Informe de Laboratorio #2

Análisis de protocolos y tráfico en Redes

Redes de Comunicaciones– NRC: 2947

Ing. Walter Fuertes

Integrantes:

Sebastián Zúñiga

Fernanda Galárraga

Fecha: 31 de octubre de 2019.

Contenido
1. Tema: Análisis de protocolos y tráfico en Redes .......................................................... 3
2. Objetivos:....................................................................................................................... 3
3. Materiales: ..................................................................................................................... 3
4. Marco Teórico ............................................................................................................... 4
Ventajas del modelo TCP/IP ................................................................................................... 5
Desventajas del modelo TCP/IP .............................................................................................. 6
5. Diseño .......................................................................................................................... 16
6. Desarrollo .................................................................................................................... 16
ICMP .................................................................................................................................... 16
UDP ...................................................................................................................................... 23
HTTP .................................................................................................................................... 26
HTTPS .................................................................................................................................. 29
7. Resultados ................................................................................................................... 38
8. Conclusiones .............................................................................................................. 38
9. Referencias Bibliográficas ........................................................................................ 39
1. Tema: Análisis de protocolos y tráfico en Redes

2. Objetivos:
1. Iniciar el aprendizaje de administración de redes.

2. Análisis de Protocolos y paquetes TCP/IP.

3. Poder explicar el propósito de un analizador de protocolos (Wireshark).

4. Poder realizar capturas básicas de la unidad de datos del protocolo (PDU) mediante el

uso de Wireshark.

5. Poder realizar un análisis básico de la PDU en un tráfico de datos de red simple.

6. Experimentar con las características y opciones de Wireshark, como captura de PDU y

visualización de filtrado.

7. Extraer resultados y conclusiones a partir de los paquetes capturados en cada uno de los

casos.

8. Aprender acerca del uso del simulador de redes en este caso tomando como herramienta

Wireshark.

9. Mostrar las correspondientes estadísticas de los paquetes de cada uno de los filtrados

que se realizará en la práctica.

3. Materiales:
1. Wireshark

2. Internet
 4. Marco Teórico
TCP/IP

La definición de TCP/IP es la identificación del grupo de protocolos de red que hacen posible

la transferencia de datos en redes, entre equipos informáticos e internet. Las siglas TCP/IP

hacen referencia a este grupo de protocolos:

● TCP es el Protocolo de Control de Transmisión que permite establecer una conexión y

el intercambio de datos entre dos anfitriones. Este protocolo proporciona un transporte

fiable de datos.

● IP o protocolo de internet, utiliza direcciones series de cuatro octetos con formato de

punto decimal (como por ejemplo 75.4.160.25). Este protocolo lleva los datos a otras

máquinas de la red.

El modelo TCP/IP permite un intercambio de datos fiable dentro de una red, definiendo los

pasos a seguir desde que se envían los datos (en paquetes) hasta que son recibidos. Para lograrlo

utiliza un sistema de capas con jerarquías (se construye una capa a continuación de la anterior)

que se comunican únicamente con su capa superior (a la que envía resultados) y su capa inferior

(a la que solicita servicios).

Capas del modelo TCP/IP

Dentro del modelo TCP/IP existen cuatro niveles o capas que hay que tener en cuenta.

Nivel de enlace o acceso a la red: es la primera capa del modelo y ofrece la posibilidad de

acceso físico a la red (que bien puede ser en anillo, ethernet, etc.), especificando el modo en

que los datos deben enrutar independientemente del tipo de red utilizado.

Nivel de red o Internet: proporciona el paquete de datos o datagramas y administra las

direcciones IP. (Los datagramas son paquetes de datos que constituyen el mínimo de
información en una red). Esta capa es considerada la más importante y engloba protocolos

como IP,ARP, ICMP, IGMP y RARP.

Nivel de Transporte: permiten conocer el estado de la transmisión así como los datos de

enrutamiento y utilizan los puertos para asociar un tipo de aplicación con un tipo de dato.

Nivel de Aplicación: es la parte superior del protocolo TCP/IP y suministra las aplicaciones

de red tip Telnet, FTP o SMTP, que se comunican con las capas anteriores (con protocolos

TCP o UDP).

La capas del modelo TCP/IP coinciden con algunas capas del modelo teórico OSI, aunque

tienen tareas mucha más diversas.La importancia del protocolo TCP/IP es muy elevada ya que

permite que los datos enviados lleguen a su destino sin errores y bajo la misma forma en la que

fueron enviados.

Ilustración 1. Comparación de las capas del Modelo OSI y del Modelo TCP/IP

Ventajas del modelo TCP/IP

● TCP/IP ofrece ventajas significativas respecto a otros protocolos de red. Una de esas

ventajas es que es capaz de trabajar sobre una extensa gama de hardware y soporta

muchos sistemas operativos (es multiplataforma). Internet está repleto de pequeñas

 redes con sus propios protocolos por lo que el uso de TCP/IP se ha estandarizado y es

posible utilizarlo como protocolo de comunicación entre redes privadas intranet y

extranet, facilitando una red más homogénea.

