Laboratorio 2.6.

2: Uso de Wireshark para ver las unidades de datos

del protocolo
Objetivos de aprendizaje




Poder explicar el propsito de un analizador de protocolos (Wireshark).
Poder realizar capturas bsicas de la unidad de datos del protocolo (PDU) mediante el uso de
Wireshark.
Poder realizar un anlisis bsico de la PDU en un trfico de datos de red simple.
Experimentar con las caractersticas ! opciones de Wireshark" como captura de PDU !
#isualizacin de filtrado.
Inforaci!n b"sica
Wireshark es un analizador de protocolos de soft$are o una aplicacin %husmeador de pa&uetes' &ue se
utiliza para el dia(nstico de fallas de red" #erificacin" desarrollo de protocolo ! soft$are ! educacin.
)ntes de *unio de +,,-" Wireshark se conoca como Ethereal.
Un husmeador de pa&uetes (tambi.n conocido como un analizador de red o analizador de protocolos)
es un soft$are informtico &ue puede interceptar ! re(istrar trfico de datos pasando sobre una red de
datos. /ientras el flu*o de datos #a ! #iene en la red" el husmeador %captura' cada unidad de datos del
protocolo (PDU) ! puede decodificar ! analizar su contenido de acuerdo a la 012 correcta u otras
especificaciones.
Wireshark est pro(ramado para reconocer la estructura de los diferentes protocolos de red. Esto le
permite mostrar la encapsulacin ! los campos indi#iduales de una PDU e interpretar su si(nificado.
Es una herramienta 3til para cual&uiera &ue traba*e con redes ! se puede utilizar en la ma!ora de las
prcticas de laboratorio en los cursos 224) para el anlisis de datos ! el dia(nstico de fallas.
Para obtener ms informacin ! para descar(ar el pro(rama #isite5 http566$$$.Wireshark.or(
#scenario
Para capturar las PDU" la computadora donde est instalado Wireshark debe tener una conexin acti#a
a la red ! Wireshark debe estar acti#o antes de &ue se pueda capturar cual&uier dato.
)ll contents are 2op!ri(ht 7 899+:+,,9 2isco ;!stems" <nc. )ll ri(hts reser#ed. =his document is 2isco Public <nformation. P(ina 8 de 88
224) Exploration
)spectos bsicos de net$orkin(5
2omunicacin a tra#.s de la red
>aboratorio +.-.+5
Uso de Wireshark? para #er las unidades de datos del protocolo
2uando se inicia Wireshark" se muestra la si(uiente pantalla.
Para empezar con la captura de datos es necesario ir al men3 $apture ! seleccionar Options.
El cuadro de dilo(o Options pro#ee una serie de confi(uraciones ! filtros &ue determinan el tipo
! la cantidad de trfico de datos &ue se captura.
)ll contents are 2op!ri(ht 7 899+:+,,9 2isco ;!stems" <nc. )ll ri(hts reser#ed. =his document is 2isco Public <nformation. P(ina + de 88
224) Exploration
)spectos bsicos de net$orkin(5
2omunicacin a tra#.s de la red
>aboratorio +.-.+5
Uso de Wireshark? para #er las unidades de datos del protocolo
Primero" es necesario ase(urarse de &ue Wireshark est confi(urado para monitorear la interfaz
correcta. Desde la lista desple(able Interface% seleccione el adaptador de red &ue se utiliza.
@eneralmente" para una computadora" ser el adaptador Ethernet conectado.
>ue(o se pueden confi(urar otras opciones. Entre las &ue estn disponibles en $apture Options%
merecen examinarse las si(uientes dos opciones resaltadas.
$onfi&urar Wireshark para capturar pa'uetes en un odo proiscuo.
;i esta caracterstica 4A est #erificada" slo se capturarn las PDU destinadas a esta computadora.
;i esta caracterstica est #erificada" se capturarn todas las PDU destinadas a esta computadora B
todas a&uellas detectadas por la 4<2 de la computadora en el mismo se(mento de red (es decir"
a&uellas &ue %pasan por' la 4<2 pero &ue no estn destinadas para la computadora).
4ota5 >a captura de las otras PDU depende del dispositi#o intermediario &ue conecta las computadoras
del dispositi#o final en esta red. ;i utiliza diferentes dispositi#os intermediarios (hubs" s$itches" routers)
durante estos cursos" experimentar los diferentes resultados de Wireshark.
$onfi&urar Wireshark para la resoluci!n del nobre de red
Esta opcin le permite controlar si Wireshark traduce a nombres las direcciones de red encontradas en
las PDU. ) pesar de &ue esta es una caracterstica 3til" el proceso de resolucin del nombre puede
a(re(ar ms PDU a sus datos capturados" &ue podran distorsionar el anlisis.
=ambi.n ha! otras confi(uraciones de proceso ! filtrado de captura disponibles.
Ca(a clic en el botn (tart para comenzar el proceso de captura de datos ! una casilla de mensa*es
muestra el pro(reso de este proceso.
)ll contents are 2op!ri(ht 7 899+:+,,9 2isco ;!stems" <nc. )ll ri(hts reser#ed. =his document is 2isco Public <nformation. P(ina D de 88
224) Exploration
)spectos bsicos de net$orkin(5
2omunicacin a tra#.s de la red
>aboratorio +.-.+5
Uso de Wireshark? para #er las unidades de datos del protocolo
/ientras se capturan las PDU" los tipos ! n3meros se indican en la casilla de mensa*es.
>os e*emplos de arriba muestran la captura de un proceso pin( ! lue(o el acceso a una p(ina Web.
;i hace clic en el botn (top% el proceso de captura termina ! se muestra la pantalla principal.
>a #entana de #isualizacin principal de Wireshark tiene tres paneles.
)ll contents are 2op!ri(ht 7 899+:+,,9 2isco ;!stems" <nc. )ll ri(hts reser#ed. =his document is 2isco Public <nformation. P(ina E de 88
224) Exploration
)spectos bsicos de net$orkin(5
2omunicacin a tra#.s de la red
>aboratorio +.-.+5
Uso de Wireshark? para #er las unidades de datos del protocolo
)anel Lista de pa'uetes
)anel *etalles de pa'uetes
)anel +,tes de pa'uetes
El panel de >ista de PDU (o Pa&uete) ubicado en la parte superior del dia(rama muestra un resumen de
cada pa&uete capturado. ;i hace clic en los pa&uetes de este panel" controla lo &ue se muestra en los
otros dos paneles.
El panel de detalles de PDU (o Pa&uete) ubicado en el medio del dia(rama" muestra ms detalladamente
el pa&uete seleccionado en el panel de >ista del pa&uete.
El panel de b!tes de PDU (o pa&uete) ubicado en la parte inferior del dia(rama" muestra los datos reales
(en n3meros hexadecimales &ue representan el binario real) del pa&uete seleccionado en el panel de
>ista del pa&uete ! resalta el campo seleccionado en el panel de Detalles del pa&uete.
2ada lnea en la >ista del pa&uete corresponde a una PDU o pa&uete de los datos capturados.
;i seleccion una lnea en este panel" se mostrarn ms detalles en los paneles %Detalles del pa&uete'
! %F!tes del pa&uete'. El e*emplo de arriba muestra las PDU capturadas cuando se utiliz la utilidad pin(
! cuando se accedi a http566$$$.Wireshark.or(. ;e seleccion el pa&uete n3mero 8 en este panel.
El panel Detalles del pa&uete muestra al pa&uete actual (seleccionado en el panel %>ista de pa&uetes')
de manera ms detallada. Este panel muestra los protocolos ! los campos de protocolo de los pa&uetes
seleccionados. >os protocolos ! los campos del pa&uete se muestran con un rbol &ue se puede
expandir ! colapsar.
El panel F!tes del pa&uete muestra los datos del pa&uete actual (seleccionado en el panel %>ista de
pa&uetes') en lo &ue se conoce como estilo %hexdump'. En esta prctica de laboratorio no se examinar
en detalle este panel. ;in embar(o" cuando se re&uiere un anlisis ms profundo" esta informacin &ue
se muestra es 3til para examinar los #alores binarios ! el contenido de las PDU.
)ll contents are 2op!ri(ht 7 899+:+,,9 2isco ;!stems" <nc. )ll ri(hts reser#ed. =his document is 2isco Public <nformation. P(ina G de 88
224) Exploration
)spectos bsicos de net$orkin(5
2omunicacin a tra#.s de la red
>aboratorio +.-.+5
Uso de Wireshark? para #er las unidades de datos del protocolo
>a informacin capturada para las PDU de datos se puede (uardar en un archi#o. Ese archi#o se puede
abrir en Wireshark para un futuro anlisis sin la necesidad de #ol#er a capturar el mismo trfico de datos.
>a informacin &ue se muestra cuando se abre un archi#o de captura es la misma de la captura ori(inal.
2uando se cierra una pantalla de captura de datos o se sale de Wireshark se le pide &ue (uarde las PDU
capturadas.
;i hace clic en $ontinue -ithout (avin& se cierra el archi#o o se sale de Wireshark sin (uardar los
datos capturados &ue se muestran.
.area /: $aptura de )*U ediante pin&
)aso /: *espu0s de ase&urarse de 'ue la topolo&1a , confi&uraci!n de laboratorio est"ndar son
correctas% inicie Wireshark en un e'uipo en un !dulo de laboratorio.
2onfi(ure las opciones de captura como se describe arriba en la descripcin (eneral e inicie el proceso
de captura.
Desde la lnea de comando del e&uipo" ha(a pin( en la direccin <P de otra red conectada ! encienda
el dispositi#o final en la topolo(a de laboratorio. En este caso" ha(a pin( en Ea(le ;er#er utilizando el
comando pin( /22./63.245.245.
Despu.s de recibir las respuestas exitosas al pin( en la #entana de lnea de comandos" deten(a la
captura del pa&uete.
)aso 2: #6aine el panel Lista de pa'uetes.
El panel >ista de pa&uetes en Wireshark debe #erse ahora parecido a .ste5
Abser#e los pa&uetes de la lista de arriba. 4os interesan los n3meros de pa&uetes -" H" I" 9" 88" 8+" 8E ! 8G.
>ocalice los pa&uetes e&ui#alentes en la lista de pa&uetes de su e&uipo.
)ll contents are 2op!ri(ht 7 899+:+,,9 2isco ;!stems" <nc. )ll ri(hts reser#ed. =his document is 2isco Public <nformation. P(ina - de 88
224) Exploracin
)spectos bsicos de 4et$orkin(5
2omunicacin a tra#.s de la red
>aboratorio +.-.+5
Uso de Wireshark? para #er las unidades de datos del protocolo
;i el usuario realiz el Paso 8 ) de arriba" ha(a coincidir los mensa*es &ue se muestran en la #entana de
lnea de comandos cuando el pin( se e*ecut con los seis pa&uetes capturados por Wireshark.
0esponda lo si(uiente desde la lista de pa&uetes Wireshark5
JKu. protocolo se utiliza por pin(L M<2/P
J2ul es el nombre completo del protocoloL M<nternet control /essa*e ProtocolM
J2ules son los nombres de los dos mensa*es pin(L 0e&uest ! 0epl!
J>as direcciones <P de ori(en ! destino &ue se encuentran en la lista son las &ue esperabaL
JPor &u.L ;i" Por&ue las ip de destino ! recursos &ue aparecen en el pro(rama corresponden a las <p tanto de
destino como de recursos de los dos e&uipos" el &ue hizo el pin( ! el &ue los recibi.

Paso D5 ;eleccione (resalte) con el mouse el primer pa&uete de solicitud de eco en la lista.
El panel de Detalles del pa&uete mostrar ahora al(o parecido a5
; 6 4o
Ca(a clic en cada uno de los cuatro %N' para expandir la informacin.
El panel de Detalles del pa&uete ser ahora al(o parecido a5
)ll contents are 2op!ri(ht 7 899+:+,,9 2isco ;!stems" <nc. )ll ri(hts reser#ed. =his document is 2isco Public <nformation. P(ina H de 88
224) Exploration
)spectos bsicos de net$orkin(5
2omunicacin a tra#.s de la red
>aboratorio +.-.+5
Uso de Wireshark? para #er las unidades de datos del protocolo
2omo puede #er" los detalles de cada seccin ! protocolo se pueden expandir ms. =mese el tiempo
para leer esta informacin. En esta etapa del curso" puede ser &ue no entienda completamente la
informacin &ue se muestra" pero tome nota de la &ue s reconozca.
>ocalice los dos tipos diferentes de %Ari(en' ! %Destino'. JPor &u. ha! dos tiposL
Por el uno es ! emisor ! el otro es receptor.
J2ules son los protocolos &ue estn en la trama de EthernetL
Destination ! ;ource.
;i selecciona una lnea en el panel de Detalles del pa&uete" toda o parte de la informacin en el panel de
F!tes del pa&uete tambi.n &uedar resaltada.
Por e*emplo" si la se(unda lnea (N Ethernet <<) est resaltada en el panel de detalles" el panel de F!tes
resalta ahora los #alores correspondientes.
Esto muestra los #alores binarios particulares &ue representan la informacin de la PDU. En esta etapa
del curso no es necesario entender esta informacin en detalle.
)aso 5: 7a,a al en8 9rchivo , seleccione $errar.
Ca(a clic en $ontinue -ithout (avin& cuando se muestre esta casilla de mensa*e.
.area 2: $aptura de :.) )*U
)aso /: Inicie la captura de pa'uetes.
2onsiderando &ue Wireshark si(ue en funcionamiento desde los pasos anteriores" inicie la captura de
pa&uetes haciendo clic en la opcin Iniciar en el men3 $apture de Wireshark.
<n(rese ftp /22./63.245.245 en la lnea de comandos del e&uipo donde se e*ecuta Wireshark.
2uando se establezca la conexin" in(rese anon,ous como usuario" sin nin(una contraseOa.
<D del usuario5 anon,ous
Pass$ord5 P<4=0AQ
=ambi.n se puede iniciar sesin con id de usuario cisco ! contraseOa cisco.
)ll contents are 2op!ri(ht 7 899+:+,,9 2isco ;!stems" <nc. )ll ri(hts reser#ed. =his document is 2isco Public <nformation. P(ina I de 88
224) Exploration
)spectos bsicos de net$orkin(5
2omunicacin a tra#.s de la red
>aboratorio +.-.+5
Uso de Wireshark? para #er las unidades de datos del protocolo
Una #ez &ue inici sesin con .xito" in(rese &et /pub/eagle_labs/eagle1/chapter1/gaim-
1.5.0.exe ! presione la tecla in(resar P<4=0AQ. 2on esa operacin comenzar la descar(a del
archi#o desde el ser#idor ftp. El resultado ser similar a5
C:\Documents and Settings\ccna1>ftp eagle-server.example.com
Connected to eagle-server.example.com.
220 Welcome to te eagle-server !"# service.
$ser %eagle-server.example.com:%none&&: anonymous
''1 #lease specif( te pass)ord.
#ass)ord:*+,"+->
2'0 .ogin successful.
ftp> get /pu0/eagle1la0s/eagle1/capter1/gaim-1.2.0.exe
200 #3-" command successful. Consider using #4S5.
