PORTADA

INTRODUCCION

En este laboratorio se utilizara un analizador de protocolos de red (conocido como WIRESHARK).

Veremos sus funciones principales y cómo emplearlo para estudiar algunos protocolos
como TCP – UDP y conocer más sobre otros protocolos.
 OBJETIVO GENERAL

 Familiarizarnos más con la herramienta capturar y analizar el trafico de red

 Conocer y analizar mas protocolos, funciones básicas y avanzadas
 Aprender a evaluar, diagnosticar las fallas de las redes
Wireshark
Wireshark, antes conocido como Ethereal, es un analizador de protocolos utilizado para realizar
análisis y solucionar problemas en redes de comunicaciones, funciona al igual que lo puede hacer
cualquier otro sniffer, para desarrollo de software y protocolos, Posee todas las características
estándar de un analizador de protocolos.
Si bien, el uso de Wireshark está suficientemente documentado en la red, vamos a repasar muy
superficialmente su uso para centrarnos después en cómo interpretar esos los capturados.
Permite examinar datos de una red viva o de un archivo de captura salvado en disco. Se puede
analizar la información capturada, a través de los detalles y sumarios por cada paquete. Wireshark
incluye un completo lenguaje para filtrar lo que queremos ver y la habilidad de mostrar el flujo
reconstruido de una sesión de TCP.
Wireshark es software libre, y se ejecuta sobre la mayoría de sistemas operativos Unix y
compatibles, incluyendo Linux, Solaris, FreeBSD, NetBSD, OpenBSD, y Mac OS X, así como
en Microsoft Windows.

Procedimientos de trabajo de Wireshark

1. Descargar el aplicativo
Instalar el software, como es libre se puede descargar gratuitamente desde internet

Se deben seguir los pasos recomendados, dando next

 Después de haber instalado todo el software, le damos ejecutar e iniciamos

2. Configuración de interfaces y captura de trafico

 Le damos clic en capture, luego en Interfaces (Me mostrara las que tengo habilitada)

Esto es lo que sale

Le damos en Start (muestra todos los paquetes) enviados y recibidos

  Para detener el proceso se le da clic en el icono Stop

3. Desarrollo de interpretación e investigación

 Interpretación del Modelo Osi

Capa Fisica: Proporciona los medios de transporte para los bits.

Nos muestra el numero de bits transportados por el medio físico ( cable).

Enlace de Datos: Permite la transferencia confiable de los datos a través de los medios

Fuente y destino

Red: En este nivel se realiza el direccionamiento lógico y la determinación de la ruta de datos hasta
su receptor final
Transporte:
UDP: User Datagram Protocol. Dedicado a servicios no orientados a conexión. Esbásicamente el
mismo protocolo IP sólo que en la cabecera tiene información adicional
TCP: Transmission Control Protocol. Dedicado a servicios orientados a conexión y proporciona
mecanismos para establecer conexiones confiable

Componentes de los Protocolos

TCP: Transmission Control Protocol.

No. Time Source Destination Protocol Length Info

136 62.242386 173.194.29.14 192.168.2.145 TCP 1514 [TCP segment of a reassembled PDU]

La Información de
-Frame 136: 1514 bytes on wire (12112 bits), 1514 bytes captured (12112 bits)
la Capa Física
- Captura 136: 1514 bytes en almbre (12112bits),1514 Bytes capturados
Arrival Time: May 11, 2012 09:43:34.170847000 Hora est. del Pacífico de SA
Hora de llegada: 11 de Mayo 2012 Hora est 09:43:34.170847000 del Pacífico de SA
Epoch Time: 1336747414.170847000 seconds
Tiempo de la época: 1336747414.170847000 segundos
[Time delta from previous captured frame: 0.001475000 seconds]
[Hora del delta del marco anterior capturado: 0.001475000 segundos]
[Time delta from previous displayed frame: 0.001475000 seconds]
[Hora del delta del cuadro anterior muestra: 0.001475000 segundos]
[Time since reference or first frame: 62.242386000 seconds]
[Tiempo transcurrido desde la primera referencia o marco: 62.242386000 segundos]
Frame Number: 136
Número de cuadros: 136
 Frame Length: 1514 bytes (12112 bits)
Longitud de trama: 1514 bytes (12112 bits)
Capture Length: 1514 bytes (12112 bits)
Captura Longitud: 1514 bytes (12112 bits)
[Frame is marked: False]
[Marco es notable: Falso]
[Frame is ignored: False]
[Marco se pasa por alto: Falso]
[Protocols in frame: eth:ip:tcp]
[Protocolos de marco: eth: IP: TCP]
[Coloring Rule Name: HTTP]
[Nombre de la regla para colorear: HTTP]
[Coloring Rule String: http || tcp.port == 80]
[Cadena Regla para colorear: http | | tcp.port == 80]

