Anda di halaman 1dari 16

Prctica de Laboratorio Analizadores de Protocolos

Juan David valencia chara


Fabio Nelson Valencia Perez
Duracin: 4 horas.
Objetivos:
Familiarizar al alumno con el uso de un analizador de protocolos como herramienta de
anlisis y diagnstico de problemas en redes TCP/IP. Profundizar en el conocimiento de
algunos protocolos de la arquitectura TCP/IP como ARP, IP, ICMP, TCP, HTTP o DNS, y
en el manejo y comprensin de algunas utilidades como ping y traceroute.
Requisitos: Conocimientos bsicos de TCP/IP, ARP e ICMP.
Resultados: Cada alumno o grupo de alumnos deber entregar una memoria con los
resultados de la prctica rellenando los recuadros dispuestos a tal efecto.
1. Fundamentos
Para el desarrollo de la prctica se utilizar el analizador de protocolos Ethereal, de
libre distribucin.
Arranque el analizador de protocolos (Men Inicio / Todos los programas / Ethereal /
Ethereal). Observar una ventana dividida en tres zonas; en cada una de ellas se
muestran los paquetes capturados con distinto nivel de detalle:
En la zona superior se presenta una lnea por cada trama capturada con un resumen
de sus contenidos: bsicamente un nmero de secuencia, el instante de captura (por
defecto, relativo al inicio de la captura), origen y destino, protocolo ms alto de los
detectados, e informacin relativa al protocolo concreto (por ejemplo, en caso de ser
un paquete ICMP, puede identificar que se trata de una peticin de eco). Tambin es
posible aadir otras columnas para visualizar ms informacin de cada trama, aunque
esto no ser necesario en la prctica. Esta zona es el sitio indicado para observar qu
secuencia de mensajes ha tenido lugar a grandes rasgos en una comunicacin.
Seleccionando una trama en esta seccin superior se muestra informacin ms
detallada sobre la misma en las otras dos zonas.
En la zona central se puede ver los valores de los campos de las distintas cabeceras
detectadas en la trama, comenzando por la cabecera del nivel de enlace (por ejemplo,
Ethernet), de una manera fcilmente legible, en forma de rbol de informacin. ste es
un buen sitio para buscar, por ejemplo, qu valor tiene el campo TTL de la cabecera IP
de un datagrama determinado.
Finalmente, en la zona inferior se ofrece el valor de cada octeto de la trama
capturada, escrito en notacin hexadecimal, lo que permite analizar los contenidos del
paquete que no han sido decodificados en las secciones menos detalladas.

En caso de querer guardar una captura para analizarla ms adelante, se puede hacer
mediante el men File / Save As..., pudiendo elegir entre guardar todas las tramas
capturadas, slo las que se muestran (por ejemplo, si se ha aplicado un filtro de
visualizacin), o slo las marcadas (en caso de haber marcado algunas tramas).
Tambin se puede seleccionar el formato del archivo (por ejemplo, libpcap).
Posteriormente, mediante File / Open... es posible abrir cualquier archivo de captura
previamente guardado.
La documentacin del analizador se encuentra accesible en Men Inicio / Todos los
programas / Ethereal / Ethereal Documentation.
En ocasiones le ser necesario conocer algunos parmetros de red de su propia
mquina. Para ello, debe ejecutar la orden ipconfig /all en una ventana del Smbolo
del sistema (Men Inicio de Windows / Programas / Accesorios / Smbolo del sistema).
Escriba los parmetros de red de su propia mquina:
Direccin Ethernet (fsica):AC-72-89-87-95-6A
Direccin IP:192.168.1.2
Mscara de subred:255.255.255.0
Router (puerta de enlace) predeterminado:192.168.1.1
Servidor(es) de DNS predeterminado(s):200.21.200.80

200.21.200.10

2. Ping a una mquina interna


En este apartado se va a analizar la secuencia de acciones que tiene lugar a
consecuencia de la ejecucin de la aplicacin ping en una mquina, siendo el objetivo
una mquina de la misma subred. Siga de manera ordenada los pasos que se detallan
a continuacin:
Abra una ventana de opciones de captura en el analizador: men Capture / Start...
(o directamente mediante Ctrl+K) y aplique las siguientes opciones (sin hacer clic en
OK an):
o Seleccione la interfaz sobre la que se desea capturar trfico en la casilla
Interface.
o Deshabilite Capture packet in promiscuous mode (de manera que slo se
capturar el trfico Ethernet con origen o destino esta mquina, adems del
trfico difusivo).
o Deshabilite igualmente Enable MAC name resolution, Enable network name
resolution y Enable transport name resolution, de manera que el analizador
no intente resolver direcciones a nombres (para evitar que se genere y capture
ms trfico debido a esto).
En la figura que sigue se puede observar las posibilidades que ofrece la ventana de
opciones de captura:

