ACADEMIA DE COMPUTACIÓN
LABORATORIO DE DESARROLLO DE REDES
PRACTICA No.7
FNC/jrdc&oavr
REDES DE COMPUTADORAS SNIFFER
1. Objetivo:
2. Material
3. Introducción
Se puede definir como Sniffer a un proceso que detecta el tráfico que se genera en la
red a nivel de enlace; de este modo puede leer toda la información que circula por el tramo de
red en el que se encuentre. A través de este método se pueden capturar claves de acceso,
datos que se transmiten, números de secuencia, etc.
3.3 ETHERNET
La red LAN Ethernet actual esta establecido en el estándar IEEE 802.3 y se desarrolla
a partir de una tecnología original diseñada en 1980 por un investigador de la compañía
XEROX.
En 1985 las compañías DEC, INTEL y XEROX crearon la arquitectura de red local
llamada ETHERNET DIX. Esta red LAN usa el método de acceso CDSMA/CD en el cual las
terminales compiten por el uso del medio.
PREAMBULO: Es una secuencia de 7 octetos, cada una de las cuales tienen el formato
10101010 y cuyo fin es permitir al receptor, sincronizarse con el transmisor.
SFD: (start of frame). Es el comienzo de la trama del tamaño de octeto e indica el inicio de la
trama, el formato es 10101011.
FNC/jrdc&oavr
REDES DE COMPUTADORAS SNIFFER
0 - Indica que es una dirección ordinaria, es decir una dirección que identifica una sola terminal
1 - Indica que es una dirección de grupo. En este caso un conjunto de terminales escuchan una
misma dirección. Esta forma de direcciones es llamada dirección multicast. Si la dirección
destino consiste solo de unos es llamada dirección broadcast, es decir, el paquete es para
todas la terminales de la red.
SA: (Source Address) o dirección fuente. Es la dirección de la PC´s que envía la trama su
longitud es de 6 octetos.
Tipo: Es un campo de 2 octetos que indica que protocolo de la capa siguiente superior va
dirigido o quien origino la trama de capa 2.
DATOS: Este campo lleva los datos del nivel LLC o los de capa de red.
PAD: Puede ser de cero a 46 bytes y se usa para llenar una trama con octetos si el campo de
“Datos” es menor que 46 bits. Esto se debe a que una trama válida en Ethernet debe tener una
longitud mínima de 64 octetos. Comprendiendo los campos de DA a CRC. Considerando que
las longitudes de esos campos son las siguientes:
DA = 6 octetos
SA = 6 octetos
Longitud = 2 octetos
CRC = 4 octetos
Total = 18 octetos.
Y dado que la longitud desde DA a CRC debe dar al menos de 64 octetos; se tiene que
64-18=46 octetos. De modo que si los datos LLC o los de capa 3 llegaran a ser de una longitud
menor que de 46 octetos el campo PAD se rellena de octetos hasta alcanzar ese número.
CRC: Es una sección de 4 octetos para verificación de error y estos 32 bits se genera en base
al algoritmo CRC.
3.4 Protocolo IP
- Es no orientado a conexión debido a que cada uno de los paquetes puede seguir
rutas distintas entre el origen y el destino. Entonces pueden llegar duplicados o
desordenados.
- Es no fiable porque los paquetes pueden perderse, dañarse o llegar retrasados.
FNC/jrdc&oavr
REDES DE COMPUTADORAS SNIFFER
¾ Longitud total (16 bits). Indica la longitud total del datagrama expresada en bytes. Como
el campo tiene 16 bits, la máxima longitud posible de un datagrama será de 65535 bytes.
¾ Identificación (16 bits). Número de secuencia que junto a la dirección origen, dirección
destino y el protocolo utilizado identifica de manera única un datagrama en toda la red. Si
se trata de un datagrama fragmentado, llevará la misma identificación que el resto de
fragmentos.
¾ Banderas o indicadores (3 bits). Sólo 2 bits de los 3 bits disponibles están actualmente
utilizados. El bit de Más fragmentos (MF) indica que no es el último datagrama. Y el bit de
No fragmentar (NF) prohíbe la fragmentación del datagrama. Si este bit está activado y en
una determinada red se requiere fragmentar el datagrama, éste no se podrá transmitir y se
descartará.
FNC/jrdc&oavr
REDES DE COMPUTADORAS SNIFFER
Debido a que el protocolo IP no es fiable puede darse el caso de que un mensaje ICMP
se pierda o se dañe. Si esto llega a ocurrir no se creará un nuevo mensaje ICMP sino que el
primero se descartará sin más.
Los mensajes ICMP comienzan con un campo de 8 bits que contiene el tipo de
mensaje, según se muestra en la tabla siguiente. El resto de campos son distintos para cada
tipo de mensaje ICMP.
Nota: El formato y significado de cada mensaje ICMP está documentado en la RFC 792
FNC/jrdc&oavr
REDES DE COMPUTADORAS SNIFFER
La orden PING envía mensajes de solicitud de eco a un host remoto e informa de las
respuestas. Veamos su funcionamiento apoyándonos de la figura 4, en caso de no producirse
incidencias en el camino.
En la orden anterior hemos utilizado el parámetro "-n 1" para que el host A únicamente
envíe 1 mensaje de solicitud de eco. Si no se especifica este parámetro se enviarían 4
mensajes (y se recibirían 4 respuestas). Si el host de destino no existiese o no estuviera
correctamente configurado recibiríamos un mensaje ICMP de tipo 11 (Time Exceeded). Si
tratamos de acceder a un host de una red distinta a la nuestra y no existe un camino para llegar
hasta él, es decir, los ruteadores no están correctamente configurados o estamos intentando
acceder a una red aislada o inexistente, recibiríamos un mensaje ICMP de tipo 3 (Destination
Unreachable), como se ve en el siguiente ejemplo:
A>ping 1.1.1.1 -n 1
Haciendo ping a 1.1.1.1 con 32 bytes de datos:
Respuesta desde 192.168.0.1: Host de destino inaccesible.
FNC/jrdc&oavr
REDES DE COMPUTADORAS SNIFFER
4. Desarrollo:
NOTA IMPORTANTE:
Se usará la práctica 6, como referencia para efectuar nuevamente ruteo estático,
pero se realizará ahora con el siguiente diagrama, tomando en cuenta que ahora se
usarán solo dos Ruteadores.
Subred B
148.204.218.3/24 PC-1 148.204.219.1/24 148.204.219.2/24 PC-2 148.204.220.2/24
1 2
Subred C
Subred A 148.204.218.1/24 148.204.220.1/24
PC-3 148.204.219.3/24
Figura 5.
4.2 Una vez configurado el ruteo estático haga PING’s entre la PC-1 y PC-2 para
comprobar el funcionamiento del mismo (que haya comunicación entre todas las
subredes). Obtenga la dirección de las siguientes PC´s:
FNC/jrdc&oavr
REDES DE COMPUTADORAS SNIFFER
Figura 7a.- Seleccionar Tarjeta de red Figura 7b.- Seleccionar modo promiscuo
4.6. Una vez que se realizó lo anterior daremos OK, comenzará la captura, y nos
abrirá una ventana como la figura 8, nosotros determinaremos el tiempo de monitoreo
por lo que presionaremos STOP cuando hayamos terminado la captura de paquetes y
obtendremos la figura 9
FNC/jrdc&oavr
REDES DE COMPUTADORAS SNIFFER
4.8 Llene las lineas de campos con el monitoreo del Sniffer de la PC-3.
ICMP
4.9 Llene las líneas de los campos con el monitoreo del Sniffer de la PC-1.
ICMP
FNC/jrdc&oavr
REDES DE COMPUTADORAS SNIFFER
4.10 Llene las líneas de los campos con el monitoreo del Sniffer de la PC-2.
ICMP
Cuestionario:
Bibliografía:
http://www.linuxjournal.com
http://www.saulo.net
http://www.arrakis.es
http://www.ethereal.com
FNC/jrdc&oavr