Está en la página 1de 5

ANÁLISIS DE PROTOCOLOS

Objetivo de la práctica.

El objetivo de esta práctica es presentar el concepto de analizador de protocolos, su


manejo y utilidad, así como la toma de contacto con una herramienta software que
realiza esta función: la aplicación Wireshark. Durante el desarrollo de esta práctica se
abordarán cuestiones generales relativas al funcionamiento de las redes de comunicaciones en
general y de los protocolos más relevantes de la arquitectura TCP/IP en particular.

Introducción.

Un analizador de protocolos es una herramienta (hardware y/o software) que se emplea


para analizar una red, bien escuchando el tráfico generado por los dispositivos conectados
a ella (ordenadores, routers…) o bien estudiando el comportamiento de la red ante el tráfico
generado por el propio analizador.

En esta práctica estudiaremos con detalle el analizador software Wireshark

Se realizará una presentación práctica del funcionamiento del analizador Wireshark y se


procederá a analizar el tráfico que se capture durante la ejecución de determinados
comandos o aplicaciones.

Para observar y analizar el tráfico en una red se utilizan herramientas que monitorizan y
presentan el tráfico binario de la red en una forma inteligible para las personas. Estas
herramientas se denominan analizadores de protocolos de red.

En el laboratorio vamos a utilizar el analizador de redes Wireshark.


Un analizador de protocolos de red configura la interfaz de red en un modo denominado “modo
promiscuo” que puede capturar todo el tráfico que circula por la red.

Wireshark

Wireshark es un analizador de protocolos de software o una aplicación “husmeador de paquetes”


que se utiliza para el diagnóstico de fallas de red, verificación, desarrollo de protocolo y software
y educación.
Antes de junio de 2006, Wireshark se conocía como Ethereal.

Un husmeador de paquetes (también conocido como un analizador de red o analizador de


protocolos) es un software informático que puede interceptar y registrar tráfico de datos pasando
sobre una red de datos. Mientras el flujo de datos va y viene en la red, el husmeador “captura”
cada unidad de datos del protocolo (PDU) y puede decodificar y analizar su contenido de acuerdo
a la RFC correcta u otras especificaciones.

1
Wireshark está programado para reconocer la estructura de los diferentes protocolos de red. Esto
le permite mostrar la encapsulación y los campos individuales de una PDU e interpretar su
significado.

Cuando se ejecuta Wireshark y se realiza una captura de tráfico, más adelante veremos cómo
hacerlo, aparece una ventana como la que se muestra en la siguiente figura. La ventana está
dividida en tres zonas en la que se muestra el tráfico capturado en diferentes formatos.

La zona superior muestra todos los paquetes capturados, uno por línea.
Cada línea contiene el orden y el tiempo de captura, el origen y el destino del paquete, el
protocolo encapsulado e información adicional. Al seleccionar un paquete, su contenido se
muestra en las dos zonas siguientes.
La zona intermedia muestra los protocolos, uno por línea, del paquete seleccionado. Cada
protocolo puede desplegarse pulsando sobre la pestaña de la izquierda para mostrar más
información o contraerse, para ocupar una sola línea, pulsando sobre la misma pestaña.
La zona inferior muestra el contenido binario de cada traza en hexadecimal (a la izquierda) y en
ASCII (a la derecha).

ANALISIS DE PROTOCOLOS CON WIRESHARK

Protocolo ICMP (Protocolo de mensajes de control de Internet)

Este protocolo se emplea para comprobar el estado de las redes. Su funcionamiento básico
consiste en enviar un paquete de datos destinado a una determinada dirección IP y en ver el
tiempo que tarda en recibirse la respuesta a dicho paquete. Se emplea para ver si existe
conectividad de red entre el ordenador desde el que se emite el comando y el ordenador con el
nombre o la dirección IP indicada en el comando.

2
Vamos a analizarlo con el comando PING, que emplea este protocolo para comprobar el estado
de las redes. Su funcionamiento básico consiste en enviar un paquete de datos destinado a una
determinada dirección IP y ver el tiempo que tarda en recibirse la respuesta a dicho paquete. Se
emplea para ver si existe conectividad de red entre el ordenador desde el que se emite el comando
y el ordenador con el nombre o la dirección IP indicado en el comando.

El paquete que analizaremos va a ser un envio de trafico Ping.

C:\Documents and Settings\Bryan>ping 10.0.0.4

Haciendo ping a 10.0.0.4 con 32 bytes de datos:

Respuesta desde 10.0.0.4: bytes=32 tiempo<1m TTL=128


Respuesta desde 10.0.0.4: bytes=32 tiempo<1m TTL=128
Respuesta desde 10.0.0.4: bytes=32 tiempo<1m TTL=128
Respuesta desde 10.0.0.4: bytes=32 tiempo<1m TTL=128

Estadísticas de ping para 10.0.0.4:


Paquetes: enviados = 4, recibidos = 4, perdidos = 0 (0% perdidos),
Tiempos aproximados de ida y vuelta en milisegundos:
Mínimo = 0ms, Máximo = 0ms, Media = 0ms

Si todo ha ido bien, al aplicar el filtro deberán aparecer 8 paquetes, 4 de ellos correspondientes a
las solicitudes (request) y los otros 4 correspondientes a las respuestas (reply).

En la captura vemos que al hacer ping tenemos dos clases de protocolos diferentes: ARP y ICMP.
ARP -> para poder llegar al nodo correspondiente se necesita que la tabla ARP se rellene y mas
tarde el ping se ara correctamente.
ICMP -> en lo que vemos que corresponde al protocolo ICMP es los ping que se han hecho a un
nodo.
Mediante ping comprobamos la correcta conectividad entre equipos. Observamos que en la
columna de info pone request y replay. La línea de request la enviamos desde nuestro nodo y
replay es la contestación a nuestra trama.

3
El formato de tramas:

Se observa la fuente del mensaje:

Observamos el destinatario del paquete

Petición del ping

4
Checksum de verificación:

Identificador:

Número de secuencia:

La información: