Está en la página 1de 31

UNIVERSIDAD NACIONAL MAYOR DE SAN MARCOS

(Universidad del Perú, DECANA DE AMERICA)


FACULTAD DE INGIENERIA ELECTRONICA Y ELETRICA
E.A.P DE TELECOMUNICACIONES

Laboratorio N° 2

Uso del Analizador de Trafico Wireshark


Curso: Laboratorio de Sistemas de Telecomunicaciones I

Estudiantes:

Chafloque Mejia Joseph Daniel 11190182


Arteaga Manrique Walter André 11190220

Ciclo: 2014-I

Profesora: Ing. Rossina Gonzales

Junio del 2014


LABORATORIO DE SISTEMAS DE TELECOMUNICACIONES I
Uso del Analizador de Tráfico Wiresshark

I. OBJETIVOS:

1. Conocer una aplicación básica de monitorización a nivel de paquetes.


2. Aprender a extraer conclusiones a partir de los paquetes capturados.

II. HERRAMIENTAS:

1. Software Wireshark v.1.10.2

Este laboratorio utiliza la herramienta de software Wireshark para capturar y analizar una
traza de paquetes. Un rastro del paquete es un registro de tráfico en un punto de la red, como
si una instantánea que se toma de todos los bits que se transmiten a través de un cable en
particular. El rastreo de paquete registra una marca de tiempo para cada paquete, junto con los
bits que componen el paquete, a partir de las cabeceras de capa inferior a los contenidos de
capa más alta. Wireshark se ejecuta en la mayoría de sistemas operativos, incluyendo Windows,
Mac y Linux. Se proporciona una interfaz de usuario gráfica que muestra la secuencia de
paquetes y el significado de los bits cuando se interpreta como cabeceras de protocolo y de
datos. Analiza los paquetes para que se investigue el comportamiento de los protocolos de red.
Wireshark es ampliamente utilizado para solucionar problemas de redes.

III. GUIA RÁPIDA DE WIRESHARK:

Wireshark es una aplicación que ofrece una interfaz sencilla de utilizar y permite visualizar
los contenidos de las cabeceras de los protocolos involucrados en una comunicación de una
forma muy cómoda.
Este tipo de programas, conocidos como analizadores de red, o sniffers, activan el modo
promiscuo en la tarjeta de red de la máquina en la que se ejecuten, y obtienen todas las tramas
Ethernet que se envían dentro de la misma red de área local.
El modo promiscuo es una función software de la tarjeta de red que, si se activa, provoca
que la tarjeta capture de la red todas las tramas, sin preocuparse de quién es el destinatario de
la misma. Normalmente este flag está desactivado, y el sistema operativo solo recibe las tramas
cuya dirección Ethernet destino es la suya.

INTERFAZ Y MENUS

Wireshark funciona en modo gráfico y está programado con la librería de controles GTK. La
ventana principal de la aplicación se divide en tres partes de visualización y una zona inferior de
trabajo con filtros.

 Pantalla de capturas
 Pantalla de campos
 Pantalla de contenidos

1
FIEE UNMSM
En la pantalla de capturas (1) se muestra la información más relevante de los paquetes
capturados, como, por ejemplo, las direcciones IP y puertos involucrados en la comunicación.
Seleccionando un paquete en esta sección podemos obtener información detallada sobre él en
las otras dos secciones de la pantalla que comentaremos a continuación.

En la pantalla de campos (2) se muestra, utilizando controles tree-view, cada uno de los campos
de cada una de las cabeceras de los protocolos que ha utilizado el paquete para moverse de una
maquina a la otra. Así, se ha capturado una serie de paquetes de, por ejemplo, una conexión
telnet, se podrá ver las cabeceras del protocolo TCP, del IP y de lo que se tenga debajo de ellos
(trama Ethernet, por ejemplo, en una red Ethernet).

En la pantalla de contenidos (3) muestra un volcado hexadecimal del contenido del paquete.
Seleccionando cualquier campo en la parte central de la ventana se mostrarán en negrita los
datos correspondientes del volcado hexadecimal, los datos reales están viajando por la red.

Todas las opcions que pueden ser empleadas, son accesibles por medio de los menús, la
aplicación contiene los siguientes menús.

2
FIEE UNMSM
 File: Menú con los ítems para abrir, guardar ficheros de captura. Permite imprimir y salir
de la aplicación
 Edit: Menú para encontrar tramas contretas, ir a una trama y marcar tramas. También
tiene las opciones de preferencias, de captura y visualización de filtros y protocolos.
 Capture: Inicia o detiene la captura de paquetes.
 Ayuda: Ayuda de la aplicación y “acerca de”.

CAPTURA DE TRÁFICO

Para capturar el tráfico que está circulando en este momento en la red, usar la opción “capture”
del menú. Al seleccionar la opción “Options” aparecerá la caja de diálogo con la preferencia para
la captura de los paquetes. El diálogo de captura dispone de varias opciones para el usuario:

 Interface: Permite indicar la interfaz de red que se utilizará para capturar el tráfico. En
algunos sistemas es equivalente a las conexiones de red de las que se dispone (PPP, Red,
etc…) si al seleccionar una opción no se capturan datos, se debe a que no se ha
seleccionado la interface correcta.

 Filter: Permite definir filtros en la captura, de modo que sólo se capturen aquellas
tramas Ethernet, paquetes IP, segmentos TCP, datagramas UDP, etc, que cumplan
determinadas características.

 File: Permite indicar que queremos que el tráfico capturado sea almacenado en un
archivo, lo que permitirá su análisis posterior (en otra sesión). En caso de que se desee

3
FIEE UNMSM
que la captura sea volcada hacia un archivo, se puede seleccionar por medio de este
cuadro de texto.

 Stop Capture Automatically After: Permite indicar que la captura sea finita, esto es, que
finalice cuando se hayan capturado un número determinado de tramas, determinada
cantidad de trpafico o durante cierto tiempo. Si no se selecciona ningún límite será el
usuario quien decida el final de la captura.