● TCP/IP es adecuado tanto para grandes y medianas redes como para redes

empresariales o domésticas.

● TCP/IP está diseñado para enrutar y además presenta gran compatibilidad con las

herramientas estándar para analizar y monitorizar el funcionamiento de una red.

● Es el protocolo estándar que se utiliza a nivel mundial para conectarse a internet y a los

servidores web.

Desventajas del modelo TCP/IP

● No distingue bien entre interfaces, protocolos y servicios lo cual afecta al desarrollo de

nuevas tecnologías basadas en TCP/IP-

● En redes con bajo volumen de tráfico puede llegar a ser más lento (en redes con mayor

volumen de tráfico, que necesiten gran cantidad de enrutamiento, puede ser mucho más

rápido).

● Cuando se utiliza en servidores de ficheros o servidores de impresión no ofrecen un

gran rendimiento.

Protocolos

Las redes modernas se componen de una variedad de sistemas que se ejecutan en diferentes

plataformas. Para facilitar esta comunicación, se utiliza un conjunto de lenguajes comunes

llamados protocolos.

● Protocolo de Control de Transmisión (TCP)

● Protocolo de Internet (IP)

● Address Resolution Protocol (ARP)

 ● Dynamic Host Configuration Protocol (DHCP).

Una pila de protocolos es una agrupación lógica de los protocolos que trabajan juntos. Los

protocolos trabajan en gran parte del mismo modo, lo que nos permite definir el número de

paquetes deben ser colocados, como iniciar una conexión y la forma de asegurar el recibimiento

de los datos. Un protocolo puede ser muy simple o muy complejo, dependiendo de su función.

Tabla 1. Puertos bien Conocidos

Puerto/protocolo Nombre Descripción

n/d / GRE gre GRE (protocolo IP 47) Enrutamiento y acceso remoto

IPSec ESP (protocolo IP 50) Enrutamiento y acceso

n/d / ESP
remoto

IPSec AH (protocolo IP 51) Enrutamiento y acceso

n/d / AH
remoto

1/tcp tcpmux Multiplexor TCP

5/tcp rje Entrada de trabajo remota

Protocolo Echo (Eco) Responde con eco a llamadas

7/tcp echo
remotas

Protocolo Discard, elimina cualquier dato que recibe,

9/tcp discard
sirve para la evaluación de conexiones

11/tcp systat Servicio del sistema para listar los puertos conectados

13/tcp daytime Protocolo Daytime, envía la fecha y hora actuales

17/tcp qotd Quote of the Day, envía la cita del día

18/tcp msp Protocolo de envío de mensajes

Protocolo Chargen o Generador de caracteres, envía

19/tcp chargen
flujos infinitos de caracteres
 FTP File Transfer Protocol (Protocolo de Transferencia
20/tcp ftp-data
de Ficheros) - datos

FTP File Transfer Protocol (Protocolo de Transferencia

21/tcp ftp
de Ficheros) - control

22/tcp ssh SSH, scp, SFTP

23/tcp telnet Telnet manejo remoto de equipo, inseguro

SMTP Simple Mail Transfer Protocol (Protocolo Simple

25/tcp smtp
de Transferencia de Correo)

37/tcp time Time Protocol. Sincroniza hora y fecha

39/tcp rlp Protocolo de ubicación de recursos

42/tcp nameserver Servicio de nombres de Internet

43/tcp nickname Servicio de directorio WHOIS

Terminal Access Controller Access Control System

49/tcp tacacs
para el acceso y autenticación basado en TCP/IP

50/tcp re-mail-ck Protocolo de verificación de correo remoto

DNS Domain Name System (Sistema de Nombres de

53/tcp and udp domain
Dominio), por ejemplo BIND

53/udp FaceTime

63/tcp whois++ Servicios extendidos de WHOIS (WHOIS++)

Oracle Software de red que permite acceso remoto

66/tcp and udp
SQLNet entre los programas y la base de datos Oracle.

BOOTP BootStrap Protocol (servidor), también usado

67/udp bootps
por DHCP

BOOTP BootStrap Protocol (cliente), también usado

68/udp bootpc
por DHCP
 TFTP Trivial File Transfer Protocol (Protocolo Trivial
69/udp tftp
de Transferencia de Ficheros)

70/tcp gopher Gopher

79/tcp finger Finger

HTTP HyperText Transfer Protocol (Protocolo de

80/tcp http
Transferencia de HiperTexto) (WWW)

88/tcp kerberos Kerberos Agente de autenticación

95/tcp supdup Extensión del protocolo Telnet

101/tcp hostname Servicios de nombres de host en máquinas SRI-NIC

107/tcp rtelnet Telnet remoto

109/tcp pop2 POP2 Post Office Protocol (E-mail)

110/tcp pop3 POP3 Post Office Protocol (E-mail)

