Beruflich Dokumente
Kultur Dokumente
Integrantes:
Sebastián Zúñiga
Fernanda Galárraga
2. Objetivos:
1. Iniciar el aprendizaje de administración de redes.
4. Poder realizar capturas básicas de la unidad de datos del protocolo (PDU) mediante el
uso de Wireshark.
visualización de filtrado.
7. Extraer resultados y conclusiones a partir de los paquetes capturados en cada uno de los
casos.
8. Aprender acerca del uso del simulador de redes en este caso tomando como herramienta
Wireshark.
9. Mostrar las correspondientes estadísticas de los paquetes de cada uno de los filtrados
3. Materiales:
1. Wireshark
2. Internet
4. Marco Teórico
TCP/IP
La definición de TCP/IP es la identificación del grupo de protocolos de red que hacen posible
la transferencia de datos en redes, entre equipos informáticos e internet. Las siglas TCP/IP
fiable de datos.
punto decimal (como por ejemplo 75.4.160.25). Este protocolo lleva los datos a otras
máquinas de la red.
El modelo TCP/IP permite un intercambio de datos fiable dentro de una red, definiendo los
pasos a seguir desde que se envían los datos (en paquetes) hasta que son recibidos. Para lograrlo
utiliza un sistema de capas con jerarquías (se construye una capa a continuación de la anterior)
que se comunican únicamente con su capa superior (a la que envía resultados) y su capa inferior
Dentro del modelo TCP/IP existen cuatro niveles o capas que hay que tener en cuenta.
Nivel de enlace o acceso a la red: es la primera capa del modelo y ofrece la posibilidad de
acceso físico a la red (que bien puede ser en anillo, ethernet, etc.), especificando el modo en
que los datos deben enrutar independientemente del tipo de red utilizado.
direcciones IP. (Los datagramas son paquetes de datos que constituyen el mínimo de
información en una red). Esta capa es considerada la más importante y engloba protocolos
Nivel de Transporte: permiten conocer el estado de la transmisión así como los datos de
enrutamiento y utilizan los puertos para asociar un tipo de aplicación con un tipo de dato.
Nivel de Aplicación: es la parte superior del protocolo TCP/IP y suministra las aplicaciones
de red tip Telnet, FTP o SMTP, que se comunican con las capas anteriores (con protocolos
TCP o UDP).
La capas del modelo TCP/IP coinciden con algunas capas del modelo teórico OSI, aunque
tienen tareas mucha más diversas.La importancia del protocolo TCP/IP es muy elevada ya que
permite que los datos enviados lleguen a su destino sin errores y bajo la misma forma en la que
fueron enviados.
Ilustración 1. Comparación de las capas del Modelo OSI y del Modelo TCP/IP
● TCP/IP ofrece ventajas significativas respecto a otros protocolos de red. Una de esas
ventajas es que es capaz de trabajar sobre una extensa gama de hardware y soporta
● TCP/IP es adecuado tanto para grandes y medianas redes como para redes
empresariales o domésticas.
● TCP/IP está diseñado para enrutar y además presenta gran compatibilidad con las
● Es el protocolo estándar que se utiliza a nivel mundial para conectarse a internet y a los
servidores web.
● En redes con bajo volumen de tráfico puede llegar a ser más lento (en redes con mayor
volumen de tráfico, que necesiten gran cantidad de enrutamiento, puede ser mucho más
rápido).
gran rendimiento.
Protocolos
Las redes modernas se componen de una variedad de sistemas que se ejecutan en diferentes
llamados protocolos.
Una pila de protocolos es una agrupación lógica de los protocolos que trabajan juntos. Los
protocolos trabajan en gran parte del mismo modo, lo que nos permite definir el número de
paquetes deben ser colocados, como iniciar una conexión y la forma de asegurar el recibimiento
de los datos. Un protocolo puede ser muy simple o muy complejo, dependiendo de su función.
11/tcp systat Servicio del sistema para listar los puertos conectados
53/udp FaceTime
ficheros
512/tcp exec
513/tcp Rlogin
EVENTO DIAGRAMA
Puede darse cuenta del mecanismo anterior que se intercambian tres segmentos entre el
remitente (cliente) y el receptor (servidor) para que se establezca una conexión TCP confiable.
Veamos cómo funciona este mecanismo (Rai, 2017):
Ilustración 2. Proceso 3 Way Handshake
• Paso 1 (SYN): en el primer paso, el cliente desea establecer una conexión con el servidor,
por lo que envía un segmento con SYN (Sincronizar Número de Secuencia) que informa
al servidor que es probable que el cliente inicie la comunicación y con qué número de
secuencia comienza los segmentos.
