Documentos de Académico
Documentos de Profesional
Documentos de Cultura
_____________________________
TRANSMISIÓN DE DATOS
CICLO 2023-I
INFORME DEL SEGUNDO LABORATORIO
TEMA:
INTEGRANTES:
PROFESOR:
Ing. FREDY CAMPOS AGUADO
Wireshark es una herramienta gratuita y de código abierto que permite analizar y capturar el tráfico de
red en tiempo real. Con Wireshark, los usuarios pueden inspeccionar los paquetes de datos que se
transmiten a través de la red y detectar posibles problemas de rendimiento o de seguridad.
Este programa es capaz de analizar una amplia variedad de protocolos de red, incluyendo TCP, UDP,
ICMP, IPv4, IPv6, DNS, HTTP, y muchos más. Además, Wireshark ofrece una serie de características
avanzadas, como la capacidad de filtrar paquetes por dirección IP, protocolo o puerto, así como la
capacidad de exportar datos capturados en diferentes formatos.
En este informe se proporcionará una breve introducción sobre el uso de Wireshark para capturar y
analizar paquetes de red, con el objetivo de que los usuarios comprendan cómo funciona la
herramienta y cómo utilizarla de manera efectiva para el análisis de protocolos de red.
OBJETIVOS
● Acceso a la red: Es necesario tener acceso a la red que se va a analizar. Esto puede incluir acceso
a routers, switches, hubs, y otros dispositivos de red.
● Hardware y software: Es necesario contar con un equipo que cumpla con los requisitos de
hardware y software del analizador de protocolos que se va a utilizar. Esto puede incluir una
computadora con suficiente capacidad de procesamiento y memoria, y el software específico del
analizador de protocolos.
● Licencia y configuración: Dependiendo del analizador de protocolos que se vaya a utilizar, en este
caso Wireshark, es posible que se requiera una licencia y una configuración específica del
software. Es importante seguir las instrucciones del fabricante para instalar y configurar el
analizador de protocolos adecuadamente.
● Acceso a los datos de red: Es necesario tener acceso a los datos de red que se van a analizar.
Esto puede incluir capturar el tráfico de red utilizando una herramienta de captura de paquetes
como Wireshark.
MARCO TEÓRICO
DESARROLLO
1 Requisitos previos
• Haber revisado material de sobre wireshark y material de clase.
• PCs o portátiles con tarjeta de red (de preferencia Ethernet) con sistema operativo Windows y/o Linux y acceso a
Internet.
• Aplicativo wireshark previamente instalado.
2 Topología referencial
PC
Win
PC I Inter
Win P net
1 Router
I
P Red
PC 2 LAN
Linu
x IP3
3 Objetivos
PC's de red
•
•
• En el siguiente nivel 3 que es internet podemos ver todo el encabezado de IP con los 20 bytes que tiene este
encabezado y aquí tenemos el ejemplo de nuestro modelo de capa TCP/IP
•
•
•
•
• Revisión de protocolos ICMP y DNS.
•
• En la siguiente imagen se muestra el ping que le hacemos a la IP de la puerta de enlace predeterminada
192.168.100.1
•
•
• Lugo utilizando el protocolo ICMP observaremos el tráfico y los paquetes que envía el equipo al router son 4 paquetes
que envía y 4 que recibe en total se puede visualizar 8 paquetes .
•
•
•
•
•
•
•
•
•
• En la imagen podemos observar una petición por medio del protocolo DNS , una consulta a las siguientes paginas
como google.com .
•
•
Nota: Recuerde que este comando genera paquetes de tipo ICMP Request y ICMP Reply.
• Una vez se han capturado los 20 paquetes, suspenda la ejecución de ping y observe los paquetes ICMP
recibidos, identificando todos los elementos del protocolo.
◦ En la cabecera Ethernet:
▪ Identifique las direcciones MAC (origen y destino), detalle su formato y valor.
▪ Localice el campo relacionado al tipo de protocolo encapsulado en Ethernet, indique su valor y detalle
el protocolo al que hace referencia. Investigue otros posibles valores de este campo y explique
brevemente los protocolos asociados.
Detalles: IPv4 hace referencia a la cuarta versión del Protocolo de Internet. IPv4 se utiliza para
enrutar paquetes de datos a través de una red de computadoras y proporciona servicios de
entrega de paquetes sin conexión, no confiables y sin estado.