Presionando directamente el botón “OK” comienza la captura de tráfico. Una ventana


informa de los datos fundamentales de la captura según ésta se va produciendo
(número total de tramas y número de tramas por cada uno de los principales
protocolos):
Para iniciar la captura se deberá pulsar “Start” y para detener la captura, es necesario
pulsar en “Stop” en la ventana de información sobre el proceso de captura. Las tramas
capturadas se cargan automáticamente en la pantalla principal del Wireshark.

VISUALIZACIÓN DE RESULTADOS

La lista de tramas capturadas aparece en la parte superior de la pantalla principal


Wireshark, indicando el momento en el que fue capturada (Time), las direcciones origen
(Source) y destino (Destination), y el protocolo (Protocol) así como información adicional (Info)
del mismo.

Al seleccionar una trama, en la parte inferior puede verse el detalle de la trama,


incluyendo los datos de todas las cabeceras de cada trama. Puede verse la trama a nivel de
enlace (Ethernet II), de red (Internet Protocol), y de transporte (User Datagram Protocol).
Además, soporta cierto número de protocolos de aplicación como pueden ser HTTP, DNS o NFS.

En la parte inferior se muestra el contenido del paquete tal cual, tanto en hexadecimal (segunda
columna y posteriores), como en ASCII (última columna).

FILTROS DE CAPTURA

Wireshark permite filtrar la información acerca de los paquetes capturados, tanto en el


momento de la captura de los mismos como en la visualización. Wireshark utiliza la misma
sintaxis para la definición de filtros que la orden de Unix tcpdump.

Los filtros pueden hacer referencia a un protocolo, a un host, a un puerto, etc. Pueden
ser combinados mediante operadores booleanos (“and”, “or” y “not”). Para eliminar problemas
de precedencia de operadores pueden utilizarse paréntesis.

Una expresión en un filtro consiste en una o más primitivas. Las primitivas consisten
normalmente de un identificador (nombre) seguido de uno o más calificadores que
parametrizan el funcionamiento de la primitiva.

Los posibles calificadores son de uno de los tipos siguientes:

 Tipo: Identifican si hablamos de una dirección de host (“host”), de red (“net”) o de un


número de puerto (“port”).

4
FIEE UNMSM
 Dirección: Especifica una dirección de tranferencia desde o hacia el identificador. Las
posibles direcciones son fuente (“src”), destino (“dst”), o variantes, por ejemplo “src or
dst” (este es el valor por defecto si no se especifica ninguno) o “src and dest”.
 Protocolo: Restringe la captura a un protocolo particular. Posibles valores son “ether”,
“fddi”, “ip”, “rarp”, “tcp”, “udp”, etc.

Las principales primitivas válidas son:

 Dst host máquina: Verdadera si la dirección IP de destino del paquete es el host


especificado, que puede ser un nombre o una dirección IP.
Ejm: “dst host 163.117.244.212”.

 Src host máquina: análogo al anterior pero con la dirección IP fuente del paquete.
 host máquina: Verdadera si la dirección IP fuente o destino (“src or dst”) del paquete
es máquina.
 Ether dst máquina, ether src máquina, ether host máquina: análogos a los tres
anteriores pero especificando máquina con su dirección ehternet en lugar que con su
IP.
 Dst net red, src net red, net red: análogas a last res primeras primitivas pero que se
aplican a todas las direcciones de una subred en lugar de direcciones de máquina.
 Dst port puerto, src port puerto, port puerto: análogas a las tres primeras primitvas
pero con números de puerto en lugar de direcciones de host.
 Ip proto protocolo: Verdadera si la trama contiene un paquete IP que tiene en el campo
de protocolo el valor de protocolo especificado. Protocolo puede ser “icmp”, “igrp”,
“udp” o “tcp”. Como tcp, udp e icmp son también identificadores, deben ser escaoadis
con “\”.
Ejm: Para obtener los paquetes IP que por encima usan TCP, escribiríamos “ip proto
\tcp”.

 Ether broadcast o ip broadcast: verdaderas si el paquete es un broadcast Ethernet o ip,


respectivamente.

 Ether broadcast o ip multicast: verdaderas si el paquete es un multicast Ethernet o ip,


respectivamente.
 Ether proto protocolo: verdadera si el paquete es un paquete Ethernet llevando por
encima el protocolo de nivel superior protocolo. Protocolo puede ser “ip”, “arp” o
“rarp”. Como ip, arp y rarp son también identificadores, deben ser escapados con “\”.
Ejm: Para obtener los paquetes Ethernet que por encima usan ip, escribiríamos ether
proto \ip.

 Ip, arp, rarp: abreviaturas para ether proto protocolo, donde protocolo es ip, arp o rarp.
 Tcp, udp, icmp: abreviaturas para ip proto protocolo, donde protocolo es tcp, udp o
icmp.

FILTROS DE VISUALIZACIÓN

Wireshark tiene dos tipos de filtros; los de captura, que siguen la nomenclatura de la
instrucción UNIX tcpdump, y los de visualización que siguen una nomenclatura propia de la

5
FIEE UNMSM
aplicación. Una vez que se ha realizado una captura de tráfico es posible filtrar las tramas que
se quiere visualizar.
En la parte inferior de la pantalla principal del Wireshark hay un cuadro de texto (Filter) para
especificar el filtro de visualización que quiere aplicarse.
Para crear un filtro de visualización, se debe crear la expresión. Wireshark dispone de una
herramienta que facilita la creación de dichos filtros.

Las normas son sencillas, y para saber qué operandos pueden tener las expresiones basta con
buscar el deseado en la ventana de Wireshark Filter Expresion. Los operadores que se pueden
emplear son de comparación o los booleanos de combinación de expresiones. En las siguientes
tablas se muestran estos operadores.

Ejm: Si queremos mostrar todas las tramas dirigidas a 163.117.142.245 se podría utilizar el filtro
“ip.dst == 163.117.142.245”.
Para ver todas las tramas intercambiadas con 163.117.142.245, no sólo las que tengan su
dirección IP destino, se podría usar “(ip.src == 163.117.152.245) or (ip.dst == 163.117.152.245)”,
o de una forma más sencilla “ip.addr == 163.117.152.245”.
En el menú de ayuda (“Help”) del Wireshark puede encontrarse el listado de todos los protocolos
y sus atributos.

