Topología
 |
Objetivos
Parte 1: Preparar
Wireshark para la captura de paquetes
•
Seleccionar una interfaz
NIC apropiada para capturar paquetes.
Parte 2: Capturar,
localizar y examinar paquetes
•
Capturar una sesión Web
para www.google.com.
•
Localizar paquetes
apropiados para una sesión Web.
•
Examinar la información
de los paquetes, como direcciones IP, números de puerto TCP e indicadores de
control TCP.
Información
básica/Situación
En
esta práctica de laboratorio, utilizará Wireshark para capturar y examinar
paquetes que se generan entre el explorador de la PC mediante el protocolo de
transferencia de hipertexto (HTTP) y un servidor Web, como www.google.com. Cuando
una aplicación, como HTTP o el protocolo de transferencia de archivos (FTP), se
inicia primero en un host, TCP utiliza el protocolo de enlace de tres vías para
establecer una sesión TCP confiable entre los dos hosts. Por ejemplo, cuando
una PC utiliza un explorador Web para navegar por Internet, se inicia un
protocolo de enlace de tres vías y se establece una sesión entre el host de la
PC y el servidor Web. Una PC puede tener varias sesiones TCP simultáneas
activas con diversos sitios Web.
Nota: esta práctica de
laboratorio no se puede realizar utilizando Netlab. Para la realización de esta
práctica de laboratorio, se da por
sentado que tiene acceso a Internet.
Recursos
necesarios
1 PC (Windows 7, Vista o XP con acceso al símbolo del sistema, acceso a
Internet y Wireshark instalado)
Parte
1: Preparar Wireshark para capturar paquetes
En la parte 1, inicia el
programa Wireshark y selecciona la interfaz apropiada para comenzar a capturar
paquetes.
Paso
1: Recuperar las direcciones de la
interfaz de la PC
Para esta práctica de laboratorio, deberá recuperar la dirección IP de
la PC y la dirección física de la tarjeta de interfaz de red (NIC), que también
se conoce como “dirección MAC”.
a. Abra una ventana del
símbolo del sistema, escriba ipconfig
/all y luego presione Entrar.
b.
Anote las direcciones IP
y MAC asociadas al adaptador Ethernet seleccionado, ya que esa es la dirección
de origen que debe buscar al examinar los paquetes capturados.
Dirección IP del host de la PC: Respuesta:
192.168.1.130
Dirección MAC del host de la PC: Respuesta:
C8-0A-A9-FA-DE-0D
Paso
2: Iniciar Wireshark y seleccionar la
interfaz apropiada
a.
Haga clic en el botón Inicio de Windows y, en el menú
emergente, haga doble clic en Wireshark.
b.
Una vez que se inicia
Wireshark, haga clic en Interface List
(Lista de interfaces).
c.
En la ventana Wireshark: Capture Interfaces
(Wireshark: capturar interfaces), haga clic en la casilla de verificación junto
a la interfaz conectada a la LAN.
Práctica de laboratorio: Uso de Wireshark para
observar el protocolo TCP de enlace de tres vías
Nota: si se indican varias interfaces, y no está seguro de
cuál activar, haga clic en Details (Detalles)
. Haga clic en la ficha 802.3 (Ethernet) y verifique que la
dirección MAC coincida con la que anotó en el paso 1b. Después de realizar esta
verificación, cierre la ventana Interface Details (Detalles de la interfaz).
Parte
2: Capturar, localizar y examinar paquetes
Paso
1: Hacer clic en el botón Start
(Comenzar) para iniciar la captura de datos
a.
Acceda a www.google.com.
Minimice la ventana de Google y vuelva a Wireshark. Detenga la captura de
datos. Debería ver tráfico capturado similar al que se muestra a continuación,
en el paso b.
Nota: es posible que el instructor le proporcione un sitio Web diferente. En
ese caso, introduzca el nombre del sitio
Web o la dirección aquí:
____________________________________________________________________________________
b.
La ventana de captura
ahora está activa. Ubique las columnas Source
(Origen), Destination (Destino) y Protocol (Protocolo).
Paso
2: Localizar paquetes adecuados para la
sesión Web
Si la PC se inició recientemente y no hubo actividad al acceder a
Internet, puede ver todo el proceso en el resultado de la captura, incluido el
protocolo de resolución de direcciones (ARP), el sistema de nombres de dominios
(DNS) y el protocolo TCP de enlace de tres vías. La captura de pantalla de la
parte 2, paso 1, muestra todos los paquetes que la PC debe obtener para
www.google.com. En este caso, la PC ya tenía una entrada de ARP para el gateway
predeterminado; por lo tanto, comenzó con la consulta DNS para resolver
www.google.com.
a.
