Scribd
Cargar
33 vistas7 páginas

4.1.7 Lab - Exploring DNS Traffic (R)

El documento describe un laboratorio calificado sobre la exploración del tráfico DNS utilizando Wireshark, una herramienta de captura y análisis de paquetes. Se detallan los pasos para capturar tráfico DNS, explorar consultas y respuestas DNS, así como las configuraciones necesarias en diferentes sistemas operativos. Además, se plantean preguntas reflexivas sobre la seguridad de la red y el uso de Wireshark por parte de atacantes.

Cargado por

Anthony Peña
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd
33 vistas7 páginas

4.1.7 Lab - Exploring DNS Traffic (R)

El documento describe un laboratorio calificado sobre la exploración del tráfico DNS utilizando Wireshark, una herramienta de captura y análisis de paquetes. Se detallan los pasos para capturar tráfico DNS, explorar consultas y respuestas DNS, así como las configuraciones necesarias en diferentes sistemas operativos. Además, se plantean preguntas reflexivas sobre la seguridad de la red y el uso de Wireshark por parte de atacantes.

Cargado por

Anthony Peña
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd

CYBERSECURITY ESSENTIALS v3.

Práctica calificada: Explorar tráfico DNS


Objetivos
Parte 1: Capturar tráfico DNS
Parte 2: Explorar tráfico de consultas DNS
Parte 3: Explorar tráfico de respuestas DNS

Antecedentes / Escenario
Wireshark es una herramienta de captura y análisis de paquetes de código abierto. Wireshark proporciona un
desglose detallado de la pila de protocolos de red. Wireshark les permite filtrar tráfico para solucionar
problemas de red, investigar problemas de seguridad y analizar protocolos de red. Como Wireshark permite
ver los detalles de los paquetes, un atacante también puede utilizarla como herramienta de reconocimiento.
En este laboratorio calificado instalaremos y utilizaremos Wireshark para filtrar paquetes DNS y ver los
detalles de los paquetes de consultas y respuestas DNS.

Recursos necesarios
Una computadora personal con acceso a internet y Wireshark instalado

Instrucciones
Parte 1: Capturar tráfico DNS

Paso 1: Descargar e instalar Wireshark


a. Descargue la última versión estable de Wireshark desde la siguiente dirección web: [Link].
Elija la versión de software que necesita según la arquitectura y el sistema operativo de la computadora
personal.
b. Siga las instrucciones que aparecen en la pantalla para instalar Wireshark. Si le aparece un cuadro
solicitando que instale USBPcap, NO debe instalar USBPcap para la captura de tráfico normal. USBPcap
es experimental, y podría causar problemas en los dispositivos USB de su computadora personal.

Paso 2: Capturar tráfico DNS


a. Inicie Wireshark. Seleccione una interfaz activa con tráfico para la captura de paquetes.
b. Limpie la caché DNS
1) En el Símbolo del sistema de Windows (Command Prompt), escriba ipconfig /flushdns.
2) Para la mayoría de las distribuciones de Linux, se utiliza una de las siguientes utilidades para el
almacenamiento caché DNS: Systemd -Resolved, DNSMasq y NSCD. Si la distribución Linux que está
usando no utiliza ninguna de las utilidades mencionadas, busque en internet la herramienta para
vaciar caché DNS para esa distribución Linux.
Identifique la herramienta utilizada en una distribución Linux, comprobando el estado (status):
1. Systemd-Resolved: systemctl status [Link]
2. DNSMasq: systemctl status [Link]
3. NSCD: systemctl status [Link]
Si está utilizando systemd-Resolved, debe escribir systemd-resolve --flush-caches para vaciar la
caché de Systemd-Resolved antes de reiniciar el servicio. Los siguientes comandos reinician el
servicio asociado mediante privilegios elevados:
4. Systemd-Resolved: sudo systemctl restart [Link]

Instructor: Ing. Manuel Esteban Mogollón García Pág. 1 | 7


Laboratorio calificado: Explorar tráfico DNS

5. DNSMasq: sudo systemctl restart [Link]


6. NSCD: sudo systemctl restart [Link]
3) Para macOS, escriba sudo killall -HUP mDNSResponder para limpiar la caché DNS en la consola
Terminal. Busque en internet cuales son los comandos que se usan para limpiar la caché DNS de una
versión pasada del sistema operativo
c. En el Símbolo del sistema o terminal, escriba nslookup para entrar en el modo interactivo.
d. Introduzcan el nombre de dominio del sitio web. En este ejemplo se utiliza el nombre de
dominio [Link].
e. Escriban exit cuando hayan terminado. Cierren el símbolo del sistema.
f. Hagan clic en Stop capturing packets (Dejar de capturar paquetes) para detener la captura de Wireshark.

