5.2.4.3 Lab - Using Wireshark to Examine FTP and T.docx

Lab – Usando Wireshark para examinar capturas FTP y TFTP

Topología – Parte 1 (FTP)Parte 1 - Se hace hincapié en capturas TCP de una sesión FTP. Esta topología consta de un PC con acceso a Internet.

Topología – Parte 2 (TFTP)

Parte 2 - Se hace hincapié en capturas UDP de una sesión TFTP. La PC debe tener una conexión Ethernet y una conexión de consola al switch S1.

Tabla de direcciones (Parte 2)

Dispositivo Interface IP Address Subnet Mask Default Gateway

S1 VLAN 1 192.168.1.1 255.255.255.0 N/A

PC-A NIC 192.168.1.3 255.255.255.0 192.168.1.1

Objectivos

Parte 1: Identificar los campos del encabezado TCP y Operación usando Wireshark en la captura de una sesión FTP

Parte 2: Identificar los campos del encabezado UDP y Operación usando Wireshark en la captura de una sesión TFTP

Antecedentes / Escenario

Los dos protocolos en la capa de transporte de TCP/IP son el TCP, definido en la RFC 761, y UDP, definido en la RFC 768. Ambos protocolos respaldan la comunicación de los protocolos de capa superior. Por ejemplo, TCP se utiliza para proporcionar apoyo de capa de transporte a los protocolos HTTP y FTP, entre otros. UDP proporciona apoyo de capa de transporte al Sistema de Nombres de Dominio (DNS) y al TFTP entre otros.

© 2013 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public. Página 1 de 14


Nota: Entender las partes de los encabezados TCP y UDP y su funcionamiento son una habilidad crítica para todo ingeniero de red.

En la Parte 1 de este laboratorio, usará Wireshark una herramienta de código abierto para capturar y analizar los campos del encabezado del protocolo TCP para transferencia de archivos FTP entre la computadora host y un servidor FTP anónimo. La línea de comandos de Windows se utiliza para conectarse a un servidor FTP anónimo y descargar un archivo. En la Parte 2 de este laboratorio, usará Wireshark para capturar y analizar campos del encabezado del protocolo UDP para las transferencias de archivos TFTP entre la computadora host y el switch S1.

Nota: Si el Wireshark no ha sido cargado en la PC, puede descargarlo desde el URL http://www.wireshark.org/download.html. Para la Parte 2 del Lab, si el tftpd32 no ha sido cargado en la PC, puede descargarlo desde el URL http://tftpd32.jounin.net/tftpd32_download.html.

Nota: Asegúrese que el switch se haya borrado y no tenga configuraciones de inicio. Si no está seguro, póngase en contacto con el instructor.

Nota: Parte 1 se asume que la PC tiene acceso a internet.

Recursos requeridos– Parte 1 (FTP)

1 PC (Windows 7, Vista, o XP con acceso al command prompt (linea de commandos de windows), acceso a internet y Wireshark instalado)

Recursos requeridos– Parte 2 (TFTP)

1 Switch (Cisco 2960 with Cisco IOS Release 15.0(2) lanbasek9 image or comparable)

1 PC (Windows 7, Vista, o XP con Wireshark y un servidor TFTP, tal como tftpd32 instalado)

Console cable to configure the Cisco IOS Dispositivos via the console port

Cable Ethernet cable como se muestra en la Topología

Parte 1. Identificar los campos del encabezado TCP y operación usando Wireshark en la captura de una sesión FTPEn la Parte 1, use Wireshark para capturar una sesión FTP e inspecciones los campos del encabezado TCP.

Step 1: Inicie una captura Wireshark.

a. Cierre todo el tráfico de red innecesario, como navegador web, con el fin de limitar la cantidad tráfico durante la captura de Wireshark.

b. Inicie la captura Wireshark.

Step 2: Descargue el archive Readme.

a. Desde el command prompt, ingrese ftp ftp.cdc.gov.

b. Inicie sesión en el sitio FTP del Centro para el Control y la Prevención de Enfermedades (CDC, por sus siglas en inglés) con el usuario anonymous y sin password.

c. Ubique y descargue el archivo Readme.

Nota: Todo esto se muestra en el siguiente gráfico.

© 2013 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public. of 14

http://tftpd32.jounin.net/tftpd32_download.html

http://www.wireshark.org/download.html


Step 3: Detenga la captura Wireshark.

Step 4: Observe la ventana principal de Wireshark.

Hay muchos paquetes capturados con Wireshark durante la session FTP a ftp.cdc.gov. Para limitar la cantidad de datos a analizar , escriba tcp and ip.addr == 198.246.112.54 en el área de entrada Filter: y haga click en Apply.La dirección IP, 198.246.112.54, es la dirección de ftp.cdc.gov.



Step 5: Analice los campos TCP.

Después que se ha aplicado el filtro TCP, los tres primeros paquetes en el panel de lista de paquetes (parte superior) muestran al protocolo de capa de transporte TCP creando una sesión confiable. La secuencia de [SYN], [SYN, ACK], y [ACK] ilustra la conexión mediante el enlace de tres vías

TCP se usa de manera rutinaria durante una sesión para controlar la entrega de datagramas, verificar el arribo de los datagrama y gestionar el tamaño de la ventana. Para cada intercambio de datos entre el cliente FTP y el servidor FTP se inicia una nueva sesión TCP. En finalizar la transferencia de datos, se cierra la sesión TCP. Por último, cuando la sesión FTP ha terminado, el TCP realiza un cierre ordenado y concluye.

En el Wireshark, información detallada de TCP está disponible en el panel de detalles de los paquetes (parte central). Resalte el primer datagrama TCP del equipo host y expanda el registro TCP. El datagrama TCP expandido aparecerá similar en el panel de detalles de paquete como el que se muestra a continuación.

La imagen de arriba es un diagrama de un datagrama TCP. Una explicación de cada campo se ofrece como referencia:



El TCP source port number (número de puerto TCP de origen) pertenece a la sesión TCP al host que abrió una conexión. El valor es normalmente un valor aleatorio superior a 1,023

El TCP destination port number (número de puerto de destino TCP) se utiliza para identificar el protocolo de capa superior o la aplicación en el sitio remoto. Los valores en el rango 0-1.023 representan los "puertos bien conocidos", y son asociados con servicios y aplicaciones populares (como se describe en el documento RFC 1700, como Telnet, FTP, HTTP, etc.). La combinación de la dirección IP de origen, puerto de origen, la dirección IP de destino, y puerto de destino identifica de forma exclusiva la sesión entre el emisor y el receptor.

Nota: En la captura Wireshark de abajo,el puerto de destino es FTP. Servidores FTP escuchan en el puerto 21 para conexiones FTP de clientes.

El Sequence number (número de secuencia) especifica el número del último octeto en un segmento.

El Acknowledgment number (número de reconocimiento) especifica el próximo octeto esperado por parte del receptor.

Los Code bits (bits de código) tienen un significado especial en la gestión de sesiones y en el tratamiento de los segmentos. Entre valores muy interesantes están:

- ACK — Reconocimiento de un segment recibido

- SYN — Sincronizar, sólo se establece si una nueva sesión TCP es negociada durante el intercambio de señales de tres vías TCP.

- FIN — Finalizar, solicitud para cerrar la sesión TCP.

El Window size (tamaño de Ventana) es el valor de la ventana deslizante; determina cuántos octetos pueden ser enviadas antes de esperar un reconocimiento.

El Urgent pointer (indicador de mensaje urgente) se utiliza sólo con la bandera urgente (URG) cuando el emisor necesita enviar datos urgentes al receptor.

Las Options (opciones) sólo dispone de una opción actualmente, y se define como el tamaño máximo del segmento TCP (valor opcional).

Usando la captura Wireshark, del inicio de la primera sesión TCP (bit SYN en 1), complete la información sobre el encabezado TCP:

Desde la PC hacia el servidor CDC (solamente el bit SYN es establecido a 1):

Source IP Address: 192.168.1.17*

Destination IP Address: 198.246.112.54

Source port number: 49243*

Destination port number: 21

Sequence number: 0 (relative)

Acknowledgement number: Not Applicable for this capture

Header length: 32 bytes

Window size: 8192

*Las respuestas de los estudiantes serán diferentes.

En la segunda captura Wireshark filtrada, el servidor FTP de CDC reconoce la solicitud de la PC. Observe los valores de los bits SYN y ACK.



Complete la siguiente información respecto al mensaje SYN-ACK.

Source IP address: 198.246.112.54

Destination IP address: 192.168.1.17*

Source port number: 21

Destination port number: 49243*

Sequence number: 0 (relative)

Acknowledgement number: 1

Header length: 32 bytes

Window size: 64240

* Las respuestas de los estudiantes serán diferentes.

En la etapa final de la negociación para establecer las comunicación, la PC envía un mensaje de reconocimiento al servidor. Observe que sólo el bit ACK se establece en 1, y el número de secuencia se ha incrementado en 1.



Complete la siguiente información respecto al mensaje ACK.

Source IP address: 192.168.1.17*

Destination IP address: 198.246.112.54

Source port number: 49243*

Destination port number: 21

Sequence number: 1

Acknowledgement number: 1

Header length: 20

Window size: 8192*


¿Cuántos datagramas TCP adicionales contienen un bit SYN?

