Práctica de laboratorio: Uso de Wireshark para observar el protocolo TCP de enlace de tres vías Topología
Objetivos Parte 1: Preparar Wireshark para la captura de paquetes •
Selecc Seleccion ionar ar una inte interfa rfaz z NIC aprop apropiad iada a para capt captura urarr paquete paquetes. s.
Parte : Capturar! Capturar! locali"ar # e$a%inar paquetes •
Captur Capturar ar una sesión sesión Web Web para para www www.goog .google. le.com com..
•
Locali Localizar zar paquet paquetes es apro apropia piados dos para para una una sesió sesión n Web. Web.
•
Eaminar Eaminar la inform información ación de los paquetes paquetes!! como direcci direcciones ones I"! I"! n#mero n#meros s de puerto puerto $C" $C" e indicado indicadores res de control $C".
&n'or%aci(n básica)*ituaci(n En esta pr%ctica de laboratorio! utilizar% Wires&ar' para capturar ( eaminar paquetes que se generan entre el eplorador de la "C mediante el protocolo de transferencia de &iperteto )*$$"+ ( un ser,idor Web! como www.google.com. www.google.com. Cuando una aplicación! como *$$" o el protocolo de transferencia de arc&i,os )-$"+! se inicia primero en un &ost! $C" utiliza el protocolo de enlace de tres ,as para establecer una sesión $C" confiable entre los dos &osts. "or e/emplo! cuando una "C utiliza un eplorador Web para na,egar por Internet! se inicia un protocolo de enlace de tres ,as ( se establece una sesión entre el &ost de la "C ( el ser,idor Web. 0na "C puede tener ,arias sesiones $C" simult%neas acti,as con di,ersos sitios W eb.
+ota: esta pr%ctica de laboratorio no se puede realizar utilizando Netlab. "ara la realización de esta pr%ctica de laboratorio! se da por sentado que tiene acceso a Internet.
,ecursos necesarios 1 "C )Windows 2! 3ista o 4" con acceso al smbolo del sistema! acceso a Internet ( W ires&ar' instalado+
Parte 1: Preparar Wireshark para capturar paquetes En la parte 1! inicia el programa Wires&ar' ( selecciona la interfaz apropiada para comenzar a capturar paquetes.
Paso 1: ,ecuperar las direcciones de la inter'a" de la PC "ara esta pr%ctica de laboratorio! deber% recuperar la dirección I" de la "C ( la dirección fsica de la tar/eta de interfaz de red )NIC+! que tambi5n se conoce como 6dirección 78C9. a. 8bra una ,entana ,entana del smbolo del sistema! escriba escriba ipcon'ig )all ( )all ( luego presione Entrar.
Práctica de laboratorio: Uso de Wireshark para observar el protocolo TCP de enlace de tres vías
b. 8note 8note las direcciones direcciones I" ( 78C 78C asociadas asociadas al adaptador adaptador Et&erne Et&ernett seleccionado seleccionado!! (a que esa es la dirección de origen que debe buscar al eaminar los paquetes capturados. ?irecc ?irecció ión n I" del &ost de la "C@ AB> Las respuestas pueden variar. En este caso,
192.168.1.130. ?irección 78C del &ost de la "C@ AB> Las respuestas pueden variar. En este caso,
C8:0A:A9:FA:DE:0D. Paso : &niciar Wireshark # seleccionar la inter'a" apropiada a. *aga cli clic en el el bot botón ón &nicio &nicio de Windows (! en el men# emergente! &aga doble clic en Wireshark. Wireshark. b. 0na ,ez ,ez que que se inici inicia a Wires& Wires&ar' ar'!! &aga &aga clic clic en &nter'ace .ist )Lista .ist )Lista de interfaces+.
c.
En la la ,e ,entana Wireshark: Capture &nter'aces )Wires&ar'@ &nter'aces )Wires&ar'@ capturar interfaces+! &aga clic en la casilla de ,erificación /unto a la interfaz conectada a la L8N.
