Asignatura Datos del alumno Fecha

Ciberseguridad Apellidos:
Industrial Nombre:

INDICE

1. Configuración.....................................................................................................3

1.1. Instalación...................................................................................................... 3

1.2. Preguntas Que Investigar...............................................................................4

2. Observar el protocolo TCP de enlace de tres vías.............................................6

3. Protocolo ICMPv6.............................................................................................. 9

4. Bibliografía:......................................................................................................15

TABLA DE ILUSTRACIONES
Imagen 1 Descarga.......................................................................................................2
Imagen 2 Componentes...............................................................................................3
Imagen 3 Instalación....................................................................................................3
Imagen 4 Iniciando wireshark......................................................................................6
Imagen 5 Captura de conexión....................................................................................6
Imagen 6 IP servidor DNS............................................................................................7
Imagen 7 Puerto de origen..........................................................................................8
Imagen 8 Puerto de destino.........................................................................................8
Imagen 9 Valores puerto de origen y destino..............................................................8
Imagen 10 Indicadores trama......................................................................................8
Imagen 11 Enlace de tres vias......................................................................................9
Imagen 12 Captura interfaz wifi.................................................................................10
Imagen 13 Ping google...............................................................................................10
Imagen 14 Protocolo icmpv6.....................................................................................11
Imagen 15 Protocolo icmpv6.....................................................................................11
Imagen 16 paquetes..................................................................................................11
Imagen 17 Longitud de trama....................................................................................12
Imagen 18 Obtención de mac....................................................................................12
 Asignatura Datos del alumno Fecha
Ciberseguridad Apellidos:
Industrial Nombre:

Imagen 19 Dirección Mac..........................................................................................13

Imagen 20 Trama de eternet.....................................................................................13
Imagen 21 IP destino.................................................................................................14
Imagen 22 Comprobación de datos...........................................................................14
Imagen 23 Direcciones MAC de origen y destino.......................................................15
 Asignatura Datos del alumno Fecha
Ciberseguridad Apellidos:
Industrial Nombre:

ANÁLISIS DE PAQUETES DE CONEXIÓN A LA RED CON WIRESHARK (GRUPAL)

1. Configuración
1.1. Instalación
Una vez descargado el instalador del Wireshark para Windows lo ejecutamos y le
damos los permisos de instalación.

Imagen 1 Descarga

Imagen 2 Componentes

Imagen 3 Instalación
 Asignatura Datos del alumno Fecha
Ciberseguridad Apellidos:
Industrial Nombre:

1.2. Preguntas Que Investigar

¿Qué es el modo promiscuo cuando se habla de interfaces de red?
“En informática, el modo promiscuo es aquel en el que una computadora conectada
a una red compartida, tanto la basada en cable de cobre como la basada en tecnología
inalámbrica, captura todo el tráfico que circula por ella” (Francisco Lázaro Domínguez, 2019).
Por otro lado, el escritor de la página web Keepcoding nos indica que “Una
configuración específica de una interfaz de red, en la cual la tarjeta de red acepta todos los
paquetes que atraviesan la red, independientemente de si están destinados a ella o no”
(KeepCoding, 2023).
Esto nos indica que es el modo promiscuo, tiene una interfaz de red que tiene la
capacidad de capturar todos los paquetes que atraviesan la red, incluso aquellos que no
están destinados específicamente a esa interfaz particular.
¿Qué es un analizador de protocolos, y para qué es útil?
“Un analizador de protocolos es una herramienta que sirve para desarrollar y
depurar protocolos y aplicaciones de red. Permite al ordenador capturar diversas tramas de
red para analizarlas, ya sea en tiempo real o después de haberlas capturado” (Carlos
Caballero Gonzalez, 2017).
Complementando el concepto de analizador de protocolos Mayordomo Pérez nos
indica: “Un analizador de protocolos es un equipo de telecomunicaciones capaz de
monitorizar el tráfico que pasa por una red e interpretarlo mediante unas reglas establecidas
(protocolos).” (Samuel, 2003)
Por lo tanto, un analizador de protocolos es sniffer que escucha todo el tráfico de la
red y este puede capturar y analizar todos sus paquetes con el propósito de analizar el flujo
de datos/paquetes que este contengan.
¿Qué otras herramientas diferentes a Wireshark te permiten realizar análisis de trafico de
red?
La herramienta de Wireshark hoy en día es muy útil y popular para los ingenieros
forenses o de Networking los cuales permiten capturar y analizar todo el tráfico que existe
en una red. Actualmente también existen herramientas que realizan trabajos similares a
Wireshark y son lo siguiente:
 Asignatura Datos del alumno Fecha
Ciberseguridad Apellidos:
Industrial Nombre:

