LABORATORIO DE SISTEMAS DE TELECOMUNICACIONES I

LABORATORIO DE SISTEMAS DE TELECOMUNICACIONES I2013

USO DEL ANALIZADOR DE TRAFICO WIRESHARK

I. OBJETIVOS:

Conocer el funcionamiento y la aplicacin bsica de monitoreo a nivel de paquetes Distinguir las diferentes partes que componen a un paquete de datos.

II. HERRAMIENTAS:

Software wireshark v.1.10.2

III. WIRESHARK

El analizador Wireshark, es uno de los ms populares analizadores que existen. Se trata de una herramienta grfica utilizada por los administradores de la red para identificar y analizar el tipo trfico en un momento determinado. Se trata de un producto gratuito cuyas caractersticas ms relevantes son: Disponible para UNIX, LINUX, Windows y Mac OS. Captura los paquetes directamente desde una interfaz de red. Permite obtener detalladamente la informacin del protocolo utilizado en el paquete capturado. Cuenta con la capacidad de importar/exportar los paquetes capturados desde/hacia otros programas. Filtra los paquetes que cumplan con un criterio definido previamente. Realiza la bsqueda de los paquetes que cumplan con un criterio definido previamente. Permite obtener estadsticas. Sus funciones grficas son muy poderosas ya que identifica mediante el uso de colores los paquetes que cumplen con los filtros establecidos. Hasta el ao 2006 el programa se distribua bajo la denominacin de Ethereal.

IV. PROCEDIMIENTO

1. Ejecutar los archivos de instalacin del software wireshark 10.1.2 OBTENCIN DE LA INFORMACIN PROPIA2. Averiguar la configuracin de la maquina en la que nos encontramos para ello lanzaremos la aplicacin de Windows winipcfg que puede ser lanzada desde la opcin de men de Windows Inicio_ejecutar. La informacin que obtendremos es la siguiente:La informacin que podamos precisar para usarla posteriormente la anotamos Nombre de host :fiee-b58138e64d Direccin MAC :00-1C-C0-E8-37-AF Direccion IP :172.16.86.110 Mascara de subred :255.255.252.0 Gatewa o puerta de enlace :172.16.84.1 Servidor de DNS :172.16.156.4

CAPTURA SIMPLE DE PAQUETES3. A continuacin monitorizar varias de los comandos bsicos de administracin de redes y otras aplicaciones de red Abrir una ventana de comandos de MS-DOS

4. Comprobar que direcciones tiene la cacha almacenadaC://WINDOWS>arp a

5. Borrar cada una de las entradas que existan tecleandoC://WINDOWS>arp d

CONFIGURACION DE WIRESHARK

6. Abra el programa wireshark. Escoja la opcin de men capture-options

7. En la entrada etiquetada con el nombre interface escoja la que haga referencia la tarjeta de red8. En la entrada etiquetada con el nombre de filter escriba: host

9. Deshabilite las opciones Enable MAC name resolution Enable network name resolution Enable transport name resolution

10. Iniciar el monitoreo con el wireshark pulsando el botn Start

PROPSITO DEL PROTOCOLO ARP

11. Ejecutar en la ventana del comando el ping :

C:\WINSOWS>ping n 1 172.16.84.206.Se enviara solo 1 paquete ICMP echo request.

12. Detenga la captura de tramas pulsando el botn STOP

13. Escribir la informacin de la captura (ping con la tabla ARP vaca): Fuente, Destino Protocolo, Funcin.

PROTOCOLO ARP (tipo 0806)OPERATION: MODO 1, Solicitud ARPFUENTE: EL HOST DE EMISION mi pc CON LA MAC 00:19:d1:ff:f0:a1Destino: la Mac: ff:ff:ff:ff:ff:ff , el hecho de que la MAC de destino sea la mostrada en el Wireshark se debe a que el Protocolo ARP , es un protocolo de resolucin de direcciones , y l est buscando dentro de mi red cual es la direccin fsica con la ip 172.16.84.206 para establecer la sesin.PROTOCOLO ARP (tipo 0806)OPERATION: MODO 2, RESPUESTA ARPFUENTE: LA MAC 00:19:d1:ff:f0:afDESTINO: mi pc CON LA MAC 00:19:d1:ff:f0:a1

