Wireshark Lab: Ethernet

and ARP v6.01

Supplement to Computer Networking: A Top-Down

Approach, 6th ed., J.F. Kurose and K.W. Ross

“Tell me and I forget. Show me and I remember. Involve me and I

understand.” Chinese proverb

© 2005-21012, J.F Kurose and K.W. Ross, All Rights Reserved

En esta práctica de laboratorio, investigaremos el protocolo Ethernet y el protocolo ARP.

Antes de comenzar esta práctica de laboratorio, probablemente querrá revisar las
secciones 5.4.1 (direccionamiento de capa de enlace y ARP) y 5.4.2 (Ethernet) en el
texto. RFC 826 (ftp://ftp.rfc-editor.org/in-notes/std/std37.txt) contiene los detalles
sangrientos del protocolo ARP, que utiliza un dispositivo IP para determinar la dirección IP
de una interfaz remota cuya dirección de Ethernet es conocida.

1. Captura y análisis de tramas Ethernet. Comencemos por capturar un conjunto de

marcos Ethernet para estudiar. Haz lo siguiente : • Primero, asegúrese de que la memoria
caché de su navegador esté vacía. Para hacer esto en Mozilla Firefox V3, seleccione
Herramientas-> Borrar historial reciente y marque la casilla de verificación Caché. Para
Internet Explorer, seleccione Herramientas-> Opciones de Internet-> Eliminar archivos.
Poner en marcha el sniffer de paquetes Wireshark • Introduzca la siguiente URL en su
navegador http://gaia.cs.umass.edu/wireshark-labs/HTTP-ethereal-lab-file3.html Su
navegador debe mostrar la bastante extensa Declaración de Derechos de los Estados
Unidos
• Detener la captura de paquetes de Wireshark. Primero, busque los números de paquete
(la columna más a la izquierda en la ventana superior de Wireshark) del mensaje HTTP
GET que se envió desde su computadora a gaia.cs.umass.edu, así como el comienzo del
mensaje de respuesta HTTP enviado a su computadora por gaia.cs.umass.edu. Debería
ver una pantalla que se parece a esto (donde el paquete 4 en la captura de pantalla
siguiente contiene el mensaje HTTP GET)
Dado que este laboratorio trata sobre Ethernet y ARP, no estamos interesados en los protocolos IP o de capa
superior. Así que cambiemos la ventana de "lista de paquetes capturados" de Wireshark para que muestre
información solo sobre los protocolos debajo de IP. Para que Wireshark haga esto, seleccione Analizar->
Protocolos habilitados. A continuación, desmarque la casilla IP y seleccione Aceptar. Ahora debería ver una
ventana de Wireshark que se ve así:
Para responder a las siguientes preguntas, deberá examinar los detalles del paquete y las ventanas
de contenido del paquete (las ventanas de visualización central e inferior de Wireshark).

Seleccione el marco Ethernet que contiene el mensaje HTTP GET. (Recuerde que el mensaje HTTP
GET se transporta dentro de un segmento TCP, que se transporta dentro de un datagrama IP, que
se transporta dentro de una trama Ethernet; vuelva a leer la sección 1.5.2 en el texto si encuentra
que esta encapsulación es un poco confusa) . Expanda la información de Ethernet II en la ventana
de detalles del paquete. Tenga en cuenta que el contenido de la trama de Ethernet (encabezado y
carga útil) se muestra en la ventana de contenido del paquete.

Responda las siguientes preguntas, en función del contenido del marco Ethernet que contiene el
mensaje HTTP GET. Siempre que sea posible, al responder una pregunta, debe entregar una copia
impresa del paquete (s) dentro de la traza que utilizó para responder a la pregunta formulada.
Anota la impresión para explicar tu respuesta. Para imprimir un paquete, use Archivo-> Imprimir,
seleccione Solo paquete seleccionado, elija Línea de resumen de paquete y seleccione la cantidad
mínima de detalles de paquete que necesita para responder la pregunta.
1. ¿Cuál es la dirección Ethernet de 48 bits de su computadora?

2. ¿Cuál es la dirección de destino de 48 bits en el marco de Ethernet? ¿Es esta la dirección

Ethernet de gaia.cs.umass.edu? (Pista: la respuesta es no). ¿Qué dispositivo tiene esto como su
dirección de Ethernet? [Nota: esta es una pregunta importante, y una en la que los estudiantes a
veces se equivocan. Vuelva a leer las páginas 468-469 en el texto y asegúrese de entender la
respuesta aquí.]