111/tcp sunrpc sunrpc

113/tcp auth ident (auth) antiguo sistema de identificación

115/tcp sftp SFTP Protocolo de transferencia de archivos seguros

Servicios de rutas de Unix-to-Unix Copy Protocol

117/tcp uupc-path
(UUCP)

119/tcp nntp NNTP usado en los grupos de noticias de usenet

123/udp ntp NTP Protocolo de sincronización de tiempo

135/tcp epmap epmap

137/udp netbios-ns NetBIOS Servicio de nombres

138/udp netbios-dgm NetBIOS Servicio de envío de datagramas

139/tcp netbios-ssn NetBIOS Servicio de sesiones

143/tcp imap IMAP4 Internet Message Access Protocol (E-mail)

161/udp snmp SNMP Simple Network Management Protocol

162/udp snmptrap SNMP-trap

174/tcp mailq Cola de transporte de correos electrónicon MAILQ

177/tcp xdmcp XDMCP Protocolo de gestión de displays en X11

178/tcp nextstep Servidor de ventanas NeXTStep

179/tcp bgp Border Gateway Protocol

194/tcp irc Internet Relay Chat

199/tcp smux SNMP UNIX Multiplexer

201/tcp at-rtmp Enrutamiento AppleTalk

202/tcp at-nbp Enlace de nembres AppleTalk

204/tcp at-echo Echo AppleTalk

206/tcp at-zis Zona de información AppleTalk

209/tcp qmtp Protocolo de transferencia rápida de correo (QMTP)

210/tcp z39.50 Base de datos NISO Z39.50

El protocolo de intercambio de paquetes entre redes

213/tcp ipx
(IPX)

220/tcp imap3 IMAP versión 3

245/tcp link Servicio LINK / 3-DNS iQuery

Servicio de administración de cintas y archivos

347/tcp fatserv
FATMEN

363/tcp rsvp_tunnel Túnel RSVP

369/tcp rpc2portmap Portmapper del sistema de archivos Coda

370/tcp codaauth2 Servicios de autenticación del sistema de archivos Coda

372/tcp ulistproc UNIX LISTSERV

389/tcp ldap LDAP Protocolo de acceso ligero a Bases de Datos

427/tcp svrloc Protocolo de ubicación de servicios (SLP)

434/tcp mobileip-agent Agente móvil del Protocolo Internet

435/tcp mobilip-mn Gestor móvil del Protocolo Internet

HTTPS/SSL usado para la transferencia segura de

443/tcp https
páginas web

444/tcp snpp Protocolo simple de Network Pagging

Microsoft-DS (Active Directory,

compartición en Windows, gusano Sasser, Agobot)
445/tcp microsoft-ds o también es usado por Microsoft-DS compartición de

ficheros

SMTP Sobre SSL. Utilizado para el envío de correo

465/tcp smtps
electrónico (E-mail)

500/udp IPSec ISAKMP, Autoridad de Seguridad Local

512/tcp exec

513/tcp Rlogin

514/udp syslog usado para logs del sistema

515/tcp usado para la impresión en windows

RIP Routing Information Protocol (Protocolo de

520/udp rip
Información de Enrutamiento)

RIP Routing Information Protocol IPv6 (Protocolo de

521/udp ripng
Información de Enrutamiento Internet v6)2

587/tcp smtp SMTP Sobre TLS

591/tcp FileMaker 6.0 (alternativa para HTTP, ver puerto 80)

631/tcp CUPS sistema de impresión de Unix

666/tcp identificación de Doom para jugar sobre TCP

VATP (Velneo Application Transfer Protocol)

690/tcp
Protocolo de comunicaciones de Velneo

993/tcp imaps IMAP4 sobre SSL (E-mail)

995/tcp POP3 sobre SSL (E-mail)

TCP 3-Way Handshake (SYN, SYN-ACK, ACK)

Un protocolo de enlace de tres vías es un método utilizado en una red TCP / IP para crear una
conexión entre un host / cliente local y un servidor. Es un método de tres pasos que requiere
que tanto el cliente como el servidor intercambien paquetes SYN y ACK (reconocimiento)
antes de que comience la comunicación de datos real. Un protocolo de enlace de tres vías
también se conoce como protocolo de enlace de TCP (InetDaemon, 2018).

Diagrama de protocolo de enlace TCP de 3 vías

A continuación, se muestra un diagrama simplificado del proceso de protocolo de enlace TCP
de 3 vías.
Tabla 2. Descripción 3 Way Handshake

EVENTO DIAGRAMA

• El host A envía un paquete cronológico TCP SYN al

host B.
• El anfitrión B recibe el SYN de A.
• Host B envía un SYNchronize-ACKnowledgement.
• El anfitrión A recibe el SYN-ACK de B
Protocolo de enlace de tres vías TCP
• El host A envía una confirmación ACK
(SYN, SYN-ACK, ACK).
• El host B recibe ACK.
• La conexión de socket TCP está ESTABLECIDA.