14. A continuacin observe de nuevo la cache ARP y realice un ping a la misma mquina, Repitiendo los pasos del 06 al 12. Analizando los paquetes capturados, responda a las siguientes preguntas:

Se identifican las tramas ARP en la captura?No se identifican las tramas ARPEn caso de que no hubiese tramas ARP por qu no haca falta enviarlas? Explique a que se debe las diferencias de esta captura con lo anterior.Porque el host de origen ya tiene almacenado la direccin MAC de Destino debido a que ya se realiz previamente la resolucin de direccin.

ARPA PROXI

15. una vez preparado el programa de captura de trfico, genere paquetes ICMP de echo con el programa ping. Para ello ejecute desde una consola el siguiente comando.C:\WINDOWS> ping www.google.comCon este comando se enviran 4 paquetes ICMP echo resquest.

16. una vez ha acabado el programa ping, pulso el botn de stop de wireshark, para detener la captura de trfico.

17. Analice la direccin hardware destino de unos de los mensajes ICMP resquest. A qu maquina corresponde?

La direccin hardware de destino es: 00:00:0c:ac:54 esta direccin corresponde al Gateway que est conectada a la consola que se est mandando el ping.

18. Analice, ahora, la direccin hardware fuente de uno de los mensajes ICMP reply. A qu maquina corresponde? Explique.

La direccin fsica del hardware fuente es: 58:bf:ea:bf:c0:80.

COMANDO TRACERT

19. Comprobar que tipo de paquetes viajan cuando se realiza la traza de la ruta de los paquetes por la red. Para ello escribir en la ventana de comandos la siguiente orden:

C: \WINDOWS>tracert www.cisco.com

20. Por lo apreciado en el tipo de paquetes capturados en qu consiste el tracert? Qu consecuencias de protocolos emplea el comando?

Los paquetes capturados son todos los que estn cursando por la red, tracert consiste en la captura de todos los paquetes, es una utilidad de seguimiento de ruta empleada para averiguar la ruta de acceso que un paquete IP ha seguido para llegar a un destino.

FRAGMENTACION DE DATAGRAMAS IP

El objetivo de este ejercicio es observar la fragmentacin de los datagramas IP. Para ello se utilizara el programa ping para generar mensajes ICMP echo de peticin (request), con un tamao suficientemente grande y el programa wireshark para capturar el trafico generado y poder analizarlo.

21. Averige la opcin que permite establecer el tamao del mensaje ICMP usando el manual del comando ping.

C: \ WINDOWS> ping l 1000 n 1

22. envi un solo mensaje ICMP de tamao 1000 bytes a la direccin de un host de la red.C: \ WINDOWS> ping l 1000 n 1

a) Analizando el trfico capturado determine el tamao total de la trama enviada, la longitud de la cabecera Ethernet, longitud de la cabecera IP, longitud de la cabecera ICMP y la longitud de los datos enviados.

El tamao total de la trama es de: 1000 bytesLa longitud de la cabecera es de: 20 bytesLa longitud de la cabecera IP es: 20 bytesLa cabecera ICMP es: 8 bytesLa longitud de los datos enviados es: 1028 bytes

b) Verifique el estado de los flags del datagrama IP: dont fragment y more fragments.

El UMT de internet es 1500 bytes y el paquete enviado de 1000 bytes. No se fragmenta.

El dont fragment est en: no setEl more fragment esta en: no set

23. Envi un solo mensaje ICMP de tamao 8000 bytes a la direccin de un host de la red realizando la captura de trfico correspondiente. Ejm:C: \WINDOWS > ping l 8000 n 1 < Direccin IP Remota>

c) Cuntas tramas Ethernet han sido enviadas a la direccin del host destino para completar la transmisin de un mensaje ICMP?

