EUITI-UPM

Laboratorio de Redes de Computadores

3. Anlisis de trfico en
una LAN
3.1 Introduccin
En esta prctica se va a trabajar sobre la misma configuracin de red
utilizada en la prctica anterior (Figura 32) y se van a hacer ejercicios muy
similares, pero en este caso observando y analizando el trfico de paquetes
que circula por la red. Para ello, conviene repasar todos los conceptos tericos
introducidos en la prctica anterior, por ejemplo, el encapsulado y la
demultiplexacin de los protocolos.

PC

PC

Switch

PC

PC

FIGURA 32.

Red de cuatro ordenadores interconectados a travs de un switch.

Para observar y analizar el trfico en una red se utilizan herramientas

que monitorizan y presentan el trfico binario de la red en un forma inteligible
J. Muoz. Versin 1.

- 42 -

EUITI-UPM

Laboratorio de Redes de Computadores

para las personas. Estas herramientas se denominan analizadores de

protocolos de red7. En el laboratorio vamos a utilizar el analizador de redes
Wireshark8 que est incluido entre las aplicaciones que incorpora Knoppix.
Un analizador de protocolos de red configura la interfaz de red en un
modo denominado modo promiscuo que puede capturar todo el trfico que
circula por la red9. La Figura 33 muestra la arquitectura software de un
analizador de protocolos de red en Linux con una tarjeta de red Ethernet. Un
analizador como Wireshark se comunica con un elemento del kernel
(componente central del sistema operativo) denominado filtro socket que
puede configurar el driver de la tarjeta de Ethernet para obtener una copia de
las trazas transmitidas y recibidas por ella.

Wireshark
Kernel de Linux
TCP/IP

Filtro
Socket

Copia de las trazas

transmitidas y recibidas

Driver
Ethernet

Tarjeta
Ethernet
Red Ethernet

FIGURA 33.

Arquitectura software de un analizador de protocolos de red en Linux.

En ingls se denominan Network Protocol Analizers o Packet Sniffers (olfateadores

de paquetes).
8

Puede descargarse de http://www.wireshark.org/ no slo para Linux, sino tambin

para otros sistemas operativos como Windows, MAC OS o Solarix.

9

En las redes reales, por cuestiones de seguridad, no se permite a los usuarios

capturar ni analizar el trfico de una red, lo cul suele estar restringido al administrador.

J. Muoz. Versin 1.

- 43 -

EUITI-UPM

Laboratorio de Redes de Computadores

3.2 Wireshark
En este apartado se describen algunas caractersticas bsicas de
Wireshark que sern de utilidad para la realizacin de esta prctica.
Cuando se ejecuta Wireshark (Men K Internet Wireshark (as root))
y se realiza una captura de trfico, ms adelante veremos cmo hacerlo,
aparece una ventana como la que se muestra en la Figura 34. La ventana est
dividida en tres zonas en la que se muestra el trfico capturado en diferentes
formatos.

Zona
superior

Zona
intermedia

Zona
inferior
FIGURA 34.

Ventana de Wireshark.

La zona superior muestra todos los paquetes capturados, uno por lnea.
Cada lnea contiene el orden y el tiempo de captura, el origen y el destino del
paquete, el protocolo encapsulado e informacin adicional. Al seleccionar un
paquete, su contenido se muestra en las dos zonas siguientes.
La zona intermedia muestra los protocolos, uno por lnea, del paquete
seleccionado. Cada protocolo puede desplegarse pulsando sobre la pestaa de
la izquierda para mostrar ms informacin o contraerse, para ocupar una sola
lnea, pulsando sobre la misma pestaa.
La zona inferior muestra el contenido binario de cada traza en
hexadecimal (a la izquierda) y en ASCII (a la derecha).
J. Muoz. Versin 1.

