Técnicas y Herramientas de Ataque a Redes TCP/IP
Analizador de red Wireshark
Introducción Wireshark,, antes conocido como Ethereal, es un sniffer que se compone de un gran número de utilidades, capaz de analizar múltiples protocolos, de ahí que sea uno de los sniffers más conocidos en el mercado. Es utilizado por muchas empresas, incluso instituciones educacionales como universidades, institutos, etc. El programa es gratuito, ya que es un software de código abierto desarrollado por un equipo ipo internacional de expertos en redes. El cambio de nombre, pasando de llamarse Ethereal a llamarse Wireshark, fue debido a diferencias entre los fundadores de Ethereal y diversos problemas con los derechos sobre la marca. Para comenzar a utilizarlo, lo primero primero es descargarse la última versión gratuita del programa de la web oficial: http://www.wireshark.org Una vez descargado el ejecutable no tenemos más que instalarlo haciendo doble clic sobre el mismo al más puro estilo Windows e ir siguiendo las indicaciones del instalador. En el mismo proceso de intalación de Wireshark se nos da la opción de instalar la librería WinPcap, que es necesaria para el funcionamiento del sniffer. Habrá que instalarla si no se ha hecho previamente a través de alguna otra aplicación. aplic
Figura 1. Instalación de WinPcap Analizador de red Wireshark
1
Técnicas y Herramientas de Ataque a Redes TCP/IP
Terminada la instalación, ya estamos listos para comenzar a utilizar el programa. El último paso será ejecutar el sniffer.
Figura 2. Ejecución de Wireshark Wireshar después de su instalación
Captura aptura de paquetes con Wireshark Una de las principales ventajas de este sniffer se basa en su interfaz. Muchos de los sniffers que hay en el mercado son en línea de comandos, lo que hace costoso su aprendizaje, pero Wireshark se compone de una interfaz amigable y con un alto contenido en usabilidad, usabilidad, es decir, que podemos encontrar de manera intuitiva la mayoría de las acciones que deseemos realizar con él. Para comprender cómo funciona la división por ventanas que hace Wireshark, hagamos una primera captura escogiendo un paquete de tipo TCP, por ejemplo, mplo, para ver qué información podemos obtener. Para comenzar con la captura, captura el primer paso es seleccionar la interfaz deseada que vamos a utilizar. En el menú Capture,, hacemos clic sobre la opción Interfaces…,, lo que hará que se visualicen todas las interfaces (o adaptadores de red) instaladas en el sistema.
Analizador de red Wireshark
2
Técnicas y Herramientas de Ataque a Redes TCP/IP
Figura 3. Selección de la interfaz en Wireshark
Pulsamos el botón Start junto a la interfaz utilizada para conectarnos a nuestra red local (en el ejemplo de la Figura 3, Microsoft).
Figura 4. Captura de paquetes con Wireshark
Analizando la Figura 4, observamos que el panel superior nos indica los paquetes que van entrando y saliendo de la máquina. Nos ofrece una lista de paquetes capturadoss con un número de captura (No.), ( ), el tiempo en segundos desde que se inició la captura (Time), ( las direcciones origen (Source Source) y destino (Destination), el protocolo utilizado (Protocol), ( el tamaño (Length) ( e información adicional (Info Info) de cada paquete. Analizador de red Wireshark
3
Técnicas y Herramientas de Ataque a Redes TCP/IP
En el panel central podemos ver detalladamente la información informac para cada paquete,, incluyendo los datos de todas las cabeceras. Nos permite acceder a los distintos niveles de protocolos (enlace, ( red, transporte y aplicación). aplicación En el panel inferior se nos muestra el contenido del paquete seleccionado en el panel superior rior en formato hexadecimal y ASCII.
Filtros Otra de las funciones bastante útiles que nos ofrece este sniffer es la de incorporar filtros a las capturas que realizamos. Podemos realizar filtros de captura o filtros de visualización, teniendo en cuenta que la sintaxis de ambos es diferente. Para establecer establecer varios filtros podemos valernos de las expresiones booleanas and, or y not,, pudiendo incluir paréntesis también para establecer preferencias. Los filtros se escriben en minúsculas, por lo que si escribimos TCP la aplicación no entenderá la sintaxis, así que debemos escribir tcp
Filtros de captura Los filtros de captura debemos definirlos antes de comenzar a capturar paquetes. En la ventana donde escogemos la interfaz deseada, a la que accedemos desde Capture>Interfaces…, Capture , hacemos clic sobre el botón Options y, a continuación, pulsamos el botón Capture Filter:
Figura 5. Ventana para filtros de captura Analizador de red Wireshark
4
Técnicas y Herramientas de Ataque a Redes TCP/IP
Se pueden establecer filtros por segmentos TCP, datagramas UDP, paquetes IP, tramas Ethernet, etc.. También es posible combinar filtros, como se comentó anteriormente, mediante el uso de operadores lógicos y paréntesis para indicar la preferencia. Si quisiéramos, por ejemplo, establecer un filtro para una determinada dirección IP (193.145.138.12) y un puerto en concreto (80), lo crearíamos según la Figura 6.