0x0806 ARP : es un protocolo de la capa de enlace de datos utilizado para encontrar la dirección
física (MAC) de un dispositivo en una red local a partir de su dirección IP
0x86DD IPv6 : es la sexta versión del Protocolo de Internet (Internet Protocol, en inglés) y es el
sucesor de IPv4. IPv6 utiliza direcciones IP de 128 bits, lo que permite un número mucho mayor
de direcciones únicas que IPv4
0x8100 VLAN Tagged Frame : es un protocolo de la capa de enlace de datos que se utiliza para
crear redes virtuales en una red física
El tamaño es de 98 bytes.
◦ En la cabecera IP:
▪ Identifique los campos que hacen referencia a la longitud de la cabecera y longitud total del paquete.
Formato presentado : El formato de una dirección IPv4 consta de cuatro bloques de números decimales
separados por puntos, cada uno de los cuales puede tener un valor entre 0 y 255.Cada bloque se puede
representar en binario utilizando 8 bits (un octeto) y la dirección IP completa se puede representar en binario
utilizando 32 bits (4 octetos).
▪ Ubique el campo dentro de la cabecera que identifica el protocolo encapsulado en IP, indique su valor
y detalle el protocolo al que hace referencia. Investigue otros posibles valores de este campo y explique
brevemente los protocolos asociados.
▪ Identifique el campo dentro de la cabecera que hace referencia a la fragmentación. Señale el valor que
encontró y que entienden por el mismo.
Se encontró el valor de “010. .... = Flags: 0x2, Don't fragment”.
El valor "0x2" indica que el paquete no debe ser fragmentado, lo que significa que si el tamaño del paquete
excede el MTU de la red, se descarta el paquete en lugar de fragmentarlo.
El bit "010" que precede a los Flags es el tercer bit en el campo "Flags". En este caso, indica que se establece
el bit "Don't fragment", ya que su valor es 1.
En conclusión, como el paquete no excede el MTU de la red, no debe ser fragmentado.
El tipo de información que corresponde a un paquete “Echo Reply” es 0 este valor se puede visualizar en la
imagen inferior.
▪ Investigue qué otros valores puede tener este campo para ICMP y a que protocolos hace referencia.
El campo Type del Protocolo de Mensajería de Control de Internet (ICMP) puede tomar muchos valores
diferentes, con cada uno indicando un tipo de mensaje de control diferente. Algunos de estos valores
incluyen:
0: Eco-respuesta
3: Destino inalcanzable
5: Redirección
8: Eco de solicitud
11: Tiempo de vida agotado
12: Problema en los paquetes de parámetros
13: Solicitud de tiempo de vida
Cada uno de estos valores se utiliza para indicar un problema o mensaje de control diferente. Por
ejemplo, un valor de 0 se usa para indicar una respuesta a una solicitud de eco, mientras que un
valor de 11 se usa para indicar un tiempo de espera del paquete. El protocolo ICMP se usa
comúnmente para proporcionar información de control y gestión en redes informáticas. Se utiliza
junto con otros protocolos, como IP y ARP, para permitir que los dispositivos de red se
comuniquen entre sí y para solucionar problemas y errores de red.
▪ Observe los identificadores (BE y LE) y números de secuencia (BE y LE) tanto para paquetes Request
y Reply, señale los valores encontrados.
▪ Explique su significado y como es usado por ICMP para su operación. Investigue que otros valores
pueden tomar.
Los números de secuencia BE y LE indican el orden en que se envían y reciben los paquetes en
una comunicación. BE significa "big endian", lo que significa que el byte más significativo se
envía primero, y LE significa "little endian", lo que significa que el byte menos significativo se
envía primero.
Con respecto a los números de secuencia de los paquetes de solicitud y respuesta, normalmente se
utilizan números de secuencia incrementales en ambas direcciones de comunicación. Esto
significa que cada paquete se identifica mediante un número de secuencia único que se incrementa
para cada paquete enviado o recibido. Por ejemplo, si el primer paquete enviado tiene un número
de secuencia de 1, el siguiente paquete tiene un número de secuencia de 2 y así sucesivamente.
En resumen,se utiliza BE y LE para indicar el orden de los bytes en los datos dentro de los
paquetes de solicitud y respuesta en función del tipo de sistema o tecnología de red utilizada.
