Documente Academic
Documente Profesional
Documente Cultură
Explore rpidamente las opciones que ofrece el men (File, View, Capture, Decode, Filters, Tools, Help).
Elimine cualquier filtro que eventualmente hubiera quedado configurado de una sesin anterior mediante Filters | Clear filter.
En Tools | Settings revise las opciones (Capture, Decode, Adapter, Guard, Miscellaneous). En particular bajo Decode, active Decode
UDP datagrams y bajo Adapters, active el adaptador de red apropiado. En Miscellaneous, active Enable CPU overload protection.
Consulte el Help en lnea y el manual (Manual.pdf) en formato PDF para conocer los detalles de Iris.
Existe una serie de muestras previamente realizadas con este software que se encuentra en la carpeta \Captura\Muestras.
Cargue el archivo de prueba Demo.cap mediante File | Open. Nota: Si selecciona File | Open & append, puede aadir los datos a los
datos ya existentes; si selecciona File | New capturing session, borra los datos existentes.
Seleccione el mdulo Capture haciendo clic sobre l cono correspondiente ubicado en la barra vertical azul a la izquierda de la
pantalla.
Pruebe el efecto de las 4 opciones (Resize to fit, Ensure last visible, Columns, Use Address Book). En particular Resize to fit es muy
til, ya que ensancha las columnas a fin de que quepan los datos. Una columna adems se pueden cambiar de posicin simplemente
arrastrando su encabezado.
Una funcin importante de los analizadores de protocolos datos es poder filtrar los datos antes de capturarlos (precaptura) y despus de
capturarlos (postcaptura). Para empezar a familiarizarse con el uso de filtros de postcaptura, ubquese sobre una trama y tome nota de
su direccin IP (por ejemplo 192.168.1.35). Seleccione Filters | Clear Filter para eliminar cualquier filtro existente. Luego seleccione
Filter | Edit Filter (o pulse el botn 12 en la barra de tareas) y la lista de tipo de filtro, seleccione IP address. All aada la direccin a
la lista en Address 1. Mediante el ratn se pueden arrastrar direcciones desde la ventana superior (por ejemplo, desde el Address Book)
Adems seleccione el sentido del flujo en el campo Dir. El campo Address 2 permite filtrar el trfico entre 2 mquinas (djelo en
blanco).
Aplique el filtro y a continuacin active Capture | Find packets. Podr notar que los paquetes que poseen la direccin IP indicada
aparecen con una marca en la primera columna. Si en vez de Include hubiese seleccionado Exclude, entonces la marca aparece en los
paquetes que NO poseen la direccin IP indicada. Los paquetes tambin se pueden marcar manualmente.
Los paquetes marcados se pueden borrar de la ventana Packet Display mediante el botn derecho y activando Delete all marked. Pero
si quiere dejar solamente los paquetes marcados, primero debe que invertir la seleccin mediante el botn derecho e Invert selection y
luego Delete all marked. Pruebe esta funcin.
Pruebe a desplazar la posicin de un paquete seleccionndolo con el botn derecho y soltndolo en otra posicin (Drag and drop).
Guarde los datos mediante Save | Save as...Luego que introduce el nombre del archivo (por ejemplo Prueba1.cap) debe seleccionar
Save packet displayed. Cargue este archivo y note el nuevo orden en la primera columna del Packet Display.
Para practicar con filtros de postcaptura, seleccione Filters | Clear Filter para eliminar cualquier filtro existente. Luego seleccione
Filter | Edit Filter y en la lista de tipo de filtro seleccione Ports. All seleccione el puerto 80 haciendo doble clic sobre el valor
correspondiente.
Active la captura y genere trfico de todo tipo (Ping, Telnet, HTTP). Note que slo el trfico HTTP aparece en la ventana de los
paquetes capturados.
Luego de parar la captura, podra configurar un filtro de postcaptura para mostrar solamente un determinado tipo de trfico, por
ejemplo, el trfico IP que sale de una determinada PC.
Como otro ejemplo, si en la ventana de filtros selecciona Hardware filter | Directed, entonces se captura slo el trfico dirigido a su
PC.
Se puede configurar un filtro que muestre las tramas que contengan una determinada cadena o palabra. Como ejemplo, seleccione
Word en la ventana de filtros y luego inserte las palabra user y pass. Cargue el archivo FTP.cap, que contiene los datos de inicio de una
sesin FTP. La contrasea (no cifrada) se muestra en varios paquetes.
