Informe 1 Wireshark

LABORATORIO DE SISTEMAS DE TELECOMUNICACIONES I 2013
1 Rojas Yauri Henry 10190201

USO DEL ANALIZADOR DE TRAFICO WIRESHARK

I. OBJETIVOS:

Conocer el funcionamiento y la aplicacin bsica de monitoreo a nivel de paquetes
Distinguir las diferentes partes que componen a un paquete de datos.

II. HERRAMIENTAS:

Software wireshark v.1.10.2

III. WIRESHARK

El analizador Wireshark, es uno de los ms populares analizadores que existen. Se trata de una herramienta
grfica utilizada por los administradores de la red para identificar y analizar el tipo trfico en un momento
determinado. Se trata de un producto gratuito cuyas caractersticas ms relevantes son:

Disponible para UNIX, LINUX, Windows y Mac OS.
Captura los paquetes directamente desde una interfaz de red.
Permite obtener detalladamente la informacin del protocolo utilizado en el paquete capturado.
Cuenta con la capacidad de importar/exportar los paquetes capturados desde/hacia otros programas.
Filtra los paquetes que cumplan con un criterio definido previamente.
Realiza la bsqueda de los paquetes que cumplan con un criterio definido previamente.
Permite obtener estadsticas.
Sus funciones grficas son muy poderosas ya que identifica mediante el uso de colores los paquetes que
cumplen con los filtros establecidos.

Hasta el ao 2006 el programa se distribua bajo la denominacin de Ethereal.

IV. PROCEDIMIENTO

1. Ejecutar los archivos de instalacin del software wireshark 10.1.2
OBTENCIN DE LA INFORMACIN PROPIA
2. Averiguar la configuracin de la maquina en la que nos encontramos para ello lanzaremos la
aplicacin de Windows winipcfg que puede ser lanzada desde la opcin de men de Windows
Inicio_ejecutar. La informacin que obtendremos es la siguiente:
La informacin que podamos precisar para usarla posteriormente la anotamos
Nombre de host :fiee-b58138e64d
Direccin MAC :00-1C-C0-E8-37-AF
Direccion IP :172.16.86.110
Mascara de subred :255.255.252.0
Gatewa o puerta de enlace :172.16.84.1
Servidor de DNS :172.16.156.4



CAPTURA SIMPLE DE PAQUETES
3. A continuacin monitorizar varias de los comandos bsicos de administracin de redes y otras
aplicaciones de red
Abrir una ventana de comandos de MS-DOS

4. Comprobar que direcciones tiene la cacha almacenada
C://WINDOWS>arp a

5. Borrar cada una de las entradas que existan tecleando
C://WINDOWS>arp d<direccin ip de las entradas>

CONFIGURACION DE WIRESHARK

6. Abra el programa wireshark. Escoja la opcin de men capture-options

7. En la entrada etiquetada con el nombre interface escoja la que haga referencia la tarjeta de red
8. En la entrada etiquetada con el nombre de filter escriba: host<Direccion IP>

9. Deshabilite las opciones
Enable MAC name resolution
Enable network name resolution
Enable transport name resolution

10. Iniciar el monitoreo con el wireshark pulsando el botn Start

PROPSITO DEL PROTOCOLO ARP

11. Ejecutar en la ventana del comando el ping :

C:\WINSOWS>ping n 1 172.16.84.206.
Se enviara solo 1 paquete ICMP echo request.



12. Detenga la captura de tramas pulsando el botn STOP

13. Escribir la informacin de la captura (ping con la tabla ARP vaca): Fuente, Destino Protocolo, Funcin.

PROTOCOLO ARP (tipo 0806)
OPERATION: MODO 1, Solicitud ARP
FUENTE: EL HOST DE EMISION mi pc CON LA MAC 00:19:d1:ff:f0:a1
Destino: la Mac: ff:ff:ff:ff:ff:ff , el hecho de que la MAC de destino sea la mostrada en el Wireshark se debe a
que el Protocolo ARP , es un protocolo de resolucin de direcciones , y l est buscando dentro de mi red
cual es la direccin fsica con la ip 172.16.84.206 para establecer la sesin.
PROTOCOLO ARP (tipo 0806)
OPERATION: MODO 2, RESPUESTA ARP
FUENTE: LA MAC 00:19:d1:ff:f0:af
DESTINO: mi pc CON LA MAC 00:19:d1:ff:f0:a1



