UNIVERSIDAD TCNICA DEL NORTEFICA CIERCOMNETWORKING 1

Nombres:

Fecha: 13 /11/14

Tema: Software para la captura y anlisis de los PDU

Objetivo: Capturar y analizar los campos que tienen las tramas, paquetes y segmentos de las redes de datos.

LOS CAMPOS DE UNA TRAMA

Prembulo: El Prembulo es un patrn alternado de unos y ceros que se utiliza para la sincronizacin de los tiempos en implementaciones de 10 Mbps y menores de Ethernet. Las versiones ms veloces deEthernet son sncronas y esta informacin de temporizacin es redundante pero se retiene por cuestiones de compatibilidad.Un Delimitador de Inicio de Trama:Un Delimitador de Inicio de Trama es un campo de un octeto que marca el final de la informacin de temporizacin y contiene la secuencia de bits10101011.El campo de direccin destino El campo de direccin destino contiene la direccin destino MAC. La direccin destino puede ser unicast, multicast o de broadcast.

El campo de direccin de origenContiene la direccin MAC de origen. La direccin origen generalmente es la direccin unicast del nodo de transmisin de Ethernet. Sin embargo, existe un nmero creciente de protocolos virtuales en uso que utilizan y a veces comparten una direccin MAC origen especfico para identificar la entidad virtual.Campo Longitud/tipoEl campo Longitud/Tipo (2 bytes) define la longitud exacta del campo Datos de la trama. Este campo se utiliza ms adelante como parte de la Secuencia de verificacin de trama (FCS) con el objeto de asegurar que se haya recibido el mensaje de manera adecuada. Aqu se puede ingresar solamente el tipo o la longitud de una trama.Campos Encabezado, Datos y Relleno Los campos Datos y Relleno (de 46 a 1500bytes) contienen la informacin encapsulada de una capa superior, que es una PDU de Capa 3 genrica, o, ms comnmente, un paquete de IPv4. Todas las tramas deben tener una longitud mnima de 64 bytes (longitud mnima que colabora en la deteccin de colisiones).Campo Secuencia de verificacin de tramaEl campo FCS (4 bytes) detecta errores en una trama. Utiliza una comprobacin de redundancia cclica (CRC). El dispositivo emisor incluye los resultados de la CRC en el campo FCS de la trama.LOS CAMPOS DEL PAQUETE IP

Versin. Especifica la versin del protocolo IP a la que pertenece el datagrama, actualmente se est utilizando la versin 4 del protocolo.Longitud de la cabecera: Define el tamao de la cabecera IP en palabras de 32 bits, ya que esta puede ser de tamao variable. A efectos prcticos consideraremos la cabecera IP de tamao fijo (sin campo de opciones).Tipo de servicio: Contiene informacin acerca de cmo debe ser tratado el datagrama en su viaje al destino. Incluye algunos tems acerca de la calidad de servicio que va a recibir este datagrama. Actualmente, en esta versin de IP, este campo no es utilizado y su valor suele ser 0.Longitud total: Como su nombre indica, define el tamao total del datagrama (cabecera + datos) en bytes. Identificacin: Es un entero de 16 bits que identifica a este datagrama y lo distingue de otros datagramas que hemos enviado. Es una especie de nmero de secuencia que se incrementa cada vez que IP enva un datagrama.Flags + Desplazamiento de fragmento: Estos campos incluyen informacin til para el mecanismo de fragmentacin de datagramas. Cuando un datagrama cruza una pasarela y al otro lado existe una red con un MTU inferior al tamao del datagrama, la pasarela lo fragmenta en trozos. Estos fragmentos son datagramas que viajan hacia el destino de forma independiente, donde son recogidos por el protocolo IP para reconstruir el datagrama original.Tiempo de vida (TTL): Define el tiempo de que dispone el datagrama para llegar a su destino, con el fin de evitar la existencia de datagramas que, por errores en el encaminamiento, estn dando vueltas indefinidamente en la red. Cada vez que el datagrama cruza una pasarela, este campo es decrementado en una unidad, de forma que cuando alcanza el valor nulo, es eliminado de la red.Protocolo: Identifica el protocolo al que pertenecen la informacin almacenada en el campo de datos del datagrama. Checksum de la cabecera: En este campo se almacena un checksum de los campos de la cabecera. Es un mecanismo simple para detectar posibles errores en los campos de la cabecera del datagrama, los cuales podran provocar situaciones "incmodas" en la red.

