USO DE WIRESHARK PARA EXAMINAR UNA CAPTURA UDP DE DNS

7.2.3.5 Práctica de laboratorio: Uso de Wireshark para examinar una captura UDP de DNS

Objetivos 

Parte 1: Registrar la información de configuración IP de una PC

Parte 2: Utilizar Wireshark para capturar consultas y respuestas DNS 

Parte 3: Analizar los paquetes DNS o UDP capturados

Parte 1: Registrar la información de configuración IP de la PC 

Dirección IP	192.168.1.50
Dirección MAC	A4-17-31-53-0B-5D
Dirección IP de la puerta de enlace predeterminada	192.168.1.1
Dirección del servidor DNS	192.168.1.1

Parte 3: Analizar los paquetes DNS o UDP capturados 

Paso 1: Filtrar paquetes DNS a. En la ventana principal de Wireshark, escriba dns en el área de entrada de la barra de herramientas Filter (Filtrar). Haga clic en Apply (Aplicar) o presione Entrar. 

Paso 2: Examinar el segmento UDP mediante una consulta DNS 

b. En la línea Ethernet II, se muestran las direcciones MAC de origen y destino. La dirección MAC de origen proviene de la PC local, ya que esta originó la consulta DNS. La dirección MAC de destino proviene del gateway predeterminado, dado que esta es la última parada antes de que la consulta abandone la red local.

¿La dirección MAC de origen es la misma que la que se registró en la parte 1 para la PC local?

Sí, es la misma que se registró en la Parte 1.

c. En la línea Internet Protocol Version 4 (Protocolo de Internet versión 4), la captura de Wireshark de paquetes IP indica que la dirección IP de origen de esta consulta DNS es 192.168.1.11 y la dirección IP de destino es 192.168.1.1. En este ejemplo, la dirección de destino es el gateway predeterminado.El router es el gateway predeterminado en esta red.

¿Puede emparejar las direcciones IP y MAC para los dispositivos de origen y destino?

DISPOSITIVO	DIRECCIÓN IP	DIRECCIÓN MAC
PC local	192.168.1.50	a4:17:31:53:0b:5d
Gateway predetermiando	192.168.1.1	cc:1a:fa:5b:8c:e4

El paquete y el encabezado IP encapsulan el segmento UDP. El segmento UDP contiene la consulta DNS como los datos.

d. Un encabezado UDP solo tiene cuatro campos: source port (puerto de origen), destination port (puerto de destino), length (longitud) y checksum. Cada campo en el encabezado UDP es de solo 16 bits, como se ilustra a continuación.

Amplíe el protocolo de datagramas de usuario en el panel de detalles del paquete haciendo clic en el signo más (+). Observe que hay solo cuatro campos. El número de puerto de origen en este ejemplo es 52110. La PC local generó el puerto de origen aleatoriamente utilizando los números de puerto que no están reservados. El puerto de destino es 53. El puerto 53 es un puerto conocido reservado para ser utilizado con DNS. En el puerto 53, los servidores DNS escuchan las consultas DNS de los clientes.

En este ejemplo, la longitud de este segmento UDP es de 40 bytes. De los 40 bytes, 8 bytes se utilizan como encabezado. Los otros 32 bytes los utilizan los datos de la consulta DNS. Estos 32 bytes están resaltados en la ilustración siguiente en el panel de bytes del paquete (sección inferior) de la ventana principal de Wireshark.

El valor de checksum se usa para determinar la integridad del paquete después de haber atravesado Internet.

El encabezado UDP tiene una sobrecarga baja, porque UDP no tiene campos asociados con el protocolo de enlace de tres vías en TCP. Cualquier problema de confiabilidad de transferencia de datos que ocurra debe solucionarse en la capa de aplicación.

Registre los resultados de Wireshark en la tabla siguiente:

Tamaño de trama	45
Dirección MAC  de origen	a4:17:31:53:0b:5d
Dirección MAC de destino	cc:1a:fa:5b:8c:e4
Dirección IP de origen	192.168.1.50
Dirección IP de destino	192.168.1.1
Puerto de origen	54182
Puerto de destino	53

¿La dirección IP de origen es la misma que la dirección IP de la PC local registrada en la parte 1?Sí

¿La dirección IP de destino es la misma que el gateway predeterminado que se registró en la parte 1? Sí

Paso 3: Examinar el UDP usando la respuesta DNS

En este paso, examinará el paquete de respuesta DNS y verificará que este también utilice UDP.

a. En este ejemplo, la trama 5 es el paquete de respuesta DNS correspondiente. Observe que la cantidad de bytes en el cable es 290 bytes. Es un paquete más grande con respecto al paquete de consulta DNS. 

b. En la trama Ethernet II para la respuesta DNS, ¿de qué dispositivo proviene la dirección MAC de origen y de qué dispositivo proviene la dirección MAC de destino?

La dirección MAC de origen es el gateway predeterminado y la dirección MAC de destino es el host local.

c. Observe las direcciones IP de origen y destino en el paquete IP. ¿Cuál es la dirección IP de destino? ¿Cuál es la dirección IP de origen?

Dirección IP de destino: 192.168.1.50                       Dirección IP de origen: 192.168.1.1

¿Qué ocurrió con los roles de origen y destino para el host local y el gateway predeterminado?

El host local y el gateway predeterminado invirtieron sus roles en los paquetes de consulta y respuesta DNS.

d. En el segmento UDP, el rol de los números de puerto también se invirtió. El número de puerto de destino es 52110. El número de puerto 52110 es el mismo puerto que el que generó la PC local cuando se envió la consulta DNS al servidor DNS. La PC local escucha una respuesta DNS en este puerto.

El número de puerto de origen es 53. El servidor DNS escucha una consulta DNS en el puerto 53 y luego envía una respuesta DNS con un número de puerto de origen 53 de vuelta a quien originó la consulta DNS.

Cuando la respuesta DNS esté expandida, observe las direcciones IP resueltas para www.google.com en la sección Answers (Respuestas).

Reflexión

¿Cuáles son los beneficios de utilizar UDP en lugar de TCP como protocolo de transporte para DNS?

UDP como protocolo de transporte proporciona un rápido establecimiento de sesión, respuesta rápida, sobrecarga mínima, que no haya necesidad de reintentos, rearmado de segmentos y acuse de recibo de los paquetes recibidos.