Averige la direccin IP de una mquina de su misma subred que no sea el router


(por ejemplo, desde una ventana de Smbolo del sistema, realice un ping
[mquina]al nombre de la mquina elegida y anote la direccin IP que le
corresponde).
Escriba la direccin IP de la mquina a la que hace el ping:

Desde una ventana de Smbolo del sistema observe el estado de la tabla ARP de su
PC. Para ello ejecute la orden arp -a. En caso de no estar vaca, borre todas las
entradas presentes ejecutando la orden arp -d. Tras hacerlo, compruebe que
efectivamente ahora la tabla est vaca (mediante arp -a).

Arranque una captura en el analizador (botn OK de la ventana de opciones de


captura). Se abrir una nueva ventana de captura que muestra algunas estadsticas.
Ejecute la orden ping a la direccin IP (no al nombre) de la mquina elegida y
espere las cuatro respuestas.
Pare la captura (botn Stop de la ventana de captura).
Observe qu entradas han aparecido en su tabla de ARP. Cunto tiempo tardan en
borrarse aproximadamente? (para averiguarlo, teclee cada pocos segundos la orden
arp -a hasta que la(s) entrada(s) relacionada(s) con el ping hayan desaparecido).
Entradas que han aparecido en la tabla ARP, y por qu ha aparecido cada una:

Entradas:
Router (puerta de enlace) predeterminado:192.168.1.1
Direccin IP al equipo que se realiz el ping :192.168.1.8
Direccin de broadcast:192.168.1.255

Tiempo aproximado que tardan en borrarse la(s) entrada(s):

El tiempo que tarda en borrarse es de 2 minutos, si se continua usndose el tiempo


mximo es de 10 minutos.

Vaya a la ventana principal del analizador. De las tramas capturadas debe distinguir
aqullas que se han visto implicadas en todo el proceso (desde la ejecucin de la orden
ping en el PC hasta la recepcin de las respuestas de la otra mquina; no sern
nicamente paquetes ICMP). Dibuje en un diagrama las tramas que han intervenido,
por su orden, junto con informacin sobre el protocolo al que pertenecen y su
propsito. Puede identificar qu informacin ha decidido introducir su mquina en el
campo de datos de las peticiones de eco?

3. Ping a una mquina externa


En este caso se va a ejecutar un ping de manera muy similar al apartado anterior,
pero a una mquina no perteneciente a la subred. Los pasos a seguir son, por este
orden:
Abra una ventana de opciones de captura en el analizador.
Elija el nombre (no la direccin IP) de una mquina externa a su subred y realice un
ping para asegurarse de que contesta al mismo (por ejemplo, puede intentarlo con
www.i2comm.org o con cualquier otra).
Asegrese de vaciar a continuacin la cach de DNS de la mquina, mediante la
orden ipconfig /flushdns.
Asegrese tambin de que la tabla ARP de su PC est vaca, de la manera descrita
anteriormente.

Arranque la captura.
Ejecute la orden ping en su mquina utilizando el nombre (no la direccin IP) de la
mquina elegida, y espere las cuatro respuestas.
Pare la captura.
Qu entradas han aparecido en este caso en la tabla ARP?
Entradas que han aparecido en la tabla ARP, y por qu ha aparecido cada una:

Entradas:
- Router (puerta de enlace) predeterminado:192.168.1.1
-Direccion de broadcast: 192.168.1.255
- Mascara de sud-red:239.255.255.250
Ya que el router vendra ciendo como una interfaz entre la pc y los servicios de internet que
este presta
Vaya a la ventana principal del analizador y localice las diferencias entre los
procedimientos seguidos en el caso anterior y ste. A qu se deben?
Resuma y justifique las diferencias entre los acontecimientos que tienen lugar
en este caso y en el caso del apartado anterior:

Entradas:
- Direccin IP del pc:192.168.1.2
-Direccin IP a la cual se a hecho el ping:74.125.141.105
-Servidor(es) de DNS predeterminado(s):200.21.200.80
-nombre pgina web a la cual se la ha hecho el ping:www.google.com
Una de las principales diferencias entre el procedimiento anterior y este es:
- En el procedimiento anterior se hace ping directamente con una mquina de
la misma sub-red, por ende en el analizador de protocolos podemos ver cmo
se llev a cabo todo de este procedimiento (informacin de los protocolos). Y
entre que equipos se llev a cabo todo esta conversacin.
-En el procedimiento actual se hace un ping pero con una pgina web, por
ende podemos observar en el analizador de protocolos informacin detallada
de la operacin realizada. Podemos saber a qu pgina web se hico el ping,
direccin a la cual se realiz el ping, informacin de los protocolos que
interviene en el proceso (DNS).

