Objetivos
Parte 1: Preparar Wireshark para la captura de paquetes
• Seleccionar una interfaz NIC apropiada para capturar paquetes.
Parte 2: Capturar, localizar y examinar paquetes
• Capturar una sesión Web para www.google.com.
• Localizar paquetes apropiados para una sesión Web.
• Examinar la información de los paquetes, como direcciones IP, números de puerto TCP e indicadores de control TCP.
Paso 1: Recuperar las
direcciones de la interfaz de la PC
Para esta práctica de
laboratorio, deberá recuperar la dirección IP de la PC y la dirección física de
la tarjeta de interfaz de red (NIC), que también se conoce como “dirección
MAC”.
a. Abra una ventana del símbolo
del sistema, escriba ipconfig /all y luego presione Entrar.
b. Anote las direcciones IP y
MAC asociadas al adaptador Ethernet seleccionado, ya que esa es la dirección de
origen que debe buscar al examinar los paquetes capturados.
Dirección IP del host de la PC:
192.168.1.50
Dirección MAC
del host de la PC: A4-17-31-53-0B-5D
Paso
2: Iniciar Wireshark y seleccionar la interfaz apropiada a. Haga clic en el botón Inicio de Windows y,
en el menú emergente, haga doble clic en Wireshark.
b. Una vez que se inicia
Wireshark, haga clic en Interface List (Lista de interfaces).
Paso 2: Localizar paquetes
adecuados para la sesión Web
a. En la trama 11, se muestra
la consulta DNS de la PC al servidor DNS, mediante la que se intenta resolver
el nombre de dominio, www.google.com, a la dirección IP del servidor Web. La PC
debe tener la dirección IP para poder enviar el primer paquete al servidor Web.
¿Cuál es la dirección IP del
servidor DNS que consultó la PC? 192.168.1.1
b.
La trama 12 es la respuesta del servidor DNS con la dirección IP de
www.google.com.
c. Busque el paquete apropiado
para iniciar el protocolo de enlace de tres vías. En este ejemplo, la trama 15
es el inicio del protocolo TCP de enlace de tres vías.
¿Cuál es la dirección IP del
servidor Web de Google? 74.125.141.103
d. Si tiene muchos paquetes que
no están relacionados con la conexión TCP, es posible que sea necesario usar la
capacidad de filtro de Wireshark. Escriba tcp en el área de entrada de
filtro de Wireshark y presione Entrar.
Paso
3: Examinar la información de los paquetes, como direcciones IP, números de
puerto TCP e indicadores de control TCP
a.
En el ejemplo, la trama 15 es el inicio del protocolo de enlace de tres vías
entre la PC y el servidor Web de Google. En el panel de la lista de paquetes
(en la sección superior de la ventana principal), seleccione la trama. La línea
se resalta, y en los dos paneles inferiores se muestra la información
decodificada proveniente de ese paquete. Examine la información de TCP en el
panel de detalles del paquete (sección media de la ventana principal).
b. Haga clic en el ícono + que
se encuentra a la izquierda del protocolo de control de transmisión (TCP) del
panel de detalles del paquete para ampliar la vista de la información de TCP.
c. Haga clic en el ícono + que
está a la izquierda de los indicadores. Observe los puertos de origen y destino
y los indicadores que están establecidos.
¿Cuál es el número de puerto de
origen TCP? 52412
¿Cómo clasificaría el puerto de
origen? Dinámico o privado.
¿Cuál es el número de puerto de
destino TCP? Puerto 443
¿Cómo clasificaría el puerto de
destino? Conocido HTTPS/SSL usado para
la transferencia segura de páginas web
¿Qué indicadores están
establecidos? Indicador SYN
¿Cuál es el número de secuencia
relativa establecido? 0
d. Para seleccionar la próxima
trama en le protocolo de enlace de tres vías, seleccione Go (Ir) en la
barra de menús de Wireshark y, luego, Next Packet in Conversation (Siguiente
paquete de la conversación). En este ejemplo, es la trama 16. Esta es la
respuesta del servidor Web de Google a la solicitud inicial para iniciar una
sesión.
¿Cuáles son
los valores de los puertos de origen y destino?
El puerto de origen
ahora es 443 y el puerto de destino ahora es 52412.
¿Qué
indicadores están establecidos?
El indicador de acuse
de recibo (ACK) y el indicador de sincronización (SYN).
¿Cuáles son
los números de acuse de recibo y de secuencia relativa establecidos?
El número de
secuencia relativa es 0 y el número de acuse de recibo es 1.
e. Por último,
examine el tercer paquete del protocolo de enlace de tres vías en el ejemplo.
Al hacer clic en la trama 17 en la ventana superior, aparece la siguiente
información en este ejemplo:
Examine el tercer y último
paquete del protocolo de enlace.
¿Qué indicadores están
establecidos?
Indicador de acuse de
recibo (ACK)
Los números de acuse de recibo
y de secuencia relativa están establecidos en 1 como punto de inicio. La
conexión TCP ahora está establecida, y la comunicación entre la PC de origen y
el servidor Web puede comenzar.
f. Cierre el programa
Wireshark.
Reflexión
1. Hay cientos de filtros
disponibles en Wireshark. Una red grande puede tener numerosos filtros y muchos
tipos de tráfico diferentes. ¿Cuáles son los tres filtros de la lista que
podrían ser los más útiles para un administrador de red?
Hay varios algunos
podrían incluir TCP, direcciones IP específicas (de origen o destino) y
protocolos como HTTP.
2. ¿De qué otras formas podría
utilizarse Wireshark en una red de producción?
Wireshark
suele utilizarse con fines de seguridad, para el análisis posterior del tráfico
normal o después de un ataque de red. Es posible que se deban capturar nuevos
protocolos o servicios para determinar qué puerto o puertos se utilizan.
Gracias me sirvió como orientación para realizar la actividad.
ResponderEliminarsi es una super ayuda!
Eliminar