 TCPDUMP: Es una herramienta de línea de comandos que, al igual que Wireshark,

permite la captura y análisis de paquetes en una red. Es especialmente potente para
usuarios con conocimientos avanzados de redes. (Luz, 2023)
 Ethereal: Antes de que Wireshark cambiara su nombre, se llamaba Ethereal.
Wireshark es esencialmente la versión mejorada y actualizada de Ethereal, pero aún
puedes encontrar menciones de Ethereal en algunos entornos. (Facultad de Ciencias
Exactas)
 Microsoft Network Monitor: Una herramienta de análisis de red desarrollada por
Microsoft que permite la captura y análisis de tráfico en redes de Windows. Es
especialmente útil en entornos donde se utilizan sistemas operativos Windows.
(Manage Engine OpManager, s.f.)
 Tshark: Es la versión de línea de comandos de Wireshark. Ofrece funcionalidades
similares a Wireshark, pero se ejecuta en modo texto, lo que puede ser útil en
entornos sin interfaz gráfica. (Ministerio del Interiror y Seguridad Publica , 2021)
 NGREP: Permite realizar búsquedas avanzadas en la captura de tráfico utilizando
expresiones regulares. Es útil para buscar patrones específicos en los paquetes
capturados. (Alfon, 2010)
 Netcat (nc): Aunque no es una herramienta de análisis de tráfico en sí misma, Netcat
puede ser utilizada para la captura y transferencia de datos a través de la red. Puede
ser útil junto con otras herramientas para tareas específicas. (Lázaro, 2020)
 Capsa Free: Es una herramienta de análisis de red gratuita que proporciona
información detallada sobre el tráfico de red y las actividades en tiempo real.
(Colasoft, s.f.)

Estas herramientas varían en funcionalidades, capacidades y complejidad. La

elección de la herramienta dependerá de las necesidades específicas y preferencias en
cuanto a la interfaz y la funcionalidad.
 Asignatura Datos del alumno Fecha
Ciberseguridad Apellidos:
Industrial Nombre:

2. Observar el protocolo TCP de enlace de tres vías

El objetivo es capturar y examinar paquetes que se generan entre el explorador de la
PC mediante el protocolo HTTP y un servidor Web. Cuando una aplicación, como HTTP o el
protocolo de transferencia de archivos (FTP), se inicia primero en un host, TCP utiliza el
protocolo de enlace de tres vías para establecer una sesión TCP confiable entre los dos
hosts.
 Busca las direcciones IP y MAC: abra una ventana del símbolo del sistema (cmd),
escriba ipconfig /all y luego presione Enter.
 Ejecuta el software Wireshark, con permisos de administrador; al colocarte en alguna
de las interfaces detectadas en tu equipo de cómputo podrás también consultar la
dirección IP

Imagen 4 Iniciando wireshark

 Haz clic derecho en tu conexión a Ethernet o Wifi y enseguida selecciona “iniciar

captura”.