IV. PROCEDIMIENTO

1. Ejecutar los archivos de instalación del software Wireshark 10.1.2.

OBTENCIÓN DE INFORMACIÓN PROPIA

2. Averiguar la configuración de la máquina en la que nos encontramos, para ello


lanzaremos la aplicación de Windows winipcfg, que puede ser lanzada desde la opción
de menú de Windows inicio_ejecutar. La información que obtendremos es la siguiente:

 En este caso, en el laboratorio optamos por ejecutar el cmd y escribir “ipconfig/ all”

6
FIEE UNMSM
3. A continuación monitorizar varias de los comandos básicos de administración de redes
y otras aplicaciones de red.
Abrir una ventana de comandos de MS-DOS.

4. Comprobar qué direcciones tiene la caché almacenada:

C: \WINDOWS > arp - a

5. Borrar cada una de las entradas que existan tecleando:

C: \WINDOWS > arp - a

CONFIGURACIÓN DE WIRESHARK

6. Abra el programa Wireshark. Escoja la opción de menú “Capture” – “Options”


7. En la entrada etiquetada con el nombre de “interface”, escoja la que haga referencia la
Tarjeta de Red.
8. En la entrada etiquetada con el nombre de “Filter” escriba: host <Dirección IP>.
9. Deshabilite las opciones:

 Enable MAC name resolution


 Enable network name resolution
 Enable transport name resolution

10. Iniciar el monitoreo con el Wireshark pusando el botón “Start”.

PROPÓSITO DEL PROTOCOLO ARP

11. Ejecutar en la ventana de comandos el ping a la web de la universidad:

C: \WINDOWS > ping –n 1 <Dirección ip de un host de la red Lan>

12. Detenga la captura de tramas pulsando el botón “Stop”.


13. Escribir la información de la captura (ping con la tabla ARP vacía): Fuente, Destino,
Protocolo, Función.
14. A continuación observe de nuevo la cache ARP y realice un ping a la misma máquina.
Repitiendo lo pasos del 06 al 12. Analizando los paquetes capturados, responda a las
siguientes preguntas:

 ¿Se identifican tramas ARP en la captura?


 En caso de que no hubiesen tramas ARP, ¿por qué no hacía falta enviarlas?
Explique a que se deben las diferencias de esta captura con la anterior.

ARP PROXY

7
FIEE UNMSM
15. Una vez preparado el programa de captura de tráfico, fenere paquetes ICMP de echo
con el programa ping. Para ello ejecute desde una consola el siguiente comando:

C: \WINDOWS > ping www.google.com


Con este comando se enviarán 4 paquetes ICMP echo request.

16. Una vez ha acabado el programa ping, pulse el botón de stop de wireshark, para detener
la captura de tráfico.
17. Analice la dirección hardware destino de uno de los mensajes ICMP request. ¿A qué
máquina corresponde?
18. Analice, ahora, la dirección hardware fuente de uno de los mensajes ICMP reply. ¿A qué
máquina corresponde? Explique.

COMANDO TRACERT

19. Comprobar qué tipo de paquetes viajan cuando se realiza la traza de la ruta de los
paquetes por la red. Para ello escribir en la ventana de comandos la siguiente orden:

C: \WINDOWS > tracer www.cisco.com

20. Por lo que apreciado en el tipo de paquetes capturados ¿En qué consiste el tracert?
¿Qué secuencia de protocolos emplea el comando?

FRAGMENTACION DE DATAGRAMAS IP

El objetivo de este ejercicio es observar la fragmentación de los datagramas IP. Para ello se
utilizará el programa ping para generar mensajes ICMP echo de petición (request), con un
tamaño suficientemente grande y el programa wireshark para capturar el tráfico generado y
poder analizarlo.

21. Averigüe la opción que permite establecer el tamaño del mensaje ICMP usando el
manual del comando ping.
22. Envíe un solo mensaje ICMP de tamaño de 1000 bytes a la dirección de un host de la
red.

C: \WINDOWS > ping –l 1000 –n 1 <Dirección IP remota>

a) Analizando el tráfico capturado determine el tamaño total de la trama enviada, la


longitud de la cabecera Ethernet, longitud de la cabecera IP, longitud de la cabecera
ICMP y la longitud de los datos enviados.
b) Verifique el estado de los flags del datagrama IP: Don’t Fragment y More Gragment.

23. Envíe un solo mensaje ICMP de tamaño de 8000 bytes a la dirección de un host de la red
realizando la captura del tráfico correspondiente. Ejm:

C: \WINDOWS > ping –l 8000 –n 1 <Dirección IP remota>

8
FIEE UNMSM
Analizando el tráfico capturado responda a las siguientes preguntas:

c) ¿Cuántas tramas Ethernet han sido enviadas a la dirección del host destino para
completar la transmisión de un solo mensajes ICMP?
d) Analice qué cabeceras de protocolos existen en cada uno de las tramas Ethernet del
mensaje ICMP.
e) En cada una de las tramas verifique los campos del datagrama IP: Identificación, Flags
(Don’t Fragment y More Gragments) y Fragment Offset.
f) Determine cuantos bytes de información viajan en cada una de las tramas (los datos
enviados deben sumar 8000 bytes)
g) Obtenga una fórmula matemática que permita determinar el número de tramas
enviadas para completar la transmisión de un mensajes ICMP de una longitud de L bytes.

24. Obtenga MTU (Maximun Transfer Unit) de la interfaz de red por la que se han enviado
los mensajes ICMP. ¿Tiene alguna relación el MTU con la fragmentación observada en
el punto anterior?

25. Verifique el campo de chequeo de suma del Datagrama IP.

GATEWAY

26. Realice una captura de tráfico filtrando aquellos paquetes cuya dirección de origen sea
su máquina y la dirección de destino sea la puerta de enlace predeterminada (Gateway)
de su subred. Para ello, navegue por Internet. ¿Captura algún paquete?