4. Traceroute
Ahora se va a observar qu tipo de tramas ICMP entran en juego al ejecutar una
aplicacin tpica de traceroute. Para ello, en este orden:
Abra una ventana de opciones de captura en el analizador.
Arranque una captura de trfico.
En una ventana de Smbolo del sistema ejecute la aplicacin traceroute (la orden es
tracert [direccin-o-nombre] utilizando el nombre www.upm.es. Espere hasta su
conclusin.

Pare la captura.
Vaya a la ventana principal del analizador y observe qu paquetes ICMP (no tenga en
Cuenta el resto de protocolos) se han generado como consecuencia de la ejecucin del
traceroute: entre qu mquinas, y de qu tipo.

Nota: para esto puede resultar muy til la utilizacin de un filtro de visualizacin, que
selecciona, de entre todas las tramas capturadas, aqullas que coinciden con el criterio
especificado (y no muestra el resto). En este caso, es til seleccionar las tramas en las
que se ha detectado el protocolo ICMP. Para ello, escriba en la casilla inferior izquierda
(sealada por Filter:) la palabra icmp (sin las comillas) y aplique el filtro (Apply).
Recuerde que para volver a visualizar todas las tramas debe pulsar el botn Reset.
Resumen de los paquetes ICMP observados (entre qu mquinas, de qu
tipo):

En la imagen anterior podemos observar que se a generados paquetes ICMP


entre:
-Direccin IP maquina:192.168.1.2 & direccin IP pgina wed:157.55.152.112
-IP Router:192.168.1.1 & Direccin IP del equipo:192.168.1.2

A la vista de los resultados, describa de manera resumida qu procedimiento utiliza


la aplicacin traceroute para ir averiguando el camino que siguen los datagramas
desde la mquina en que se ejecuta la orden hasta el destino especificado.
Describa brevemente el procedimiento que utiliza la aplicacin traceroute:

Indique si con el comando ping se puede obtener la misma informacin de la ruta a


un destino (al ejecutar ping en la ventana de Smbolo del sistema se proporcionan

todos los parmetros que se pueden usar). En caso afirmativo, describa la forma en
que se hara.
Existen otras posibilidades de obtener la ruta a una mquina, usando el
comando ping? En caso afirmativo, descrbalas brevemente:
Cuando utilizamos el comando ping nos genera una serie de opciones, Dentro
de esas opciones podemos tener acceso Ruta de origen y direccin de origen
pero no del destino. Para obtener dicha informacin se realizara de la
siguiente manera.
En el smbolo del sistema escribimos el siguiente comando:
Ping s: donde nos genera la direccin de origen que se desea usar

5. Descarga de un archivo
En este apartado se llevar a cabo la descarga de un archivo relativamente voluminoso
con un navegador web para observar la velocidad de descarga en funcin del tiempo.
Borre el filtro de visualizacin que defini en el apartado anterior.
Abra una ventana de opciones de captura en el analizador.
En este caso se va a definir un filtro de captura (casilla sealada por Filter: en la
ventana de opciones de captura). Un filtro de captura, a diferencia de uno de
visualizacin, impide que se capture el trfico que no coincida con el criterio
seleccionado. De esta manera, posteriormente slo se podr analizar el trfico que este
filtro haya permitido capturar. En este caso estamos interesados en capturar todo el
trfico TCP que tenga origen o destino (a nivel IP) en nuestra mquina. Para ello, en la
casilla destinada al filtro de captura, teclee lo siguiente (sustituyendo la direccin de
ejemplo 10.0.0.1 por la de su mquina):
ip proto \tcp and ip host 10.0.0.1
Abra un navegador web y desactive la utilizacin de un servidor proxy si es
necesario. En el caso del navegador Internet Explorer de Microsoft, se hace mediante
Herramientas / Opciones de Internet / Conexiones / Configuracin de LAN...,
desactivando la casilla Utilizar un servidor proxy para su LAN, aceptando el cambio.
Arranque una captura.
Descargue con el navegador un archivo de algunos cientos de kilobytes para provocar
el establecimiento de una conexin TCP de varios segundos de duracin. Como
sugerencias, puede probar con:
o http://www.ietf.org/iesg/1rfc_index.txt
o http://sunsite.utk.edu/ftp/usr-218-2/iesg/1rfc_index.txt
o http://public.www.planetmirror.com/pub/ietf/iesg/1rfc_index.txt
Cuando se haya terminado de descargar el archivo, pare la captura (Stop).

