LABORATORIO DE REDES
Práctica 2 Curso 2004-05
Monitorización del tráfico de red mediante la herramienta tcpdump
1. Introducción
Una de las actividades más comunes en la administración de una red es la del análisis del
tráfico que fluye por ella, ya sea para analizar el rendimiento de la red o para analizar la
seguridad de las comunicaciones. No sólo puede interesar analizar el tráfico que fluye a través
de la LAN en la que nos encontramos, sino que también puede interesar analizar el tráfico
entrante y saliente de Internet a través de los servicios que se tengan instalados (proxies,
firewalls, etc.). Este análisis de tráfico puede ser útil para la detección de problemas y, sobre
todo, para detectar tráfico no esperado, presencia de puertas traseras, escaneos de puertos y
cualquier otra intrusión.
Existen varias herramientas muy útiles, dependiendo del S.O., tipo de red, etc. Una de estas
herramientas es tcpdump que actúa como un sniffer de red, basada en la librería de captura de
paquetes (libpcap) y que funciona en plataformas GNU/Linux-UNIX. La librería libpcap
incluye un lenguaje de filtros común que convierte a tcpdump en un software muy potente y
útil.
El comando tcpdump es una herramienta de comunicaciones elaborada en la Universidad
de California (Lawrence Berkeley National Laboratory, LBNL) para la monitorización de redes.
Permite monitorizar, tanto una interfaz Ethernet, como una comunicación punto a punto (ej.
puerto serie).
En realidad, tcpdump es un programa de red que pone la tarjeta de red de un ordenador en
modo promiscuo; es decir, recibe todos los paquetes/tramas que pasan por esa interfaz,
independientemente de que la dirección MAC destino sea la de la tarjeta (normalmente la tarjeta
sólo captura aquellas tramas que contienen su dirección destino). Eso significa que tcpdump
captura todas las tramas que pasan por la interfaz a la que está conectada. La utilidad tcpdump
usa un software llamado BPF (BSD Packet Filter) que es el que permite poner la tarjeta en modo
promiscuo, de forma que cada vez que se transmite, o se recibe una trama por el driver de la
1
tarjeta de red, BPF recibe una copia de esa trama. De esta forma BPF puede procesar y filtrar los
paquetes de red que el usuario considera más interesantes.
El comando tcpdump permite filtrar por protocolos (ej. ip, tcp, udp, arp,
ether, fddi,...); por interfaces (ej. eth0, lo,...); por puerto TCP/UDP o dirección IP;
por dirección (origen, destino, ambas,...); etc.
Éste sniffer para sistemas Unix además de servir para monitorizar todo el tráfico de la
red, puede ser muy útil para detectar posibles problemas de seguridad como ataques ping. Sin
embargo, tcpdump presenta algunas vulnerabilidades en cuanto a la seguridad del sistema. Un
usuario remoto puede hacer que la utilidad entre en un bucle infinito. Puede enviar un paquete
especialmente preparado del tipo ISAKMP al puerto 500 en UDP para hacer que el código entre
irremediablemente en un bucle infinito. Esto provocara que la utilidad no pueda registrar
cualquier paquete adicional. La vulnerabilidad reside en la función del
isakmp_sub_print() en el archivo print_isakmp.c de la librería Pcap.
Quizás tcpump no sea la herramienta perfecta desde el punto de vista de la interpretación
sencilla de los datos mostrados (aunque existen otras herramientas gráficas que usan
tcpdump), pero sí que es de las mejores en cuanto a su potencia y a la cantidad de información
que aporta.
2. Ejercicio 1
Para comprender el funcionamiento del comando tcpdump puede usarse el comando man
de Unix (#man tcpdump). Dedicar 10 minutos a leer en el man las posibilidades de esta útil
herramienta de comunicaciones.
Los siguientes son los parámetros más interesantes que pueden indicarse en la ejecución de
tcpdump:
-a Convierte las direcciones de Red y Broadcast en Nombres.
-c Acaba tras capturar un número determinado de paquetes.
