1

INFORME DATAGRAMAS
Edgar Andrade, Andrea Giraldo, David Ramirez
Universidad Distrital Francisco José de Caldas

Criptografía y Seguridad en Redes

eandradeb@correo.udistrital.edu.co, acgiraldoo@correo.udistrital.edu.co, david.i7@aol.com,

20181373001, 20172373022, 20181373003

Resumen – En este artículo se muestran las conversaciones de chat, etc.

pruebas realizadas a través del programa
wireshark, usado con el fin de realizar capturas
de paquetes desde una red en tiempo real. Se
pretende mostrar el procedimiento para realizar
dichas capturas y analizar cada una de las
tramas, demostrando a que capa del modelo
OSI pertenece, cuáles son las IP de origen y de
destino, como se transportan los paquetes y de
esta manera realizar un análisis de la
información real que se transmite por la red.
Dependiendo de los campos de aplicación
de las diferentes áreas se pueden usar
con fines específicos como por ejemplo,
los administradores lo usan para resolver
problemas en la red, ingenieros lo usan
para examinar problemas de seguridad,
desarrolladores lo usan para depurar la
implementación de los protocolos de red y
estudiantes los usan para aprender
internamente cómo funciona una red.

Este informe tiene como fin hacer pruebas de

sniffer que permita conocer los tipos de
capturas que se pueden realizar sobre las
tramas y el comportamiento de los paquetes
que viajan a través de la red
Índice de Términos – Sniffer, trama, captura,
OSI, datagrama.
I. INTRODUCCIÓN
Por medio de los analizadores de
paquetes se pueden realizar diferentes
procesos como monitorear redes para
detectar y analizar fallos, o para realizar
ingeniería inversa en protocolos de red.
También es habitual su uso para fines
maliciosos, como robar contraseñas,
interceptar correos electrónicos, espiar
Es importante conocer las diferentes
funciones que se pueden aplicar con los
analizadores de paquetes como lo son la
captura automática de contraseñas
enviadas en claro y nombres de usuario
de la red y tener claro que esta capacidad
es utilizada en muchas ocasiones por
crackers para atacar sistemas a futuro, se
puede realizar conversión del tráfico de
red en un formato inteligible por los
humanos, poder hacer detección de
intrusos, con el fin de descubrir hackers.
Aunque para ello existen programas
específicos y como se mencionaba
anteriormente, en casos específicos como
para los desarrolladores, en aplicaciones
cliente-servidor, pues les permite analizar
la información real que se transmite por la
red.
 2

II.MARCO TEORICO • Capa física

Es la capa más baja del modelo OSI. Es

MODELO OSI
la que se encarga de la topología de red y
de las conexiones globales de la
computadora hacia la red, se refiere tanto
El modelo OSI se basa en una propuesta al medio físico como a la forma en la que
desarrollada por la Organización se transmite la información.
Internacional de Normas (iso) como el
primer paso hacia la estandarización
internacional de los protocolos utilizados
en las diversas capas (Day y Zimmerman, • Capa de enlace de datos
1983). Este modelo se revisó en 1995
(Day, 1995) y se le llama Modelo de Esta capa se ocupa del direccionamiento
referencia OSI (Interconexión de físico, del acceso al medio, de la
Sistemas Abiertos, del inglés Open detección de errores, de la distribución
Systems Interconnection) de la iso puesto ordenada de tramas y del control del flujo.
que se ocupa de la conexión de sistemas
abiertos; esto es, sistemas que están
abiertos a la comunicación con otros
• Capa de red
sistemas. [1]

Se encarga de identificar el enrutamiento

➢ CAPAS DEL MODELO OSI existente entre una o más redes. Las
unidades de datos se denominan
paquetes, y se pueden clasificar en
✓ Aplicación protocolos enrutables y protocolos de
✓ Presentación enrutamiento.
✓ Transporte
✓ Sesión
✓ Red
✓ Enlace de datos • Capa de transporte
✓ Física
Capa encargada de efectuar el transporte
de los datos (que se encuentran dentro
del paquete) de la máquina origen a la de
destino, independizándolo del tipo de red
física que esté utilizando.