(scr host <Dirección IP>) and (dst host <Dirección IP del Gateway>)

27. Compárelo con el tráfico capturado si modifica el filtro de modo que capture todos los
paquetes con destino al Gateway independientemente del origen. ¿Captura algún
paquete de otros ordenadores?

dst host <Dirección IP del Gateway>

28. Modifique los filtros anteriores para capturar todos los paquetes que salen y entran de
la subred a través de la pasarela indicada. Es decir, paquetes cuya dirección física
(origen o destino) es la del host, pero las direcciones IP (origen o destino) no
corresponden al host.

Ether host <Dirección MAC del Gateway>

V. INFORME FINAL

1. ¿Qué es un Monitor de Red?


Con un Monitor de red puede recopilar información que le ayudará a mantener la red a
pleno rendimiento, gracias a funciones que permiten desde identificar patrones a evitar o
solucionar problemas. El Monitor de red proporciona información acerca del tráfico de la red
que fluye hacia y desde el adaptador de red del equipo donde está instalado. Al capturar

9
FIEE UNMSM
información y analizarla puede evitar, diagnosticar y solucionar muchos tipos de problemas
relativos a la red.

Puede configurar el Monitor de red para que proporcione información específica que sea
más importante para usted. Por ejemplo, puede configurar desencadenadores para que el
Monitor de red inicie o detenga la captura de información cuando se cumpla una condición o un
conjunto de condiciones. También puede configurar filtros para controlar la información que el
Monitor de red captura o muestra. Para facilitar el análisis de la información, es posible
modificar cómo se muestra la información en la pantalla, así como guardarla o imprimirla para
su revisión posterior.

El componente Monitor de red que se suministra con los sistemas operativos de la familia
Microsoft® Windows Server 2003 puede capturar tramas enviadas hacia o desde el equipo
donde está instalado. Si desea capturar las tramas enviadas hacia o desde un equipo remoto,
debe utilizar el componente Monitor de red que se suministra con Microsoft Systems
Management Server, que puede capturar las tramas enviadas hacia o desde cualquier equipo
donde esté instalado el controlador del Monitor de red.

La información que proporciona el Monitor de red proviene del propio tráfico de la red,
dividido en tramas. Una trama contiene información como la dirección del equipo que la envió
y del que la recibió, y los protocolos que incluye.

Funcionamiento:

Los datos que se envían a través de una red se dividen en tramas. Cada trama contiene la
información siguiente:

 Dirección de origen Dirección del adaptador de red en el que se originó la trama.


 Dirección de destino Dirección del adaptador de red que debe recibir la trama. Esta
dirección también puede especificar un grupo de adaptadores de red.
 Información de encabezado Información específica de cada protocolo utilizado para
enviar la trama.
 Datos Información (o parte de ella) que se envía.

Cada equipo de un segmento de red recibe las tramas transmitidas en ese segmento. El
adaptador de red de cada equipo mantiene y procesa únicamente las tramas dirigidas a él. Las
demás tramas se eliminan y ya no se procesan. El adaptador de red también mantiene las tramas
de difusión (y posiblemente de multidifusión).

Tras la instalación del Monitor de red, los usuarios pueden capturar en un archivo todas las
tramas enviadas al adaptador de red, o que éste mantiene, en el equipo donde está instalado.
Después estas tramas capturadas se pueden ver o guardar para su análisis posterior. Los
usuarios pueden diseñar filtros de captura para capturar únicamente determinadas tramas.
Estos filtros se pueden configurar para capturar tramas según criterios como la dirección de
origen, la dirección de destino o el protocolo. El Monitor de red también permite a los usuarios
diseñar desencadenadores de captura para iniciar una acción específica cuando el Monitor de
red detecte un determinado conjunto de condiciones en la red. Esta acción puede ser iniciar o
finalizar una captura, o iniciar un programa.

10
FIEE UNMSM
2. Estudie el Manual de Uso del Wireshark.
Wireshark es un analizador de protocolos open-source diseñado por Gerald Combs y que
actualmente está disponible para plataformas Windows y Unix. Conocido originalmente como
Ethereal, su principal objetivo es el análisis de tráfico además de ser una excelente aplicación
didáctica para el estudio de las comunicaciones y para la resolución de problemas de red.

El Manual de Uso es extenso pero es no es complicado de usar, además que no se necesita


un profundo conocimiento para entenderlo ni mucho menos para poder realizar esta guía de
laboratorio.

Al desarrollar esta guía se puede comprender en si como usar el Wireshark, siguiendo el


procedimiento y leyendo la guía rápida que nos brinda esta guía de laboratorio.

3. Desarrolle los resultados de cada punto de la experiencia.

OBTENCION DE INFORMACION PROPIA:

Los datos más importantes de la PC, al ejecutar el comando “ipconfig /all” , fueron los
siguientes:

 Nombre de host: JOSCHAME


 Direccion MAC: 00-8C-FA-4E-EF-93
 Direccion IP: 192.168.1.51
 Mascara de Subred: 255.255.255.0
 Gateway o puerta de enlace: 192.168.1.1
 Servidor DNS: 200.48.225.130 / 200.48.225.146

CAPTURA SIMPLE DE PAQUETES:

o Comprobando la dirección arp almacenadas en el cache:

11
FIEE UNMSM
o Se eliminó todas las entradas arp con un solo comando : “arp –d *”

o Configurando el Wireshark

o Después de iniciarlo enviamos un paquete de datos al IP 192.168.1.46

12
FIEE UNMSM
o Como se puede observar en la imagen de abajo, primero envía un “request” , con
dirección MAC FF:FF:FF:FF:FF:FF en forma de broadcast, envía a todos.

o Despues la dirección IP 192.168.1.46 responde devolviendo en su información su


dirección MAC, y con esto ya se conoce la dirección MAC de la PC con IP 192.168.1.46.