-i Escucha una interfaz determinada. Si no se especifica, tcpdump busca en la lista
de interfaces del sistema la que tenga un número menor.
-x Imprime el contenido de los paquetes en hexadecimal.
-w Registra los paquetes capturados en un archivo.
-r Lee los paquetes desde un archivo fichero que fue creado con la opción –w.
Segmentos TCP:
El formato general de salida de segmentos TCP mostrados por tcpdump es el siguiente:
fecha src > dst: flags [data-sqno ack
window urgent
options]
donde,
fecha:indica
la
hora
en
que
se
produjo
el
evento
en formato
hora:minutos:segundos.microsegundos (o milisegundos dependiendo de la
resolución del reloj).
2
src y dst: son las direcciones IP y puertos TCP/UDP de las conexiones fuente y destino.
Si no se especifica el parámetro –n se intenta resolver el nombre por DNS.
flags: son una combinación de los posibles flags de un segmento/datagrama TCP/UDP:
Puede usarser un “.” para indicar que no hay flags, o bien una combinación de:
S(SYN), F(FIN), P(PUSH), R(RST), W (tamaño de la ventana de congestión), E
(ECN echo) y “.” (no flags).
data-sqno: describe el número de secuencia de la porción de datos mostrada en el
segmento de TCP. El formato es primero:ultimo(n), que significa que desde primero
a ultimo (sin incluir ultimo) hay un total de n bytes de datos.
ack: es el número de secuencia del próximo byte que espera recibir el otro extremo
TCP/UDP.
window: es el tamaño de la ventana que notifica el receptor al emisor.
urgent: indica que hay datos urgentes en ese segmento/datagrama.
options: son las opciones TCP que suelen estar entre corchetes del tipo < >; por
ejemplo, el tamaño máximo del segmento (ej. <mss 1024>)
A continuación se muestra el listado de una de las salidas mostradas por tcpdump:
rtsg.1023 > csam.login:
csam.login > rtsg.1023:
<mss 1024>
rtsg.1023 > csam.login:
rtsg.1023 > csam.login:
csam.login > rtsg.1023:
rtsg.1023 > csam.login:
csam.login > rtsg.1023:
csam.login > rtsg.1023:
csam.login > rtsg.1023:
S 768512:768512(0) win 4096 <mss 1024>
S 947648:947648(0) ack 768513 win 4096
.
P
.
P
P
P
P
ack 1 win 4096
1:2(1) ack 1 win 4096
ack 2 win 4096
2:21(19) ack 1 win 4096
1:2(1) ack 21 win 4077
2:3(1) ack 21 win 4077 urg 1
3:4(1) ack 21 win 4077 urg 1
Esto simula una conexión originada por el ordenador rtsg con destino a csam, con el servicio
rlogin. El significado de las líneas anteriores es el siguiente:
Inicio de conexión de rtsg -> csam SYN ISN 768512 ventana de 4096 bytes.
SYN de csam -> rtsg ISN 947648 ventana de 4096, ACK del SYN anterior.
ACK del SYN enviado por csam. No hay flags.
Envío de 1 byte de datos de rtsg -> csam.. Flag PUSH activado., (los números de
secuencia son relativos al ISN a menos que especifiquemos la opción -S, en cuyo caso
pone los números de secuencia que se imprimen de manera absoluta).
ACK del byte de datos anterior por parte de csam.
19 bytes de datos de rtsg a csam.
csam envía 1 byte de datos a rtsg, y envía el ACK de los 19 bytes transmitidos por
rtsg. La ventana de recepción ha bajado en 19 bytes. Flag PUSH.
csam envía un byte de datos urgente. Flag PUSH.
Similar a la línea anterior.
3
A continuación se muestra el resultado de una ejecución de tcpdump desde el puesto10
de la sala Norba, donde puesto24 es mostrado como el receptor del tráfico.
