personales.upv.espersonales.upv.es/jopolu/CarpetaDocente/Materiales_archivos/... · La tercera parte de la ventana (3) muestra un volcado hexadecimal del contenido del paquete. Seleccionando

Prácticas de Monitorización y Evaluación de Redes Monitorización con ��

V. Santonja, J.L. Poza 1

�� Introducción Objetivos Desarrollo de la práctica. Evaluación

Guía rápida de Ethereal Interfaz y menús Captura de paquetes Visualización de resultados Definición de filtros de captura Definición de filtros de visualización Herramientas de análisis de la información

Actividad 1: Configuración y captura de paquetes. Obtención de información propia Captura simple de paquetes

Actividad 2: Diseño y análisis de pruebas. Visualización de la actividad de la red Utilidad de la monitorización de la Red. Cuestiones de ampliación sobre monitorización de la Red.

Referencias ANEXO. Protocolos analizados

Ethernet IP ICMP

ANEXO. Comandos de diagnóstico usados en la práctica. Ping Tracert Arp

Hoja de respuestas

� �� El analizador de protocolos captura conversaciones entre dos o más estaciones. El analizador no sólo captura el tráfico sino que lo decodifica (interpreta su formato). El analizador de protocolos muestra qué está ocurriendo exactamente en la red. Por ejemplo, si una sesión TCP/IP se cuelga, el analizador puede determinar cuál fue la última estación que envió un paquete o la estación que ha dejado de responder.

��Los objetivos de la práctica son los siguientes:

• Conocer una aplicación básica de monitorización a nivel de paquetes. • Aprender a extraer conclusiones a partir de los paquetes capturados.

��La práctica se desarrolla en dos bloques, cada uno de ellos se corresponde con una sesión.

• Bloque 1: Conocimiento de la aplicación y manejo básico de la misma. • Bloque 2: Empleo de la aplicación para la captura de paquetes y obtención de

resultados y análisis de los mismos.

�� La práctica se evaluará por medio de la asistencia a las sesiones correspondientes y la entrega de la hoja de respuestas que se encuentra al final de este boletín.



�� es una aplicación que ofrece una interfaz sencilla de utilizar y permite visualizar los contenidos de las cabeceras de los protocolos involucrados en una comunicación de una forma muy cómoda.

� �� funciona en modo gráfico y está programado con la librería de controles GTK. La ventana principal de la aplicación se divide en tres partes de visualización y una zona inferior de trabajo con filtros.

��

��

��

��

�� !� ��

En la primera parte (1) se muestra la información más relevante de los paquetes capturados, como, por ejemplo, las direcciones IP y puertos involucrados en la comunicación. Seleccionando un paquete en esta sección podemos obtener información detallada sobre él en las otras dos secciones de la pantalla que comentaremos a continuación. En la parte central de la ventana (2) se muestra, utilizando controles tree-view, cada uno de los campos de cada una de las cabeceras de los protocolos que ha utilizado el paquete para moverse de una máquina a la otra. Así, si hemos capturado una serie de paquetes de, por ejemplo, una conexión telnet, podremos ver las cabeceras del protocolo TCP, del IP y de los que tengamos debajo de ellos (trama Ethernet, por ejemplo, en una red Ethernet). La tercera parte de la ventana (3) muestra un volcado hexadecimal del contenido del paquete. Seleccionando cualquier campo en la parte central de la ventana se mostrarán en negrita los datos correspondientes del volcado hexadecimal, los datos reales que están viajando por la red. En la barra inferior, aparecen cuatro componentes muy interesantes a la hora de hacer análisis de capturas: Creación de filtros (A), filtro actual (B), borrar filtro (C) y mensajes adicionales (D). Para obtener un mayor detalle de estos menús, se debe consultar la guía del usuario en la página Web de la aplicación.



Todas las opciones que pueden ser empleadas, son accesibles por medio de los menús, la aplicación contiene los siguientes menús

�� "��

• File: Menú con los ítems para abrir, guardar ficheros de captura. Permite

imprimir y salir de la aplicación. • Edit: Menú para encontrar tramas concretas, ir a una trama y marcar tramas.

También tiene las opciones de preferencias, de captura y visualización de filtros y protocolos.

