Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
En esta práctica se pretende adquirir las capacidades necesarias para capturar paquetes
usando la herramienta Wireshark.
3. Como habrás visto, al intentar analizar el tráfico de cualquier red, resulta habitual
encontrarse gran cantidad de paquetes que emplean protocolos en los que no
estamos interesados. Tal cantidad de tráfico dificulta el análisis de los paquetes
capturados y aumenta innecesariamente el tamaño de los ficheros de captura, por
lo que se hace indispensable filtrar toda esa información.
1
Para filtrar los paquetes y facilitar el análisis del tráfico capturado podemos usar
dos alternativas, no excluyentes entre ellas. La primera es definir un filtro de
captura, de modo que el propio Wireshark, cuando llega un nuevo paquete,
decide si ese paquete se ajusta o no a los criterios establecidos por el filtro. En
caso de que se ajuste, el paquete es aceptado y mostrado en pantalla, mientras que
en caso contrario el paquete se descarta. La otra alternativa para filtrar la
información de los paquetes es establecer un filtro de pantalla. En este caso lo
habitual es capturar todos los paquetes que circulan por la red, sin restricción
alguna, y especificar un filtro para poder extraer entre todo ese tráfico capturado
aquellos paquetes que nos interesan. En cualquier caso, es posible usar un filtro
de captura y posteriormente, sobre los paquetes capturados, usar un filtro de
pantalla para ver mejor los detalles que estemos buscando en cada momento. Los
filtros de captura se pueden especificar desde la ventana de captura (Capture
Options). Podemos especificar un filtro escribiendo la expresión correspondiente
en la caja de texto situada junto al botón Capture Filter. La sintaxis de estas
expresiones se mostrará en el apartado siguiente.
Por otra parte, los filtros de pantalla se pueden especificar desde la parte superior
de la ventana principal de WireShark (Filter). La sintaxis para este tipo de filtros
es ligeramente diferente. Es posible disponer de un asistente para especificar estos
filtros. Es conveniente tener cuidado con estos filtros de visualización, ya que
pueden, en ocasiones, llevar a error. Por ejemplo, estos filtros se emplearán más
delante en TCP de forma automática para seguir un flujo TCP. Por tanto, para
volver a visualizar todos los paquetes capturados es necesario limpiar este filtro
de visualización, bien con la opción correspondiente (clear), o bien empleando un
filtro vacío (línea en blanco).
Ejemplo de filtro de pantalla para visualizar los paquetes del protocolo ARP.
2
3. Puertos determinados (port). Así, el filtro: tcp.port == 7 captura
todas las tramas dirigidas o procedentes del puerto 7 de cualquier
computador, del protocolo TCP.
ip.src == 158.42.181.18
tcp.port == 25
Ejemplo: udp and ip.dst == 158.42.148.3 (se mostrarían sólo los paquetes
del protocolo UDP y cuya dirección destino sea 158.42.148.3)
3
4. (1 pto.) Ahora vas a realizar un pequeño ejercicio para lo que debes empezar a
capturar paquetes si no lo estás haciendo ya. Mientras la captura está activa usa tu
navegador para cargar algunas páginas (google, 20minutos, cineactual, por
ejemplo) de esta forma irás capturando los paquetes que se generen de dicha
navegación. Detén la captura (Capture STOP o bien CTRL-E). Guarda el
fichero de captura con el nombre que quieras y rellena estos datos de la siguiente
tabla (lee lo que hay después de la tabla):
Protocolo Cantidad
ARP 632
IP 21622
ICMP 51
TCP 18152
UDP 3365
4
5. (4 ptos.) Responde a las siguientes preguntas en relación a los filtros de
WireShark:
5
He dado un pantallazo al cmd de la máquina virtual para saber mi puerta
de enlace, que me dice que es la 10.0.2.2.
Al filtrar esa puerta de enlace en wireshark no me salía nada, solo me salía
la puerta de enlace del anfitrión, la que corresponde con mi router, que es
192.168.1.1 que es la puerta de enlace.
6
b. (1 pto.) ¿Qué filtro crearías para ver todos los paquetes del protocolo IP
que tienen como destino tu puerta de enlace?
c. (1 pto.) ¿Qué filtro crearías para ver todos los paquetes del protocolo TCP
que tienen como origen tu puerta de enlace?
7
d. (1 pto.) ¿Qué filtro crearías para ver todos los paquetes del protocolo ARP
y del protocolo UDP?
arp or udp and ip.host, he puesto arp o udp porque buscando por separado
los comandos en el arp no me aparecía nada por lo que decidí poner uno u
otro para que me filtrara algún dato de uno u otro. Pero me extraña porque
se produce una comunicación el protocolo arp se basa en el elaborar una
tabla entre las direcciones con las físicas (MAC) y las dir. Ip.
6. (5 ptos.) Vas a analizar los campos que componen las tramas Ethernet mediante
WireShark, para responde a estas preguntas:
8
b. (1 pto.) ¿Tiene sentido que el campo PREÁMBULO tenga el mismo valor
cualquiera que sea la trama? ¿Para qué se usa el valor de ese campo? Sí,
porque está formado por 8 bytes que siguen un patrón específico
citado arriba/ Para notificar a los nodos el inicio de una trama.
c. (0,5 ptos.) Para un paquete IP, ¿cuál es el valor del campo TIPO de la
trama Ethernet correspondiente?
d. (0,5 ptos.) Para un paquete ARP, ¿cuál es el valor del campo TIPO de la
trama Ethernet correspondiente?
9
No me sale arp
10
Esta es la dirección MAC de mi ordenador-> DC-0E-A1-21-FA-
A7
11
12
iii. ¿Cuál es el número de serie del NIC?
21-FA-A7 – de mi ordenador.
13
ii. ¿Cuál es el fabricante (OUI) del NIC?
12:35:02
14