3. Indique el valor hexadecimal para el campo Tipo de trama de dos bytes. ¿A qué protocolo de
capa superior corresponde esto?

4. ¿Cuántos bytes desde el inicio de la trama de Ethernet aparece el ASCII “G” en “GET” en la
trama de Ethernet?

A continuación, responda las siguientes preguntas, basadas en el contenido del marco Ethernet
que contiene el primer byte del mensaje de respuesta HTTP.

5. ¿Cuál es el valor de la dirección de origen de Ethernet? ¿Es esta la dirección de su computadora

o de gaia.cs.umass.edu? (Sugerencia: la respuesta es no). ¿Qué dispositivo tiene esto como su
dirección de Ethernet?

6. ¿Cuál es la dirección de destino en el marco de Ethernet? ¿Es esta la dirección Ethernet de tu

computadora?

7. Indique el valor hexadecimal para el campo Tipo de trama de dos bytes. ¿A qué protocolo de
capa superior corresponde esto?

8. ¿Cuántos bytes desde el inicio de la trama de Ethernet aparece la "O" ASCII en "OK" (es decir, el
código de respuesta HTTP) aparece en la trama de Ethernet?

2. El protocolo de resolución de direcciones

En esta sección, observaremos el protocolo ARP en acción. Le recomendamos encarecidamente

que vuelva a leer la sección 5.4.1 del texto antes de continuar.

ARP Caching

Recuerde que el protocolo ARP generalmente mantiene un caché de pares de traducción de

direcciones IP a Ethernet en su computadora El comando arp (tanto en MSDOS como en Linux /
Unix) se usa para ver y manipular el contenido de este caché. Dado que el comando arp y el
protocolo ARP tienen el mismo nombre, es comprensible que sea fácil confundirlos. Pero tenga en
cuenta que son diferentes: el comando arp se usa para ver y manipular los contenidos de la caché
ARP, mientras que el protocolo ARP define el formato y el significado de los mensajes enviados y
recibidos, y define las acciones tomadas en la transmisión y recepción de mensajes.
Echemos un vistazo al contenido del caché ARP en su computadora:

• MS-DOS. El comando arp está en c: \ windows \ system32, así que escriba "arp" o "c: \ windows \
system32 \ arp" en la línea de comandos de MS-DOS (sin las comillas).

• Linux / Unix / MacOS. El ejecutable para el comando arp puede estar en varios lugares. Las
ubicaciones populares son / sbin / arp (para linux) y / usr / etc / arp (para algunas variantes de
Unix).

El comando arp de Windows sin argumentos mostrará el contenido de la caché ARP en su

computadora. Ejecute el comando arp.

9. Escriba el contenido de la caché ARP de su computadora. ¿Cuál es el significado de cada valor de

columna?

Para observar cómo su computadora envía y recibe mensajes ARP, debemos limpiar la caché ARP,
ya que de lo contrario, es probable que su computadora encuentre un par de traducción de
dirección IP-Ethernet en su caché y, por lo tanto, no necesite enviar un ARP. mensaje.

• MS-DOS. El comando arp –d * de MS-DOS borrará su caché ARP. La marca –d indica una
operación de eliminación, y el * es el comodín que dice que se deben eliminar todas las entradas
de la tabla.

• Linux / Unix / MacOS. El arp –d * borrará su caché ARP. Para ejecutar este comando necesitarás
privilegios de root. Si no tiene privilegios de root y no puede ejecutar Wireshark en una máquina
con Windows, puede omitir la parte de la recopilación de trazas de este laboratorio y simplemente
usar la traza que se analizó en la nota al pie de página anterior.

Observando ARP en acción

Haz lo siguiente :

• Borre su caché ARP, como se describe anteriormente.

• A continuación, asegúrese de que la memoria caché de su navegador esté vacía. Para hacer esto
en Mozilla Firefox V3, seleccione Herramientas-> Borrar historial reciente y marque la casilla de
verificación Caché. Para Internet Explorer, seleccione Herramientas-> Opciones de Internet->
Eliminar archivos.

