Análisis de tráfico en redes TCP/IP Conferencia. Sumario: Introducción. Captura de paquetes. SNIFRERS. Aplicaciones para el análisis de Tráfico. Análisis.

1 Análisis de tráfico en redes TCP/IP Conferencia ...
Author: María Concepción Caballero Montoya
0 downloads 0 Views

1 Análisis de tráfico en redes TCP/IP Conferencia

2 Sumario: Introducción. Captura de paquetes. SNIFRERS. Aplicaciones para el análisis de Tráfico. Análisis de datagramas IP.

3 Bibliografía: Douglas E. Comer, Redes Globales de Información con Internet y TCP/IP, Tercera Edición.

4 INTRODUCCIÓN El ingreso de nuevos equipos a la red, la existencia de protocolos no necesarios, la mala configuración de equipos activos de red o la de mantenimiento al cableado estructurado y las interfaces de red pueden causar la decadencia del desempeño de la red. Por medio de pruebas, captura de paquetes, análisis de flujo de información y verificación de la configuración de equipos activos de red (switch, routers), podemos ofrecer una solución óptima para depurar y optimizar el funcionamiento de la red.

5 INTRODUCCIÓN En redes basadas en la tecnología Ethernet clásica de medio de transmisión compartido, el análisis del tráfico de red se basa habitualmente en la utilización de sondas con interfaz Ethernet conectadas al medio. Dichas sondas, con su interfaz Ethernet funcionando en modo promiscuo capturan el trafico de la red.

6 Captura de paquetes. SNIFERS Un sniffer, o más concretamente, un sniffer de paquetes, se define como una pieza de software o hardware que se conecta a una red informática y supervisa todo el tráfico que pasa por el cable. Un programa de sniffing permite a alguien escuchar las conversaciones entre ordenadores que fluyen por las redes.

7 Captura de paquetes. SNIFERS Los programas de intervención necesitan disponer de una característica denominada "análisis de protocolo", la cual permite decodificar el tráfico enviado y darle sentido para hacerlo de "alguna manera" legible.

8 Componentes de un sniffer de paquetes El hardware: La mayoría de productos funcionan sobre adaptadores de red estándar, aunque algunos requieren hardware especial. Driver de captura: Esta es la parte más importante. Captura el tráfico de red del cable, filtra un contenido específico definido por el usuario, y entonces almacena el resultado en un buffer.

9 Componentes de un sniffer de paquetes Buffer: los paquetes capturados de la red, se almacenan en un buffer. Existen un par de modos de captura: hasta que el buffer se llene, o usar un buffer rotatorio (o del tipo Round Robin) donde los nuevos datos sobrescriben los más antiguos. Análisis en tiempo real: Esta característica realiza algunos análisis a nivel de bits de los paquetes que atraviesan el cable.

10 Componentes de un sniffer de paquetes Decodificación: Transforma los datos binarios a un formato entendible para su posterior análisis. Editar paquetes (transmitir): Algunos Sniffers (los menos) contienen características de editar los paquetes en la propia red y enviarlos de nuevo a ella.

11 Utilidades de los sniffer de paquetes Los programas para realizar sniffing se han distribuido de dos formas diferenciadas: comerciales y “underground”. Los sniffers comerciales se usan para mantener redes, y los sniffers “underground” se usan para asaltar a los computadoras de una red.

12 Los usos típicos de un sniffer incluyen los siguientes: 1) Captura automática de contraseñas enviadas en claro y nombres de usuario de la red. 2) Conversión del tráfico de red a un formato entendible por los humanos. 3) Análisis de fallos para descubrir problemas en la red. 4) Medición del tráfico, mediante el cual es posible descubrir cuellos de botella en algún lugar de la red.

13 Los usos típicos de un sniffer incluyen los siguientes: 5) Detección de intrusos, con el fin de descubrir hackers. Aunque para ello existen programas específicos llamados IDS. 6) Describir la estructura de los paquetes capturados.

14 El modo promiscuo y la protección contra sniffer de paquetes Modo de operación en el que una computadora conectada a una red compartida, captura todos los paquetes, incluyendo los paquetes destinados a otras computadoras. La mejor forma de protegerse ante estos ataques es la de encriptar el tráfico de red. Secure Sockets Layer (SSL) PGP y S/MIME Secure Shell (Ssh) Virtual Private Networks (VPN)

15 Aplicaciones para el análisis de Tráfico Network Top (NTOP) Ntop es una sonda de red que muestra el uso de la red discriminando protocolos, puertos y aplicaciones. Está basada en la librería de captura de paquetes “pcap” y bajo sistemas UNIX se le conoce como TCPDump.

16 Aplicaciones para el análisis de Tráfico Ethereal: Es un potente analizador de protocolos de redes, al igual que Ntop sus bases residen en la librería “pcap” diseñado para máquinas Unix y Windows. Nos permite capturar los datos directamente de una red u obtener la información a partir de una captura en disco (puede leer más de 20 tipos de formato distintos). Destaca también por su impresionante soporte de más de 300 protocolos.

17 Aplicaciones para el análisis de Tráfico NETWORK MONITOR (monitor de red de windows) Con el Monitor de red puede recopilar información que le ayudará a mantener la red a pleno rendimiento, gracias a funciones que permiten desde identificar patrones a evitar o solucionar problemas. El Monitor de red proporciona información acerca del tráfico de la red que fluye hacia y desde el adaptador de red del equipo donde está instalado.

18 Análisis de Datagramas IP 45 00 00 2c 1f e8 40 00 f8 06 41 7a c1 92 c4 ec 93 53 07 97 00 15 3c bd 82 b4 31 36 92 1d e5 bb 50 12 22 38 eb de 00 00 4d 75 6e 64 6f 0d 0a Cada grupo de dos dígitos corresponde a 8 bits (un byte) expresado en formato hexadecimal e identificando cada byte con el campo que le corresponde en las cabeceras IP y TCP o UDP. Los bytes que corresponden a la aplicación, sabemos que transportan información en ASCII.

19 Formato Datagrama IP

20 TCP UDP

21 La transcripción sería: 4: Es la versión. 5: Determina la longitud de la cabecera. 00: Clase de servicio. 002c: Longitud total del paquete; (0*16^3)+(0*16^2)+(2*16^1)+(12*16^0)= 0+0+32+12 = 44bytes 1fe8: ID del paquete.

22 La transcripción sería: 4000: Flags e indica el posicionamiento de este fragmento dentro del datagrama en conjunto. f8: TTL: Es el tiempo de vida del paquete, (15*16^1)+(8*16^0)= 240+8 = 248 06: Protocolo, Es utilizado por la capa de red, para saber a que protocolo de la capa de transporte (6 para TCP, 17 para UDP, 1 para ICMP).

23 La transcripción sería: 417a: Checksum c1 92 c4 ec: IP del emisor 93 53 07 97: IP del destinatario Como la longitud de cabecera es 5, no hay opciones y a continuación vendría la cabecera TCP. 00 15: Puerto de origen. (1*16^1)+(5*16^0) = 16+5 = 21

24 La transcripción sería: 3c bd: Puerto de destino = 15549 (16bits) 82 b4 31 36: Numero de secuencia de 32bits. Identifica el primer byte del campo de datos. 92 1d e5 bb: Numero reconocido. 5: Longitud de cabecera de 4bits. 012: Reservado para el futuro (6bits). 22 38: Ventana. eb de: Checksum. 00 00: Puerto de urgencia. Datos: 4d(m) 75(u) 6e(n) 64(d) 6f(o) 0d(CR) 0a(LF)

25 CONCLUSIONES Es evidente que la utilización de las herramientas de análisis de tráfico tiene dos aristas bien definidas. Por una parte son usadas por usuarios malintencionados en busca de beneficios personales (la mayoría de los casos), aunque no se descarta la posibilidad de que se use simplemente como hobbit. Por otra parte se utilizan con el fin de resolver problemas de red o al menos identificarlos a tiempo. En nuestro caso serán usadas con fines educativos y con la idea de capturar y describir los paquetes que viajan por la red.