LABORATORIO 4
Uso De Wireshark Para Ver El Tráfico De La Red
Objetivos
Parte 1:
Descargar e instalar Wireshark (Optativo)
Parte 2:
Capturar y analizar datos ICMP locales en Wireshark
•
Inicie y detenga la captura de datos del tráfico de ping a los hosts
locales.
•
Ubicar la información de la dirección MAC y de la dirección IP en las
PDU capturadas.
Parte 3:
Capturar y analizar datos ICMP remotos en Wireshark
•
Inicie y detenga la captura de datos del tráfico de ping a los hosts
remotos.
•
Ubicar la información de la dirección MAC y de la dirección IP en las
PDU capturadas.
•
Explicar por qué las direcciones MAC para los hosts remotos son
diferentes de las direcciones MAC para los hosts locales.
DESARROLLO
Parte 1: Luego De Realizar La Parte 1 (Descargar e Instalar Wireshark),
Procedemos A Realizar Del Punto 2 En Adelante.
Parte 2: Capturar y analizar datos ICMP locales en Wireshark
En la parte 2 de esta práctica de
laboratorio, hará ping a otra PC en la LAN y capturará solicitudes y respuestas
ICMP en Wireshark. También verá dentro de las tramas capturadas para obtener
información específica. Este análisis debe ayudar a aclarar de qué manera se
utilizan los encabezados de paquetes para transmitir datos al destino.
Paso 1: Recuperar las direcciones de interfaz de la PC
Para esta práctica de laboratorio,
deberá recuperar la dirección IP de la PC y la dirección física de la tarjeta
de interfaz de red (NIC), que también se conoce como “dirección MAC”.
a) Abra una
ventana de comandos, escriba ipconfig /all y luego presione Entrar.
b) Observe la
dirección IP y la dirección MAC (física) de la interfaz de la PC.
c) Solicite a
un miembro del equipo la dirección IP de su PC y proporciónele la suya. En esta
instancia, no proporcione su dirección MAC.
Paso 2: Iniciar Wireshark y comenzar a capturar datos
a) En la PC,
haga clic en el botón Inicio de Windows para ver Wireshark como uno de los
programas en el menú emergente. Haga doble clic en Wireshark.
b) Una vez que
se inicia Wireshark, haga clic en Interface List (Lista de interfaces).
Nota: al hacer
clic en el ícono de la primera interfaz de la fila de íconos, también se abre
Interface List (Lista de interfaces).
c) En la
ventana Wireshark: Capture Interfaces (Wireshark: capturar interfaces), haga
clic en la casilla de verificación junto a la interfaz conectada a la LAN.
Nota: si se indican varias
interfaces, y no está seguro de cuál activar, haga clic en el botón Details
(Detalles) y, a continuación, haga clic en la ficha 802.3 (Ethernet). Verifique
que la dirección MAC coincida con lo que observó en el paso 1b. Después de
verificar la interfaz correcta, cierre la ventana Interface Details (Detalles
de la interfaz).
d) Después de
activar la interfaz correcta, haga clic en Start (Comenzar) para comenzar la
captura de datos.
e) Es posible
desplazarse muy rápidamente por esta información según la comunicación que
tiene lugar entre la PC y la LAN. Se puede aplicar un filtro para facilitar la
vista y el trabajo con los datos que captura Wireshark. Para esta práctica de
laboratorio, solo nos interesa mostrar las PDU de ICMP (ping). Escriba icmp en
el cuadro Filter (Filtro) que se encuentra en la parte superior de Wireshark y
presione Entrar o haga clic en el botón Apply (Aplicar) para ver solamente PDU
de ICMP (ping).
f) Este filtro
hace que desaparezcan todos los datos de la ventana superior, pero se sigue
capturando el tráfico en la interfaz. Abra la ventana del símbolo del sistema
que abrió antes y haga ping a la dirección IP que recibió del miembro del
equipo. Comenzará a ver que aparecen datos en la ventana superior de Wireshark
nuevamente.
Nota: si la PC del miembro del
equipo no responde a sus pings, es posible que se deba a que el firewall de la
PC está bloqueando estas solicitudes. Consulte Apéndice A: Permitir el tráfico
ICMP a través de un firewall para obtener información sobre cómo permitir el
tráfico ICMP a través del firewall con Windows 7.
g) Detenga la
captura de datos haciendo clic en el ícono Stop Capture (Detener captura).
Paso 3: Examinar los datos capturados
En el paso 3, examine los datos que
se generaron mediante las solicitudes de ping de la PC del miembro del equipo.
