Práctica de laboratorio: Uso de Wireshark
para observar el protocolo TCP de enlace de tres vías
Topología
Objetivos
Parte
1: Preparar Wireshark para la captura de paquetes
• Seleccionar una interfaz NIC apropiada para capturar
paquetes.
Parte 2: Capturar, localizar y examinar
paquetes
• Capturar una sesión Web para www.google.com.
• Localizar paquetes apropiados para una sesión Web.
•
Examinar
la información de los paquetes, como direcciones IP, números de puerto TCP e
indicadores de control TCP.
Información básica/Situación
En esta práctica de laboratorio, utilizará
Wireshark para capturar y examinar paquetes que se generan entre el explorador
de la PC mediante el protocolo de transferencia de hipertexto (HTTP) y un
servidor Web, como www.google.com. Cuando una aplicación, como HTTP o el
protocolo de transferencia de archivos (FTP), se inicia primero en un host, TCP
utiliza el protocolo de enlace de tres vías para establecer una sesión TCP
confiable entre los dos hosts. Por ejemplo, cuando una PC utiliza un explorador
Web para navegar por Internet, se inicia un protocolo de enlace de tres vías y
se establece una sesión entre el host de la PC y el servidor Web. Una PC puede
tener varias sesiones TCP simultáneas activas con diversos sitios Web.
Nota: esta
práctica de laboratorio no se puede realizar utilizando Netlab. Para la realización
de esta práctica de laboratorio, se da por sentado que tiene acceso a
Internet.
Recursos necesarios
1 PC (Windows
7, Vista o XP con acceso al símbolo del sistema, acceso a Internet y Wireshark
instalado)
Parte 1: Preparar Wireshark para capturar paquetes
En la parte 1,
inicia el programa Wireshark y selecciona la interfaz apropiada para comenzar a
capturar paquetes.
Paso 1: Recuperar las direcciones de la interfaz de
la PC
Para esta práctica de laboratorio, deberá recuperar la
dirección IP de la PC y la dirección física de la tarjeta de interfaz de red
(NIC), que también se conoce como “dirección MAC”.
a. Abra una ventana del símbolo del sistema,
escriba ipconfig /all y luego presione Entrar.
- Anote
las direcciones IP y MAC asociadas al adaptador Ethernet seleccionado, ya
que esa es la dirección de origen que debe buscar al examinar los paquetes
capturados.
Dirección IP del host de la PC: 192.168.1.130.
Dirección MAC del host de la PC: C8:0A:A9:FA:DE:0D
Paso
2: Iniciar Wireshark y seleccionar la
interfaz apropiada
- Haga clic en el botón Inicio de Windows y,
en el menú emergente, haga doble clic en Wireshark.
- Una vez que se inicia Wireshark, haga clic en Interface List (Lista de interfaces).
- En la ventana Wireshark: Capture Interfaces (Wireshark: capturar interfaces), haga clic en la casilla de verificación junto a la interfaz conectada a la LAN.
Nota: si se indican varias interfaces, y no está seguro de cuál activar, haga
clic en Details (Detalles) . Haga clic en la ficha 802.3
(Ethernet) y verifique que la dirección MAC coincida con la que anotó en el
paso 1b. Después de realizar esta verificación, cierre la ventana Interface
Details (Detalles de la interfaz).
Parte 2: Capturar, localizar y examinar paquetes
Paso
1: Hacer clic en el botón Start
(Comenzar) para iniciar la captura de datos
- Acceda a www.google.com. Minimice la ventana de Google y vuelva a
Wireshark. Detenga la captura de datos. Debería ver tráfico capturado
similar al que se muestra a continuación, en el paso b.
Nota: es posible que el instructor le
proporcione un sitio Web diferente. En ese caso, introduzca el nombre
del sitio Web o la dirección aquí:
- La ventana de captura ahora está activa. Ubique las columnas Source (Origen), Destination (Destino) y Protocol (Protocolo).
Paso
2: Localizar paquetes adecuados para la
sesión Web
Si la PC se inició recientemente y no hubo
actividad al acceder a Internet, puede ver todo el proceso en el resultado de
la captura, incluido el protocolo de resolución de direcciones (ARP), el
sistema de nombres de dominios (DNS) y el protocolo TCP de enlace de tres vías.
La captura de pantalla de la parte 2, paso 1, muestra todos los paquetes que la
PC debe obtener para www.google.com. En este caso, la PC ya tenía una entrada
de ARP para el gateway predeterminado; por lo tanto, comenzó con la consulta DNS
para resolver www.google.com.
- En la trama 11,
se muestra la consulta DNS de la PC al servidor DNS, mediante la que se
intenta resolver el nombre de dominio, www.google.com, a la dirección IP
del servidor Web. La PC debe tener la dirección IP para poder enviar el
primer paquete al servidor Web.
¿Cuál es la dirección IP del servidor DNS
que consultó la PC? 192.168.1.1
- La trama 12 es la respuesta del servidor DNS con la dirección IP de www.google.com.
c. Busque el paquete apropiado para iniciar
el protocolo de enlace de tres vías. En este ejemplo, la trama 15 es el inicio
del protocolo TCP de enlace de tres vías.
¿Cuál es la dirección IP del servidor Web
de Google? 74.125.225.209
d.
Si tiene
muchos paquetes que no están relacionados con la conexión TCP, es posible que
sea necesario usar la capacidad de filtro de Wireshark. Escriba tcp en
el área de entrada de filtro de Wireshark y presione Entrar.
Paso 3: Examinar la información de los
paquetes, como direcciones IP, números de puerto TCP e indicadores de control
TCP
a.
En el
ejemplo, la trama 15 es el inicio del protocolo de enlace de tres vías entre la
PC y el servidor Web de Google. En el panel de la lista de paquetes (en la
sección superior de la ventana principal), seleccione la trama. La línea se
resalta, y en los dos paneles inferiores se muestra la información decodificada
proveniente de ese paquete. Examine la información de TCP en el panel de detalles
del paquete (sección media de la ventana principal).
b.
Haga clic
en el ícono + que se encuentra a la izquierda del protocolo de control
de transmisión (TCP) del panel de detalles del paquete para ampliar la vista de
la información de TCP.
c.
Haga clic
en el ícono + que está a la izquierda de los indicadores. Observe los
puertos de origen y destino y los indicadores que están establecidos.
Nota: es posible que tenga que ajustar los
tamaños de las ventanas superior y media de Wireshark para visualizar la
información necesaria.
¿Cuál
es el número de puerto de origen TCP? 49523
¿Cómo
clasificaría el puerto de origen? Dinámico o privado
¿Cuál
es el número de puerto de destino TCP? Puerto 80
¿Cómo
clasificaría el puerto de destino? Conocido, registrado
¿Qué
indicadores están establecidos? Indicador SYN
¿Cuál
es el número de secuencia relativa establecido? 0
d.
Para
seleccionar la próxima trama en le protocolo de enlace de tres vías, seleccione
Go (Ir) en la barra de menús de Wireshark y, luego, Next Packet in
Conversation (Siguiente paquete de la conversación). En este ejemplo, es la
trama 16. Esta es la respuesta del servidor Web de Google a la solicitud
inicial para iniciar una sesión.
¿Cuáles
son los valores de los puertos de origen y destino?
El puerto de origen ahora es 80 y el puerto de
destino ahora es 49523.
¿Qué
indicadores están establecidos?
El indicador de acuse de recibo (ACK) y el
indicador de sincronización (SYN).
¿Cuáles
son los números de acuse de recibo y de secuencia relativa establecidos?
El número de secuencia relativa es 0 y el
número de acuse de recibo es 1.
- Por último, examine el tercer paquete del protocolo de enlace de tres vías en el ejemplo. Al hacer clic en la trama 17 en la ventana superior, aparece la siguiente información en este ejemplo:
Examine
el tercer y último paquete del protocolo de enlace.
¿Qué
indicadores están establecidos? Indicador de acuse de recibo (ACK)
Los números de acuse de recibo y de
secuencia relativa están establecidos en 1 como punto de inicio. La conexión
TCP ahora está establecida, y la comunicación entre la PC de origen y el
servidor Web puede comenzar.
- Cierre el programa Wireshark.
Reflexión
1.
Hay
cientos de filtros disponibles en Wireshark. Una red grande puede tener
numerosos filtros y muchos tipos de tráfico diferentes. ¿Cuáles son los tres
filtros de la lista que podrían ser los más útiles para un administrador de
red?
TCP,
direcciones IP específicas (de origen o destino) y protocolos como HTTP.
2. ¿De qué otras formas podría utilizarse Wireshark en
una red de producción?
Wireshark
suele utilizarse con fines de seguridad, para el análisis posterior del tráfico
normal o después de un ataque de red. Es posible que se deban capturar nuevos
protocolos o servicios para determinar qué puerto o puertos se utilizan.
© 2014 Cisco y/o sus filiales. Todos los
derechos reservados. Este documento es información pública de Cisco.
No hay comentarios:
Publicar un comentario