Taller Protocolo Wireshark

ARP
a. Determine cmo se identifica en Wireshark los paquetes de este
protocolo.
Se identifican realizando un filter o filtro por ARP, en este nos muestra el
nombre del dispositivo origen y destino, ya que cuando se realizo el filtro
encontramos que la opcion de resolucion de nombres por MAC esta
habilitada, de igual manera los indica en color azul bastante claro, e indica que
el protocolo es arp en la columna correspondiente, adems analizando la trama se
confirma el protocolo Addres resolution protocol: presenta request y reply

b. Funciona orientado a conexin o no y porqu?

No es orientado a la conexin ya que no establece sesiones para enviar u obtener
respuesta sino que solo las enva , debido a que no crea ningun tipo de circuito

entre los nodos, este protocolo no garantiza que los paquetes enviados
se reciban en el orden que se genero.
c. Describa 3 caractersticas relevantes del protocolo y explique.
Resolucion por MAC, por lo cual en el wireshark si realizamos un filtro por
IP no tendriamos resultado. De pronto en la informacion nos muestra la
IP.
Este protocolo es basado en broadcast, hecho de toda la red.
Ayuda a la facil deteccion de los equipos conectados en nuestra red.
Convierte direcciones ip a direcciones fisicas, no es orientado a conexin,
trabaja con broadcast, solo hay peticion y respuesta

d. Realice la captura de tramas en la red de la Universidad y

explique por lo menos 3 aspectos del protocolo que identifique
en la red.
Se evidencia el trafico correspondiente a los demas host existentes en la
Red, se observa que estos generan broadcast hacia el gateway default
que este lo tenemos en comn en la red de la UPiloto.

TCP/IP y HTTP
a. Determine cmo se identifica en Wireshark los paquetes de este
protocolo

TCP: Aparece en color gris, pero a pesar de esto nos referimos a TCP/IP HTTP, y est en
color verde, pero porque indica que el trafico TCP es por el puerto 80 conexin HTTP.
HTTP: Aparece en color verde, y se confirma en la columna de protocolo, se confirman
detalles en el anlisis del paquete Hypertext Transfer Protocol

b. Funciona orientado a conexin o no y porqu?

Es orientado a la conexin porque se debe confirmar, verifica que los datos enviados sean
recibidos, y establece una sesin para el traspaso de informacin

c. Describa 3 caractersticas relevantes del protocolo y explique.

Este protocolo nos define la sintaxis
transacciones realizadas en la WEB.

utilizada

para

todas

las

Con su esquema peticion-respuesta, se basa en transacciones del cliente

hacia el servidor.
Protocolo de transferencia de hypertexto, trabaja basado en solicitudes,
cabeceras y cuerpo respuestas en cada sesion establecida, hace uso de
URl para la localizacion de los recursos.
d.

Realice la captura de tramas en la red de la Universidad y

explique por lo menos 3 aspectos del protocolo que identifique
en la red.
Muestra la solicitud realizada por nuestra direccion IP hacia un servicio
externo, ejemplo Google, nos muestra que la solicitud esta siendo
realizada por el puerto 80 HTTP, en este protocolo de igual mamera
influeye el DNS de la maquina, ya que se debe aplicar la resolucion de
nombres.
Se evidencia un GET en la captura, este quiere decir que requiere una
presentacin, en el caso de la telefona SIP un INVITE.

DNS
a. Determine cmo se identifica en Wireshark los paquetes de
este protocolo.
Azul claro, se puede verificar en el anlisis de la trama Domain Name
System: presenta query y response y en la columna de protocolo.
b. Funciona orientado a conexin o no y porqu?
No es orientado a conexin, no establece sesin solo entrega la respuesta.
c. Describa 3 caractersticas relevantes del protocolo y explique.

Convierte nombres a direcciones ip, no es orientado a conexin, hace uso

de bases de datos en servidores que contienen las resoluciones, las bases
de datos estan segmentadas en zonas para la resolucion de normas
d. Realice la captura de tramas en la red de la Universidad y
explique por lo menos 3 aspectos del protocolo que identifique
en la red.
Se observa que en el momento de realizar alguna peticion WEB, el
servidor de DNS, es quien empieza la trama y posterior a esto el emite
una respuesta para mostrar la pagina de la solicitud realizada.
De igual manera en caso de requerir la conectividad a una pagina, en
nuestro caso GOOGLE, el protocolo DNS es quien determina a que IP
debemos realizar la peticion, ya sea PING o TRACERT.

MSNS
a. Determine cmo se identifica en Wireshark los paquetes de
este protocolo.
Color Violeta claro, se confirma con el tipo que esta definido en la columna de protocolo y en
el anlisis de la trama MSN Messenger Service

b. Funciona orientado a conexin o no y porqu?

