Práctica 3: Uso de herramientas y análisis de paquetes

Transcripción

1 Práctica 3: Uso de herramientas y análisis de paquetes Objetivo y descripción general. Autores: Enrique Bonet Rogelio Montañana Paco Soriano El objetivo de esta práctica es aprender a utilizar un conjunto de programas, la mayoría de ellos accesibles en forma de comandos u órdenes, que nos permitirán realizar diversas tareas relacionadas con las comunicaciones en un host con sistema operativo Linux. Muchos de estos programas están disponibles con nombres iguales o muy parecidos en otros sistemas operativos. Las opciones disponibles varían con las implementaciones y a veces una misma tarea puede llevarse a cabo mediante diferentes comandos. Para obtener ayuda sobre el uso y las opciones de cada comando puedes emplear la ayuda en línea, mediante el comando man (por ejemplo man ifconfig ) o también el propio comando con la opción h (por ejemplo ifconfig h ). Esta práctica se desarrolla utilizando los ordenadores del laboratorio con la partición del sistema operativo Linux redes y con el usuario root (la contraseña la indicará el profesor). Cada puesto de trabajo tiene tres rosetas, una blanca y dos negras. La roseta blanca conecta a los puertos 10/100 Mb/s de un conmutador de la red de la Universidad, y es la que debe utilizarse normalmente. Las rosetas negras conectan, ambas, con un hub de 10 Mb/s situado en el laboratorio, también conectado a la red de la Universidad; estas rosetas negras se utilizan para experimentar con otro tipo de conexión en determinados momentos de la sesión. La mayor parte de la práctica se desarrolla de forma independiente en cada ordenador, salvo algunas tareas que se han de hacer por parejas de ordenadores. En cada ordenador debería haber preferentemente uno o como máximo dos alumnos. A lo largo del guión se plantean una serie de preguntas que debes ir respondiendo durante la sesión, ya que esto te facilitará el desarrollo de la práctica y su posterior estudio.

2 Desarrollo de la práctica. Redes 1.-Desactivación del cortafuegos y prueba de conectividad con ping En primer lugar, para evitar posibles interferencias debes desactivar el cortafuegos mediante el comando: service iptables stop que ejecutarás en una ventana de terminal. Ahora, para comprobar que dispones de conectividad lanza un ping a la dirección , que utilizarás como dirección de prueba a lo largo de la sesión. Una vez comprobada la conectividad interrumpe el ping. 2.-Comandos ifconfig y arp Los comandos ifconfig y arp ya los has utilizado en prácticas anteriores. ifconfig nos permite configurar la dirección IP y la máscara de una interfaz, así como averiguar las características de todas las interfaces operativas. El comando arp nos permite consultar la tabla ARP cache del host. Ejecuta primero el comando ifconfig sin argumentos, para obtener información sobre todas las interfaces que tiene configurado el sistema, sus nombres y características principales. La respuesta obtenida depende del hardware y la versión de Linux del equipo. Normalmente los sistemas suelen tener una interfaz loopback de nombre l0 y una interfaz Ehternet cuyo nombre es eth0, p4p1 o algo similar. La interfaz loopback, que no utilizaremos en esta práctica, tiene siempre la dirección IPv con la máscara La interfaz Ethernet deberá tener una dirección IPv4 del tipo xxx.yyy donde xxx.yyy varía para cada equipo, y la máscara, que depende de la red en la que nos encontremos, será o algo parecido. En el siguiente ejemplo la interfaz Ethernet recibe el nombre de p4p1 : root@lab6inf12 ]# ifconfig lo Link encap:local Loopback inet addr: Mask: inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:142 errors:0 dropped:0 overruns:0 frame:0 TX packets:142 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:19416 (18.9 KiB) TX bytes:19416 (18.9 KiB) p4p1 Link encap:ethernet HWaddr 00:1F:D0:CE:3F:30 inet addr: Bcast: Mask: inet6 addr: 2001:720:1014:88:21f:d0ff:fece:3f30/64 Scope:Global inet6 addr: fe80::21f:d0ff:fece:3f30/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets: errors:0 dropped: overruns:0 frame:0 TX packets:27087 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes: (219.9 MiB) TX bytes: (2.9 MiB) Interrupt:43 Base address:0xe000 P3-2

3 Práctica 3: Uso de herramientas y análisis de paquetes A partir de la información obtenida responde a la pregunta 1, indicando el nombre de tu interfaz Ethernet, su dirección MAC (HWaddr:), dirección IP (inet addr:) y la máscara (Mask:): Nombre de la interfaz Ethernet PREGUNTA 1 Dirección MAC: Dirección IP: Máscara: En prácticas anteriores hemos utilizado el comando ifconfig para modificar la dirección IP y la máscara de nuestro ordenador, porque estábamos utilizando maquetas aisladas y queríamos tener direcciones privadas. En esta práctica vamos a trabajar conectados a la red de la Universidad, por lo que utilizaremos la configuración que acabamos de anotar, que es la que trae por defecto el equipo. Los primeros 6 bytes de la dirección MAC son lo que se conoce como el OUI (Organizationally Unique Identifier) que es el prefijo que identifica al fabricante de la interfaz. Para averiguar el fabricante de tu interfaz busca su OUI en el URL siguiente: y anótalo a continuación: Fabricante de la interfaz de red PREGUNTA 2 Ahora debes averiguar la dirección MAC del ordenador vecino tuyo a partir de su dirección IP. Pregúntale a tu compañero su dirección IP y haz ping a su ordenador, ejecutando a continuación el comando arp n para obtener su dirección MAC (la opción n del comando arp suprime la resolución inversa de nombres, de forma que solo nos mostrará en pantalla las direcciones IP): P3-3

4 Redes PREGUNTA 3 Dirección IP del ordenador vecino Dirección MAC del ordenador vecino Ahora vamos a modificar la dirección MAC de nuestro ordenador. Para evitar el riesgo de coincidencia con direcciones existentes en otros ordenadores de la LAN te asignarás una dirección MAC local, creada a partir de tu dirección MAC global, que es la que viene grabada de fábrica en la interfaz y que has obtenido antes con el comando ifconfig (pregunta 1). Para ello tomarás esa dirección MAC y le sumarás 2 al segundo dígito hexadecimal 1, por ejemplo si la MAC de tu ordenador es 00:1F:D0:CE:3F:30 la dirección que debes poner es la 02:1F:D0:CE:3F:30. Para cambiar tu dirección MAC ejecutarás ahora la siguiente secuencia de comandos: ifconfig interfaz down ifconfig interfaz hw ether XX:XX:XX:XX:XX:XX 2 ifconfig interfaz up ifconfig interfaz donde XX:XX:XX:XX:XX:XX es la nueva dirección MAC e interfaz el nombre de la interfaz Ethernet sobre la que quieres actuar (por ejemplo p4p1). El último comando ( ifconfig interfaz ) te permite comprobar que, efectivamente, el cambio ha tenido lugar. Ahora debes esperar a que tu compañero del ordenador vecino haga también el cambio de MAC. Una vez cambiadas ambas MACs vuelve a ejecutar el ping a su dirección IP (la que anotaste en la pregunta 3) y averigua, utilizando arp n, la nueva dirección MAC que tiene: 1 Sumando 2 al segundo dígito hexadecimal de la dirección estás poniendo a 1 el penúltimo bit del primer byte, que es precisamente el que indica que se trata de una dirección local. 2 La dirección MAC puede introducirse también en formato XXXXXXXXXXXX P3-4

5 Práctica 3: Uso de herramientas y análisis de paquetes PREGUNTA 4 Nueva dirección MAC del ordenador vecino Esta dirección debe ser diferente de la que anotaste en la pregunta 3, ya que tu compañero ha cambiado su dirección MAC siguiendo el mismo procedimiento que tu. Si ahora te conectaras al conmutador LAN y vieras su tabla de direcciones MAC encontrarías reflejadas en ella las nuevas direcciones. 3.- Comando route Cualquier modificación de una interfaz mediante el comando ifconfig borra las rutas que hubiera definidas a través de dicha interfaz, por lo que al cambiar tu dirección MAC te has quedado sin ruta por defecto, solo tienes conectividad con los ordenadores de tu red local (tu edificio). Para comprobarlo lanza un ping a la dirección y verás que no funciona. Con el comando route n debería aparecer ahora algo similar a lo siguiente: [root@lab6inf22 ~]# route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface U p4p U p4p1 [root@lab6inf22 ~]# Esto significa que solo tienes ruta definidas para la red directamente conectada a tu interfaz Ethernet. Aparece también una ruta para la red /16, que corresponde a las direcciones de enlace local; esta ruta no tiene interés para el desarrollo de la práctica. Para recuperar plena conectividad debes configurar nuevamente la ruta por defecto utilizando el comando route de forma parecida a como lo has hecho en prácticas anteriores. Sin embargo, para ello necesitas averiguar antes la dirección de tu router. Esta dirección puedes deducirla a partir de la dirección y máscara de tu interfaz Ethernet (datos que anotaste en la pregunta 1), sabiendo además que el router tiene la primera dirección útil de la subred en la que te encuentras. Por ejemplo, si tu dirección fuera la y la máscara la , entonces la dirección del router sería Averigua ahora la dirección de tu router por defecto: P3-5

6 Redes PREGUNTA 5 Dirección IP del router por defecto Una vez sabida dicha dirección deberás definir la ruta por defecto utilizando el comando: route add net netmask gw dirección_ip donde dirección_ip es la dirección IP del router, que acabas de averiguar. Una vez ejecutado el comando anterior debes comprobar con el comando route -n que la ruta por defecto se ha definido correctamente, y con el ping a comprobar que has recuperado la conectividad con el exterior. Si por algún motivo defines una ruta equivocada deberás borrarla antes de repetir el comando correcto: route del net red netmask máscara gw dirección_ip donde red, máscara y dirección _IP son los valores que corresponden a la ruta que quieres borrar, ya que cada ejecución del comando route añade una nueva entrada en la tabla de rutas: 4.- Definición de direcciones IP secundarias Normalmente una interfaz Ethernet tiene asociada una dirección MAC y una dirección IP, como es nuestro caso. Sin embargo es posible, y a veces muy útil, asociar varias direcciones IP con una misma interfaz y con una misma MAC 3. Esto es lo mismo que cuando en una interfaz de un router configuramos varias direcciones IP, una actuando como primaria y el resto como secundarias. En el caso de sistemas tipo Unix la dirección IP primaria es la que aparece asociada con la interfaz física. Podemos añadir a una interfaz tantas direcciones IP secundarias como queramos mediante el comando ifconfig, utilizando el nombre de la interfaz seguido de una etiqueta alfanumérica cualquiera, separada por el carácter :. Es práctica habitual utilizar como etiqueta números naturales correlativos (1, 2, 3, ) de forma que si nuestra interfaz es la p4p1 las direcciones IP secundarias irán asociadas con los nombres p4p1:1, p4p1:2, etc. Las direcciones secundarias han de ser evidentemente diferentes de la dirección primaria, pero pueden pertenecer a la misma red u otras diferentes. Vamos a probar a configurar en nuestra interfaz Ethernet dos direcciones IP secundarias, de las redes privadas /8 y /16. A partir de nuestra dirección primaria ( xxx.yyy) nos asignaremos las direcciones secundarias 10.0.xxx.yyy y xxx.yyy; por ejemplo, si nuestra dirección es la los comandos que ejecutaremos serán: 3 Obsérvese que no es posible asociar varias direcciones MAC con una misma interfaz, ni varias MAC con una misma IP. En cierto modo podemos considerar la MAC como el identificador de la interfaz, la MAC puede cambiarse, pero en un momento dado la interfaz solo tiene una MAC. P3-6