13
FIEE UNMSM
o Observando de nuevo el cache ARP:

Como se puede observar hay se encuentra la dirección IP 192.168.1.46 con su respectiva MAC.

Respondiendo las preguntas al repetir los pasos del 06 al 12:

 ¿Se identificaron tramas ARP en la captura?

Ya no se identificaron tramas ARP.

 En caso de que no hubiesen tramas ARP, ¿por qué no hacía falta enviarlas? Explique
a que se deben las diferencias de esta captura con la anterior.

Ya no hacía falta enviar nuevamente tramas ARP ya que estas estaban en su


cache, tal y como se pudo observar en la imagen anterior, al ya conocer la MAC de
esa dirección IP en especifica ya no hay sentido de enviar un ARP.

ARP PROXY

o Ya preparado el Wireshark hacemos ping a ww.google.com

o En el Wireshark nos encontramos con lo siguiente.

14
FIEE UNMSM
Como se puede observar tenemos 8 mensajes del protocolo ICMP, 4 “request” y 4 “reply”.

o Analizando un ICMP request:

Como se puede observar, la dirección MAC del destino es F8:D1:11:38:5B:E5, el cual es


la MAC de la puerta de enlace o Gateway (Router), esto se puede ver en las tramas ARP donde
este hace la pregunta al IP 192.168.1.1, el cual es el IP de la puerta de enlace con la que estamos
trabajando.

o Analizando un ICMP reply:

15
FIEE UNMSM
Como se puede observar la dirección MAC de la fuente es F8:D1:11:38:5B:E5, ya que,
por ejemplo, si la Estación 1 (estación de origen) se encuentra en la red, la otra red está fuera
de la red LAN. Necesita saber la dirección física del destino, por eso pregunta a la estación, pero
solo es de cobertura local y por tanto el que responde asiendo pasar por la Estación 6 (estación
de destino) es el Gateway (Router), diciendo que la dirección física de la estación 6 es su propia
dirección física. Este lo envía al otro Router para conectarse a la otra Red LAN donde se
encuentra la estación 6. Y con esto se podrá enviar el datagrama de la estación 1 a la estación 6.

Entonces el arp PROXY o arp ponderado es un arreglo para que pueda funcionar el
protocolo arp en redes MAN o WAN, ya que este solo función en redes LAN.

COMANDO TRACERT

 Ejecutando el comando tracert en la ventana de comandos:

 Lo que se pudo observar en el Wireshark fue lo siguiente:

Donde se observa varias tramas ICMP donde unos están sombreados en negro, como ya
sabemos el comando tracert se encarga de averiguar por cuantos router tiene que pasar el

16
FIEE UNMSM
paquete para llega a su destino, y para esto uso el tiempo de vida TTL, subiendo de manera
progresiva estos tiempos de vida. Como se ve en la imagen el tiempo de vida es de 1, siendo el
protocolo ICMP de tipo 8 (request).

Acá el tiempo de vida TTL sigue siendo igual a 1 pero este no respondió ya que expiro si
tiempo de vida antes de llegar a su destino, como se ve en la imagen.

El tiempo de vida (TTL) va en aumento para alcanzar a mi destino, mientras más saltos
el tiempo de vida serán mayor. Primero envía un tiempo de vida 1 para responder al primer
Router, después enviamos con tiempo de vida igual a 2 para alcanzar el otro Router y así
sucesivamente hasta llegar al destino.

17
FIEE UNMSM
Captura cuando el tiempo de vida es igual a 53, el máximo valor que se encontró:

Captura cuando el tiempo de vida es igual a 53, el máximo valor que se encontró

FRAGMENTACION DE DATAGRAMAS IP

o Enviando un mensaje ICMP de tamaño 1000 bytes:

o En el wireshark obtuvimos lo siguiente:

18
FIEE UNMSM
Se puede observar que la longitud total de la trama es de 1042 bytes, donde 1000 bytes
son de Data, 20 bytes de la cabecera de la trama, 6 bytes de la cabecera IP y 6 bytes de la
cabecera ICMP.

Como se puede observar:

 Don’t fragment: Not set


 More fragment: Not set

o Enviando un mensaje ICMP de tamaño 8000 bytes:

o En el wireshark obtuvimos lo siguiente:

Como se puede observar hay 5 tramas IPv4, donde cada trama tiene la siguiente estructura:

19
FIEE UNMSM
Trama IPv4 N°1

Trama IPv4 N°2

Trama IPv4 N°1

Trama IPv4 N°3

20
FIEE UNMSM
Trama IPv4 N°4

Trama IPv4 N°5

Trama ICMP

21
FIEE UNMSM
En cada trama IPv4 viajan 1480 bytes de data, y su longitud total es 1500 bytes, siendo
en la trama ICMP que transporta 600 bytes de data, por lo tanto se tiene que en total:

1480 ∗ 5 + 600 = 8000 𝑏𝑦𝑡𝑒𝑠

El cuál es la cantidad de bytes de data que se envió, el cual ha sido fragmentado en 5


tramas IPv4 y 1 ICMP.

Por lo tanto generalizando, si se tiene una longitud L bytes de data entonces:

𝑳
= 𝒒(𝒄𝒐𝒄𝒊𝒆𝒏𝒕𝒆) + 𝒓(𝒓𝒆𝒔𝒊𝒅𝒖𝒐) … 𝒔𝒊𝒆𝒏𝒅𝒐 "𝒒" 𝒚 "𝒓" 𝒏𝒖𝒎𝒆𝒓𝒐𝒔 𝒆𝒏𝒕𝒆𝒓𝒐𝒔
𝟏𝟒𝟖𝟎

Donde “q” es igual al número de tramas IPv4 que existirán y “r” el numero bytes de data
que tendrá la trama ICMP.

La MTU de la interfaz de red es de 1514 bytes donde 1480 bytes son de data, ya que es
lo máximo de data que puede almacenar una trama.

GATEWAY

 Al realizar el paso 26 obtuvimos la siguiente captura del trafico:

22
FIEE UNMSM
Dado la versión del Wireshark usamos el siguiente filtro, el cual realiza la misma función:

ip.src==192.168.1.240 and ip.dst==192.168.1.1

Como se pudo observar no se detectó ningún paquete enviado o recibido.

