LABORATORIO N2: USO DEL ANALIZADOR DE TRAFICO WIRESHARK

I. OBJETIVOS.

1. Conocer una aplicacin bsica de monitorizacin a nivel de paquetes.
2. Aprender a extraer conclusiones a partir de los paquetes capturados

II. HERRAMIENTAS Y MATERIALES

1. Software wireshark
Este laboratorio utiliza la herramienta de software wireshark para capturar y analizar una traza de
paquetes. Un rastro de paquete es un registro de trfico en un punto de la red, como si una
instantnea que se toma de todos los bits que se transmiten a travs de un cable en particular. El
rastreo del paquete registra una marca de tiempo para cada paquete, junto con los bits que
componen el paquete, a partir de las cabeceras de capa inferior a los contenidos de capa ms alta
a partir de las cabeceras de cada inferior a los contenidos de cada ms alta wireshark se ejecuta en
la mayora de sistemas operativos, incluyendo Windows, mac y Linux.

III. GUIA RAPIDA DE WIRESHARK:

Analizador de trfico wireshark
Wireshark es una aplicacin que ofrece una interfaz sencilla de utilizar y permite visualizar los
contenidos de las cabeceras de los protocolos involucrados en una comunicacin.
Este tipo de programas, conocidos como analizadores de red, o sniffers, activan el modo
promiscuo en la tarjeta de red capturan todas las tramas Ethernet que se envan dentro de la
misma red de rea local.
El modo promiscuo es una funcin software de la tarjeta de red que, si se activa, provoca que la
tarjeta capture de la red todas las tramas, sin preocuparse de quin es el destinatario de la misma.
Normalmente este flag est desactivado, y el sistema operativo slo recibe las tramas cuya
direccin Ethernet destino es la suya.
1. Pantalla de capturas
2. Pantalla de campos
3. Pantalla de contenidos





















En la pantalla de capturas (1) se muestra la informacin ms relevante de los paquetes capturados
como por ejemplo, las direcciones IP y puertos involucrados en las comunicaciones. Seleccionando
un paquete en esta seccin podemos obtener informacin detallada sobre el en las otras dos
secciones de la pantalla que comentares a continuacin
En la pantalla de campos (2) se muestra, utilizando controles tree-view, cada uno de los campos de
cada una de las cabeceras de los protocolos que ha utilizado el paquete para moverse de una
maquina a la otra. As, si se ha capturado una serie de paquetes de, por ejemplo una conexin
telnet, se podra ver las cabeceras del protocolo TCP, del IP y de la que se tenga debajo de ellos
(Trama Ethernet, por ejemplo, en una red Ethernet).
En la pantalla de contenidos (3) muestra un volcado hexadecimal del contenido del paquete.
Seleccionando cualquier campo en la parte central de la ventana se mostraran en negrita los datos
correspondientes del volcado hexadecimal, los datos reales que estn viajando por la red.
Todas las opciones que pueden ser empleadas, son accesibles por medio de los menos, la
aplicacin contiene los siguientes mens










CAPTURA DE TRFICO
Para capturar el trfico que est circulando en este momento en la red, usar la opcin Capture
del men. Al seleccionar la opcin Options aparecer la caja de dialogo con las preferencias para
la captura de los paquetes. El dialogo de captura dispone de varias opciones para el usuario


































Visualizacin de resultados la lista de tramas capturas aparece en la parte superior de la pantalla
principal de wireshark indicando el momento en el que fue capturada(time, las direcciones origen
(source) y destino (destination)y el protocolo (Protocol) as como informacin adicional (info) del
mismo.
Al seleccionar una trama, en la parte inferior puede verse el detalle de la trama, incluyendo los
datos de todas las cabeceras de cada trama. Puede verse la trama a nivel de enlace (Ethernet II),
de red (Internet Protocol), y de transporte (User Datagran Protocol). Adems, soporta cierto
nmero de protocolo de aplicacin como pueden ser HTTP, DNS o NFS.
En la parte inferior se muestra el contenido del paquete tal cual tanto en hexadecimal (segunda
columna y posteriores), como en ASCII (ltima columna)

Filtro de captura
Wireshark permite filtrar la informacin acerca de los paquete capturados, tanto en el momento
de la captura de los mismos como en la visualizacin, wireshark utiliza la misma sintaxis para la
definicin de filtros que la orden de Unix tcpdump.
Los filtros pueden hacer referencia a un protocolo, a un host, a un puerto, etc. Pueden ser
combinados mediante operadores booleanos (and, or y not). Para eliminar problemas de
procedencia de operadores pueden utilizarse parntesis.
Los posibles calificadores son de uno de los tipos siguientes:























































IV. PROCEDIMIENTO

<<<<<<<<<<<<<<<<<<<<<<<<<<ACA VA TU PARTE :V>>>>>>>>>>>>>>>>>><<<<<<
<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
V. INFORME FINAL
1. Qu es un Monitor de Red?
Los monitores de red son programas que se encargan de mostrarte informacin sobre la
conexin que se efecta entre tu ordenador y la red, que puede ser interna o externa.
Entre otras cosas, puedes saber qu ordenadores estn conectados, qu IP usan, la
cantidad de datos que entran y salen, y las conexiones realizadas en la red. Todos estos
datos te sern tiles, entre otras cosas, para saber si tu conexin no funciona tan bien
como debera. Entre las muchas funciones que realizan los monitores de red, destaca la
posibilidad de hacer un seguimiento de las conexiones, indicando la hora, la duracin, el
puerto utilizado, el programa que accedi a la red y qu conexin realiz. En combinacin
con otros programas, los monitores de red son muy tiles para encontrar conexiones
inadecuadas o no autorizadas o cadas de la conexin en momentos puntuales. Hay que
tener en cuenta que los monitores slo te muestra informacin: para controlar el acceso a
la red necesitars cortafuegos o programas similares.
Nos ayuda con:
-Evitar cuellos de botella en rendimiento y ancho de banda
-Identificar aplicaciones o servidores que estn usando su ancho de banda
-Identificar instantneamente picos repentinos causados por cdigo malicioso
-Reduccin de costos al comprar hardware y ancho de banda de acuerdo a las propias
necesidades
-Reduce ineficiencia y tiempo de inactividad: no ms fallas de sistema sin descubrir

2. investigue sobre los comandos arp, ping, tracert.
Arp
Arp muestra y modifica entradas en el Address Resolution Protocol (ARP) de cach, que
contiene una o ms tablas que se utilizan para almacenar direcciones IP y sus resuelto
Token Ring Ethernet o direcciones fsicas.








Parmetros del comando arp
-a [InetAddr] [-N IfaceAddr]:
Muestra actuales tablas de la cach de ARP para todas las interfaces. Para mostrar la
entrada en la cach ARP para una direccin IP especfica, utilice arp-a con el parmetro
InetAddr, donde InetAddr es una direccin IP. Para mostrar la tabla cach ARP para una
interfaz especfica, utilice el parmetro-N IfaceAddr donde IfaceAddr es la direccin IP
asignada a la interfaz. El parmetro -N distingue entre maysculas y minsculas.
-g [InetAddr] [-N IfaceAddr]:
Idntica a -a.
-d InetAddr [IfaceAddr]:
Borra una entrada con una direccin IP especfica, donde InetAddr es la direccin IP. Para
borrar una entrada en una tabla para una interfaz especfica, utilice el parmetro
IfaceAddr donde IfaceAddr es la direccin IP asignada a la interfaz. Para borrar todas las
entradas, utilice el asterisco (*) en lugar de carcter InetAddr.
-s
InetAddr EtherAddr [IfaceAddr]: aade una entrada esttica a la cach ARP que resuelve
la direccin IP InetAddr a la direccin fsica EtherAddr. Para aadir una entrada en la
cach ARP de la tabla para una interfaz especfica, utilice el parmetro IfaceAddr donde
IfaceAddr es una direccin IP asignada a la interfaz.
/? :
Muestra ayuda en el smbolo del sistema.

Ping
Abreviatura de Packet InterNet Groper , Ping es una utilidad usada para verificar si
una red de datos de paquetes es capaz de ser distribuido a una direccin sin errores. La
utilidad ping se utiliza comnmente para comprobar si hay errores de red.