Imagen 5 Captura de conexión

 Asignatura Datos del alumno Fecha
Ciberseguridad Apellidos:
Industrial Nombre:

 Ingresa a la página web de las Naciones Unidas: https://www.un.org/es/, minimiza la

ventana donde está la página web abierta y vuelve a Wireshark.
 Detén la captura de datos.
 Puedes ahora filtrar los resultados para realizar una consulta de la PC al servidor DNS,
mediante la que se intenta resolver el nombre de dominio, https://www.un.org/es/,
a la dirección IP del servidor Web. La PC debe tener la dirección IP para poder enviar
el primer paquete al servidor Web; ¿cuál es la dirección IP del servidor DNS destino
que consultó la PC?

Imagen 6 IP servidor DNS

Para este caso trabajaremos con la ip 65.8.248.120.

 Realiza un filtro escribiendo tcp en el área de entrada de filtro de Wireshark y
presione Enter.
 Busque el paquete apropiado para iniciar el protocolo de enlace de tres vías [SYN]:
¿en qué número de trama se realiza el inicio del protocolo TCP de enlace de tres
vías? 150, ¿cuál es la dirección IP del servidor Web de las Naciones Unidas?
65.8.248.120
 Asignatura Datos del alumno Fecha
Ciberseguridad Apellidos:
Industrial Nombre:

 Al hacer doble clic en la trama se pueden ver sus propiedades a detalle: ¿cuál es el
número de puerto de origen TCP?

Imagen 7 Puerto de origen

¿cuál es el número de puerto de destino TCP?

Imagen 8 Puerto de destino

¿qué indicadores están establecidos? Indicador SYN, ¿cuál es el número de secuencia

relativa establecido? Es 0.
 Seleccionar la próxima trama del protocolo de enlace de tres vías [SYN, ACK]:
Selecciona Ir en la barra de menús de Wireshark y, luego, Siguiente paquete de la
conversación; ¿cuáles son los valores de los puertos de origen y destino?

Imagen 9 Valores puerto de origen y destino

, ¿qué indicadores están establecidos? SYN , ACK, ¿cuáles son los números de acuse
de recibo y de secuencia relativa establecidos? Acuse de recibo 1 y 0 secuencia relativa
 Por último, examine el tercer paquete del protocolo de enlace de tres vías [ACK]:
selecciona de nuevo Ir en la barra de menús de Wireshark y, luego, Siguiente paquete
de la conversación; ¿qué indicadores están establecidos en esta trama?

Imagen 10 Indicadores trama

 Asignatura Datos del alumno Fecha
Ciberseguridad Apellidos:
Industrial Nombre:

 Guardar impresiones de pantalla de todo el proceso realizado para observar el

protocolo TCP de enlace de tres vías.

Imagen 11 Enlace de tres vías

 Guarda en el ordenador la captura de paquetes realizada.

 Cierra el programa Wireshark.

3. Protocolo ICMPv6
La suite TCP/IP proporciona mensajes que deben ser enviados en caso de
que se produzcan errores en el proceso de la transmisión de datos, estos
mensajes se enviados haciendo uso del protocolo ICMP. Tanto para el protocolo
IPv4 como para IPv6 existen mensajes que trabajan de igual forma en ambos
protocolos, los cuales son:
 Confirmación de host
 Destino o servicio inaccesible
 Tiempo superado
 Redireccionamiento de ruta

 Abre el programa Wireshark.

Al abrir WireShark se deberá poder visualizar las distintas interfaces las cuales se
podrán capturar el tráfico.
 Inicia una nueva captura de paquetes.
Para este punto utilizaremos la captura a la interfaz WIFI
 Asignatura Datos del alumno Fecha
Ciberseguridad Apellidos:
Industrial Nombre:

Imagen 12 Captura interfaz wifi

 Abre una ventana de consola y realiza un ping al sitio web: www.google.com

mediante la instrucción: “ping www.google.com”.

Imagen 13 Ping google

 Filtra los resultados para el protocolo icmpv6. La ventana principal de Wireshark está
dividida en tres secciones: el panel de la lista de paquetes (arriba), el panel de
detalles del paquete (abajo a la izquierda) y el panel de bytes del paquete (abajo a la
derecha); si se seleccionó la interfaz correcta para la captura de paquetes, Wireshark
mostrará la información ICMPv6 en el panel de la lista de paquetes de Wireshark.
Para este punto se filtró resultado para el protocolo icmp, debido a que el ISP no
disponen el uso de ipv6.
 Asignatura Datos del alumno Fecha
Ciberseguridad Apellidos:
Industrial Nombre:

Imagen 14 Protocolo icmpv6

Imagen 15 Protocolo icmpv6

 En el panel de la lista de paquetes, haz clic en la primera trama; debería ver Echo
(ping) request (solicitud de eco [ping]) debajo del encabezado Info; esta acción
debería resaltar la línea en color azul.

Imagen 16 paquetes

 Examina la primera línea del panel de detalles del paquete; en esta línea; ¿de cuantos
bytes es la longitud de la trama?
La longitudes de la trama es de 74 bytes(592 bits)
 Asignatura Datos del alumno Fecha
Ciberseguridad Apellidos:
Industrial Nombre:

Imagen 17 Longitud de trama

 En la segunda línea del panel de detalles del paquete, se muestra que es una trama
de Ethernet II; también se muestran las direcciones MAC de origen y destino. ¿Cuál
es la dirección MAC de la NIC de la PC?, ¿Cuál es la dirección MAC del Gateway
predeterminado?
Para la verificación de las direcciones físicas (MAC) de la PC y la NIC se utilizó
comando en el CMD conjuntamente con WireShark:
Para la obtención de la MAC del equipo se utilizó “ipconfig /all” en el apartado de
dirección física.

Imagen 18 Obtención de dirección mac

 Asignatura Datos del alumno Fecha
Ciberseguridad Apellidos:
Industrial Nombre:

El uso de “route print” para obtener la IP a la que se encuentra asociada el Router.

El uso de “arp -a” indica la dirección MAC de acuerdo con la IP con la cual se
Encuentra relacionado el router

Imagen 19 Dirección Mac

 En la segunda línea del panel de detalles del paquete haz clic en el signo “>” que se
encuentra al comienzo de la línea para obtener más información sobre la trama de
Ethernet II; ¿qué tipo de trama se muestra?

Imagen 20 Trama de eternet

 Las dos últimas líneas que se muestran en la sección media proporcionan

información sobre el campo de datos de la trama; observa que los datos contienen la
información de la dirección IPv6 de origen y destino; ¿cuál es la dirección IP de
origen?, ¿cuál es la dirección IP de destino?
IP Source: 192.168.100.76
IP Destination: 192.78.50.68
 Asignatura Datos del alumno Fecha
Ciberseguridad Apellidos:
Industrial Nombre:

Imagen 21 IP destino

 Puedes hacer clic en cualquier línea de la sección media para resaltar esa parte de la
trama (hexadecimal y ASCII) en el panel de bytes del paquete (sección inferior); haz
clic en la línea Internet Control Message Protocol v6 (protocolo de mensajes de
control de Internet) en la sección media y examine qué está resaltado en el panel de
bytes del paquete. ¿Qué indican los dos últimos octetos resaltados?
Campo de suma de comprobación de IMCP, por los cuales se puede verificar el valor
de la suma de comprobación para asegurar que los datos no fuesen vulnerados.

Imagen 22 Comprobación de datos

 Haz clic en la trama siguiente de la sección superior y examine una trama de

respuesta de eco; observa que las direcciones MAC de origen y destino se invirtieron,
porque esta trama se envió desde el router del Gateway predeterminado como una
respuesta al primer ping. ¿Qué dirección de dispositivo y dirección MAC se muestran
como la dirección de destino?
Destination: 50:5a:65:43:21:74
Source: 67:cc:6e:8c:0d:a1
 Asignatura Datos del alumno Fecha
Ciberseguridad Apellidos:
Industrial Nombre:

Imagen 23 Direcciones MAC de origen y destino

 Guardar impresiones de pantalla de todo el proceso realizado para observar el

protocolo ICMPv6.
 Guarda en el ordenador la captura de paquetes realizada.
 Cierra el programa Wireshark.