14. A continuacin observe de nuevo la cache ARP y realice un ping a la misma mquina, Repitiendo los
pasos del 06 al 12. Analizando los paquetes capturados, responda a las siguientes preguntas:



Se identifican las tramas ARP en la captura?
No se identifican las tramas ARP
En caso de que no hubiese tramas ARP por qu no haca falta enviarlas? Explique a que se debe las
diferencias de esta captura con lo anterior.
Porque el host de origen ya tiene almacenado la direccin MAC de Destino debido a que ya se realiz
previamente la resolucin de direccin.

ARPA PROXI

15. una vez preparado el programa de captura de trfico, genere paquetes ICMP de echo con el programa
ping. Para ello ejecute desde una consola el siguiente comando.
C:\WINDOWS> ping www.google.com
Con este comando se enviran 4 paquetes ICMP echo resquest.

16. una vez ha acabado el programa ping, pulso el botn de stop de wireshark, para detener la captura de
trfico.



17. Analice la direccin hardware destino de unos de los mensajes ICMP resquest. A qu maquina
corresponde?

La direccin hardware de destino es: 00:00:0c:ac:54 esta direccin corresponde al Gateway que est
conectada a la consola que se est mandando el ping.

18. Analice, ahora, la direccin hardware fuente de uno de los mensajes ICMP reply. A qu maquina
corresponde? Explique.

La direccin fsica del hardware fuente es: 58:bf:ea:bf:c0:80.

COMANDO TRACERT

19. Comprobar que tipo de paquetes viajan cuando se realiza la traza de la ruta de los paquetes por la red.
Para ello escribir en la ventana de comandos la siguiente orden:

C: \WINDOWS>tracert www.cisco.com




20. Por lo apreciado en el tipo de paquetes capturados en qu consiste el tracert? Qu consecuencias de
protocolos emplea el comando?

Los paquetes capturados son todos los que estn cursando por la red, tracert consiste en la captura de todos
los paquetes, es una utilidad de seguimiento de ruta empleada para averiguar la ruta de acceso que un
paquete IP ha seguido para llegar a un destino.

FRAGMENTACION DE DATAGRAMAS IP

El objetivo de este ejercicio es observar la fragmentacin de los datagramas IP. Para ello se utilizara el
programa ping para generar mensajes ICMP echo de peticin (request), con un tamao suficientemente
grande y el programa wireshark para capturar el trafico generado y poder analizarlo.

21. Averige la opcin que permite establecer el tamao del mensaje ICMP usando el manual del
comando ping.

C: \ WINDOWS> ping l 1000 n 1 <direccion IP remota>

22. envi un solo mensaje ICMP de tamao 1000 bytes a la direccin de un host de la red.
C: \ WINDOWS> ping l 1000 n 1 <direccion IP remota>

a) Analizando el trfico capturado determine el tamao total de la trama enviada, la longitud de la
cabecera Ethernet, longitud de la cabecera IP, longitud de la cabecera ICMP y la longitud de los
datos enviados.

El tamao total de la trama es de: 1000 bytes
La longitud de la cabecera es de: 20 bytes
La longitud de la cabecera IP es: 20 bytes
La cabecera ICMP es: 8 bytes
La longitud de los datos enviados es: 1028 bytes


b) Verifique el estado de los flags del datagrama IP: dont fragment y more fragments.

El UMT de internet es 1500 bytes y el paquete enviado de 1000 bytes. No se fragmenta.

El dont fragment est en: no set
El more fragment esta en: no set

23. Envi un solo mensaje ICMP de tamao 8000 bytes a la direccin de un host de la red realizando la
captura de trfico correspondiente. Ejm:
C: \WINDOWS > ping l 8000 n 1 < Direccin IP Remota>



c) Cuntas tramas Ethernet han sido enviadas a la direccin del host destino para completar la
transmisin de un mensaje ICMP?

Se envan 6 tramas para este mensaje ICMP.

d) Analice que cabeceras de protocolos existen en cada uno de las tramas Ethernet del mensaje ICMP.

Protocolo ip: version4
Protocolo ICMP: tipo 8, Echo request

e) En cada una de las tramas verifique los campos del datagrama IP; identificacin; Flags (Don't Fragment
y More Fragmentes) Y Fragment Offset.


La identificacin es la misma para todos los fragmentos pues corresponden a un mismo dato, la
identificacin es 2531
Fragmento 1:
Don't Fragment est en 00
More Fragmentes) est en 01
Fragment Offset = 0 en hexadecimal 000
Fragmento 2:
Fragment Offset = 185 en hexadecimal 0B9
Fragmento 3:
Fragment Offset = 370 en hexadecimal 370
Fragmento 4:
Fragment Offset = 555 en hexadecimal 22B
Fragmento 5:
Fragment Offset = 185 en hexadecimal 2E4
Fragmento 6:
Fragment Offset =925 en hexadecimal 49D



f) Determine cuantos bytes de informacin viajan en cada una de las tramas (los datos enviados deben
sumar 8000) bytes

TRAMA1: 0-1479 (1480 bytes)
TRAMA2: 1480-2959 (1480 bytes)
TRAMA3: 2960-4439 (1480 bytes)
TRAMA4: 4440-5919 (1480 bytes)
TRAMA5: 5920-7399 (1480 bytes)
TRAMA6: 7400-8007(608bytes)

Total 8008 bytes

g) Obtenga una frmula matemtica que permita determinar el nmero de tramas enviadas para
completar la transmisin de un mensaje ICMP de una longitud de L bytes.

SI n es un nmero entero, el nuero de tramas es n.
Si n NO es un nmero entero, el nmero de tramas es el inmediato entero superior.

24. Obtenga el MTU (MAXIMA TRANSFER UNIT) de LA INTERFAZ DE RED POR LO QUE SE HAN ENVIADOS
LOS MENSAJES ICMP tiene alguna relacin el MTU con la fragmentacin observada en el punto anterior?
El MTU es 1500 bytes, la mxima longitud de los paquetes capturados en el wireshark es 1480bytes.

25. Verifique el campo de suma de chequeo del Datagrama ip.



La suma de chequeo es 0c96 para el paquete ipv4, pero en cada paquete ip que se fragmenta la suma de
chequeo va ser distinto pues no todos tienen el mismo valor en el campo de desplazamiento, el more
fragments y en el campo de longitud total.

GATEWAY
26. Realice una captura de trfico filtrando aquellos paquetes cuya direccin de origen sea su mquina y
la direccin de destino sea la puerta de enlace predeterminada (Gateway) de su subred. Para ello,
navegue por internet captura algn paquete?
(Src host<Direccin ip>) and (dst host<Direccin ip del Gateway>)
Al abrir pginas webs se captura paquetes, entre el trfico de la direccion ip host (nuestra IP) y la direccin
ip del Gateway el tipo de protocolo es el ARP que permite que se conozca la direccin fsica de una tarjeta
de interfaz de red correspondiente a una direccin IP.
27. Compartelo con el trfico capturado si modifica el filtro de modo que capture todos los paquetes con
destino al gateway independientemente del origen captura algn paquete de los ordenadores?
Dst host<direccin ip del gateway>

Existe trfico entre los otros ordenadores de la red hacia el Gateway con las siguientes direcciones
172.16.84.11 y 172.16.84.5 y son del protocolo tipo ARP que permite que se conozca la direccin fsica de
una tarjeta de interfaz de red correspondiente a una direccin IP.
28. Modifique los filtros anteriores para capturar todos los paquetes que salen y entran de la subred a
travs de la pasarela indicada. Es decir, paquetes cuya direccin fsica(origen o destino) es la del host,
pero las direcciones IP (origen o destino) no corresponden al host.
Ether host <direccin MAC del gateway>



V. INFORME FINAL

1. Qu es un monitor de red?

Un monitor de red nos ayuda a enterarnos de todo lo que pasa en la. El monitoreo incluye no solo
verificaciones de fallas en los equipos de red sino tambien el monitoreo del rendimiento de red y el uso de
recursos de red.
Un monitor de red es esencial para el monitoreo de la actividad de red y asegurar la informacin de una
organizacin. Un monitor de red y de servidores puede detectar automaticamente y responder a amenazas
y problemas de rendimiento en tiempo real, as como ayudar a prevenir posibles problemas en el futuro.

Ejemplos del uso del monitor de red
Monitor de ancho de banda: puede ver en tiempo real cuanta banda ancha es utilizada e identificar los
cuellos de botella.
Monitor de servidores en red: el monitor LAN controla si el servidor est o no funcionando, la carga del CPU,
la temperatura, etc.
Monitor VoIP: mide prdida de paquetes, ruido jitter noise, etc.
Monitoreo Web: verificar si su sitio web est disponible
Como trabaja en monitor LAN?
Emplean SNMP, sniffing de paquetes y monitoreo NetFlow.
Monitor SNMP: monitoreo de red SNMP es una de las tecnologas ms usadas cuando se trata de
monitorizar la red. Es fcil de configurar y requiere slo pocos cilos de CPU y e ancho de banda.
Packet Sniffing: Packet sniffing es otro mtodo empleado por el monitor LAN: con el sniffer de paquetes IP
integrado en PRTG puede inspeccionar todos las paquetes de datos viajando en la red para calvular el trfico
de ancho de banda.
Monitoreo NetFlow Monitoring: para monitorizar equipos Cisco, PRTG es compatible con el protocolo
NetFlow.


2. Estudie el manual del uso de ethereal.
3. Desarrolle los resultados de cada punto de la experiencia.
4. Investigue sobre los comandos arp, ping, tracert.
Arp
Muestra y modifica datos de la tabla de traduccion de direcciones IP a direcciones MAC ( ARP)

Arp -a (también -g): muestra la tabla ARP para cada uno de los interfaces

Arp -s (dir_ip) (dir_MAC) [dir_interfaz]: añade una entrada especifica a la tabla ARP. Si hay varios
interfaces de red, añ adiendo al final la direccion IP del interfaz, lo añade en la tabla
correspondiente a ese interfaz

Arp -d (dir_ip) [dir_interfaz]: elimina una entrada especifica de la tabla ARP. Se pueden usar comodines en la
direccion IP. Si hay varios interfaces de red, añadiendo al final la direccion IP del interfaz, lo elimina de
la tabla correspondiente a ese interfaz.

Tracert
Indica la ruta por la que pasa nuestra peticion hasta llegar al host destino.

Tracert -d: no resuelve los nombres del dominio.

Tracert -h (valor): establece un nº máximo de saltos.

Ping:
Nos informa del estado de un host. Es necesario permitir paquetes ICMP para su funcionamiento.
Comprueba la conectividad de nivel IP en otro equipo TCP/IP al enviar mensajes de solicitud de eco de ICMP
(Protocolo de mensajes de control Internet). Se muestra la recepcin de los mensajes de solicitud de eco
correspondiente, junto con sus tiempos de ida y vuelta. Ping es el principal comando de TCP/IP que se utiliza
para solucionar problemas de conectividad, accesibilidad y resolucin de nombres. Cuando se usa sin
parmetros, ping muestra ayuda.
Tambin se utiliza ping para comprobar el nombre y la direccin IP del equipo. Si slo se confirma
la direccin de IP pero no el nombre del equipo, puede tener un problema de resolucin de
nombres. En este caso, compruebe que el nombre del equipo especificado se puede resolver a
travs del archivo Hosts local, usando consultas DNS (Sistema de nombres de dominio) o mediante
tcnicas de resolucin de nombres NetBIOS.

Ping -a: devuelve el nombre del host.

Ping -l: establece el tamaño del buffer. Por defecto el valor es 32.



Ping -f: impide que se fragmenten los paquetes.

Ping -n (valor): realiza la prueba de ping durante un determinado nmero de ocasiones.

Ping -i TTL: permite cambiar el valor del TTL. TTL sera sustituido por el nuevo valor.

Ping -r (nº de saltos): indica los host por los que pasa nuestro ping. (máximo 9)

Ping -v TOS: se utiliza en redes avanzadas para conocer la calidad del servicio.

5. Investigue sobre los protocolos ARP, IP, ICMP.
Protocolo ARP (Address Resolution Protocol)

Modelo TCP/IP , sabemos que la capa de aplicacin transfiere sus datos a la capa de transporte la cual
genera Segmentos que son encapsulados en paquetes en la capa Internet , estos paquetes contienen en su
encabezado la direccin IP origen y direccin IP destino de la informacin . Una vez que tenemos los
paquetes estos son encapsulados en tramas en la capa de red , estas tramas tiene un encabezado en el que
se detalla direccin MAC(Direccin fsica de la NIC) origen y Direccin MAC destino.

La direccin MAC esta compuesta en el caso de las redes Ethernet y Token Ring por 6 nmeros
hexadecimales un ejemplo de esta puede se 01:A2:B5:F1:00:1D esto hace un total de 48 BITs.
Para poder enviar un paquete y que este llegue a los protocolos de nivel superior Transporte y Aplicacin de
la computadora destino , primero debe pasar por la capa de Red y luego por la capa Internet. Para que esto
suceda se necesita bsicamente dos cosas A) Direccin MAC origen y destino (Encabezado de trama) y
direccin IP origen y destino (encabezado del paquete).
El protocolo ARP fue creado para obtener la direccin MAC destino , sabiendo la direccin IP que tiene
asignada dicha maquina. ARP costa de dos tipos de ARP request (Interrogacin) y ARP reply (respuesta).
Otra parte importante de este protocolo es lo que se denomina tabla ARP , esta tabla es un cach en el cual
se guardan por un tiempo limitado el numero IP de una maquina enlazado con su direccin MAC. Esta tabla
nos ayuda a resolver direcciones que ya fueron obtenidas mediante el protocolo ARP , sin necesidad de
volver a interrogar al destino.
Por ejemplo, los ordenadores A y B estn en una oficina, conectados entre s en una red de rea local de la
oficina mediante cables Ethernet y conmutadores de red, sin gateways o routers intermedios. A quiere
enviar un paquete a B. A travs de otros medios, se determina que la direccin IP de B es 192.168.0.55, pero
para enviar el mensaje tambin tiene que saber la direccin MAC de B. En primer lugar, A utiliza una tabla
cach ARP para buscar 192.168.0.55 en todos los registros existentes la direccin MAC de B (00: eb: 24: B2:
05: ac). Si el cach no ha dado ningn resultado para 192.168.0.55, A enva un mensaje ARP broadcast
(destino FF: FF: FF: FF: FF: FF de direccin MAC, que es aceptada por todos los equipos), solicitando una
respuesta para 192.168.0.55 . B responde con su direccin MAC (y su IP). B puede insertar una entrada para
A en su propia tabla ARP para su uso futuro. La informacin de la respuesta se almacena en cach en la tabla
ARP del A y el mensaje que se puede enviar.



Protocolo IP
El protocolo de IP (Internet Protocol) es la base fundamental de la Internet. Porta datagramas de la fuente al
destino. El nivel de transporte parte el flujo de datos en datagramas. Durante su transmisin se puede partir
un datagrama en fragmentos que se montan de nuevo en el destino. Las principales caractersticas de este
protocolo son:
Protocolo orientado a no conexin.
Fragmenta paquetes si es necesario.
Direccionamiento mediante direcciones lgicas IP de 32 bits.
Si un paquete no es recibido, este permanecer en la red durante un tiempo finito.
Realiza el "mejor esfuerzo" para la distribucin de paquetes.
Tamao mximo del paquete de 65635 bytes.
Slo ser realiza verificacin por suma al encabezado del paquete, no a los datos ste que contiene.
El Protocolo Internet proporciona un servicio de distribucin de paquetes de informacin orientado a no
conexin de manera no fiable. La orientacin a no conexin significa que los paquetes de informacin, que
ser emitido a la red, son tratados independientemente, pudiendo viajar por diferentes trayectorias para
llegar a su destino. El trmino no fiable significa ms que nada que no se garantiza la recepcin del paquete.
La unidad de informacin intercambiada por IP es denominada datagrama. Tomando como analoga los
marcos intercambiados por una red fsica los datagramas contienen un encabezado y una rea de datos. IP