Puede darse cuenta del mecanismo anterior que se intercambian tres segmentos entre el
remitente (cliente) y el receptor (servidor) para que se establezca una conexión TCP confiable.
Veamos cómo funciona este mecanismo (Rai, 2017):
 Ilustración 2. Proceso 3 Way Handshake

• Paso 1 (SYN): en el primer paso, el cliente desea establecer una conexión con el servidor,
por lo que envía un segmento con SYN (Sincronizar Número de Secuencia) que informa
al servidor que es probable que el cliente inicie la comunicación y con qué número de
secuencia comienza los segmentos.
• Paso 2 (SYN + ACK): el servidor responde a la solicitud del cliente con los bits de señal
SYN-ACK establecidos. El Reconocimiento (ACK) significa la respuesta del segmento
que recibió y SYN indica con qué número de secuencia es probable que comience los
segmentos
• Paso 3 (ACK): en la parte final, el cliente reconoce la respuesta del servidor y ambos
establecen una conexión confiable con la que comenzarán la transferencia de datos real
Los pasos 1, 2 establecen el parámetro de conexión (número de secuencia) para una dirección
y se confirma. Los pasos 2, 3 establecen el parámetro de conexión (número de secuencia) para
la otra dirección y se confirma. Con estos, se establece una comunicación full-duplex.

Analizador de Protocolos (Tráfico)

De acuerdo a (Alcalá, 2011), los analizadores de protocolos de red ("sniffers"), visualizan el

tráfico de paquetes que circulan por las redes de computadores, permitiendo analizar el
comportamiento de las mismas, detectando errores, congestión, etc.
Su funcionamiento consiste en capturar una copia de estos paquetes para un realizar un análisis
posterior, el cual se presenta textual o gráficamente, dependiendo de las capacidades de la
herramienta en cuestión.
Se realiza varios tipos de análisis siendo los fundamentales el estructural y el estadístico. Con
el análisis estructural observamos la composición y detalles de los paquetes capturados como
contenido de cabeceras, nombre protocolo, datos del cuerpo del mensaje, etc. Con el análisis
estadístico obtenemos estimados de tráfico: cantidad de paquete por tipo y tiempo.
Los analizadores de red no están destinados a reemplazar firewalls, programas antivirus o programas
de detección de spyware. Sin embargo, el uso de un analizador de red además de otras contramedidas
puede minimizar la probabilidad de que ocurra un ataque y puede facilitar una respuesta rápida en caso
de que comience un ataque. Los analizadores de red pueden (Rouse, 2006):
• Proporcione estadísticas detalladas para la actividad actual y reciente en la red.
• Probar programas antimalware y detectar vulnerabilidades potenciales
• Detecta niveles inusuales de tráfico de red.
• Detecta características de paquetes inusuales.
• Identificar fuentes de paquetes o destinos.
• Configure alarmas para amenazas definidas.
• Busque cadenas de datos específicas en paquetes.
• Monitoree la utilización del ancho de banda en función del tiempo.
• Crear complementos específicos de la aplicación.
• Muestra todas las estadísticas en un panel de control fácil de usar.

Algunos de los analizadores de protocolos, son los siguientes (Gecko & Fly, 2019):
1. Wireshark
Es el analizador de protocolos de red más utilizado y ampliamente utilizado en el
mundo. Le permite ver lo que sucede en su red a nivel microscópico y es el estándar de
facto (y a menudo de jure) en muchas empresas comerciales y sin fines de lucro,
agencias gubernamentales e instituciones educativas.

Ilustración 3. Wireshark

2. TCPDUMP
 Es un analizador de paquetes común que se ejecuta bajo la línea de comando. Permite
al usuario interceptar y mostrar TCP / IP y otros paquetes que se transmiten o reciben a
través de una red a la que está conectada la computadora. tcpdump imprime el contenido
de los paquetes de red. Puede leer paquetes desde una tarjeta de interfaz de red o desde
un archivo de paquete guardado previamente creado. tcpdump puede escribir paquetes
en la salida estándar o en un archivo.

Ilustración 4. TCPDUMP

3. Message Analyzer
Permite capturar, mostrar y analizar el tráfico de mensajes de protocolo; y para rastrear
y evaluar eventos del sistema y otros mensajes de componentes de Windows. Message
Analyzer le permite mostrar trazas, registros y otros datos de mensajes en numerosos
formatos de visor de datos, incluida una vista de cuadrícula de árbol predeterminada.

Ilustración 5. Message Analyzer

4. Nirsoft SmartSniff
Es una utilidad de monitoreo de red que le permite capturar paquetes TCP / IP que pasan
a través de su adaptador de red y ver los datos capturados como una secuencia de
conversaciones entre clientes y servidores. Puede ver las conversaciones TCP / IP en
 modo ASCII (para protocolos basados en texto, como HTTP, SMTP, POP3 y FTP) o
como volcado hexadecimal. (para protocolos base que no son de texto, como DNS).

Ilustración 6. SmartSniff

5. Diseño

Ilustración 7. Topología de Prueba

6. Desarrollo
Proceso

1. Paquetes ICMP

2. Paquetes UDP/RTP

3. Paquetes HTTP Y HTTPS

ICMP
1. Ingresar al cmd y ver la configuración de la interfaz de red del computador con el
comando ipconfig.
 Ilustración 8. Identificar la IP de nuestro ordenador

Consideramos únicamente el adaptador de LAN inalámbrica, en el cual tomaremos en

cuenta la dirección IPv4 y la puerta de enlace. En este caso la IP es “192.168.1.58” y la puerta
de enlace es “192.168.1.1”.
2. Abrir Wireshark y dar doble clic en la interfaz de WiFi.

Ilustración 9. Ingresar al Wireshark

Al dar clic se puede observar que la información del tráfico de red se empieza a
desplazar. Las líneas de datos aparecen en diferentes colores según el protocolo.
 Ilustración 10. Tráfico de red de WiFi

3. Para poder visualizar únicamente el tráfico de ICMP, escribimos en el cuadro “Filtro”,

el cual se encuentra en la parte superior de Wireshark y luego dar clic en el botón
“Apply” para ver únicamente el PDU de ICMP (ping).

Ilustración 11. Filtrar el protocolo ICMP

Como se puede observar no aparece nada al filtrar el protocolo ICMP, esto es porque
aún no hemos hecho uso del comando ping en nuestra terminal.
 Ilustración 12. Tráfico de red de ICMP

4. Ingresar al cmd y poner ping seguido de la puerta de enlace que se identificó

anteriormente y el parámetro -n 10, esto para observar 10 paquetes de prueba.

Ilustración 13. Ping a la puerta de enlace

Una vez que se hizo uso del comando ping, se puede observar en Wireshark el tráfico
del protocolo ICMP.
 Ilustración 14. Trafico de ICMP al ejecutar el comando ping

Los datos de Wireshark se dividen en tres secciones, la primera es la parte superior donde se
muestran las tramas de PDU capturadas sobre la información de los paquetes IP, tanto recibidos
como los enviados. La parte del medio indica información de la PDU para la trama seleccionada
en la parte superior y separa una trama capturada por las capadas del protocolo ICMP y por
último la parte inferior muestra los datos sin procesar los cuales se muestran en formato
hexadecimal y decimal.

Al dar clic en una de las tramas de la solicitud ICMP, se puede observar que la columna
“source” tiene la IP del router (puerta de enlace) y la columna “destination” tiene la IP de
nuestro ordenador.
En la parte media del Wireshark podemos encontrar información acerca del análisis de tráfico
del ICMP. A continuación, analizaremos cada uno de ellos:
a. Trama (Frame)

En esta parte, muestra información sobre el tiempo que tardo en realizarse el análisis
de tráfico de cada paquete.
 Ilustración 15. Información del paquete seleccionado

b. Ethernet

En el Ethernet, se muestra la dirección física del destino y origen. El destino está compuesto
por una dirección MAC de la tarjeta NIC, que pertenece al router (puerta de enlace) y el
fabricante que en este caso es BluCastl. También muestra al origen, que es la máquina que
hizo uso del comando “ping”, de igual forma indica la dirección MAC y el fabricante. Y
por último muestra lo que está encapsulado en la trama, en este caso la IPv4.

Ilustración 16. Dirección MAC

c. IPv4

En este caso se especifica la dirección física, del destino y origen que como se puede
observar coincide con las direcciones IP que se visualizaron en el cmd, tanto de la IPv4 que
sería nuestro origen (192.168.1.58) y de la puerta de enlace que es nuestro destino
(192.168.1.1), así como también se puede visualizar el protocolo que se usó que en este
caso es el protocolo ICMP.

Ilustración 17. Dirección IPv4

d. ICMP (Internet Control Message Protocol)

Dado que la trama seleccionada fue una solicitud, el tipo debe ser 8, es decir, “Echo (ping)
request”, en caso de ser una respuesta a esa solicitud su tipo sería 0. El código tanto para la
solicitud y respuesta vas a ser 0. El identificado y número de secuencia se utiliza para
asociar cada Echo Request a cada Echo Reply.

Ilustración 18. Protocolo ICMP

ESTADÍSTICAS

Ilustración 19. Estadísticas generadas por el protocolo ICMP

Ilustración 20. Gráfico estadístico de ICMP

UDP
Para poder analizar el tráfico de paquetes del protocolo UDP, utilizamos el comando
“nslookup” en nuestro terminal o podemos reproducir un video en Youtube el cual nos
permitirá revisar el táfico de red. Primero analizaremos a través del comando nslookup:
1. Abrir el cmd y colocar el comando nslookup seguido de la ip de Google (8.8.8.8)

Ilustración 21. Uso del comando nslookup

2. Abrir Wireshark y observar el tráfico de paquetes. Para visualizar únicamente del

protocolo UDP, en la barra de filtrado colocamos “udp”.

Ilustración 22. Tráfico de red producido por el protocolo UDP

Al igual que para el protocolo ICMP, UDP también está compuesto de una parte
superior que vendría a ser la cabecera, donde se indica la IP de origen y destino, así
como también el protocolo. La parte media indica la información de PDU de la trama
seleccionada y la parte inferior muestra los datos no procesados, pero en formato
hexadecimal.

Ilustración 23. Información de la trama seleccionada

Como se puede observar en sección del medio de Wireshark, se encuentra la

información de la trama seleccionada, donde se muestra el número de trama, longitud
y la hora en la que el paquete fue entregado a su destino.

Ilustración 24. Dirección MAC del destino y origen

En la parte de Ethernet, se muestra la dirección física (MAC) tanto del origen como del
destino, así como también el fabricante de cada uno.

Ilustración 25. Dirección IPv4 de origen y destino

Por otro lado, en la IPv4, se muestra la dirección lógica del destino y origen, el
protocolo que se está usando en este caso UDP y el checksum o la suma de control, el
cual nos permite comprobar que los datos recibidos son correctos.

Ilustración 26. Protocolo UDP

Por último, se encuentra el UDP (User Datagram Protocol) donde se indica el puerto
tanto del origen como del destino. El puerto 443 corresponde al protocolo UDP y el
puerto 49834 que sería nuestro ordenador, la longitud y nuevamente el checksum.
Ahora analizaremos con la reproducción de un video en Youtube:
a. Primero abrimos Wireshark y buscamos en el filtro, el protocolo UDP, una vez
que se esté ejecutando, vamos a Youtube y reproducimos un video.
Observamos como en Wireshark empieza a visualizarse el tráfico de UDP. Al
igual que con “nslookup”, cada trama tendrá su respectiva información, así
como también la dirección MAC e IPv4 tanto de origen como destino. También
se podrá observar información sobre el protocolo que se está analizando, en este
caso UDP.

Ilustración 27. Tráfico de UDP a través de la reproducción de un video

ESTADISTICAS

Ilustración 28. Estadísticas del protocolo UDP

Ilustración 29. Gráfico estadístico del protocolo UDP

HTTP
1. Primero es preferible deshabilitar la opción allow subdissector to reassemble TCP

streams TCP streams que se encuentra en las preferencias esto evitará que los paquetes

se dividan en múltiples unidades de PDU.

 Ilustración 30. Pantalla para deshabilitar la opción de subdissector del TC

2. Ahora necesitamos la dirección IP del sitio, para obtenerla hay que filtrar los paquetes

DNS, para esto escriba "dns" en el campo de filtros y aplique, esto le mostrará los

paquetes DNS, hay que examinar el contenido de los paquetes "Standart Querry

Response" hasta encontrar la dirección IP del sitio www.carulla.com

Ilustración 31. Paquetes DNS

 Ilustración 32. Paquete de respuesta a www.carulla.com

3. Como se puede observar la dirección IP de www.carulla.com es 199.83.132.14, con ese

dato ya es posible filtrar los paquetes enviados a y desde esa dirección, para hacer esto

basta aplicar el filtro "ip.adrr == 199.83.132.14" en el campo de filtros, tras hacer esto

la pantalla solo mostrará los paquetes que se enviaron a y desde esa dirección IP.

Ilustración 33. Paquetes enviados a y desde 199.83.132.14

Puede observarse que la columna "Protocol" indica que protocolo sigue un paquete en

particular, y que hay paquetes que siguen varios protocolos enviados a y desde la dirección de

carulla.com, como solo deseamos examinar los paquetes de un protocolo en particular haremos

uso de una característica de los filtros de Wireshark, el poder usar conectores lógicos.

4. El filtro que aplicaremos deberá mostrar los paquetes enviados y recibidos desde

199.83.132.14 y que sean del protocolo HTTP, esto se expresa de la siguiente manera
 "ip.adrr == 199.83.132.14 && http", basta con escribir esa expresión en el campo de

filtro y aplicar para conseguir el resultado.

Ilustración 34. Paquetes HTTP enviados/recibidos desde 128.30.52.37

HTTPS
1. Se trata de ingresar al localhost el cual cuenta con su respectiva encriptación el cual

tiene como source:127.0.0.1 el cual tiene una respectiva clave que es un ejemplo de

tráfico HTTPS con cifrado SSL.

Ilustración 35. Protocolos HTTPS

Se puede observar a simple vista las siguientes características de este protocolo:

● 3 way handshake está sucediendo,

● Hello desde el cliente SSL y luego el reconocimiento de Server

● Server Hello y luego ACK

● Se intercambia alguna información clave y de cifrado

● Finalmente comienza a intercambiar datos.

2. Entonces si hacemos clic en cualquier dato de la aplicación que los datos son ilegibles

para nosotros es todo irreconocible, pero con wireshark podemos descifrar esos datos

sólo lo que necesitamos es la clave privada del servidor.

