlos Andrey Montoya

    Filtros en Wireshark

    Nivel: Usuario

    Administracin de Plataformas y

    Seguridad

    Nivel Gua: 1

    Objetivos: - Conocer las distintas opciones de configuracin de Wireshark, las cules permitirn

    capturar los paquetes que se necesitan para analizar los resultados de las prcticas futuras de laboratorio

    - Configurar filtros de captura en Wireshark, los cuales permitirn que la informacin que se obtenga a travs de la aplicacin tenga la informacin depurada sobre lo que se desea analizar.

    - Configurar Filtros de vista que permitirn analizar la informacin capturada de una froma ms acertada y precisa, ganando tiempo al revisar solo los paquetes objetivo.

    Requerimientos Windows 2003 Server (real) Acrobat Reader Mquina virtual de Linux (Fedora Core 7) o Mquina Virtual de Windows (W2K3 server) Vmware

    Convenciones

    Consejo

    Informacin

    Advertencia

    Tarea

    Extrema precaucin

    Ejecucin en una Terminal de Linux o Windows

    Metodologa

    Durante el desarrollo de la gua primero se indicar lo que se necesita hacer y despus

    como se har, de esta manera el estudiante est en la libertad de hacer la gua basado en

    el que, siempre y cuando conozca como lo va a hacer. Todos los conceptos sern

    desarrollados en el transcurso de la gua.

  • 2

    Carlos Andrey Montoya

    Pasos Previos

    Asegrese de tener instalado el Wireshark o Ethereal en el sistema operativo donde

    desee trabajar esta gua

    Inicie con el usuario root en Linux o Administrator en Windows. Password

    Password1

    El wireshark es el software que sucedi a ethereal, y funcionan de la misma manera

    en Windows que en Linux.

    Desarrollo

    1. Inicie la aplicacin de Wireshark

    En Linux:

    ethereal &

    o

    wireshark &

    En Windows:

    All ProgramsWiresharkWireshark

  • 3

    Carlos Andrey Montoya

    2. Antes de iniciar la captura, se debe configurar la interfaz por donde se desea

    capturar la informacin de la red. Para ello haga clic en el botn que lista las

    interfaces disponibles.

    Antes seguir con la gua, asegrese de identificar la interfaz de red con la que

    quiere trabajar, si usted cuenta con ms de una interfaz de red puede verificar la

    columna IP para ver si tiene la direccin ip de la interfaz con al que usted desea

    capturar.

    Para iniciar la configuracin de la interfaz haga clic en options de la interfaz

    seleccionada.

  • 4

    Carlos Andrey Montoya

    En la figura: Wireshark Capture Options usted puede configurar los siguientes campos:

    Capture Frame

    Interface: Especifica con que interfaz se desea capturar. Slo se puede capturer con

    una interfaz a la vez y que Wireshark haya encontrado. No se puede utilizar la

    interfaz de loopback.

    IP address: Muestra la direccin IP de la interfaz seleccionada

    Buffer size: n megabyte(s): Define el tamao del buffer que ser usado durante la

    captura. Este es el tamao del buffer del kernel el cual almacenar los paquetes

    capturados hasta que sean guardados en un archivo en el disco duro. Si descubre que

    el sniffer le ha borrado paquetes, o no le aparecen algunos de ellos, se debe aumentar

    el tamao.

    Esta opcin solo est disponible en la versin de Windows.

    Capture packets in promiscuous mode: Este check box configura la tarjeta de red

    para capturar en modo promiscuo o no.

  • 5

    Carlos Andrey Montoya

    Cuando una tarjeta se configura en modo promiscuo, permite capturar todos los

    paquetes que pasan por la interfaz. Si usted se encuentra en un entorno de switching

    capturara lo de su equipo ms el trfico de broadcast, pero si est en un entorno de

    hubs podr ver todo el trfico de la red.

    Si no configura la interfaz para capturar en modo promiscuo solo captur los paquetes

    que vayan dirigidos hacia su equipo.

    Si desea capturar el trfico de la red en un entorno de switching debe configurar sus

    equipos para hacer port mirroring de los puertos principales.

    Si otro proceso configura la interfaz en modo promiscuo, el sniffer capturar todo el

    trfico de la interfaz as est deshabilitado en wireshark.

    Para ms informacin: http://www.wireshark.org/faq.html#promiscsniff

    Limit each packet to n bytes: Este campo permite especificar el tamao mximo de

    los datos de cada paquete que ser capturado. Si no lo habilita el valor

    predeterminado es 65535. Si desea configurar esta opcin tenga en cuenta que:

    Si no necesita todos los datos de un paquete, por ejemplo, si solo necesita la

    informacin de enlace y cabeceras de IP y TCP puede configurar la captura para

    capturar pocos datos de los paquetes. De esta manera utilizar menos cpu y

    espacio en disco

    Si no captura todos los datos de los datos de los paquetes, podra ser que el dato

    que necesita de un paquete est en la parte que fue borrada, o no capturada, y de

    esta manera no cumplir con el objetivo de la captura.