Localice entre los paquetes mostrados por pantalla uno que pertenezca a la conexin
TCP por la que se ha transferido el archivo y que haya viajado desde el servidor a su
ordenador. Si ha descargado un archivo de texto, uno de estos paquetes es fcilmente
identificable observando cmo en los datos HTTP del paquete se puede leer parte del
contenido del archivo (seccin inferior de la ventana del analizador, parte derecha).
Seleccione este paquete y posteriormente elija Tools / TCP Stream Analysis /
Throughput Graph para representar la velocidad a la que ha sido transferido el archivo
en cada intervalo. Observe la grfica que se genera y conteste a las siguientes
preguntas. Es constante la velocidad a la que se ha transferido el archivo? De su
conocimiento del funcionamiento del protocolo TCP, puede explicar por qu lo es / no
lo es?
Es constante la velocidad a la que se ha transferido el archivo? Por qu?

Donde se puede observar la grfica de este paquete

Podemos observar que la grfica es constante, por ende la velocidad a la que


se a trasferido el archivo a sido constante
6. Estadsticas de trfico Web
En esta ocasin, mediante la captura de trfico de navegacin web, se introducirn
algunas posibilidades del analizador a la hora de extraer estadsticas.

Abra una ventana de opciones de captura en el analizador y mantenga el filtro de


captura definido en el apartado anterior. Arranque una captura.
Visite con un navegador web varias pginas de un portal de Internet.
Pare la captura.
Abra la herramienta que permite ver estadsticas de entrada/salida: Tools / Statistics
/ IO / IO-Stat. Observar una ventana con un grfico que por defecto muestra, para
todo el trfico capturado, el nmero de tramas por intervalo. Es posible mostrar varios
grficos con distintos colores, cada uno asociado a un filtro (de manera que se
representen los valores del trfico que coincide con el filtro), as como mostrar otros
tipos de estadsticas (como nmero de octetos por intervalo, por ejemplo). Elija el
modo avanzado de estadsticas mediante la seleccin de advanced... en el botn
marcado como Unit:. (En caso de aparecer una ventana de aviso Ethereal: Warning,
ignrela pulsando OK). La ventana adquirir el aspecto que se muestra en la figura
siguiente, con una fila por cada grfico que se puede definir, adems de un conjunto de
controles genricos a la derecha. En la figura se indica la funcionalidad de las distintas
secciones.

Se quiere representar por separado el trfico de entrada y el de salida de nuestra


mquina. Para ello escriba, en las casillas de definicin de los dos primeros filtros, lo
siguiente (sustituya 10.0.0.1 por la direccin IP de su mquina):
ip.dst==10.0.0.1 and frame.pkt_len (trfico de entrada)
ip.src==10.0.0.1 and frame.pkt_len (trfico de salida)
En el botn marcado como Unit: seleccione bytes/tick, de manera que se muestre
en los grficos la cantidad de octetos total transferida en cada sentido durante cada
intervalo. Nota: como caba esperar, al cambiar del modo advanced al de bytes/tick,

desaparecen de la ventana las columnas dedicadas a la especificacin de los clculos


avanzados.
Active la visualizacin de los dos primeros grficos y describa las diferencias
encontradas entre ambos.
(Existe un sentido en el que se observe una mayor transferencia de
informacin en general? Si es as, cul? por qu?).
Packets/Tick

Bytes/Tick

Nota: si lo precisa, puede ajustar los valores del tiempo de intervalo (Tick Interval) y
el nmero de pixels que ocupa cada intervalo en el grfico (Pixels Per Tick) de
manera que observe los grficos con una escala adecuada.
Respecto de la cantidad de octetos total intercambiada en cada sentido por
intervalo: hay un sentido en el que se observe una mayor transferencia de
informacin en general? Justifique la respuesta