- 44 -

EUITI-UPM

Laboratorio de Redes de Computadores

3.2.1 Captura de trfico

Antes de iniciar una captura de trfico hay que seleccionar la interfaz de
red que se va a utilizar. Para ello, seleccione en el men Capture que aparece
la barra de superior el submen Options, tal y como se representa en la
Figura 35. Al hacerlo, aparecer una ventana de opciones de captura como la
de la Figura 36. Para seleccionar la interfaz, despliegue la pestaa (T) que
aparece en la primera lnea (Interface) y elija la tarjeta Ethernet. Si lo ha
hecho correctamente, en la lnea siguiente (IP address) aparecer la direccin
IP de su ordenador.

FIGURA 35.

Seleccin de opciones de captura.

FIGURA 36.

Ventana de opciones de captura.

J. Muoz. Versin 1.

- 45 -

EUITI-UPM

Laboratorio de Redes de Computadores

Para iniciar una captura de trfico puede seleccionar la opcin Start del
men Capture (Figura 35) o de la Ventana de Opciones (Figura 36). Para
capturar datos en el modo promiscuo compruebe que la opcin Capture
packets in promiscuous mode est seleccionada en la ventana de opciones. El
modo promiscuo de funcionamiento de la tarjeta de red permite visualizar todo
el trfico que circula por la red local y no slo aquel que va dirigido desde o
hacia la interfaz Ethernet de su propio ordenador.

3.2.2 Filtros de captura

Los filtros permiten capturar slo aquellos paquetes que tengan unas
caractersticas determinadas, por ejemplo, los de una aplicacin. Para
especificar un filtro de captura debe indicarlo en la lnea Capture Filter de la
Ventana de Opciones (Figura 36). Por ejemplo, si queremos capturar el trfico
desde o hacia la direccin IP 198.168.1.25 escribiremos:
host 192.168.1.25

Pulsando sobre el propio botn Capture Filter se abrir una ventana

como la de la Figura 37 en la que pueden seleccionarse algunos filtros
predefinidos en el programa o crear y guardar nuevos filtros.

FIGURA 37.

Ventana de filtros de captura.

J. Muoz. Versin 1.

- 46 -

EUITI-UPM

Laboratorio de Redes de Computadores

Un filtro de captura est formado por una o varias expresiones unidas

por las conjunciones and/or y opcionalmente precedidas por not:
[not] expresin [and|or [not] expresin ...]

La Figura 38 muestra algunas expresiones que pueden utilizarse en los

filtros de captura y la Figura 39 algunos ejemplos de aplicacin.

Expresin

Descripcin

[src|dst] host <host>

Filtrar el trfico desde o hacia el host especificado por

<host>.
Opcionalmente, la expresin host puede ir precedida de
src o dst, para indicar, respectivamente, que slo se estn
interesado en el trfico desde el host (source) o hacia el
host (destination)

ether [src|dst] host <ehost>

Filtra el trfico desde o hacia una direccin Ethernet.

La

opcin

src|dst

tienen

el

significado

contado

anteriormente.
[tcp|udp] [src|dst] port <port>

Filtra el trfico en el puerto (port) especificado.

El archivo /etc/services contiene la lista los puertos que
corresponde a cada aplicacin). Por ejemplo, los puertos
20, 21, 22 y 23 corresponden, respectivamente a ftp-data,
ftp, ssh y telnet.
La opcin tcp|udp permite elegir el trfico TCP o UDP
respectivamente (si se omite, se seleccionarn todos los
paquetes de ambos protocolos).
La

opcin

src|dst

tiene

el

significado

anteriormente.
ip|ether proto <protocol>
FIGURA 38.

Filtra el protocolo especificado (IP o Ethernet)

Expresiones para los filtros de captura.

J. Muoz. Versin 1.

- 47 -

contado

EUITI-UPM

Laboratorio de Redes de Computadores

Filtro

Descripcin

host 192.168.1.10

Captura trfico desde y hacia el host 192.168.1.10

dst host 172.18.5.4

Captura trfico slo hacia el host 172.18.5.4

port 21

Captura trfico FTP

arp

Captura trfico ARP

ip protocol \icmp

Captura trfico ICMP

port 22 and host 10.0.0.5

Captura trfico ssh desde o hacia el host 10.0.0.5

FIGURA 39.

Ejemplos de filtros de captura.