7 Práctica 3: Uso de herramientas y análisis de paquetes ifconfig p4p1: netmask up ifconfig p4p1: netmask up Ejecutando a continuación el comando ifconfig sin argumentos podrás comprobar que ahora aparecen nuevas subinterfaces que reflejan las direcciones IP que acabamos de definir, pero con una menor cantidad de información asociada, por ejemplo estas subinterfaces no tienen direcciones MAC ni muestran contadores de tráfico, colisiones, errores, etc. No es posible obtener un desglose de los paquetes enviados o recibido por la subinterfaz p4p1:2, por ejemplo. Esto se debe a que realmente no se trata de interfaces diferentes y todas esas características son las mismas que para la interfaz de la que provienen. Ahora comprueba que tu compañero del ordenador vecino haya hecho las definiciones correspondientes a las IP secundarias y prueba a hacer ping a sus direcciones 10.0.xxx.yyy y xxx.yyy. Los pings deben funcionar exactamente igual que para la dirección xxx.yyy. Después de hacer el ping a las nuevas direcciones consulta con arp n la ARP cache y observa la dirección MAC que aparece asociada con esas direcciones IP; dicha dirección debería ser la misma que aparecía para la dirección primaria, que es la que anotaste en la pregunta 4. Una consecuencia interesante de haber configurado las nuevas direcciones secundarias es que nuestro ordenador tiene ahora dos rutas nuevas. Para comprobarlo consulta la tabla de rutas con el comando route n. Verás que ahora aparece una ruta hacia la red /8 y otra hacia la /16, que corresponden precisamente a las redes de las nuevas direcciones IP. Esto es lo que llamamos redes directamente conectadas y las entradas han sido creadas como consecuencia de la configuración dirección/máscara asignada a las nuevas subinterfaces. Si antes de estar estas rutas hubiéramos enviado un paquete a una dirección 10.*.*.* ó *.* nuestro host lo habría mandado al router por defecto; sin embargo ahora lo que hará es mandar un ARP request buscando al destinatario del paquete, y si recibe respuesta le mandará directamente el paquete, sin que intervenga ningún router en el proceso. 5.- Comando ethtool El comando ethtool permite consultar y modificar los parámetros de funcionamiento de una interfaz, por ejemplo con ethtool p4p1 visualizamos los parámetros de funcionamiento de la interfaz p4p1. Ejecuta ethtool sobre tu interfaz Ethernet y averigua la velocidad de conexión, el modo dúplex (half o full) y si está activada o no la autonegociación. PREGUNTA 6 Indique la velocidad, modo dúplex y autonegociación Velocidad: Mb/s Modo Duplex: Autonegociación: P3-7

8 Redes Por defecto, la interfaz Ethernet arranca con la autonegociación en on, para negociar su velocidad y modo dúplex con el equipo (conmutador, hub, etc.) al que se encuentra conectado. Como ahora haremos diversas pruebas y en algunas perderemos la conectividad abre otra ventana de terminal y lanza en ella un ping a la dirección , que dejarás en marcha durante toda la prueba para monitorizar la conectividad. Ahora averigua, consultando la ayuda online del comando ethtool, que comando debes utilizar para desactivar la autonegociación (una pista: debes utilizar la opción s ): Comando para desactivar la autonegociación PREGUNTA 7 Ahora ejecuta el comando anterior y comprueba con ethtool que la autonegociación se ha desactivado. Cuántos pings se han perdido durante el proceso?. Reactiva ahora la autonegociación. Cuántos pings se han perdido esta vez? El número de pings perdidos corresponde aproximadamente al tiempo en segundos que tarda la interfaz en desactivar (o reactivar) la autonegociación. Desactiva una vez más la autonegociación y cambia el latiguillo del ordenador de la roseta blanca (switch 10/100 Mb/s) a una cualquiera de las dos rosetas negras (hub de 10 Mb/s). Qué ocurre con el ping? Si repites el ethtool verás que el ordenador se ha quedado con una velocidad de 100 Mb/s, que es la que tenía en el switch, y como hemos desactivado la autonegociación al conectarlo a un hub de 10 Mb/s no puede comunicarse. Para recuperar la conectividad has de poner la interfaz en 10 Mb/s, cosa que podrás hacer también con la opción s del comando ethtool. Averigua el comando y cambia la velocidad: Comando para cambiar la velocidad de la interfaz a 10 Mb/s PREGUNTA 8 Con la velocidad a 10 Mb/s recuperamos la conectividad, pero el modo dúplex en el ordenador está a full y en el hub está a half; esta es una incompatibilidad que solo se pone de manifiesto cuando hay tráfico intensivo, por lo que nuestro ping parece funcionar normalmente (aunque es posible que se pierda alguno de vez en cuando). Reactiva ahora la autonegociación con ethtool y mira a continuación el estado de la interfaz, que debe ser 10 Mb/s half dúplex, plenamente compatible con el hub. A continuación devuelve el latiguillo al conmutador (roseta blanca) y verás que la conectividad solo se interrumpe por unos, segundos, el tiempo que el cable está desconectado más lo que tarda el proceso de autonegociación en ajustar la velocidad y el modo dúplex a la nueva conexión. P3-8

9 Práctica 3: Uso de herramientas y análisis de paquetes Ahora explora las posibilidades que ofrece la opción S del comando ethtool. Con ella puedes averiguar estadísticas de la interfaz, algo más detalladas que lo que ofrece el comando ifconfig. Esto es más o menos equivalente a lo que en un conmutador o router obtienes con el comando show interfaces. Por ejemplo, si quisieras averiguar si una interfaz está recibiendo paquetes erróneos este sería el comando a utilizar. 6.- Programa wireshark. Wireshark es el analizador de protocolos más utilizado en la actualidad. Se trata de un software de dominio público que está desarrollado para sistemas UNIX, Mac y Windows y soporta multitud de interfaces físicas (incluso inalámbricas, a pesar de su nombre). El software puede obtenerse de forma gratuita de Se trata de una evolución del conocido Ethereal, que cambió de nombre debido a que su principal desarrollador pasó a trabajar para otra empresa y por problemas de registro de marcas no podía seguir utilizando el nombre original. Wireshark tiene una interfaz gráfica que facilita considerablemente su uso. Es capaz de decodificar más de 400 protocolos diferentes, desde el nivel de enlace al nivel de aplicación. Cuando se utiliza sobre interfaces Ethernet puede funcionar en modo promiscuo y capturar todas las tramas de la red, o bien en modo no promiscuo y capturar solo las dirigidas a la interfaz elegida. Aunque posee muchas opciones de inicio, lo más normal es ejecutarlo sin ningún tipo de opción y configurarlo durante su uso. Para arrancar el programa debemos ir a la pestaña Aplicaciones, seleccionar Internet y allí seleccionar Wireshark. Al arrancar el programa nos aparece una primera ventana como la siguiente: P3-9

