7.2.1.8 Lab - Using Wireshark to Observe the TCP 3-Way Handshake

Práctica de laboratorio: Uso de Wireshark para observar el protocolo TCP de enlace de tres vías

Topología

 

Objetivos

Parte 1: Preparar Wireshark para la captura de paquetes

•       Seleccionar una interfaz NIC apropiada para capturar paquetes.

Parte 2: Capturar, localizar y examinar paquetes

•       Capturar una sesión Web para www.google.com.

•       Localizar paquetes apropiados para una sesión Web.

•      
Examinar la información de los paquetes, como direcciones IP, números de puerto TCP e indicadores de control TCP.

Información básica/Situación

En esta práctica de laboratorio, utilizará Wireshark para capturar y examinar paquetes que se generan entre el explorador de la PC mediante el protocolo de transferencia de hipertexto (HTTP) y un servidor Web, como www.google.com. Cuando una aplicación, como HTTP o el protocolo de transferencia de archivos (FTP), se inicia primero en un host, TCP utiliza el protocolo de enlace de tres vías para establecer una sesión TCP confiable entre los dos hosts. Por ejemplo, cuando una PC utiliza un explorador Web para navegar por Internet, se inicia un protocolo de enlace de tres vías y se establece una sesión entre el host de la PC y el servidor Web. Una PC puede tener varias sesiones TCP simultáneas activas con diversos sitios Web.

Nota: esta práctica de laboratorio no se puede realizar utilizando Netlab. Para la realización de esta práctica
de laboratorio, se da por sentado que tiene acceso a Internet	.

Recursos necesarios

1 PC (Windows 7, Vista o XP con acceso al símbolo del sistema, acceso a Internet y Wireshark instalado)

Parte 1: Preparar Wireshark para capturar paquetes

En la parte 1, inicia el programa Wireshark y selecciona la interfaz apropiada para comenzar a capturar paquetes.

Paso 1: Recuperar las direcciones de la interfaz de la PC

Para esta práctica de laboratorio, deberá recuperar la dirección IP de la PC y la dirección física de la tarjeta de interfaz de red (NIC), que también se conoce como “dirección MAC”.

a.     Abra una ventana del símbolo del sistema, escriba ipconfig /all y luego presione Entrar.

 

b.    Anote las direcciones IP y MAC asociadas al adaptador Ethernet seleccionado, ya que esa es la dirección de origen que debe buscar al examinar los paquetes capturados.

Dirección IP del host de la PC: 192.168.1.94

Dirección MAC del host de la PC: 04:7D:7B:32:A2:9C

Paso 2: Iniciar Wireshark y seleccionar la interfaz apropiada

a.     Haga clic en el botón Inicio de Windows y, en el menú emergente, haga doble clic en Wireshark.

b.    Una vez que se inicia Wireshark, haga clic en Interface List (Lista de interfaces).

 

c.     En la ventana Wireshark: Capture Interfaces (Wireshark: capturar interfaces), haga clic en la casilla de verificación junto a la interfaz conectada a la LAN.

 

Nota: si se indican varias interfaces, y no está seguro de cuál activar, haga clic en Details (Detalles). Haga clic en la ficha 802.3 (Ethernet) y verifique que la dirección MAC coincida con la que anotó en el paso 1b. Después de realizar esta verificación, cierre la ventana Interface Details (Detalles de la interfaz).

Parte 2: Capturar, localizar y examinar paquetes

Paso 1: Hacer clic en el botón Start (Comenzar) para iniciar la captura de datos

a.     Acceda a www.google.com. Minimice la ventana de Google y vuelva a Wireshark. Detenga la captura de datos. Debería ver tráfico capturado similar al que se muestra a continuación, en el paso b.

Nota: es posible que el instructor le proporcione un sitio Web diferente. En ese caso, introduzca el nombre del sitio Web o la dirección aquí:

____________________________________________________________________________________

b.    La ventana de captura ahora está activa. Ubique las columnas Source (Origen), Destination (Destino) y Protocol (Protocolo).

 

Paso 2: Localizar paquetes adecuados para la sesión Web

Si la PC se inició recientemente y no hubo actividad al acceder a Internet, puede ver todo el proceso en el resultado de la captura, incluido el protocolo de resolución de direcciones (ARP), el sistema de nombres de dominios (DNS) y el protocolo TCP de enlace de tres vías. La captura de pantalla de la parte 2, paso 1, muestra todos los paquetes que la PC debe obtener para www.google.com. En este caso, la PC ya tenía una entrada de ARP para el gateway predeterminado; por lo tanto, comenzó con la consulta DNS para resolver www.google.com.

a.     En la trama 11, se muestra la consulta DNS de la PC al servidor DNS, mediante la que se intenta resolver el nombre de dominio, www.google.com, a la dirección IP del servidor Web. La PC debe tener la dirección IP para poder enviar el primer paquete al servidor Web.

