Objetivos
Parte 1: Identificar campos de encabezado y operación TCP mediante una captura de sesión FTP de
Wireshark
Parte 2: Identificar campos de encabezado y operación UDP mediante una captura de sesión TFTP de
Wireshark
Parte 1
Paso 3: Detener la captura
de Wireshark
Paso 4: Ver la ventana
principal de Wireshark
Wireshark capturó muchos
paquetes durante la sesión FTP a ftp.cdc.gov. Para limitar la cantidad de datos
para analizar, escriba tcp and ip.addr == 198.246.112.54 en el área de
entrada Filter: (Filtrar:) y haga clic en Apply (Aplicar). La
dirección IP, 198.246.112.54, es la dirección para ftp.cdc.gov.
Paso 5: Analizar los campos
TCP
Una vez
aplicado el filtro TCP, las primeras tres tramas en el panel de la lista de paquetes
(sección superior) muestran el protocolo de la capa de transporte TCP que crea
una sesión confiable. La secuencia de [SYN], [SYN, ACK] y [ACK] ilustra el
protocolo de enlace de tres vías.
En Wireshark, se encuentra disponible información detallada sobre TCP en
el panel de detalles del paquete (sección media). Resalte el primer datagrama
TCP del equipo host y expanda el registro TCP. El datagrama TCP expandido
parece similar al panel de detalles del paquete que se muestra a continuación.
La imagen anterior es un
diagrama del datagrama TCP. Se proporciona una explicación de cada campo para
referencia:
•
El número de puerto de origen TCP pertenece al host de la sesión TCP que
inició una conexión. Generalmente el valor es un valor aleatorio superior a
1,023.
• El número de puerto de
destino TCP se utiliza para identificar el protocolo de capa superior o la
aplicación en el sitio remoto. Los valores en el intervalo de 0 a 1023
representan los “puertos bien conocidos” y están asociados a servicios y
aplicaciones populares (como se describe en la RFC 1700, por ejemplo, Telnet,
FTP, HTTP, etc.). La combinación de dirección IP de origen, puerto de origen,
dirección IP de destino y puerto de destino identifica de manera exclusiva la
sesión tanto para el emisor como para el receptor.
|
Dirección IP
de origen
|
192.168.1.17
|
|
Dirección IP
de destino
|
192.246.112.54
|
|
Número de
puerto de origen
|
49243
|
|
Número de
puerto de destino
|
21
|
|
Número de
secuencia
|
0
|
|
Número de
acuse de recibo
|
No es
aplicable a esta captura
|
|
Longitud del
encabezado
|
32 bytes
|
|
Tamaño de la
ventana
|
8192
|
En la segunda
captura filtrada de Wireshark, el servidor FTP de CDC acusa recibo de la
solicitud de la PC. Observe los valores de los bits SYN y ACK.
Complete la
siguiente información con respecto al mensaje SYN-ACK.
|
Dirección IP
de origen
|
192.246.112.54
|
|
Dirección IP
de destino
|
192.168.1.17
|
|
Número de
puerto de origen
|
21
|
|
Número de
puerto de destino
|
49243
|
|
Número de
secuencia
|
0
|
|
Número de
acuse de recibo
|
1
|
|
Longitud del
encabezado
|
32 bites
|
|
Tamaño de la
ventana
|
64240
|
En la etapa
final de la negociación para establecer las comunicaciones, la PC envía un
mensaje de acuse de recibo al servidor. Observe que solo el bit ACK está
establecido en 1, y el número de secuencia se incrementó a 1.
Complete la
siguiente información con respecto al mensaje ACK.
|
Dirección IP
de origen
|
192.168.1.17
|
|
Dirección IP
de destino
|
198.246.112.54
|
|
Número de
puerto de origen
|
49243
|
|
Número de
puerto de destino
|
21
|
|
Número de
secuencia
|
1
|
|
Número de
acuse de recibo
|
1
|
|
Longitud del
encabezado
|
20
|
|
Tamaño de la
ventana
|
8192
|
¿Cuántos otros datagramas TCP
contenían un bit SYN?
Uno. El primer
paquete que envió el host al principio de una sesión TCP.
Una vez
establecida una sesión TCP, puede haber tráfico FTP entre la PC y el servidor
FTP. El cliente y el servidor FTP se comunican entre sí sin saber que TCP tiene
el control y manejo de la sesión. Cuando el servidor FTP envía una Response:
220 (Respuesta: 220) al cliente FTP, la sesión TCP en el cliente FTP envía un
acuse de recibo a la sesión TCP en el servidor. Esta secuencia se puede ver en
la captura de Wireshark, a continuación.
Si se aplica
un filtro ftp, puede examinarse la secuencia completa del tráfico FTP en
Wireshark. Observe la secuencia de eventos durante esta sesión FTP. Para recuperar
el archivo Léame, se utilizó el nombre de usuario anónimo. Una vez que se
completó la transferencia de archivos, el usuario finalizó la sesión FTP.
En este ejemplo, el servidor
FTP no tiene más datos para enviar en el stream; envía un segmento con el
conjunto de indicadores FIN en la trama 63. La PC envía un ACK para acusar
recibo del FIN para terminar la sesión del servidor al cliente en la trama 64.
En la trama
65, la PC envía un FIN al servidor FTP para terminar la sesión TCP. El servidor
FTP responde con un ACK para acusar recibo del FIN de la PC en la trama 67.
Ahora, la sesión TCP terminó entre el servidor FTP y la PC.
No hay comentarios:
Publicar un comentario