• Capa de sesión

Esta capa es la que se encarga de

mantener y controlar el enlace establecido
entre dos computadores que están
transmitiendo datos de cualquier índole.
Imagen 1

• Capa de presentación
El objetivo es encargarse de
la representación de la información, de
manera que aunque distintos equipos
puedan tener diferentes representaciones
internas de caracteres, los datos lleguen
de manera reconocible
• Capa de aplicación
Ofrece a las aplicaciones la posibilidad de
acceder a los servicios de las demás
capas y define los protocolos que utilizan
las aplicaciones para intercambiar datos,
como correo electrónico (Post Office
Protocol y SMTP), gestores de bases de
datos y servidor de ficheros (FTP). [2]
DATAGRAMA
El datagrama IP es la unidad de
transferencia en las redes IP.
Básicamente consiste en una cabecera IP
y un campo de datos para protocolos
superiores. El datagrama IP está
encapsulado en la trama de nivel de
enlace, que suele tener una longitud
máxima (MTU, Maximum Transfer Unit),
dependiendo del hardware de red usado.
Para Ethernet, esta es típicamente de
1500 bytes. En vez de limitar el datagrama
a un tamaño máximo, IP puede tratar la
fragmentación y el reensamblado de sus
datagramas. En particular, IP no impone
un tamaño máximo, pero establece que
todas las redes deberían ser capaces de
manejar al menos 576 bytes. Los
fragmentos de datagramas tienen todos
una cabecera, copiada básicamente del
datagrama original, y de los datos que la
siguen. Los fragmentos se tratan como
datagramas normales mientras son
transportados a su destino. Nótese, sin
embargo, que si uno de los fragmentos se
pierde, todo el datagrama se considerará
3
perdido, y los restantes fragmentos
también se considerarán perdidos.
➢ FORMATO DEL DATAGRAMA
La cabecera del datagrama IP está
formada por los campos que se muestran
en la Imagen 1.
Imagen 2
Donde
Versión: Es la versión del protocolo IP. La
versión actual es la 4. La 5 es
experimental y la 6 es IPng.
Hdr Len: Es la longitud de la cabecera IP
contada en cantidades de 32 bits. Esto no
incluye el campo de datos.
Type Of Service: Es el tipo de servicio es
una indicación de la calidad del servicio
solicitado para este datagrama IP. Una
descripción detallada de este campo se
puede encontrar en el RFC 1349.
Total Length: Es la longitud total del
datagrama, cabecera y datos,
especificada en bytes.
Identification: Es un número único que
asigna el emisor para ayudar a
reensamblar un datagrama fragmentado.
Los fragmentos de un datagrama tendrán
el mismo número de identificación.
Flags: Son flags para el control de
fragmentación.

➢ FRAGMENTACIÓN DE
DATAGRAMAS IP
Cuando un datagrama IP viaja de un host
a otro puede cruzar distintas redes físicas.
Las redes físicas imponen un tamaño
máximo de trama, llamado MTU
(Maximum Transmission Unit), que limita
la longitud de un datagrama.
Por ello, existe un mecanismo para
fragmentar los datagramas IP grandes en
otros más pequeños, y luego
reensamblarlos en el host de destino. IP
requiere que cada enlace tenga un MTU
de al menos 68 bytes, de forma que si
cualquier red proporciona un valor inferior,
la fragmentación y el reensamblado
tendrán que implementarse en la capa de
la interfaz de red de forma transparente a
IP. 68 es la suma de la mayor cabecera
IP, de 60 bytes, y del tamaño mínimo
posible de los datos en un fragmento (8
bytes).
Las implementaciones de IP no están
obligadas a manejar datagramas sin
fragmentar mayores de 576 bytes, pero la
mayoría podrá manipular valores más
grandes, típicamente ligeramente por
encima de 8192 bytes o incluso mayores,
y raramente menos de 1500.
Un datagrama sin fragmentar tiene a cero
toda la información de fragmentación. Es
decir, los flags FC y FO están a 0.
Cuando se ha de realizar la
fragmentación, se ejecutan los siguientes
pasos:
4
✓ Se chequea el bit de flag DF para
ver si se permite fragmentación. Si
está a uno, el datagrama se
desecha y se devuelve un error al
emisor usando ICMP (Internet
Control Message Protocol).
✓ Basándose en el valor MTU, el
campo de datos se divide en
partes donde cada parte, excepto
la última, debe ser múltiplo de 8
bytes.
✓ Todas las porciones de datos se
colocan en datagramas IP.
✓ Se copian las cabeceras de la
cabecera original, con algunas
modificaciones:
• El bit de flag MF se pone a uno
en todos los fragmentos,
excepto en el último.
• El campo FO se pone al valor
de la localización de la porción
de datos correspondiente.
• Si se incluyeron opciones en el
datagrama original, el bit FC
del type byte determina si se
copiaran o no en todos los
fragmentos o sólo en el
primero2.
• Se inicializa el campo Hdr Len
(longitud de la cabecera).
• Se inicializa el campo Total
Length (longitud total).
• Se recalcula el Header
Checksum de la cabecera.

Cada uno de estos datagramas se envía
como un datagrama IP normal. IP maneja
cada fragmento de forma independiente,
es decir, los fragmentos pueden atravesar
diversas rutas hacia su destino, y pueden
estar sujetos a nuevas fragmentaciones si
pasan por redes con MTUs inferiores.[3]
SNIFFER
Un sniffer es una aplicación especial para
redes informáticas, que permite como tal
capturar los paquetes que viajan por una
red. Un sniffer puede capturar paquetes
dependiendo de la topología de red. Por
ejemplo, en topologías estrella antiguas,
un sniffer podía monitorear todos los
paquetes que viajan por una red, ya que
estos pasan por el nodo central, por el
contrario en redes modernas de estrella
esto no sucede, ya que solo lo retransmite
el nodo de destino.
Imagen 3
Si se usara un HUB en vez de un Switch
tendríamos más vulnerabilidad de que
capturen los datos viajantes por una red,
los hubs, son más vulnerables ya que por
el contrario de un switch por ejemplo solo
retransmite la información al nodo de
destino, por lo que solo se visualizaran los
paquetes del nodo en el que fue instalado
el sniffer. [4]
5
WIRESHARK
Es una herramienta multiplataforma con
interfaz gráfica para el análisis de red,
producto de la evolución de Ethereal.
Incluye la herramienta Tshark en modo
consola para capturas, análisis de red,
entre otras posibilidades. Al usar las
librerias pcap, su uso es similar a
Tcpdump y Windump.
Este permite ver, aun nivel bajo y
detallado, consultar todo lo que está
ocurriendo en la red. Es open source y
multiplataforma. Se utiliza a menudo
como mejor opción al momento de auditar
redes usualmente redes Ethernet y es
compatible con algunas otras.
Imagen 4
➢ CARACTERÍSTICAS
• Captura de paquetes en vivo
desde una interfaz de red
• Muestra los paquetes con
información detallada de los
mismos
• Abre y guarda paquetes
capturados
• Importar y exportar paquetes
en diferentes formatos
• Filtrado de información de
paquetes
• Resaltado de paquetes
dependiendo el filtro
• Crear estadísticas
 6

➢ VENTAJAS

Tiene una enorme versatilidad que le lleva

a soportar más de 480 protocolos
distintos, además de la posibilidad de
trabajar tanto con datos capturados desde
una red durante una sesión con paquetes
previamente capturados que hayan sido
almacenados en el disco duro.

Wireshark soporta el formato estándar de

archivos tcpdump, es capaz de
reconstruir sesiones TCP, y está apoyado
en una completa interfaz gráfica que
facilita enormemente su uso. [5]

III. OBJETIVOS

Determinar cómo y para que se utiliza un

sniffer y de qué manera se puede obtener
realizar un análisis de los paquetes que
viajan mediante la red.
Identificar a través de la trama las capas
del modelo OSI que interactúan en la
captura realizada.
Observar los parámetros de configuración
que lleva la página, diferenciando las ip de
origen, destino y los puertos utilizados
para la comunicación.
Analizar el comportamiento de cada una
de las capas del modelo OSI y de como
se sincronizan para alcanzar la ip de
destino.
 7

IV. PRACTICA

Para comenzar con las pruebas, se utilizó el programa Wireshark. Inicialmente se debe
seleccionar la conexión a internet que el equipo tenga para poder hacer las capturas. Para
este caso se uso wifi y esa es opción que se utiliza.

Imagen 5 Conexión utilizada para la captura

Luego de ello se inicia la captura de paquetes, se inicia el navegador para que el

programa haga el análisis respectivo

Imagen 6 Captura a la página www.ifxnetworks.com

 8

Luego de que se ha hecho la captura, procedemos a leer la información obtenida. Se va a

hacer el análisis de la trama para la página www.ifxnetworks.com. Para ello, se busca sobre
el protocolo DNS la pagina que vamos a analizar.

Imagen 7 Selección de protocolo DNS

En esta línea se realiza el pedido Standard query, que es la solicitud que se hace para
poder buscar o encontrar ingresar a la página www.ifxnetworks.com
Al realizar esta captura, nos aparecen una serie de datos, en los cuales encontramos las
capas del modelo OSI, los protocolos usados, Ip’s de origen y destino, entre otros.

Imagen 8 Capas del modelo OSI

 9

CAPA FÍSICA

En esta primera línea vemos la capa física, la cual muestra la cantidad de bits enviados y
recibidos, la interfaz por donde pasa, la hora en la que ingresó a la página, el tipo de
encapsulación, y los bits involucrados en este paso.

Imagen 9 Capa física

CAPA ENLACE DE DATOS

En la capa de enlace de datos se muestra, el fabricante del computador, la mac del

equipo el cual se puede comprobar por medio del comando en CMD – GETMAC, también
se puede ver el router, que para este caso es T&WElect.

Imagen 10 Capa enlace de datos

 10

Imagen 11 MAC del equipo

CAPA DE RED

En esta capa ese encuentra el protocolo usado para la conexion, para este caso IPV4
Version 4, captura la IP de el equipo que solicita el servicio, es decir la de nuestro equipo,
la cual comprobamos con el comando en CMD, IPCONFIG. Captura la ip del router que
para este caso es el Gateway.