• Poner en marcha el sniffer de paquetes Wireshark

• Introduzca la siguiente URL en su navegador

http://gaia.cs.umass.edu/wireshark-labs/HTTP-wireshark-lab-file3.html

Su navegador debería mostrar de nuevo la bastante extensa Declaración de Derechos de los

Estados Unidos.

• Detener la captura de paquetes de Wireshark. Nuevamente, no estamos interesados en los

protocolos IP o de capa superior, por lo que cambie la ventana de "listado de paquetes
capturados" de Wireshark para que muestre información solo sobre los protocolos debajo de IP.
Para que Wireshark haga esto, seleccione Analizar-> Protocolos habilitados. A continuación,
desmarque la casilla IP y seleccione Aceptar. Ahora debería ver una ventana de Wireshark que se
ve así:

En el ejemplo anterior, los dos primeros marcos de la traza contienen mensajes ARP (al igual que
el sexto mensaje). La captura de pantalla anterior corresponde a la traza a la que se hace
referencia en la nota al pie 1.

Responde las siguientes preguntas:

10. ¿Cuáles son los valores hexadecimales para las direcciones de origen y destino en el marco de
Ethernet que contiene el mensaje de solicitud ARP?

11. Indique el valor hexadecimal para el campo Tipo de trama de Ethernet de dos bytes. ¿A qué
protocolo de capa superior corresponde esto?

12. Descargue la especificación ARP de

ftp://ftp.rfc-editor.org/in-notes/std/std37.txt. Una discusión legible y detallada de ARP también

se encuentra en http://www.erg.abdn.ac.uk/users/gorry/course/inet-pages/arp.html.
a) ¿Cuántos bytes desde el principio del marco de Ethernet comienza el campo de código de
operación ARP?

b) ¿Cuál es el valor del campo de código de operación dentro de la parte de carga útil de ARP de la
trama de Ethernet en la que se realiza una solicitud de ARP?

c) ¿El mensaje ARP contiene la dirección IP del remitente?

d) ¿En qué lugar de la solicitud ARP aparece la "pregunta": la dirección Ethernet de la máquina
cuya dirección IP correspondiente se está consultando?

13. Ahora encuentre la respuesta ARP que se envió en respuesta a la solicitud ARP.

a) ¿Cuántos bytes desde el principio del marco de Ethernet comienza el campo de código de
operación ARP?

b) ¿Cuál es el valor del campo de código de operación dentro de la parte de carga útil de ARP de la
trama de Ethernet en la que se realiza una respuesta de ARP?

c) ¿En qué lugar del mensaje ARP aparece la "respuesta" a la solicitud ARP anterior: la dirección IP
de la máquina con la dirección Ethernet cuya dirección IP correspondiente se está consultando?

14. ¿Cuáles son los valores hexadecimales para las direcciones de origen y destino en el marco
Ethernet que contiene el mensaje de respuesta ARP?

15. Abra el archivo de rastreo ethernet-ethereal-trace-1 en http://gaia.cs.umass.edu/wireshark-

labs/wireshark-traces.zip. Los primeros y segundos paquetes ARP en esta traza corresponden a
una solicitud ARP enviada por la computadora que ejecuta Wireshark, y la respuesta ARP enviada
a la computadora que ejecuta Wireshark por la computadora con la dirección Ethernet solicitada
por ARP. Pero hay otra computadora en esta red, como lo indica el paquete 6 - otra solicitud ARP.
¿Por qué no hay respuesta de ARP (enviada como respuesta a la solicitud de ARP en el paquete 6)
en el rastreo de paquetes?

Crédito adicional

EX-1. El comando arp:

arp -s InetAddr EtherAddr

le permite agregar manualmente una entrada a la caché ARP que resuelve la dirección IP InetAddr
a la dirección física EtherAddr. ¿Qué pasaría si, cuando agrega manualmente una entrada, ingresa
la dirección IP correcta, pero la dirección Ethernet incorrecta para esa interfaz remota?

EX-2. ¿Cuál es la cantidad de tiempo predeterminada que una entrada permanece en su caché de
ARP antes de ser eliminada? Puede determinar esto empíricamente (controlando el contenido de
la memoria caché) o buscando esto en la documentación de su sistema operativo. Indique cómo /
dónde determinó este valor