-Ethernet II, Src: AlcatelB_30:a9:a4 (00:80:9f:30:a9:a4), Dst: Micro-St_31:51:a4

(00:24:21:31:51:a4)
Ethernet II, Src: AlcatelB_30: a9: A4 (00:80:9 f: 30: a9: a4), Dst: Micro-St_31: 51: A4
(00:24:21:31:51: a4)
-Destination: Micro-St_31:51:a4 (00:24:21:31:51:a4)
-Destino: Micro-St_31: 51: A4 (00:24:21:31:51: a4)
Capa de
Address: Micro-St_31:51:a4 (00:24:21:31:51:a4)
Enlace
Dirección: Micro-St_31: 51: A4 (00:24:21:31:51: a4)
.... ...0 .... .... .... .... = IG bit: Individual address (unicast)
.... 0 .... ... .... .... .... IG = bits: dirección individual (unicast)
.... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
.... .. 0. .... .... .... .... LG = bits: direcciones globalmente único (de fábrica)
-Source: AlcatelB_30:a9:a4 (00:80:9f:30:a9:a4)
-Fuente: AlcatelB_30: a9: A4 (00:80:9 f: 30: a9: a4)
Address: AlcatelB_30:a9:a4 (00:80:9f:30:a9:a4)
Dirección: AlcatelB_30: a9: A4 (00:80:9 f: 30: a9: a4)
.... ...0 .... .... .... .... = IG bit: Individual address (unicast)
.... 0 .... ... .... .... .... IG = bits: dirección individual (unicast)
.... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
.... .. 0. .... .... .... .... LG = bits: direcciones globalmente único (de fábrica)
Type: IP (0x0800)
Tipo: IP (0x0800)

-Internet Protocol Version 4, Src: 173.194.29.14 (173.194.29.14), Dst: 192.168.2.145

