Imprimir el Libro CompletoImprimir el Libro Completo

Laboratorio Captura de Paquetes 2024

Sitio: Facultad de Ingeniería U.Na.M.
Curso: Comunicaciones 2 ET544
Libro: Laboratorio Captura de Paquetes 2024
Imprimido por: Invitado
Día: miércoles, 4 de diciembre de 2024, 23:27

Tabla de contenidos

1. Introducción

En este laboratorio vamos a utilizar el programa Wireshark [Link] para capturar tramas. Si desea capturar tráfico de red entre la computadora en la que se ejecuta Wireshark y otro dispositivo en la red, debería poder realizar esto capturando en la interfaz a través de la cual se transmite y recibe los paquetes. Para este caso no es necesaria ninguna configuración adicional. 

Si, por el contrario, está tratando de capturar tráfico de red que no es enviado desde o hacia la computadora que ejecuta Wireshark, pero involucra dispositivos que están en el mismo segmento de red, se deberá realizar la captura en “modo promiscuo”. Wireshark por defecto se encuentra en “modo promiscuo”. 

Para capturar el tráfico de otro segmento de un conmutador (switch) se deberá optar por una de las siguientes soluciones. Se presentan las alternativas más fáciles de implementar.


2. HUB

La forma más fácil de capturar todo el tráfico de la red es reemplazando temporalmente el switch por un hub.


Ventajas:

  • se puede capturar todo el tráfico de la red.
  • sin configuraciones adicionales.

Desventajas:

  • requiere un hub (ya no son comunes)
  • para que toda la red siga funcionando el hub debe tener por lo menos la misma cantidad de puertos que el switch que se reemplaza. 
  • afecta el rendimiento de la red.

3. HUB y SWITCH

Este método es uno de los menos invasivos. Se basa en instalar un hub entre el switch y el segmento que se desea analizar.


Ventajas:

  • sin configuraciones adicionales. 
  • no invasivo. 
  • no afecta el rendimiento del resto de la red.

Desventajas:

  • requiere un hub (ya no son comunes). 
  • solo se captura el tráfico de ese segmento.

4. Inundación MAC (MAC Flooding)

¡Atención! Solo intentar esto en una red aislada

Consiste en desbordar la memoria utilizada por el switch para crear la tabla MAC. Para lograr esto se “bombardea” al switch con direcciones MAC falsas. Cuando ya no hay lugar en la tabla MAC del switch este comienza a trabajar como hub, reenviando los paquetes con direcciones MAC nuevas a todos los puertos (broadcast). Esto permite capturar todo el tráfico de la red en cualquier puerto del switch.


Ventajas:

  • sin equipos adicionales. 
  • se puede capturar todo el tráfico de la red. 
  • económico.

Desventajas:

  • requiere configuraciones adicionales. 
  • afecta el rendimiento del resto de la red. 
  • solo dura unos minutos.



4.1. Procedimiento de laboratorio

  1. Arme un esquema como el de la figura 3.

  2. Intente capturar tráfico entre el Host A y el Host B.
  3. Inunde la red con direcciones MAC falsas utilizando la herramienta macof, que forma parte del paquete dsniff3 [link] (solo disponible para Linux).

    -i especifica la interfaz por la que se van a enviar las direcciones MAC falsas.
    -s indica la dirección IP que se les va a asignar. Útil para filtrar las tramas en Wireshark.
    -n la cantidad de tramas a enviar.
  4. Intente nuevamente capturar tráfico entre el Host A al Host B.
  5. ¿Por qué no se pudo capturar el tráfico entre A y B?
  6. ¿Qué estrategia se podría implementar para poder acceder al tráfico del resto de la red?
  7. Mediante ensayos con valores decrecientes del parámetro-n averigüe la capacidad de la tabla MAC del switch.
  8. Una vez que haya logrado capturar el tráfico de la red, desbordando el switch, determine por cuánto tiempo almacena el switch las direcciones MAC (automatically aging).

5. Filtros de Wireshark

Wireshark tiene dos tipos de filtros: los filtros de visualización y los filtros de captura.

Filtros de visualización

Estos filtros son muy útiles para organizar las tramas capturadas y encontrar aquellas que nos son de interés.


Filtros de captura

Mediante estos filtros se le indica al programa que capture solo aquellas tramas que cumplen con las condiciones impuestas. Son muy útiles si se sabe exactamente qué se está buscando y, sobre todo, si la computadora en la que se ejecuta Wireshark es de pocos recursos. Las condiciones del filtro se deben indicar antes de comenzar con la captura.


Por ejemplo:


captura todo el tráfico que involucra los dispositivos con las direcciones IP 10.10.10.1 y 10.10.10.251.


Más información: https://wiki.wireshark.org/CaptureFilters