120 3pening 67,4-8 mode data connection for
pu0/eagle1la0s/eagle1/capter1/gaim-1.2.0.exe %9:9;0;2 0(tes&.
229 !ile send 3<.
ftp: 9:9;0;2 0(tes received in 0.2:Seconds 11;2:.0=<0(tes/sec.
Una #ez &ue la descar(a del archi#o se ha!a completado" in(rese 'uit
ftp> >uit
221 ?ood0(e.
C:\Documents and Settings\ccna1>
Una #ez &ue los archi#os se ha!an descar(ado exitosamente" deten(a la captura PDU en Wireshark.
)aso 2: 9uente el taa;o del panel de Lista de pa'uetes de Wireshark , despl"cese por las
)*U 'ue se encuentren en la lista.
>ocalice ! tome nota de las PDU asociadas con la descar(a del archi#o.
Rstas sern las PDU del protocolo =2P de 2apa E ! del protocolo 1=P de 2apa H.
<dentifi&ue los tres (rupos de PDU asociados con la transferencia del archi#o.
;i realiz el paso de arriba" ha(a coincidir los pa&uetes con los mensa*es ! las indicaciones en la
#entana de lnea de comandos 1=P.
El primer (rupo est asociado con la fase %conexin' ! el inicio de sesin en el ser#idor.
Ca(a una lista de e*emplos de mensa*es intercambiados en esta fase.
0esponse5 ++, ser#SU 1=PS ser#er #+.GE for Winsock read! T
4dl.aasQ ftp U)2VW se&X8 ack G8 $inXDD,H, >enX,
0e&uest5 U;E0 rubo
0esponse5 DD8 user name oka!" need pass$ork
4dl.aasQ ftp U)2VW se&X8+ ack IH $inXDD,DE >enX,
0e&uest5 P);; ,,,,
0esponse5 +D, user lo((et in" proceed
4dl.aasQ ftp U)2VW se&X+D ack 88H $inXDD,,E >enX,

Ca(a una lista de e*emplos de mensa*es intercambiados en la se(unda fase" &ue es el pedido
de descar(a real ! la transferencia de datos.
0e&uest5 4>;=
1=P data5 ++ b!tes
1=P data5 +E, b!tes
El tercer (rupo de PDU est relacionado con el cierre de sesin ! la %desconexin'.
Ca(a una lista de e*emplos de mensa*es intercambiados durante este proceso.
U=2P Windo$s UpdateW net$kpathen(ineQG+-+-U)2VW ;e&5 HD- )2VX9HI, WinXDD8+, >enX,
0e&uest5 KU<=
0esponse5 ++8 @oodb!e
P(ina 9 de 88
224) Exploration
)spectos bsicos de net$orkin(5
2omunicacin a tra#.s de la red
>aboratorio +.-.+5
Uso de Wireshark? para #er las unidades de datos del protocolo
>ocalice los intercambios =2P recurrentes a tra#.s del proceso 1=P. JKu. caracterstica de =2P
<ndica estoL
;e ocupa de hacer un cambio de protocolo al =2P ( =ransmission Protocol 2ontrol) para pasar cierta informacin o
archi#o.
)aso <: #6aine los *etalles del pa'uete.
;eleccione (resalte) un pa&uete de la lista asociada con la primera fase del proceso 1=P.
Abser#e los detalles del pa&uete en el panel de Detalles.
J2ules son los protocolos encapsulados en la tramaL
=2P6<P ! 1=P
0esalte los pa&uetes &ue conten(an el nombre de usuario ! contraseOa.
Examine la porcin resaltada en el panel F!te del pa&uete.
JKu. dice esto sobre la se(uridad de este proceso de inicio de sesin 1=PL
Kue es mu! poco se(uro !a &ue se puede #er el nombre del usuario ! la contrase Oa
0esalte un pa&uete asociado con la se(unda fase.
Desde cual&uier panel" localice el pa&uete &ue conten(a el nombre del archi#o.
El nombre del archi#o es5 0esponse ar(5 openin( );2<< mode data conection for ;$ish/ax.exe (+,9I8H- b!tes)
0esalte un pa&uete &ue conten(a el contenido real del archi#o. Abser#e el texto simple #isible en el
Panel F!te.
0esalte ! examine en los paneles Detalles ! F!teY al(unos de los pa&uetes intercambiados en la tercera
fase de la descar(a del archi#o.
JKu. caractersticas distin(uen al contenido de estos pa&uetesL
2ada pa&uete se diferencia de otro por su n3mero" el cual indica una secuencia.
2uando termine" cierre el archi#o Wireshark ! contin3e sin (uardar.
.area <: $aptura de =..) )*U
)aso /: Inicie la captura de pa'uetes.
2onsiderando &ue Wireshark si(ue en funcionamiento desde los pasos anteriores" inicie la captura de
pa&uetes haciendo clic en la opcin Iniciar en el men3 $aptura de Wireshark.
>ota: ;i se contin3a desde pasos anteriores de esta prctica de laboratorio" no es necesario confi(urar
las opciones de captura.
<nicie un na#e(ador Web en el e&uipo donde e*ecuta Wireshark.
<n(rese el U0> de Ea(le ;er#er e6aple.co o in(rese la direccin <PS89+.8-I.+GE.+GE. Una #ez &ue la
p(ina Web se ha!a descar(ado por completo" deten(a la captura del pa&uete Wireshark.
)ll contents are 2op!ri(ht 7 899+:+,,9 2isco ;!stems" <nc. )ll ri(hts reser#ed. =his document is 2isco Public <nformation. P(ina 8, de 88
224) Exploration
)spectos bsicos de net$orkin(5
2omunicacin a tra#.s de la red
>aboratorio +.-.+5
Uso de Wireshark? para #er las unidades de datos del protocolo
)aso 2: 9uente el taa;o del panel de )acket List de Wireshark , despl"cese por las )*U 'ue
se encuentren en la lista.
>ocalice e identifi&ue los pa&uetes =2P ! C==P asociados con la descar(a de la p(ina Web.
Abser#e el parecido entre este intercambio de mensa*es ! el intercambio 1=P.
)aso <: #n el panel )acket List% resalte un pa'uete =..) 'ue ten&a la notaci!n ?@te6tAhtlBC en la
coluna Inforaci!n.
En el panel Detalles del pa&uete" ha(a clic en %N' al lado de %>ineSbased te6t data: htlC
J2undo esta informacin expande lo &ue se muestraL
MMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMM
Examine la porcin &ue resalt en el panel F!te.
Esto muestra los datos C=/> &ue contiene el pa&uete.
2uando termine" cierre el archi#o Wireshark ! contin3e sin (uardar.
.area 5: Defle6i!n
2onsidere lo &ue puede pro#eer Wireshark sobre la informacin de encapsulacin referida a los datos de
red capturados. 0elacione esto a los modelos de la capa A;< ! =2P6<P. Es importante &ue el usuario
pueda reconocer ! relacionar tanto los protocolos representados como la capa de protocolo ! los tipos
de encapsulacin de los modelos con la informacin pro#ista por Wireshark.
.area 4: *esaf1o
)nalice cmo podra utilizar un analizador de protocolos como Wireshark para5
(8)
e
(+) identificar el trfico de datos en una red re&uerida por los usuarios.
dia(nosticar fallas de una p(ina Web para descar(ar con .xito un na#e(ador en un e&uipo
MMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMM
MMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMM
MMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMM
MMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMM
MMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMM
MMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMM
MMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMM
.area 6: Lipieza
) menos &ue el instructor le indi&ue lo contrario" sal(a de Wireshark ! apa(ue el e&uipo correctamente.
)ll contents are 2op!ri(ht 7 899+:+,,9 2isco ;!stems" <nc. )ll ri(hts reser#ed. =his document is 2isco Public <nformation. P(ina 88 de 88