Se envan 6 tramas para este mensaje ICMP.

d) Analice que cabeceras de protocolos existen en cada uno de las tramas Ethernet del mensaje ICMP.

Protocolo ip: version4Protocolo ICMP: tipo 8, Echo request

e) En cada una de las tramas verifique los campos del datagrama IP; identificacin; Flags (Don't Fragment y More Fragmentes) Y Fragment Offset.

La identificacin es la misma para todos los fragmentos pues corresponden a un mismo dato, la identificacin es 2531 Fragmento 1:Don't Fragment est en 00 More Fragmentes) est en 01Fragment Offset = 0 en hexadecimal 000Fragmento 2:Don't Fragment est en 00 More Fragmentes) est en 01Fragment Offset = 185 en hexadecimal 0B9Fragmento 3:Don't Fragment est en 00 More Fragmentes) est en 01Fragment Offset = 370 en hexadecimal 370Fragmento 4:Don't Fragment est en 00 More Fragmentes) est en 01Fragment Offset = 555 en hexadecimal 22BFragmento 5:Don't Fragment est en 00 More Fragmentes) est en 01Fragment Offset = 185 en hexadecimal 2E4Fragmento 6:Don't Fragment est en 00 More Fragmentes) est en 00 Fragment Offset =925 en hexadecimal 49D

f) Determine cuantos bytes de informacin viajan en cada una de las tramas (los datos enviados deben sumar 8000) bytes

TRAMA1: 0-1479 (1480 bytes)TRAMA2: 1480-2959 (1480 bytes)TRAMA3: 2960-4439 (1480 bytes)TRAMA4: 4440-5919 (1480 bytes)TRAMA5: 5920-7399 (1480 bytes)TRAMA6: 7400-8007(608bytes)

Total 8008 bytes

g) Obtenga una frmula matemtica que permita determinar el nmero de tramas enviadas para completar la transmisin de un mensaje ICMP de una longitud de L bytes.

SI n es un nmero entero, el nuero de tramas es n.Si n NO es un nmero entero, el nmero de tramas es el inmediato entero superior.

24. Obtenga el MTU (MAXIMA TRANSFER UNIT) de LA INTERFAZ DE RED POR LO QUE SE HAN ENVIADOS LOS MENSAJES ICMP tiene alguna relacin el MTU con la fragmentacin observada en el punto anterior?El MTU es 1500 bytes, la mxima longitud de los paquetes capturados en el wireshark es 1480bytes.

25. Verifique el campo de suma de chequeo del Datagrama ip.

La suma de chequeo es 0c96 para el paquete ipv4, pero en cada paquete ip que se fragmenta la suma de chequeo va ser distinto pues no todos tienen el mismo valor en el campo de desplazamiento, el more fragments y en el campo de longitud total.

GATEWAY 26. Realice una captura de trfico filtrando aquellos paquetes cuya direccin de origen sea su mquina y la direccin de destino sea la puerta de enlace predeterminada (Gateway) de su subred. Para ello, navegue por internet captura algn paquete?(Src host) and (dst host)Al abrir pginas webs se captura paquetes, entre el trfico de la direccion ip host (nuestra IP) y la direccin ip del Gateway el tipo de protocolo es el ARP que permite que se conozca la direccin fsica de una tarjeta de interfaz de red correspondiente a una direccin IP.27. Compartelo con el trfico capturado si modifica el filtro de modo que capture todos los paquetes con destino al gateway independientemente del origen captura algn paquete de los ordenadores?Dst host

Existe trfico entre los otros ordenadores de la red hacia el Gateway con las siguientes direcciones 172.16.84.11 y 172.16.84.5 y son del protocolo tipo ARP que permite que se conozca la direccin fsica de una tarjeta de interfaz de red correspondiente a una direccin IP.28. Modifique los filtros anteriores para capturar todos los paquetes que salen y entran de la subred a travs de la pasarela indicada. Es decir, paquetes cuya direccin fsica(origen o destino) es la del host, pero las direcciones IP (origen o destino) no corresponden al host.Ether host

V. INFORME FINAL

1. Qu es un monitor de red?

Un monitor de red nos ayuda a enterarnos de todo lo que pasa en la. El monitoreo incluye no solo verificaciones de fallas en los equipos de red sino tambien el monitoreo del rendimiento de red y el uso de recursos de red.Un monitor de red es esencial para el monitoreo de la actividad de red y asegurar la informacin de una organizacin. Un monitor de red y de servidores puede detectar automaticamente y responder a amenazas y problemas de rendimiento en tiempo real,as comoayudar a prevenirposibles problemasen el futuro.

