3.8.8 Lab - Explore DNS Traffic

Práctica de Laboratorio: Explorar tráfico DNS
Objetivos
Parte 1: Capturar tráfico DNS
Parte 2: Explorar tráfico de consultas DNS
Parte 3: Explorar tráfico de respuestas DNS
Antecedentes / Escenario
Wireshark es una herramienta de captura y análisis de paquetes de código abierto. Wireshark proporciona un
desglose detallado de la pila de protocolos de red. Wireshark les permite filtrar tráfico para solucionar
problemas de red, investigar problemas de seguridad y analizar protocolos de red. Como Wireshark permite
ver los detalles de los paquetes, un atacante también puede utilizarla como herramienta de reconocimiento.
En esta práctica de laboratorio instalarán Wireshark en un sistema Windows y lo utilizarán para filtrar
paquetes DNS y ver los detalles de los paquetes de consultas y respuestas DNS.
Recursos Necesarios
 1 PC Windows con acceso a Internet y Wireshark instalado
Instrucciones
Paso 1: Capturar tráfico DNS
a. Abran Wireshark e inicien una captura de Wireshark; para ello, hagan doble clic en una interfaz de red
con tráfico.
 2017 - aa Cisco y/o sus filiales. Todos los derechos reservados. Información pública de Cisco Página 1 de 10
www.netacad.com
b. En el símbolo del sistema, escriban ipconfig/flushdns y borren el caché de DNS.

C:\Users\Student> ipconfig /flushdns
Configuración IP de Windows
Se vació con éxito la caché de resolución de DNS.

c. Presionen nslookup en la confirmación para acceder al modo interactivo de nslookup.
d. Introduzcan el nombre de dominio del sitio web. En este ejemplo se utiliza el nombre de
dominio www.cisco.com. Introduzcan “www.cisco.com”en el símbolo >prompt.
C:\Users\Student> nslookup
Servidor Predeterminado: Desconocido
Dirección: 68.105.28.16
> www.cisco.com
Servidor: Desconocido
Dirección: 68.105.28.16
Respuesta no autoritativa:
Nombre: e2867.dsca.akamaiedge.net
Direcciones: 2001:578:28:68d::b33
2001:578:28:685::b33
96.7.79.147
Alias: www.cisco.com
www.cisco.com.akadns.net
wwwds.cisco.com.edgekey.net
wwwds.cisco.com.edgekey.net.globalredir.akadns.net
e. Presionen exit una vez que haya terminado para salir del modo interactivo nslookup. Cierren el símbolo
del sistema.
f. Hagan clic en Stop capturing packets (Dejar de capturar paquetes) para detener la captura de
Wireshark.
Paso 2: Explorar Tráfico de Consultas DNS

a. Observen el tráfico capturado en el panel Packet List (Lista de paquetes) de Wireshark. Introduzcan
udp.port == 53 en el cuadro de filtros y hagan clic en la flecha (o presionen Intro) para mostrar
solamente paquetes DNS.
b. Seleccionen el paquete que tiene la etiqueta Standard query 0x0002 A www.cisco.com.
www.netacad.com
En el panel Packet Details (Detalles del paquete), observen que este paquete tiene Ethernet II,
Internet Protocol Version 4, User Datagram Protocol y Domain Name System (query).
c. Expandan Ethernet II para ver los detalles. Observen los campos de origen y de destino.
Pregunta:
¿Qué sucedió con las direcciones MAC de origen y de destino? ¿Con qué interfaces de red están
asociadas estas direcciones MAC?
Escriba sus respuestas aquí.
www.netacad.com
a. Expandan Internet Protocol Version 4. Observen las direcciones IPv4 de origen y de destino.
Pregunta:
¿Cuáles son las direcciones IP de origen y destino? ¿Con qué interfaces de red están asociadas estas
direcciones IP?
www.netacad.com
b. Expandan User Datagram Protocol. Observen los puertos de origen y de destino.
Pregunta:
¿Cuáles son los puertos de origen y de destino? ¿Cuál es el número de puerto de DNS predeterminado?
c. Abran un símbolo del sistema e introduzcan arp–a e ipconfig/all para registrar las direcciones MAC e IP
de la PC.
C:\Users\Student> arp -a
Interface: 192.168.1.10 --- 0x4

