Capa de Transporte, protocolos TCP y UDP y Wireshark

Topologa

Objetivos
Parte 1: Registrar la informacin de configuracin IP de una PC.
Parte 2: Utilizar el comando Netstat y sus opciones para ver trafico TCP y UDP (Puertos).
Parte 3: Utilizar el comando Netstat para identificar trafico TCP.
Parte 4: Utilizar Wireshark para capturar consultas y respuestas TCP.
Parte 5: Analizar los paquetes TCP capturados.
Parte 6: Utilizar Wireshark para capturar consultas y respuestas DNS.
Parte 7: Analizar los paquetes DNS o UDP capturados.

Informacin bsica/Situacin
El nivel de transporte o capa de transporte es el cuarto nivel del modelo OSI encargado de la
transferencia libre de errores de los datos entre el emisor y el receptor, aunque no estn directamente
conectados, as como de mantener el flujo de la red. Es la base de toda la jerarqua de protocolo. La tarea de
esta capa es proporcionar un transporte de datos confiable y econmico de la mquina de origen a la
mquina destino, independientemente de la red de redes fsica en uno. Sin la capa transporte, el concepto
total de los protocolos en capas tendra poco sentido.

CAPA DE TRANSPORTE

Se encarga de la confiabilidad, control de Flujo y manejo de Puertos o Sockets

TCP (Transmission Control Protocola) UDP (User Datagram Protocol)

Orientado a Conexin y confiabilidad. Maneja Orientado a velocidad, no hay secuencia
Secuencia de Datos.

HTTP (80), FTP (20,21), Telnet (23), POP3 (110), DNS (53), TFTP (69), SNMP (161)
SSH (22), SMTP (25)

Si alguna vez us Internet, us el Sistema de nombres de dominios (DNS). El DNS es una red distribuida de
servidores que traduce nombres de dominio fciles de usar, como www.google.com, en una direccin IP.
Cuando escribe el URL de un sitio Web en el explorador, la PC realiza una consulta DNS a la direccin IP del
servidor DNS. La consulta del servidor DNS de la PC y la respuesta del servidor DNS utilizan el protocolo de

Pgina 1 de 14
 datagramas de usuario (UDP) como el protocolo de la capa de transporte. UDP opera sin conexin y no
requiere una configuracin de sesin como TCP. Las consultas y respuestas DNS son muy pequeas y no
requieren la sobrecarga de TCP.
En esta prctica de laboratorio, se comunicar con un servidor DNS enviando una consulta DNS mediante el
protocolo de transporte UDP. Utilizar Wireshark para examinar los intercambios de consultas y respuestas
DNS con el servidor de nombres.
Tambin observara que puertos y como su PC se comunica con protocolos como FTP y Telnet por medio del
protocolo de la capa de transporte TCP.
Adems lograra comprender el uso de Netstat que es una abreviacin de la utilidad (network statistics)
estadsticas de la red, que est disponible tanto en Windows como en Linux, referente a sistemas operativos.
Esta utilidad o comando tiene opciones para filtrar o extraer la informacin que se necesita por el usuario.
Muestra las conexiones de entrada y salida TCP y UDP, adems de las estadsticas y tablas de enrutamiento.

Recursos necesarios.
1 PC (Windows 7, Vista o XP con acceso al smbolo del sistema, acceso a Internet y Wireshark instalado)

Parte 1: Registrar la informacin de configuracin IP de la PC.

En la parte 1, utilizar el comando ipconfig /all en la PC local para buscar y registrar las direcciones MAC e
IP de la tarjeta de interfaz de red (NIC) de la PC, la direccin IP del gateway predeterminado especificado y la
direccin IP del servidor DNS especificada para la PC. Registre esta informacin en la tabla proporcionada.
La informacin se utilizar en las partes siguientes de esta prctica de laboratorio con anlisis de paquetes.

Direccin IP
Direccin MAC
Direccin IP de la puerta de enlace predeterminada
Direccin IP del servidor DNS

Parte 2: Explicar los parmetros u opciones comunes de netstat.

a. Abra una terminal de comandos de Windows.