10 Redes La mejor manera de empezar es clicar en la Interface List que aparece en la parte superior izquierda de la ventana, con lo que aparece una ventana superpuesta como la siguiente: En ella se nos muestra la lista de interfaces disponibles. La columna IP nos muestra la dirección IP de cada interfaz, por defecto la IPv6 pero pulsando en cualquiera de las direcciones podemos obtener la IPv4. Además nos muestra la actividad de cada interfaz, indicando el número total de paquetes transmitidos/recibidos desde que se arrancó el programa, y el tráfico instantáneo en paquetes por segundo. Normalmente no tendremos problemas en identificar la interfaz Ethernet, ya que recipbe el mismo nombre que ya hemos visto en el ifconfig. Si pulsamos el botón Start de la interfaz Ethernet empìeza de forma inmediata la captura. P3-10

11 Práctica 3: Uso de herramientas y análisis de paquetes Sin embargo es más interesante pulsar el botón Options de dicha interfaz, ya que esto nos permite ejercer un control previo, lo cual es muy interesante. Al hacerlo obtenemos una ventana como la siguiente: En este caso en la línea que apunta la flecha se puede ver tanto la IPv6 como la IPv4 de la interfaz en la que estamos escuchando. Desgraciadamente no podemos explicar aquí el significado de todas las opciones que aparecen en esta ventana, por lo que solo comentaremos dos de ellas: La pestaña Capture packets in promiscuous mode (marcada por defecto) nos permite indicar si queremos que la captura abarque todos los paquetes que llegan a la interfaz, o solo los que van dirigidos a ella (en cualquier caso se incluyen los paquetes broadcast). El campo Capture Filter nos permite especificar un criterio de filtrado para la captura, con el fin de restringir los paquetes a aquellos que resulten interesantes para el problema o el caso que estemos siguiendo. P3-11

12 Redes Cuando pulsamos el botón Start empieza inmediatamente la captura y aparece una nueva ventana dividida en tres partes: La parte superior de esta ventana muestra un resumen en forma de tabla con una fila o línea por cada paquete capturado, en tiempo real. En principio los paquetes aparecen ordenados por orden cronológico, pero se puede cambiar el criterio de ordenación clicando en la fila superior de cualquiera de las columnas. Podemos también seleccionar cualquier paquete para analizarlo en mayor detalle (en la figura se ha seleccionado el primer paquete). La parte central de la ventana nos muestra en detalle el contenido del paquete seleccionado en la parte superior, describiendo el protocolo al que corresponde y el significado de cada campo, pudiendo analizar la estructura del paquete desde el nivel de enlace al de aplicación. En esta parte de la ventana podemos también seleccionar cualquier campo y expandirlo para su análisis detallado (en el ejemplo se ha expandido la cabecera IP). La parte inferior de la ventana nos muestra un volcado hexadecimal y en caracteres ASCII de todo el paquete, y en todo momento nos va marcando la parte del paquete que corresponde al campo seleccionado en la parte central de la ventana (en el ejemplo de la figura marca el campo TTL de la cabecera IP, que es el que se ha seleccionado en la ventana central). Vamos a empezar con una captura indiscriminada en modo promiscuo, es decir dejando marcada la opción Capture packets in promiscuous mode y sin definir ningún filtro de captura. Puesto que no estamos realizando ninguna actividad con la red solo veremos el tráfico generado por otros usuarios o dispositivos, pero dado que estamos conectados a un conmutador lo que veremos será en su mayoría tráfico broadcast y multicast. Esperaremos P3-12

13 Práctica 3: Uso de herramientas y análisis de paquetes unos 10 segundos y pararemos la captura con CTRL/E para analizarla más cómodamente. Entre los paquetes capturados, muchos pertenecientes a protocolos desconocidos, intentaremos localizar y analizar la estructura de uno de cada uno de los siguientes tipos: Un paquete del protocolo BPDU (Spanning-Tree) Un paquete ARP Request Un paquete IP broadcast Para localizar fácilmente un paquete de cada uno de los tipos idnicados puede ser útil ordenar la tabla de la ventana superior por la columna Protocol. Analizando el contenido de esos paquetes debemos responder ahora a las siguientes preguntas: Dirección MAC de destino de la BPDU PREGUNTA 9 Dirección MAC de origen del ARP Request PREGUNTA 10 Aparece esta dirección dentro del paquete ARP? Qué TTL tiene el paquete IP? PREGUNTA 11 Cuál es su dirección de origen? Y la longitud de su cabecera? Ahora realizaremos una segunda captura, pero esta vez definiremos antes un filtro escribiendo en el campo Capture Filter not multicast. Como cabe suponer este filtro P3-13