    SI algn paquete es fragmentado, no se podr reemsamblar debido a que la

    informacin fue borrada o no capturada.

    Capture Filter: Este campo permite especificar filtros de captura los cuales

    trabajaremos durante el desarrollo de esta gua.

    Puede hacer clic en el botn Capture Filter: y armar un filtro de captura con la

    ayuda de los iconos.

  • 6

    Carlos Andrey Montoya

    Trabajar con archivos ms grandes que 100 MB puede causar que el equipo trabaje

    ms lento, en estos casos utilice la opcin de multiples files.

    Capture File(s) frame

    File: Este campo permite especificar el nombre del archive que ser usado para

    guardar los paquetes capturados, Si no especifica ningn nombre ser guardado en

    una archivo temporal.

    Puede hacer clic en el botn Browse y buscar la ubicacin del archivo y seleccionar o

    escribir un nombre de archivo.

    Use multiple files: no almacena toda la informacin de los paquetes en un solo

    archivo sino que crea uno nuevo cuando una condicin especifica se cumple.

    Next file every n megabyte(s): Funciona solo con la opcin de multiple files, cambia

    a un nuevo archivo cada que la captura llega a un determinado tope de espacio.

    Next file every n minute(s): Funciona solo con la opcin de multiple files, cambia a

    un nuevo archivo cada que ha pasado un determinado tiempo, ya sea segundos,

    minutos, horas, das.

    Ring buffer with n files: Funciona solo con la opcin de multiple files, crea un

    buffer en anillo con n archivos definidos.

    Stop capture after n file(s): Funciona solo con la opcin de multiple files, detiene la

    captura despus de haber guardado n archivos.

  • 7

    Carlos Andrey Montoya

    Stop Capture... frame

    ... after n packet(s): Detiene la captura despus de un determinado nmero de

    paqutes capturados.

    ... after n megabytes(s): Detiene la captura despus de un determinado nmero de

    byte(s)/kilobyte(s)/megabyte(s)/gigabyte(s) han sido capturados. No aplica si se usan

    mltiples archivos

    ... after n minute(s): Detiene la captura despus de un determinado tiempo.

    Display Options frame

    Update list of packets in real time: Esta opcin permite especificar si Wireshark

    debe mostrar los paquetes capturados en tiempo real, de lo contrario no mostrar los

    pauquetes capturados hasta que se detenga la captura. Las capturas de Wireshark

    corren en un proceso seprado al de mostrar los paquetes.

    Automatic scrolling in live capture: Est opcin permite que Wireshark realize el

    scroll de la barra cuando los paquetes no caben en una ventana. De esta manera podr

    estar monitoreando los paquetes nuevos de la captura. Esta opcin es deshabilitada si

    no se usa Update list of packets in real time.

    Hide capture info dialog: Esconde la ventana de dialogo de Wireshark, en esta

    ventana se muestra un resumen de la captura.

    Cuando se desea monitorear en tiempo real el trfico de la red, una buena opcin es

    habilitar las tres opciones del frame Display Options, debido a que permite visualizar

    todos los paquetes que se van capturando, en tiempo real.

    Name Resolution frame

    Enable MAC name resolution: Esta opcin habilita al wireshark para trasladar las

    direcciones MAC en nombres de equipos. Se utiliza para reconocer ms fcil los

    equipos cuando no se reconoce sus direcciones MAC

    Enable network name resolution: Esta opcin habilita al wireshark para trasladar

    las direcciones IP en nombres de equipos. Se utiliza para reconocer ms fcil los

    equipos cuando no se reconoce sus direcciones IP

  • 8

    Carlos Andrey Montoya

    Enable transport name resolution: Esta opcin habilita al wireshark para trasladar

    los Puertos en protocolos. Se utiliza para reconocer ms fcil los protocolos cuando

    no se reconoce los puertos predeterminados de las aplicaciones.

    Cuando realice capturas, deshabilite todas las opciones de resolucin de nombres, ya

    que si est tratando de rastrear un problema necesita comparar las direcciones ip y las

    MAC, no los nombres.

    Botones

    Una vez haya configurado las opciones de captura, puede hacer cliec en el botn start

    para iniciar la captura o cancel para cancelarla.

    Una vez haya iniciado la captura puede cancelarla cuando lo desee haciendo clic en

    el botn cancel el cual se muestra en la siguiente grfica.

    Cuando se empieza a capturar se activa la venta de capturing est ventana est dividida

    en tres partes:

    a) Lista de los paquetes: En esta parte se muestra la lista de todos los paquetes que

    se capturan

    b) Detalle del paquete: al hacer clic sobre un paquete, se muestra el contenido del

    paquete, las capas de los protocolos y los datos asociados, est informacin est

    decodificada para ser ms entendible.

    c) Bytes del paquete: muestra el contenido del paquete en bytes.

    La visualizacin de estas partes se pueden activar o desactivar a travs del men view.

  • 9

    Carlos Andrey Montoya

    Filtros de captura

    Como ya se mencion, los filtros de captura permiten acotar las capturas que se hagan y

    de esta manera no tener archivos demasiado extensos con informacin innecesaria.

    Para establecer los filtros de captura, estos se deben poner antes de iniciarla.

    Para ello ingrese por options de la interfaz de la que desea capturar, y colocar sus filtros

    de captura en el campo Capture Filter.

    Para establecer los filtros tiene las siguientes opciones

    Especificar el protocolo, por ejemplo:

    o tcp

    o ip

    o arp

    o icmp

  • 10

    Carlos Andrey Montoya

    Especificar un puerto o rango de puertos

    o port 53

    o port 80

    o port 25

    o portrange 1025-2050

    o portrange 2000-30000

    Note que cuando utiliza port #, no est especificando protocolo de transporte ni fuente

    o destino as que capturar todos los paquetes que tenga en puerto el nmero 25

    Especificar trfico de broadcast o multicast

    o broadcast

    o multicast

    Especificar un equipo o una red

    o host 192.168.130.111

    o net 192.168.130.0/24

    o host www.wireshark.org

    Especificar una fuente o un destino (ip o tcp o udp)

    o src 192.168.130.111

    o dst host www.wireshark.org

    o src port 2024

    o src portrange 1024-65535

    o dst port http

    o tcp dst port 80

  • 11

    Carlos Andrey Montoya

    Negar condiciones

    o not arp

    o not ip

    o not icmp

    o not host 192.168.130.111

    o not tcp port 25

    Anidar condiciones

    o ip and tcp port 80

    o tcp port http or tcp port 25

    o (host 192.168.130.111 and tcp port 80) or host www.wireshark.org

    Pruebe cada uno de estos filtros, teniendo en cuenta su direccin IP en el caso que lo

    requiera, navegue a travs de la red y verifique las capturas

    Tenga en cuenta que los filtros utilizados, usan puertos especficos, por ejemplo 80 o

    http, si usted no navega utilizando estos puertos no ver ninguna captura. Para inducir

    trfico por este puerto abra el browser (Internet Explorer o Firefox) y entre a

    www.wireshark.org o www.icesi.edu.co

    Una forma de inducir trfico por un puerto y direccin especficos es

    telnet DIRIP PUERTO

    cambie DIRIP por la direccin IP con la que desea probar y PUERTO por el puerto

    especifico que desea trabajar. Para salirse del telnet, si tiene respuesta del servidor:

    quit

    o

    exit

    Para mayor informacin sobre los filtros de captura revise la pgina

    http://wiki.wireshark.org/CaptureFilters, en esta pgina

  • 12

    Carlos Andrey Montoya

    Filtros de Visualizacin

    Una vez se ha capturado el trfico, usted puede establecer otros filtros para buscar

    comunicaciones especficas, o problemas puntuales.

    estos filtros no eliminan los paquetes que se han capturado solo muestra los que

    cumplen con las condiciones del filtro, si se elimina el filtro, se volver a mostrar

    todos los paquetes.

    Para establecer un filtro puede escribirlo en le campo filter o hacer clic en el botn

    Expression y armarlo por medio del men de ayuda

    Para establecer los filtros de visualizacin hay que tener en cuenta las reglas del filtro de

    captura, sin embargo el formato de la expresin es muy diferente en algunos casos.

    Algunas de las opciones son:

    Especificar el protocolo, por ejemplo:

    o tcp

    o ip

    o arp

    o icmp

    Especificar un puerto o rango de puertos

    o tcp.port==53

    o tcp.port==80

    o tcp.port==25

    o tcp.port > 1025 and tcp.port < 2050

    o tcp.port > 2000 and tcp.port < 30000

  • 13

    Carlos Andrey Montoya

    Especificar un equipo o una red

    o ip.addr==192.168.130.111

    o ip.addr==192.168.130.0/24

    Especificar una fuente o un destino (ip o tcp o udp)

    o ip.src==192.168.130.111

    o ip.dst==200.3.192.20

    www.icesi.edu.co (200.3.192.20)

    o tcp.srcport==2024

    o tcp.srcport>1024 && tcp.srcport

  • 14

    Carlos Andrey Montoya

    Pruebe cada uno de estos filtros, teniendo en cuenta su direccin IP en el caso que lo

    requiera, navegue a travs de la red y verifique las capturas

    Tenga en cuenta que los filtros utilizados, usan puertos especficos, por ejemplo 80 o

    http, si usted no navega utilizando estos puertos no ver ninguna captura. Para inducir

    trfico por este puerto abra el browser (Internet Explorer o Firefox) y entre a

    www.wireshark.org o www.icesi.edu.co

    Para ms informacin sobre los Display Filters visite la pgina:

    http://wiki.wireshark.org/DisplayFilters

    Wireshark permite identificar paquetes que cumplen con algunas reglas establecidas,

    la identificacin se hace mediante colores en los paquetes capturados. Si desea ms

    informacin sobre este servicio visite la siguiente pgina de Internet:

    http://wiki.wireshark.org/ColoringRules

    Esta gua est basada en la ayuda de Wireshark