• Capture: Inicia o detiene la captura de paquetes. • Display: Permite cambiar las opciones de visualización, correspondencia y

coloreado de marcos. • Tools: Este menú contiene los pluggins instalados, seguimiento de un paquete

TCP (interesante función), sumario de los paquetes capturados y la visualización de las estadísticas de protocolos empelados.

• Ayuda. Ayuda de la aplicación y “acerca de”.

#��$��La captura de paquetes se realiza por medio de la opción de menú capture � start. Al seleccionar la opción aparecerá la caja de diálogo con las preferencias para la captura de los paquetes.

��

��

��

�

�

��

��

�

��

��

��

�� %�!� ��

Las opciones que permite esta ventana son las siguientes:

1. � ��. Es el interface de captura que se va a emplear para la sesión, en algunos sistemas es equivalente a las conexiones de red de las que se dispone



(PPP, Red, etc…) si al seleccionar una opción no se capturan datos, se debe a que no se ha seleccionado el interfaz correcto.

2. #�� . Es el número de paquetes que deseamos que se capturen. En el caso de dejarse a 0, se capturarán todos los paquetes hasta que se detenga manualmente la sesión (o se sature el sistema).

3. &��. Determina el filtro que deseamos que se aplique a la captura. La sintaxis de los filtros se verán más adelante.

4. '��(��. En caso de que se desee que la captura sea volcada hacia un archivo, se puede seleccionar por medio de este cuadro de texto.

5. )� *��. Marca la cantidad máxima de bytes de cada trama que deseamos sean capturados.

6. #�� . En caso de seleccionarse esta opción, se capturarán todos los datos posibles que sean alcanzables por el host monitor. Si no se selecciona1, sólo se capturarán los paquetes que entren o salgan al host monitor.

7. '�� . Actualiza la ventana de paquetes capturados a la vez que éstos son capturados. Esta opción tiene el problema de cargar en exceso el sistema.

8. �� $��. Permite que la ventana con el contenido de los paquetes capturados, se actualice en tiempo real.

9. �� '#. Este botón permite controlar si �� traduce o no los primeros tres octetos de las direcciones MAC al nombre del fabricante a quien ese prefijo ha sido asignado por el IETF.

10. �� . Este botón de radio permite que controlar si �� traduce o la direcciones IP a nombres del dominio del DNS. Haciendo clic en este botón, la lista de paquetes capturados tendrá información más útil, pero provocará las correspondientes peticiones de operaciones de búsqueda, que pueden influir en la captura.

11. �� . Este botón permite controlar si �� traduce o no los números de puerto del protocolo.

Una vez configurada la ventana con las opciones que deseemos, al presionar el botón de OK, comenzará la captura de paquetes, si se presiona CANCEL, no se capturará ningún paquete y se regresará al estado anterior. Durante la captura, aparecerá la caja de diálogo que muestra la evolución.

�� +��

1 En el tipo de ventana de ��, una casilla de verificación está seleccionada cuando tiene

el aspecto siguiente: (botón bajado).



!�� Una vez se han capturado la sesión, toda la secuencia de estos paquetes aparecerá en los marcos de visualización. �� proporciona una serie de herramientas que facilitan esta visualización. La forma más directa de visualizar los resultados consiste en hacer clic en el paquete del que se desee obtener más información, dentro de la zona 1 (ver figura 1) de la ventana. Esta zona muestra los paquetes que han sido capturados. La ventana se divide en filas (una por paquete) y columnas que muestran la correspondiente información acerca de los paquetes. Por defecto las columnas que aparecen son las siguientes:

��

�� ,��

1. Número de paquete. 2. Información temporal de la captura del paquete (fecha, hora, etc.) 3. Dirección fuente. 4. Dirección destino. 5. Protocolo empleado por el paquete. 6. Información adicional.

La información de estas columnas puede ser variada por medio de la opción de menú Edit � Preferences. Se pueden añadir o quitar columnas con información adicional o variar el orden en que éstas se muestran. Una vez se ha seleccionado un paquete en una fila, la información de éste aparece en la ventana inferior dentro de la zona 2 (ver figura 1). Allí aparece con los campos que este tiene y, por medio de un control tree-view, la información de éstos puede ser visualizada de forma organizada.

��

��

�� -�!� ��

En el panel 2. Se tiene la estructura del mensaje, al seleccionar un ítem de este panel, se visualizará su contenido en el panel 3 dentro del contenido del paquete completo



como una zona sombreada. Se puede extender o contraer toda la información del marco 2 por medio de las opciones de menú Display � Collapse All y Display � Expand All, respectivamente. Si se desea visualizar un paquete por separado, para un mejor análisis del mismo, o compararlo con otro, se puede seleccionar y por medio de la opción de menú Display � Show packet in New Window. El paquete seleccionado aparecerá en una nueva ventana. También se puede acceder a este menú por medio del menú contextual que aparece al hacer clic con el botón derecho en el paquete seleccionado. Otras herramientas útiles a la hora de trabajar con los paquetes visualizados son las de buscar o ir hacia un paquete con un número concreto, esto se hace por medio de los menús Edit � Find frame, y Edit � Go to Frame. También se puede marcar un paquete por medio de la opción de menú Edit � Mark Frame (para desmarcarlo, se debe seleccionar el paquete marcado y volver a seleccionar la opción de menú Edit � Mark Frame).

�� permite filtrar la información acerca de los paquetes capturados, tanto en el momento de la captura de los mismos como en la visualización. �� utiliza la misma sintaxis para la definición de filtros que la orden de Unix ��. La descripción que se ofrece a continuación no es más que una adaptación de la información que aparece en la página man de ��. Un filtro de captura consiste en un conjunto de expresiones primitivas conectadas mediante los operadores lógicos � �.�� y opcionalmente precedidos por ��/�

0 ��1��0� �2��0 ��1��1� ��"%�� (��333,�Captura tráfico telnet (puerto 23) desde y hacia el host 10.0.0.5. ��"%�� (��333,�Captura tráfico telnet no dirigido ni generado por el host 10.0.0.5. Una primitiva es una de las expresiones siguientes: 0��2��1�(��4(��5� Permite filtrar el tráfico generado (��) o recibido (��) por un 4(��5, indicando su dirección IP o su nombre. Si no se especifica ni �� ni ��, se seleccionan todos los paquetes cuya dirección origen o destino coincide con la del computador especificado. ��(��0��2��1�(��4�(��5 Permite filtrar basándose en la dirección física (Ethernet). Como antes, se puede indicar ��o ��para capturar sólo el tráfico saliente o entrante. *��6��(��4(��5�Permite filtrar paquetes que usan al <(��5 como un *��6�� (router). Es decir, paquetes cuya dirección física (origen o destino) es la del host, pero las direcciones IP (origen o destino) no corresponden al host. 0��2��1� ��4 ��5�07��8�4��85927�� 4�� 591



Permite seleccionar paquetes basándose en las direcciones de red. Adicionalmente, se puede especificar un máscara de red o el prefijo CIDR cuando sea diferente al de la propia máquina desde donde se realiza la captura. 0��2��1�0��2��1��4��5 Permite un filtrado basado en los puertos TCP y/o UDP. Las opciones 0��2��1�0��2��1� permiten restringir el filtrado sólo a los paquetes de un protocolo (TCP o UDP), o sólo a los que utilizan el puerto como origen o como destino. ��2*��4�� *�(5 Selecciona paquetes cuya longitud sea menor o igual (��) o mayor o igual (*��:�que un valor dado 4�� *�(5 ��2��(��4��5 Selecciona paquetes del protocolo especificado, bien al nivel Ethernet o al nivel IP. ��(��2��2��Permite filtrar difusiones (��) o multidifusiones (��) Ethernet o IP. 4�;��5��4�;��5�Esta primitiva permite crear filtros complejos que seleccionan bytes o rangos de bytes en los paquetes. La primitiva se evalúa a True si se cumple la relación. �� es una de las siguientes: 5<�4<�5=<�4=<�=<�>=< y �;�� is una expresión aritmética compuesta por constantes enteras (expresadas en la sintaxis estándar de C), los operadores binarios 0?<�@<�A<�.<��B<�2], un operador de longitud, y funciones para acceder a los datos de un paquete. Para acceder a datos en el interior de un paquete se utiliza la sintáxis siguiente: ��0��;��/��1�� es uno de los siguientes ��(��<��<��<��<��<��<��< or ��. El offset en bytes referido al protocolo especificado, viene dado por �;��. �� es opcional e indica el número de bytes del campo de interés; puede ser 1, 2 ó 4, el defecto es 1. El operador de longitud, indicado por la palabra �� , da la longitud del paquete. Por ejemplo: ��(��031�B��>=�3�� captura todo el tráfico multicast ��031�B�3;��>=��, captura todos los paquetes IP con opciones ��0-/"1�B�3;��=�3 captura sólo datagramas no fragmentados y el primer fragmento de un datagrama. Esta comprobación se aplica implícitamente a todas las operaciones �� y �� indexadas. Por ejemplo, ��031 siempre significa el primer byte de la cabecera TCP, y no el primer byte de un fragmento tcp distinto del primero. Ejemplos Para capturar todos los paquetes que llegan o salen �� : (�� Para capturar el tráfico entre �� y, o bien, ��, o ��: (�� C��:� Para capturar todos los paquetes IP entre �� y cualquier host excepto ��: ��(�� Para capturar todo el tráfico entre el localhost y hosts en Berkeley:



�� Para capturar todo el tráfico ftp a través del router ��: *��6�� C��@��:� Para capturar los paquetes de establecimiento y cierre de cada conexión TCP (the SYN and FIN packets). ��0%1�B�%�>=�3� Para capturar datagramas IP mayores de 576 bytes ��0"/"1�5�,D-� Para capturar los datagramas IP de difusión o multidestino que no han sido enviados mediante una difusión o dirección multidestino Ethernet ��(��031�B��=�3�� 0-1�5=�""+� Para capturar todos los paquetes ICMP, excepto las peticiones y respuestas de eco: ��031�>=�E�� 031�>=�3�

�� tiene dos tipos de filtros; los de captura, que siguen la nomenclatura de la instrucción UNIX tcpdump, y los de visualización que siguen una nomenclatura propia de la aplicación. Para crear un filtro de visualización, se debe crear la expresión. Ethreal dispone de una herramienta que facilita la creación de dichos filtros.

�� D�!� ��

Las normas son sencillas, y para saber qué operandos pueden tener las expresiones basta con buscar el deseado en la ventana de �� . Los operadores que se pueden emplear son de comparación o los booleanos de combinación de expresiones. En las siguientes tablas se muestran estos operadores. #��



Los valores que pueden tomar los campos son muy variados. La explicación detallada de estos campos se puede encontrar en el apéndice A (Ethereal Display Filter Fields) del manual de uso del Ethereal. Algunos de los campos más interesantes son:

#�� ;�� #� �� srcport tcp.srcport Puerto del emisor (fuente). tcp dstport tcp.dstport Puerto del receptor (destino). addr ip.addr Dirección IP (fuente o destino). dst ip.dst IP Destino. src ip.src IP Fuente. ttl ip.ttl Tiempo de vida.

ip

proto ip.proto Protocolo empleado. ��

�;�� F�� #� �� eq ==

�*�� ip.addr==10.0.0.5

ne != F��*�� ip.addr!=10.0.0.5

gt > ��$�� frame.pkt_len > 10

lt < �� $�� frame.pkt_len < 128

ge >= ��*��$�� frame.pkt_len ge 0x100

le <= �� *��$�� frame.pkt_len <= 0x20

��*�� and && � ��!��

ip.addr==10.0.0.5 and tcp.flags.fin or || "#�!��

ip.addr==10.0.0.5 or ip.addr==192.1.1.1 xor ^^ $"#�!��

tr.dst[0:3] == 0.6.29 xor tr.src[0:3] == 0.6.29 not ! "%�!��

not llc [...] ��

�� permite seleccionar subcadenas de varias formas. Después de una etiqueta se puede poner un par de corchetes [] conteniendo una lista de ítems separados por coma. eth.src[0:3] == 00:00:83

El ejemplo superior emplea el formato n:m para especificar un rango sencillo. n es el desplazamiento inicial con respecto al comienzo del paquete y m es la longitud del intervalo. eth.src[1-2] == 00:83



El ejemplo superior emplea el formato n-m para especificar un rango sencillo. En este caso n es la posición inicial y m es la posición final.

Para ampliar información sobre los tipos de filtros, se recomienda leer la documentación de ��.

G�� Aparte de las herramientas vistas en el apartado de visualización, existen otras herramientas que permiten facilitar el análisis de la misma. Una de ellas es la coloración de paquetes en función de filtros que se obtiene por medio del menú Display � Colorize Display. Para ello se debe definir un filtro que determine el criterio por el que se determinará qué paquetes se colorearán, también se escoge el color de fondo (background) y el color del texto (foreground). Una vez definidos estos datos se debe guardar el filtro (save) y aplicarlo (apply). El resultado debe ser algo similar a lo que se observa en la figura inferior.

�� E�#�� $��

Otra opción de gran utilidad es la de seguimiento de un paquete TCP, por medio de esta opción se puede “reconstruir” la información que ha pasado por la red en una transacción TCP. Para emplear esta opción se debe seleccionar la opción de menú Tools � Follow TCP Stream. Esta opción de menú también es contextual y aparecerá al hacer clic con el botón derecho del ratón en un paquete con el protocolo TCP. En la ventana que aparece tendremos el contenido de la secuencia de paquetes.

�� H�!� �� *�� $��I#��

En la ventana que se nos muestra, podemos visualizar el texto en formato hexadecimal, ASCII o EBCDIC. También se puede seleccionar el flujo a visualizar entre el entrante o el saliente de nuestra máquina.



�� obtiene el seguimiento del paquete TCP por medio de un filtro, por lo que para volver a visualizar todos los paquetes, se deberá presionar el botón de Reset (C) (ver figura 1). �� proporciona unas sencillas herramientas para un análisis básico de los paquetes que han sido capturados. Una de las opciones es el sumario de la sesión de captura (Tools � Summary). Por medio de esta opción aparecerá una ventana con un resumen de la sesión de captura. Si se desea conocer cual ha sido la distribución de los protocolos y subprotocolos empleados, se dispone de la opción de menú Tools � Protocol Hierarchy Statistics.

�� 3�J��

Para análisis más complejos, se deben definir los filtros adecuados. Sin embargo, �� es un analizador de protocolos, por lo que no es una aplicación completamente indicada para evaluar de forma precisa la carga de la red, parámetros de calidad de la misma, etc.



�� !�

�� Lo primero que vamos a hacer es averiguar la configuración de la máquina en la que nos encontramos y lo que podamos averiguar de las máquinas con las que vamos a trabajar, para ello lanzaremos la aplicación de Windows ��, que puede ser lanzada desde la opción de menú de Windows Inicio � ejecutar. La información que obtendremos es la siguiente:

�� !� �� K� ��#� ��*�

La información que podamos precisar para usarla posteriormente, la anotamos en la siguiente tabla.

F��(�� '#�

�FL�� FL�L��

K�FL�� K�FL�L�� L��G#��



#��$�� A continuación vamos a monitorizar varias de los comandos básicos de monitorización de redes y otras aplicaciones de red. Lanzamos la aplicación ��, y también abrimos una ventana de comandos de MS-DOS desde la que lanzaremos algunos comandos básicos. El primer comando a comprobar será el ping.

1. Comprobar qué direcciones tiene la caché almacenada. Tecleamos en la ventana de comandos: �� "�� Borraremos cada una de las entradas que existan tecleando: ��(siendo xxx.xxx.xxx.xxx. la dirección IP de las entradas). Ponemos a �� a monitorizar, aunque para que sólo se capturen los paquetes de nuestra máquina, deberemos poner el siguiente filtro en la ventana �� : (�� ;;;;;;;;;;;; (siendo xxx.xxx.xxx.xxx la dirección IP de nuestra máquina). También es importante poner el �� como �)H3; o cualquier otro que no sea PPP. Iniciamos la monitorización y escribimos en la ventana de comandos el ping a la web de la universidad: ��"��! �!��

Escribir la información de captura: �� *�� 'J��M��FN� &�� &� ��

2. Volver a ejecutar el mismo ping.

"�OL�� $�� P�O��$�QP�



3. A continuación comprobaremos qué tipo de paquetes viajan cuando se realiza la traza de la ruta de los paquetes por la red. Para ello escribiremos en la ventana de comandos la siguiente orden/��666��. A continuación, haremos lo mismo pero con una dirección externa, por ejemplo: ��666*��*��.

%�� $��<�O� �$�� P�OR�Q�� P�

4. Otra de las posibilidades que ofrece una aplicación capturadora de paquetes, y analizadora de protocolos, es la posibilidad de analizar las cabeceras del paquete capturado. En nuestro caso analizaremos un paquete ICMP de los capturados.

+� J�� * ��<�� * �� ;��

#��

#� �� L�* ��

�� 00 E0 7B 82 00 00 MAC destino

��

��



5. A continuación vamos a ver los paquetes FTP. Para ello usaremos el cliente ftp de MS-DOS. Iniciamos la captura de datos con ��. Tecleamos �� en la ventana de comandos. Una vez aparezca el prompt de ftp, nos conectaremos a la máquina Zoltar por medio del comando ftp: �� con el usuario y pasword que hemos empleado para entrar en la máquina del laboratorio. Una vez dentro, simplemente haremos una visualización de las carpetas que tenemos disponibles, por medio del comando ��. A continuación enviaremos un archivo (de texto, con el nombre del ordenador en el que estemos, que previamente habremos creado en c:\, para que sea fácil referenciarlo) al directorio de destino del ftp por medio de la instrucción �� . Finalmente nos salimos de la sesión, por medio de la opción �� y a continuación cerramos el cliente ftp por medio de ��.

,�OR�Q�� $�� P�FN� &�� &� �� Establecimiento de la conexión FTP

Envío de datos

Cierre de la conexión FTP

O!�� S��P�



6. Finalmente, analizaremos una sesión de navegación en Web (http). Iniciamos la captura de datos con ��. Abrimos el navegador Internet Explorer. Una vez aparezca la ventana de la aplicación y haya aparecido la página principal de la universidad, nos conectaremos a Google (www.google.com).

-�OR�Q�� $�� (��P�FN� &�� &� ��

��#��$��%�� !� En esta segunda actividad vamos a probar algunas de las opciones de filtrado y visualización de paquetes. Para ello necesitaremos capturar una gran cantidad de tramas. Es importante tener en cuenta que las opciones de captura pueden variar sustancialmente el resultado. Para cargar la red de paquetes reales, cada grupo abrirá un navegador de Web e irá solicitando páginas de búsquedas diversas (a libre elección) o del servidor de redes (www.redes.upv.es) cuando uno de los grupos cercanos se lo solicite (ya que van a capturar paquetes).

!��

7. Para hacernos una idea de la actividad de la red en el momento de la captura, pondremos a �� a capturar toda la información posible, para ello no definiremos ningún filtro, además activaremos la casilla de �� !�� !��. Esta captura la haremos durante un minuto2. A continuación realizaremos la misma captura pero filtrando sólo los paquetes en los que el destino o el origen sea nuestra máquina. Anotar los principales porcentajes de los protocolos capturados y comparar resultados. ¿Existen diferencias?

2 A El tiempo de un minuto es relativo, en caso de que este tiempo sea escaso, se realizará la misma monitorización, pero durante cinco minutos.



D��

�� T� � �� T� ¿Existen diferencias? ¿por qué?

U�� J��8. Para comprobar los puertos a los que se accede, procederemos a modificar las

opciones de visualización de ��. Pondremos las columnas necesarias para visualizar los puertos fuente y destino. A continuación procederemos a capturar durante un minuto paquetes que estén destinados a la máquina servidora de la web de redes (158.42.180.64).

E�OR�Q�� P�OR�Q�� P�

9. A continuación vamos a monitorizar la red para localizar un programa rastreador de puertos que se encuentra en un ordenador del aula cuya ip nos proporcionará el profesor.

IP rastreador H�OR�Q�� P�O��$�Q�� P�

10. Otra de los aspectos de la red que podemos monitorizar a partir de la captura de paquetes es comprobar los paquetes dirigidos a un gateway ). Es decir, paquetes cuya dirección física (origen o destino) es la del host, pero las direcciones IP (origen o destino) no corresponden al host.

Dirección física del gateway 3�OR�Q�� P�



#�� J��

11. En algunas ocasiones, no se realiza un adecuado cierre o restricción de los puertos de comunicación que no son utilizados. Todos los servidores y estaciones de trabajo poseen una o más interfaces conectadas a la red. A través de esta interfaz se realiza la transferencia de información con el sistema que provee el servicio. Este servicio opera sobre un protocolo de comunicaciones, por ejemplo TCP/IP, UDP/IP, Netbios, etc, y un número de puerto. Por ejemplo, si utilizamos un servidor Web que exclusivamente provee servicios http, deberemos asegurarnos que en la interfaz de red que da hacia Internet, exclusivamente se permita el puerto TCP 80.

� O#��M�� $�� $�� *�� (��;��P�

12. Los filtros proporcionan una gran información acerca de la actividad de la red. Un sistema de ataque clásico a una máquina es por medio del envío de una avalancha de solicitudes de entrada al servidor con direcciones de origen falsas (por medio de paquetes de UDP y ICMP). El servidor no puede identificarlos, pero antes de desconectar espera unos minutos. Este proceso repetido bloquea al servidor.

"�O#��M�� $�� $�� P�

&��

��http://www.��.com



J&#�RFC 1470. FYI on a Network Management Tool Catalog: Tools for Monitoring and Debugging TCP/IP Internets and Interconnected Devices. http://www.rfc.net

��Guía de uso de Windows 2000 Server. La parte de teoría de redes es de lo mejor que hay. http://www.microsoft.com/windows2000/es/server/help/

�'�()!�*��+��

��(��

��

�#��, Protocolo de Mensajes de Control de Internet ) es considerado a menudo como parte de la capa de red IP. Su misión es comunicar los mensajes de error y otras circunstancias que reclaman atención. Los mensajes ICMP son transmitidos en el interior de datagramas IP, como lo muestra la figura.

A continuación se describen los distintos �� ICMP:

• "��#"��$��%��



• &��'��%��( • ��)*��!��)��#��+�$��%��, • "��%��- • ��%��. • /)��"��%��0 • 1��"��%��2� • %��!��'��#��$��%��22 • ��'��!��3!��!��%��24 • ��5%�!��!�5��%��2( • "��5%�!��!�5��%��2, • ��!��#6'��$��%��2- • "��!��#6'��$��%��2� • ��!3��%��27 • "��!3��%��2.

El campo tipo se complementa con la información suministrada por el campo ��. En función del valor que tomen ambos, el receptor puede distinguir entre una solicitud o un error ICMP. El campo L!I se denomina secuencia de verificación de trama y consiste en una suma de control de todo el paquete ICMP. Los siguientes 16 bits después del campo L!I tienen un propósito que varía y se especifican dependiendo del paquete ICMP considerado. En el caso de una solicitud, se solicita o se informa de un acontecimiento concreto que no es causa de ningún error. Una respuesta a un eco ICMP lanzado por ‘ping’ o un aviso de presencia de router, serían un ejemplo de ello. Ejemplos en los que se producen condiciones de error puede ser cuando el campo TTL alcanza el valor cero, una máquina es inaccesible, una fragmentación es requerida pero imposible de realizar debido al bit ‘�� V��*�� ’, etc... Es necesario establecer una distinción entre una solicitud ICMP y un error ICMP. Un mensaje de error nunca puede ser producido como consecuencia de otro mensaje de error. Si esta regla no fuese aplicada, podríamos encontrarnos sobre escenarios en los que un error ICMP provoca otro error ICMP y así sucesivamente. Un error ICMP enviado contiene siempre la cabecera IP y los 8 primeros octetos de datos del datagrama que lo provocó. Ello permite al módulo ICMP asociar el mensaje recibido a un protocolo particular (TCP o UDP en función del campo ‘protocolo’ de la cabecera IP) y a un proceso de usuario determinado (mediante los números de puerto de TCP o UDP).

�'�()!��,�� !�

�� *�Comprueba el estado de las conexiones establecidas con uno o varios hosts remotos. Este comando está disponible sólo si se ha instalado el protocolo TCP/IP. �� 8��9� 8��9� 8�� 9� 8�� 9� 8��9� 8�� )9� 8�)� ��9� 8�� 9� 8�� 9� 88�+��&��:��9�;�8� ��&��:��99�8� ��!��&��9��&�&�� @��



Comprueba el host especificado hasta que es interrumpido. @��Resuelve las direcciones en nombres de equipos. @ �� Transmite el número de paquetes de eco especificado en número . El valor predeterminado es 4. @�� *��Transmite paquetes de eco que contienen la cantidad de datos especificada en longitud. El valor predeterminado es 32 bytes y el valor máximo 65.527. @��Transmite un indicador "No fragmentar”

I��Esta herramienta de diagnóstico determina el camino tomado hacia un destino enviando paquetes de eco del Protocolo de mensajes de control de Internet (ICMP) con valores variables de Período de vida (TTL) para el destino. Cada enrutador de la ruta de acceso debe decrementar el Período de vida de un paquete al menos en 1 para reenviarlo, de forma que el Período de vida sea un número de "hops". Cuando el Período de vida de un paquete llegue a 0, se supondrá que el enrutador debe devolver al sistema de origen un mensaje de tiempo excedido de ICMP. Para determinar la ruta, tracert envía el primer paquete de eco con un período de vida de 1 y lo incrementa en una unidad en cada transmisión posterior hasta que el destino responda o se alcance el período de vida máximo. La ruta se determina examinando los mensajes de tiempo excedido de ICMP enviados de vuelta por los enrutadores intermedios. Sin embargo, algunos enrutadores omiten sin notificación los paquetes con valores de período de vida caducados, por lo que son invisibles para tracert. ��8��9�8��3��!��9�8�+��&��:��9�8� ��!��&��9��!'��&�&�� @��Especifica que las direcciones no se deben resolver hacia nombres de hosts. @( saltosMáximos Especifica el número máximo de hops que se deben buscar para el destino. @� listaDeEquipos Especifica la ruta de origen no estricta a lo largo de la listaDeEquipos. @6 tiempoDeEspera Espera el número de milisegundos especificado por tiempoDeEspera en cada respuesta . �� Nombre del host de destino.

'��Muestra y modifica las tablas de traducción de direcciones físicas de IP a Ethernet o a Token Ring que utiliza el protocolo de resolución de direcciones (ARP, Address Resolution Protocol). Este comando sólo está disponible si se ha instalado el protocolo TCP/IP arp -a [dir_inet] [-N [dir_if]] arp -d dir_inet [dir_if] arp -s dir_inet dir_eth [dir_if] @��



Muestra las entradas actuales de ARP mediante una consulta de TCP/IP. Si se especifica dir_inet, sólo se mostrarán las direcciones IP y físicas del equipo especificado. @*�Igual que -a. ��W� ��Especifica una dirección IP en notación decimal con puntos. @F�Muestra las entradas de ARP para la interfaz de red especificada mediante dir_if. ��W��Especifica, si está presente, la dirección IP de la interfaz cuya tabla de traducción de direcciones debe modificarse. Si no está presente, se usará la primera interfaz aplicable. @��Elimina la entrada especificada mediante dir_inet. @��Agrega una entrada a la caché de ARP para asociar la dirección IP dir_ineta la dirección física dir_eth. La dirección física se especifica como 6 bytes hexadecimales separados por guiones. La dirección IP se especifica mediante la notación decimal con puntos. Esta entrada es permanente, es decir, no se quitará automáticamente de la caché cuando termine el tiempo de espera. ��W��(�Especifica una dirección física.


Hoja de respuestas 1

-�.�� F�� '�� F��

&��(�� L�� #��

�'��

F��(�� '��

�FL�� FL�L��

K�FL�� K�FL�L�� L��G#��

�� *�� 'J��M��FN� &�� &� ��

"�OL�� $�� P�O��$�QP� %�� $��<�O� �$�� P�OR�Q�� P�



+� J�� * ��<�� * �� ;��

#��

#� �� L�* ��

�� 00 E0 7B 82 00 00 MAC destino

��

��

,�OR�Q�� $�� P�FN� &�� &� �� Establecimiento de la conexión FTP

Envío de datos



Cierre de la conexión FTP

O!�� S��P� -�OR�Q�� $�� (��P�FN� &�� &� ��

'��"� D��

��M�� T� � �� T�



E�OR�Q�� P�OR�Q�� P� IP rastreador H�OR�Q�� P�O��$�Q�� P� Dirección física del gateway 3�OR�Q�� P� � O#��M�� $�� $�� *�� (��;��P� "�O#��M�� $�� $�� P� ��

Documents

personales.upv.espersonales.upv.es/jopolu/CarpetaDocente/Materiales_archivos/... · La tercera parte de la ventana (3) muestra un volcado hexadecimal del contenido del paquete. Seleccionando