Beruflich Dokumente
Kultur Dokumente
PROFESOR:
FLORES GARCIA VICTOR
MATERIA:
REDES CONVERGENTES
PRACTICA 1
ALUMNO:
RANGEL HERNÁNDEZ SERGIO
MARCO TEÓRICO
Wireshark implementa una amplia gama de filtros que facilitan la definición de criterios de
búsqueda para los más de 1100 protocolos soportados actualmente (versión 1.4.3); y todo
ello por medio de una interfaz sencilla e intuitiva que permite desglosar por capas cada
uno de los paquetes capturados. Gracias a que Wireshark “entiende” la estructura de los
protocolos, podemos visualizar los campos de cada una de las cabeceras y capas que
componen los paquetes monitorizados, proporcionando un gran abanico de posibilidades
al administrador de redes a la hora de abordar ciertas tareas en el análisis de tráfico.
Pueden existir situaciones en las que Wireshark no será capaz de interpretar ciertos
protocolos debido a la falta de documentación o estandarización de los mismos, en cuyo
caso la ingeniería inversa será la mejor forma de de abordar la situación.
Otras herramientas como Snort, OSSIM así como multitud de IDS/IPS permiten alertar
sobre algunos de los problemas y ataques que puedan suceder en el análisis de tráfico.
No obstante cuando se necesita analizar tráfico de profundidad o hay que auditar un
entorno en el que el tiempo prima, dichas herramientas suelen carecer de la flexibilidad
que nos ofrece un analizador de protocolos como el Wireshark.
Página 1
Análisis de protocolos con Wireshark
Zona
Superiror
Zona
Intermedia
Zona
Inferior
La zona superior muestra todos los paquetes capturados, uno por línea. Cada línea contiene el
orden y el tiempo de captura, el origen y el destino del paquete, el protocolo encapsulado e
información adicional. Al seleccionar un paquete, su contenido se muestra en las dos zonas
siguientes.
La zona intermedia muestra los protocolos, uno por línea, del paquete seleccionado. Cada
protocolo puede desplegarse pulsando sobre la pestaña de la izquierda para mostrar más
información o contraerse, para ocupar una sola línea, pulsando sobre la misma pestaña.
Página 2
Análisis de protocolos con Wireshark
CAPTURA DE TRÁFICO
Para iniciar una captura de paquetes en Wireshark primero debemos ejecutar el programa, una
vez abierto el programa en la pantalla principal seleccionamos la pestaña de captura, y después
Interfaces; como se muestra en la siguiente figura:
Se abrirá un cuadro de diálogo indicando con la opción de red que se desee analizar, en donde
seleccionaremos la red y después presionaremos la opción start para que Wireshark comience a
monitorear los paquetes transmitidos.
Una vez ejecutado el programa, este comienza con la captura de datos desplegándolos en la Zona
superior de la pantalla, obteniendo así nuestra captura que en este caso fue de 3614 paquetes
Página 3
Análisis de protocolos con Wireshark
FILTROS DE CAPTURA
Los filtros permiten capturar solo aquellos paquetes que tengan ciertas características, por
ejemplo, los que pertenecen a una determinada aplicación para especificar un filtro de captura se
debe escribir en la parte superior izquierda en el campo de filtro. Por ejemplo si queremos
capturar el tráfico desde o hacia la dirección IP 192.168.1.254 escribiremos:
ip.addr== 192.168.1.254
De este modo podemos utilizar el campo de filtrado a nuestra conveniencia, en este caso lo
usaremos para filtrar los paquetes obtenidos buscando paquetes que contengan solo los
protocolos DHCP y DNS.
Página 4
Análisis de protocolos con Wireshark
El protocolo DHCP
DHCP es un protocolo cliente servidor. Normalmente, un cliente es un host recién llegado que
desea obtener información de configuración de la red, incluyendo una dirección IP para si mismo.
En el caso más simple, cada subred tendrá un servidor DHCP. Si en la subred no hay ningún
servidor, es necesario un agente de retransmisión DHCP (normalmente un router) que conozca la
dirección de un servidor DHCP para dicha red. La figura 1 siguiente muestra un servidor DHCP
conectado a la subred 223.1.2/24 como el router actuando como agente de retransmisión para los
clientes recién llegados que se conectan a las subredes 223.1.1/24 y 223.1..3/24. En la siguiente
exposición, supondremos que hay disponible un servidor DHCP en la subred.
