8. Sniffer

 

Este módulo permite capturar el tráfico de la red y ofrece análisis de los paquetes. Está basado en las funciones provistas por el paquete Jpcap. Los protocolos soportados por el sniffer son: ARP, IPv4, IPv6, ICMPv4, ICMPv6, TCP, UDP y SNMP. Este módulo permite capturar hasta 500.000 paquetes, los cuales son mostrados en bloques de 10.000 paquetes.

 

En la Figura 8.1 se puede apreciar una vista del módulo Sniffer antes de iniciar su funcionamiento.

 

Figura 8.1: Vista principal del módulo Sniffer.

 

8.1 Opciones de Captura

 

Antes de iniciar la captura del tráfico que transita por la red se debe presionar el botón “Iniciar Captura” que abrirá una nueva ventana que permite configurar algunos parámetros sobre los cuales se realizará la captura. La ventana de configuración está divida en tres segmentos: el primer segmento cuenta con un combo en el cual se permite seleccionar la interfaz por la que se capturarán los datos.

En el segmento intermedio de la ventana de configuración, se encuentra un campo que permite especificar el filtro de pre-captura. La sintaxis de los filtros es similar a la sintaxis del programa tcpdump (http://www.tcpdump.org).

 

En la parte inferior de la ventana de configuración se encuentran dos opciones: la primera de ellas, permite colocar la interfaz de red en modo promiscuo, que habilita la captura tanto de los paquetes enviados y recibidos por el host donde se ejecuta la aplicación, así como de los paquetes enviados hacia otros hosts. La última opción permite especificar el número de paquetes a capturar, cuyo valor máximo permitido es de 500.000 paquetes.

 

En la Figura 8.2 se muestra una vista de la ventana de configuración de la captura.

 

Figura 8.2: Vista de la ventana de configuración de la captura.

 

8.1.1 Creación de filtros

 

Para el manejo de filtros se permite definir y almacenar filtros que pueden ser utilizados en ejecuciones posteriores de la aplicación. Para esto, se debe presionar el botón “Crear” de la ventana de configuración, que muestra una nueva ventana para la creación y selección de filtros tal como se muestra en la Figura 8.3.

 

Figura 8.3: Vista de la ventana de creación y selección de filtros.

 

En la parte superior de la ventana de configuración de filtros se encuentra una lista con los filtros previamente creados. Una vez que se elija alguno de los filtros preconfigurados, se mostrará la descripción del mismo en los campos “Nombre” y “Filtro” de la ventana de configuración.

 

En caso de que se desee crear un nuevo filtro se debe presionar el botón “Nuevo” y completar los campos “Nombre” y “Filtro” con la siguiente información:

 

·      Nombre: Se debe especificar un nombre que haga referencia al filtro que se está creando.

·      Filtro: El filtro expresado en la sintaxis del programa tcpdump.

 

Para finalizar la creación del nuevo filtro, se debe presionar el botón “Crear” que lo agregará a la lista de filtros preconfigurados.

 

Una vez seleccionado el filtro en la ventana de creación y selección, se debe presionar el botón “Aceptar” que copiará el filtro configurado al campo “Filtro” de la ventana de configuración de la captura.

 

8.1.2 Proceso de captura

 

Una vez creado los filtros y seleccionadas las opciones de captura, se debe presionar el botón “Comenzar” de la ventana de configuración, con lo que se iniciará el proceso de captura de tráfico. Tal como se muestra en la Figura 8.4 la cantidad de paquetes capturados serán mostrados en tiempo real en el módulo.

 

Figura 8.4: Vista del módulo Sniffer durante el proceso de captura.

 

Este proceso continuará hasta que el usuario presione el botón “Detener Captura” de la barra de herramientas del módulo o hasta que se capturen 500.000 paquetes. Una vez finalizado el proceso de captura, se mostrarán tres paneles. El panel superior muestra una vista resumen de los paquetes capturados. Es importante destacar, que los paquetes capturados se muestran en grupos de 10.000 paquetes y en la parte superior de la ventana se encuentran dos botones que permiten navegar entre los distintos grupos de paquetes.

 

Al seleccionar un paquete del panel superior, se mostrarán los detalles del mismo en los dos paneles inferiores. El panel inferior izquierdo muestra el detalle de las cabeceras que componen el paquete y en el panel inferior derecho se muestran en hexadecimal los bytes que componen el paquete seleccionado.

La Figura 8.5 muestra una vista del módulo Sniffer luego de seleccionar los detalles de un paquete al finalizar el proceso de captura.

 

Figura 8.5: Vista del módulo Sniffer al finalizar el proceso de captura.

 

8.2 Estadísticas de la captura

 

Al finalizar el proceso de captura se habilita el botón “Generar Estadísticas”, que abre una ventana que muestra un gráfico de barras con las estadísticas de los datos capturados clasificados por protocolo, tal como se aprecia en la Figura 8.6.

 

Figura 8.6: Vista de la ventana de estadísticas de los paquetes capturados.

 

8.3 Abrir captura

 

Al presionar el botón “Abrir” se muestra el explorador de archivos, desde el cual se puede seleccionar un archivo con extensión .cap o .pcap almacenado previamente para ver el contenido del mismo. Los archivos compatibles son todos aquellos que sean generados por AdminUCV NGN o con cualquier aplicación de captura basada en el formato de archivos de las librerías pcap, winpcap y, Jpcap.

 

8.4 Guardar captura

 

Luego de finalizar la captura se pueden salvar los datos. Para ello, se debe presionar el botón “Guardar”, que abrirá el explorador de archivos en el que se podrá especificar la ruta de preferencia para almacenar el archivo con la captura generada por AdminUCV NGN.

 

Los datos serán almacenados en un archivo con extensión .cap o .pcap que son compatibles con otros softwares reconocidos de captura, lo cual brinda la libertad de visualizar las capturas realizadas de otras aplicaciones con AdminUCV NGN y viceversa.

 

 

Copyright © 2008 Universidad Central de Venezuela | All Rights Reserved

Contacto: adminucvngn@gmail.com