(192.168.2.145)
-Protocolo de Internet versión 4, Src: 173.194.29.14 (173.194.29.14), Dst: 192.168.2.145
(192.168.2.145)
Version: 4
Versión: 4 Capa de Red
Header length: 20 bytes
 Longitud de la cabecera: 20 bytes
-Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00: Not-ECT (Not ECN-
Capable Transport))
-Diferenciada de Servicios de Campo: 0x00 (DSCP 0x00: Default; REC: 0x00: No-TEC (No
ECN-Capacidad de Transporte))
0000 00.. = Differentiated Services Codepoint: Default (0x00)
0000 00 .. = Codepoint Servicios diferenciados: por defecto (0x00)
.... ..00 = Explicit Congestion Notification: Not-ECT (Not ECN-Capable Transport)
(0x00)
.... .. 00 = Notificación explícita de congestión: No-TEC (No ECN-Capaz de
transporte) (0x00)
Total Length: 1500
Longitud total: 1500
Identification: 0x81d3 (33235)
Identificación: 0x81d3 (33235)
-Flags: 0x02 (Don't Fragment)
Marcadores: 0x02 (no fragmentar)
0... .... = Reserved bit: Not set
0 ... .... = Bit reservado: No establecido
.1.. .... = Don't fragment: Set
0.1 .. .... = No fragmento: Set
..0. .... = More fragments: Not set
.. 0. .... = Fragmentos más: no establecidos
Fragment offset: 0
Desplazamiento de fragmentos: 0
Time to live: 56
Tiempo de vida: 56
Protocol: TCP (6)
Protocolo: TCP (6)
-Header checksum: 0x2d3f [correct]
-Checksum del encabezado: 0x2d3f [correcto]
[Good: True]
[Bueno: True]
[Bad: False]
[Mala: Falso]
Source: 173.194.29.14 (173.194.29.14)
Fuente: 173.194.29.14 (173.194.29.14)
Destination: 192.168.2.145 (192.168.2.145)
Destino: 192.168.2.145 (192.168.2.145)
-Transmission Control Protocol, Src Port: http (80), Dst Port: ep-pcp (3620), Seq: 3250, Ack:
1924, Len: 1460
-Transmission Control Protocol, Src Port: http (80), Dst Port: EP-PCP (3620), Seq: 3250, Ack: 1924,
Len: 1460
Source port: http (80)
Puerto de origen: http (80)
Destination port: ep-pcp (3620)
 Puerto de destino: EP-PCP (3620)
[Stream index: 23]
[Corriente de inicio: 23]
Sequence number: 3250 (relative sequence number)
Número de secuencia: 3250 (número de secuencia relativa)
[Next sequence number: 4710 (relative sequence number)]
[Número de secuencia siguiente: 4710 (número de secuencia relativa)]
Acknowledgement number: 1924 (relative ack number)
Número de confirmación: 1924 (número de acuse de recibo relativa)
Header length: 20 bytes
Longitud de la cabecera: 20 bytes
-Flags: 0x010 (ACK)
Las banderas 0x010 (ACK)
0. .... .... = Reserved: Not set
00. .... .... = Reservado: No establecido
01.
...0 .... .... = Nonce: Not set
0 .... ... .... = Nonce: No establecido

.... 0... .... = Congestion Window Reduced (CWR): Not set

.... 0 ... .... = Ventana de la congestión reducida (CWR): No establecido
.... .0.. .... = ECN-Echo: Not set
.... 0.0 .. .... = REC-Eco: No establecido
.... ..0. .... = Urgent: Not set
.... .. 0. .... = Urgente: No establecido
.... ...1 .... = Acknowledgement: Set
.... ... 1 .... Reconocimiento =: Conjunto
.... .... 0... = Push: Not set
.... .... 0 ... = Empuje: No establecido
.... .... .0.. = Reset: Not set
.... .... 0.0 .. = Reset: No establecido
.... .... ..0. = Syn: Not set
.... .... .. 0. = Sinónimo: No establecido
.... .... ...0 = Fin: Not set
.... .... Fin = ... 0: No establecido
Window size value: 8576
Valor del tamaño de la ventana: 8576
[Calculated window size: 8576]
[Tamaño de la ventana calculado: 8576]
[Window size scaling factor: -2 (no window scaling used)]
[Tamaño de la ventana factor de escala: -2 (sin escalado de la ventana se utiliza)]
-Checksum: 0x38da [validation disabled]
-Suma de comprobación: 0x38da [validación deshabilitado]
[Good Checksum: False]
[Suma de control Buena: Falso]
[Bad Checksum: False]
 [Checksum Bad: Falso]
-[SEQ/ACK analysis]
- [SEQ / ACK analysis]
[Bytes in flight: 2920]
[Bytes vuelo: 2920]
[Reassembled PDU in frame: 2018]
[PDU ya montado en el bastidor: 2018]
TCP segment data (1460 bytes)
Datos del segmento TCP (1460 bytes)

UDP: User Datagram Protocol.

No. Time Source Destination Protocol Length Info
849 1350.304620 192.168.2.20 192.168.2.145 UDP 90 Source port: 65517
Destination port: fcmsys

-Frame 849: 90 bytes on wire (720 bits), 90 bytes captured (720 bits)
Frame 849: 90 bytes en el alambre (720 bits), 90 bytes capturados (720 bits)
Arrival Time: May 14, 2012 11:04:32.976684000 Hora est. del Pacífico de SA
Hora de llegada: 14 de mayo 2012 Hora est 11:04:32.976684000 del Pacífico de SA
Epoch Time: 1337011472.976684000 seconds
Tiempo de la época: 1337011472.976684000 segundo
[Time delta from previous captured frame: 0.001367000 seconds]
[Hora del delta del marco anterior capturado: 0.001367000 segundos]
[Time delta from previous displayed frame: 0.001367000 seconds]
[Hora del delta del cuadro anterior muestra: 0.001367000 segundos]
[Time since reference or first frame: 1350.304620000 seconds]
[Tiempo transcurrido desde la primera referencia o marco: 1350.304620000 segundos]
Frame Number: 849
Número de cuadros: 849
Frame Length: 90 bytes (720 bits)
Longitud de trama: 90 bytes (720 bits)
Capture Length: 90 bytes (720 bits)
Captura Duración: 90 bytes (720 bits)
[Frame is marked: False]
[Marco es notable: Falso]
[Frame is ignored: False]
[Marco se pasa por alto: Falso]
[Protocols in frame: eth:ip:udp:data]
[Protocolos de marco: eth: IP: UDP: los datos]
[Coloring Rule Name: TTL low or unexpected]
[Nombre de la regla para colorear: TTL de baja o inesperados]
[Coloring Rule String: ( ! ip.dst == 224.0.0.0/4 && ip.ttl < 5 && !pim) || (ip.dst ==
224.0.0.0/24 && ip.ttl != 1)]
[Cadena Regla para colorear: (! == Ip.dst 224.0.0.0 / 4 && ip.ttl <5 && PIM) | | (! == Ip.dst
224.0.0.0/24~~HEAD=NNS && ip.ttl = 1)]

- Ethernet II, Src: Panasoni_8b:fe:46 (00:80:f0:8b:fe:46), Dst: Micro-St_31:51:a4

(00:24:21:31:51:a4)
Ethernet II, Src: Panasoni_8b: fe: 46 (00:80: f0: 8b: fe: 46), Dst: Micro-St_31: 51: A4 (00:24:21:31:51:
a4)

- Destination: Micro-St_31:51:a4 (00:24:21:31:51:a4)

Destino: Micro-St_31: 51: A4 (00:24:21:31:51: a4)
Address: Micro-St_31:51:a4 (00:24:21:31:51:a4)
Dirección: Micro-St_31: 51: A4 (00:24:21:31:51: a4)
.... ...0 .... .... .... .... = IG bit: Individual address (unicast)
 .... 0 .... ... .... .... .... IG = bits: dirección individual (unicast)
.... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
.... .. 0. .... .... .... .... LG = bits: direcciones globalmente único (de fábrica)
-Source: Panasoni_8b:fe:46 (00:80:f0:8b:fe:46)
Fuente: Panasoni_8b: fe: 46 (00:80: f0: 8b: fe: 46)
Address: Panasoni_8b:fe:46 (00:80:f0:8b:fe:46)
Dirección: Panasoni_8b: fe: 46 (00:80: f0: 8b: fe: 46)
.... ...0 .... .... .... .... = IG bit: Individual address (unicast)
.... 0 .... ... .... .... .... IG = bits: dirección individual (unicast)
.... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
.... .. 0. .... .... .... .... LG = bits: direcciones globalmente único (de fábrica)
Type: IP (0x0800)
Tipo: IP (0x0800)

-Internet Protocol Version 4, Src: 192.168.2.20 (192.168.2.20), Dst: 192.168.2.145 (192.168.2.145)

Protocolo de Internet versión 4, Src: 192.168.2.20 (192.168.2.20), Dst: 192.168.2.145
(192.168.2.145)
Version: 4
Versión: 4
Header length: 20 bytes
Longitud de la cabecera: 20 bytes
-Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00: Not-ECT (Not
ECN-Capable Transport))
Servicios de campo diferenciado: 0x00 (0x00 DSCP: por defecto, REC: 0x00: No-TEC
(No ECN-Capacidad de Transporte))
0000 00.. = Differentiated Services Codepoint: Default (0x00)
0000 00 .. = Codepoint Servicios diferenciados: por defecto (0x00)
.... ..00 = Explicit Congestion Notification: Not-ECT (Not ECN-Capable
Transport) (0x00)
.... .. 00 = Notificación explícita de congestión: No-TEC (No ECN-Capaz de
transporte) (0x00)
Total Length: 76
Longitud total: 76
Identification: 0x001a (26)
Identificación: 0x001A (26)
-Flags: 0x00
Flags: 0x00
0... .... = Reserved bit: Not set
0 ... .... = Bit reservado: No establecido
.0.. .... = Don't fragment: Not set
.0 .. .... = No fragmento: No establecido
..0. .... = More fragments: Not set
.. 0. .... = Fragmentos más: no establecidos
Fragment offset: 0
Desplazamiento de fragmentos: 0
-Time to live: 1
 Tiempo de vida: 1