Parte 2: Explorar tráfico de consultas DNS


a. Observen el tráfico capturado en el panel Packet List (Lista de paquetes) de Wireshark. Introduzcan
[Link] == 53 en el cuadro de filtros y hagan clic en la flecha (o presionen Intro) para mostrar solamente
paquetes DNS.
Nota: Las capturas de pantalla proporcionadas son solo ejemplos. La salida que obtenga puede ser
ligeramente diferente a la mostrada.

b. Seleccione el paquete DNS que contiene la Standard query (Consulta estándar) y A [Link] en
la columna Información.
c. En el panel Packet Details (Detalles del paquete), observen que este paquete tiene Ethernet II,
Internet Protocol Version 4, User Datagram Protocol y Domain Ñame System (query).

Instructor: Ing. Manuel Esteban Mogollón García Pág. 2 | 7


Laboratorio calificado: Explorar tráfico DNS

d. Expandan Ethernet II para ver los detalles. Observen los campos de origen y de destino.

1. ¿Qué sucedió con las direcciones MAC de origen y de destino? ¿Con qué interfaces de red están
asociadas estas direcciones MAC?
Escriba sus respuestas aquí.
e. Expandan Internet Protocol Version 4. Observen las direcciones IPv4 de origen y de destino.

Pregunta:

2. ¿Cuáles son las direcciones IP de origen y destino? ¿Con qué interfaces de red están asociadas estas
direcciones IP?

Instructor: Ing. Manuel Esteban Mogollón García Pág. 3 | 7


Laboratorio calificado: Explorar tráfico DNS

Escriba sus respuestas aquí.


f. Expandan User Datagram Protocol. Observen los puertos de origen y de destino.

Pregunta:

3. ¿Cuáles son los puertos de origen y de destino? ¿Cuál es el número de puerto de DNS
predeterminado?
Escriba sus respuestas aquí.
g. Determine las direcciones IP y MAC de la computadora personal.
• En el Símbolo de sistema de Windows, introduzca arp –a e ipconfig /all para registrar las direcciones
MAC y las direcciones IP de la computadora personal.
• Para Linux y macOS, introduzca ifconfig o ip address en la consola terminal.
Pregunta:

4. Compare las direcciones MAC y las direcciones IP presentes en los resultados de Wireshark con los
resultados obtenidos del símbolo del sistema o terminal. ¿Cuál es su opinión?
Escriba sus respuestas aquí.
h. Expandan Domain Name System (query)) en el panel Packet Details. Después expandan Flags
(Marcadores) y Queries (Consultas).

Instructor: Ing. Manuel Esteban Mogollón García Pág. 4 | 7


Laboratorio calificado: Explorar tráfico DNS

i. Observen los resultados. El marcador está definido para realizar la consulta recursivamente y así consultar
la dirección IP en [Link].

Parte 3: Explorar tráfico de respuestas DNS


a. Seleccione el paquete que contiene la Standard query response (respuesta de consulta estándar) y A
[Link] en la columna "Info" (Información).

Instructor: Ing. Manuel Esteban Mogollón García Pág. 5 | 7


Laboratorio calificado: Explorar tráfico DNS

Pregunta:

5. ¿Cuáles son las direcciones MAC e IP y los números de puerto de origen y de destino? ¿Qué
similitudes y diferencias tienen con las direcciones presentes en los paquetes de consultas DNS?
Escriba sus respuestas aquí.
b. Expanda Domain Name System (response). Después expandan Flags, Queries y Answers (Respuestas).
c. Observen los resultados.
Pregunta:

6. ¿El servidor DNS puede realizar consultas recursivas?


Escriba sus respuestas aquí.

d. Observen los registros CNAME y A en los detalles de las Respuestas.


Pregunta:

7. ¿Qué similitudes y diferencias tienen con los resultados de nslookup?


Escriba sus respuestas aquí.

Reflexión
8. A partir de los resultados de Wireshark. ¿qué más pueden averiguar sobre la red cuando quitan el
filtro?
Escriba sus respuestas aquí.

Instructor: Ing. Manuel Esteban Mogollón García Pág. 6 | 7


Laboratorio calificado: Explorar tráfico DNS

9. ¿De qué manera un atacante puede utilizar Wireshark para poner en riesgo la seguridad de sus redes?

Ing. Manuel Esteban Mogollón García | Docente


Arquitectura de Plataformas y Servicios de TI
IESP “Cap. FAP José Abelardo Quiñones” – Tumbes

Instructor: Ing. Manuel Esteban Mogollón García Pág. 7 | 7

También podría gustarte