CAMPOS DEL SEGMENTO TCP

Puerto origen (16 bits): Identifica el puerto emisor. Puerto destino (16 bits): Identifica el puerto receptor. Nmero de secuencia (32 bits): Identifica el byte del flujo de datos enviado por el emisor TCP al receptor TCP que representa el primer byte de datos del segmento. Nmero deacuse de recibo(32 bits): Contiene el valor del siguiente nmero de secuencia que el emisor del segmento espera recibir. Reservado (3 bits): para uso futuro. Debe estar a 0. Flags (9 bits): NS (1 bit): ECN-nonce concealment protection. Para proteger frente a paquetes accidentales o maliciosos que se aprovechan del control de congestin para ganar ancho de banda de la red. CWR (1bit): Congestion Window Reduced. El flag se activa por el host emisor para indicar que ha recibido un segmento TCP con el flag ECE activado y ha respondido con el mecanismo de control de congestin. ECE (1 bit): Para dar indicaciones sobre congestin. URG (1 bit): Indica que el campo del puntero urgente es vlido. ACK (1 bit): Indica que el campo de asentimiento es vlido. Todos lo paquetes enviados despus del paquete SYN inicial deben tener activo este flag. PSH (1 bit): Push. El receptor debe pasar los datos a la aplicacin tan pronto como sea posible. RST (1 bit): Reset. Reinicia la conexin. SYN (1 bit): Synchronice. Sincroniza los nmeros de secuencia para iniciar la conexin. FIN (1 bit): El emisor finaliza el envo de datos. Tamao de ventana o ventana de recepcin (16 bits): Tamao de la ventana de recepcin que especifica el nmero mximo de bytes que pueden ser metidos en el buffer de recepcin o dicho de otro modo, el nmero mximo de bytes pendientes de asentimiento. Es un sistema de control de flujo. Suma de verificacin (16 bits):Checksumutilizado para la comprobacin de errores tanto en la cabecera como en los datos. Puntero urgente (16 bits): Cantidad de bytes desde el nmero de secuencia que indica el lugar donde acaban los datos urgentes. Opciones: Para poder aadir caractersticas no cubiertas por la cabecera fija. Relleno: Se utiliza para asegurarse que la cabecera acaba con un tamao mltiplo de 32 bits.CAMPOS DEL SEGMETO UDP

La cabecera UDP consta de 4 campos de los cuales 2 son opcionales (con fondo rojo en la tabla). Los campos de los puertos fuente y destino son campos de16 bitsque identifican el proceso de origen y recepcin. Ya que UDP carece de un servidor de estado y el origen UDP no solicita respuestas, el puerto origen es opcional. En caso de no ser utilizado, el puerto origen debe ser puesto a cero. longitudUDP El valor mnimo es de 8 bytes. El campo de la cabecera restante es una suma de comprobacin de 16 bits que abarca una pseudo-cabecera IP (con las IP origen y destino, el protocolo y la longitud del paquete UDP).El checksum tambin es opcional en IPv4, aunque generalmente se utiliza en la prctica (en IPv6 su uso es obligatorio).

SOFTWARE PARA CAPTURAR TRAMAS, PAQUETES Y SEGMENTOSEl software utilizado es wireShark :WireShark es un software espa, capaz de capturar paquetes / tramas de comunicacin que circulen por una red Ethernet de forma que puedan mostrarse de la forma ms detallada posible para poder ser analizados.

Caractersticas importantes del software WireShark: Es un paquete de software Open Source (libre y gratuito): www.WireShark.org Captura y visualizacin de paquetes de informacin en tiempo real. Paros de captura por diferentes tipos de disparos (por tiempo, por cantidad de paquetes recibidos,...). Guardado / importacin / exportacin de archivos de capturas. Filtrado de paquetes. Estadsticas de red. Con WireShark no se pueden enviar ni manipular paquetes de informacin, solamente capturarlos y mostrarlos.