4. Bibliografía:

Alfon. (24 de Febrero de 2010). Seguridad y Redes. Obtenido de

https://seguridadyredes.wordpress.com/2010/02/24/esas-pequenas-utilidades-
ngrep/#:~:text=Ngrep%20Un%20grep%20para%20el,libpcap%20(winpcap%20para
%20windows).
Carlos Caballero Gonzalez. (19 de Septiembre de 2017). Verificación y resolución de
incidencias en una red de área local. Obtenido de
https://www.google.com.ec/books/edition/Verificaci%C3%B3n_y_resoluci
%C3%B3n_de_incidenci/zGjoDQAAQBAJ?hl=es&gbpv=1&dq=Verificaci
%C3%B3n+y+resoluci%C3%B3n+de+incidencias+en+una+red+de+
%C3%A1rea+local&printsec=frontcover
Colasoft. (s.f.). Colasoft Maximize Network Value. Obtenido de
https://www.colasoft.com/capsa-free/
Facultad de Ciencias Exactas. (s.f.). Repositorio de Facultad de Ciencias Exactas. Obtenido de
https://users.exa.unicen.edu.ar/catedras/comdat1/material/ManualWireshark.pdf
Francisco Lázaro Domínguez. (02 de Enero de 2019). Introducción a la Informática Forense.
En F. L. Domínguez. Obtenido de https://books.google.com.mx/books?
 Asignatura Datos del alumno Fecha
Ciberseguridad Apellidos:
Industrial Nombre:

hl=es&lr=&id=Yaa6EAAAQBAJ&oi=fnd&pg=PP1&dq=Introducci
%C3%B3n+a+la+Inform
%C3%A1tica+Forense&ots=_r72g4MuMc&sig=wt7WfJ7diTCNcWovB1B3p8TfnOM#v=
onepage&q=Introducci%C3%B3n%20a%20la%20Inform%C3%A1tica
%20Forense&f=false
KeepCoding. (4 de Septiembre de 2023). KEEPCODING . Obtenido de
https://keepcoding.io/blog/modo-promiscuo-en-linux/
Lázaro, E. (20 de Diciembre de 2020). Neoguias. Obtenido de
https://www.neoguias.com/comando-nc/
Luz, S. d. (26 de 05 de 2023). RZ redes zone. Obtenido de
https://www.redeszone.net/tutoriales/servidores/tcpdump-capturar-trafico-red-
linux/
Manage Engine OpManager. (s.f.). Manage Engine OpManager. Obtenido de
https://www.manageengine.com/network-monitoring/microsoft-network-
monitoring.html?network=g&device=c&keyword=microsoft%20network
%20monitor&campaignid=11500307252&creative=579028425750&matchtype=e&a
dposition=&placement=&adgroup=136383735041&targetid=kwd-29
Ministerio del Interiror y Seguridad Publica . (2 de 7 de 2021). Ministerio del Interiror y
Seguridad Publica . Obtenido de https://www.csirt.gob.cl/media/2021/07/Comando-
de-la-semana-10-TSHARK.pdf
Ruiz, V. G. (26 de 12 de 2013). Analisis de trafico Ethernet. Obtenido de
https://w3.ual.es/~vruiz/Docencia/Apuntes/Networking/Protocols/Level-2/
Analisis_Trafico_Ethernet/index.html
Samuel, M. P. (2003). Universidad Politecnica de Cartagena- Repositorio Digital. Obtenido de
https://repositorio.upct.es/handle/10317/363
Asignatura Datos del alumno Fecha
Ciberseguridad Apellidos:
Industrial Nombre: