Lab-Getting Started V6.

0Wireshark
Wireshark es una herramienta multiplataforma utilizada para realizar anlisis sobre paquetes de red. Existen
diferentes usos para los cuales puede aplicarse Wireshark. Dentro del anlisis dinmico de cdigos maliciosos
se la utiliza para detectar conexiones ocultas del propio malware con direcciones remotas para obtener otros
archivos, para reportarse a un panel de control en caso de una botnet, entre otras variantes. La utilizacin de esta
herramienta puede parecer de gran complejidad en un principio, pero es de gran utilidad una vez conocida su
interfaz y su forma de operar, por lo tanto antes de la realizacin del laboratorio de ICMP realizaremos este
laboratorio introductorio para familiarizarnos con la interfaz del programa.
Resultados:
Utilizando nuestro explorador de preferencia en este caso google Chrome (figura1) podremos generar el trfico
de paquetes para esta experiencia

Figura 1: Explorador de preferencia

En la seccin de capture de la tabla de herramienta de Wireshark seleccionamos option (figura 2) para poder
seleccionar la interfaz la cual a travs de ella realizaremos las capturas de paquete.

Figura 2: Paso para poder seleccionar interfaz

Una vez realizado estos pasos aparecer una ventana donde estarn todas las interfaces disponibles para utilizar,
en este caso seleccionamos WIFI debido a que no se cuenta con internet por cable en la universidad.

Figura 3:seleccin de interfaz wifi.

Se realiz una captura de paquetes desde la interfaz Wifi antes de utilizar el explorador para
generar trafico HTTP como se observa en la figura 4.

Figura 4: Captura de los primeros paquetes.

Mientras se estaba realizando las capturas anteriores utilizando google Chrome accedimos a la siguiente pgina
web http://gaia.cs.umass.edu/wireshark-labs/INTRO-wireshark-file1.html para as generar trafico HTTP.
en la siguiente
imagen se
observa solo
los
paquetes HTTP
debido a la
utilizacin de
un
filtro q se
observa en la barra inferior de la barra de herramientas. Se logra observar el mensaje HTTP GET
y las direcciones ip de la fuente y destino entre otra informacin.

ICMP V6.0Wireshark
ICMP
Vamos a comenzar nuestra aventura ICMP mediante la captura de los paquetes generados por el programa Ping.
Usted puede recordar que el programa Ping es una herramienta sencilla que permite a cualquier persona (por
ejemplo, un administrador de red) para verificar si un host est vivo o no. El programa Ping en el host de origen
enva un paquete a la direccin IP de destino; si el objetivo est vivo, el programa Ping en el host de destino
responde enviando un paquete de vuelta al servidor de origen. Como ya habrn adivinado (dado que esta
prctica se trata de ICMP), ambos de estos paquetes Ping son paquetes ICMP.
Se realizar lo siguiente:
Vamos a comenzar esta aventura abriendo la aplicacin del smbolo del sistema de Windows (que se puede
encontrar en la carpeta de Accesorios).
Poner en marcha el analizador de paquetes de Wireshark, y comenzar Wireshark captura de paquetes.
El comando ping se encuentra en c: \ windows \ system32, por lo que escribir cualquiera de ellas "ping -n 10
nombre de host" o "c: \ windows \ system32 \ de ping -n 10 nombre de host" en la lnea de comandos de MSDOS (sin las comillas) , donde nombre de host es un host en otro continente. Si ests fuera de Asia, es posible
que desee entrar en www.ust.hk para el servidor Web de la Universidad de Hong Kong de Ciencia y Tecnologa.
El argumento "-n 10" indica que 10 mensajes ping deben ser enviados. A continuacin, ejecute el programa Ping
escribiendo retorno.
Cuando el programa termina Ping, detener la captura de paquetes de Wireshark.
Resultados

Figura 5: Resultado de la implementacin del comando ping en la ventana de smbolo de sistema.

Figura 5: Paquetes Request y Reply del comando ping en Wireshark

En la imagen mostrada se puede ver el comportamiento que se da entre nuestro equipo y el equipo destino.
Teniendo en cuenta que se realizaran 10 pruebas ping es necesario saber que cada una de esas pruebas
generara 2 paquetes, de los cuales uno seria la peticin y el otro, la respuesta. Con esto, podemos observar que
la lista de paquetes muestra 20 paquetes: las 10 consultas de ping enviadas por la fuente y las 10 respuestas
recibidas de ping por la fuente.

Figura 6: Visualizacin de la fuente y el destino del proceso del comando ping.

Figura 7: Caractersticas del paquete ICMP

Preguntas
Cul es la direccin IP de su host? Cul es la direccin IP del host de destino?
La direccin IP de mi equipo es 192.168.0.105. La direccin IP del destino host es 143.89.14.2

2. Por qu es que un paquete ICMP no se tiene los nmeros de puerto de origen y de destino?
El paquete ICMP no tiene los nmeros de puerto de origen y destino, porque este fue diseado especficamente
para comunicar la informacin de capa de red entre los hosts y routers, no entre los procesos de capa de
aplicacin.
3. Examinar uno de los paquetes de solicitud de ping enviados por su anfitrin. Cules son los nmeros de
modelo y designacin ICMP? Qu otros campos tiene este paquete ICMP? Cuntos bytes son los campos de
suma de comprobacin, y el identificador de nmero de secuencia?

