21
USO DE WIRESHARK HECTOR FABIO ARBELAEZ MENDOZA VIVIVANA JAEL ARIAS TRUJILLO OLGA LUCIA RINCON HAMON ADRIANA TRUJILLO DONCEL

Uso de wireshark presentacion

Embed Size (px)

Citation preview

Page 1: Uso de wireshark presentacion

USO DE WIRESHARK

HECTOR FABIO ARBELAEZ MENDOZAVIVIVANA JAEL ARIAS TRUJILLOOLGA LUCIA RINCON HAMONADRIANA TRUJILLO DONCEL

Page 2: Uso de wireshark presentacion

Es un analizador de paquetes. Que Permite capturar todas las tramas que circulan por la interfaz de red de la máquina virtual y decodificar multitud de protocolos. A pesar de que la mayoría de las muestras que establecen conexiones de datos con servidores utilizan cifrado o un protocolo propio y desconocido, en muchas ocasiones se pueden ver claramente consultas DNS, descargas de archivos desde ciertas direcciones, y sobre todo, aunque no se pueda siempre comprobar qué tipo de datos ocupan el tráfico, ver a qué servidores se conecta el equipo.

QUE ES EL WIRESHARK?

Page 3: Uso de wireshark presentacion

Captura de PDU mediante pingPing a un PC de uso externo.

USO DE WIRESHARK

Page 4: Uso de wireshark presentacion

Responda lo siguiente desde la lista de paquetes Wireshark:

• ¿Qué protocolo se utiliza por ping?R/: Protocolo TCP/IP o ICM

• ¿Cuál es el nombre completo del protocolo? R/: Internet Control Message Protocol

• ¿Cuáles son los nombres de los dos mensajes ping? R/: Echo (ping) request y Echo (ping) replay

• ¿Las direcciones IP de origen y destino que se encuentran en la lista son las que esperaba? Sí ¿Por qué? R/: Porque estas van conectadas por LAN entre ellas. Además de que el origen es la nueva ip y el destino es la ip a la cual afecta el ping.

USO DE WIRESHARK

Page 5: Uso de wireshark presentacion

Captura de HTTP PDUInicie la captura de paquetes.

USO DE WIRESHARK

Page 6: Uso de wireshark presentacion

Aumente el tamaño del panel de Lista de paquetes de Wireshark y desplácese por las PDU que se encuentren en la lista.

USO DE WIRESHARK

Page 7: Uso de wireshark presentacion

En el panel Lista de paquetes, resalte un paquete HTTP que tenga la notación “(text/html)” en la columna Información.

USO DE WIRESHARK

Page 8: Uso de wireshark presentacion

El tercer grupo de PDU está relacionado con el cierre de sesión y la “desconexión”. Haga una lista de ejemplos de mensajes intercambiados durante este proceso.

USO DE WIRESHARK

Page 9: Uso de wireshark presentacion

Localice los intercambios TCP recurrentes a través del proceso FTP. ¿Qué característica de TCP indica esto?

USO DE WIRESHARK

Page 10: Uso de wireshark presentacion

El primer grupo está asociado con la fase “conexión” y el inicio de sesión en el servidor. Haga una lista de ejemplos de mensajes intercambiados en esta fase.

Page 11: Uso de wireshark presentacion
Page 12: Uso de wireshark presentacion

Toda comunicación tiene tres fases: inicio de sesión, intercambio de mensajes y finalización de sesión. Veamos algunas razones por las que ha de cuidarse la seguridad en el inicio de sesión:

Autenticación del usuario segura: cuando un usuario inicia sesión en un servidor, envía, entre otras cosas, su contraseña. Si la contraseña fuera interceptada por un intermediario, podría usarla posteriormente para acceder a la cuenta del usuario (sin su permiso, claro, y sin que se entere).

Autenticación del servidor: Un usuario puede intentar iniciar sesión en un servidor. Un intermediario podría hacerse pasar por el servidor, sin que el usuario se entere. El usuario proveería datos valiosos (entre otros la contraseña) al intermediario malicioso sin darse cuenta en un primer momento. Si el intermediario adicionalmente se conecta al servidor real haciéndose pasar por el usuario legítimo de la cuenta, podría capturar toda la comunicación sin que nadie se diera cuenta.

USO DE WIRESHARK

Page 13: Uso de wireshark presentacion

Haga una lista de ejemplos de mensajes intercambiados durante este proceso.

Veamos como es el inicio de sesión en Jabber.

• El cliente lo primero que hace es preguntar los sistemas de autenticación soportados por el servidor. También proporciona el nombre de usuario.

• <iq id='15'• type='get'>• <query xmlns='jabber:iq:auth'>• <username>badlop</username>• </query>• </iq>

USO DE WIRESHARK

Page 14: Uso de wireshark presentacion

Veamos como es el inicio de sesión en Jabber.

• El servidor responde entre otras cosas que acepta el envio de la contraseña en texto plano y también resumen de contraseña (hash).

• <iq type='result'• id='15'>• <query xmlns='jabber:iq:auth'>• <username>badlop</username>• <password/>• <digest/>• <resource/>• </query>• </iq>

Page 15: Uso de wireshark presentacion

El cliente ahora debe proporcionar la contraseña. Tiene dos posibilidades.

Si se decide enviar la contraseña en texto plano, entonces se envía tal cual. Cualquier intermediario puede leerla sin problema (quien este conectado en la red local del cliente o del servidor, el ISP...):

– <iq id='16'– type='set'>– <query xmlns='jabber:iq:auth'>– <username>badlop</username>– <password>trAlaRi9923</password>– <resource>casa/cocina</resource>– </query>– </iq>

Veamos como es el inicio de sesión en Jabber.

Page 16: Uso de wireshark presentacion

Si se decide enviar el resumen de la contraseña, entonces no se envía la contraseña tal cual, sino el resultado de aplicarle algunas funciones matemáticas. No obstante, un intermediario podría copiar ese resumen y usarlo posteriormente para iniciar sesión haciéndose pasar por el usuario legítimo.

<iq id='1'type='set'>

<query xmlns='jabber:iq:auth'> <username>badlop</username> <digest>8712162796c9aa001afffc150a91584bc45f9527</digest> <resource>casa/cocina</resource> </query></iq>

Veamos como es el inicio de sesión en Jabber.

Page 17: Uso de wireshark presentacion

• El servidor comprueba si la autenticación ha sido correcta y responde al cliente – Que todo va bien:– <iq type='result'– id='1'/>

• El cliente a partir de ese momento ya puede continuar con la inicialización de la sesión (solicitar la lista de contactos, etc).

O que ha habido un error (la contraseña no es válida, el método de autenticación no está soportado, la cuenta no existe...) y el usuario no está autorizado:

– <iq id='1'– type='error'>– <query xmlns='jabber:iq:auth'>– <username>badlop</username>– <password>trAlaRi9923pepepe</password>– <resource>casa/cocina</resource>– </query>– <error code='401'>Unauthorized</error>– </iq>

Veamos como es el inicio de sesión en Jabber.

Page 18: Uso de wireshark presentacion

Localice los intercambios TCP recurrentes a través del proceso FTP. ¿Qué característica de TCP indica esto?

Veamos como es el inicio de sesión en Jabber.

Page 19: Uso de wireshark presentacion

Pasó 3: Examine los Detalles del paquete.¿Cuáles son los protocolos encapsulados en la trama?Protocolo p.p.p ()

 Frame  1  (62  bytes  on  wire,  62  bytes  captured)

Arrival Time: Mar 21, 2004 20:02:28.850908000 Time delta from previous packet: 0.000000000 seconds Time since reference or first frame: 0.000000000 seconds Frame Number: 1 Packet Length: 62 bytes Capture Length: 62 bytes

Ethernet  II,  Src:  00:e0:4c:ec:bf:db,  Dst:  00:a0:c9:49:c2:00

Destination: 00:a0:c9:49:c2:00 (192.168.0.10) Source: 00:e0:4c:ec:bf:db (RealtekS_ec:bf:db) Type: IP (0x0800)

USO DE WIRESHARK

Page 20: Uso de wireshark presentacion

¿Qué características distinguen al contenido de estos paquetes?

R/: Es importante conocer cómo debemos transportar un archivo a lo largo de la red. Si no utilizamos las opciones adecuadas podemos destruir la información del archivo. Por eso, al ejecutar la aplicación FTP, debemos acordarnos de utilizar uno de estos comandos (o poner la correspondiente opción en un programa con interfaz gráfica):

tipo ASCII

Adecuado para transferir archivos que sólo contengan caracteres imprimibles (archivos ASCII, no archivos resultantes de un procesador de texto), por ejemplo páginas HTML, pero no las imágenes que puedan contener.

tipo binario

Este tipo es usado cuando se trata de archivos comprimidos, ejecutables para PC, imágenes, archivos de audio...

USO DE WIRESHARK

Page 21: Uso de wireshark presentacion

En el panel Lista de paquetes, resalte un paquete HTTP que tenga la notación “(text/HTML)” en la columna Información.

Captura de HTTP PDU

¿Cuándo esta información expande lo que se muestra? R/: Muestra el código HTML de la página web

USO DE WIRESHARK