Práctica de laboratorio: Explorar tráfico 

DNS
Objetivos
Parte 1: Capturar tráfico DNS
Parte 2: Explorar tráfico de consultas DNS
Parte 3: Explorar tráfico de respuestas DNS

Antecedentes / Escenario
Wireshark es una herramienta de captura y análisis de paquetes de código abierto. Wireshark proporciona un
desglose detallado de la pila de protocolos de red. Wireshark les permite filtrar tráfico para solucionar
problemas de red, investigar problemas de seguridad y analizar protocolos de red. Como Wireshark permite
ver los detalles de los paquetes, un atacante también puede utilizarla como herramienta de reconocimiento.
En esta práctica de laboratorio instalarán Wireshark en un sistema Windows y lo utilizarán para filtrar
paquetes DNS y ver los detalles de los paquetes de consultas y respuestas DNS.

Recursos necesarios
 1 PC Windows PC con acceso a Internet y Wireshark instalado

Parte 1: Capturar tráfico DNS

Paso 1: Descargar e instalar Wireshark

a. Instalen Wireshark para Windows.
b. Wireshark se puede descargar de www.wireshark.org.
c. Elija la versión de software que necesita según la arquitectura y el sistema operativo de la PC. Por
ejemplo, si tiene una PC de 64 bits con Windows, seleccione Instalador de Windows (64 bits).

d. Después de realizar la selección, comienza la descarga. La ubicación del archivo descargado depende
del navegador y del sistema operativo que utiliza. Para usuarios de Windows, la ubicación
predeterminada es la carpeta Descargas.

 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco Página 1 de 13 www.netacad.com
Práctica de laboratorio: Explorar tráfico DNS

e. El archivo descargado se denomina Wireshark-win64-x.x.x.exe, en el que x representa el número de

versión. Haga doble clic en el archivo para iniciar el proceso de instalación.
Responda los mensajes de seguridad que aparezcan en la pantalla. Si ya tiene una copia de Wireshark
en la PC, se le solicitará desinstalar la versión anterior antes de instalar la versión nueva. Se recomienda
eliminar la versión anterior de Wireshark antes de instalar otra versión. Haga clic en Sí para desinstalar la
versión anterior de Wireshark.

f. Si es la primera vez que instala Wireshark, o si lo hace después de haber completado el proceso de
desinstalación, navegue hasta el asistente para instalación de Wireshark. Haga clic en Siguiente.
g. Continúe avanzando por el proceso de instalación. Cuando aparezca la ventana Contrato de licencia,
haga clic en Acepto.

h. Guarde la configuración predeterminada en la ventana Elegir componentes y haga clic en Siguiente.

 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco Página 2 de 13 www.netacad.com
Práctica de laboratorio: Explorar tráfico DNS

i. Elija las opciones de método abreviado que desee y, a continuación, haga clic en Siguiente.

j. Puede cambiar la ubicación de instalación de Wireshark, pero, a menos que tenga un espacio en disco
limitado, se recomienda mantener la ubicación predeterminada. Hagan clic en Siguiente para continuar.
k. Para capturar datos de la red activa, WinPcap debe estar instalado en la PC. Si WinPcap ya está
instalado en la PC, la casilla de verificación Install (Instalar) estará desactivada. Si la versión instalada de
WinPcap es anterior a la versión que incluye Wireshark, se recomienda que permita que la versión más
reciente se instale haciendo clic en la casilla de verificación Install (Instalar) WinPcap x.x.x (número de
versión).
Finalicen el Asistente de configuración de WinPcap si lo están instalando y acepten el acuerdo de
licencia si es necesario. Hagan clic en Siguiente para continuar.

 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco Página 3 de 13 www.netacad.com
Práctica de laboratorio: Explorar tráfico DNS

l. NO instale USBPcap para la captura de tráfico normal. NO seleccione la casilla de verificación para
instalar USBPcap. USBPcap es experimental, y podría causar problemas en los dispositivos USB de
sus PC. Haga clic en Instalar para continuar.

m. Wireshark comienza a instalar los archivos, y aparece una ventana independiente con el estado de la
instalación. Haga clic en Siguiente cuando la instalación esté completa.