Mediante la visualizacin obtenida de Wireshark se puede observar que el paquete de ping request tiene como
numero de modelo o tipo ICMP, el 8, y en nmero de cdigo, el 0. Adems se pudo apreciar que el paquete
ICMP tambin cuenta con otros campos como lo son El identificador, el checksum, nmero de secuencia, y los
campos de datos.
4. Examinar el paquete de respuesta de ping correspondiente. Cules son los nmeros de modelo y designacin
ICMP? Qu otros campos tiene este paquete ICMP? Cuntos bytes son los campos de suma de comprobacin,
y el identificador de nmero de secuencia?

Con la ayuda del filtro de Wireshark, pudimos ver el comportamiento del paquete de respuesta correspondiente
al paquete ping de peticin del punto 3. Se puede mencionar que tiene como numero de modelo, el nmero 0 y
como numero de cdigo, el 0. Este paquete de ICMP tiene diversos campos como: el checksum, El
identificador, nmero de secuencia.

ICMP y Traceroute

Traceroute se lleva a cabo de diferentes maneras en Unix / Linux / MacOS y Windows. En Unix / Linux, la
fuente enva una serie de paquetes UDP al destino objetivo usando un nmero de puerto de destino poco
probable; en Windows, la fuente enva una serie de paquetes ICMP al punto de destino. Para ambos sistemas
operativos, el programa enva el primer paquete con TTL = 1, el segundo paquete con TTL = 2, y as
sucesivamente. Recordemos que un router disminuir el valor TTL de un paquete como el paquete pasa a travs
del router. Cuando un paquete llega a un router con TTL = 1, el router enva un paquete de error ICMP de vuelta
a la fuente. En lo que sigue, vamos a utilizar el programa tracert de Windows nativo. Una versin shareware de
un buen programa de Windows Traceroute es mucho pingplotter (www.pingplotter.com). Vamos a utilizar en
nuestro laboratorio pingplotter Wireshark IP, ya que proporciona una funcionalidad adicional que necesitaremos
all.
Se realizar lo siguiente:
Vamos a empezar abriendo la aplicacin del smbolo del sistema de Windows (que se puede encontrar en la
carpeta de Accesorios).
Poner en marcha el analizador de paquetes de Wireshark, y comenzar Wireshark captura de paquetes.
El comando tracert se encuentra en c: \ windows \ system32, por lo que escriba sea "nombre de host tracert" o
"c: nombre de host \ windows \ system32 \ tracert" en la lnea de comandos MS-DOS (sin las comillas), donde
nombre de host es un anfitrin en otro continente. (Tenga en cuenta que en una mquina Windows, el comando
es "tracert" y no "traceroute".) Si ests fuera de Europa, es posible que desee entrar en www.inria.fr para el
servidor Web en el INRIA, un equipo de investigacin en ciencias instituir en Francia. A continuacin, ejecute
el programa Traceroute escribiendo retorno.
Cuando el programa termina Traceroute, detener la captura de paquetes de Wireshark.
Resultados

Figura 8: Resultado de la implementacin del comando tracert en la ventana de smbolo de sistema.

Figura 9. paquete ICMP devuelto por un router

Preguntas
5. Cul es la direccin IP de su host? Cul es la direccin IP del host de destino?
Revisando el Wireshark, pudimos apreciar que el ip de origen es 192.168.0.105 y el de destino es
128.93.162.84.
6. Si ICMP enva paquetes UDP en vez (como en Unix / Linux), sera el nmero de protocolo IP siendo 01 para
los paquetes de sondeo? Si no es as, cul sera?
No es como se indica. Si ICMP enva paquetes UDP, el nmero de protocolo IP debe ser 0x11
7. Examine el paquete de eco ICMP en su pantalla. Se diferencia de los paquetes ICMP de consulta de ping en
la primera mitad de este laboratorio? En caso afirmativo, cmo?

Mediante la captura se puede observar que el paquete de Eco ICMP est conformado por los mismos campos
con los que cuenta el paquete de consulta de ping.
8. Examine el paquete de error ICMP en su pantalla. Cuenta con ms campos que el paquete de eco ICMP. Qu
se incluye en esos campos?

Gracias a capturas realizadas con la ayuda del software Wireshark se puede verificar que el paquete de error
ICMP no es el mismo que los paquetes de consulta ping. Contiene tanto la cabecera IP y los primeros 8 bytes
del paquete original de ICMP.
9. Examinar los ltimos tres paquetes ICMP recibidos por el host de origen. Cmo son estos paquetes
diferentes de los paquetes ICMP de error? Por qu son diferentes?

Mediante la captura realizaba a Wireshark, se puede apreciar que los ltimos tres paquetes ICMP son mensajes
de tipo o modelo 0 los cuales corresponden a respuesta de eco, en lugar de 11 el cual corresponde a la
expiracin de TTL. Con esto se puede decir que ellos son diferentes porque los datagramas han realizado toda la
ruta hacia el host de destino antes de la expiracin de TTL
10. Dentro de las mediciones tracert, existe un vnculo cuyo retraso es significativamente ms largo que los
dems? Consulte la pantalla de la Figura 4, hay un enlace cuyo retraso es significativamente ms largo que los
dems? Sobre la base de los nombres de router, se puede adivinar la ubicacin de los dos routers en el extremo
de este enlace?

Mediante esta captura se puede apreciar que el salto o retraso ms grande se da entre los pasos 8 y 9.
Considerando los equipos a los que estos hosts estn conectados se puede apreciar que la informacin va desde
un servidor cw.net el cual el smbolo detecta en New York y estos paquetes llegan a Paris, Francia.