La imagen es un ejemplo de lo que ocurre cuando se enva un ping. Como puede verse,
el usuario primero comenzar con el comando ping para hacer ping a la direccin
IP204.228.150.3. A continuacin, la solicitud se enva por la red hub y del router en este
ejemplo bsico al otro equipo con esta direccin IP. Una vez recibido con xito las
respuestas de ordenador para el ping con una respuesta pong y una vez recibido, el
tiempo entre el momento enviado y recibido cuando se calcula para generar una
respuesta media o latencia tiempo.
Si el ping no llega a su destino, que es ya sea debido a una configuracin de red de
error o porque se est bloqueando el ordenador emisor se encuentra con un error de
solicitud de tiempo de espera.
Tracert
Es un comando que puede mostrar el camino un paquete de informacin lleva a su equipo
a uno que especifique. Se mostrar una lista de todos los routers que pasa a travs hasta
que llega a su destino, o no y se descarta. Adems de esto, se le indicar cunto tiempo
tarda cada "salto" de router a router.

3. investigue sobre os protocolos ARP, IP, ICMP.
ARP
Address Resolution Protocol (ARP) es un protocolo para la asignacin de una direccin de
Protocolo de Internet (direccin IP) a una direccin de la mquina fsica que se reconoce
en la red local. Por ejemplo, en la versin 4 de IP, el nivel ms comn de IP en uso hoy en
da, es una direccin de 32 bits de largo. En una Ethernet de red de rea local, sin
embargo, las direcciones de los dispositivos conectados son de 48 bits de longitud. (La
direccin de la mquina fsica tambin se conoce como un control de acceso de medios
de comunicacin o direccin MAC.) Una tabla, generalmente llamado el cach ARP, se
utiliza para mantener una correlacin entre cada direccin MAC y la direccin IP
correspondiente. ARP proporciona las reglas de protocolo para hacer esta correlacin y la
disponibilidad de conversin de direccin en ambas direcciones.
Cmo funciona ARP?
Cuando un paquete entrante destinado a un ordenador central en una red de rea local en
particular llega a una puerta de entrada, puerta de entrada pide el programa ARP para
encontrar un host fsico o la direccin MAC que coincida con la direccin IP. El programa
de ARP busca en la cach ARP y, si encuentra la direccin, proporciona de modo que el
paquete puede ser convertido a la longitud del paquete derecho y formato y se enva a la
mquina. Si no se encuentra ninguna entrada para la direccin IP, ARP difunde un
paquete de peticin en un formato especial a todas las mquinas de la LAN para ver si
una mquina sabe que tiene esa direccin IP asociada. Una mquina que reconoce la
direccin IP como sus propios devuelve una respuesta, por lo que indican. ARP actualiza
la cach ARP para futuras referencias y luego enva el paquete a la direccin MAC que
respondi.
Hay una utilidad Reverse ARP (RARP) para equipos host que no conocen su direccin
IP.RARP les permite solicitar su direccin IP desde la cach ARP de la puerta de enlace.










IP
Abreviatura de direccin de protocolo de Internet, una direccin IP es una direccin de un
ordenador u otro dispositivo de red en una red mediante TCP / IP. Por ejemplo, el nmero
"166.70.10.23" es un ejemplo de dicha una direccin. Estas direcciones son similares a
una las direcciones utilizadas en una casa y es lo que permite que los datos lleguen al
destino adecuado en una red e Internet.
Hay cinco clases de rangos de IP disponibles: Clase A, Clase B, Clase C, Clase D y Clase
E, mientras que slo el A, B, y C se utilizan comnmente. Cada clase permite un rango de
direcciones IP vlidas. A continuacin se muestra una lista de estas direcciones.

Clase Rango de direcciones Apoya
Clase
A
1.0.0.1 a
126.255.255.254
Soporta 16 millones de hosts en cada una de las
redes 127.
Clase
B
128.1.0.1 a
191.255.255.254
Soporta 65.000 hosts en cada una de las redes de
16,000.
Clase
C
192.0.1.1 a
223.255.254.254
Soporta 254 por cada uno de los 2 millones de
redes.
Clase
D
224.0.0.0 a
239.255.255.255
Reservado para multidifusin grupos.
Clase
E
240.0.0.0 a
254.255.255.254
Reservado para uso futuro, o con fines de
investigacin y desarrollo.