 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco Página 4 de 13 www.netacad.com
Práctica de laboratorio: Explorar tráfico DNS

n. Haga clic en Finish (Finalizar) para completar el proceso de instalación de Wireshark. Reinicien la
computadora si es necesario.

Paso 2: Capturar tráfico DNS

a. Hagan clic en Inicio y busquen Wireshark. Abran Wireshark e inicien una captura de Wireshark; para
ello, hagan doble clic en una interfaz de red con tráfico. En este ejemplo, Ethernet es la interfaz de red
con tráfico.

b. Hagan clic en Inicio y busquen Símbolo del sistema. Abran Símbolo del sistema.
c. En el símbolo del sistema, escriban ipconfig /flushdns y presionen Intro para borrar el caché de DNS.

d. Escriban nslookup y presionen Intro para ingresar al modo interactivo.

 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco Página 5 de 13 www.netacad.com
Práctica de laboratorio: Explorar tráfico DNS

e. Introduzcan el nombre de dominio del sitio web. En este ejemplo se utiliza el nombre de

dominio www.cisco.com.

f. Escriban exit cuando hayan terminado. Cierren el símbolo del sistema.

g. Hagan clic en Stop capturing packets (Dejar de capturar paquetes) para detener la captura de
Wireshark.

Parte 2: Explorar tráfico de consultas DNS

a. Observen el tráfico capturado en el panel Packet List (Lista de paquetes) de Wireshark. Introduzcan
udp.port == 53 en el cuadro de filtros y hagan clic en la flecha (o presionen Intro) para mostrar
solamente paquetes DNS.

b. Seleccionen el paquete que tiene la etiqueta Standard query 0x0002 A www.cisco.com.

c. En el panel Packet Details (Detalles del paquete), observen que este paquete tiene Ethernet II,
Internet Protocol Version 4, User Datagram Protocol y Domain Name System (query).

 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco Página 6 de 13 www.netacad.com
Práctica de laboratorio: Explorar tráfico DNS

d. Expandan Ethernet II para ver los detalles. Observen los campos de origen y de destino.

¿Qué sucedió con las direcciones MAC de origen y de destino? ¿Con qué interfaces de red están
asociadas estas direcciones MAC?
La dirección MAC de origen corresponde a la dirección física de la computadora portátil sobre la cual
estoy haciendo el laboratorio, la dirección MAC de destino corresponde a la MAC de la puerta de enlace
esto quiere decir mi router ADSL.

 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco Página 7 de 13 www.netacad.com
Práctica de laboratorio: Explorar tráfico DNS

e. Expandan Internet Protocol Version 4. Observen las direcciones IPv4 de origen y de destino.

¿Cuáles son las direcciones IP de origen y destino? ¿Con qué interfaces de red están asociadas estas
direcciones IP?
La dirección de origen corresponde a la IP de la tarjeta inalámbrica del equipo donde se esta realizando
el laboratorio y la dirección IP de destino corresponde a la IP del servidor DNS de Google.

 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco Página 8 de 13 www.netacad.com
Práctica de laboratorio: Explorar tráfico DNS

f. Expandan User Datagram Protocol. Observen los puertos de origen y de destino.

¿Cuáles son los puertos de origen y de destino? ¿Cuál es el número de puerto de DNS predeterminado?
El Puerto de origen es un puerto dinámico y para la captura de pantalla corresponde a 56609, el puerto
de destino es un puerto conocido y corresponde al peurto 53.

 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco Página 9 de 13 www.netacad.com
Práctica de laboratorio: Explorar tráfico DNS

g. Abran un símbolo del sistema e introduzcan arp –a e ipconfig /all para registrar las
direcciones MAC e IP de la PC.

Comparen las direcciones MAC e IP presentes en los resultados de Wireshark con los resultados de
ipconfig /all. ¿Cuál es su observación?
Según la verificación realizada por los comandos sugeridos, en el arp-a se puede observar que la
dirección MAC de la puerta de enlace corresponde a la información observada en la captura de paquetes
de Wireshark en la trama Ethernet, de igual forma la IP de origen y MAC de origen corresponde a la
información evidenciada Wireshark.exe - Acceso directo.
h. Expandan Domain Name System (query)) en el panel Packet Details. Después expandan Flags
(Marcadores) y Queries (Consultas).

 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco Página 10 de 13 www.netacad.com
Práctica de laboratorio: Explorar tráfico DNS

i. Observen los resultados. El marcador está definido para realizar la consulta recursivamente y así
consultar la dirección IP en www.cisco.com.

Parte 3: Explorar tráfico de respuestas DNS

a. Seleccionen el paquete DNS de respuestas correspondiente que tiene la etiqueta Standard query
response 0x000# A www.cisco.com.

¿Cuáles son las direcciones MAC e IP y los números de puerto de origen y de destino? ¿Qué similitudes
y diferencias tienen con las direcciones presentes en los paquetes de consultas DNS?
La diferencia de los paquetes de consulta con los paquetes de respuesta DNS es que las fuentes y
orígenes de los diferentes parámetros se intercambian, por ejemplo en Ethernet II en la respuesta el
origen es la MAC de la puerta de enlace y el destino es la MAC de la tarjeta inalámbrica del PC, por otro

 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco Página 11 de 13 www.netacad.com
Práctica de laboratorio: Explorar tráfico DNS

lado en el protocolo de internet versión 4 ahora la IP de origen corresponde a la IP del servidor DNS y la
IP de destino corresponde a la IP de la tarjeta de red y finalmente en el protocolo de datagrama de
usuarios los puertos se intercambian el origen es el puerto DNS 53 y el destino es el puerto dinámico en
este caso 58677.
b. Expandan Domain Name System (response). Después expandan Flags, Queries y Answers
(Respuestas).
c. Observen los resultados. ¿El servidor DNS puede realizar consultas recursivas? Según la imagen
capturada el servidor DNS puede realizar consultas recursicas.

d. Observen los registros CNAME y A en los detalles de las Respuestas. ¿Qué similitudes y diferencias
tienen con los resultados de nslookup?
Se observa que la información obtenida tanto en los registros CNAME como en el comando nslookup son
iguales lo cual se puede corroborar con el nombre, la dirección IP resulta y los Aliases que en la
comparación son iguales.

Reflexión
1. A partir de los resultados de Wireshark. ¿qué más pueden averiguar sobre la red cuando quitan el filtro?
Al quitar el filtro en Wireshark es posible conocer la información de todos los protocolos de comunicación que
están intercambiando datos desde la maquina a otros dispositivos desde la tarjeta de red algunos de estos
protocolos que se pueden consultar son TCP, ARP, ICMPV6, ICMP y HTTP entre otros.

 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco Página 12 de 13 www.netacad.com
Práctica de laboratorio: Explorar tráfico DNS

2. ¿De qué manera un atacante puede utilizar Wireshark para poner en riesgo la seguridad de sus redes?
Wireshark le puede permitir a un ciberdelincuente analizar el trafico de red que no se encuentre con medidas
de ciberseguridad como encriptación o cifrado por lo que podría obtener información sensible de los
usuarios.

Conclusiones
El análisis del tráfico de datos generado desde una interface por medio de Wireshark demuestra ser una
herramienta muy importante para un profesional dedicado a la seguridad y las redes de comunicación, ya
que permite consultar los parámetros, consultas y respuesta de los protocolos de comunicación, también
este análisis demuestra la vulnerabilidad de la información si no se aplican las medidas de seguridad
suficientes ya que la misma tarea de analizar los datos desde un punto de vista de ciberseguridad y análisis
de redes de comunicaciones también puede ser utilizado por ciberdelincuentes para conocer las
características de las redes de una compañía o sus parámetros de configuración.

 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco Página 13 de 13 www.netacad.com