Cargue Mail.cap, que contiene el inicio de una sesin POP3 de descarga de correo electrnico hecha a travs de Outlook. Aqu
tambin se revela claramente la contrasea de inicio de la sesin.
Cargue HTTP.cap, que contiene el inicio de una sesin login a una pgina Web. Aqu no resulta tan fcil conseguir la contrasea
debido a la montaa de datos filtrados. En la seccin siguiente se ver una forma ms prctica de hacerlo, decodificando la sesin.
Continuando con la familiarizacin con Iris, los datos capturados pueden simultneamente guardarse en un archivo de registro para su
anlisis posterior, adems de mostrarse en pantalla. Para tal fin mediante Tools | Logs active Enable Capture logging y seleccione
Create capture files (.cap). Ponga un filtro de precaptura, para limitar el tamao del archivo (por ejemplo, capture slo el trfico IP de
su PC). Genere y capture el trfico durante unos minutos. Pare la captura y cargue desde Iris el archivo que se gener para ver su
contenido.
El archivo de registro puede ser en formato cvf para visualizarlo con Excel. Para tal fin seleccione Create report files en vez de Create
capture files. Genere y capture el trfico durante unos minutos. Pare la captura y cargue desde Excel el archivo que se gener para ver
su contenido.
Nota: Los datos cargados desde una archivo .cap se puede guardar en formato cvf mediante Save | Save decoded packets | Columned
report.
Finalmente desactive Capture logging (a menos que le interese mantenerlo activo).
Iris se puede configurar para que capture el trfico en forma programada durante ciertos das y horas de la semana. Se hace mediante
Tools | Scheduling.
TCP es un protocolo orientado a conexin, lo cual significa que en una sesin TCP, tal como la descarga de una pgina Web, se sigue
un cierto procedimento para crear una conexin, transferir los datos y luego liberar esa conexin. Los analizadores de protocolo tradicionales permiten analizar uno a uno los paquetes que representan una sesin TCP, pero no logran reconstruir la sesin, por lo que se
requiere ser experto y tener paciencia para averiguar qu sucedi en esa sesin. Iris puede hacer mucho ms, ya los paquetes de la
sesin se introducen en un decodificador que logra mostrar la pgina Web completa. Igualmente se puede reconstruir una transferencia
de correo mediante SMTP o POP3, una sesin remota mediante Telnet o una transferencia de archivos mediante FTP.
Iris comienza a reconstruir sesiones TCP cuando su buffer est llena totalmente o cuando se para la captura. As que si el
tamao del buffer se establece en 5000 paquetes y el trfico es de 1000 paquetes al minuto, se tendra que esperar 5 minutos para que
se puede ver algo con Decode. Sin embargo desde el menu de Iris se puede utilizar el comando Decode | Send buffer to Decode para
forzar el proceso sin parar la captura.
1. Cargue el archivo de prueba HTTP.cap mediante File | Open y seleccione el mdulo Capture.
2. El mdulo Decode que se muestra en la figura 6 contiene 3 ventanas:
La ventana izquierda (Host Activity) muestra muestra una lista de las mquinas (hosts). Si hace clic sobre un host, en la ventana
inferior a la derecha (Session data) se muestran las estadsticas de ese host. Si expande el sgno + aparece una lista del tipo de
trfico cursado de acuerdo al tipo de servicio (HTTP, FTP, etc.) y el puerto de destino correspondiente. Si hace clic sobre un
servicio (Session view), en la ventana de al lado aparece una lista de las sesiones entre el cliente y el servidor.
La ventana superior a la derecha (Session view) muestra una lista de las sesiones entre las mquinas, incluyendo los puertos y el
trfico total cursado. Si hace clic sobre una de las sesiones, los detalles aparecern en la ventana inferior. Vea en particular la
sesin No. 0.
La ventana inferior a la derecha (Session data) muestra la sesin reconstruida en base a los datos disponibles. En la figura 9, por
ejemplo, se muestra una solicitud HTTP por parte de un browser (cliente) y ms abajo la respuesta por parte de un servidor Web
informando al cliente de redirigirse a otra locacin. Tambin se muestra como el servidor enva un cookie al cliente.
3. Practique con las distintas opciones disponibles en la barra de herramientas de Session data.
El botn 1 permite escoger que lado de la sesin se desea visualizar (cliente, servidor o ambos). En este
ltimo caso los datos del cliente se muestran en azul y los del servidor en rojo. Para ver una pgina Web,
visualice slo el servidor.