-[Expert Info (Note/Sequence): "Time To Live" only 1]

[Información de Expertos (Nota / Secuencia): "Time to Live" sólo 1]
[Message: "Time To Live" only 1]
[Mensaje: "Time to Live" sólo 1]
[Severity level: Note]
[Nivel de riesgo: Nota]
[Group: Sequence]
[Grupo: Secuencia]
Protocol: UDP (17)
Protocolo: UDP (17)
- Header checksum: 0x3392 [correct]
Checksum del encabezado: 0x3392 [correcto]
[Good: True]
[Bueno: True]
[Bad: False]
[Mala: Falso]
Source: 192.168.2.20 (192.168.2.20)
Fuente: 192.168.2.20 (192.168.2.20)
Destination: 192.168.2.145 (192.168.2.145)
Destino: 192.168.2.145 (192.168.2.145)

- User Datagram Protocol, Src Port: 65517 (65517), Dst Port: fcmsys (2344)
User Datagram Protocol, Src Port: 65517 (65517), Dst Port: fcmsys (2344)
Source port: 65517 (65517)
Puerto de origen: 65517 (65517)
Destination port: fcmsys (2344)
Puerto de destino: fcmsys (2344)
Length: 56
Longitud: 56
-Checksum: 0x552d [validation disabled]
Suma de comprobación: 0x552d [validación deshabilitado]
[Good Checksum: False]
[Suma de control Buena: Falso]
[Bad Checksum: False]
[Checksum Bad: Falso]

- Data (48 bytes)

Los datos (48 bytes)
 GLOSARIO

 TCPDUMP: es un herramienta en línea de comandos cuya utilidad principal es analizar el

tráfico que circula por la red.
Permite al usuario capturar y mostrar a tiempo real los paquetes transmitidos y recibidos
en la red a la cual el ordenador está conectado. Está escrito por Van Jacobson, Craig Leres, y
Steven McCanne que trabajaban en ese momento en el Grupo de Investigación de Red del
Laboratorio Lawrence Berkeley. Más tarde el programa fue ampliado por Andrew Tridgell.
tcpdump funciona en la mayoría de los sistemas operativos UNIX: Linux, Solaris, BSD, Mac
OS X, HP-UX y AIX entre otros. En esos sistemas, tcpdump hace uso de la biblioteca libpcap
para capturar los paquetes que circulan por la red.
Existe una adaptación de tcpdump para los sistemas Windows que se llama WinDump y que
hace uso de la biblioteca Winpcap.
En UNIX y otros sistemas operativos, es necesario tener los privilegios del root para utilizar
tcpdump.
El usuario puede aplicar varios filtros para que sea más depurada la salida. Un filtro es una
expresión que va detrás de las opciones y que nos permite seleccionar los paquetes que
estamos buscando. En ausencia de ésta, el tcpdump volcará todo el tráfico que vea el
adaptador de red seleccionado.

 CONCLUSIONES

 Wireshark proporciona una gran ayuda en la detección de problemas en una red

 Nos permite un gran análisis de datos de transmisión de redes

 BIBLIOGRAFIA

 http://www.esdebian.org/wiki/manejo-de-protocolo-tcp-con-wireshark
 http://blog.e2h.net/2009/12/01/analisis-de-red-con-wireshark/
 http://www.josesen.com.ar/ccnapresentaciones/exploration-1/Laboratorios/
E1_Lab_4_5_2.pdf
 http://modelosiudl.blogspot.com/2011/07/wireshark.html
 http://inginformatica-unprg.blogspot.com/2009/04/cnna-40-capitulo-4.html