Ejemplos del uso del monitor de red Monitor de ancho de banda: puede ver en tiempo real cuanta banda ancha es utilizada e identificar los cuellos de botella. Monitor de servidores en red: el monitor LAN controla si el servidor est o no funcionando, la carga del CPU, la temperatura, etc. Monitor VoIP: mideprdida de paquetes, ruido jitter noise, etc. Monitoreo Web:verificar si susitio web est disponibleComo trabaja en monitor LAN?Emplean SNMP, sniffing de paquetes y monitoreo NetFlow. Monitor SNMP:monitoreo de red SNMP es una de las tecnologas ms usadas cuando se trata de monitorizar la red. Es fcil de configurar y requiere slo pocos cilos de CPU y e ancho de banda. Packet Sniffing:Packet sniffing es otro mtodo empleado por el monitor LAN: con el sniffer de paquetes IP integrado en PRTG puede inspeccionar todos las paquetes de datos viajando en la red para calvular el trfico de ancho de banda. Monitoreo NetFlow Monitoring:para monitorizar equipos Cisco, PRTG es compatible con el protocolo NetFlow.

2. Estudie el manual del uso de ethereal.3. Desarrolle los resultados de cada punto de la experiencia.4. Investigue sobre los comandos arp, ping, tracert.ArpMuestra y modifica datos de la tabla de traduccion de direcciones IP a direcciones MAC ( ARP)

Arp -a (tambin -g): muestra la tabla ARP para cada uno de los interfaces

Arp -s (dir_ip) (dir_MAC) [dir_interfaz]: aade una entrada especifica a la tabla ARP. Si hay varios interfaces de red, a adiendo al final la direccion IP del interfaz, lo aade en la tabla correspondiente a ese interfaz

Arp -d (dir_ip) [dir_interfaz]: elimina una entrada especifica de la tabla ARP. Se pueden usar comodines en la direccion IP. Si hay varios interfaces de red, aadiendo al final la direccion IP del interfaz, lo elimina de la tabla correspondiente a ese interfaz.

TracertIndica la ruta por la que pasa nuestra peticion hasta llegar al host destino.

Tracert -d: no resuelve los nombres del dominio.

Tracert -h (valor): establece un n mximo de saltos.

Ping:Nos informa del estado de un host. Es necesario permitir paquetes ICMP para su funcionamiento. Comprueba la conectividad de nivel IP en otro equipo TCP/IP al enviar mensajes de solicitud de eco de ICMP (Protocolo de mensajes de control Internet). Se muestra la recepcin de los mensajes de solicitud de eco correspondiente, junto con sus tiempos de ida y vuelta. Ping es el principal comando de TCP/IP que se utiliza para solucionar problemas de conectividad, accesibilidad y resolucin de nombres. Cuando se usa sin parmetros, ping muestra ayuda.Tambin se utiliza ping para comprobar el nombre y la direccin IP del equipo. Si slo se confirma la direccin de IP pero no el nombre del equipo, puede tener un problema de resolucin de nombres. En este caso, compruebe que el nombre del equipo especificado se puede resolver a travs del archivo Hosts local, usando consultas DNS (Sistema de nombres de dominio) o mediante tcnicas de resolucin de nombres NetBIOS.

Ping -a: devuelve el nombre del host.

Ping -l: establece el tamao del buffer. Por defecto el valor es 32.

Ping -f: impide que se fragmenten los paquetes.

Ping -n (valor): realiza la prueba de ping durante un determinado nmero de ocasiones.