14 Redes excluye a todos los paquetes con direcciones de destino multicast, lo cual incluye los paquetes broadcast (en el apéndice se encuentra una descripción detallada de la sintaxis utilizada para especificar filtros en Wireshark). Aunque el tráfico capturado se reduce bastante, no es nulo. Como podemos comprobar estamos recibiendo tráfico uinicast dirigido a otros ordenadores, a pesar de estar conectados a un conmutador A que se debe esta actividad? A que se debe el tráfico unicast de otros ordenadores que estamos capturando? PREGUNTA 12 Ahora para la captura anterior (CTRL/E), cambia la conexión de tu ordenador al hub (roseta negra) y lanza una nueva captura, también con el modo promiscuo activado y poniendo esta vez como filtro de captura tcp and host glup.uv.es. Espera a que tu compañero del ordenador vecino haga lo mismo antes de seguir. Una vez tengáis ambos la captura en marcha abre en una ventana de terminal una conexión FTP a glup.uv.es. Cuando pida usuario entra con el usuario anonymous y pon como contraseña tu dirección de e- mail (alumno@alumni.uv.es). Ejecuta cualquier comando de ftp (por ejemplo help ) y cierra la conexión con el comando quit. Al estar activado el modo promiscuo y conectado a un hub habrás capturado no solo tu sesión, sino también las de todos tus compañeros del laboratorio. Puedes analizar cualquier paquete, incluidos aquellos que teóricamente llevan sus contraseñas (en nuestro caso las direcciones de correo). Si seleccionas un paquete concreto de una sesión cualquiera y en la pestaña Analyze eliges la opción Follow TCP Stream podrás seguir cómodamente y con todo detalle la sesión FTP elegida. Una vez terminada esta prueba para la captura y vuelve a conectar el ordenador a la roseta blanca, es decir al conmutador LAN. 7.- Pruebas varias con el comando ping Pon la captura del Wireshark en marcha, desactivando esta vez la pestaña de modo promiscuo y poniendo el filtro icmp para que solo se capturen los paquetes pertenecientes a este protocolo. Utiliza el comando ping c para enviar un paquete ICMP y comprobar que el ping y la captura funcionan correctamente. Repite el envío intentando ahora que el ping no llegue a su destino poniendo un TTL bajo (opción t del comando ping). Analiza los resultados obtenidos. Crea un filtro que capture los paquetes que tengan un valor del campo TTL menor que 16. Comprueba su funcionamiento con el ping. P3-14

15 Qué filtro de Wireshark capturaría los paquetes con TTL menor que 16? Práctica 3: Uso de herramientas y análisis de paquetes PREGUNTA 13 Lanza ahora otro ping, esta vez con un paquete de 4000 bytes, más grande que la trama Ethernet, para forzar su fragmentación (la opción s permite fijar el tamaño de los paquetes de ping). Analiza lo que ocurre e intenta explicarlo a la luz de lo visto sobre fragmentación en clase de teoría. Observa si los campos de fragmentación tienen los valores que serían de esperar. Ejecuta ahora el comando ping R c que muestra la ruta ruta seguida por los paquetes. Intenta localizar en los paquetes de respuesta la información que muestra el ping relativa a la ruta seguida por los paquetes. Averigua ahora la opción del ping que permite especificar la longitud de los paquetes. Crea un filtro que capture los paquetes de longitud menor de 200 bytes y comprueba su funcionamiento. Qué filtro de Wireshark capturaría los paquetes con longitud menor de 200 bytes? PREGUNTA Resolución de nombres. Comandos nslookup y host. Generalmente los usuarios no acceden a los servicios mediante las direcciones IP, en su lugar utilizan nombres que, adecuadamente elegidos, resultan más fáciles de recordar. Por ejemplo, la dirección del servidor web de la Universidad de Valencia es , pero la inmensa mayoría de los usuarios utiliza en su lugar el nombre que es fácil de recordar si sabemos que todos los nombres de la Universidad de Valencia terminan en uv.es. Los nombres en Internet tienen una estructura jerárquica basada en dominios; por ejemplo el dominio de primer nivel es representa a España y el de segundo nivel uv representa a la Universidad de Valencia. Pero los paquetes IP no contienen nombres, sino direcciones. Por tanto, cuando un usuario teclea en su navegador el URL antes de enviar la solicitud de conexión su ordenador ha de averiguar la dirección IP correspondiente, para lo cual envía una pregunta al servidor encargado de la resolución de nombres, es decir de traducir ese nombre en la dirección IP correspondiente. Dicho servidor se conoce como el DNS (Domain Name Server) y es una pieza clave para el funcionamiento de la red, ya que sin él los usuarios P3-15

16 Redes están obligados a utilizar las direcciones IP, que normalmente no conocen. Existen dos comandos/programas que nos permiten enviar consultas al DNS, nslookup y host. nslookup es más antiguo, y por ello está más extendido. host normalmente solo está disponible en sistemas Linux y algunos otros unix. Los dos tienen su correspondiente man, y en el caso de host es posible además obtener información mediante la opción h. Tanto nslookup como host se pueden invocar como comando con un argumento, donde se indica el nombre que queremos resolver. Además nslookup puede invocarse sin argumentos, en cuyo caso nos introduce en un intérprete de línea de comandos propio, reconocible por el prompt >, dentro del cual podemos ejecutar diversos comandos. Para salir de ese intérprete y volver al Shell de UNIX debemos utilizar el comando exit. Intenta hacer la resolución del nombre siguiente utilizando cualquiera de los dos comandos descritos: Cuál es la dirección IP del ordenador glup.irobot.uv.es? PREGUNTA 15 Ahora repite la consulta anterior, pero poniendo antes en marcha una captura con el Wireshark, para analizar los paquetes que se transmiten como consecuencia de la consulta al DNS. Para que la captura sea selectiva vamos a configurar un filtro. Puesto que el protocolo DNS del nivel de aplicación utiliza a nivel de transporte el protocolo UDP y el puerto 53 el filtro será udp and port 53. Asegúrate de que no esté seleccionado el modo promiscuo, para evitar capturar paquetes de otros ordenadores. Realiza la captura y responde a las siguientes preguntas: Cuántos mensajes genera la consulta al DNS? PREGUNTA 16 A que dirección IP se dirigen las consultas? En el fichero /etc/resolv.conf se encuentran las direcciones IP de los servidores de DNS que tiene configurados tu host (normalmente hay más de uno para aumentar la fiabilidad). Comprueba el contenido de ese fichero (por ejemplo con more /etc/resolv.conf ) y relaciona su contenido con la respuesta de la pregunta anterior. Ahra cambia el nombre del fichero resolv.conf a resolv.conf.old. Repite la P3-16

17 Práctica 3: Uso de herramientas y análisis de paquetes consulta anterior al DNS. Funciona? Prueba un ping a glup.irobot.uv.es Funciona? Prueba un ping a su dirección IP, que obtuviste en la pregunta 15 Funciona? Puedes explicar lo que ocurre? Antes de seguir con el desarrollo de la práctica restaura su nombre original al fichero resolv.conf. El DNS también puede realizar resoluciones inversas, es decir encontrar el nombre que corresponde a una determinada dirección IP. Para ello puedes utilizar los mismos comandos que para las resoluciones directas, solo tienes que poner como argumento del comando host o nslookup la dirección IP cuyo nombre quieres buscar. Para probarlo responde a la siguiente pregunta (asegúrate de tener en marcha la captura anterior, o en caso contrario reanúdala): Qué nombre se corresponde con la dirección IP ? PREGUNTA 17 Por la captura del Wireshark podrás comprobar que esta consulta ha generado un intercambio de mensajes similar al que ocurrió anteriormente para la resolución directa. La resolución inversa es utilizada habitualmente en muchos programas. Por ejemplo, antes hemos utilizado los comandos arp n y route n. En ambos casos la opción -n servía para evitar la resolución inversa, ya que estábamos interesados en averiguar solo las direcciones IP, no los nombres. Si ahora ejecutamos cualquiera de esos comandos sin la opción -n veremos como la información que nos muestran incluye los nombres correspondientes a las direcciones IP implicadas. Además, si observamos la captura del Wireshark (que todavía debemos tener en marcha) veremos que la ejecución de estos comandos, que normalmente no generaría tráfico en la red pues nos están devolviendo información puramente local, provoca ahora el intercambio de varios paquetes en la red debido a las consultas enviadas al DNS. Un caso curioso de resolución inversa es el que puede tener lugar en el propio programa Wireshark, según las opciones que se elijan. Para ahora la captura que tengas en marcha y clica en el campo Opciones. Verás que existe una casilla en la parte inferior derecha de la pantalla, por defecto desactivada, que pone Enable Network Name Resolution. Si se activa esta casilla el Wireshark intenta realizar la resolución inversa de todas las direcciones IP que aparecen durante la captura. Puesto que en una captura aparecen normalmente muchas direcciones IP diferentes la resolución inversa de todas ellas aumenta de forma considerable la carga del Wireshark y genera mucho tráfico adicional, que se mezcla con el tráfico a analizar dificultando mucho el análisis de los paquetes, a menos que se configuren previamente los filtros adecuados. Por ese motivo esta opción está por defecto desactivada. Vamos a hacer ahora otra consulta al DNS: P3-17

18 Redes PREGUNTA 18 Cuál es la dirección IP del ordenador robotica.uv.es? Como puedes ver este nombre devuelve la misma dirección IP que el nombre glup.irobot.uv.es, por tanto es evidente que diferentes nombres pueden resolverse en una misma dirección IP. Lo contrario, es decir que varias direcciones IP se resuelvan en el mismo nombre, no es posible. Cuando antes hemos hecho la resolución inversa hemos visto que la dirección devolvía únicamente un nombre, glup.irobot.uv.es. Esto indica que los dos nombres no son equivalentes, ya que glup.irobot.uv.es es el nombre canónico u oficial, mientras que robotica.uv.es es un alias o sinónimo. Una dirección IP puede corresponderse con tantos nombres como queramos, pero solo uno de ellos será el nombre canónico, siendo el resto sinónimos o alias. Cuando se hace la resolución inversa de una dirección el DNS siempre devuelve el nombre canónico. La situación es en cierto modo parecida a la correspondencia entre MAC e IP, donde a una dirección MAC le podían corresponder varias IP, pero no al revés. Además, de las múltiples direcciones IP solo una era la primaria o canónica, mientras que las demás eran secundarias o alias. Gráficamente la situación es la siguiente: Nombre canónico IP primaria Alias Alias MAC IP secundaria Nombre canónico Alias Alias IP secundaria Nombre canónico Alias Alias P3-18

19 9.- traceroute Práctica 3: Uso de herramientas y análisis de paquetes Este programa determina el camino que siguen los paquetes para llegar a un destino determinado enviando hacia allí paquetes de sonda con valores crecientes del TTL (Time To Live). Cada vez que un paquete llega a un router este decrementa el valor del campo TTL en 1 antes de reenviarlo al siguiente router hacia su destino. Si el TTL después del decremento es 0 el router descarta el paquete y devuelve a la IP de origen un mensaje ICMP Time Exceded. Este mensaje Time Exceeded lleva como dirección IP de origen la del router que ha destruido el paquete (más concretamente la de la interfaz por la que se ha emitido el mensaje ICMP). Enviando paquetes con TTLs crecientes que envía a modo de sondas (1, 2, 3, etc.) el host va descubriendo poco a poco la ruta hacia un destino determinado. La mayoría de las implementaciones de traceroute fijan por defecto un valor máximo de 30 en el valor inicial del TTL para los paquetes enviados, ya que raramente un destino en Internet se encuentra a más de 30 saltos de distancia. El programa traceroute está disponible en UNIX, Windows y otros sistemas operativos. En Windows, donde recibe el nombre tracert, las sondas son paquetes ICMP Echo request (como los de ping) mientras que en Linux/UNIX se utilizan por defecto datagramas UDP, aunque mediante las opciones adecuadas es posible enviar paquetes ICMP Echo request, e incluso TCP. Por defecto traceroute realiza siempre la resolución inversa de nombres; si quieres omitirla puedes usar la opción -n. La supresión de la resolución inversa en el traceroute puede agilizar a veces el proceso, pero resta claridad a la respuesta obtenida ya que los nombres generalmente ayudan a saber la ubicación de los routers en la red. Utiliza el traceroute para averiguar el camino seguido por los paquetes para ir desde tu ordenador hasta glup.irobot.uv.es. Ruta hacia glup.irobot.uv.es: PREGUNTA 19 Para analizar en detalle el funcionamiento de traceroute vamos a repetir el comando anterior teniendo en marcha una captura de Wireshark. Como filtro de captura pondremos simplemente not multicast y nos aseguraremos de tener desactivado el modo promiscuo. Para evitar interferencias debido a los paquetes de resolución inversa generados utiliza la opción -n. Después de terminada la captura intenta identificar, gracias a su valor de TTL, los paquetes de sonda; analiza la secuencia temporal que ha seguido tu host en el envío de esos paquetes (a partir de los valores que aparecen en la columna Time para cada uno) e intenta encontrar una explicación a su forma de proceder. Existen diversos motivos por los que el comando traceroute puede fallar, por ejemplo que en algún router del camino se hayan configurado interfaces con direccionamiento privado, que exista un cortafuegos o filtro que impida el paso de los paquetes de sonda o de P3-19

