Aprendiendo analizar tráfico de red

Hola a todos 🙂 vamos aprender un poco o a reforzar. Vais a construir con el Visio, con el Packet Tracer o lo que os parezca, el esquema de red. Lo vamos a sacar del análisis de una pequeña captura de las tramas de red.

Vamos a utilizar: varios equipos, switch, router y varios servidores web de internet, también un portátil con el que iré capturando el tráfico.

Vamos analizar desde dentro de la red LAN del cliente.

Os pongo la captura general y será la imagen principal a la que debemos visualizar cada vez que pasemos a una trama nueva para no pegarla varias veces a lo largo del post (es la captura general):

(imagen de arriba) Pincharemos con el ratón sobre la trama No. 1, se ve marcada en azul y fijándonos en la info que nos proporciona podemos descubrir que se trata de un router usando IPV6. Su Ip esta debajo de la columna Source, fe80::201:5cff:fe31ff02::1

(imagen de abajo) Si nos vamos al panel del detalle del paquete, marcado en amarillo esta su MAC: 00:01:5c:31:bb:c1

La ipV6 de destino del paquete es una dirección de multicast, os he puesto el círculo rojo, eso de círculo …

Por lo tanto ya podemos empezar a construir nuestro esquema con solo mirar la primera trama o Frame.

En la TRAMA o frame 2, la segunda de la imagen principal que poníamos al principio del post, columna No. correspondiente al número 2, en el panel de la lista de paquetes, podemos darnos cuenta de que es una trama de tipo ARP.

Pregunta por la ip 24.6.175.56 por eso pone la «?» y el que pregunta (tell) es la ip 24.6.168.1 como vemos bajo la columna info, «who has 24.6.175.56»

Al ser un ARP (ver Wikipedia si no se sabe) está preguntando por la MAC que tiene el equipo de esa IP 24.6.175.56

Una vez marcada nos vamos más abajo al panel de detalle del paquete como vemos en la imagen a continuación, y la dirección de destino es un broadcast. MAC broadcast (FF:FF:FF:FF:FF:FF)

Por lo tanto nuestro esquema estaría en este momento:

En la TRAMA
3 descubrimos una petición http [SYN] con número de secuencia igual a cero seq=0 por ser el primer paquete generado.

Por lo tanto se trata del protocolo de las tres vías en inglés 3-way handshake. Trata de establecer conexión con un servidor web. El protocolo de los tres estados podéis ver su funcionamiento en wikipedia.. Vamos al panel de detalle:

En la cabecera Ethernet II, interpretamos que desde se envía un paquete desde un equipo con MAC: d4:85:64:a7:bf:a3 al router, usando la MAC de destino del router, pasando por un switch de capa dos

Nos vamos a la línea roja de donde sacamos la Ip de destino del servidor web que la ha sabido nuestra red gracias a otro protocolo y la recepción de otros paquetes previos DNS. Ip de destino servidor web 216.168.252.157 y la nuestra de origen del nuevo PC la 24.6.173.220

En la parte del protocolo de transmisión vemos el puerto aleatorio del equipo 41865 y el de destino del servidor web,l puerto de escucha o daemon 80.

El flags que está marcado es el primero [SYN] y ya recortado en la imagen podemos ver el tamaño de la ventana en 8192, tenéis un post en este blog sobre cómo funciona el tamaño de la ventana y los números de secuencia.

Como todavía no respondió el servidor web, no debemos ponerlo en nuestro esquema ya que pudiera no existir. Nos toca analizar la respuesta del servidor si es que la hay y ya seguimos con nuestro esquema.

TRAMA 4.

Hiendo al principio del post y viendo la imagen original la trama No.4, en el panel de lista de paquetes el origen o source es la ip del servidor externo del servicio web, el protocolo es TCP y en info http (puerto 80) y nuestro puerto cómo destino él 41865 (socket 24.6.173.220:41865) y en info nos dice entre otras cosas que es un SYN-ACK, es decir un acuse de recibo de respuesta al anterior envío de SYN, además el ACK vemos que es igual a uno ACK=1 que es justo el siguiente al nuestro número de secuencia anterior seq=0, confirmando así que ha llegado.

Pasa algo aquí que suele confundir a los novatos. Vamos al panel de detalle:

Podríamos pensar que está mal la MAC de origen, aparece escrita la del router y no la del servidor de destino. Esto es debido al estar analizando en nuestra red local y tener al router en el medio. El router desencápsula el paquete procedente de internet o una red externa y lo vuelve a encapsular cambiando la cabecera MAC del servidor por la de su interface fastethernet de salida a la red el PC (es decir nuestra red) así el switch pueda procesar la trama correctamente, por lo tanto la mac de origen es la del router y la de destino la del nuevo PC. Por lo tanto vemos una Ip de otra red pero con la MAC del router local. Con la TRAMA 5 finaliza el protocolo de las tres vías.

Para ver el resumen de esta conversación de establecimiento de conexión con el servidor Web podemos hacer click con el botón derecho del ratón sobre la trama 3 y presionar botón derecho, del menú contextual que sale seleccionamos follow TCP STREAM, nos mostrara solo esa conversación:

Nuestro esquema quedaría ahora mismo de la siguiente manera:

TRAMA 6

Con esta trama descubrimos que en contra de nuestra prohibición en el trabajo, nuestro empleado tiene en el equipo el Dropbox instalado. Está lanzando una petición broadcast el dropbox.

TRAMA 7

Estamos en el mismo caso anterior de establecimiento de sesión Web pero un equipo nuevo. Creo que ahora vosotros ya podéis identificar el tráfico, en la TRAMA 8 responde el servidor y en la TRAMA 9 finaliza.

Seguimos más tarde, ir haciendo el dibujo … y si no os apetece podéis esperar viendo un video de MISTER «T» cantando, si si un RAP, no tiene desperdicio …porque dirán que los informáticos somos frikies …