 Al realizar el paso 27 nos encontramos con la siguiente:

Dado la versión del Wireshark usamos el siguiente filtro, el cual realiza la misma función:

ip.dst==192.168.1.1

El cual tampoco se pudo detectar algún paquete enviado o recibido.

 Al realizar el paso 28 obtuvimos el siguiente tráfico de datos:

23
FIEE UNMSM
Dado la versión del Wireshark usamos el siguiente filtro, el cual realiza la misma función:

eth.addr==F8:D1:11:38:5B:E5

Si un equipo TCP/IP necesita comunicarse con un host de otra red, como en internet,
normalmente lo hará a través de un dispositivo denominado enrutador. En términos de TCP/IP,
un enrutador que se especifica en un host, que vincula la subred del host con otras redes, se
denomina puerta de enlace predeterminada.

Como la Internet es una red externa entonces el equipo reenviará el paquete a la puerta
de enlace predeterminada en sus propiedades TCP/IP. Por tanto solo su dirección física (MAC)
no variara pero si sus IP puede ser cualquiera, según sea la página WEB buscada, por tanto en
este último si captura datos en el Wireshark.

4. Investigue sobre los comandos arp, ping, tracert.


Comando ARP:

Se puede utilizar la utilidad arp para ver y modificar las entradas de la tabla ARP en el
equipo local. El comando arp resulta útil para ver la caché de ARP y resolver problemas de
resolución de direcciones. Sus formatos de uso son:

ARP -s dir_IP dir_eth [dir_if]


ARP -d dir_IP [dir_if]
ARP -a [dir_IP] [-N dir_if]

El comando presenta las siguientes opciones:

 -a: Muestra las entradas actuales de ARP preguntando por los datos del protocolo. Si se
especifica dir_IP, se muestran las direcciones IP y Física sólo para el equipo especificado.
Cuando ARP se utiliza en más de una interfaz de red, entonces se muestran entradas
para cada tabla ARP.
 -g: Lo mismo que -a.
 dir_IP: Especifica una dirección internet.
 -N dir_if: Muestra las entradas de ARP para las interfaces de red especificadas por dir_if.
 -d: Elimina el host especificado por dir_IP.
 -s: Agrega el host y asocia la dirección internet dir_IP con la dirección física dir_eth. La
dirección física se especifica con 6 bytes en hexadecimal separados por guiones. La
entrada es permanente.
 dir_eth: Especifica una dirección física.
 dir_if: Si está presente, especifica la Dirección internet de la interfaz con la tabla de
traducción de direcciones a modificar. Si no se especifica, se utiliza la primera interfaz
aplicable

Comando PING:

El comando ping ayuda a comprobar la conectividad en el nivel IP. Al solucionar


problemas, puede utilizar ping para enviar una solicitud de eco ICMP a un nombre de host o una
dirección IP de destino. Utilice ping siempre que necesite comprobar la capacidad de conexión

24
FIEE UNMSM
de un equipo host a la red TCP/IP y los recursos de la red. También puede utilizar ping para aislar
problemas de hardware de red y configuraciones incompatibles.

Suele resultar más conveniente comprobar que existe una ruta entre el equipo local y
un host de la red utilizando primero el comando ping y la dirección IP del host de la red al que
desea conectarse. Pruebe a hacer ping a la dirección IP del host de destino para comprobar si
responde, de la manera siguiente:

ping direcciónIP

Cuando utilice el comando ping, debe realizar los siguientes pasos:

1. Haga ping a la dirección de bucle de retroceso para comprobar que TCP/IP está
configurado correctamente en el equipo local.
ping 127.0.0.1

2. Haga ping a la dirección IP del equipo local para comprobar que se ha agregado
correctamente a la red.
pingdirecciónIPDeHostLocal

3. Haga ping a la dirección IP de la puerta de enlace predeterminada para comprobar que


está en funcionamiento y que puede comunicarse con un host de la red local.
pingdirecciónIPDePuertaDeEnlacePredeterminada

4. Haga ping a la dirección IP de un host remoto para comprobar que puede comunicarse
mediante un enrutador.
pingdirecciónIPDeHostRemoto

El comando ping utiliza la resolución de nombres de Windows Sockets para resolver un nombre
de equipo en una dirección IP; por tanto, si la ejecución del comando ping se realiza
correctamente en una dirección pero no en un nombre, el problema se encuentra en la
resolución de direcciones o nombres, no en la conectividad de red.

Si no es posible utilizar ping correctamente en ningún paso, confirme que:

 El equipo se ha reiniciado después de configurar TCP/IP.

 La dirección IP del equipo local es válida y aparece correctamente en la ficha General


del cuadro de diálogo Propiedades del protocolo TCP/IP.

 El enrutamiento IP está habilitado y el vínculo entre los enrutadores funciona.

Puede utilizar diferentes opciones con el comando ping para especificar el tamaño de los
paquetes que desea utilizar, el número de paquetes que va a enviar, si va a registrar la ruta
utilizada, el valor de periodo de vida (TTL, <i>Time-to-Live</i>) que desea utilizar y si va a
establecer el indicador "no fragmentar". Puede escribir ping –? para ver estas opciones.

En el siguiente ejemplo se muestra cómo enviar dos comandos ping, cada uno con un
tamaño de 1.450 bytes, a la dirección IP 131.107.8.1:

C:\>ping -n 2 -l 1450 131.107.8.1

25
FIEE UNMSM
Hacer ping a 131.107.8.1 con 1450 bytes de datos:

Respuesta desde 131.107.8.1: bytes=1450 tiempo<10ms TTL=32


Respuesta desde 131.107.8.1: bytes=1450 tiempo<10ms TTL=32

Estadísticas de ping para 131.107.8.1:


Paquetes: enviados = 2, recibidos = 2, perdidos = 0 (0% de
pérdida),
Tiempos aproximados de ida y vuelta en milisegundos:
mínimo = 0ms, máximo = 10ms, promedio = 2ms

De forma predeterminada, ping espera 4.000 milisegundos (4 segundos) la devolución de


cada respuesta antes de mostrar el mensaje "Tiempo de espera agotado para esta solicitud". Si
el sistema remoto al que se hace ping utiliza un vínculo con grandes retrasos, por ejemplo, un
vínculo satélite, la devolución de las respuestas puede ser un proceso muy prolongado. Puede
utilizar la opción –w (espera) para especificar un tiempo de espera mayor.

