Prctica 9: Anlisis del trfico de red

Empleando la misma herramienta que se ha presentado en la prctica

anterior, Ethereal, se van a realizar capturas de trfico de aplicaciones que
emplean los protocolos TCP y UDP.
Para entender lo que est ocurriendo en cada captura es conveniente
preguntarse qu mquinas estn involucradas en la captura (sus direcciones
IP), qu puertos se estn utilizando, qu protocolo del nivel de transporte
est contenido en el datagrama (si lo hay), qu aplicacin ha generado dicho
datagrama, etc.

Ejercicio 1:
Captura el trfico que se genera cuando accedes a la pgina
http://www.redes.upv.es/redes/ con la aplicacin konqueror. Se
sugiere el filtro de captura host 158.42.180.XX and not arp.
Observa los siguientes detalles:
1. Cunto tiempo ha tardado en resolverse el nombre del servidor
(protocolo DNS)? Cuntos datagramas UDP se han intercambiado en esa
operacin?
P9-2 Prcticas de Redes de Computadores

2. Comprueba cmo se ha realizado la conexin TCP, observando el

protocolo a tres bandas. Cules son los nmeros de secuencia inicial en
tu ordenador y en el servidor?
3. Sitate en el primer segmento TCP de la primera conexin (ser un SYN).
Selecciona Tools/Follow TCP Stream. Se abrir una nueva ventana.
Qu aparece sealado en rojo? Y en azul?
4. Observa que la visualizacin se ha restringido slo a los datagramas de la
conexin TCP seleccionada. Pulsa el botn ver captura para ver de
nuevo la captura completa.
5. Se emplean opciones TCP en alguna de las conexiones? Cuntas?
Cuntos bytes de la cabecera utilizan?
6. Cuntas conexiones TCP hay en tu captura? Por qu?

EJERCICIO 2:
Inicia una nueva captura con el mismo filtro del ejercicio anterior. Ejecuta la
siguiente orden en un terminal netcat -u zoltar.redes.upv.es 13
(-u usa UDP y el 13 es el nmero de puerto al que se envan los datagramas)*.
Seguidamente pulsa tres veces la tecla Intro y da por finalizada la captura.
1. Qu has obtenido en la ventana del terminal?
2. Ha habido cambios en la consulta al DNS en esta captura respecto de la
anterior? Por qu?
3. Cuntos bytes de datos tienen los datagramas UDP transmitidos? Qu
es la informacin transmitida? Cmo sabemos la cantidad de datos del
datagrama UDP?
4. Alguno de los datagramas IP transmitidos usa alguna opcin?

* Servicio de hora diaria basado en UDP (copiado del RFC867): Otro servicio de hora diaria se define como una aplicacin basada en
datagramas sobre UDP. Un servidor espera datagramas UDP en el puerto UDP 13. Cuando se recibe un datagrama, se enva un datagrama de
respuesta conteniendo la fecha y hora actual como una cadena de caracteres ASCII (los datos del datagrama recibido se ignoran).
Anlisis del trfico de red P9-3

EJERCICIO 3:
Inicia una nueva captura, empleando el mismo filtro del ejercicio 1. En un
terminal teclea telnet zoltar.redes.upv.es, seguidamente
proporciona el nombre de usuario y la contrasea correspondiente. Al aparecer
el prompt, teclea en el terminal la orden exit y, seguidamente, finaliza la
captura en curso. Sobre los datos obtenidos observa:
1. Qu consultas al DNS se han realizado? De qu tipos?
2. Cuntas conexiones TCP se han realizado?
3. Sobre la primera conexin TCP, selecciona el primer segmento SYN y
escoge la opcin Tools/Follow TCP Stream del men. En la ventana
resultante vers el dilogo realizado.
4. Es posible leer la contrasea y el nombre de usuario? Es posible leer el
resto de informacin intercambiada?
5. Observa que parte de la informacin capturada no resulta fcilmente
identificable, en particular los primeros octetos intercambiados (en ambos
sentidos). Esta informacin es la negociacin de opciones que realiza el
protocolo TELNET al principio de la conexin. Su objetivo es establecer
algunas de las caractersticas de la comunicacin*.
6. Por qu algunas partes de los datos aparecen duplicados y otros no?
(observa los colores en los caracteres duplicados).
7. Cuntos bytes ha transmitido tu ordenador durante esta conexin TCP?
Cuntos ha recibido?
*Para ms informacin consultar el RFC de opciones para TELNET: 855-861, 884, 885, 1091, 1096, 1097, 1116.

EJERCICIO 4:
Inicia una nueva captura, empleando el mismo filtro del ejercicio 1. En un
terminal teclea ssh zoltar.redes.upv.es -l nombreDeUsuario,
(sustituyendo nombreDeUsuario por el nombre de usuario de redes en zoltar)
seguidamente proporciona la contrasea correspondiente. Al aparecer el prompt,
teclea en el terminal la orden exit y, seguidamente, finaliza la captura en
curso. De nuevo observa los datos capturados:
P9-4 Prcticas de Redes de Computadores

1. Sobre la primera conexin TCP, selecciona el primer segmento SYN y

escoge la opcin Tools/Follow TCP Stream del men. En la ventana
resultante vers el dilogo realizado. Es posible leer la contrasea y el
nombre de usuario? Es posible leer el resto de informacin intercambiada?
2. Cuntos bytes de datos ha transmitido tu ordenador durante esta conexin
TCP? Cuntos ha recibido? Esta informacin la puedes obtener en la
ventana que aparece al seleccionar la opcin Tools/Follow TCP Stream
3. En la captura hay una informacin, al principio, fcilmente identificable.
En qu consiste esta informacin?

EJERCICIO 5:
Captura de nuevo el trfico en la red utilizando el filtro del ejercicio 1. En un
terminal ejecuta la orden telnet zoltar.redes.upv.es 23456.
Espera al menos dos minutos y finaliza la captura.
1. En la ventana de terminal, has obtenido alguna respuesta del servidor?
2. En la ventana de tramas capturadas, qu has obtenido? hay comunicacin
con zoltar en ambos sentidos?
3. Cuntos segmentos TCP ha enviado tu ordenador? son todos iguales?
4. Calcula, para todos los segmentos TCP capturados, el retardo que existe
entre el envo de un segmento y el siguiente. Qu relacin existe entre los
retardos que has calculado? A qu se debe?

EJERCICIO 6:
Inicia una nueva captura, empleando el filtro icmp and host
158.42.180.XX. Ejecuta en un terminal la orden ping -s 3200 -c 2
mirzam.cc.upv.es y finaliza la captura cuando la orden ping haya
terminado. Observa los datos capturados:
1. Cuntos datagramas aparecen en la captura? Intenta agruparlos por las
direcciones origen y destino.
2. De qu se trata? Por qu no todos los datagramas aparecen etiquetados
como ICMP?
Anlisis del trfico de red P9-5

3. Qu tamao tiene cada fragmento transmitido por tu computador?

Cuntos tamaos diferentes se han usado? En qu orden se transmiten los
fragmentos de un datagrama? Por qu?
4. Qu valores aparecen en el campo identification y el flag More fragments
(en la cabecera IP) en todos los datagramas transmitidos? Qu utilidad
tienen esos valores?
5. Usa la orden arp a para averiguar a qu ordenador se envan los
datagramas creados por la orden ping. A qu host corresponde la direccin
fsica proporcionada por la orden arp? Por qu? (Puedes ayudarte de la
orden netstat nr para deducir esta informacin).