3.2.3 Guardar una captura

Si desea guardar una captura de trfico seleccione en el men File la
opcin Save as (Figura 40) y elija el directorio de destino en el disquete o en
la memoria USB. El fichero de captura se guarda con las extensiones *.pcap o
*.cap de Wireshark que utilizan la mayora de los analizadores de red. Las
capturas pueden abrirse en cualquier otro ordenador que tenga instalado el
programa Wireshark (hay disponible una versin para Windows).

FIGURA 40.

Guardar una captura de trfico.

J. Muoz. Versin 1.

- 48 -

EUITI-UPM

Laboratorio de Redes de Computadores

3.3 Descripcin de la prctica

3.3.1 Configuracin de la red
Configure en su equipo la interfaz eth0 con la direccin IP y la mscara
(/M) siguientes:
Puesto

Direccin IP /M

Puesto

Direccin IP /M

Puesto

Direccin IP /M

192.168.1.2 /24

192.168.3.2 /24

192.168.5.2 /24

192.168.1.3 /24

192.168.3.3 /24

10

192.168.5.3 /24

192.168.1.4 /24

192.168.3.4 /24

11

192.168.5.4 /24

192.168.1.5 /24

192.168.3.5 /24

12

192.168.5.5 /24

La tabla siguiente resume la composicin y las direcciones IP de cada

una de las tres redes.
Puestos

Red

Broadcast

Puerta de enlace

1a4

192.168.1.0

192.168.1.255

192.168.1.1

5a8

192.168.3.0

192.168.3.255

192.168.3.1

9 a 12

192.168.5.0

192.168.5.255

192.168.5.1

3.3.2 Modo promiscuo

1. Inicie una captura de datos asegurndose de que est habilitada la opcin
Capture packets in promiscuous mode en la ventana de opciones de
captura.
2. Sin detener la captura, realice un ping a la direccin IP del ordenador
situado en el puesto ms cercano al suyo.
3. Detenga el ping y la captura de datos.
4. Cuntos paquetes ha capturado? Quines son los remitentes y los
destinatarios de esos paquetes? Qu protocolos aparecen?.
5. Si desea conservar la captura, gurdela ahora.
6. Repita las operaciones anteriores pero deshabilitando el modo promiscuo,
cul es la diferencia?.

J. Muoz. Versin 1.

- 49 -

EUITI-UPM

Laboratorio de Redes de Computadores

7. Habilite de nuevo el modo promiscuo.

8. Si desea conservar la captura, gurdela ahora.

3.3.3 Protocolo ARP

1. Examine la tabla ARP de su ordenador. Si contiene la entrada de la
direccin IP a la que ha realizado el ping en el apartado anterior, brrela:
arp d 192.168.X.X

2. Especifique un filtro para capturar slo los paquetes con origen y destino
en su propia mquina e inicie una captura de datos.
3. Sin detener la captura, ejecute la siguiente orden completando los dos
ltimos bytes con los de la direccin IP del ordenador contiguo al suyo:
ping c1 192.168.X.X

4. Detenga la captura y asegrese de que ha capturado cuatro paquetes,

dos del protocolo ARP y dos del protocolo ICMP. Si no ha sido as, repita
los pasos 1 a 3.
5. Analice el primer paquete. Cul es su tamao total en bytes? Cul es el
tamao de la cabecera de Ethernet II? Cul es la direccin MAC del
destinatario? Y la del remitente? Qu protocolo hay encapsulado en el
paquete?
6. Analice el mensaje ARP encapsulado en el primer paquete y rellene la
siguiente tabla con los campos correspondientes:
Hardware type
Protocol type
Hardware size

Protocol size

Operation code
Sender hardware address
Sender protocol address
Target hardware address
Target protocol address

J. Muoz. Versin 1.

- 50 -

EUITI-UPM

Laboratorio de Redes de Computadores

7. Cul es el tamao del mensaje anterior en bytes? Se trata de un

mensaje de peticin o de una respuesta ARP? En qu campo del
mensaje se especifica el tipo de mensaje?
8. Analice el mensaje ARP encapsulado en el segundo paquete capturado.
Se trata de una peticin o de una respuesta ARP? Quin es el
remitente del paquete? Y el destinatario? Qu informacin contiene el
paquete?
9. Por qu los mensajes ARP no tienen cabecera IP?

3.3.4 Protocolo ICMP

1. Analice el tercer paquete de la captura realizada en el apartado anterior.
2. Cul es la versin del protocolo IP? Cul es el tamao total del paquete
en bytes? Cul es el tamao de la cabecera IP en bytes? Y del
datagrama IP completo?
3. A qu protocolo pertenece el mensaje encapsulado en el datagrama IP?
Qu tipo de mensaje es? Quin es el remitente? Cuntos bytes
ocupa?. Rellene la tabla con los campos indicados:
Type
Code
4. Analice el cuarto paquete de la captura anterior.
5. A qu protocolo pertenece el mensaje encapsulado en el paquete? Qu
tipo de mensaje es? Quin es el remitente? Rellene la tabla con los
campos indicados:
Type
Code
6. Si desea conservar la captura, gurdela ahora.

J. Muoz. Versin 1.

- 51 -

EUITI-UPM

Laboratorio de Redes de Computadores

3.3.5 Sesin ssh

1. Active el servidor SSH en su ordenador y establezca redes como
contrasea del usuario knoppix.
2. Cul es el puerto del protocolo SSH?
3. Inicie una captura de datos usando un filtro que capture nicamente trfico
SSH desde o hacia su ordenador.
4. Sin detener la captura, inicie una conexin remota al ordenador contiguo
al suyo mediante la orden:
ssh knoppix@192.168.X.X

5. Detenga la captura de datos y finalice la sesin remota.

6. Examine los paquetes enviados desde su ordenador.
7. Encuentra la clave que ha introducido para iniciar la sesin remota? Por
qu?
8. Si desea conservar la captura, gurdela ahora.

3.3.6 Sesin ftp

1. Active el servidor FTP en su ordenador y establezca redes como
contrasea del usuario knoppix (siga los pasos indicados en el apartado
2.6.5 de la prctica anterior).
2. Edite un archivo de texto, escriba en l una frase cualquiera y gurdelo en
el directorio:
/ramdisk/home/knoppix

con el nombre mensajeX.txt, donde X es su nmero de puesto en el

laboratorio.
3. Cul es el puerto del protocolo FTP?
4. Inicie una nueva captura de datos usando un filtro que capture nicamente
paquetes FTP desde o hacia su ordenador.
5. Realice una conexin FTP al ordenador del puesto contiguo al suyo.
J. Muoz. Versin 1.

- 52 -

EUITI-UPM

Laboratorio de Redes de Computadores

6. Detenga la captura de datos pero no finalice la conexin FTP.

7. Analice los paquetes capturados que han sido enviados desde su
ordenador para establecer la conexin.
8. Encuentra el nombre de usuario y la clave que ha introducido para iniciar
la conexin FTP? Por qu?
9. Si desea conservar la captura, gurdela ahora.
10. Cul es el puerto del protocolo FTP-DATA?
11. Inicie una nueva captura de datos usando un filtro que capture
nicamente paquetes FTP-DATA desde el servidor FTP hacia su
ordenador.
12. Descargue el archivo mensajeX.txt que encontrar en el directorio remoto
del servidor ejecutando la siguiente orden:
get mensajeX.txt

13. Finalice la sesin FTP y luego detenga la captura de datos.

14. Edite el archivo mensajeX.txt descargado en su ordenador y compruebe
su contenido.
15. Observe si entre los paquetes capturados existe alguno que contenga los
datos del archivo descargado. Por qu puede ver el contenido del
archivo?
16. Qu puertos utiliza el protocolo TCP para el servidor y el cliente de FTPDATA?.
17. Si desea conservar la captura, gurdela ahora.

3.4 Memoria de la prctica

Las cuestiones para elaborar la memoria de esta prctica son las que
han ido apareciendo a lo largo del apartado anterior.

J. Muoz. Versin 1.

- 53 -