no especifica el contenido del rea de datos, sta ser utilizada arbitrariamente por el protocolo de
transporte.
Direcciones IP
Para que en una red dos computadoras puedan comunicarse entre s ellas deben estar identificadas con
precisin Este identificador puede estar definido en niveles bajos (identificador fsico) o en niveles altos
(identificador lgico) de pendiendo del protocolo utilizado. TCP/IP utiliza un identificador denominado
direccin internet o direccin IP, cuya longitud es de 32 bites. La direccin IP identifica tanto a la red a la que
pertenece una computadora como a ella misma dentro de dicha red.

Tomando tal cual est definida una direccin IP podra surgir la duda de cmo identificar qu parte de la
direccin identifica a la red y qu parte al nodo en dicha red. Lo anterior se resuelve mediante la definicin
de las "Clases de Direcciones IP". Para clarificar lo anterior veamos que una red con direccin clase A queda
precisamente definida con el primer octeto de la direccin, la clase B con los dos primeros y la C con los tres
primeros octetos. Los octetos restantes definen los nodos en la red especfica.

El protocolo ICMP
El Protocolo de Mensajes de Control y Error de Internet, ICMP, es de caractersticas similares a UDP, pero
con un formato mucho ms simple, y su utilidad no est en el transporte de datos de usuario, sino en
controlar si un paquete no puede alcanzar su destino, si su vida ha expirado, si el encabezamiento lleva un
valor no permitido, si es un paquete de eco o respuesta, etc. Es decir, se usa para manejar mensajes de error
y de control necesarios para los sistemas de la red, informando con ellos a la fuente original para que evite o
corrija el problema detectado. ICMP proporciona as una comunicacin entre el software IP de una mquina
y el mismo software en otra.
El protocolo ICMP solamente informa de incidencias en la entrega de paquetes o de errores en la red en
general, pero no toma decisin alguna al respecto. Esto es tarea de las capas superiores.


Los mensajes ICMP se transmiten como datagramas IP normales, con el campo de cabecera "protocolo" con
un valor 1, y comienzan con un campo de 8 bits que define el tipo de mensaje de que se trata. A
continuacin viene un campo cdigo, de o bits, que a veces ofrece una descripcin del error concreto que se
ha producido y despus un campo suma de control, de 16 bits, que incluye una suma de verificacin de
errores de transmisin. Tras estos campos viene el cuerpo del mensaje, determinado por el contenido del
campo "tipo". Contienen adems los 8 primeros bytes del datagrama que ocasion el error.

6. Conclusiones

Wireshark no es til para realizar anlisis y solucionar problemas en redes de comunicaciones, para
desarrollo de software y protocolos, y como una herramienta didctica para educacin. Las
distintas opciones de configuracin de Wireshark, las cuales permiten capturar los paquetes que se
necesitan para analizar los resultados de laboratorio.

El protocolo ARP permite que se conozca la direccin fsica de una tarjeta de interfaz de red
correspondiente a una direccin IP. Si A quiere enviar una trama a la direccin IP de B (misma red),
mirar su tabla ARP para poner en la trama la direccin destino fsica correspondiente a la IP de B.
De esta forma, cuando les llegue a todos la trama, no tendrn que deshacerla para comprobar si el
mensaje es para ellos, sino que se hace con la direccin fsica.

Ping trabaja en la capa de red del Internet Protocol TCP/IP y es un tipo de mensaje de control del
protocolo ICMP . Se puede probar la velocidad de su conexin, la "distancia" al objetivo, y si su
conexin es an en funcionamiento.

El comando TRACERT es una utilidad de seguimiento de ruta, empleada para determinar la ruta
que recorre un paquete IP para llegar a un destino.

Informe 1 Wireshark

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Informe 1 Wireshark

Transféré par

Droits d'auteur :

Formats disponibles

LABORATORIO DE SISTEMAS DE TELECOMUNICACIONES I 2013

1 Rojas Yauri Henry 10190201

Vous aimerez peut-être aussi