_______________________________________________________________________________________

Uno. El primer paquete enviado por el host, en el inicio de una sesión TCP

Después que se ha establecido una sesión TCP, el tráfico FTP puede ocurrir entre la PC y el servidor FTP. El cliente FTP y el servidor se comunican entre sí, sin saber que TCP tiene el control y gestión de la sesión. Cuando el servidor FTP envía una respuesta: 220 al cliente FTP, la sesión TCP en el cliente FTP envía reconocimiento (ACK) a la sesión TCP en el servidor. Esta secuencia se puede verse en la siguiente captura Wireshark.



Cuando la sesión de FTP ha terminado, el cliente FTP envía un comando "quit". El servidor FTP reconoce la terminación FTP con una respuesta: 221 Adiós. En este momento, el servidor FTP de la sesión TCP envía un datagrama TCP al cliente FTP, anunciando la terminación de la sesión TCP. El cliente FTP de la sesión TCP recibe el datagrama terminación, entonces envía su propio datagrama TCP de finalización de la sesión. Cuando el que origina la finalización TCP, servidor FTP, recibe un duplicado de finalización, undatagrama ACK es enviado para reconocer la finalización y la sesión TCP es cerrada. Esta secuencia se puede ver en el diagrama y capturas que se muestran abajo.

Aplicando un filtro ftp, la secuencia completa del tráfico FTP puede examinarse en Wireshark. Observe la secuencia de los eventos durante esta sesión FTP. El nombre de usuario anonymous fue utilizado para recuperar el archivo Readme. Después que se completa la transferencia del archivo, el usuario terminó la sesión FTP.



Aplique el filtro TCP nuevamente en Wireshark para examinar la finalización de la sesión TCP. Cuatro paquetes son transmitidos para la terminación de la sesión TCP. Debido a que las conexiones TCP son full-duplex, cada dirección debe terminar de forma independiente. Examine las direcciones de origen y de destino.

En este ejemplo, el servidor FTP no tiene más datos para enviar en el flujo, entonces este envía un segmento con la bandera FIN configurada en la trama 63. La PC envía un ACK para acusar recibo del FIN para finalizar la sesión desde el servidor hacia el cliente en la trama 64.

En la trama 65, la PC envía un FIN para finalizar la sesión TCP con el servidor FTP. El servidor FTP envía un ACK para acusar recibo del FIN desde la PC en la trama 67. Ahora la sesión TCP finaliza entre el servidor FTP y el cliente.

Parte 2. Identificar los campos del encabezado UDP y Operación usando Wireshark en la captura de una sesión TFTPEn la Parte 2, use Wireshark para capturar una sesión TFTP e inspeccione los capos del encabezado UDP.

Step 6: Configurar la topología física TFTP y prepararse para la captura.

a. Establezca una conexión console y Ethernet entre la PC-A y el Switch S1.



b. Si no lo ha hecho ya, configure manualmente la dirección IP en el PC a 192.168.1.3. No es necesario establecer la puerta de enlace predeterminada.

c. Configure el switch. Asigne una dirección IP 192.168.1.1 a VLAN 1. Verifique la conectividad con la PC haciendo ping a 192.168.1.3. Solucione problemas si es necesario.

Switch> enable

Switch# conf t

Enter configuration commands, one per line. End with CNTL/Z.

Switch(config)# host S1

S1(config)# interface vlan 1

S1(config-if)# ip address 192.168.1.1 255.255.255.0

S1(config-if)# no shut

*Mar 1 00:37:50.166: %LINK-3-UPDOWN: Interface Vlan1, changed state to up

*Mar 1 00:37:50.175: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1, changed state to up

S1(config-if)# end

S1# ping 192.168.1.3

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.1.3, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 1/203/1007 ms



Step 7: Prepare el servidor TFTP en la PC.

a. Si no existe, cree una carpeta en el escritorio de la PC llamada TFTP. Los archivos del switch se copiarán en esta ubicación

b. Inicie tftpd32 en la PC.

c. Haga click en Browse y cambie el directorio actual por C:\Users\user1\Desktop\TFTP sustituyendo user1 con su nombre de usuario.

El servidor TFTP debe tener este aspecto:

Note que el directorio actual, este muestra la lista de usuario y la interface del servidor (PC-A) con la dirección IP de 192.168.1.3.

d. Probar la capacidad de copiar un archivo mediante TFTP desde el switch a la PC. Solucione los problemas si es necesario.

S1# copy start tftp

Address or name of remote host []? 192.168.1.3

Destination filename [s1-confg]?

!!

1638 bytes copied in 0.026 secs (63000 bytes/sec)

Si usted ve que el archivo se ha copiado (como se muestra arriba), entonces está listo para ir al siguiente paso. Si no, solucione el problema. Si se obtiene el error %Error opening tftp (Permission denied, en primer lugar asegúrese de que el firewall no bloquee TFTP, y que está copiando en un lugar donde el nombre de usuario tiene permiso adecuado, por ejemplo, el escritorio.