: ;<1= Cisco (>o sus filiales. $odos $odos los derec&os reser,ados. Este documento es información p#blica de Cisco. "%gina de -
Práctica de laboratorio: Uso de Wireshark para observar el protocolo TCP de enlace de tres vías +ota: si se indican ,arias interfaces! ( no est% seguro de cu%l acti,ar! &aga clic en /etails en /etails )?etalles+ . *aga clic en la fic&a 023 45thernet6 ( 45thernet6 ( ,erifique que la dirección 78C coincida con la que anotó en el paso 1b. ?espu5s de realizar esta ,erificación! cierre la ,entana Interface ?etails )?etalles de la interfaz+.
Parte : Capturar! locali"ar # e$a%inar paquetes Paso 1: 7acer clic en el bot(n *tart 4Co%en"ar6 para iniciar la captura de datos a. 8cceda 8cceda a www.googl www.google.com e.com.. 7inimice 7inimice la ,entana ,entana de oogle oogle ( ,uel,a a Wires&ar'. Wires&ar'. ?etenga ?etenga la captura de datos. ?ebera ,er tr%fico capturado similar al que se muestra a continuación! en el paso b. +ota@ +ota @ es posible que el instructor le proporcione un sitio Web diferente. En ese caso! introduzca el nombre del sitio Web o la dirección aqu@ AB>
b. La ,enta entana na de capt captur ura a a&or &ora est% est% acti, cti,a. a. 0biq bique las las col columnas mnas *ource *ource )Drigen+! /estination )?estino+ /estination )?estino+ ( Protocol )"rotocolo+. Protocol )"rotocolo+.
Paso : .ocali"ar paquetes adecuados para la sesi(n Web Si la "C se inició recientemente ( no &ubo acti,idad al acceder a Internet! puede ,er todo el proceso en el resultado de la captura! incluido el protocolo de resolución de direcciones )8B"+! el sistema de nombres de dominios d ominios )?NS+ ( el protocolo $C" de enlace de tres ,as. La captura de pantalla de la parte ;! paso 1! muestra todos los paquetes que la "C debe obtener para www.google.com. www.google.com. En este caso! la "C (a tena una entrada de 8B" para el gatewa( predeterminado por lo tanto! comenzó con la consulta ?NS para resol,er www.google.com. www.google.com. a. En la trama trama 11! 11! se muestra muestra la consulta consulta ?NS ?NS de la "C al ser,idor ser,idor ?NS! ?NS! mediante mediante la que se intenta resol,er el nombre de dominio! www.google.com! www.google.com! a la dirección I" del ser,idor Web. La "C debe tener la dirección I" para poder en,iar el primer paquete al ser,idor Web. FCu%l es la dirección I" del ser,idor ?NS que consultó la "CG AB>192.168.1.1 b. La trama 1; es la respues respuesta ta del ser,idor ser,idor ?NS ?NS con la dirección dirección I" de www.go www.google.c ogle.com. om.
: ;<1= Cisco (>o sus filiales. $odos $odos los derec&os reser,ados. Este documento es información p#blica de Cisco. "%gina 3 de -
Práctica de laboratorio: Uso de Wireshark para observar el protocolo TCP de enlace de tres vías c.
Husque Husque el paquete paquete apropi apropiado ado para para iniciar iniciar el protocol protocolo o de enlace enlace de tres ,as. ,as. En este e/emplo! la trama 1 es el inicio del protocolo $C" de enlace de tres ,as. FCu%l es la
dirección
I" del ser,idor Web de oogleG
AB> En
este este eje ejep! p!o, o,
"#.12$.22$.209. d.
Si tiene tiene muc& muc&os os paqu paquete etes s que que no est% est%n n rela relaci cion onad ados os con con la cone conei ión ón $C"! $C"! es posi posibl ble e que que sea sea necesario necesario usar la capacidad capacidad de filtro de Wires&ar'. Wires&ar'. Escriba tcp tcp en el %rea de entrada de filtro de Wires&ar' ( presione Entrar.
Paso 3: 5$a%inar la in'or%aci(n de los paquetes! co%o direcciones &P! n8%eros de puerto TCP e indicadores de control TCP a. En el e/emplo! e/emplo! la trama trama 1 es el inicio inicio del protocol protocolo o de enlace de tres tres ,as entre entre la "C ( el ser,idor ser,idor Web de oogle. En el panel de la lista de paquetes )en la sección superior de la ,entana principal+! seleccione la trama. La lnea se resalta! ( en los dos paneles inferiores se muestra la información decodificada pro,eniente de ese paquete. Eamine la información de $C" en el panel de detalles del paquete )sección media de la ,entana principal+. b. *aga aga cli clic en el el co con no 9 que se encuentra a la izquierda del protocolo de control de transmisión )$C"+ del panel de detalles del paquete para ampliar la ,ista de la información de $C". $C". c.