Imagen 12 Capa de Red

 11

Imagen 13 IP del Computador

Imagen 14 Ip del router (Gateway)

CAPA DE TRANSPORTE

En esta capa se pueden observar los puertos por los cuales se hace el pedido, este
puerto es un puerto aleatorio que no está predefinido. En este caso esta tomando el
puerto 53 revisar en el listado estándar de puerto, se muestra que el puerto 53 está
asignado para el servicio DNS, y en que es un sistema de nombre de dominio al que
accedemos que para las pruebas es ifxnetworks.com.

Imagen 15 Capa de Transporte

 12

CAPA DE SESIÓN

Para esta capa, la información que se obtiene con la captura desde WireShark,
básicamente lo que se hace es enviar un requerimiento DNS para que nos indique cual es
la IP de la página, entonces lo que la línea hace es responder con la dirección de la pagina
a la cual le hicimos la captura, también muestra la clase de dirección IP a la que
corresponde la página, esta respuesta proviene del servidor DNS que envía el cliente, este
lo envía vía UDP utilizando el DNS de la capa cinco.

Imagen 16 Capa de Sesión

 13

CAPA DE PRESENTACION Y APLICACIÓN

Para estas dos capas que son las dos ultimas del modelo OSI, no es posible obtener una
captura por medio de WireShark como lo hicimos con las demás capas, pues estas capas
se envían codificadas y solo utilizando programas específicos como lo son Ipsec Capture
se podría obtener esta información, puesto que por ejemplo para el caso de la capa de
presentación, esta se traduce en la interfaz que observamos al abrir la pagina a la cual se
le hacen las capturas, y en cuanto a la capa de aplicación seria necesario realizar un análisis
sobre el protocolo HTTP que es el que carga la información útil del protocolo y para ello se
requieren aplicaciones como PROTOCOL LAYER TCP/IP, sin embargo de acuerdo con
procesos realizados por ingenieros de sistemas, indican que es un proceso dispendioso y
que realmente no es útil, para las aplicaciones que se requiere, pues a menos que sea para
fines maliciosos, es necesario decodificar los bytes que viajan en por la trama, determinar
el lenguaje que se requiere analizar (ASCII, HEXA, ETC), y comenzar a leer la información
que estos segmentos contienen.

Imagen 17 Distribución de los protocolos que se emplean en el modelo OSI

 14

V. CONCLUSIONES. hacia la red, como lo son las IP privadas

de los servidores. Las Ip publicas de los
equipos de borde, los puertos que están
WireShark es una herramienta que nos escuchando o servicios en ejecución,
sirve para analizar paquetes de red, entre otros.
capturando paquetes en tiempo real,
determinando lo protocolos que se usan
durante el proceso, los cuales permiten
profundizar en el tráfico de red e
inspeccionar paquetes individualmente. VI. REFERENCIAS
No se pueden observar todas las capas
del modelo OSI durante la captura de un [1] «Redes de computadoras».[En línea].
paquete de red, pues los protocolos que
Disponible en:
intervienen para cada uno de los
http://bibliotecavirtualapure.files.wordpr
paquetes, cambian de acuerdo con la
función que están realizando, y cuando ess.com/2015/06/redes_de_computadoras
estos están codificados, será necesario -freelibros-org.pdf
utilizar otro tipo de herramientas para [2] «Modelo OSI», Wikipedia, la
poder leer la información que podamos enciclopedia libre. 30-ene-2019.
requerir.
Para poder obtener los datos de forma [3]«El datagrama IP». [En línea].
más clara y rápida, Wireshark utiliza Disponible en:
colores para identificar los tipos de tráfico http://maite29.upc.es/CMTER/practiques/
de un vistazo. El verde es el tráfico TCP, html/esp/practica3/c_ip003.html.
el azul es el tráfico DNS, el azul claro es
el tráfico UDP y el negro los paquetes [4]«¿Qué es un sniffer?», Culturación,
TCP con problemas que podrían haber 11-nov-2009.
sido entregados dañados.
[5] «Wireshark - EcuRed». [En línea].
Básicamente este programa permite Disponible en:
determinar las direcciones IP de origen y https://www.ecured.cu/Wireshark.
las de destinos de las paginas a las cuales
se les hace la captura, así como también
los puertos que entrega el servidor, las
MAC de origen y las de destino, así como
la el tipo de clase que tiene la dirección IP
analizada.
Este programa es usado con diferentes
propósitos, los profesionales lo usan para
depurar las implementaciones del
protocolo de red, examinar problemas de
seguridad e inspeccionar cómo funcionan
los protocolos en redes privadas, sin
embargo también es usado por personas
que pretenden obtener la información
necesaria para poder realizar ataques