• Paso 2 (SYN + ACK): el servidor responde a la solicitud del cliente con los bits de señal
SYN-ACK establecidos. El Reconocimiento (ACK) significa la respuesta del segmento
que recibió y SYN indica con qué número de secuencia es probable que comience los
segmentos
• Paso 3 (ACK): en la parte final, el cliente reconoce la respuesta del servidor y ambos
establecen una conexión confiable con la que comenzarán la transferencia de datos real
Los pasos 1, 2 establecen el parámetro de conexión (número de secuencia) para una dirección
y se confirma. Los pasos 2, 3 establecen el parámetro de conexión (número de secuencia) para
la otra dirección y se confirma. Con estos, se establece una comunicación full-duplex.
Algunos de los analizadores de protocolos, son los siguientes (Gecko & Fly, 2019):
1. Wireshark
Es el analizador de protocolos de red más utilizado y ampliamente utilizado en el
mundo. Le permite ver lo que sucede en su red a nivel microscópico y es el estándar de
facto (y a menudo de jure) en muchas empresas comerciales y sin fines de lucro,
agencias gubernamentales e instituciones educativas.
Ilustración 3. Wireshark
2. TCPDUMP
Es un analizador de paquetes común que se ejecuta bajo la línea de comando. Permite
al usuario interceptar y mostrar TCP / IP y otros paquetes que se transmiten o reciben a
través de una red a la que está conectada la computadora. tcpdump imprime el contenido
de los paquetes de red. Puede leer paquetes desde una tarjeta de interfaz de red o desde
un archivo de paquete guardado previamente creado. tcpdump puede escribir paquetes
en la salida estándar o en un archivo.
Ilustración 4. TCPDUMP
3. Message Analyzer
Permite capturar, mostrar y analizar el tráfico de mensajes de protocolo; y para rastrear
y evaluar eventos del sistema y otros mensajes de componentes de Windows. Message
Analyzer le permite mostrar trazas, registros y otros datos de mensajes en numerosos
formatos de visor de datos, incluida una vista de cuadrícula de árbol predeterminada.
4. Nirsoft SmartSniff
Es una utilidad de monitoreo de red que le permite capturar paquetes TCP / IP que pasan
a través de su adaptador de red y ver los datos capturados como una secuencia de
conversaciones entre clientes y servidores. Puede ver las conversaciones TCP / IP en
modo ASCII (para protocolos basados en texto, como HTTP, SMTP, POP3 y FTP) o
como volcado hexadecimal. (para protocolos base que no son de texto, como DNS).
Ilustración 6. SmartSniff
5. Diseño
6. Desarrollo
Proceso
1. Paquetes ICMP
2. Paquetes UDP/RTP
ICMP
1. Ingresar al cmd y ver la configuración de la interfaz de red del computador con el
comando ipconfig.
Ilustración 8. Identificar la IP de nuestro ordenador
Al dar clic se puede observar que la información del tráfico de red se empieza a
desplazar. Las líneas de datos aparecen en diferentes colores según el protocolo.
Ilustración 10. Tráfico de red de WiFi
Como se puede observar no aparece nada al filtrar el protocolo ICMP, esto es porque
aún no hemos hecho uso del comando ping en nuestra terminal.
Ilustración 12. Tráfico de red de ICMP
Una vez que se hizo uso del comando ping, se puede observar en Wireshark el tráfico
del protocolo ICMP.
Ilustración 14. Trafico de ICMP al ejecutar el comando ping
Los datos de Wireshark se dividen en tres secciones, la primera es la parte superior donde se
muestran las tramas de PDU capturadas sobre la información de los paquetes IP, tanto recibidos
como los enviados. La parte del medio indica información de la PDU para la trama seleccionada
en la parte superior y separa una trama capturada por las capadas del protocolo ICMP y por
último la parte inferior muestra los datos sin procesar los cuales se muestran en formato
hexadecimal y decimal.
Al dar clic en una de las tramas de la solicitud ICMP, se puede observar que la columna
“source” tiene la IP del router (puerta de enlace) y la columna “destination” tiene la IP de
nuestro ordenador.
En la parte media del Wireshark podemos encontrar información acerca del análisis de tráfico
del ICMP. A continuación, analizaremos cada uno de ellos:
a. Trama (Frame)
En esta parte, muestra información sobre el tiempo que tardo en realizarse el análisis
de tráfico de cada paquete.