Cambie de nuevo el valor del botn Unit: a frames/tick de manera que se


muestre el nmero de tramas transferidas en cada sentido durante cada intervalo, y
visualice los dos primeros grficos de nuevo. Comente lo que observa, comparndolo
con el caso anterior. Respecto del nmero de tramas transferidas en cada sentido por
intervalo: hay un sentido en el que en general se observe un mayor nmero de
tramas? Justifique la respuesta
Vuelva al modo advanced... con el botn Unit: para realizar clculos ms
avanzados. Los clculos se harn sobre la longitud de las tramas capturadas en

octetos. En consecuencia, en las dos primeras casillas dnde se escribe la variable


sobre la que hacer los clculos, teclee lo siguiente:
frame.pkt_len
En cuanto al tipo de clculo, seleccione MAX (tamao mximo de las tramas por
intervalo en ambos y visualice los dos grficos. Repita esta operacin seleccionando el
clculo AVG (tamao medio de las tramas por intervalo). Comente las diferencias
encontradas para ambos sentidos de transmisin y la explicacin de las mismas.
Respecto de los tamaos mximo y medio de las tramas transferidas en cada
sentido por intervalo: hay un sentido en el que en general se observen
tamaos mayores? Justifique la respuesta

Visualizacin de estadsticas en tiempo real (ejercicio opcional) Las estadsticas que


muestra la herramienta IO-Stat se pueden observar en tiempo real (de manera
simultnea con la captura de trfico), al igual que la descodificacin de tramas en la
ventana principal. Para ello, en la ventana de opciones de captura, se deben activar las
opciones Update list of packets in real time y Automatic scrolling in live capture.
Una vez arrancada la captura, las tramas capturadas irn siendo mostradas de manera
inmediata en la ventana del analizador. Si posteriormente se abre la herramienta de
estadsticas de entrada/salida, se pueden observar los grficos de estadsticas
generndose conforme se captura trfico. Esto es compatible con la definicin de
diversos filtros y distintos tipos de estadsticas o clculos, tal y como se ha explicado
anteriormente. Como ejercicio opcional, se propone experimentar con esta posibilidad,
observando en tiempo real cmo vara la tasa binaria de entrada y/o salida cuando se
descarga el archivo del apartado 5, o cuando se navega por web como en este
apartado. Vare los valores del tiempo por intervalo y de pxeles por intervalo para
observar la influencia que tiene sobre el aspecto de las grficas el hecho de extraer
estadsticas por intervalos mayores o menores.
7. Fragmentacin de datagramas IP
A continuacin se va a experimentar con el mecanismo de fragmentacin de
datagramas IP. Para ello, siga los siguientes pasos:
Arranque una captura.
Ejecute en una ventana de Smbolo del sistema la siguiente orden: ping -l 2500
[mquina], sustituyendo [mquina] por la direccin IP o el nombre del equipo al que
hizo ping en el apartado 2. Espere las respuestas de la mquina remota.
Pare la captura y observe la decodificacin de los mensajes intercambiados entre los
dos equipos. En este caso puede ser til la utilizacin del siguiente filtro de

visualizacin (sustituya 10.0.0.1 por la direccin IP de su mquina), para mostrar


slo el trfico con origen o destino su mquina:
ip.addr==10.0.0.1
Observe cmo los paquetes IP que transportaban las peticiones de eco han sido
fragmentados. En cuntos fragmentos, y de qu longitud cada uno (incluyendo la
cabecera IP)? Por qu se ha producido fragmentacin IP?
Nota: el valor de MTU de una subred de tipo Ethernet es 1500 octetos.
Nota: observe que para saber si dos fragmentos han surgido del mismo datagrama
original puede ser til observar el campo de identificacin (Identification) en la
cabecera IP.
Nmero de fragmentos de los paquetes IP con las peticiones de eco:

Longitud de cada fragmento (incluyendo cabecera IP):

Por qu se ha producido fragmentacin?

Han sido tambin fragmentados los paquetes IP que transportaban las respuestas
de eco? por qu?
Se han fragmentado tambin los paquetes con las respuestas de eco? Por
qu?

De lo observado con el analizador:concretamente qu longitud se est fijando a


2500 octetos al utilizar la opcin -l 2500 de la orden ping?

Qu longitud queda fijada con la opcin -l de la orden ping?

Teniendo en cuenta el valor de MTU de una subred Ethernet, as como su respuesta


del apartado anterior, calcule cul es el valor mximo a proporcionar mediante la
opcin -l [valor] para que no se fragmenten los datagramas IP que transportan las
peticiones de eco. Puede verificar la correccin de su clculo utilizando la opcin -f de
la orden ping (combinada con -l [valor]), o haciendo uso del analizador de protocolos
de manera anloga a lo visto en este apartado.
Valor mximo a proporcionar con la opcin -l para evitar fragmentacin: