práctica de analizadores de protocolos

8/19/2019 Práctica de Analizadores de Protocolos

1/16

Práctica de Laboratorio – Analizadores de Protocolos

Juan David valencia chara

Fabio Nelson Valencia Perez

Duración: 4 horas.

Objetivos:

Familiarizar al alumno con el uso de un analizador de protocolos como herramienta deanálisis y diagnóstico de problemas en redes TCP/P. Pro!undizar en el conocimiento dealgunos protocolos de la ar"uitectura TCP/P como #$P% P% C&P% TCP% 'TTP o D()% yen el mane*o y comprensión de algunas utilidades como ping y traceroute.

Reuisitos: Conocimientos básicos de TCP/P% #$P e C&P.

Resultados: Cada alumno o grupo de alumnos deberá entregar una memoria con losresultados de la práctica rellenando los recuadros dispuestos a tal e!ecto.

!" Funda#entosPara el desarrollo de la práctica se utilizará el analizador de protocolos +thereal% delibre distribución.

#rran"ue el analizador de protocolos ,&en- nicio / Todos los programas / +thereal /+thereal. bser0ará una 0entana di0idida en tres zonas1 en cada una de ellas semuestran los pa"uetes capturados con distinto ni0el de detalle:

2 +n la zona superior se presenta una l3nea por cada trama capturada con un resumen

de sus contenidos: básicamente un n-mero de secuencia% el instante de captura ,porde!ecto% relati0o al inicio de la captura% origen y destino% protocolo más alto de losdetectados% e in!ormación relati0a al protocolo concreto ,por e*emplo% en caso de serun pa"uete C&P% puede identi!icar "ue se trata de una petición de eco. Tambin esposible a5adir otras columnas para 0isualizar más in!ormación de cada trama% aun"ueesto no será necesario en la práctica. +sta zona es el sitio indicado para obser0ar "usecuencia de mensa*es ha tenido lugar a grandes rasgos en una comunicación.)eleccionando una trama en esta sección superior se muestra in!ormación másdetallada sobre la misma en las otras dos zonas.

2 +n la zona central se puede 0er los 0alores de los campos de las distintas cabecerasdetectadas en la trama% comenzando por la cabecera del ni0el de enlace ,por e*emplo%+thernet% de una manera !ácilmente legible% en !orma de árbol de in!ormación. 6ste esun buen sitio para buscar% por e*emplo% "u 0alor tiene el campo TT7 de la cabecera Pde un datagrama determinado.

2 Finalmente% en la zona in!erior se o!rece el 0alor de cada octeto de la tramacapturada% escrito en notación he8adecimal% lo "ue permite analizar los contenidos delpa"uete "ue no han sido decodi!icados en las secciones menos detalladas.


2/16

+n caso de "uerer guardar una captura para analizarla más adelante% se puede hacermediante el men- 9File / )a0e #s...% pudiendo elegir entre guardar todas las tramascapturadas% sólo las "ue se muestran ,por e*emplo% si se ha aplicado un !iltro de0isualización% o sólo las marcadas ,en caso de haber marcado algunas tramas.Tambin se puede seleccionar el !ormato del archi0o ,por e*emplo% libpcap.

Posteriormente% mediante 9File / pen... es posible abrir cual"uier archi0o de capturapre0iamente guardado.

7a documentación del analizador se encuentra accesible en &en- nicio / Todos losprogramas / +thereal / +thereal Documentation.

+n ocasiones le será necesario conocer algunos parámetros de red de su propiamá"uina. Para ello% debe e*ecutar la orden 9ipcon!ig /all en una 0entana del 9)3mbolodel sistema ,&en- nicio de ;indo


3/16

2 #0erigKe la dirección P de una má"uina de su misma subred "ue no sea el router,por e*emplo% desde una 0entana de 9)3mbolo del sistema% realice un pingLmá"uinaM9al nombre de la má"uina elegida y anote la dirección P "ue lecorresponde.

&scriba la direcci'n (P de la #áuina a la ue hace el )in%:

2 Desde una 0entana de 9)3mbolo del sistema obser0e el estado de la tabla #$P de suPC. Para ello e*ecute la orden 9arp =a. +n caso de no estar 0ac3a% borre todas lasentradas presentes e*ecutando la orden 9arp =d. Tras hacerlo% compruebe "uee!ecti0amente ahora la tabla está 0ac3a ,mediante 9arp =a.


4/16

2 #rran"ue una captura en el analizador ,botón 9H de la 0entana de opciones decaptura. )e abrirá una nue0a 0entana de captura "ue muestra algunas estad3sticas.

2 +*ecute la orden 9ping a la dirección P ,no al nombre de la má"uina elegida yespere las cuatro respuestas.2 Pare la captura ,botón 9)top de la 0entana de captura.

2 bser0e "u entradas han aparecido en su tabla de #$P. NCuánto tiempo tardan enborrarse apro8imadamenteO ,para a0eriguarlo% teclee cada pocos segundos la orden

9arp =a hasta "ue la,s entrada,s relacionada,s con el ping hayan desaparecido.

&ntradas ue han a)arecido en la tabla ARP* + )or u, ha a)arecido cada una:

&ntradas:$outer ,puerta de enlace predeterminado:[email protected]ón P al e"uipo "ue se realizó el ping :A?.@..@Dirección de broadcast:A?.@..?BB


5/16

-ie#)o a)ro.i#ado ue tardan en borrarse la/s0 entrada/s0:El tiempo que tarda en borrarse es de 2 minutos, si se continua usándose el tiempo

máximo es de 10 minutos.

2 aya a la 0entana principal del analizador. De las tramas capturadas debe distinguira"ullas "ue se han 0isto implicadas en todo el proceso ,desde la e*ecución de la orden

9ping en el PC hasta la recepción de las respuestas de la otra má"uina1 no serán-nicamente pa"uetes C&P. Dibu*e en un diagrama las tramas "ue han inter0enido%por su orden% *unto con in!ormación sobre el protocolo al "ue pertenecen y supropósito. NPuede identi!icar "u in!ormación ha decidido introducir su má"uina en elcampo de datos de las peticiones de ecoO

1" Pin% a una #áuina e.terna+n este caso se 0a a e*ecutar un 9ping de manera muy similar al apartado anterior%pero a una má"uina no perteneciente a la subred. 7os pasos a seguir son% por esteorden:

2 #bra una 0entana de opciones de captura en el analizador.

2 +li*a el nombre ,no la dirección P de una má"uina e8terna a su subred y realice un 9ping para asegurarse de "ue contesta al mismo ,por e*emplo% puede intentarlo con


6/16

2 #rran"ue la captura.

2 +*ecute la orden 9ping en su má"uina utilizando el nombre ,no la dirección P de lamá"uina elegida% y espere las cuatro respuestas.

2 Pare la captura.

2 NQu entradas han aparecido en este caso en la tabla #$PO

&ntradas ue han a)arecido en la tabla ARP* + )or u, ha a)arecido cada una:

&ntradas:- Router (puerta de enlace) predeterminado:192.168.1.1-Direccion de broadcast: 192.168.1.255- Mascara de sud-red:239.255.255.25

!a "ue el router #endr$a ciendo como una inter%a& entre la pc ' los ser#icios de internet "ueeste presta

2 aya a la 0entana principal del analizador y localice las di!erencias entre losprocedimientos seguidos en el caso anterior y ste. N# "u se debenO

Resu#a + justi2iue las di2erencias entre los aconteci#ientos ue tienen lu%aren este caso + en el caso del a)artado anterior:


7/16

&ntradas:3 Direcci'n (P del )c:!4$"!56"!"$3Direcci'n (P a la cual se a hecho el )in%:78"!$9"!8!"!93;ervidor/es0 de DN; )redeter#inado/s0:$"$!"$"63no#bre )á%ina


8/16

(ota: para esto puede resultar muy -til la utilización de un !iltro de 0isualización% "ueselecciona% de entre todas las tramas capturadas% a"ullas "ue coinciden con el criterioespeci!icado ,y no muestra el resto. +n este caso% es -til seleccionar las tramas en las"ue se ha detectado el protocolo C&P. Para ello% escriba en la casilla in!erior iz"uierda,se5alada por 9Filter: la palabra 9icmp ,sin las comillas y apli"ue el !iltro ,9#pply.

$ecuerde "ue para 0ol0er a 0isualizar todas las tramas debe pulsar el botón 9$eset.

Resu#en de los )auetes (?@P observados /entre u, #áuinas* de u,ti)o0:

&n la i#a%en anterior )ode#os observar ue se a %enerados )auetes (?@Pentre:3Direcci'n (P #auina:!4$"!56"!"$ direcci'n (P )á%ina


9/16

todos los parámetros "ue se pueden usar. +n caso a!irmati0o% describa la !orma en"ue se har3a.

B&.isten otras )osibilidades de obtener la ruta a una #áuina* usando elco#ando )in%C &n caso a2ir#ativo* descrbalas breve#ente:

?uando utiliza#os el co#ando )in% nos %enera una serie de o)ciones* Dentrode esas o)ciones )ode#os tener acceso Ruta de ori%en + direcci'n de ori%en)ero no del destino" Para obtener dicha in2or#aci'n se realizara de lasi%uiente #anera"

&n el s#bolo del siste#a escribi#os el si%uiente co#ando:Pin% –s: donde nos %enera la direcci'n de ori%en ue se desea usar

9" Descar%a de un archivo

+n este apartado se lle0ará a cabo la descarga de un archi0o relati0amente 0oluminoso

con un na0egador


10/16

2 7ocalice entre los pa"uetes mostrados por pantalla uno "ue pertenezca a la cone8iónTCP por la "ue se ha trans!erido el archi0o y "ue haya 0ia*ado desde el ser0idor a suordenador. )i ha descargado un archi0o de te8to% uno de estos pa"uetes es !ácilmenteidenti!icable obser0ando cómo en los datos 'TTP del pa"uete se puede leer parte del

contenido del archi0o ,sección in!erior de la 0entana del analizador% parte derecha.)eleccione este pa"uete y posteriormente eli*a 9Tools / TCP )tream #nalysis /Throughput Uraph para representar la 0elocidad a la "ue ha sido trans!erido el archi0oen cada inter0alo. bser0e la grá!ica "ue se genera y conteste a las siguientespreguntas. N+s constante la 0elocidad a la "ue se ha trans!erido el archi0oO De suconocimiento del !uncionamiento del protocolo TCP% Npuede e8plicar por "u lo es / nolo esO

B&s constante la velocidad a la ue se ha trans2erido el archivoC BPor u,C

Donde se )uede observar la %rá2ica de este )auete

Pode#os observar ue la %rá2ica es constante* )or ende la velocidad a la uese a tras2erido el archivo a sido constante

5" &stadsticas de trá2ico Eeb+n esta ocasión% mediante la captura de trá!ico de na0egación


11/16

2 #bra una 0entana de opciones de captura en el analizador y mantenga el !iltro decaptura de!inido en el apartado anterior. #rran"ue una captura.

2 isite con un na0egador


12/16

desaparecen de la 0entana las columnas dedicadas a la especi!icación de los cálculosa0anzados.

2 #cti0e la 0isualización de los dos primeros grá!icos y describa las di!erenciasencontradas entre ambos.

/B&.iste un sentido en el ue se observe una #a+or trans2erencia dein2or#aci'n en %eneralC ;i es as* BcuálC B)or u,C0"PacetsG-ic

H+tesG-ic


13/16

(ota: si lo precisa% puede a*ustar los 0alores del tiempo de inter0alo ,9TicJ nter0al yel n-mero de pi8els "ue ocupa cada inter0alo en el grá!ico ,9Pi8els Per TicJ demanera "ue obser0e los grá!icos con una escala adecuada.

Res)ecto de la cantidad de octetos total interca#biada en cada sentido )or

intervalo: Bha+ un sentido en el ue se observe una #a+or trans2erencia dein2or#aci'n en %eneralC Justi2iue la res)uesta

2 Cambie de nue0o el 0alor del botón 9Snit: a 9!rames/ticJ de manera "ue se

muestre el n-mero de tramas trans!eridas en cada sentido durante cada inter0alo% y0isualice los dos primeros grá!icos de nue0o. Comente lo "ue obser0a% comparándolocon el caso anterior. $especto del n-mero de tramas trans!eridas en cada sentido porinter0alo: Nhay un sentido en el "ue en general se obser0e un mayor n-mero detramasO Vusti!i"ue la respuesta

2 uel0a al modo 9ad0anced... con el botón 9Snit: para realizar cálculos mása0anzados. 7os cálculos se harán sobre la longitud de las tramas capturadas en


14/16

octetos. +n consecuencia% en las dos primeras casillas dónde se escribe la 0ariablesobre la "ue hacer los cálculos% teclee lo siguiente:

!rame.pJtlen

2 +n cuanto al tipo de cálculo% seleccione W ,tama5o má8imo de las tramas porinter0alo en ambos y 0isualice los dos grá!icos. $epita esta operación seleccionando elcálculo #U ,tama5o medio de las tramas por inter0alo. Comente las di!erenciasencontradas para ambos sentidos de transmisión y la e8plicación de las mismas.

Res)ecto de los ta#aIos #á.i#o + #edio de las tra#as trans2eridas en cadasentido )or intervalo: Bha+ un sentido en el ue en %eneral se observenta#aIos #a+oresC Justi2iue la res)uesta

isualización de estad3sticas en tiempo real ,e*ercicio opcional 7as estad3sticas "uemuestra la herramienta 9=)tat se pueden obser0ar en tiempo real ,de manerasimultánea con la captura de trá!ico% al igual "ue la descodi!icación de tramas en la0entana principal. Para ello% en la 0entana de opciones de captura% se deben acti0ar lasopciones 9Spdate list o! pacJets in real time y 9#utomatic scrolling in li0e capture.Sna 0ez arrancada la captura% las tramas capturadas irán siendo mostradas de manerainmediata en la 0entana del analizador. )i posteriormente se abre la herramienta deestad3sticas de entrada/salida% se pueden obser0ar los grá!icos de estad3sticasgenerándose con!orme se captura trá!ico. +sto es compatible con la de!inición de

di0ersos !iltros y distintos tipos de estad3sticas o cálculos% tal y como se ha e8plicadoanteriormente. Como e*ercicio opcional% se propone e8perimentar con esta posibilidad%obser0ando en tiempo real cómo 0ar3a la tasa binaria de entrada y/o salida cuando sedescarga el archi0o del apartado B% o cuando se na0ega por


15/16

0isualización ,sustituya 9E.E.E. por la dirección P de su má"uina% para mostrarsólo el trá!ico con origen o destino su má"uina:

ip.addrXXE.E.E.

2 bser0e cómo los pa"uetes P "ue transportaban las peticiones de eco han sido!ragmentados. N+n cuántos !ragmentos% y de "u longitud cada uno ,incluyendo lacabecera PO NPor "u se ha producido !ragmentación PO

(ota: el 0alor de &TS de una subred de tipo +thernet es BEE octetos.

(ota: obser0e "ue para saber si dos !ragmentos han surgido del mismo datagramaoriginal puede ser -til obser0ar el campo de identi!icación ,9denti!ication en lacabecera P.

N#ero de 2ra%#entos de los )auetes (P con las )eticiones de eco:

Lon%itud de cada 2ra%#ento /inclu+endo cabecera (P0:

BPor u, se ha )roducido 2ra%#entaci'nC

2 N'an sido tambin !ragmentados los pa"uetes P "ue transportaban las respuestasde ecoO Npor "uO

B;e han 2ra%#entado ta#bi,n los )auetes con las res)uestas de ecoC BPoru,C

2 De lo obser0ado con el analizador:Nconcretamente "u longitud se está !i*ando a?BEE octetos al utilizar la opción 9=l ?BEE de la orden 9pingO


16/16

BKu, lon%itud ueda 2ijada con la o)ci'n 3lM de la orden )in%C

2 Teniendo en cuenta el 0alor de &TS de una subred +thernet% as3 como su respuestadel apartado anterior% calcule cuál es el 0alor má8imo a proporcionar mediante laopción 9=l L0alorM para "ue no se !ragmenten los datagramas P "ue transportan laspeticiones de eco. Puede 0eri!icar la corrección de su cálculo utilizando la opción 9=! dela orden ping ,combinada con 9=l L0alorM% o haciendo uso del analizador de protocolosde manera análoga a lo 0isto en este apartado.

Valor #á.i#o a )ro)orcionar con la o)ci'n 3lM )ara evitar 2ra%#entaci'n:

práctica de analizadores de protocolos

Documents