Comando TRACERT:

Tracert (Seguimiento de ruta, <i>Trace Route</i>) es una utilidad de seguimiento de rutas


que permite determinar la ruta que utiliza un datagrama IP para llegar a su destino. El comando
tracert utiliza el campo Tiempo de vida (TTL) de IP y los mensajes de error ICMP para determinar
la ruta desde un host a otro a través de una red.

La utilidad de diagnóstico Tracert determina la ruta seguida para llegar a un destino


enviando paquetes de eco del Protocolo de control de mensajes Internet (ICMP, Internet Control
Message Protocol) con valores variables de tiempo de vida IP (TTL) al destino. Cada enrutador
de la ruta de acceso debe disminuir el valor de TTL de un paquete al menos en 1 antes de
reenviarlo. Cuando el valor de TTL de un paquete llega a 0, el enrutador debe devolver el
mensaje ICMP "Tiempo agotado" al equipo de origen.

Para determinar la ruta, Tracert envía el primer paquete de eco con un valor de TTL de 1 y
aumenta ese valor en 1 en cada transmisión siguiente hasta que responda el destino o se alcance
el valor máximo de TTL. La ruta se determina al examinar los mensajes ICMP "Tiempo agotado"
devueltos por los enrutadores intermedios. Algunos enrutadores quitan de forma silenciosa
paquetes cuyos tiempos de vida han caducado y son invisibles para la utilidad Tracert.

El comando tracert imprime una lista ordenada de la interfaz del lado cercano de los
enrutadores en la ruta de acceso que han devuelto el mensaje ICMP "Tiempo agotado". Si se
utiliza la opción –d, la utilidad Tracert no realiza una búsqueda DNS en cada dirección IP.

Para trazar una ruta con el comando tracert: Abra Símbolo del sistema y escriba lo siguiente:

 tracertnombreDeHost

O bien escriba tracert direcciónIP


 Donde nombreDeHost o direcciónIP es el nombre de host o la dirección IP,
respectivamente, del equipo remoto.

26
FIEE UNMSM
Por ejemplo, para trazar una ruta de acceso desde este equipo a www.microsoft.com,
escriba lo siguiente en el símbolo del sistema:

tracert www.microsoft.com

Si no desea que el comando tracert resuelva y muestre los nombres de todos los
enrutadores de la ruta, utilice el parámetro -d. Con esto se acelera la presentación de la
ruta de acceso. Por ejemplo, para trazar una ruta desde este equipo a
www.microsoft.com sin mostrar los nombres de los enrutadores, escriba lo siguiente en
el símbolo del sistema:

tracert -d www.microsoft.com

En el siguiente ejemplo, el paquete debe pasar por dos enrutadores (10.0.0.1 y 192.168.0.1)
para llegar al host 172.16.0.99. La puerta de enlace predeterminada del host es 10.0.0.1 y la
dirección IP del enrutador de la red 192.168.0.0 es 192.168.0.1.

C:\>tracert 172.16.0.99 -d

Traza a 172.16.0.99 sobre caminos de 30 saltos como máximo


1 2 ms 3 ms 2 ms 10.0.0.1
2 75 ms 83 ms 88 ms 192.168.0.1
3 73 ms 79 ms 93 ms 172.16.0.99
Traza completa.

5. Investigue sobre los protocolos ARP, IP, ICMP.


Protocolo ARP:

El protocolo ARP tiene un papel clave entre los protocolos de capa de Internet
relacionados con el protocolo TCP/IP, ya que permite que se conozca la dirección física de una
tarjeta de interfaz de red correspondiente a una dirección IP. Por eso se llama Protocolo de
Resolución de Dirección (en inglés ARP significa Address Resolution Protocol).

Cada equipo conectado a la red tiene un número de identificación de 48 bits. Éste es un


número único establecido en la fábrica en el momento de fabricación de la tarjeta. Sin embargo,
la comunicación en Internet no utiliza directamente este número (ya que las direcciones de los
equipos deberían cambiarse cada vez que se cambia la tarjeta de interfaz de red), sino que utiliza
una dirección lógica asignada por un organismo: la dirección IP.

Para que las direcciones físicas se puedan conectar con las direcciones lógicas, el
protocolo ARP interroga a los equipos de la red para averiguar sus direcciones físicas y luego
crea una tabla de búsqueda entre las direcciones lógicas y físicas en una memoria caché.

Cuando un equipo debe comunicarse con otro, consulta la tabla de búsqueda. Si la dirección
requerida no se encuentra en la tabla, el protocolo ARP envía una solicitud a la red. Todos los
equipos en la red comparan esta dirección lógica con la suya. Si alguno de ellos se identifica con
esta dirección, el equipo responderá al ARP, que almacenará el par de direcciones en la tabla de
búsqueda, y, a continuación, podrá establecerse la comunicación. Para ello se envía un paquete

27
FIEE UNMSM
(ARP request) a la dirección de difusión de la red (broadcast (MAC = FF FF FF FF FF FF)) que
contiene la dirección IP por la que se pregunta, y se espera a que esa máquina (u otra) responda
(ARP reply) con la dirección Ethernet que le corresponde.

Protocolo IP:

El protocolo IP es parte de la capa de Internet del conjunto de protocolos TCP/IP. Es uno de los
protocolos de Internet más importantes ya que permite el desarrollo y transporte de
datagramas de IP (paquetes de datos), aunque sin garantizar su "entrega". En realidad, el
protocolo IP procesa datagramas de IP de manera independiente al definir su representación,
ruta y envío.

