Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Reporte de la Práctica 3
Sección 1: Introducción
1. A nivel de infraestructura de la red organizacional, ¿dónde debemos colocar un sensor de
análisis de tráfico y que acciones hay que realizar para habilitarlo?
Una ubicación estratégica sería colocarlo en un lugar donde se puede monitorear todo el tráfico
de la red, esto significa que debemos de colocarlo donde la mayoría de las conexiones de los
dispositivos convergen, y el lugar indicado para esto sería en el switch central o en el router
principal. Además, se debe de configurar un equipo para que este pueda analizar el tráfico de
manera óptima.
2. Describa qué es un archivo PCAP
En este tipo de archivos se puede guardar y capturar datos de paquetes de red, estos archivos
suelen ser generados por programa de captura de paquetes de red como Wireshark y tcpdump.
Este tipo de archivos contienen toda la información necesaria para reconstruir los paquetes de
datos capturados, y esto incluye: Direcciones IP de origen y destino, protocolo utilizado, datos de
carga útil entre otros detalles. Los archivos PCAP también suelen servir en el análisis forense de
rede, depuración de problemas de red y para realizar pruebas de seguridad de la red.
Archivo conceptos.pcap
1
2. ¿Cuál es la opción en tcpdump para que no resuelva el DNS?
R= tcpdump -nnx -r conceptos.pcap, esto también puede solicitarse con -x, debido a que
esa instrucciones le dice a tcpdump que muestre los datos en hexadecimal.
4. En el registro 1, ¿qué protocolo está embebido en la cabecera IP?
2
R= El time t olive es 255 o puede aparecer como un ff
6. ¿Qué opción de tcpdump permite ver las direcciones MAC origen y destino?
3
9. ¿Cuáles 3 protocolos en capa de aplicación son observables?
4
Son 4, como se puede ver en la pantalla
Es 0x0800.
5
14. En el registro 1 ¿cuál es el valor en decimal del TTL?
6
22. Examine los registros 3, 4 y 5 ¿Qué está pasando en esta conversación? ¿Puede ser un
ataque? En caso afirmativo ¿qué intenta el atacante?
R=
El equipo 192.168.11.44 vuelve a preguntar por una dirección MAC; pero obtiene 2
respuestas, si puede ser un ataque, intenta hacerse pasar por un equipo conocido, que
sería el 192.168.11.111.
23. De los registros 6 al 55 ¿Cuál es la dirección MAC origen para estas solicitudes?
R= 00:07:0d:af:f4:54
24. ¿Cuál será el propósito de estas peticiones?
R= Identificar direcciones IP duplicadas.
25. En los últimos tres registros 56 al 58, ¿Qué está ocurriendo? El archivo arpwatch.txt
muestra una bitácora asociada a esta actividad.
R= Se pregunta por la dirección MAC de la ip 192.168.11.13 y es 00:0c:29:03:23:19 y
después cambia la dirección MAC a 11:22:33:44:55:66. Es decir el usuario cambio su
dirección MAC; aunque esta es una tarea compleja, no es imposible.
26. En el último registro, en la capa de ARP ¿Qué significa Gratuitous ARP?
R= Este tipo de ARP es una solicitud de ARP que por lo general viene realizada por el host
de un equipo y que normalmente se utiliza para la identificación de direcciones IP
duplicadas.
En otras palabras, lo que hace el ARP gratuito es actualizar la tabla ARP de otros
dispositivos de red y al mismo tiempo lo que hace es verificar si el host del equipo está
utilizando tu dirección IP original o si por el contrario está utilizando una dirección IP que
se encuentra duplicada.
Archivo ipv4.pcap
27. En el primer registro ¿Cuál es el valor del offset de fragmentación que está en la IP
header?
7
1. La dirección IP de destino es un nombre y no una dirección IP.
2. La versión del protocolo Ip es incorrecta.
29. En el registro 3 ¿Identifique el o los errores que se presentan?
30. Los registros 5, 6 y 7 son fragmentos relacionados. ¿Qué anormalidad identifica?
Archivo fragment.pcap
31. Los dos primeros registros son fragmentos relacionados (mismas direcciones origen y
destino, mismo protocolo, mismos puertos y mismo ID). ¿Qué fragmento o fragmentos
faltan?
32. ¿Identificas algún registro que refleje la condición de error del reactivo 31? Si fuera el caso
¿qué registro sería y por qué?
33. ¿Qué error identificas en el registro 5?
34. Los registros 8 al 13 parecen anormales ¿Cuáles serían las razones?
35. ¿Cuántos registros asociados a ICMP echo request hay en el pcap?
R= 4.
Archivo wireshark-df.pcap
36. ¿Cuáles son los registros donde la consulta de nombres a DNS contiene la cadena:
glenhighland?
R=El 101.
37. ¿Cuántos registros son ARP request?
R= 16.
8
38. ¿Cuántos registros son ARP Gratuitous?
R= 1 (El número 14).
39. Crea un nuevo archivo llamado pcap, que contenga solo paquetes asociados con el servicio
dns, llamado dns.pcap ¿Cuántos registros tiene el nuevo archivo?
R= 10
En mi caso capture del puerto 5353 ya que mi red local esta configurada con Mdns.
40. ¿Cuál es el número de registros en donde existen opciones adicionales en la IP header y
que además tiene encendido los valores “Copy into all fragments” + “Datagram control” +
“Loose source route”? Utilice la siguiente imagen como apoyo.
El o los alumnos, deberán identificar y desarrollar un escenario de uso real aplicado a las
organizaciones modernas, teniendo como base tecnológica o procedimental lo utilizado en la
práctica. Se espera en esta sección, una descripción clara, factible y detallada del escenario
propuesto.
Bibliografía
9
10