 Ilustración 36. Application Data

Ahora debemos ir a las preferencias de Wireshark y en los protocolos del mismo en el

protocolo SSL debemos colocar los siguientes datos:

● IP address: 127.0.0.1

● Port: 443

● Protocol: http

● Key File:

https://wiki.wireshark.org/SampleCaptures?action=AttachFile&do=get&target=snake

oil2_070531.tgz

Ilustración 37. Ingreso de la clave de acceso

Se puede ver ya los datos de la aplicación sin ninguna restricción

Ilustración 38. Visualización de los paquetes HTTP

4. Análisis de los paquetes

HTTP:

HTTP GET

Después del proceso de 3 way handshake TCP 3-way [paquetes SYN, SYN ACK y aCK] se

hace la petición HTTP GET se envía al servidor y aquí están los campos importantes en el

paquete.

1. Request Method: GET ==> El paquete es HTTP GET.

2. Request URI: /wireshark-labs/alice.txt ==>El cliente está pidiendo el archivo

alice.txt presente en /Wireshark-labs

3. Request version: HTTP/1.1 ==> Es la version HTTP 1.1

4. Accept: text/html, application/xhtml+xml, image/jxr, */* ==>Informa al servidor

sobre el tipo de archivo que [navegador del lado cliente] puede aceptar. Aquí el cliente

espera alice.txt que es el tipo de texto.

5. Accept-Language: en-US ==> Estándar de idioma aceptado.

6. User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0) like

Gecko ==> Tipo de navegador del lado cliente. Incluso si usamos el explorador de

Internet, pero lo vemos siempre / tiempo máximo dice Mozilla

 7. Accept-Encoding: gzip, deflate ==>Codificación aceptada en el lado del cliente.

8. Host: gaia.cs.umass.edu ==>Este es el nombre del servidor web donde el cliente envía

la solicitud HTTP GET.

9. Connection: Keep-Alive ==> La conexión controla si la conexión de red permanece

abierta una vez finalizada la transacción actual. El tipo de conexión es mantener vivo.

Ilustración 39. Paquetes GET

HTTP OK

Después de que los datos TCP [contenido de alice.txt] se envíe con éxito HTTP OK se envía

al cliente y aquí están los campos importantes en el paquete.

1. Response Version: HTTP/1.1 ==> Aquí el servidor también en la versión 1.1 HTTP

2. Status Code: 200 ==>Código de estado enviado por el servidor.

3. Response Phrase: OK ==> Frase de respuesta enviada por el servidor.

4. Date: Sun, 10 Feb 2019 06:24:19 GMT ==>Fecha actual , hora en GMT cuando HTTP

GET fue recibido por el servidor.

5. Server: Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/5.4.16 mod_perl/2.0.10

Perl/v5.16.3 ==> Detalles del servidor y versiones de configuración.

 6. Last-Modified: Sun, 27 Oct 2019 14:21:11 GMT ==> La fecha y hora modificadas

para el archivo "alice.txt".

7. ETag: “2524a-3e22aba3a03c0” ==>El ETag indica que el contenido no se cambia

para ayudar al almacenamiento en caché y mejorar el rendimiento. O bien, si el

contenido ha cambiado, los etags son útiles para evitar que las actualizaciones

simultáneas de un recurso se sobrescriben entre sí.

8. Accept-Ranges: bytes ==> Byte es la unidad utilizada en el servidor para el contenido.

9. Content-Length: 152138 ==> Esta es la longitud total de alice.txt en bytes.

10. Keep-Alive: timeout=5, max=100 ==> Mantiene vivos los parámetros.

11. Connection: Keep-Alive ==> La conexión controla si la conexión de red permanece

abierta una vez finalizada la transacción actual. El tipo de conexión es mantener vivo.

12. Content-Type: text/plain; charset=UTF-8 ==> El tipo de contenido [alice.txt] es text

y charset standard es UTF-8.

Ilustración 40. Paquetes OK

HTTPS:

Cuenta con los mismos paquetes que HTTP

HTTPS GET
 Ilustración 41. Paquetes GET HTTPS

HTTPS OK

Ilustración 42. Paquetes OK HTTPS

5. Estadísticas

HTTP

Packet Counter Ethernet: Estadísticas de tipos de solicitud HTTP y códigos de respuesta

Ilustración 43. Packet counter estadísticas

Requests Ethernet: Estadísticas HTTP basadas en el host y el URI

Ilustración 44. Requests estadísticas

Load distribution Ethernet: Estadísticas de solicitud y respuesta HTTP basadas en la

dirección del servidor y el host.

Ilustración 45. Load distribution estadísticas

Request Sequences Ethernet: Las secuencias de solicitudes HTTP utilizan los encabezados

Referer y Location de HTTP para secuenciar las solicitudes HTTP de una captura como un

árbol. Esto permite a los analistas ver cómo una solicitud HTTP conduce a la siguiente.
 Ilustración 46. Request Sequences estadísticas

Gráfico I/O: Se coloco un filtrado de HTTP para poder verificar la cantidad de paquetes que

se envió en función del tiempo.

Ilustración 47. Gráfico I/O HTTP

HTTPS

Packet Counter Ethernet: Estadísticas de tipos de solicitud HTTP y códigos de respuesta

 Ilustración 48. Packet counter estadísticas HTTPS

Requests Ethernet: Estadísticas HTTP basadas en el host y el URI

Ilustración 49. Requests estadísticas HTTPS

Load distribution Ethernet: Estadísticas de solicitud y respuesta HTTP basadas en la

dirección del servidor y el host.

Ilustración 50. Load distribution estadísticas HTTPS

Request Sequences Ethernet: Las secuencias de solicitudes HTTP utilizan los encabezados

Referer y Location de HTTP para secuenciar las solicitudes HTTP de una captura como un

árbol. Esto permite a los analistas ver cómo una solicitud HTTP conduce a la siguiente.

Ilustración 51. Request Sequences estadísticas HTTPS

7. Resultados
1. Se logró utilizar de manera correctamente la herramienta de Wireshark con todos sus

elementos para poder hacer la respectiva filtración de los paquetes.

2. Se obtuvo todos los paquetes correspondientes del protocolo HTTP que son similares

al del protocolo HTTPS.

3. Se pudo comprobar que el protocolo HTTPS es seguro ya que cuenta con una clave de

encriptación SSL por lo cual para poder observar la información de los protocolos

HTTP GET y HTTP OK se debe tener la clave de encriptación.

4. Se obtuvo los diferentes tipos de estadísticas que cuenta Wireshark con el protocolo

HTTP los cuales son muy útiles para analizar el tráfico del mismo gráficamente y

también textualmente.

8. Conclusiones
1. Experimentalmente esta actividad ayuda a tener los conocimientos básicos para un

sistema de redes, entre algunos comandos como el ping, que es uno de los más básicos

e importantes en el ámbito de redes

2. Wireshark es una herramienta interesante cuando se quiere armar una red local y

verificar si las interfaces de comunicación a través de TCP/IP están conectados.

3. Además, esta herramienta de monitoreo de tráfico, permite estudiar el paso de mensajes

que se producen entre computadores dentro de una red y conocer las cabeceras que se

van añadiendo a medida que bajan o suben por las capas TCP/IP.

4. Wireshark viene provisto de innumerables funcionalidades gracias a las cuales

podremos identificar y analizar múltiples problemas de red, no solo aquellos causados

por malas configuraciones o fallos en dispositivos sino también un gran abanico de

ataques, externos e internos, que pueden tomar diversas formas.

5. Hemos definido varios métodos para analizar tráfico con Wireshark dependiendo de las

circunstancias y los medios disponibles.

6. Se han expuesto varios ejemplos con filtros, mediante los cuales podemos depurar y ser

más rigurosos en el análisis de tráfico.

7. HTTPS utiliza una combinación de dos protocolos (HTTP+SSL/TLS) que hace que

cualquier tipo de información que se transmita en la red sea cifrada y nadie pueda

acceder a ella, únicamente navegador y servidor web. Y para ello es necesario que tu

web tenga instalado un Certificado SSL.

8. La principal diferencia entre HTTP y HTTPS es la seguridad. El protocolo HTTPS

impide que otros usuarios puedan interceptar la información que se transfiere entre el

cliente y el servidor web.

9. Referencias Bibliográficas
1. Z. Martínez and R. Carlos, “Análisis y captura de paquetes de datos en una red
mediante la herramienta Wireshark,” 2011.
2. Roblenado, A. (2019, 18 junio). Qué es TCP/IP. Recuperado 25 octubre, 2019, de
https://openwebinars.net/blog/que-es-tcpip/
3. Alcalá, U. d. (14 de Febrero de 2011). Universidad de Alcalá. Recuperado el 27 de
Octubre de 2019, de http://atc2.aut.uah.es/~jmruiz/Descarga_LE/PRACTICA3-
MANUAL_WIRESARK.pdf
4. Gecko & Fly. (11 de Junio de 2019). Recuperado el 27 de Octubre de 2019, de
https://www.geckoandfly.com/32055/network-protocol-analyzer/
5. InetDaemon. (19 de Mayo de 2018). InetDaemon. Recuperado el 27 de Octubre de
2019, de https://www.inetdaemon.com/tutorials/internet/tcp/3-way_handshake.shtml
6. Rai, S. (5 de Octubre de 2017). GeeksforGeeks. Recuperado el 27 de Octubre de
2019, de https://www.geeksforgeeks.org/tcp-3-way-handshake-process/
7. Rouse, M. (15 de Agosto de 2006). Search Networking. Recuperado el 27 de Octubre
de 2019, de https://searchnetworking.techtarget.com/definition/network-analyzer