Wireshark nos permite capturar todo tipo de paquetes de una red, o de un host concreto. Muy fcil de utilizar con su interfaz grfica. Puedes tener monitorizada toda una red y saber que pginas se visitan, e incluso capturar contraseas.Nota: En sitios que cifren los datos mediante SSL (Sitios con https://) no es posible capturar contraseas.

Adems permite guardar todos los paquetes para analizarlos luego, con lo que puedes dejar el ordenador todo el da capturado paquetes, y al final del da filtrarlos y obtener los datos que te interesen, como saber si hay exceso de paquetes ICMP y toque configurar el cortafuegos, o la cantidad de peticiones que hacen los ordenadores de la red local.

Filtros de WireShark arp paquetes con protocolo ARPEjemplo: arp

ip.dst == paquetes cuya direccin IP destino sea Ejemplo: ip.dst == 10.132.163.77

ip.src == paquetes cuya direccin IP origen sea Ejemplo: ip.src == 10.132.163.78

ip.dst == && ip. src == paquetes cuya IP origen sea y cuya IP destino Ejemplo: ip.dst == 10.132.163.77 && ip. src == 10.132.163.78

!(ip.addr == ) paquetes cuya IP no sea Ejemplo: !(ip.addr == 10.132.163.78)

eth.addr > paquetes cuya direccin MAC sea superior a Ejemplo: eth.addr > 00.00.54.4F.11.1

PROCEDIMIENTO

PANTALLA INICIAL DE WIRESHARK321

1.- Interface list: Permite escoger la interface de red en la que se realizaran las capturas.2.-Capture option: Despliega opciones de filtros de la captura, la interfaz, el modo de captura y el tipo de filtro a relizar.3.- Start: Para empezar a visualizar todo tipo de paquetes de una red

CAPTURA DE TRAMAS21

1.- Escoger el filtro que se usara 2.- Al desplegarse las opciones se podr escoger el filtro a usarse (Ethernet, IP, TCP, etc.) Para capturar tramas Etherneth en modo broadcast, aplicamos el filtro respectivo y aplicamos.

Tramas Ethernet capturadas

Numero de trama capturada: 35(336 bits) Tamao de la trama: 42 bytes

4321

1.- destino 2.-origen 3.- tipo ARP4.- tipo hardware Ethernet

CAPTURA DE PAQUETE IP 1.- Escogemos el filtro IP 2.- IP por la cual vamos a filtrar en este caso {192.168.0.16}

Datos de la cabecera IP

Interpretacin de un Datagrama IP

80c16e4cf3d1 .- MAC DE DESTINO 4.- versin Tiene una longitud de 4 bits. En este caso 4 (0100 en binario) Se trata de la versin del formato de la cabecera IP. Vemos que 4 corresponde a la versin ipv4.

5.- longitud de la cabecera en palabras de 32 bits. En este caso: 5*32=160 bits. El valor mnimo es5. Este campo indica en qu punto o bit termina la cabecera del datagrama.

003c.- longitud total 60 bit Longitud total del datagrama medida en octetos. Se incluyen los datos encapsulados, cabecera y datos.

ID: 23daNmero de identificacin nico por cada datagrama que permitir el reensamblaje posterior al ser dividido en fragmentos ms pequeos.

FRAGMENT OFFSET: 000Posicin. Longitud de 13 bits. Posicin del fragmento dentro del datagrama en caso de fragmentacin.

TTL: 80Tiempo de vida. Longitud 8 bits. Impide que un paquete est indefinidamente viajando por la red. En este caso 128 indica que cada vez que un datagrama atraviese un router este numero se decrementa en 1. cuando el TTL llege a 0 el datagrama se descarta y se informa de ello al origen con un mensaje de tiempo excedido.

PROTOCOL: 01Protocolo. Se refiere al protocolo ICMP

CHEKSUM: 9584(CRC) o Suma de Control de la Cabecera. Longitud 16 bits. Es la suma de comprobacin de errores de la cabecera del datagrama. Este nmero se calcula nuevamente en cada salto del datagrama a travs de los routers.