Pgina 2 de 14
b. Para desplegar informacin sobre las opciones de parmetros de Netstat use /?
C:\> netstat /? <ENTER>
c. Use la salida de C:\> netstat /? <ENTER> para llenar el siguiente cuadro:

Opcin Descripcin Description

Display all connections and listening ports.
Muestra todas las conexiones y puertos que
escuchan.
Muestra direcciones y nmeros de puerto en
Display addresses and port numbers in
forma numrica.
numerical Form.
Vuelve a mostrar estadsticas cada cinco Redisplay statistics every five seconds. Press
segundos. CTRL+C to stop redisplaying statistics
Presione CONTROL+C para detener la
nueva visualizacin de las estadsticas.
Muestra conexiones para el protocolo Shows connections for the protocol specified
especificadas por protocolo. El protocolo by proto; proto may be any of: TCP, UDP,
puede ser cualquiera de los siguientes: TCP, TCPv6, or UDPv6. If used with the s option to
UDP, TCPv6, o UDPv6. Si se usa con la
display per-protocol statistics, proto may be
opcin s para mostrar estadsticas por
protocolo, el protocolo puede ser cualquiera any of: IP, IPv6, ICMP, ICMPv6, TCP, TCPv6,
de los siguientes: UDP, or UDPv6.
IP, IPv6, ICMP, ICMPv6, TCP, TCPv6, UDP, o
UDPv6.

Vuelve a mostrar todas las conexiones y

Redisplay all connections and listening ports
puertos que escuchan cada 30 segundos.
every 30 seconds.
Muestra slo las conexiones abiertas. ste
Display only open connections. This is a tricky
es un problema complicado.
problem

Pgina 3 de 14
 Cuando se muestran estadsticas netstat para conexiones TCP, tambin se muestra el estado TCP.
Durante la conexin TCP, la conexin atraviesa por una serie de estados. La siguiente tabla es un
resumen de los estados TCP desde RFC 793, Transmission Control Protocol, septiembre de 1981, tal
como lo inform netstat:

Estado State Descripcin de la conexin

ESCUCHAR LISTEN
La conexin local est a la espera de un pedido de conexin de
parte de cualquier dispositivo remoto.
ESTABLECIDA ESTABLISHED La conexin est abierta y se pueden intercambiar datos a travs
de la conexin. ste es el estado normal para la fase de
transferencia de datos de la conexin.
TIEMPO-ESPERA TIME-WAIT La conexin local est esperando un perodo de tiempo
predeterminado despus de enviar un pedido de finalizacin de
conexin antes de cerrar la conexin. sta es una condicin normal
y generalmente dura entre 30 y 120 segundos.
CERRAR-ESPERA CLOSE-WAIT
La conexin se cerr pero sigue esperando un pedido de
finalizacin por parte del usuario local.
SYN-ENVIADA SYN-SENT La conexin local espera una respuesta despus de enviar un
pedido de conexin. La conexin debe transitar rpidamente por
este estado.
SYN_RECIBIDA SYN_RECEIVED
La conexin local espera un acuse de recibo que confirme su
pedido de conexin. La conexin debe transitar rpidamente por
este estado.
Conexiones mltiples en el estado SYN_RECIBIDO pueden indicar
un ataque TCP SYN.

Utilice netstat para ver conexiones existentes.

d. Desde la ventana Terminal en Tarea 1, arriba, ejecute el comando netstat a:

C:\> netstat a <INTRO>

e. Se mostrar una tabla que lista el protocolo (TCP y UDP), direccin local, direccin remota e informacin
sobre el estado. All tambin figuran las direcciones y los protocolos que se pueden traducir a nombres.
La opcin n obliga a netstat a mostrar el resultado en formato bruto desde la ventana Terminal, ejecute el
comando netstat an:

C:\> netstat an <INTRO>

Pgina 4 de 14
 f. Utilice la barra de desplazamiento vertical de la ventana para desplazarse hacia atrs y adelante entre los
resultados de los dos comandos. Compare los resultados, note cmo los nmeros de puertos bien
conocidos cambiaron por nombres.

g. Anote tres conexiones TCP y tres UDP del resultado de netstat a y los nmeros de puertos traducidos
correspondientes del resultado de netstat an. Si hay menos de tres conexiones que se traducen,
antelo en la tabla.

Conexin Protocolo Direccin Local Direccin Extranjera Estado

Parte 3: Utilizar netstat para identificar trafico TCP.

a. Abra 3 ventanas de comandos de Windows.

Pgina 5 de 14
b. En la primera ventana de comandos escriba ftp ftp.cdc.gov . En la peticin de entrada que indica User
(ftp.cdc.gov:(none)): escriba anonymous. Para la contrasea, no escriba nada. Presione Entrar para
iniciar sesin como usuario annimo.

c. En la segunda ventana de comandos escriba telnet towel.blinkenlights.nl. En esta parte de la practica

hara una conexin telnet hacia un servidor remoto que le mostrara parte de la pelicula STAR WARS en
texto plano y codigo ASCII.

Pgina 6 de 14
d. En la tercera ventana de comando escriba netstat an y busque las direcciones IP 198.246.112.54:21 y
94.142.241.111:23 de las conexiones TCP.

e. Anote todos los datos de la salida

Pgina 7 de 14
Parte 4: Utilizar Wireshark para capturar consultas y respuestas TCP. a.

Inicie el Wireshark en la interfaz correcta.

b. Empieze a
filtar el protocolo Telnet.

c. Haga clic en el botn Inicio de Windows, escriba cmd en el campo de bsqueda y presione Entrar para
abrir una ventana de comandos.
d. En la peticin de entrada C:\>, escriba telnet towel.blinkenlights.nl. En esta parte de la practica hara una
conexin telnet hacia un servidor remoto que le mostrara parte de la pelicula STAR WARS en texto plano y
codigo ASCII.

Pgina 8 de 14
e. Observe en la parte media del Sniffer (Wireshark) y note que este protocolo Telnet, trabaja con el
protocolo TCP (Transmission Control Protocol) .

f. De acuerdo a lo capturado en el wireshark y el filtrado responda .

Cul es el nmero de puerto de origen TCP? ___________________________
Cmo clasificara el puerto de origen? ________________________________
Cul es el nmero de puerto de destino TCP? __________________________
Cmo clasificara el puerto de destino? _______________________________

g. Empiece a filtar el protocolo FTP.

Pgina 9 de 14
h. Haga clic en el botn Inicio de Windows, escriba cmd en el campo de bsqueda y presione Entrar para
abrir una ventana de comandos.
i. En la peticin de entrada C:\>, escriba ftp ftp.cdc.gov. En la peticin de entrada que indica User
(ftp.cdc.gov:(none)): escriba anonymous. Para la contrasea, no escriba nada. Presione Entrar para
iniciar sesin como usuario annimo.

j. Observe en la parte media del Sniffer (Wireshark) y note que este protocolo FTP, trabaja con el protocolo
TCP (Transmission Control Protocol).

k. De acuerdo a lo capturado en el wireshark y el filtrado responda.

Cul es el nmero de puerto de origen TCP? ___________________________
Cmo clasificara el puerto de origen? ________________________________
Cul es el nmero de puerto de destino TCP? __________________________
Cmo clasificara el puerto de destino? _______________________________

Pgina 10 de 14
Parte 5: Analizar los paquetes TCP capturados.
a. Las direcciones IP de FTP y TELNET son las mismas en la informacin sacada de la salida Netstat y
Wireshark?
__________________________________________________________________________________ b.
Entonces:

Direccion IP del servidor FTP: ______________________

Direccion IP del servidor Telnet: ________________________

Parte 6: Utilizar Wireshark para capturar consultas y respuestas DNS

En la parte 6, configurar Wireshark para capturar paquetes de consultas y respuestas DNS para demostrar el
uso del protocolo de transporte UDP mientras se comunica con un servidor DNS.
a. Seleccione una interfaz para que Wireshark capture paquetes. Utilice Interface List (Lista de interfaces)
para elegir la interfaz asociada a las direcciones IP y de control de acceso al medio (MAC) registradas de la
PC en la parte 1.
b. Despus de seleccionar la interfaz deseada, haga clic en Start (Comenzar) para capturar los paquetes.
c. Abra un explorador Web y escriba www.google.com. Presione Entrar para continuar.
d. Haga clic en Stop (Detener) para detener la captura de Wireshark cuando vea la pgina de inicio de
Google.

Pgina 11 de 14
 Parte 7:
Analizar los paquetes DNS o UDP capturados
En la parte 7, examinar los paquetes UDP que se generaron al comunicarse con un servidor DNS para las
direcciones IP para www.google.com.

Paso 1: Filtrar paquetes DNS

a. En la ventana principal de Wireshark, escriba dns en el rea de entrada de la barra de herramientas
Filter (Filtrar). Haga clic en Apply (Aplicar) o presione Entrar.
Nota: si no ve resultados despus de aplicar el filtro DNS, cierre el explorador Web y, en la ventana del
smbolo del sistema, escriba ipconfig /flushdns para eliminar todos los resultados anteriores del DNS.
Reinicie la captura de Wireshark y repita las instrucciones de la parte 2b a la parte 2e. Si el problema no
se resuelve, en la ventana del smbolo del sistema, puede escribir nslookup www.google.com como
alternativa para el explorador Web.

Pgina 12 de 17
 b. En el panel de la lista de paquetes (seccin superior) de la ventana principal, ubique el paquete que
incluye standard query (consulta estndar) y A www.google.com. Vea la trama 4, por ejemplo.

Paso 2: Examinar el segmento UDP mediante una consulta DNS

Examine UDP mediante una consulta DNS para www.google.com segn lo capturado por Wireshark. En este
ejemplo, est seleccionada la trama 4 de la captura de Wireshark en la lista de paquetes para su anlisis.
Los protocolos en esta consulta se muestran en el panel de detalles del paquete (seccin media) de la
ventana principal. Las entradas del protocolo estn resaltadas en gris.

a. En el panel de detalles del paquete, la trama 4 tena 74 bytes de datos en el cable, tal como se muestra
en la primera lnea. Esta es la cantidad de bytes para enviar una consulta DNS a un servidor de nombres
que solicita direcciones IP de www.google.com.
b. En la lnea Ethernet II, se muestran las direcciones MAC de origen y destino. La direccin MAC de origen
proviene de la PC local, ya que esta origin la consulta DNS. La direccin MAC de destino proviene del
gateway predeterminado, dado que esta es la ltima parada antes de que la consulta abandone la red
local.
La direccin MAC de origen es la misma que la que se registr en la parte 1 para la PC local?
_________________
c. En la lnea Internet Protocol Version 4 (Protocolo de Internet versin 4), la captura de Wireshark de
paquetes IP indica que la direccin IP de origen de esta consulta DNS es 192.168.1.11 y la direccin IP
de destino es 192.168.1.1. En este ejemplo, la direccin de destino es el gateway predeterminado. El
router es el gateway predeterminado en esta red.
Puede emparejar las direcciones IP y MAC para los dispositivos de origen y destino de su captura?

Dispositivo Direccin IP Direccin MAC

PC local

Gateway
predeterminado
El paquete y el encabezado IP encapsulan el segmento UDP. El segmento UDP contiene la consulta
DNS como los datos.
d. Un encabezado UDP solo tiene cuatro campos: source port (puerto de origen), destination port (puerto de
destino), length (longitud) y checksum. Cada campo en el encabezado UDP es de solo 16 bits, como se
ilustra a continuacin.

Pgina 13 de 17
 Ample el protocolo de datagramas de usuario en el panel de detalles del paquete haciendo clic en el
signo ms (+). Observe que hay solo cuatro campos. El nmero de puerto de origen en este ejemplo es
52110. La PC local gener el puerto de origen aleatoriamente utilizando los nmeros de puerto que no
estn reservados. El puerto de destino es 53. El puerto 53 es un puerto conocido reservado para ser
utilizado con DNS. En el puerto 53, los servidores DNS escuchan las consultas DNS de los clientes.

En este ejemplo, la longitud de este segmento UDP es de 40 bytes. De los 40 bytes, 8 bytes se utilizan
como encabezado. Los otros 32 bytes los utilizan los datos de la consulta DNS. Estos 32 bytes estn
resaltados en la ilustracin siguiente en el panel de bytes del paquete (seccin inferior) de la ventana
principal de Wireshark.

El valor de checksum se usa para determinar la integridad del paquete despus de haber atravesado
Internet.
El encabezado UDP tiene una sobrecarga baja, porque UDP no tiene campos asociados con el protocolo
de enlace de tres vas en TCP. Cualquier problema de confiabilidad de transferencia de datos que ocurra
debe solucionarse en la capa de aplicacin.
Registre los resultados de Wireshark en la tabla siguiente:

Tamao de trama

Direccin MAC de origen

Direccin MAC de destino

Direccin IP de origen

Direccin IP de destino

Puerto de origen

Puerto de destino

Paso 3: Examinar el UDP usando la respuesta DNS

En este paso, examinar el paquete de respuesta DNS y verificar que este tambin utilice UDP.

Pgina 14 de 17
a. En este ejemplo, la trama 5 es el paquete de respuesta DNS correspondiente. Observe que la cantidad
de bytes en el cable es 290 bytes. Es un paquete ms grande con respecto al paquete de consulta DNS.

b. En la trama Ethernet II para la respuesta DNS, de qu dispositivo proviene la direccin MAC de origen y
de qu dispositivo proviene la direccin MAC de destino?
c. Observe las direcciones IP de origen y destino en el paquete IP. Cul es la direccin IP de destino?
Cul es la direccin IP de origen?
Direccin IP de destino: _______________________Direccin IP de origen: ______________________
Qu ocurri con los roles de origen y destino para el host local y el gateway predeterminado?

____________________________________________________________________________________
d. En el segmento UDP, el rol de los nmeros de puerto tambin se invirti. El nmero de puerto de destino
es 52110. El nmero de puerto 52110 es el mismo puerto que el que gener la PC local cuando se envi
la consulta DNS al servidor DNS. La PC local escucha una respuesta DNS en este puerto.
El nmero de puerto de origen es 53. El servidor DNS escucha una consulta DNS en el puerto 53 y luego
enva una respuesta DNS con un nmero de puerto de origen 53 de vuelta a quien origin la consulta
DNS.
Cuando la respuesta DNS est expandida, observe las direcciones IP resueltas para www.google.com en
la seccin Answers (Respuestas).

Pgina 15 de 17
Reflexin
1. Hay cientos de filtros disponibles en Wireshark. Una red grande puede tener numerosos filtros y muchos tipos
de trfico diferentes. Cules son los tres filtros de la lista que podran ser los ms tiles para un
administrador de red?
_______________________________________________________________________________________
2. De qu otras formas podra utilizarse Wireshark en una red de produccin?

_______________________________________________________________________________________
_______________________________________________________________________________________
3. Cules son los beneficios de utilizar UDP en lugar de TCP como protocolo de transporte para servicios o
protocolos como DNS o DHCP o por ejemplo streaming de audio y video?
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
4. Cules son los beneficios de utilizar TCP en lugar de UDP como protocolo de transporte para protocoles
de mail (POP3,SMTP), conexiones remotas (Telnet, SSH) y/o tranferencia de archivos (FTP)?
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________

_______________________________________________________________________________________

Pgina 16 de 17
Pgina 17 de 17