En la trama 11, se
muestra la consulta DNS de la PC al servidor DNS, mediante la que se intenta
resolver el nombre de dominio, www.google.com, a la dirección IP del servidor
Web. La PC debe tener la dirección IP para poder enviar el primer paquete al
servidor Web.
¿Cuál es la dirección IP del servidor DNS que consultó la PC? Respuesta: 192.168.1.1
b.
La trama 12 es la
respuesta del servidor DNS con la dirección IP de www.google.com.
c.
Busque el paquete
apropiado para iniciar el protocolo de enlace de tres vías. En este ejemplo, la
trama 15 es el inicio del protocolo TCP de enlace de tres vías.
¿Cuál es la dirección IP del servidor Web de Google? Respuesta:
74.125.255.209
d.
Si tiene muchos paquetes que no están
relacionados con la conexión TCP, es posible que sea necesario usar la
capacidad de filtro de Wireshark. Escriba tcp
en el área de entrada de filtro de Wireshark y presione Entrar.
Paso 3: Examinar la
información de los paquetes, como direcciones IP, números de puerto TCP e
indicadores de control TCP
a.
En el ejemplo, la trama
15 es el inicio del protocolo de enlace de tres vías entre la PC y el servidor
Web de Google. En el panel de la lista de paquetes (en la sección superior de
la ventana principal), seleccione la trama. La línea se resalta, y en los dos
paneles inferiores se muestra la información decodificada proveniente de ese
paquete. Examine la información de TCP en el panel de detalles del paquete
(sección media de la ventana principal).
b.
Haga clic en el ícono + que se encuentra a la izquierda del
protocolo de control de transmisión (TCP) del panel de detalles del paquete
para ampliar la vista de la información de TCP.
c.
Haga clic en el ícono + que está a la izquierda de los
indicadores. Observe los puertos de origen y destino y los indicadores que
están establecidos.
Nota: es posible que tenga que
ajustar los tamaños de las ventanas superior y media de Wireshark para visualizar la información necesaria.
¿Cuál es el número de puerto de origen TCP? Respuesta:49523
¿Cómo clasificaría el puerto de origen? Respuesta: Dinámico o Privado
¿Cuál es el número de puerto de destino TCP? Respuesta:80
¿Cómo clasificaría el puerto de destino? Respuesta: Conocido registrado protocolo Web
¿Qué indicadores están establecidos?
Respuesta: Indicador SYN
¿Cuál es el número de secuencia relativa establecido? Respuesta:0
d.
Para seleccionar la
próxima trama en le protocolo de enlace de tres vías, seleccione Go (Ir) en la barra de menús de
Wireshark y, luego, Next Packet in
Conversation (Siguiente paquete de la conversación). En este ejemplo, es la
trama 16. Esta es la respuesta del servidor Web de Google a la solicitud
inicial para iniciar una sesión.
¿Cuáles son los valores de los puertos de origen y destino?
Respuesta:Puerto de origen es 80 y el puerto de destino 49523.
¿Qué indicadores están establecidos?
Respuesta: El indicador de sincronización (SYN) Y El indicador de
acuse de recibo (ACK).
¿Cuáles son los números de acuse de recibo y de secuencia relativa establecidos?
Respuesta: Número de secuencia relativa es 0 y el número de acuse de recibo es 1.
e.
Por último, examine el
tercer paquete del protocolo de enlace de tres vías en el ejemplo. Al hacer
clic en la trama 17 en la ventana superior, aparece la siguiente información en
este ejemplo:
Examine el tercer y último paquete del protocolo de enlace.
¿Qué indicadores están establecidos?
Respuesta: Indicador de acuse de recibo (ACK)
Los números de acuse de recibo y de secuencia relativa están
establecidos en 1 como punto de inicio. La conexión TCP ahora está establecida,
y la comunicación entre la PC de origen y el servidor Web puede comenzar.
f.
Cierre el programa Wireshark.
Reflexión
1.
Hay cientos de filtros
disponibles en Wireshark. Una red grande puede tener numerosos filtros y muchos
tipos de tráfico diferentes. ¿Cuáles son los tres filtros de la lista que
podrían ser los más útiles para un administrador de red?
Respuesta:
Las respuestas adecuadas podrían incluir TCP,
direcciones IP específicas y protocolos como HTTP.
2.
¿De qué otras formas
podría utilizarse Wireshark en una red de producción?
Respuesta: Este software suele utilizarse con fines de seguridad para el análisis
del tráfico. Es posible que se deban capturar nuevos protocolos o servicios
para determinar qué puerto o puertos se utilizan.
|
No hay comentarios:
Publicar un comentario