UNIVERSIDAD NUEVA ESPARTAFACULTAD DE CIENCIAS DE LA INFORMATICA
ESCUELA DE COMPUTACIONSEDE CENTRO
CATEDRA: COMPLEMENTARIA IIIPROF.: HUGO MARCANO
PRACTICA DE CAPTURA DE TRÁFICO COMMVIEW Y WIRESHARK
Rios MaikellinC.I.: 18.331.147
Vásquez, ManuelC.I.: 19.513.731
CARACAS, 19 DE MAYO DE 2011
En primer lugar se instalo el commview 6.0 del CD, luego de instalarlo lo ejecute seleccione en el combobox una opción y se le dio click a play, esto fue lo que mostro:
La captura de los paquetes, el protocolo que usan, la Mac de origen y destino, la ip de origen y destino, los puertos de origen y destino, y el tiempo.
Al seguir los pasos seleccione un paquete le di click al botón derecho sobre el paquete y se le dio a enviar paquete seleccionado, apareció esto:
Estas son las estadísticas de la transferencia de paquetes por segundo:
En el recuadro de arriba se muestra los paquetes enviados por segundo, y en el de abajo los bytes transferidos por segundo.
En este cuadro se muestra la referencia de los puertos:
Con las opciones que se le modificaron a la captura ahora no muestra el nombre del puerto sino solo el número:
Al utilizar el alias la captura cambia, se puede saber hacia el destino que va, o si es un paquete enviado o recibido.
Entramos a las reglas del commview y modificamos para que nada más se vean los paquetes que van hacia el puerto 80:
Después de esto entramos en reglas avanzadas, formulas para crear una regla que solo permita capturar los paquetes mayores de 100 bytes:
NOTA: Después de detener la captura y borrar los filtros, al iniciar la captura nuevamente para reconstruir la sesión TCP el Commview dejo de funcionar, se ejecuto varias veces, se reinstalo y no capturaba nada por ese motivo la practica con el Commview no se pudo finalizar se probo en 3 computadoras distintas y no funciono.
Una vez instalado el Wireshark y al abrir el mail.cap se observan las tramas capturadas, el primer cuadro indica el resumen de las caracteristicas, al escoger una trama por ejemplo la 7 se muestra el password de la misma que es abc123, el segundo cuadro muestra los detalles a nivel de las capas de protocolos y el ultimo cuadro muestra el contenido de los campos del protocolo en codigo ASCII y formato hexadecimal :
Se reconstruye la sesión TCP para conocer el usuario y la contraseña utilizada:
Se observan las estadísticas del tráfico capturado:
Ahora se observa el TCP flow, donde se establece la comunicación entre el host 1 y el host 2, los cuales se envían segmentos con banderas, que contienen el numero de puerto de destino, y números de confirmación, se envían segmentos y los devuelven para establecer una comunicación para la transferencia de datos:
También se puede ver el tiempo de la captura:
Se ejecuta el telnet.cap para ver las capturas, y reconstruir las sesiones para ver las contraseñas:
Ahora se selecciona la captura 7 para reconstruir la sesión y ver la complejidad de la contraseña:
Se observa que la contraseña no es enviada como un solo paquete, sino cada letra como uno individual.
Se selecciona la capa 3 y se reconstruye la sesión, se observa la contraseña y otros datos:
Ahora se ve el grafico de flujo general:
Se observa el flujo realizado durante cierto periodo de tiempo entre una dirección y otra, y al lado el comentario de la acción.
Y en el TCP se observan los segmentos enviados de un host a otro con sus respectivas banderas para identificar la acción que están realizando para iniciar la transferencia de datos.
Se carga el FTP.cap y se selecciona la trama 9:
En la cual se observa la contraseña enviada.
Se reconstruye la sesión TCP:
Ahora se despliega el general flow:
Se observan las peticiones de os protocolos y las respuestas, la petición de los datos del usuario y la clave, al lado se observa con detalle los datos enviados.
Con el TCP flow:
Se coloca en el filtro la palabra ftp para observar los paquetes FTP:
Se coloca en el filtro lo siguiente: ip.src==207.46.133.140, solo se veran los paquetes de esa direccion:
NOTA: La siguiente fase de la práctica no se pudo culminar debido a que el Download.cap no abrió, se ejecuto en 3 maquinas distintas y salía todo en blanco, se borraron los filtros para probar que estuviera bien y seguía en blanco, se reinstalo el programa para descartar fallas pero seguía el mismo problema.