20 los ICMP Time Exceeded, etc. Redes Como prueba de lo anterior ejecuta ahora traceroute y observa el resultado. El servidor web de la Universidad se encuentra protegido por un cortafuegos que no deja pasar los paquetes UDP ni ICMP dirigidos a él. Sin embargo si utilizamos paquetes TCP dirigidos al puerto 80 (el puerto estándar de los servidores web) el cortafuegos los deja pasar, ya que considera que se trata de intentos válidos de conexión al servidor web. Esto lo conseguimos mediante la opción T. Repite el traceroute con esta opción y observa el resultado. Observa, haciendo uso de la captura del Wireshark, el nuevo tipo de paquetes de sonda utilizados. Para terminar vamos a probar una ruta larga y compleja lanzando un traceroute al servidor (Universidad de Berkeley en San Francisco, Estados Unidos). Puesto que este servidor se encuentra también protegido por un cortafuegos debes utilizar como antes la opción T del traceroute. A partir de la información de tiempos obtenida, intenta responder a las siguientes preguntas (pista: la velocidad de la luz en la fibra óptica es de aproximadamente Km/s; puesto que los tiempos que muestra traceroute corresponden al viaje de ida y vuelta esto equivale a Km/s, por lo que cada milisegundo corresponde aproximadamente a 100 Km de distancia. Ten en cuenta que los enlaces de fibra óptica no suelen ir por la ruta más corta). En que salto se encuentra el enlace nacional? (Valencia- Madrid): PREGUNTA 20 En que salto se encuentra el primer enlace internacional? (Madrid-Suiza): En que salto se encuentra el enlace trasatlántico? (Europa-EEUU): Ten en cuenta que los nombres de los equipos no siempre se corresponden con su ubicación geográfica netstat. El comando netstat (network statistics) suministra información relacionada con la configuración de la red, tráfico cursado y estado de las conexiones del ordenador donde se ejecuta. Está disponible de forma estándar en la gran mayoría de los sistemas operativos, P3-20

21 Práctica 3: Uso de herramientas y análisis de paquetes aunque las opciones varían según las implementacion. La información sobre tráfico se ofrece de forma conjunta, sin detallarla por interfaz. De todas las posibilidades que ofrece el comando netstat nosotros vamos a explorar las tres siguientes: Ver las estadísticas de tráfico del equipo, detalladas por protocolo (opción s). Ver las conexiones TCP establecidas (opción t) Ver los puertos abiertos en TCP y UDP (opciones tl y ul) Para ver el tráfico cursado, has de utilizar la opción s del comando netstat. Esto te ofrece una estadística resumida de los paquetes cursados por el equipo para cada uno de los protocolos principales (IP, ICMP, TCP, y UDP) pero sin detallar las interfaces. Ejecuta netstat s y responde a la siguiente pregunta: PREGUNTA 21 Valores de los contadores indicados IP: Total packets received: ICMP: ICMP messages received: TCP: Segments received: UDP: packets received: Ejecuta ahora el comando ping c seguido de netstat s y anota los nuevos valores de los contadores anteriores: PREGUNTA 22 Valores de los contadores indicados después del ping IP: Total packets received: ICMP: ICMP messages received: TCP: Segments received: UDP: packets received: Ejecuta ahora el comando host glup.uv.es y anota los nuevos valores de los contadores: P3-21

22 Redes PREGUNTA 23 Valores de los contadores indicados después del host IP: Total packets received: ICMP: ICMP messages received: TCP: Segments received: UDP: packets received: Explica los resultados obtenidos. Para ver con netstat las conexiones TCP activas utilizamos la opción t. Antes de hacer nada ejecuta netstat -nt y observa la respuesta (utilizamos además la opción n para omitir de momento la resolución de nombres en el resultado del comando). Debería aparecer una lista de conexiones vacía, aunque es posible que tu equipo tenga ya alguna por razones de mantenimiento o actualización automática del software. Establece ahora una conexión FTP a glup.uv.es mediante el comando ftp glup.uv.es. Cuando te pida el usuario (Name) escribe anonymous y como contraseña pon tu dirección de de la universidad (usuario@alumni.uv.es). Con la conexión FTP establecida ejecuta de nuevo netstat -nt y analiza la información obtenida. Verás algo parecido a lo siguiente: [root@147 ~]# netstat -nt Active Internet connections (w/o servers) Proto Recv-Q Send-Q Local Address Foreign Address State Tcp : :21 ESTABLISHED [root@147 ~]# En la columna Local Address aparece tu dirección IP seguida del número de puerto que el sistema le ha asignado a tu cliente ftp cuando se ha conectado al servidor (59577 en el ejemplo). La combinación de dirección IP y número de puerto es lo que se conoce como el socket o punto de conexión del nivel de transporte; el socket desempeña en el nivel de transporte una función equivalente a la dirección IP en el nivel de red. Averigua el socket utilizado por tu cliente y responde a la siguiente pregunta: PREGUNTA 24 Qué socket utiliza el cliente en la conexión FTP? Dirección IP: Número de puerto: La columna Foreign Address indica el socket remoto, formado en este caso por la P3-22