Los datos de Wireshark se muestran en tres secciones: 1) la sección superior
muestra la lista de tramas de PDU capturadas con un resumen de la información
de paquetes IP enumerada, 2) la sección media indica información de la PDU para
la trama seleccionada en la parte superior de la pantalla y separa una trama de
PDU capturada por las capas de protocolo, y 3) la sección inferior muestra los
datos sin procesar de cada capa. Los datos sin procesar se muestran en formatos
hexadecimal y decimal.
a) Haga clic
en las primeras tramas de PDU de la solicitud de ICMP en la sección superior de
Wireshark. Observe que la columna Source (Origen) contiene la dirección IP de
su PC y la columna Destination (Destino) contiene la dirección IP de la PC del
compañero de equipo a la que hizo ping.
b) Con esta
trama de PDU aún seleccionada en la sección superior, navegue hasta la sección
media. Haga clic en el signo más que está a la izquierda de la fila de Ethernet
II para ver las direcciones MAC de origen y destino.
¿La
dirección MAC de origen coincide con la interfaz de su PC?
R. NO COINCIDE
¿La
dirección MAC de destino en Wireshark coincide con la dirección MAC del miembro
del equipo?
R. NO COINCIDE
¿De qué
manera su PC obtiene la dirección MAC de la PC a la que hizo ping?
R. SOLICITÁNDOLE AL MIEMBRO DEL EQUIPO QUE NOS
PROPORCIONE SU DIRECCIÓN MAC (FÍSICA).
Nota: en el ejemplo anterior de
una solicitud de ICMP capturada, los datos ICMP se encapsulan dentro de una PDU
del paquete IPV4 (encabezado de IPv4), que luego se encapsula en una PDU de
trama de Ethernet II (encabezado de Ethernet II) para la transmisión en la LAN.
Parte 3: Capturar y analizar datos ICMP remotos en Wireshark
En la parte 3, hará ping a los
hosts remotos (hosts que no están en la LAN) y examinará los datos generados a
partir de esos pings. Luego, determinará las diferencias entre estos datos y
los datos examinados en la parte 2.
Paso 1: Comenzar a capturar datos en la interfaz
a. Haga clic
en el ícono Interface List (Lista de interfaces) para volver a abrir la lista
de interfaces de la PC.
b. Asegúrese
de que la casilla de verificación junto a la interfaz LAN esté activada y, a
continuación, haga clic en Start (Comenzar).
c. Se abre una
ventana que le solicita guardar los datos capturados anteriormente antes de
comenzar otra captura. No es necesario guardar esos datos. Haga clic en
Continue without Saving (Continuar sin guardar).
d. Con la
captura activa, haga ping a los URL de los tres sitios Web siguientes: 1)
www.yahoo.com
2) www.cisco.com
3) www.google.com
Nota: al hacer ping a los URL que se indican, observe que
el servidor de nombres de dominio (DNS) traduce el URL a una dirección IP.
Observe la dirección IP recibida para cada URL.
e. Puede
detener la captura de datos haciendo clic en el ícono Stop Capture (Detener
captura).
Paso 2: Inspeccionar y analizar los datos de los hosts remotos
a. Revise los
datos capturados en Wireshark y examine las direcciones IP y MAC de las tres
ubicaciones a las que hizo ping. Indique las direcciones IP y MAC de destino
para las tres ubicaciones en el espacio proporcionado.
1era ubicación: IP: 98.139.180.149 MAC:
2da ubicación: IP: 23.0.80.170 MAC:
3ra ubicación: IP: 216.58.219.68 MAC:
b. ¿Qué es
importante sobre esta información?
R. Que al hacer ping con las 3 direcciones nos muestra
los IP de cada una.
c. ¿En qué se
diferencia esta información de la información de ping local que recibió en la
parte 2?
R. Que el programa no muestra las direcciones MAC de los
sitios que visitamos.
Reflexión
¿Por qué Wireshark muestra la
dirección MAC vigente de los hosts locales, pero no la dirección MAC vigente de
los hosts remotos?
R. Podría ser debido a una protección de ataques en los host remotos.
Apéndice A: Permitir el tráfico ICMP a través de un firewall
Si los miembros del equipo no
pueden hacer ping a su PC, es posible que el firewall esté bloqueando esas
solicitudes. En este apéndice, se describe cómo crear una regla en el firewall
para permitir las solicitudes de ping. También se describe cómo deshabilitar la
nueva regla ICMP después de haber completado la práctica de laboratorio.
No hay comentarios:
Publicar un comentario