11/7/07

Wireshark 101 - Capturando tráfico utilizando una maquina en medio

Una de las claves en el uso de Wireshark, es donde ubicarlo para poder capturar tráfico, en el artículo Wirshark 101 – Como capturar tráfico, se describen tres opciones dependiendo de lo que se tenga disponible, un hub, un switch administrable o un network tap.

Los anteriores, no son los únicos métodos de capturar tráfico, en el Wiki de Wireshark se describen algunos más y en esta oportunidad quisiera profundizar en uno de estos métodos, capturar tráfico, utilizando una maquina en medio (MIM - Machine in the Middle), utilizando la opción de conexión de puentes (bridging) de Windows XP.

Con este método, una laptop con dos tarjetas de red, se convierte en un puente (bridge), o en otras palabras en un switch de dos puertos, y podremos ver el tráfico que pasa a través de cada tarjeta, y capturarlo con Wireshark, este escenario esta ilustrado en la siguiente figura.



En la figura anterior, en a, se ilustra un escenario muy común, desaeamos analizar el tráfico entre una PC, y un servidor, que estan conectadas a través de un switch no administrable (o es un switch administrable, pero no tenemos acceso a configurarlo o no soporta el port mirroring), la primera opción sería instalar el wireshark en la pc, o en el servidor, pero en muchos casos esto no es posible, en esta situación, podemos utilizar las conexiones de puente de XP, en una laptop con dos tarjetas de red, en este caso, la laptop se convierte escencialmente en un switch de dos puertos, el unico requisito es que el switch tenga dos puertos ethernet, en mi caso, probe la configuración en una laptop con un ethernet integrado, y una tarjeta pcmcia.

La configuración de esta solución es bastante sencila, se ingresa a conexiones de red, se seleccionan las dos tarjetas con las que se hará el puente, se da un click con el botón derecho y en el menú emergente, se selecciona, conexiones de puentes (o bridge connections si el OS está en ingles), al dar este click aparece el siguiente mensaje.


Despues de unos segundos, nuestro puente esta listo, y lo podemos comprobar ya que en conexioines de red, muestra un nuevo elemento, como se ilustra en la siguiente figura.



Finalmente, debemos configura wireshark para poder capturar el tráfico en esta interface virtual, en las opciones de captura de wireshark, el puente aparece como una interface adicional, en la siguiente figura, la interface del puente es la marcada como Microsoft MAC Bridge Virtual NIC, capturando en modo promiscuo con esta interface, se podrá ver el tráfico que pasa de una tarjeta a otra, en otras palabras, el tráfico que queremos capturar.


Luego de la captura, podemos desactivar el puente, (click derecho sobre el icono del puente en conexiones de red y click en desactivar), o eliminarlo definitivamente (click derecho y luego la opción eliminar).

La opción de conexiones de puentes, esta disponible en Windows XP y Windows 2003, supongo que también en Windows Vista, pero no he tenido la oportunidad de verificarlo, si deseas conocer más sobre este opción y diferentes usos prácticos para una red casera, puedes consultarlo directamente en el sitio de Microsoft.

3 comentarios:

Anónimo dijo...

Una duda, en la toma de muestra en la opcion de switch y laptop que toma muestras de un host a un servidor, cuando muestra al protocolo SMB como lider en trafico y no se tiene comparticion de recursos (lei en varios lugares de internet que para eso se usa ese protocolo), como puedo saber en que se usa ese protocolo, es decir como se usa en el servidor o para que.

saludos y gracias

Hector Munguia dijo...

Gabriel, Precisamente aqui es donde Wireshark te puede ser de utilidad, examinando los paquetes puedes determinar que tipo de actividad existe entre el cliente y el servidor, en su nivel mas elemental el SMB consiste en peticiones y respuestas, estas peticiones y respuestas son visibles desde Wireshark, asi que te sugiero que examines en la linea de info del wireshark ahi puedes ver que comandos se estan intercambiando y con eso puedes investigar en internet de que se tratan esos comandos, asi puedes hacerte una idea de para que se esta utilizando el SMB.

Vasco dijo...

Leonel, donde podria encontrar un buen manual para interpretar los datos que entrega el Wireshark?
gracias. Mauro