23 Práctica 3: Uso de herramientas y análisis de paquetes dirección IP del servidor Glup ( ) y el número de puerto utilizado por el servidor, que de forma estándar es el 21 para el protocolo FTP. Cada protocolo o servicio estándar tiene reservado un número de puerto de los que se conocen como puertos bien conocidos. En el apéndice B tienes una lista de los números utilizados por algunos de los servicios más comunes. Salvo algunas excepciones, normalmente los servidores utilizan puertos por debajo del 1024, mientras que los puertos elegidos por los clientes (conocidos como puertos efímeros ) son siempre valores entre 1024 y (el número de puerto es un entero de 16 bits). El rango concreto de números de puerto utilizados por los clientes depende de cada sistema operativo, pero siempre se emplean valores por encima del 1023 Repite ahora el comando omitiendo la opción n, es decir netstat -t. De este modo obtienes la misma información, pero con la resolución de nombres activada. Verás que ahora aparecen los nombres de las máquinas en lugar de las direcciones IP, pero además en la Foreign Address aparece ftp en vez del puerto 21, ya que el sistema sabe que ese número de puerto corresponde al servicio ftp y por tanto muestra el acrónimo en lugar del valor numérico. Lo mismo ocurre con otros números de puerto bien conocidos. Cierra ahora la sesión ftp con el comando exit y repite netstat -t. Verás que la conexión pasa ahora al estado TIME_WAIT, donde permanecerá durante uno o dos minutos hasta desaparecer por completo. Abre ahora el navegador web y efectúa una conexión al servidor web de la universidad ( Ejecuta netstat -t, analiza la respuesta obtenida y responde a la siguiente pregunta: PREGUNTA 25 Qué número de puerto utilizan los servidores Web? Número de puerto: Además de poder ver las conexiones establecidas, el comando netstat te permite ver que puertos tiene tu ordenador a la escucha o en modo LISTEN, es decir puertos preparados para recibir conexiones de otros ordenadores. Para esto debes utilizar las opciones tl (o ntl para omitir la resolución de nombres). Los puertos abiertos en todas las interfaces tendrán * como dirección IP en la columna Local Address. Responde ahora, usando el netstat, a la siguiente pregunta: Qué puertos TCP tiene abiertos tu ordenador en todas sus interfaces? PREGUNTA 26 Número de puerto (ej.: 21) Servicio (ej.: ftp) Además de puertos TCP un ordenador puede tener abiertos puertos UDP (no tienen por qué ser los mismos). El comando netstat también te permite explorarlos mediante la opción ul. De nuevo, los puertos abiertos en todas las interfaces tendrán * como dirección IP en la columna Local Address. Responde ahora a la siguiente pregunta: P3-23

24 Redes Qué puertos UDP tiene abiertos tu ordenador en todas sus interfaces? PREGUNTA 27 Número de puerto Servicio 11.- nmap La herramienta nmap (Network Mapper) es un escáner de seguridad que permite obtener información sobre un host o un conjunto de host. Hay implementaciones para todos los sistemas operativos habituales, con versiones en línea de comandos o por interfaz gráfica. Tiene gran cantidad de opciones y posibilidades, como puede verse observando la información que devuelve el comando man nmap. También puedes consultar toda la documentación y ejemplos de utilización en Nosotros vamos a explorar solo una parte mínima de esas posibilidades. Empieza ejecutando el comando nmap glup.uv.es y responde a la siguiente pregunta: Qué puertos TCP tiene abiertos glup? PREGUNTA 28 Número de puerto Servicio Se trata de la misma información que nos daba el comando netstat tl, solo que ahora la estamos obteniendo de otro host, lo cual convierte a este comando en una herramienta muy interesante. Por defecto nmap no escanea todos los puertos TCP, sino solo los mil más utilizados en servidores (en dicho rango hay puertos por debajo y por encima de 1024). Con la opción p podemos especificar un rango o una lista de rangos a escanear, por ejemplo si teclearas nmap p glup.uv.es escanearías todos los puertos TCP en glup; sin embargo la ejecución de este comando tardaría varios minutos y sometería a glup a una carga importante, ya que para descubrir los puertos abiertos nmap envía paquetes de sonda intentando establecer conexiones con todos ellos. Para comprobarlo, haz ahora la siguiente prueba: pon en marcha una captura de Wireshark configurando un filtro de forma que solo captures el tráfico entre tu ordenador y glup. Una vez tengas la captura en marcha ejecuta el comando nmap p20-30 glup.uv.es, que escanea el rango de puertos Observa la captura obtenida y analiza la secuencia de paquetes enviados por tu ordenador. Verás los intentos de conexión a cada puerto, que ocurren en orden aleatorio para evitar ser considerado como un ataque sistemático por parte de los cortafuegos. Además de escanear puertos TCP nmap puede escanear puertos UDP. Para esto hay que utilizar la opción su, teclea nmap su lab6inf22.uv.es (el ordenador del profesor) y responde a la siguiente pregunta: P3-24

25 Qué puertos UDP tiene abiertos lab6inf22? Práctica 3: Uso de herramientas y análisis de paquetes PREGUNTA 29 Número de puerto Servicio Como antes el escaneo explora por defecto los mil puertos más habituales en UDP (la lista no es la misma que para TCP), pero también es posible especificar un rango cualquiera con la opción p, por ejemplo nmap su p lab6inf22.uv.es escanearía los puertos UDP 10 a 100, ambos inclusive. nmap admite especificar como argumento una lista de hosts, por ejemplo nmap glup.uv.es lab6inf22.uv.es hará el escaneo de los dos hosts especificados. También es posible, por supuesto, especificar las direcciones IP, evitando así la consulta al DNS. En este caso se puede especificar no solo una dirección, sino una lista, un rango, etc., de múltiples maneras. Ejecuta por ejemplo el comando nmap p y observa el resultado. Obviamente nmap solo reporta información de los hosts que verdaderamente existen (o que consigue descubrir) dentro del rango especificado. Otros ejemplos de especificación de rangos con nmap son los siguientes: Comando Hosts escaneados /26 De a /26 De a De a De a De a De a De a De a Como puedes ver en el segundo ejemplo de la tabla, cuando se utiliza la notación dirección/máscara la dirección especificada no necesariamente ha de ser la de la red correspondiente, sino que puede ser la de cualquier host en la red. Tampoco es preciso que el rango especificado corresponda con una red IP real, es decir en el ejemplo anterior la red podría ser /27, /25 o cualquier otra cosa. nmap permite escanear fácilmente grandes rangos de direcciones IP y de puertos. En estos casos el número de intentos de conexión generados puede ser considerable, por lo que la ejecución del comando puede tardar bastante y someter a la red y a los hosts a una carga importante. Además, muchos cortafuegos están programados para detectar los escaneos masivos y alertar de su uso, porque se consideran una mala práctica y un riesgo en la seguridad de los sistemas. Por estas razones nmap debe usarse con mucha prudencia en estas situaciones, sobre todo si se está explorando una red ajena. P3-25