Figura 6. Creación de un filtro de captura en Wireshark
Si tras aplicar el filtro navegamos por cualquier página que no sea www.ulpgc.es,, observaremos que no se captura ningún paquete. Sin embargo, al acceder a la web especificada, veremos que capturamos captur todo el tráfico que intercambiamos con el servidor (Figura 7).
Analizador de red Wireshark
5
Técnicas y Herramientas de Ataque a Redes TCP/IP
Figura 7. Captura de paquetes en Wireshark con un filtro de captura aplicado
Filtros de visualización Los filtros de visualización los podemos añadir bien cuando hayamos terminado de capturar paquetes o bien cuando se están capturando. Los filtros que podemos establecer son exactamente los mismos mismos que los filtros de captura; la diferencia radica en que el sniffer captura todo el tráfico de la red y simplemente nosotros establecemos un filtro filtro para ver determinada información. A la hora de establecer los filtros, podemos incluir cluir operadores de comparación tales como igual (==), ), distinto (!=), ( mayor que (>), ), menor que (<), ( mayor o igual que (>=)) y menor o igual que (<=). ( Además, podemos hacer er uso también de operadores lógicos, tales como Y (and ( - &&), O (or - ||)) y NOT (not ( - !). En la ventana principal de Wireshark se encuentra el cuadro de texto para poder especificar el filtro de visualización. Por ejemplo, una vez iniciada la captura de paquetes, indicando la interfaz deseada, podríamos indicar en el cuadro el siguiente filtro: ip.addr==193.145.138.12 y, a partir de ahora, sólo visualizaríamos los paquetes cuyo origen o destino fuera la máquina con Analizador de red Wireshark
6
Técnicas y Herramientas de Ataque a Redes TCP/IP
dirección IP 193.145.138.12, que es donde se aloja la web de la Universidad de Las Palmas de Gran Canaria (www.ulpgc.es). ( Si nos conectamos ectamos a la web, observaremos que se capturan los paquetes correspondientes.
Figura 8. Captura de paquetes en Wireshark con un filtro de visualización aplicado
Entre otras, las primitivas utilizadas en el filtrado de visualización son: • • • • •
udp.srcport,, para especificar el puerto UDP origen tcp.dstport,, para especificar el puerto TCP destino ip.src,, para especificar la dirección d IP origen ip.dst,, para especificar la dirección IP destino ip.addr,, para especificar la misma dirección IP origen y destino
Estadísticas y gráficas Capturar los paquetes es tan sólo la mitad del trabajo. Determinar la causa de un mal funcionamiento o analizar la evidencia en busca del atacante es algo que requiere paciencia y dedicación. Por suerte, Wireshark incluye una serie de herramientas que harán nuestra vida mucho más fácil en el momento de Analizador de red Wireshark
7
Técnicas y Herramientas de Ataque a Redes TCP/IP
analizar los paquetes. Cuando hayamos realizado una captura, Wireshark tiene un menú llamado Statistics. Statistics. Dentro de éste encontraremos una serie de herramientas que se encargarán de analizar analizar la sesión capturada y resumir los datos en informes sencillos de interpretar. Cuando tengamos suficientes paquetes capturados, nos dirigimos a Statistics>Conversations Conversations.. Esta opción nos resumirá las conversaciones que han tenido las distintas direcciones IP, emparejando todas las sesiones TCP/IP. Se abrirá una nueva ventana que nos presentará la información encontrada y, dependiendo del tipo de tráfico, las pestañas de la ventana se activarán para poder clasificar las comunicaciones según los protocolos protocolos involucrados y ordenar las conversaciones por sus atributos.
Figura 9. Estadísticas de conversación entre hosts
Tenemos la opción de guardar la información inf rmación tomada por la estadística si pinchamos en el botón Copy Si queremos analizar la información información de manera gráfica podemos ir a Statistics>IO Graphs.. Con este tipo de gráficos podemos ver en tiempo real el tráfico que se está generando en nuestro host. En el eje X se nos muestra el tiempo en segundos transcurrido desde que realizamos la captura y en el eje Y, el número de paquetes capturados.
Analizador de red Wireshark
8
Técnicas y Herramientas de Ataque a Redes TCP/IP
Figura 10. IO Graphs con Wireshark
All igual que con la estadística Conversations,, tenemos la posibilidad de guardar el gráfico pulsando el botón Save Otra gráfica interesante es el gráfico gráfico de flujo, que podemos escoger en Statistics>Flow Flow Graph… Con este gráfico podemos ver el flujo de conexiones TCP, con sus correspondientes ACK, y el tiempo de propagación que hay entre los diferentes paquetes que se mandan. Este tipo de gráficos es muy mu interesante a nivel didáctico, ya que podemos ver claramente cómo se mandan los ACK de confirmación por los paquetes de datos enviados y otras características de los protocolos.
Analizador de red Wireshark
9
Técnicas y Herramientas de Ataque a Redes TCP/IP
Figura 11. Flow Graph en Wireshark
Experimentación Protocolo ICMP Este protocolo (Internet Internet Control Message Protocol – Protocolo de Mensajes de Control de Internet) se emplea para comprobar el estado de las redes. Su funcionamiento básico consiste en enviar un paquete de datos destinado a una determinada dirección IP y en ver el tiempo que tarda en recibirse la respuesta a dicho paquete. Se emplea para ver si existe conectividad de red entre el ordenador desde el que se emite el comando y el ordenador con el nombre o la dirección IP indicada en el comando. comando Para analizar la estructura tura de este protocolo con Wireshark, Wireshark, vas va a seguir los pasos que se indican a continuación: 1. Inicia la captura de paquetes 2. Abre una ventana de línea de comandos (Símbolo del sistema) 3. Ejecuta ell comando ping rediris.es en la ventana anterior 4. Cuando termine la ejecución del comando ping, detén én la captura de paquetes 5. Examina los os paquetes capturados en los paneles de la ventana principal de Wireshark. Como no has activado ningún tipo de filtro, ni de captura ni de visualización, además de los paquetes que te interesa analizar, en Analizador de red Wireshark
10
Técnicas y Herramientas de Ataque a Redes TCP/IP
el panel superior aparecerán bastantes paquetes más. Para facilitar el análisis, es recomendable aplicar un filtro de visualización para que sólo aparezcan los paquetes del del protocolo utilizado. Para ello, escribe icmp en el cuadro uadro de texto junto a Filter: y pulsa el botón Apply.. Si todo ha ido bien, al aplicar el filtro deberán aparecer 8 paquetes, 4 de ellos correspondientes a las solicitudes (request) y los otros 4 correspondientes a las respuestas (reply). Es posible e que, aún con el filtro de protocolo, en el panel superior veas más paquetes de los que te interesa. Se deberá, probablemente, a que otros compañeros están ejecutando ejecutando la misma prueba y Wireshark Wires está capturando también el tráfico que envían, que al corresponder ponder al mismo protocolo, aparecerá igualmente en el panel. Para evitar este problema y ver únicamente los datos enviados o recibidos por tu ordenador tienes t dos alternativas: var el modo promiscuo antes de hacer la captura a. desactivar (Capture>Interfaces… Interfaces…, botón Options de la interfaz de red, desmarcar la opción Capture packets in promiscuous mode) b. modificar odificar el filtro de visualización añadiéndole la condición de filtrar también por dirección IP, de la siguiente manera: icmp and ip.addr== ip.addr==tu_dirección_IP Protocolo HTTP Este protocolo es el empleado para acceder a páginas web a través de Internet. En esta práctica no vamos a entrar en los detalles de su funcionamiento, pero nos va a servir para probar una de las funcionalidades funcional más interesantes de Wireshark: Wires el seguimiento de un flujo TCP. Como en el caso de ICMP, para analizar la estructura estructura de este protocolo con Wireshark vas a seguir los pasos que se indican a continuación: 1. Inicia la captura de paquetes 2. Lanza un navegador web y accede a la página www.ulpgc.es 3. Cuando termine la carga de la página, detén detén la captura de paquetes 4. Examina los paquetes capturados en los paneles de la ventana principal de Wireshark. También en este caso debes debe aplicar un filtro de visualización para que aparezcan únicamente los paquetes que te interesa analizar. La expresión del filtro deberá ser: ser tcp Wireshark hark ofrece una funcionalidad que facilita la creación de la expresión del filtro si, como ocurre en este caso, quieres que aparezcan únicamente los datos de una sesión TCP P (concretamente, el acceso a una página web). Para utilizar esta funcionalidad debes identificar algún Analizador de red Wireshark
11
Técnicas y Herramientas de Ataque a Redes TCP/IP
paquete perteneciente a la sesión que te ocupa, fácilmente localizable porque la dirección IP de origen debe ser la de tu ordenador y el puerto TCP de destino estino debe ser el 80, el habitual en la mayor parte de los servidores web de Internet. Una vez localizado algún paquete de la sesión, bastará con pulsar con el botón derecho del ratón sobre él en el panel superior y seleccionar la opción Follow TCP Stream. Stream Al hacerlo, además de crearse la expresión del filtro adecuada en el cuadro de texto junto a Filter:, aparecerá una ventana adicional en la que se mostrará todo el contenido de la sesión TCP correspondiente. correspondiente En esta ventana puedes seleccionar ver toda la conversación que ha tenido lugar entre tu navegador web (cuyas peticiones se muestran en color rojo) y el servidor web (cuyas respuestas se muestran en color azul) o ver únicamente las peticiones del cliente o ver únicamente las respuestas del servidor.
Bibliografía Jimeno García, M.T.; Míguez Pérez, C.; Heredia Soler, E.; Caballero Velasco, M.A.: “Destripa Destripa la Red. Edición 2011”. 2011”. ANAYA MULTIMEDIA. 2011 García-Moran, Moran, J.P.; Fernández Hansen, Y.; Martínez Sánchez, R.; Ochoa Martín, Ángel; Ramos Varón, A.A.: “Hacking Hacking y Seguridad en Internet. Edición 2011”. Ra-Ma. 2011
Analizador de red Wireshark
12