Práctica de laboratorio: Uso de Wireshark para examinar una captura de
UDP y DNS
Topología
Objetivos
Parte 1: Registrar la información de configuración IP de una PC
Parte 2: Utilizar Wireshark para capturar consultas y respuestas DNS Parte 3: Analizar los paquetes DNS o UDP capturados
Información básica/Situación
Si alguna vez usó Internet, usó
el Sistema de nombres de dominios (DNS). El DNS es una red distribuida de
servidores que traduce nombres de dominio fáciles de usar, como www.google.com,
en una dirección IP. Cuando escribe el URL de un sitio Web en el explorador, la
PC realiza una consulta DNS a la dirección IP del servidor DNS. La consulta del
servidor DNS de la PC y la respuesta del servidor DNS utilizan el protocolo de
datagramas de usuario (UDP) como el protocolo de la capa de transporte. UDP
opera sin conexión y no requiere una configuración de sesión como TCP. Las
consultas y respuestas DNS son muy pequeñas y no requieren la sobrecarga de
TCP.
En esta práctica de laboratorio, se comunicará con un
servidor DNS enviando una consulta DNS mediante el protocolo de transporte UDP.
Utilizará Wireshark para examinar los intercambios de consultas y respuestas
DNS con el servidor de nombres.
|
Nota: esta práctica de laboratorio no
se puede realizar utilizando Netlab. Para la realización de esta práctica
|
|
|
de
laboratorio, se da por sentado que tiene acceso a Internet
|
.
|
Recursos
necesarios
1 PC (Windows 7, Vista o XP con
acceso al símbolo del sistema, acceso a Internet y Wireshark instalado)
Parte 1: Registrar la información de configuración IP de la PC
En la parte 1, utilizará el comando ipconfig /all en la PC local para buscar y registrar las
direcciones MAC e IP de la tarjeta de interfaz de red (NIC) de la PC, la
dirección IP del gateway predeterminado especificado y la dirección IP del
servidor DNS especificada para la PC. Registre esta información en la tabla
proporcionada. La información se utilizará en las partes siguientes de esta
práctica de laboratorio con análisis de paquetes.
|
Dirección IP
|
192.168.1.5
|
|
Dirección MAC
|
B8-EE-65-BC-CC-EC
|
|
Dirección IP de la puerta de enlace predeterminada
|
192.168.1.1
|
|
Dirección IP del servidor
DNS
|
200.21.200.80 200.21.200.10
|
Parte 2: Utilizar Wireshark para capturar consultas y respuestas DNS
En la parte 2, configurará
Wireshark para capturar paquetes de consultas y respuestas DNS para demostrar
el uso del protocolo de transporte UDP mientras se comunica con un servidor
DNS.
a.
Haga clic en el botón Inicio de Windows y navegue hasta el programa Wireshark.
Nota: si Wireshark aún no está
instalado, se puede descargar de http://www.wireshark.org/download.html.
b.
Seleccione una interfaz para que Wireshark
capture paquetes. Utilice Interface List
(Lista de interfaces) para elegir la interfaz asociada a las direcciones IP y
de control de acceso al medio (MAC) registradas de la PC en la parte 1.
c.
Después de seleccionar la interfaz deseada, haga
clic en Start (Comenzar) para
capturar los paquetes.
d.
Abra un explorador Web y escriba www.google.com. Presione Entrar para
continuar.
e. Haga
clic en Stop (Detener) para detener
la captura de Wireshark cuando vea la página de inicio de Google.
Parte 3: Analizar los paquetes DNS o UDP capturados
En la parte 3, examinará los paquetes UDP que se generaron
al comunicarse con un servidor DNS para las direcciones IP para www.google.com.
Paso 1: Filtrar paquetes DNS
a. En
la ventana principal de Wireshark, escriba
dns en el área de entrada de la barra de herramientas Filter (Filtrar). Haga clic en Apply
(Aplicar) o presione Entrar.
Nota: si no ve resultados después de aplicar el filtro DNS, cierre
el explorador Web y, en la ventana del símbolo del sistema, escriba ipconfig /flushdns para eliminar todos
los resultados anteriores del DNS. Reinicie la captura de Wireshark y repita
las instrucciones de la parte 2b a la parte 2e. Si el problema no se resuelve,
en la ventana del símbolo del sistema, puede escribir nslookup
www.google.com como
alternativa para el explorador Web.
b. En
el panel de la lista de paquetes (sección superior) de la ventana principal,
ubique el paquete que incluye “standard query” (consulta estándar) y “A
www.google.com”. Vea la trama 4, por ejemplo.
Paso 2: Examinar el segmento UDP mediante una consulta DNS
Examine UDP mediante una consulta DNS para www.google.com
según lo capturado por Wireshark. En este ejemplo, está seleccionada la trama 4
de la captura de Wireshark en la lista de paquetes para su análisis. Los
protocolos en esta consulta se muestran en el panel de detalles del paquete
(sección media) de la ventana principal. Las entradas del protocolo están
resaltadas en gris.
a.
En el panel de detalles del paquete, la trama 4
tenía 74 bytes de datos en el cable, tal como se muestra en la primera línea.
Esta es la cantidad de bytes para enviar una consulta DNS a un servidor de
nombres que solicita direcciones IP de www.google.com.
b.
En la línea Ethernet II, se muestran las
direcciones MAC de origen y destino. La dirección MAC de origen proviene de la
PC local, ya que esta originó la consulta DNS. La dirección MAC de destino
proviene del gateway predeterminado, dado que esta es la última parada antes de
que la consulta abandone la red local.
¿La dirección MAC de
origen es la misma que la que se registró en la parte 1 para la PC local? Si, en ambas ocasiones la IP MAC es: B8-EE-65-BC-CC-EC
c.
En la línea Internet Protocol Version 4 (Protocolo
de Internet versión 4), la captura de Wireshark de paquetes IP indica que la
dirección IP de origen de esta consulta DNS es 192.168.1.11 y la dirección IP
de destino es 192.168.1.1. En este ejemplo, la dirección de destino es el
gateway predeterminado. El router es el gateway predeterminado en esta red.
¿Puede emparejar las direcciones IP y MAC para los
dispositivos de origen y destino?
|
Dispositivo
|
Dirección
IP
|
Dirección
MAC
|
|
PC local
|
192.168.1.5
|
B8-EE-65-BC-CC-EC
|
|
Gateway predeterminado
|
200.21.200.80
|
C8-7B-5B-CA-65-98
|
El paquete y el encabezado IP
encapsulan el segmento UDP. El segmento UDP contiene la consulta DNS como los
datos.
d. Un
encabezado UDP solo tiene cuatro campos: source port (puerto de origen),
destination port (puerto de destino), length (longitud) y checksum. Cada campo
en el encabezado UDP es de solo 16 bits, como se ilustra a continuación.
Amplíe el protocolo de datagramas de usuario en el panel de
detalles del paquete haciendo clic en el signo más (+). Observe que hay solo
cuatro campos. El número de puerto de origen en este ejemplo es 52110. La PC
local generó el puerto de origen aleatoriamente utilizando los números de
puerto que no están reservados. El puerto de destino es 53. El puerto 53 es un
puerto conocido reservado para ser utilizado con DNS. En el puerto 53, los
servidores DNS escuchan las consultas DNS de los clientes.
En este ejemplo, la longitud de
este segmento UDP es de 40 bytes. De los 40 bytes, 8 bytes se utilizan como
encabezado. Los otros 32 bytes los utilizan los datos de la consulta DNS. Estos
32 bytes están resaltados en la ilustración siguiente en el panel de bytes del
paquete (sección inferior) de la ventana principal de Wireshark.
El valor de checksum se usa para
determinar la integridad del paquete después de haber atravesado Internet.
El encabezado UDP tiene una
sobrecarga baja, porque UDP no tiene campos asociados con el protocolo de
enlace de tres vías en TCP. Cualquier problema de confiabilidad de
transferencia de datos que ocurra debe solucionarse en la capa de aplicación.
Registre los resultados de Wireshark en la tabla siguiente:
|
Tamaño de trama
|
40 Bytes
|
|
Dirección MAC de
origen
|
B8-EE-65-BC-CC-EC
|
|
Dirección MAC de
destino
|
C8-7B-5B-CA-65-98
|
|
Dirección IP de
origen
|
192.168.1.5
|
|
Dirección IP de
destino
|
200.21.200.80
|
|
Puerto de origen
|
56939
|
|
Puerto de destino
|
53
|
¿La dirección IP de origen es la misma que la dirección IP
de la PC local registrada en la parte 1? Sí.
¿La dirección IP de destino es la misma que el gateway
predeterminado que se registró en la parte 1? Sí.
Paso 3: Examinar el UDP usando la respuesta DNS
En este paso, examinará el
paquete de respuesta DNS y verificará que este también utilice UDP.
a.
En este ejemplo, la trama 5 es el paquete de
respuesta DNS correspondiente. Observe que la cantidad de bytes en el cable es
290 bytes. Es un paquete más grande con respecto al paquete de consulta DNS.
b.
En la trama Ethernet II para la respuesta DNS,
¿de qué dispositivo proviene la dirección MAC de origen y de qué dispositivo
proviene la dirección MAC de destino? En el ejemplo
planteado en el laboratorio el dispositivo origen es Ntegear y el destino es
HonHaipr_be
c.
Observe las direcciones IP de origen y destino
en el paquete IP. ¿Cuál es la dirección IP de destino? ¿Cuál es la dirección IP
de origen? De acuerdo al laboratorio
Dirección IP de destino: 192.168.1.11 Dirección IP de origen: 192.168.1.1
En la práctica
realizada
Dirección IP de destino: 192.168.1.5 Dirección IP de origen: 200.21.200.80
¿Qué ocurrió con los roles de origen y
destino para el host local y el gateway predeterminado?
Se
invirtieron el Gateway que es el origen de la respuesta y el host local que
pasó a ser el destino.
d.
En el segmento UDP, el rol de los números de
puerto también se invirtió. El número de puerto de destino es 52110. El número
de puerto 52110 es el mismo puerto que el que generó la PC local cuando se
envió la consulta DNS al servidor DNS. La PC local escucha una respuesta DNS en
este puerto.
El número de puerto de origen es
53. El servidor DNS escucha una consulta DNS en el puerto 53 y luego envía una
respuesta DNS con un número de puerto de origen 53 de vuelta a quien originó la
consulta DNS.
Cuando la respuesta DNS esté
expandida, observe las direcciones IP resueltas para www.google.com en la
sección Answers (Respuestas).
Reflexión
¿Cuáles son los beneficios de
utilizar UDP en lugar de TCP como protocolo de transporte para DNS?
·
TCP es un protocolo que
requiere de conexión mientras que UDP no.
·
Un servidor dedicado a
una aplicación partículas puede soportar más clientes activos cuando la
aplicación corre con UDP en lugar de TCP.
·
UDP trabaja con
datagramas enteros, no con bytes individuales como TCP.
·
Un paquete UDP admite
utilizar como dirección IP de destino la dirección de broadcast o de multicast
de IP. Esto permite enviar un mismo paquete a varios
destinos.
No hay comentarios:
Publicar un comentario