El botn 2 permite escoger el formato de los datos (paquetes, ASCII, HTML).
Los botones 4 y 5 es para avanzar y retroceder en pginas HTML.
El botn 6 es para parar la descarga de una pgina.
El botn 7 permite ir la pgina original (si contiene comandos GET).
El botn 8 permite enviar un mensaje pop-up.
El botn 9 muestra una sesin de e-mail abriendo Outlook Express.
El botn 10 activa el ajuste de las palabras a la ventana.
4. Para experimentar con la decodificacin de sesiones HTTP con trfico real, configure un filtro para que capture slo el trfico IP de
su PC. Active la captura y conctese mediante un browser a un sitio Web (por ejemplo www.cantv.net o www.yahoo.com) Web. Pare la
captura y active Decode. Analice las sesiones utilizando la barra de herramientas de la figura 10, en particular el efecto de los botones
1 y 10.
5. A continuacin se va a mostrar cmo con Iris se puede encontrar fcilmente el login y password de un usuario que se haya
conectado a un sitios Web (por ejemplo, para revisar su correo electrnico). Seleccione File | New capturing session para borrar los
datos previos. Cargue el archivo HTTP2.cap que contiene los datos de la pgina principal de www.cantv.net. junto con el proceso de
login.
6. Desde el men seleccione Decode | Find words... En la ventana Search traffic for words inserte las palabras username y passw.
Luego oprima All strings y finalmente Find. Si todo sale bien, deberan mostrarse un smbolo de admiracin (!) en las sesiones que
contienen las palabras buscadas, las cuales a su vez se muestran resaltadas en distintos color. Observe que mediante Filters | Edit filter
settings | Words se podra aplicar un filtro de entrada que capture slo los paquetes que contengan determinadas palabras, por ejemplo
username o passw.
16. Cargue Mail.cap, que contiene el inicio de una sesin POP3 de correo electrnico y busque las palabras user y passw. Note como
se revela claramente la contrasea de inicio de la sesin POP.
17. Como otro ejemplo de captura de contrasea, cargue el archivo FTP.cap, que contiene los datos de inicio de una sesin FTP. Note
cmo se revela claramente la contrasea de inicio de la sesin FTP.
18. El archivo Telnet
.cap contiene el inicio de una sesin Telnet. Ntese que con el protocolo Telnet no es fcil averiguar la
contrasea, ya que cada letra que se pulsa es enviada como un paquete individual, pero Iris lo logra ya que reconstruye la sesin. Note
el efecto de los botones 1 y 10 de la barra de herramientas.
Se pueden crear paquetes a la medida y enviarlos a direcciones o puertos especficos con deteminadas banderas activadas,
con el fin de probar un firewall y asegurarse de que bloquea y filtra los paquetes correctamente o para probar un sistema de deteccin
de intrusos (IDS) simulando ataques de negacin de servicio (DoS).
Tambin se puede enviar un paquete o una serie de paquetes en forma rpida y repetitiva a fin de poner bajo stress a una red o
un equipo y as evualuar su desempeo.
1. Vuelva a cargar el archivo de prueba Demo.cap mediante File | Open.
2. Haga clic sobre un dato en en formato hexadecimal en la ventana Packet Editor. Ahora puede sobrescribir ese valor, es decir que lo
puede editar. Igualmente puede editar un dato en formato ASCII.
3. Pruebe a modificar una direccin IP y aparecer un error en la ventana Packet Decoder bajo IPv4 header, Header checksum que
podr corregir manualmente.
4. Pruebe a modificar una direccin MAC. En la ventana Packet Decoder bajo MAC header no se muestra el campo FCS (chequo de
errores), ya que este campo lo procesa la subcapa LLC (Logical Link Control) y es invisible para el analizador de protocolos.
5. Haga clic sobre un dato con el botn derecho y aparece un men con varios comandos de edicin.
6. El comando Cut elimina los datos y los pone en el portapapeles, reduciendo el tamao de la trama. El comando Delete borra sin
copiar al portapapeles. En ambos casos podr aparecer Incorrect size en el campo Total length del IPv4 header y en el campo
Checksum del TCP header (que debera corregirse).
7. Seleccione varios datos a la vez y luego cpielos a otra parte mediante Copy y Paste. Note que si hace un Paste con menos de 8
bytes, se insertan bytes vacos de relleno.