Rangos 127.xxx se reservan para el loopback o localhost , por ejemplo, 127.0.0.1 es la
direccin loopback comn. Alcance255.255.255.255 emisiones a todos los hosts de la red
local.
Desglose direccin IP
Cada direccin IP se rompi en cuatro conjuntos de octetos que se descomponen
en binario para representar la direccin IP real. La tabla siguiente es un ejemplo de la
direccin IP 255.255.255.255.


Si nos vamos a romper la IP "166.70.10.23", que se obtendra el siguiente valor. En la
tabla de abajo, la primera fila es la direccin IP, la segunda fila son los valores binarios, y
la tercera fila muestra cmo el valor binario es igual a la seccin de la direccin IP.

166 70 10 23
10100110 01000110 00001010 00010111
128 32 4 2 = 166 64 4 2 = 70 8 2 = 10 16 4 2 1 = 23

Direcciones asignadas automticamente
Hay varias direcciones IP que se asignan automticamente cuando se configura una red
domstica. Estas direcciones predeterminadas son las que permiten que el ordenador y
otros dispositivos de red se comuniquen y emiten informacin a travs de la red. A
continuacin se muestra la red ms comnmente asignada se dirige en una red
domstica.

IP: 255 255 255 255
Valor binario: 11111111 11111111 11111111 11111111
Valor de octeto: 8 8 8 8
192.168.1.0 0 es la direccin de red asignada automticamente.
192.168.1.1 1 es la direccin utilizada utilizado como puerta de entrada.
192.168.1.2
2 es tambin una direccin de uso general utilizado para una puerta
de enlace.
192.168.1.3 -
254
Las direcciones ms all de 3 se asignan a los equipos y dispositivos
de la red.
192.168.1.255
255 se asigna de forma automtica en la mayora de las redes como
la difusin de direcciones.
Si alguna vez se ha conectado a la red domstica, debe estar familiarizado con la
direccin de puerta de enlace o 192.168.1.1, que es la direccin que utiliza para
conectarse a su Router de red domstica y cambiar su configuracin.

ICMP
Internet Control Message Protocol (ICMP) es una utilidad de diagnstico y de informes de
errores y se considera una parte necesaria de cualquier implementacin de
IP. Descripcin de ICMP y saber lo que puede generar un tipo especfico de ICMP es til
para diagnosticar problemas de red.
ICMP se utiliza enrutadores, dispositivos intermedios o hosts para comunicar las
actualizaciones o informacin de error a otros enrutadores, dispositivos intermedios o
hosts.
Cada mensaje ICMP contiene tres campos que definen su propsito y proporcionan una
suma de comprobacin. Se trata de los campos de tipo, cdigo y suma de
comprobacin. El campo tipo identifica el mensaje ICMP, el campo cdigo proporciona
ms informacin sobre el campo de tipo asociado, y la suma de comprobacin
proporciona un mtodo para la determinacin de la integridad del mensaje.

Los tipos definidos son:
TYPE Description
---- -----------
0 Echo Reply
3 Destination Unreachable
4 Source Quench
5 Redirect Message
8 Echo Request
11 Time Exceeded
12 Parameter Problem
13 Timestamp Request
14 Timestamp Reply
15 Information Request (No Longer Used)
16 Information Reply (No Longer Used)
17 Address Mask Request
18 Address Mask Reply

Respuesta de eco y de solicitud de eco
ste es el ms utilizado para probar la conectividad IP que se conoce comnmente como
PING de ICMP. ICMP de solicitud de eco tendr un campo de tipo de 8 y un campo de
cdigo de 0. Respuestas de eco tiene un campo de tipo de 0 y un campo de cdigo de 0.
Solicitud de eco y respuesta de eco
Cuando un paquete no se puede entregar, se genera un ICMP Destination Unreachable,
tipo 3. ICMP de tipo 3 puede tener un valor de 0 a 15 cdigos
Type 3
Code
Value Description
----- -----------
0 Network Unreachable
1 Host Unreachable
2 Protocol Unreachable
3 Port Unreachable
4 Fragmentation needed and DF (Don't Fragment) set
5 Source route failed
6 Destination Network unknown
7 Destination Host unknown
8 Source Host isolated
9 Communication with Destination Network Administratively Prohibited
10 Communication with Destination Host Administratively Prohibited
11 Network Unreachable for Type Of Service
12 Host Unreachable for Type Of Service
13 Communication Administratively Prohibited by Filtering
14 Host Precedence Violation
15 Precedence Cutoff in Effect



Destino inaccesible
Un mensaje ICMP Source Quench tiene un campo de tipo de cdigo 0 y 4. Se envan
mensajes de flujo de origen cuando el destino no puede procesar el trfico tan rpido
como el origen lo enva. ICMP de origen de desconexiones indica el origen para reducir la
velocidad a la que enva los datos. El destino continuar generando Source Quench ICMP
hasta que el origen est enviando a una velocidad aceptable.
Control de flujo
Un dispositivo intermediario generar un mensaje de ICMP Redirect cuando determina
que se puede alcanzar una ruta solicitada ya sea localmente o a travs de una ruta
mejor. Redirigir mensajes ICMP tipo 5 y se hayan definido por los valores de campo del
cdigo siguientes:
Type 5
Code
Value Description
----- -----------
0 Redirect datagrams for the Network
1 Redirect datagrams for the Host
2 Redirect datagrams for the Type of Service and Network
3 Redirect datagrams for the Type of Service and Host

Redirigir mensaje
Si un enrutador o un host descarta un paquete debido a un tiempo de espera, se generar
un ICMP de 11 de tiempo superado tipo. El ICMP de tiempo excedido tendr un valor de
cdigo de 0 o 1. Se genera un cdigo 0 cuando se supera el nmero de saltos de un
datagrama y el paquete se descarta. Cuando el nuevo montaje de un paquete
fragmentado supera el valor de tiempo de espera, se genera un cdigo 1.
Tiempo excedido
Cuando un dispositivo intermediario o host se descarta un datagrama debido a la
incapacidad de procesar, se genera un 12 de ICMP. Causas comunes de este ICMP son
informacin de encabezado daado o faltan opciones. Si el motivo del ICMP es una
opcin necesaria falta, el ICMP tendr un valor de cdigo de 1. Si el valor del cdigo es 0,
el campo de puntero contendr el octeto de encabezado del datagrama descartado donde
se detect el error.



VI. CONCLUSIONES
-Al desarrollar pudimos conocer sobre el software wireshark, que es de gran utilidad, nos
permite visualizar y observar los protocolos que son usados en el trfico de redes as
como la comunicacin entre un host origen y destino.
-Aprendimos paso por paso el uso y la funcin de los diferentes protocolos ARP ARP
PROXY y TRACERT
-El comando ARP es muy importante cuando se quiere conocer la mac del host destino
enviando primero una trama broadcast y luego obtenindola al recibir la respuesta para
finalmente enviar el mensaje.
-El comand TRACERT nos permiti visualizar todo camino por donde viajan los paquetes
al salir del host y al pasar por cada router sucesivamente hasta llegar al host destino y as
tambin apreciamos que el tiempo que le tomaba era 1 por cada router que pasaba.
-Tambin aprendimos que por la Fragmentacin en datagramas de IP cada fragmento
solo puede tener 1024 de longitud como mximo y as tambin obtuvimos una frmula de
clculo rpido para el nmero de fragmentos obtenidos.
-Adems no pudimos capturar paquetes filtrando con la direccin de la mac entre el host
origen y del host destino (mac de la Gateway) ya que esta solo hacia el papel de una
pasarela dejando pasar los paquete
-Tambin para poder navegar en internet (a nivel wan) el host de la pgina web no usa o
muestra su verdadera direccin mac sino ms bien la mac de Gateway para evitar
posibles comunicaciones no deseadas y seguridad.
-Finalmente al terminar la gua de laboratorio logramos obtener los conocimientos y
entender las funciones bsicas de los protocolos as como su utilidad y desempeo en el
trfico de redes.




VII. BIBLIOGRAFIA

-Transmisin de Datos y Redes de Comunicaciones, 2da Edicin (McGraw-Hill)
-Redes de Computadoras, 4ta edicin (Tanembaum)
-http://manualwireshark.blogspot.com
-http://es.kioskea.net/faq/430-comandos-tcp-ip-para-windows
-http://www.newdevices.com/tutoriales/ipv4/3.html