Wireshark aptrm
0 recomendaciones473 vistas
Este documento presenta un ejercicio práctico para analizar paquetes de red usando Wireshark. El objetivo es adquirir experiencia identificando protocolos, campos de paquetes, y filtrando paquetes de interés como una sesión HTTP. El ejercicio guía al usuario a través de una captura de red que incluye una sesión de navegación web, identificando peticiones, respuestas, archivos descargados, y estadísticas de tráfico.
Wireshark aptrm
- 1. Práctica de lectura de tramas con Ethereal/Wireshark Objetivos: Adquirir experiencia en el uso avanzado de una herramienta de análisis de tráfico de red, en particular de una sesión de tráfico web (HTTP sobre TCP). Identificar los diferentes tipos de protocolos, ver los campos incluidos en el mismo, filtrar los paquetes que nos interesan, etc. Conocimientos teóricos previos: Se requiere tener claros los diferentes niveles del modelo de referencia OSI. Conocimientos básicos sobre protocolos y de arquitecturas de redes de ordenadores. Ejercicios: 0) Crea en tu carpeta local (en tu “home”) una subcarpeta llamada “wireshark”. En ella guardaremos los ficheros que vayamos usando en esta práctica. 1) Descárgate los archivos que encontrarás en el sitio de apoyo de la asignatura junto con este guión. Los ficheros contienen capturas de paquetes que se analizarán en los siguientes ejercicios. Ejercicio 1: Lectura de paquetes e información asociada en Ethereal/Wireshark. Introducción: La captura es de un ordenador en una red privada local que está navegando a través de Internet. Se recomienda que durante la realización de los ejercicios, vayáis apuntando vuestros comentarios y respuestas a las preguntas planteadas en un fichero de texto, aún cuando al final no se tengan que entregar a los profesores. 1) Abre el archivo “web.gz” con Ethereal/Wireshark. ¿Cuántos paquetes han sido capturados? ¿Cuánto tiempo ha llevado la captura? 2) Analiza un poco más a fondo el primer paquete. Observa si tiene o no datos. Si tienes activada la función de coloreado de paquetes, podrás ver que Ethereal/Wireshark lo identifica como un paquete HTTP, aunque si te fijas bien el protocolo TCP no encapsula ningún contenido de HTTP. ¿Por qué crees que aún así Ethereal/Wireshark lo colorea como un paquete HTTP? Busca el primer paquete que contiene datos HTTP. Si no hay datos en los anteriores, ¿cuál es su acometido? 3) Ordena los paquetes capturados por protocolos para poder analizar mejor aquéllos que se han identificado como HTTP (no sólo en lo relativo al color, sino que contienen el protocolo en sí). Observando la secuencia de los paquetes del protocolo HTTP se puede ver claramente las peticiones HTTP que se hacen al servidor y las respuestas que éste proporciona. ¿Qué página es la que se pide en el paquete 4?
- 2. 4) Observa en el espacio dedicado a mostrar el paquete capturado en hexadecimal, al fondo de la ventana. En ese espacio, hay tres columnas. La primera es un contador. ¿Cuánto suma en total para el paquete 4? ¿Qué relación tiene esta suma con el tamaño del paquete? La segunda columna muestra el contenido en hexadecimal del paquete. Cuando lo puede interpretar, se muestran los caracteres correspondientes en la tercera columna; en caso contrario, se puede ver un punto. ¿Qué ocurre con los caracteres r y n? ¿Qué significan esos caracteres? ¿Se consiguen interpretar o se muestran como un punto? 5) El siguiente paquete, el número 15, contiene la respuesta del servidor a nuestra petición. Observa que bajo “Hypertext Transfer Protocol” nos da el resultado de nuestra petición (un “200 OK”) junto con el resto de cabeceras. Si investigamos lo que hay dentro de “linebased text data: text/html”, veremos que se trata de una página web. ¿Cuál es el tamaño del paquete número 15 (en bytes)? ¿Cómo puede ser que se haya enviado todo ese texto en un número tan pequeño de bytes? Pista: defragmentación (o resemblance). Investiga los paquetes afectados por la defragmentación, en especial, fijándote en su tamaño, si llevan contenidos HTTP o no y si hay alguna indicación de que el contenido se encuentra en otro paquete. ¿Quién realiza la defragmentación? 6) Identifica el momento en el que llega la respuesta de la petición de la página web. Observa que en los instantes siguientes se piden una serie de ficheros adicionales al servidor. ¿Qué son estos ficheros? ¿Tiene éxito la petición de todos ellos? ¿Cuál crees que es el siguiente paquete que contiene un GET provocado por una acción del usuario (humano) que está utilizando el navegador? 7) Observa que el paquete 111 contiene una nueva petición de otra página web. Asimismo, el paquete 116 vuelve a pedir la hoja de estilo (/docencia/style.css), aún cuando podemos ver que hasta el paquete 129 no obtenemos la página web completa. ¿Cómo puede ser eso? 8) Vuelve a ordenar los paquetes según su número. Para ello, mira el tamaño de los primeros 20 ó 25 paquetes uno a uno en Wireshark. Si agrupáramos por tamaños los paquetes, cuántos grupos tendríamos y con qué se corresponderían. 9) En el menú “Statistics”, selecciona “Protocol Hierarchy” para observar la jerarquía de protocolos. ¿Qué protocolo se ha utilizado más: TCP o UDP? Observa para qué se ha utilizado UDP. Fíjate también en el tamaño de los datos intercambiados entre el cliente y el servidor web y cuánto supone eso del total del intercambio de datos. ¿Qué porcentaje del total de bytes de TCP corresponde a datos (texto e imágenes)? (Nota: por un error en Wireshark, tendrás que sumar los datos de los paquetes que contienen las páginas web) ¿Y cuál es el porcentaje sobre el total de bytes de todos los paquetes? Una vez que lo hayas calculado, cierra esta ventana de estadísticas. 10) En el menú de “Statistics”, elige ahora la entrada “IO Graphs”. Verás el ritmo de intercambio de
- 3. paquetes en una gráfica donde el eje horizontal es el temporal, mientras que el vertical indica el número de paquetes. Cambia el intervalo del tick del eje X a 0.10 segundos para analizarlo con mayor claridad. Un rápido vistazo nos hará ver que se pueden identificar nítidamente las peticiones web que hace el cliente por los picos que genera. Así mismo, hay otros picos, más pequeños, que se pueden identificar (por ejemplo a las 3,5 segundos o a los 10 segundos). Intenta averiguar a qué se deben esos picos y si tienen alguna relación con la visita de las páginas web. 11) Una manera sencilla de ver cuánto del tráfico total es debido a HTTP es introduciendo una regla de filtrado en el gráfico anterior. Para ello, en Graph 2 indica en el campo de texto “http” y pulsa “Graph 2”. 12) Finalmente en “Statistics” comprueba qué nos ofrece la opción de “Conversations” y “Endpoints”, en particular en la pestaña de IPv4. Observa la relación de paquetes y bytes enviados desde el cliente y la del servidor. Recuerda que en el web es un servicio cliente servidor típico, donde el que ofrece información es el servidor mientras que el cliente es solamente consumidor de la misma. Saca conclusiones al respecto. Autoevaluación Dirige tu navegador web a la siguiente URL, donde podrás comprobar por ti mismo lo aprendido hasta ahora mediante un sistema de autoevaluación: http://libresoft.es/webs/grex/IARO/autoevaluacion/Wireshark Responde las preguntas que se plantean hasta que llegues a la última. Muchas gracias.