8. El Packet Editor posee una barra de tareas con las siguientes funciones:
11.
Seleccione un paquete tipo Echo_Request y edite algunos de los caracteres en el campo Data (por ejemplo reemplace abc por
123). Luego corrija el Checksum en el ICMP header.
Nota: Un mensaje type = 8 es un Echo Request y un mensaje type = 0 es un Echo Reply.
12. En el campo Destination IP del IPv4 header coloque la direccin de un sitio conocido (por ejemplo 200.44.32.12, en hexadecimal
C8 2C 20 0C). Para convertir de decimal a hexadecimal, puede utilizar la Calculadora de Windows en Accesorios y seleccionar Ver |
Cientfica. Luego corrija el Checksum en el IPv4 header.
13. Mediante el botn 4 (Insert) puede aadir el paquete en la lista en Packet Display para eventualmente guardar esa lista.
14. Mediante el botn 2 (Save packet) guarde el paquete con un nombre apropiado (por ejemplo, Echo_Request.cap).
15. Ahora se va a mandar este paquete a ka red y capturar los datos, para ver si funciona. Pero antes en Packet Edit mediante el botn
derecho active Select all y luego Copy para as copiar el paquete tipo Echo_Request modificado.
16. A continuacin borre el contenido del Packet Display (mediante File | New capturing session) y en Packet Edit mediante el botn
derecho active Paste para as tener solamente el paquete tipo Echo_Request modificado.
17. Configure un filtro de captura que muestre slo paquetes ICMP, seleccionando ese protocolo en Layer 2,3 de la ventana de filtros.
18. Active la captura y pulse el botn 5 (Send this packet) del Packet Editor.
19. En la nueva ventana Send que aparece, se pueden seleccionar varios parmetros. Ponga Number of times: 5. Si Delay between
packets se pone en 0, las tramas se envan muy rpidamente.
20. Vea el la venta Packet Capture si hubo respuesta al Ping. En caso positivo, modifique el campo Checksum en el header ICMP
Enve 1 paquete. Posiblemente no recibir respuesta alguna. Porqu?
21. Corrija el campo Checksum en el header ICMP, pero modifique el campo Checksum en el header IP. Enve 1 paquete. Posiblemente
no recibir respuesta alguna. Porqu?
22. Capture el trfico generado por el comando tracert hacia un sitio (por ejemplo www.cantv.net o www.microsoft.com). Analice la
respuesta Time_Excedeed (Type 11) al mensaje Echo_Request con un determinado valor TTL (time to live).
3. Abra tambin las ventanas de Top hosts y Size distribution y proceda a limpiarlas.
4. Cargue el archivo de prueba Demo.cap mediante File | Open. Las 3 ventanas se llenan de estdisticas sobre el trfico capturado.
Analice su significado.
5. Pulse los distintos conos de las barras de herramientas para familiarizarse con sus funciones, como se describe en la figura 18. En
particular active 123 (Values) para ver los valores numricos.
6. Iris tambin permite visualizar el forma grfica las estdisticas del trfico que se est capturando en tiempo real. Para tal fin vuelva
a limpiar todas las ventanas de nuevo y active las captura.
7. Las 3 ventanas se van llenando de estdisticas que cambian continuamente sobre el trfico capturado. Analice su significado. Si no
se muestra nada, genere trfico.
8. Seleccione el cuarto tipo de estadstica, esto es Bandwidth para visualizar el uso del ancho de banda.
9. Pruebe a inyectar un alto trfico en la red. Para tal fin haga Ping a algn sitio y capture esos paquetes. Luego seleccione un paquete
tipo Echo_Request que salga de su PC y en el Packet Editor pulse el botn 5 (Send this packet).
10. En la ventana Send que aparece, seleccione Send continuosly y ponga Delay between packets en 0 para que las tramas se enven
muy rpidamente. Es conveniente que adems desactive la captura. En una red Ethernet de 10 Mbps se logra enviar hasta unas 9000
tramas por segundo, llevando el factor de utilizacin a un valor alto. Compruebe este fenmeno en la ventana Bandwidth. No olvide
finalmente parar el envo de trfico!
11. Iris dispone del mdulo Data Miner que permite post-procesar datos voluminosos de datos previamente capturados, mostrando
rpidamente estadsticas y reportes. Pruebe a usarlo mediante File | Data Miner con algunos de los archivos que se encuentra en la
carpeta Muestras.