Para un host recién llegado a una red, el protocolo DHCP es un proceso de cuatro pasos, como se
muestra en la figura 2 para la configuración de red mostrada en la figura 1. En esta figura sudirI
(“su dirección Internet”) indica la dirección que se asigna al cliente que acaba de llegar. Los cuatro
pasos son los siguientes:
Página 5
Análisis de protocolos con Wireshark
Página 6
Análisis de protocolos con Wireshark
Oferta del servidor DHCP. Un servidor DHCP que recibe un mensaje de descubrimiento
DHCP responde al cliente con un mensaje de oferta DHCP, que se difunde a todos los
nodos de la subred utilizando de nuevo la dirección IP de difusión 255.255.255.255(es
posible que se pregunte porque la respuesta de este servidor también debe difundirse).
puesto que en la subred pueden existir varios servidores DHCP, el cliente puede
encontrarse en la situación envidiable de poder elegir entre varias ofertas. cada mensaje
de oferta de servidor contiene el ID de transacción del mensaje de descubrimiento, la
dirección IP propuesta para el cliente, la máscara de red y el tiempo de arrendamiento de
la dirección IP (el tiempo durante el que la dirección IP será válida). Es habitual que el
servidor defina un tiempo de arrendamiento de varias horas o días.
Solicitud DHCP El cliente recién llegado seleccionará de entre las ofertas de servidor y
responderá a la oferta seleccionada con un mensaje de solicitud DHCP devolviendo los
parámetros de configuración
ACK DHCP El servidor contesta al mensaje de solicitud DHCP con un mensaje ACK DHCP
que confirma los parámetros solicitados.
Una vez que el cliente recibe el mensaje de reconocimiento (ACK) DHCP, la interacción se
completa y el cliente puede utilizar la dirección IP asignada por DHCP durante el tiempo de
arrendamiento. Dado que un cliente puede desear utilizar su dirección durante más tiempo del
arrendado, DHCP también proporciona un mecanismo que permite a un cliente renovar su tiempo
de arrendamiento de una dirección IP.
Página 7
Análisis de protocolos con Wireshark
DESARROLLO DE LA PRÁCTICA
Con el software Wireshark, previamente instalado en nuestra máquina, ejecutamos una captura
de paquetes figura 1. Guardamos el archivo en nuestro equipo.
El comando ipconfig muestra todos los valores actuales de configuración de red TCP/IP y actualiza
la configuración de protocolo de configuración dinámica de Host (DHCP) y del sistema de nombres
de dominio (DNS). ipconfig muestra el protocolo de Internet versión 4 (IPv4) y IPv6 direcciones, la
máscara de subred y puerta de enlace predeterminada para todos los adaptadores.
Página 8
Análisis de protocolos con Wireshark
De acuerdo a la imagen los parámetros asignados a nuestra conexión son los siguientes:
De la misma forma observamos el tiempo de concesión que el servidor asigno para el uso de esta
dirección IP.
Página 9
Análisis de protocolos con Wireshark
Figura 4. Con el comando ipconfig /release ejecutado se observa que no hay conexión a internet.
Página 10
Análisis de protocolos con Wireshark
El comando ipconfig /release, Envía un mensaje DHCPRELEASE al servidor DHCP para liberar la
configuración actual de DHCP y descartar la configuración de direcciones IP para todos los
adaptadores (si no se especificó un adaptador) o para un adaptador específico si se incluyó el
parámetro adaptador. Este parámetro deshabilita TCP/IP para los adaptadores configurados para
obtener una dirección IP automáticamente.
Con el uso de Wireshark se puede comprobar que la conexión a la red se ha liberado como se
muestra en la figura 5.
Figura 5. En esta imagen por medio de Wireshark se observa que a través del protocolo DHCP se
solicita la liberación de la red1
Después de haber liberado la dirección IP asignada por el servidor DHCP y comprobado que no
teníamos conexión a internet, a través de la consola de comandos, solicitamos al servidor que
renueve los parámetros de conexión por medio del comando ipconfig /renew. Como se muestra
en la figura 6.
El comando ipconfig /renew renueva la configuración de DHCP para todos los adaptadores (si no
se especificó un adaptador) o para un adaptador específico si se incluyó el parámetro adaptador.
1
La dirección asignada para el equipo es distinta de la que se asignó en las imágenes anteriores debido a
que este proceso no se realizo en la misma sesión.
Página 11
Análisis de protocolos con Wireshark
Figura 6.Una vez ejecutado el comando ipconfig /renew, se observa que se ha recuperado la
dirección IP y la conexión esta restablecida.
Ahora intentamos usar el navegador buscando la dirección www.ipn.mx observamos que esta vez
el buscador arroja resultados de la búsqueda.
Figura 7. Ejecutando el comando ipconfig /renew, restablecemos la conexión por medio del
servidor DHCP.
Página 12
Análisis de protocolos con Wireshark
Habiendo guardado el archivo con los paquetes que genero la búsqueda, se realiza un filtrado para
localizar los paquetes que contengan el protocolo DHCP, esto lo hacemos ingresando el protocolo
bootp en el campo de búsqueda de Wireshark.
Como se puede ver en la figura anterior el protocolo DHCP se muestra con su respectivo
procedimiento en la zona superior de Wireshark las líneas 48, 59, 60 y 61 muestran os cuatro
pasos que ejecuta el protocolo mencionados anteriormente; Descubrimiento, Oferta, Solicitud y
Reconocimiento entre el servidor DHCP y el equipo anfitrión involucrado, en este caso nuestro
equipo de computo.
Página 13
Análisis de protocolos con Wireshark
Los pasos que ejecuta el protocolo DHCP se han descrito con anterioridad, a continuación se
analizan los paquetes con la ayuda de la zona media de Wireshark.
Descubrimiento del servidor DHCP La primera tarea de un host recién llegado es encontrar un
servidor DHCP con el que interactuar. Esto se hace mediante un mensaje de descubrimiento DHCP,
que envía un cliente dentro de un paquete UDP al puerto 67, para confirmar esto consultamos el
paquete 48 de Wireshark.
Figura 10. El protocolo UDP interactúa entre el Servidor DHCP y el anfitrión por medio de los
puertos 68 y 67 respectivamente.
Oferta del servidor DHCP. Un servidor DHCP que recibe un mensaje de descubrimiento DHCP
responde al cliente con un mensaje de oferta DHCP, que se difunde a todos los nodos de la subred
utilizando de nuevo la dirección IP de difusión.
Figura 11. Respuesta del protocolo DHCP con una oferta para el anfitrión.
Página 14
Análisis de protocolos con Wireshark
Solicitud DHCP El cliente recién llegado seleccionará de entre las ofertas de servidor y responderá
a la oferta seleccionada con un mensaje de solicitud DHCP devolviendo los parámetros de
configuración.
Figura 12. Muestra de los parámetros y nombre del equipo anfitrión solicitando una dirección IP
ACK DHCP El servidor contesta al mensaje de solicitud DHCP con un mensaje ACK DHCP que
confirma los parámetros solicitados.
Figura 13. El servidor DHCP contesta y confirma los parámetros, así mismo incluye el tiempo de
arrendamiento de conexión, normalmente 24 hrs.
Página 15
Análisis de protocolos con Wireshark
Es una utilidad diagnostica que comprueba el estado de la comunicación del “host” local con uno
o varios equipos remotos de una red.
Petición a un dominio
En este ejemplo se observa la utilización de una dirección DNS o nombre del dominio, en lugar de
una dirección IP. Se añaden los parámetros l e i, que determinan el tamaño del paquete a 64 bytes
y el tiempo de vida (TTL) a 250 milisegundos.
En este ejemplo se usa una dirección IP local. Se especifica el tiempo de vida (TTL) a 147
milisegundos y se exige que se resuelva como nombre de host.
Página 16
Análisis de protocolos con Wireshark
Se confirma la conexión a internet debido a que el ping logra alcanzar la dirección IP solicitada
Página 17
Análisis de protocolos con Wireshark
Si ejecutamos el comando ping www.ipn.mx (o cualquier otra URL conocida) se puede verificar
si están correctamente configuradas las IP de los servidores DNS.
Se observa que la URL es alcanzada y de la misma forma se obtiene la dirección IP para verificar la
conexión a Internet.
El protocolo de Mensajes de Control de Internet o ICMP (Internet Control Message protocol por
sus siglas en inglés) es el sub protocolo de control y notificación de errores del protocolo de
internet (IP) Como tal, se usa para enviar mensajes de error, indicando por ejemplo que un
servicio determinado no está disponible o que un router o host no puede ser localizado. También
puede ser utilizado para transmitir mensajes ICMP Query.
ICMP difiere del propósito de TCP y UDP ya que generalmente no se utiliza directamente por las
aplicaciones de usuario en la red. La única excepción es la herramienta ping y traceroute que
envían mensajes de petición Echo ICMP (y recibe mensajes de respuesta Echo) para determinar si
un host está disponible, el tiempo que le toma a los paquetes en ir y regresar a este host y
cantidad de host por los que pasa.
Este protocolo es parte de la suite de protocolo de internet, de esta manera se define en RFC 792.
Los mensajes de este protocolo se utilizan con fines de diagnostico o control y se generan en
respuesta a los errores en operaciones IP (Como se especifica en el RFC 1122). estos errores del
protocolo ICMP se dirigen a la dirección IP de origen del paquete originario.
Se puede decir, que todos los dispositivos (como intermedio enrutador) reenvían un datagrama IP
que disminuye el tiempo de vida en el encabezado IP por uno. Si el tiempo de vida TTL resultante
es 0, el paquete se descartará y un ICMP de tiempo de vida superado en transito enviará un
mensaje de dirección al origen del datagrama.
Página 18
Análisis de protocolos con Wireshark
De la figura anterior podemos observar que el protocolo ICMP está dentro de 8 paquetes,
observamos dentro de la información del paquete que, este incluye una petición Echo. También
observamos que esta captura contiene 8 paquetes debido a que el comando ping siempre envía 4
paquetes, se observas que en este caso el paquete es enviado de la computadora anfitrión con
dirección IP 192.168.1.135 que fue la dirección que asigno previamente el servidor DHCP,
podemos ver que este paquete es enviado a la dirección IP 148.204.103.231, que como se ha
mencionado anteriormente es la dirección que corresponde a la pagina del IPN. El paquete 790
en este caso, es la respuesta de la pagina que tratamos de alcanzar este paquete nos muestra que
responde a la solicitud del paquete 789 e incluye el tiempo de respuesta.
Página 19
Análisis de protocolos con Wireshark
Figura El paquete 789 muestra la solicitud hacia la IP destino y este paquete también muestra en
que paquete se da la respuesta a la solicitud.
Figura Esta figura muestra la respuesta de la solicitud del paquete anterior, de la misma forma
incluye el tiempo de respuesta.
Con lo anterior comprobamos el funcionamiento del comando ping en conjunto con el protocolo
ICMP. Ahora confirmamos que el host que responde a nuestra solicitud por medio del comando
ping efectivamente corresponda al Politécnico, para eso consultamos la IP en la siguiente liga:
https://ipinfo.io/148.204.103.231.
Página 20
Análisis de protocolos con Wireshark
Traceroute
Traceroute es un a consola de diagnostico que permite seguir la pista de los paquetes que vienen
desde un host (punto de red). Se obtiene además una estadística del RTT o latencia de red de esos
paquetes, lo que se conoce como una estimación de la distancia a la que están los extremos de la
comunicación. Esta herramienta en el sistema operativo Windows se conoce como tracert.
Tracert utiliza el campo Time To Live (TTL) de la cabecera IP. Este campo sirve para que un paquete
no permanezca en la red de forma indefinida (por ejemplo debido a la existencia en la red de un
bucle cerrado en la ruta). El campo TTL es un número entero que es decrementando por cada
nodo por el que pasa el paquete. De esta forma, cuando el campo TTL llega al valor 0 ya no se
reenviara mas, si no que el nodo que lo esté manejando en ese momento lo descartara. Lo que
hace Traceroute, es mandar paquetes a la red de forma que el primer paquete lleve un valor
TTL=1, el segundo un TTL=2, etc. De Esta forma, el primer paquete será eliminado por el primer
nodo al que llegue (ya que este nodo decrementará el valor TTL llegando a cero). Cuando un nodo
elimina un paquete, envía al emisor un mensaje de control especial indicando una incidencia.
Traceroute usa esta respuesta para averiguar la dirección IP del nodo que desecho el paquete, que
será el primer nodo de la red. la segunda vez que se manda un paquete, el TTL vale 2 por lo que
pasara el primer nodo y llegara al segundo, donde será descartado, devolviendo de nuevo un
mensaje de control. Esto se hace de forma sucesiva hasta que el paquete llega a su destino.
Funcionamiento
Traceroute usa el parámetro TTL (Time To Live) de los paquetes ICMP y lo manipula de forma que
es capaz de averiguar el camino que estos paquetes siguen por la red. Normalmente el valor del
parámetro TTL es decrementado en una unidad en cada uno de los puntos por los que pasa
nuestro paquete.
En un primer momento se envía un paquete con el valor del campo TTL = 1. Valor que se
decrementa en el primer punto de comunicación, generalmente en el router de nuestra casa, y
para el cual se establece el valor 0 en este caso el router descartara el paquete y al emisor del
mismo le devolverá un mensaje de error ICMP como el siguiente “Time to live exceded in transit”
el comando Traceroute continuará enviando paquetes cada vez con un valor mayor hasta que le
responda la máquina de destino de la traza o se alcance el número máximo de saltos, que por
defecto es 30.
Página 21
Análisis de protocolos con Wireshark
Desarrollo
Se realiza unta traza usando el comando tracert hacia la dirección www.ipn.mx y a su vez se
genera una captura de paquetes con Wireshark, para guardar el archivo y posteriormente analizar
los paquetes.
Figura Traza hacia la página del politécnico y captura de paquetes con Wireshark.
Figura Filtrado de los paquetes que contienen el protocolo ICMP los cuales especifican la traza
para llegar a la dirección IP 148.204.231 o www.ipn.mx
Página 22
Análisis de protocolos con Wireshark
Habiendo obtenido los paquetes que contienen la traza hacia la IP destino procedemos a
analizarlos, de esta forma identificamos como el tiempo de vida de los paquetes decrementa
eventualmente, también podemos ver en la consola CMD que en algunos saltos, no se muestra el
tiempo sino solo el símbolo * esto es debido a que el router que ha alcanzado la traza esta
configurado para no enviar respuesta hacia el host que solicita la confirmación.
Figura Wireshark muestra los paquetes que se envían por medio de Traceroute, y su respectivo
tiempo de vida.
En la imagen anterior se observa como son enviados los paquetes hacia el primer router que se
encuentra en la trayectoria de la traza 192.168.1.135, el valor del TTL se decrementa en 1 por cada
router que alcanza, el router puede enviar un mensaje de error al host y de esta forma se conoce
la dirección IP del primer router.
Página 23
Análisis de protocolos con Wireshark
De la figura anterior podemos observar cuantos saltos se llevaron a cabo para alcanzar la dirección
requerida, de la misma forma podemos observar la dirección IP de los routers alcanzados, los
routers que no devuelven información y muestran un tiempo de espera agotado, están
configurados de tal modo que no envían esta información.
Como hemos mencionado los paquetes se envían con un decremento de 1, con el Wireshark
observamos cómo se envían los paquetes con un TTL=1 posteriormente se envían paquetes con
un TTL=2 el primer router recibe el paquete con el TTL=2 decrementa en 1 el valor TTL y lo envía al
segundo router y así sucesivamente hasta llegar al host destino.
De esta forma es como se va trazando la ruta hasta el host que queremos alcanzar, el trazado
termina cuando existe una respuesta a nuestra solicitud, la respuesta ocurre cuando enviamos tres
paquetes ahora con un TTL=16 observamos que la IP 148.204.103.231 envía un Echo (ping) reply,
como se muestra en las siguientes imágenes.
Figura El último paquete de la traza se reconoce por el TTL= 16 es enviado y por la respuesta del
host destino.
Figura El host destino envía una respuesta con un TTL =246, de la misma forma específica a que
paquete está respondiendo.
Página 24
Análisis de protocolos con Wireshark
Conclusiones
El objetivo de la practica se logra al poder vincular ambas herramientas (Wireshark y CMD) para
comprobar lo que en teoría debe resultar al usar el protocolo DHCP, con esto se tiene una mejor
compresión de cómo es asignada la dirección IP a un usuario en cuestión, se comprende el
proceso de interacción que realiza el usuario con un servidor para que pueda hacer uso de la red.
De la misma forma se comprende cómo es que se lleva a cabo la comunicación de solicitud y
respuesta, por un lado visualizamos la información a través de la consola de comandos en donde
los parámetros se muestran con detalle y por el otro lado se analiza paso a paso el desarrollo de
esta interacción a través de Wireshark consultando paquete por paquete.
Bibliografía
Redes de computadoras un enfoque descendente James F. Kurose Keith W. Ross Edit. Pearson.
Página 25