Dirección de Internet Dirección Física Tipo
192.168.1.1 cc-40-d0-18-a6-81 dinámico
192.168.1.122 b0-a7-37-46-70-bb dinámico
192.168.1.255 ff-ff-ff-ff-ff-ff estático
224.0.0.22 01-00-5e-00-00-16 estática
224.0.0.252 01-00-5e-00-00-fc estático
239.255.255.250 01-00-5e-7f-ff-fa estático
255.255.255.255 ff-ff-ff-ff-ff-ff estático
C:\Users\Studuent> ipconfig /all
Configuración IP de Windows
www.netacad.com
Host Name . . . . . . . . . . . . : DESKTOP

Primary Dns Suffix . . . . . . . :
Node Type . . . . . . . . . . . . : Híbrido
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
Ethernet adaptador Ethernet:
Sufijo de conexión específica DNS. :

Description . . . . . . . . . . . : Intel(R) PRO/1000 MT Desktop Adapter
Physical Address. . . . . . . . . : 08-00-27-80-91-DB
DHCP Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
Link-local IPv6 Address . . . . . : fe80::d829:6d18:e229:a705%4(Favorito)
IPv4 Address. . . . . . . . . . . : 192.168.1.10(Favorito)
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Lease Obtained. . . . . . . . . . : Martes 20 de Agosto, 2019 5:39:51 PM
Lease Expires . . . . . . . . . . : Miércoles 21 de Agosto, 2019 5:39:50 PM
Default Gateway . . . . . . . . . : 192.168.1.1
DHCP Server . . . . . . . . . . . : 192.168.1.1
DHCPv6 IAID . . . . . . . . . . . : 50855975
DHCPv6 IAID . . . . . . . . : 00-01-00-01-24-21-BA-64-08-00-27-80-91-DB
DNS Servers . . . . . . . . . . . : 68.105.28.16
68.105.29.16
NetBIOS over Tcpip. . . . . . . . : Habilitado
Pregunta:
Comparen las direcciones MAC e IP presentes en los resultados de Wireshark con los resultados de
ipconfig /all. ¿Cuál es su observación?
d. Expandan Domain Name System (query)) en el panel Packet Details. Después expandan Flags
(Marcadores) y Queries (Consultas).
www.netacad.com
Observen los resultados. El marcador está definido para realizar la consulta recursivamente y así
consultar la dirección IP en www.cisco.com.
www.netacad.com
Paso 3: Explorar Tráfico de Respuestas DNS

a. Seleccionen el paquete DNS de respuestas correspondiente que tiene la etiquetaStandard query
response 0x0002 A www.cisco.com.
Preguntas:
¿Cuáles son las direcciones MAC e IP y los números de puerto de origen y de destino? ¿Qué similitudes
y diferencias tienen con las direcciones presentes en los paquetes de consultas DNS?
www.netacad.com
b. Expandan Domain Name System (response). Después expandan Flags, Queries y Answers
(Respuestas). Observen los resultados.
Pregunta:
¿El servidor DNS puede realizar consultas recursivas?
c. Observen los registros CNAME y A en los detalles de las respuestas.

Pregunta:
¿Qué similitudes y diferencias tienen con los resultados de nslookup?

www.netacad.com
Pregunta de Reflexión
1. A partir de los resultados de Wireshark. ¿qué más pueden averiguar sobre la red cuando quitan el filtro?
2. ¿De qué manera un atacante puede utilizar Wireshark para poner en riesgo la seguridad de sus redes?
www.netacad.com

3.8.8 Lab - Explore DNS Traffic

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

3.8.8 Lab - Explore DNS Traffic

Cargado por

Copyright:

Formatos disponibles

Práctica de Laboratorio: Explorar tráfico DNS

b. En el símbolo del sistema, escriban ipconfig/flushdns y borren el caché de DNS.

Se vació con éxito la caché de resolución de DNS.

Paso 2: Explorar Tráfico de Consultas DNS

a. Expandan Internet Protocol Version 4. Observen las direcciones IPv4 de origen y de destino.

b. Expandan User Datagram Protocol. Observen los puertos de origen y de destino.

Escriba sus respuestas aquí.

Interface: 192.168.1.10 --- 0x4

C:\Users\Studuent> ipconfig /all

Host Name . . . . . . . . . . . . : DESKTOP

Ethernet adaptador Ethernet:

Sufijo de conexión específica DNS. :

Escriba sus respuestas aquí.

Paso 3: Explorar Tráfico de Respuestas DNS

¿El servidor DNS puede realizar consultas recursivas?

Escriba sus respuestas aquí.

c. Observen los registros CNAME y A en los detalles de las respuestas.

¿Qué similitudes y diferencias tienen con los resultados de nslookup?

Escriba sus respuestas aquí.

También podría gustarte