¿Cuál es la dirección IP del servidor DNS que consultó la PC? 192.168.1.94

b.    La trama 12 es la respuesta del servidor DNS con la dirección IP de www.google.com.

c.     Busque el paquete apropiado para iniciar el protocolo de enlace de tres vías. En este ejemplo, la trama 15 es el inicio del protocolo TCP de enlace de tres vías.

¿Cuál es la dirección IP del servidor Web de Google? 173.194.37.152

d.    Si tiene muchos paquetes que no están relacionados con la conexión TCP, es posible que sea necesario usar la capacidad de filtro de Wireshark. Escriba tcp en el área de entrada de filtro de Wireshark y presione Entrar.

 

Paso 3: Examinar la información de los paquetes, como direcciones IP, números de puerto TCP e indicadores de control TCP

a.     En el ejemplo, la trama 15 es el inicio del protocolo de enlace de tres vías entre la PC y el servidor Web de Google. En el panel de la lista de paquetes (en la sección superior de la ventana principal), seleccione la trama. La línea se resalta, y en los dos paneles inferiores se muestra la información decodificada proveniente de ese paquete. Examine la información de TCP en el panel de detalles del paquete (sección media de la ventana principal).

b.    Haga clic en el ícono + que se encuentra a la izquierda del protocolo de control de transmisión (TCP) del panel de detalles del paquete para ampliar la vista de la información de TCP.

c.     Haga clic en el ícono + que está a la izquierda de los indicadores. Observe los puertos de origen y destino y los indicadores que están establecidos.

Nota: es posible que tenga que ajustar los tamaños de las ventanas superior y media de Wireshark para visualizar la información necesaria.

 

¿Cuál es el número de puerto de origen TCP? 57113

¿Cómo clasificaría el puerto de origen? Dinámico o privado

¿Cuál es el número de puerto de destino TCP? 443 

¿Cómo clasificaría el puerto de destino? Conocido o registrado

¿Qué indicadores están establecidos? SYN

¿Cuál es el número de secuencia relativa establecido? 1 

d.    Para seleccionar la próxima trama en le protocolo de enlace de tres vías, seleccione Go (Ir) en la barra de menús de Wireshark y, luego, Next Packet in Conversation (Siguiente paquete de la conversación). En este ejemplo, es la trama 16. Esta es la respuesta del servidor Web de Google a la solicitud inicial para iniciar una sesión.

 

¿Cuáles son los valores de los puertos de origen y destino? 80 Y 57119

¿Qué indicadores están establecidos? Acuse de recibo ACK y sincronización SYN

¿Cuáles son los números de acuse de recibo y de secuencia relativa establecidos? Número de secuencia relativa es 0 y el de acuse de recibo 1.

e.     Por último, examine el tercer paquete del protocolo de enlace de tres vías en el ejemplo. Al hacer clic en la trama 17 en la ventana superior, aparece la siguiente información en este ejemplo:

 

Examine el tercer y último paquete del protocolo de enlace.

¿Qué indicadores están establecidos? Sólo ACK.

Los números de acuse de recibo y de secuencia relativa están establecidos en 1 como punto de inicio. La conexión TCP ahora está establecida, y la comunicación entre la PC de origen y el servidor Web puede comenzar.

f.     Cierre el programa Wireshark.

Reflexión

1. Hay cientos de filtros disponibles en Wireshark. Una red grande puede tener numerosos filtros y muchos tipos de tráfico diferentes. ¿Cuáles son los tres filtros de la lista que podrían ser los más útiles para un administrador de red? Considero que los filtros más útiles son el HTTP, TCP y el FTP. Por otra parte resulta interesantes los filtros ICMP (Mensajes de control de error en Internet, usado cuando hacemos ping a otro equipo), TCP (Para examinar sólo los paquetes relacionados con la conexión TCP y DNS (Sistema de nombres de dominio, que traduce nombres de dominio en direcciones IP.

2. ¿De qué otras formas podría utilizarse Wireshark en una red de producción?

·         Para efectos de seguridad y detección de posibles problemas en la transmisión de paquetes.

·         Se puede usar Wireshark para analizar e identificar el tipo de tráfico de una red, con el fin de solucionar y prevenir distintos problemas que puedan aparecer.

·         Se puede aprender acerca de los diferentes protocolos de red existentes, ya que a través de Wireshark se observan los encabezados de estos y así comprender su función y la de cada uno de sus componentes.