Ping -i TTL: permite cambiar el valor del TTL. TTL sera sustituido por el nuevo valor.

Ping -r (n de saltos): indica los host por los que pasa nuestro ping. (mximo 9)

Ping -v TOS: se utiliza en redes avanzadas para conocer la calidad del servicio.

5. Investigue sobre los protocolos ARP, IP, ICMP.Protocolo ARP (Address Resolution Protocol)

Modelo TCP/IP , sabemos que la capa de aplicacin transfiere sus datos a la capa de transporte la cual genera Segmentos que son encapsulados en paquetes en la capa Internet , estos paquetes contienen en su encabezado la direccin IP origen y direccin IP destino de la informacin . Una vez que tenemos los paquetes estos son encapsulados en tramas en la capa de red , estas tramas tiene un encabezado en el que se detalla direccin MAC(Direccin fsica de la NIC) origen y Direccin MAC destino.

La direccin MAC esta compuesta en el caso de las redes Ethernet y Token Ring por 6 nmeros hexadecimales un ejemplo de esta puede se 01:A2:B5:F1:00:1D esto hace un total de 48 BITs.Para poder enviar un paquete y que este llegue a los protocolos de nivel superior Transporte y Aplicacin de la computadora destino , primero debe pasar por la capa de Red y luego por la capa Internet. Para que esto suceda se necesita bsicamente dos cosas A) Direccin MAC origen y destino (Encabezado de trama) y direccin IP origen y destino (encabezado del paquete).El protocolo ARP fue creado para obtener la direccin MAC destino , sabiendo la direccin IP que tiene asignada dicha maquina. ARP costa de dos tipos de ARP request (Interrogacin) y ARP reply (respuesta).Otra parte importante de este protocolo es lo que se denomina tabla ARP , esta tabla es un cach en el cual se guardan por un tiempo limitado el numero IP de una maquina enlazado con su direccin MAC. Esta tabla nos ayuda a resolver direcciones que ya fueron obtenidas mediante el protocolo ARP , sin necesidad de volver a interrogar al destino. Por ejemplo, los ordenadores A y B estn en una oficina, conectados entre s en una red de rea local de la oficina mediante cables Ethernet y conmutadores de red, sin gateways o routers intermedios. A quiere enviar un paquete a B. A travs de otros medios, se determina que la direccin IP de B es 192.168.0.55, pero para enviar el mensaje tambin tiene que saber la direccin MAC de B. En primer lugar, A utiliza una tabla cach ARP para buscar 192.168.0.55 en todos los registros existentes la direccin MAC de B (00: eb: 24: B2: 05: ac). Si el cach no ha dado ningn resultado para 192.168.0.55, A enva un mensaje ARP broadcast (destino FF: FF: FF: FF: FF: FF de direccin MAC, que es aceptada por todos los equipos), solicitando una respuesta para 192.168.0.55 . B responde con su direccin MAC (y su IP). B puede insertar una entrada para A en su propia tabla ARP para su uso futuro. La informacin de la respuesta se almacena en cach en la tabla ARP del A y el mensaje que se puede enviar.

Protocolo IPEl protocolo de IP (Internet Protocol) es la base fundamental de la Internet. Porta datagramas de la fuente al destino. El nivel de transporte parte el flujo de datos en datagramas. Durante su transmisin se puede partir un datagrama en fragmentos que se montan de nuevo en el destino. Las principales caractersticas de este protocolo son: Protocolo orientado a no conexin. Fragmenta paquetes si es necesario. Direccionamiento mediante direcciones lgicas IP de 32 bits. Si un paquete no es recibido, este permanecer en la red durante un tiempo finito. Realiza el "mejor esfuerzo" para la distribucin de paquetes. Tamao mximo del paquete de 65635 bytes. Slo ser realiza verificacin por suma al encabezado del paquete, no a los datos ste que contiene.El Protocolo Internet proporciona un servicio de distribucin de paquetes de informacin orientado a no conexin de manera no fiable. La orientacin a no conexin significa que los paquetes de informacin, que ser emitido a la red, son tratados independientemente, pudiendo viajar por diferentes trayectorias para llegar a su destino. El trmino no fiable significa ms que nada que no se garantiza la recepcin del paquete.La unidad de informacin intercambiada por IP es denominada datagrama. Tomando como analoga los marcos intercambiados por una red fsica los datagramas contienen un encabezado y una rea de datos. IP no especifica el contenido del rea de datos, sta ser utilizada arbitrariamente por el protocolo de transporte.Direcciones IPPara que en una red dos computadoras puedan comunicarse entre s ellas deben estar identificadas con precisin Este identificador puede estar definido en niveles bajos (identificador fsico) o en niveles altos (identificador lgico) de pendiendo del protocolo utilizado. TCP/IP utiliza un identificador denominado direccin internet o direccin IP, cuya longitud es de 32 bites. La direccin IP identifica tanto a la red a la que pertenece una computadora como a ella misma dentro de dicha red.

Tomando tal cual est definida una direccin IP podra surgir la duda de cmo identificar qu parte de la direccin identifica a la red y qu parte al nodo en dicha red. Lo anterior se resuelve mediante la definicin de las "Clases de Direcciones IP". Para clarificar lo anterior veamos que una red con direccin clase A queda precisamente definida con el primer octeto de la direccin, la clase B con los dos primeros y la C con los tres primeros octetos. Los octetos restantes definen los nodos en la red especfica.

El protocolo ICMPEl Protocolo de Mensajes de Control y Error de Internet, ICMP, es de caractersticas similares a UDP, pero con un formato mucho ms simple, y su utilidad no est en el transporte de datos de usuario, sino en controlar si un paquete no puede alcanzar su destino, si su vida ha expirado, si el encabezamiento lleva un valor no permitido, si es un paquete de eco o respuesta, etc. Es decir, se usa para manejar mensajes de error y de control necesarios para los sistemas de la red, informando con ellos a la fuente original para que evite o corrija el problema detectado. ICMP proporciona as una comunicacin entre el software IP de una mquina y el mismo software en otra.El protocolo ICMP solamente informa de incidencias en la entrega de paquetes o de errores en la red en general, pero no toma decisin alguna al respecto. Esto es tarea de las capas superiores.

Los mensajes ICMP se transmiten como datagramas IP normales, con el campo de cabecera "protocolo" con un valor 1, y comienzan con un campo de 8 bits que define el tipo de mensaje de que se trata. A continuacin viene un campo cdigo, de o bits, que a veces ofrece una descripcin del error concreto que se ha producido y despus un campo suma de control, de 16 bits, que incluye una suma de verificacin de errores de transmisin. Tras estos campos viene el cuerpo del mensaje, determinado por el contenido del campo "tipo". Contienen adems los 8 primeros bytes del datagrama que ocasion el error.

6. Conclusiones

Wireshark no es til para realizar anlisis y solucionar problemas en redes de comunicaciones, para desarrollo desoftwareyprotocolos, y como una herramienta didctica para educacin. Las distintas opciones de configuracin de Wireshark, las cuales permiten capturar los paquetes que se necesitan para analizar los resultados de laboratorio.

El protocolo ARP permite que se conozca la direccin fsica de una tarjeta de interfaz de red correspondiente a una direccin IP. Si A quiere enviar una trama a ladireccin IPde B (misma red), mirar su tabla ARP para poner en la trama la direccin destino fsica correspondiente a la IP de B. De esta forma, cuando les llegue a todos la trama, no tendrn que deshacerla para comprobar si el mensaje es para ellos, sino que se hace con la direccin fsica.

Ping trabaja en lacapa de reddelInternet ProtocolTCP/IPy es un tipo de mensaje de control del protocoloICMP . Se puede probar la velocidad de su conexin, la "distancia" al objetivo, y si su conexin es an en funcionamiento.

El comando TRACERT es una utilidad de seguimiento de ruta, empleada para determinar la ruta que recorre un paquete IP para llegar a un destino.

19Rojas Yauri Henry 10190201