Algunos valores que pueden tomar estos identificadores (BE y LE) dependen del contexto en el
que se utilicen, pero en general, se refieren a la codificación de byte más significativo o
menos significativo.
▪ Identifique los campos “code” y “checksum” y señale sus valores. Explique a que hace referencia cada
uno y que otros posibles valores pueden tener.
▪ Considerando que un factor importante para ICMP es medir el tiempo de retardo, indique el campo
relacionado dentro de la cabecera que hace referencia a ello. Investigue y explique como interpretar
los valores asociados en hexadecimal a este y el formato seguido a fin de que se identifique los detalles
medidos(ejm fecha, hora y tiempo de retardo)
• Defina un filtro escribiendo el nombre del protocolo que desea ver en la barra de filtro y otros parámetros necesarios.
Se le pide que realice un filtro y provea su sintaxis:
◦ Para visualizar paquetes ICMP que sean enviados y recibidos únicamente por su computador:
◦ NOTA:
▪ Recuerde iniciar primero su analizador wireshark antes de generar los paquetes de prueba, de lo contrario es
posible que no logre obtener toda la captura deseada.
• Examine el contenido del protocolo para la aplicación DNS obtenido al resolver el acceso a las páginas previamente
requeridas.
Realizar:
• Analizando los paquetes capturados, ubique los servidores DNS vía el filtro respectivo para cada una de
las peticiones previas:
◦ Indique las direcciones IP del servidor ó servidores DNS que encontró para su red.
◦ Ubique la primera petición relacionado a la consulta ó “query” que su PC envío, tal como se indica como
ejemplo la gráfica inferior:
▪ Dentro de la cabecera IP revise los campos y responda:
• ¿Cuál es el tamaño total del paquete IP y explique como lo obtiene?
● www.cisco.com
● www.google.com
• ¿Cuál es el protocolo encapsulado en el paquete y que valor muestra el campo que lo identifica?
▪ Identifique la cabecera UDP:
• Identifique el puerto origen y el puerto destino del mensaje y señale sus valores.
• Compare los resultados anteriores con los valores de otras peticiones “query” dentro de su captura. ¿Son
los mismos valores? ¿Cuáles son similares y cuales diferentes?. Investigue y
fundamente porque toman los valores que encontró para el puerto origen y destino.
● El puerto de origen es un número generado aleatoriamente por el dispositivo de envío para
identificar la conversación entre los dos dispositivos
● El puerto de destino es el número introducido por el cliente para informar al servidor de
destino del servicio solicitado. Este servidor puede ofrecer múltiples servicios al mismo
tiempo.
● La combinación de ambas direcciones se denomina "socket" y se utiliza para identificar el
servicio solicitado por el servidor y el cliente.
● Los puertos de origen y destino están en segmentos encapsulados, que están contenidos en
el paquete IP que contiene la dirección de origen y meta.
• ¿Qué otros campos identifica en la cabecera UDP?¿Cuáles son sus valores?. Investigue y explique la
aplicación y uso de cada uno de ellos.
▪ Identifique al protocolo DNS:
• Visualice el contenido de los campos e indique el valor mostrado en la parte “queries”.
¿Cuáles son los valores del nombre consultado, tipo y clase?. Explique detalladamente el
significado de cada uno. Adicionalmente investigue todos los tipos de código de consulta disponible para
el DNS e indique aquellos que son más usados por un usuario común.
◦ Ahora ubique el paquete DNS que su PC obtuvo como respuesta ó “response” a la consulta (query) anteriormente
analizada y repita los mismos pasos anteriores respondiendo a las cuestiones dadas.
• Analice las conversaciones realizadas entre los diferentes hosts que muestran dentro del menú de estadísticas: Menú
→ Statistics → Conversations. Notará que se muestran informaciones para protocolos de diferentes niveles:
Ethernet, IPv4, IPv6, TCP y UDP (Un ejemplo de conversaciones
realizadas se muestra en la gráfica inferior)
◦ ¿Qué direcciones MAC se indican?, ¿Cuáles son las direcciones unicast que Ud identifica?
◦ ¿Qué direcciones IPv4 e IPv6 encuentra?
◦ ¿Qué puertos TCP y UDP fueron utilizados?
ETHERNET
IPV4
IPV6
TCP
• Ahora visualice la secuencia de intercambio de paquetes en un diagrama gráfico a fin de tener un mejor entendimiento
de la forma como fluyen los datos: Menú → Statistics → Flow Graph. (Un ejemplo se muestra en la gráfica
inferior)
◦ Encuentre la secuencia relacionada a su consulta DNS y señale gráficamente toda la secuencia seguida hasta que
su computador llega a alcanzar el nombre destino en consulta.
USO DEL PROTOCOLO DNS
TCP: es un protocolo de transporte que se usa sobre IP para asegurar transmisión confiable de paquetes.
UDP: El protocolo de datagramas de usuario es un protocolo del nivel de transporte basado en la transmisión sin
conexión de datagramas y representa una alternativa al protocolo TCP
ICMP: El Protocolo de control de mensajes de Internet (ICMP) es un protocolo en la capa de red que utilizan los
dispositivos de red para diagnosticar problemas de comunicación en la red.
DNS: El sistema de nombres de dominio es un sistema de nomenclatura jerárquico descentralizado para dispositivos
conectados a redes IP como Internet o una red privada.
IPV4: El Protocolo de Internet versión 4 es la cuarta versión del Internet Protocol, un protocolo de interconexión de
redes basados en Internet, y que fue la primera versión implementada en 1983 para la producción de ARPANET
IPV6: El IPv6 es una actualización al protocolo IPv4, diseñado para resolver el problema de agotamiento de
direcciones.
HTTP: El Protocolo de transferencia de hipertexto es el protocolo de comunicación que permite las transferencias de
información a través de archivos en la World Wide Web.
RESUMEN DE INVESTIGACIONES
En el primer laboratorio se realizó una investigación sobre los equivalentes en Linux (para la distribución que Ud.
está usando) de los comandos usados en el inciso a:
El primer comando que se utilizó es ipconfig, el cual muestra solo los datos esenciales como la Dirección IP, la
Máscara de red y la Puerta de enlace, para cada adaptador encontrado. En cuanto al comando ipconfig /all , esto
muestra toda la información disponible. En Linux, ifconfig/all es un comando que muestra detalles sobre todas
las interfaces de red disponibles en el sistema. Puede proporcionar información como la dirección IP asignada a
la interfaz, la dirección MAC, la máscara de subred, el estado de la interfaz, entre otros detalles técnicos. Es útil
para diagnosticar problemas de red y para obtener información sobre la configuración de red del sistema. Sin
embargo, en distribuciones modernas de Linux, ifconfig es considerado obsoleto y se recomienda el uso de
lsusb/ip en su lugar.
Así mismo se hizo uso del comando ipconfig /renew el cual se usa para renovar la dirección IP asignada a una
interfaz de red.En Windows, se utiliza en la línea de comandos para renovar la dirección IP de un dispositivo
conectado a una red DHCP (Dynamic Host Configuration Protocol). En Linux, el comando similar es "dhclient -v"
para renovar la dirección IP. Ambos comandos son útiles cuando se necesita renovar la dirección IP después de
que se ha producido un error en la conexión de red.
Por último, se utilizó el comando ipconfig /flushdns se utiliza para borrar la memoria caché DNS (Domain Name
System) en un computador Windows o Mac. La memoria caché DNS contiene información sobre los nombres de
dominio y direcciones IP de los sitios web que se han visitado recientemente. Al borrar la memoria caché DNS,
se obliga al sistema a buscar la información actualizada del servidor DNS, lo que puede ayudar a solucionar
problemas de conectividad a sitios web o problemas de resolución de nombres de dominio. FlushDNS es un
comando específico de Windows y no tiene equivalente directo en Linux. Sin embargo, en Linux, puede limpiar el
caché de DNS utilizando el comando "sudo systemd-resolve --flush-caches". Esto ayuda a eliminar cualquier
información almacenada en caché de DNS que pueda estar obsoleta y actualizarla con la información más
reciente.
En el segundo laboratorio se realizaron una serie de investigaciones respecto a algunos paquetes usados en la
cabecera ICMP, el primero de ellos es el tipo de información correspondiente al paquete “Echo Request” el cual
es 8 y el "tipo" de información correspondiente a un paquete "Echo Reply" es 0. Asi mismo, se
mencionan algunos valores para este campo ICMP:
En cuanto a los identificadores BE y LE , se utilizan para indicar la forma en que se codifican los datos
en paquetes de solicitudes (Request) y respuestas (Reply) en sistemas de comunicación. Cuando se
utiliza BE, los bytes de datos se envían en orden de bits más significativos (MSB) a bits menos
significativos (LSB).Por otro lado, cuando se utiliza LE, los bytes de datos se envían en el orden
opuesto: de bits menos significativos (LSB) a bits más significativos (MSB). Los identificadores BE y
LE pueden tomar diferentes valores dependiendo del contexto, sin embargo en términos generales
estos se refieren a la codificación de byte más significativo o menos significativo.
Por último se realizo una pequeña investigación acerca del campo relacionado con la medición de
tiempo de retardo en ICMP es el campo de tiempo de vida (TTL, por sus siglas en inglés) que se
encuentra en la cabecera IP.El TTL representa el número de saltos que un paquete puede realizar a
través de la red antes de que sea descartado. Cada vez que el paquete pasa por un enrutador, el valor
del TTL se decrementa en uno. Cuando el TTL llega a cero, el paquete es descartado y se envía un
mensaje ICMP de tiempo de vida excedido (Time Exceeded).
CONCLUSIONES
1. Se concluye que analizar la cabecera ICMP en Wireshark proporciona información importante sobre
la comunicación entre dispositivos en una red. ICMP se usa para enviar mensajes de control y error
en la red, y su análisis puede ayudar a identificar problemas de conectividad y diagnóstico de
errores. Al examinar la cabecera ICMP en Wireshark, se puede ver información como el tipo de
mensaje ICMP, el código de mensaje, la dirección IP de origen y destino, la hora en que se envió el
mensaje y otra información relevante. Esta información puede ser utilizada para identificar
problemas de conectividad, diagnóstico de errores y configuración de red.
2. En conclusión, el protocolo IPv4 es uno de los protocolos de red más utilizados y establecidos en la
actualidad. IPv4 es un protocolo sin conexión, lo que significa que cada paquete se enruta de forma
independiente y no se establece una conexión previa entre los dispositivos. También es un protocolo
basado en datagramas, lo que significa que cada paquete se divide en paquetes más pequeños antes
de ser enviado y luego se vuelven a unir en el destino.
3. Las estadísticas proporcionadas por Wireshark utilizando la jerarquía de protocolos son muy útiles
para comprender la naturaleza del tráfico de red y para identificar patrones y tendencias. Las
estadísticas mostradas incluyen información sobre el número de paquetes capturados, la cantidad de
datos transferidos, la tasa de transmisión, la duración de las sesiones, entre otros. Así mismo, la
información estadística puede ser utilizada para identificar problemas en la red, para optimizar y
mejorar su rendimiento.
4. Al analizar el protocolo DNS en Wireshark, se pudo identificar problemas de resolución de nombres
de dominio, como errores en la resolución de DNS, tiempo de espera excesivo o errores de formato
de paquete DNS. También es posible ver cuántas veces se realizan consultas para un nombre de
dominio específico, lo que puede ser útil para identificar patrones de tráfico y posibles problemas de
rendimiento.
5. Se concluye que el campo “code” en ICMP es usado para proporcionar información sobre el tipo de
mensaje y el campo "checksum" se utiliza para garantizar la integridad de los datos contenidos en el
paquete.
6. Los identificadores BE y LE (big endian y little endian) se utilizan para indicar el orden de los bytes
dentro de un paquete ICMP. Se utilizan diferentes identificadores en los paquetes de solicitud y
respuesta para garantizar una comunicación inequívoca y eficaz entre los dispositivos de red.
RECOMENDACIONES
● Es importante verificar la dirección IP del host antes de buscar el protocolo ICMP en Wireshark,
además tener en cuenta el tipo de información que proporciona un paquete “Echo Request” y un
paquete “Echo Reply”.
● Al utilizar estadísticas en Wireshark, es importante tener en cuenta que las estadísticas solo
proporcionan una instantánea de la actividad de la red en un momento determinado. Por lo tanto, es
importante tomar varias capturas de paquetes en diferentes momentos para obtener una visión más
completa del tráfico de red.
● Se recomienda que para capturar paquetes en una red, se necesitan permisos especiales en el sistema
operativo. Si se usa Wireshark en un sistema operativo basado en Unix, se debe de asegurar de tener
los permisos necesarios para capturar tráfico en la red.