El protocolo IP determina el destinatario del mensaje mediante 3 campos:

 el campo de dirección IP: Dirección del equipo;


 el campo de máscara de subred: una máscara de subred le permite al protocolo IP
establecer la parte de la dirección IP que se relaciona con la red;
 el campo de pasarela predeterminada: le permite al protocolo de Internet saber a qué
equipo enviar un datagrama, si el equipo de destino no se encuentra en la red de área
local.

A continuación se indica cómo se ve un datagrama:

<-- 32 bits -->


Longitud
Versión del Tipo de servicio Longitud total
(4 bits) encabezado (8 bits) (16 bits)
(4 bits)
Identificación Indicador Margen del fragmento
(16 bits) (3 bits) (13 bits)
Tiempo de vida Protocolo Suma de comprobación del encabezado
(8 bits) (8 bits) (16 bits)
Dirección IP de origen (32 bits)
Dirección IP de destino (32 bits)
Datos

A continuación se indican los significados de los diferentes campos:

 Versión (4 bits): es la versión del protocolo IP que se está utilizando (actualmente se


utiliza la versión 4 IPv4) para verificar la validez del datagrama. Está codificado en 4 bits.
 Longitud del encabezado o IHL por Internet Header Length (Longitud del encabezado de
Internet) (4 bits): es la cantidad de palabras de 32 bits que componen el encabezado
(Importante: el valor mínimo es 5). Este campo está codificado en 4 bits.
 Tipo de servicio (8 bits): indica la forma en la que se debe procesar el datagrama.
 Longitud total (16 bits): indica el tamaño total del datagrama en bytes. El tamaño de
este campo es de 2 bytes, por lo tanto el tamaño total del datagrama no puede exceder
los 65536 bytes. Si se lo utiliza junto con el tamaño del encabezado, este campo permite
determinar dónde se encuentran los datos.

28
FIEE UNMSM
 Identificación, indicadores y margen del fragmento son campos que permiten la
fragmentación de datagramas. Esto se explica a continuación.
 TTL o Tiempo de vida (8 bits): este campo especifica el número máximo de routers por
los que puede pasar un datagrama. Por lo tanto, este campo disminuye con cada paso
por un router y cuando alcanza el valor crítico de 0, el router destruye el datagrama.
Esto evita que la red se sobrecargue de datagramas perdidos.
 Protocolo (8 bits): este campo, en notación decimal, permite saber de qué protocolo
proviene el datagrama.
o ICMP 1
o IGMP: 2
o TCP: 6
o UDP: 17
 Suma de comprobación del encabezado (16 bits): este campo contiene un valor
codificado en 16 bits que permite controlar la integridad del encabezado para establecer
si se ha modificado durante la transmisión. La suma de comprobación es la suma de
todas las palabras de 16 bits del encabezado (se excluye el campo suma de
comprobación). Esto se realiza de tal modo que cuando se suman los campos de
encabezado (suma de comprobación inclusive), se obtenga un número con todos los bits
en 1.
 Dirección IP de origen (32 bits): Este campo representa la dirección IP del equipo
remitente y permite que el destinatario responda.
 Dirección IP de destino (32 bits): dirección IP del destinatario del mensaje.

Protocolo ICMP:

ICMP (Protocolo de mensajes de control de Internet) es un protocolo que permite


administrar información relacionada con errores de los equipos en red. Si se tienen en cuenta
los escasos controles que lleva a cabo el protocolo IP, ICMP no permite corregir los errores sino
que los notifica a los protocolos de capas cercanas. Por lo tanto, el protocolo ICMP es usado por
todos los routers para indicar un error (llamado un problema de entrega).

Los mensajes de error ICMP se envían a través de la red en forma de datagramas, como
cualquier otro dato. Por lo tanto, los mismos mensajes de error pueden contener errores.

Sin embargo, si existe un error en un datagrama que lleva un mensaje ICMP, no se envía
ningún mensaje de error para evitar el efecto "bola de nieve", si hay un incidente en la red.

CONCLUSIONES

 El Wireshark es un programa muy útil para ese tipo de cosas, tanto para ahondar en
software que no conocemos como para investigar la seguridad de nuestro equipo. Por
contra, no es necesariamente un software extremadamente intuitivo, y por eso se
necesita experimentar con más filtros y probar a fondo el programa, o en todo caso leer
su manual de uso.
 El protocolo ARP tiene un papel clave entre los protocolos de capa de Internet
relacionados con el protocolo TCP/IP, ya que permite que se conozca la dirección física
de una tarjeta de interfaz de red correspondiente a una dirección IP. Por eso se llama

29
FIEE UNMSM
Protocolo de Resolución de Dirección (en inglés ARP significa Address Resolution
Protocol). Donde sí se requiere usar este protocolo para redes WAN o MAN el router
actuara como falso destinatario.
 Cada equipo conectado a la red tiene un número de identificación de 48 bits. Éste es un
número único establecido en la fábrica en el momento de fabricación de la tarjeta. Sin
embargo, la comunicación en Internet no utiliza directamente este número (ya que las
direcciones de los equipos deberían cambiarse cada vez que se cambia la tarjeta de
interfaz de red), sino que utiliza una dirección lógica asignada por un organismo: la
dirección IP.
 El comando tracert uso los tiempos de vida TTL para saber por cuantos router pasa la
trama para llegar a su destino, cuando un TTL excede entonces aumenta en 1 el TTL para
llegar al siguiente destino.
 Cuando se realice ping a otro host con un paquete de datos de muchos bytes, entonces
este se fragmentara en varias tramas IPv4 según sea su MTU, ya que cada trama admite
un máximo de bytes de data en su estructura.

BIBLOGRAFIA

[1] http://es.kioskea.net/contents/internet-2096316497
[2] http://cert.inteco.es/extfrontinteco/img/File/intecocert/EstudiosInformes/cert_inf_se
guridad_analisis_trafico_wireshark.pdf
[3] http://support.microsoft.com/kb/164015/es

30
FIEE UNMSM