Es orientado a conexin ya que debe validar el estado de la conexin para entregar o no los
mensajes.

c. Describa 3 caractersticas relevantes del protocolo y explique.

Protocolo de transferencia de mensajera de messenger , si es orientado a conexin.

d. Realice la captura de tramas en la red de la Universidad y

explique por lo menos 3 aspectos del protocolo que identifique
en la red.

3. Anlisis de lentitud en la red:

a. Segn el ejercicio slowdownload.pcap determine los pasos que se debe
realizar para determinar si hay o no lentitud en la red.

La descarga de un programa, imagen, archivo a travs de Internet utiliza el

protocolo TCP/IP para realizar toda la transaccin. Bsicamente, el cliente
solicita a un servidor HTTP un archivo determinado y el servidor responde
enviando dicho archivo. La descarga completa se establecer mediante la suma
de varios paquetes de datos denominados segmentos. Con cada segmento a
descargar el servidor y el cliente establecern una comunicacin donde se

informar de la transmisin y se proceder a la descarga correspondiente, hasta

que el programa se haya completado del todo. El inicio de toda comunicacin
TCP comienza con la negociacin en tres pasos (TCP Three Way Handshake).

b. Capture tramas en la red de la Universidad, aplique los pasos y

determine si est lenta o no.

Para comenzar con el anlisis de nuestra captura, deberemos dar un vistazo al

grfico de entrada/salida. El acceso a dicho grfico se consigue a travs del men
Statistics/IO Graphs. Como podemos observar, las opciones de representacin de los
datos son muy variadas, ya que se nos permite el filtrado de los mismos de
diferentes maneras. Para empezar, es una buena idea que los datos queden
representados por Bytes/Tick en el Eje Y, pues nos interesa analizar el estado de una
descarga de datos.
En una descarga de datos normal, los picos deberan mantenerse ms o menos
uniformes a lo largo del tiempo en un canal formado por dos lneas paralelas.
Dependiendo de la velocidad del servidor, el trfico de datos (representado en el Eje
Y) variar, tendiendo a cero en conexiones ms lentas, mientras que el tiempo de
descarga (representado en el Eje X) aumentar o disminuir dependiendo del
tamao de la descarga y de la propia velocidad de transferencia.

4. Cuestiones

a. Cualquier protocolo puede ser analizado con Wireshark? En qu

casos no?
Este analizador de trafico puede detectar cualquier tipo de paquete que
curse por nuestra red, pero una trama que se encuentre encriptada no
podra ser analizada, por lo tanto el protocolo con el que vaya ese paquete
no podra ser analizado, otro protocolo es RTMPT este tipo de protocolo no puede
filtrarse durante la captura.

No se puede extraer la voz sobre troncales SIP si los paquetes RTP son
diferentes ao codec G711, no es capas de extraer un analisis de llamadas si
el codec es G729 o H323.
En el caso de los paquetes segmentados, es capaz de construir y
mostrar los detalles del paquete completo una vez que reciba el
segmento final. Sin embargo si los paquetes vienen en desorden no es
capaz de construir el paquete completo de los segmentos en tal caso.

Se bloquea cuando despus de abrir un archivo de gran tamao (~ 100 MB),

trato de analizar los paquetes / streams / llamadas VoIP mediante la
seleccin de las opciones que estn disponibles en el punto de men
"Estadsticas".
b. Cul es el nmero mximo y mnimo de tramas y porqu?
El tamao maximo, segn estandares es de 100Mb, esto porque una trama
con un tamao superior el analizador en el menu de estadisticas se bloquea.

c. Qu pasara si dejo un equipo en una red permanentemente en

modo promiscuo?
la red empezara a ver un cambio notorio en la utilizacion puesto que
wireshark aplicara en envenenamiento total, de igual el equipo comenzara a
presentar deficiencia en el funcionamiento ya que se saturara de memoria
ram y de almacenamiento al estar procesando y guardando todo lo que ve
en la red, ademas de que tendria acceso a toda la informacion que transite
por la red si no se encuetra encriptada.
d. Cul sera su recomendacin frente al uso de Wireshark en una
organizacin?
Debe ser un software restringido por politicas de seguridad de la compaina
para prevenir que se vea la informacion en transito, ademas de que se
conozca muy a fondo la arquitectura de la solucion de conectividad, o se
encuentren posibles huecos que sean atacados posteriormente.

LUIS HERNANDO QUINTERO COJO

Ingeniero de Sistemas
Especialidad Telecomunicaciones