Step 8: Captura de una sesión TFTP en Wireshark

a. Abra Wireshark. En el menu Edit , seleccione Preferences y haga click en el signo (+) para expandir Protocols. Desplácese hacia abajo y seleccione UDP. Haga click en Validate the UDP checksum if possible haciendo un check en el cuadro y haga click en Apply. Luego hagaclick en OK.

b. Inicie una captura Wireshark.

c. Ejecute el comando copy start tftp en el switch.

d. Detenga la captura Wireshark.

e. Establezca el filtro en Wireshark en tftp. Su salida debe ser similar a la que se muestra arriba. Esta transferencia TFTPes usada para analizar la operación del UDP de la capa de transporte.

Nota: El encabezado UDP no contiene un campo de acuse de recibo. Esta responsabilidad es del protocolo de capa superior, en este caso TFTP, para transferencia de datos y gestionar información de recepción. Esta información se muestra en el datagrama UDP examinado, desplácese hacia abajo

En Wireshark, la información UDP detallada está disponible en el panel de detalles de los paquetes en Wireshark. Resalte el primer datagrama UDP del equipo host y mueva el puntero del ratón hacia el panel de detalles de los paquetes. Es posible que sea necesario ajustar el panel de detalles de los paquetes y ampliar el registro UDP haciendo clic en el cuadro de expansión del protocolo (+). El datagrama UDP expandido debe ser similar al diagrama que se muestra abajo.



La siguiente figura es un diagrama de un datagrama UDP. La información del encabezado es escasa, en comparación con el datagrama TCP. Similar a TCP, cada datagrama UDP se identifica por un numero de puerto UDP de origen y un numero de puerto UDP de destino.

Usando el primer datagrama UDP capturado con Wireshark, complete la información sobre el encabezado UDP. El valor del cheksum es un valor hexadecimal (base 16), denotado por el código de precedencia 0x:

Source IP Address: 192.168.1.1


Source Port Number: 62513*

Destination Port Number: 69

UDP Message Length: 25 bytes*

UDP Checksum: 0x482c [correct]*


¿Co se verifica la integridad del datagrama UDP?

____________________________________________________________________________________

____________________________________________________________________________________

Un checksum se envía en el datagrama UDP, y el valor del checksum del datagrama se recalcula en el momento de la recepción. Si el checksum calculado es idéntico al checksum enviado, entonces el datagrama UDP se supone que está completo.

Examine la primer trama regresada por el servidor tftpd. complete la información sobre el encabezado UDP:

Source IP Address: 192.168.1.3


Source Port Number: 58565*

Destination Port Number: 62513*

UDP Message Length: 12 bytes*

UDP Checksum:

Checksum: 0x8372 [incorrect, should be 0xa385 (maybe caused by "UDP checksum offload"?)]*




Observe que el datagrama UDP retornado tiene un numero de puerto de origen UDP es diferente, pero este número de puerto de origen se utiliza para el resto de la transferencia TFTP. Debido a que no hay una conexión confiable, sólo el puerto origen original se utiliza para comenzar la sesión TFTP y se utiliza para mantener la transferencia TFTP.

También note que el Checksum de UDP es incorrecto. Esto es más probable que sea causado por la descarga del checksum UDP. Usted puede aprender más acerca de esto mediante la búsqueda de “UDP checksum offload”.

Reflexión

Este laboratorio ofrece la oportunidad de analizar las operaciones de los protocolos TCP y UDP desde sesiones FTP y TFTP capturadas. ¿Cómo administra la comunicación TCP y como la hace UDP?

_______________________________________________________________________________________

_______________________________________________________________________________________

TCP administra la comunicación muy diferente a UDP debido a la confiabilidad y la entrega garantizada requiere control adicional sobre el canal de comunicación. UDP tiene menos campos en su encabezado y el control lo debe proporcionar el protocolo de capa superior mediante algún tipo de reconocimiento. Ambos protocolos, sin embargo, transportan de datos entre clientes y servidores usando protocolos de la capa de aplicación y son adecuados para el soporte de cada protocolo de capa superior.

Desafío

Debido a que ni FTP ni TFTP son protocolos seguros, los datos transferidos se envían en texto sin cifrar. Esto incluye cualquier ID. de usuario, contraseñas, o borrar contenidos de archivo de texto contenido. Análizando la sesión FTP se identifican rápidamente el ID de usuario, la contraseña y las contraseñas del archivo de configuración. El análisis de los datos TFTP es un poco más complicado, pero el campo de datos puede ser examinada y el ID de usuario y contraseña configurado pueden ser extraída de la información. extracted.


5.2.4.3 Lab - Using Wireshark to Examine FTP and T.docx

Documents

Transcript of 5.2.4.3 Lab - Using Wireshark to Examine FTP and T.docx