*aga *aga clic clic en el con cono o 9 que est% a la izquierda de los indicadores. Dbser,e los puertos de origen ( destino ( los indicadores que est%n establecidos. +ota +ota:: es posible que tenga que a/ustar los tamaJos de las ,entanas superior ( media de Wires&ar' para ,isualizar la información necesaria.
: ;<1= Cisco (>o sus filiales. $odos $odos los derec&os reser,ados. Este documento es información p#blica de Cisco. "%gina de -
Práctica de laboratorio: Uso de Wireshark para observar el protocolo TCP de enlace de tres vías
FCu%l es el n#mero de puerto de origen $C"G B>En este ejep!o, e! puerto de ori%en es
#9$23. Las respuestas respuest as &arian FCómo clasificara el puerto de origenG A B> Din'ico o privado FCu%l es el n#mero de puerto de destino $C"G AB> (uerto 80 FCómo clasificara el puerto de destinoG AB> Conocido, re%istrado )*++( o protoco!o
e- FKu5 indicadores est%n establecidosG AAB> /ndicador FCu%l es el n#mero de secuencia relati,a establecidoG AB> 0 d. "ara selecci seleccionar onar la próima próima trama trama en le protocolo protocolo de enlace enlace de tres ,as! ,as! seleccion seleccione e ;o )Ir+ ;o )Ir+ en la barra de men#s de Wires&ar' (! luego! +e$t Packet in Conversation Conversation )Siguiente paquete de la con,ersación+. En este e/emplo! es la trama 1. Esta es la respuesta del ser,idor Web de oogle a la solicitud inicial para iniciar una sesión.
FCu%les son los ,alores de los puertos de origen ( destinoG AB2 E! puerto de ori%en aora es
80 4 e! puerto de destino aora es #9$23
Práctica de laboratorio: Uso de Wireshark para observar el protocolo TCP de enlace de tres vías FKu5 indicadores est%n establecidosG AB> E! indicador de acuse de reci-o )AC5 4
e! indicador de sincroniaci7n ). FCu%les son los n#meros de acuse de recibo ( de secuencia relati,a establecidosG AAB> E! nero de secuencia re!ativa es 0 4 e! nero de acuse de reci-o es
1. e. "or #ltimo! #ltimo! eamine eamine el tercer tercer paquete paquete del protocolo protocolo de enlace enlace de tres ,as en el e/emplo. e/emplo. 8l 8l &acer clic en la trama 12 en la ,entana superior! aparece la siguiente información en este e/emplo@
Eamine el tercer ( #ltimo paquete del protocolo de enlace. FKu5 indicadores est%n establecidosG AAB> /ndicador de acuse de reci-o )AC5 Los n#meros de acuse de recibo ( de secuencia relati,a est%n establecidos en 1 como punto de inicio. La coneión $C" a&ora est% establecida! ( la comunicación entre la "C de origen ( el ser,idor Web puede comenzar. f.
Cier Cierre re el pro progr gram ama a Wire Wires& s&ar ar'. '.
,e'le$i(n 1. *a( cientos cientos de filtros filtros disponibl disponibles es en Wires&ar'. Wires&ar'. 0na 0na red grande puede puede tener numeroso numerosos s filtros filtros ( muc&os tipos de tr%fico diferentes. FCu%les son los tres filtros de la lista que podran ser los m%s #tiles para un administrador de redG AB> Las respuestas varan, pero podran inc!uir +C(, direcciones /( especcas
)de ori%en o destino 4 protoco!os coo *++(. ;. F?e qu5 qu5 otras formas formas podr podra a utilizars utilizarse e Wires&ar' Wires&ar' en una una red de producci producciónG ónG B> iresar; sue!e uti!iarse con nes de se%uridad, para e! an'!isis posterior de!
tr'co nora! o despu