Ilustración 15. Información del paquete seleccionado
b. Ethernet
En el Ethernet, se muestra la dirección física del destino y origen. El destino está compuesto
por una dirección MAC de la tarjeta NIC, que pertenece al router (puerta de enlace) y el
fabricante que en este caso es BluCastl. También muestra al origen, que es la máquina que
hizo uso del comando “ping”, de igual forma indica la dirección MAC y el fabricante. Y
por último muestra lo que está encapsulado en la trama, en este caso la IPv4.
c. IPv4
En este caso se especifica la dirección física, del destino y origen que como se puede
observar coincide con las direcciones IP que se visualizaron en el cmd, tanto de la IPv4 que
sería nuestro origen (192.168.1.58) y de la puerta de enlace que es nuestro destino
(192.168.1.1), así como también se puede visualizar el protocolo que se usó que en este
caso es el protocolo ICMP.
Dado que la trama seleccionada fue una solicitud, el tipo debe ser 8, es decir, “Echo (ping)
request”, en caso de ser una respuesta a esa solicitud su tipo sería 0. El código tanto para la
solicitud y respuesta vas a ser 0. El identificado y número de secuencia se utiliza para
asociar cada Echo Request a cada Echo Reply.
ESTADÍSTICAS
En la parte de Ethernet, se muestra la dirección física (MAC) tanto del origen como del
destino, así como también el fabricante de cada uno.
Por último, se encuentra el UDP (User Datagram Protocol) donde se indica el puerto
tanto del origen como del destino. El puerto 443 corresponde al protocolo UDP y el
puerto 49834 que sería nuestro ordenador, la longitud y nuevamente el checksum.
Ahora analizaremos con la reproducción de un video en Youtube:
a. Primero abrimos Wireshark y buscamos en el filtro, el protocolo UDP, una vez
que se esté ejecutando, vamos a Youtube y reproducimos un video.
Observamos como en Wireshark empieza a visualizarse el tráfico de UDP. Al
igual que con “nslookup”, cada trama tendrá su respectiva información, así
como también la dirección MAC e IPv4 tanto de origen como destino. También
se podrá observar información sobre el protocolo que se está analizando, en este
caso UDP.
HTTP
1. Primero es preferible deshabilitar la opción allow subdissector to reassemble TCP
streams TCP streams que se encuentra en las preferencias esto evitará que los paquetes
2. Ahora necesitamos la dirección IP del sitio, para obtenerla hay que filtrar los paquetes
DNS, para esto escriba "dns" en el campo de filtros y aplique, esto le mostrará los
paquetes DNS, hay que examinar el contenido de los paquetes "Standart Querry
dato ya es posible filtrar los paquetes enviados a y desde esa dirección, para hacer esto
basta aplicar el filtro "ip.adrr == 199.83.132.14" en el campo de filtros, tras hacer esto
la pantalla solo mostrará los paquetes que se enviaron a y desde esa dirección IP.
Puede observarse que la columna "Protocol" indica que protocolo sigue un paquete en
particular, y que hay paquetes que siguen varios protocolos enviados a y desde la dirección de
carulla.com, como solo deseamos examinar los paquetes de un protocolo en particular haremos
uso de una característica de los filtros de Wireshark, el poder usar conectores lógicos.
4. El filtro que aplicaremos deberá mostrar los paquetes enviados y recibidos desde
199.83.132.14 y que sean del protocolo HTTP, esto se expresa de la siguiente manera
"ip.adrr == 199.83.132.14 && http", basta con escribir esa expresión en el campo de
HTTPS
1. Se trata de ingresar al localhost el cual cuenta con su respectiva encriptación el cual
tiene como source:127.0.0.1 el cual tiene una respectiva clave que es un ejemplo de
2. Entonces si hacemos clic en cualquier dato de la aplicación que los datos son ilegibles
para nosotros es todo irreconocible, pero con wireshark podemos descifrar esos datos
● IP address: 127.0.0.1
● Port: 443
● Protocol: http
● Key File:
https://wiki.wireshark.org/SampleCaptures?action=AttachFile&do=get&target=snake
oil2_070531.tgz
HTTP:
HTTP GET
Después del proceso de 3 way handshake TCP 3-way [paquetes SYN, SYN ACK y aCK] se
hace la petición HTTP GET se envía al servidor y aquí están los campos importantes en el
paquete.
sobre el tipo de archivo que [navegador del lado cliente] puede aceptar. Aquí el cliente
Gecko ==> Tipo de navegador del lado cliente. Incluso si usamos el explorador de
8. Host: gaia.cs.umass.edu ==>Este es el nombre del servidor web donde el cliente envía
abierta una vez finalizada la transacción actual. El tipo de conexión es mantener vivo.
HTTP OK
Después de que los datos TCP [contenido de alice.txt] se envíe con éxito HTTP OK se envía
1. Response Version: HTTP/1.1 ==> Aquí el servidor también en la versión 1.1 HTTP
4. Date: Sun, 10 Feb 2019 06:24:19 GMT ==>Fecha actual , hora en GMT cuando HTTP
contenido ha cambiado, los etags son útiles para evitar que las actualizaciones
abierta una vez finalizada la transacción actual. El tipo de conexión es mantener vivo.
HTTPS:
HTTPS GET
Ilustración 41. Paquetes GET HTTPS
HTTPS OK
5. Estadísticas
HTTP
Request Sequences Ethernet: Las secuencias de solicitudes HTTP utilizan los encabezados
Referer y Location de HTTP para secuenciar las solicitudes HTTP de una captura como un
árbol. Esto permite a los analistas ver cómo una solicitud HTTP conduce a la siguiente.
Ilustración 46. Request Sequences estadísticas
Gráfico I/O: Se coloco un filtrado de HTTP para poder verificar la cantidad de paquetes que
HTTPS
Referer y Location de HTTP para secuenciar las solicitudes HTTP de una captura como un
árbol. Esto permite a los analistas ver cómo una solicitud HTTP conduce a la siguiente.
7. Resultados
1. Se logró utilizar de manera correctamente la herramienta de Wireshark con todos sus
2. Se obtuvo todos los paquetes correspondientes del protocolo HTTP que son similares
3. Se pudo comprobar que el protocolo HTTPS es seguro ya que cuenta con una clave de
encriptación SSL por lo cual para poder observar la información de los protocolos
4. Se obtuvo los diferentes tipos de estadísticas que cuenta Wireshark con el protocolo
HTTP los cuales son muy útiles para analizar el tráfico del mismo gráficamente y
también textualmente.
8. Conclusiones
1. Experimentalmente esta actividad ayuda a tener los conocimientos básicos para un
sistema de redes, entre algunos comandos como el ping, que es uno de los más básicos
que se producen entre computadores dentro de una red y conocer las cabeceras que se
van añadiendo a medida que bajan o suben por las capas TCP/IP.
5. Hemos definido varios métodos para analizar tráfico con Wireshark dependiendo de las
6. Se han expuesto varios ejemplos con filtros, mediante los cuales podemos depurar y ser
7. HTTPS utiliza una combinación de dos protocolos (HTTP+SSL/TLS) que hace que
cualquier tipo de información que se transmita en la red sea cifrada y nadie pueda
acceder a ella, únicamente navegador y servidor web. Y para ello es necesario que tu
impide que otros usuarios puedan interceptar la información que se transfiere entre el
9. Referencias Bibliográficas
1. Z. Martínez and R. Carlos, “Análisis y captura de paquetes de datos en una red
mediante la herramienta Wireshark,” 2011.
2. Roblenado, A. (2019, 18 junio). Qué es TCP/IP. Recuperado 25 octubre, 2019, de
https://openwebinars.net/blog/que-es-tcpip/
3. Alcalá, U. d. (14 de Febrero de 2011). Universidad de Alcalá. Recuperado el 27 de
Octubre de 2019, de http://atc2.aut.uah.es/~jmruiz/Descarga_LE/PRACTICA3-
MANUAL_WIRESARK.pdf
4. Gecko & Fly. (11 de Junio de 2019). Recuperado el 27 de Octubre de 2019, de
https://www.geckoandfly.com/32055/network-protocol-analyzer/
5. InetDaemon. (19 de Mayo de 2018). InetDaemon. Recuperado el 27 de Octubre de
2019, de https://www.inetdaemon.com/tutorials/internet/tcp/3-way_handshake.shtml
6. Rai, S. (5 de Octubre de 2017). GeeksforGeeks. Recuperado el 27 de Octubre de
2019, de https://www.geeksforgeeks.org/tcp-3-way-handshake-process/
7. Rouse, M. (15 de Agosto de 2006). Search Networking. Recuperado el 27 de Octubre
de 2019, de https://searchnetworking.techtarget.com/definition/network-analyzer