Redes% tcpdump –i eth0
17:58:58.470000 158.49.98.10.32768 > 158.49.98.24.telnet:P
1191656817:1191656849(32) ack 2435973568 win 61320 (DF)
donde se indica que a las 17:58:58.470000 se genera un segmento con origen
158.49.98.10 (puesto10) y destino 158.49.98.24 (puesto24) (existen opciones
para trabajar con nombres en lugar de @IP).
Los puertos TCP usados son el 32768 en el puesto10 origen y el puerto telnet (21) en
el puesto24 destino.
P indica que el flag PUSH del segmento TCP estaba activado.
Se observa que puesto10 ha enviado 32 bytes de datos con números de secuencia
comprendidos entre el 1191656817 y el 1191656849. Como la conexión estaba ya iniciada
cuando comenzó su monitorización, los números de secuencia son absolutos. Si tcpdump
monitoriza una conexión desde el inicio, los números de secuencia son relativos al número de
secuencia inicial.
El puesto24 reconoce (ack) haber recibido de puesto10 el dato 2435973567 y espera
que el próximo que envíe sea el 2435973568.
Finalmente, puesto10 anuncia una ventana de 61320 bytes y solicita que no se fragmenten
(DF) los datagramas IP.
A continuación se muestra otra nueva captura obtenida en las mismas condiciones anteriores:
10:04:11.672020 > puesto10.unex.es.32768 > puesto24.unex.es.telnet:
. 1:1(0) ack 1 win 5840 <nop,nop,timestamp 116267 43363780> (DF)
En este caso “.” indica que no hay ningún flag activado. Puede comprobarse que en realidad
no se han enviado datos ya que coinciden los números de secuencia inicial y final (1:1).
Si desea visualizarse el contenido de los segmentos en hexadecimal, puede ejecutarse el
comando con los siguientes parámetros:
tcpdump –x –s100 –i eth0
tcpdump capturará los primeros 100 bytes (incluidas cabeceras IP y TCP/UDP y excluidas
las cabeceras Ethernet) del paquete. De esta forma, también podrán observarse los valores de la
cabecera IP (ej. TTL, tipo, etc...).
Fragmentos de datagramas IP:
Los datagramas fragmentados se muestran con una expresión al lado de los mismos entre
paréntesis:
(frag id:size@offset+) (frag id:size@offset)
4
id es el identificador de fragmento.
size tamaño del fragmento.
offset posición del fragmento en el datagrama original. Si existe el + al final de offset
significa que aún quedan más fragmentos. En caso de ausencia del signo + se interpreta
como que es el último fragmento de la secuencia.
Los datos del protocolo del nivel superior, sólo se imprimen en el primer fragmento
SegmentosUDP:
Un segmento UDP se muestra de la siguiente forma:
origen.srcport > destino.dsrport: udp len
origen: Nombre o dirección origen.
srcport: Puerto origen.
destino: Nombre o dirección destino.
dstport: Puerto destino
len: Longitud de los datos de usuario.
A continuación se presenta un ejemplo de captura de un segmento UDP:
12:35:21.457350 10.10.109.10.1025 > 192.168.1.2.1345: udp
121 [ttl 1]
En algunos casos, puede interpretar protocolos que vayan encapsulados en los paquetes
UDP, como NFS o DNS. El grado de detalle en la interpretación de estos protocolos dependerá
del grado de detalle que desee obtenerse con el parámetro -v.
3. Ejercicio 2
El objetivo de este ejercicio es observar los distintos campos del protocolo IP. Para ello se
capturará con tcpdump una conexión telnet o ftp (dar el login y password y a
continuación desconectarse). Por ejemplo, una conexión telnet (o ftp) ejecutada en el
ordenador puesto20 para conectarse al ordenador puesto21.
La captura con el comando tcpdump debe ser de forma que se obtenga el contenido de los
datagramas IP (parámetro –x de tcpdump). Desde puesto20 se hace una conexión telnet
a puesto21, mientras en una segunda sesión de puesto20 se ejecuta tcpdump, siguiendo
las siguientes líneas a ejecutar desde puesto20:
#telnet 158.49.98.21
#tcpdump –xa
El datagrama obtenido por tcpdump es el siguiente:
5
15:08:02.849789 eth0 < 158.49.98.21.telnet > 158.49.98.21.32769: P
1:13(12) ack 1 win 5792 <nop,nop,timestamp 43382898 135384> (DF) [tos
0x10]
4510 0040 c08d 4000 4006 798e 9e31 6215
9e31 6214 0017 8001 21f6 38fc d3ee 19df
8018 16a0 537f 0000 0101 080a 0295 f872
0002 10d8 fffd 18ff fd20 fffd 23ff fd27
A continuación se muestra una tabla con el valor en hexadecimal, en binario y el significado
de cada uno de los campos de la cabecera IP del datagrama anterior:
Campo de cabecera
IP
IP version (4 bits)
Header length (4 bits)
TOS (8bits)
Hex.
Binario
4
5
10
Total length (16 bits)
0040
Identification (16 bits)
c08d
Flags (3 bits)
4000
Fragment Offset(13
bits)
TTL (8 bits)
4000
Protocol type (8 bits)
Checksum (16 bits)
06
798e
Source @IP (32 bits)
9e31
6215
9e31
6214
Destination @ IP (32
bits)
40
Significado
0100 Versión 4 IP.
0101 El tamaño de la cabecera es 5*4=20
bytes.
00010000 Se solicita un servicio con prioridad 0
(normal), seguridad 1 (alta), retardo 0
(bajo) y rendimiento 0 (normal).
000000000010100 La longitud total del datagrama es 64*4
0 = 256bytes.
110000001000110 La secuencia de identificación del
1 datagrama es c08d.
010 El bit de más fragmentos (MF) está
desactivado y el de no fragmentar (DF)
activado.
0000000000000 El desplazamiento es de 0 bytes.
01000000 El tiempo de vida es de 64 puntos de
enrutamiento.
00000110 El tipo de protocolo es 6 (TCP).
011110011000111 La suma de comprobación es igual a
0 798e.
10011110001... La dirección IP origen es 158.49.98.21.
10011110001... La dirección IP destino es 158.49.98.20
A continuación se propone resolver el siguiente ejercicio. Establecer una conexión ftp (o
telnet) entre dos máquinas de la sala Norba (ftp –v @IP). En el caso de usar cuentas
personales se recomienda emplear contraseñas falsas o supuestas, ya que, como veremos más
adelante, la contraseña puede ser capturada. Identificar la cabecera IP del primer datagrama IP
(tomar los 20 primeros octetos). Para esto hay que escribir los campos en hexadecimal y a
continuación interpretarlos (traducir los campos que tengan un significado numérico como las @
IP, TTL, etc...).
6
Campo de cabecera IP
Hex.
Binario
Significado
IP version (4 bits)
Header length (4 bits)
TOS (8bits)
Total length (16 bits)
Identification (16 bits)
Flags (3 bits)
Fragment
Offset(13
bits)
TTL (8 bits)
Protocol type (8 bits)
Checksum (16 bits)
Source @IP (32 bits)
Destination @ IP (32
bits)
(*) Interpretar la parte binaria
•
Para ver el mapeo de caracteres ASCII en hexadecimal puede usarse el anexo al final de
este documento.
•
Los tipos de protocolos pueden encontrarse en el fichero /etc/protocols
•
Observar la correlación entre un datagrama origen y otro destino (las @IP deben estar
intercambiadas).
•
Observar la correlación entre dos datagramas con origen consecutivos: el identificador
usa números consecutivos para datagramas consecutivos. Pero atención, pues los
números son consecutivos entre todos los datagramas IP enviados. Si sólo se capturan
datagramas que encapsulan datos de una aplicación (ej. ftp), podrá comprobarse que hay
números que no son consecutivos (faltaría capturar los datagramas de otras aplicaciones
como pueden ser DNS).
A continuación de la cabecera IP se encuentra encapsulada una estructura de datos
perteneciente a otro protocolo: el campo tipo identifica este protocolo (ej. TCP, UDP. ICMP,
IGMP,...). En el caso de la aplicación telnet o ftp se usa el protocolo TCP (identificador 6).
Este protocolo contiene una cabecera de 20 octetos. A continuación de la cabecera TCP vienen
los datos. Como en el campo IP total length se almacena la longitud del datagrama IP,
basta con restar la cabecera IP y la cabecera TCP para saber el tamaño del campo de datos que
transporta el datagrama IP.
7
4. Ejercicio 3
Identificación del diálogo de aplicación telnet o ftp. Podemos comprobar que telnet
o ftp inician un diálogo en el que debe solicitarse el nombre de usuario y su contraseña.
Aunque las aplicaciones telnet y ftp desactivan el echo de pantalla para que la contraseña
no pueda ser observada, ésta se transmite sin codificar por la red. Esto significa que entre los
datos que se han capturado anteriormente se encuentra también la contraseña.
Si se observa el diálogo telnet o ftp, cuando el emisor solicita el comando 220
puesto20 FTP (cuya secuencia en hexadecimal es 3232 _______ 726f ....) está
solicitando el nombre de usuario que encontraremos en la contestación del otro. FTP solicita
con el comando 331 Password required ... (en HEX es la secuencia 3333 3120
5061 7373 ...) el destino contestará con la contraseña.
Identificar el diálogo FTP y capturar el username (login o nombre de usuario) y
password (contraseña) de la conexión. Por razones obvias se aconseja introducir contraseñas
falsas en las pruebas.
Para realizar este ejercicio se realiza desde puesto20 un telnet a puesto 21 (#telnet 158.49.98.21)
y se hace login en la cuenta usuario. Mientras tanto, en puesto21 se ha puesto su tarjeta de red
en modo promiscuo con el comando #tcpdump –xa eth0. Se muestran a continuación los
datagramas mostrados por tcpdump en el puesto 21, donde pueden observarse cada uno de los
caracteres de la contraseña de la contraseña tecleada por el usuario que desde el puesto 20
accede a la cuenta usuario del puesto21.
Nota: se muestran los dos primeros caracteres de la contraseña subrayados y en negrita.
15:08:12.924998 eth0 < 158.49.98.21.telnet > 158.49.98.20.32769: P 119:129(10)
ack 50 win 5792 <nop,nop,timestamp 43383905 136392> (DF) [tos 0x10]
4510 003e c09b 4000 4006 7982 9e31 6215
9e31 6214 0017 8001 21f6 3972 d3ee 1a10
8018 16a0 9a75 0000 0101 080a 0295 fc61
0002 14c8 5061 7373 776f 7264 3a20
E^P ^@ > .... @^@ @^F y.. .. 1 b^U
.. 1 b^T ^@^W ..^A !.. 9 r .... ^Z^P
..^X ^V.. .. u ^@^@ ^A^A ^H^J ^B.. .. a
^@^B ^T.. P a s s w o r d :
15:08:12.925006 eth0 > 158.49.98.20.32769 > 158.49.98.21.telnet: . 50:50(0)
ack 129 win 5840 <nop,nop,timestamp 136392 43383905> (DF)
4500 0034 091e 4000 4006 311a 9e31 6214
9e31 6215 8001 0017 d3ee 1a10 21f6 397c
8010 16d0 8216 0000 0101 080a 0002 14c8
0295 fc61
E^@ ^@ 4 ^I^^ @^@ @^F 1^Z .. 1 b^T
.. 1 b^U ..^A ^@^W .... ^Z^P !.. 9 |
..^P ^V.. ..^V ^@^@ ^A^A ^H^J ^@^B ^T..
^B.. .. a
15:08:13.742581 eth0 > 158.49.98.20.32769 > 158.49.98.21.telnet: P 50:51(1)
ack 129 win 5840 <nop,nop,timestamp 136474 43383905> (DF)
4500 0035 091f 4000 4006 3118 9e31 6214
9e31 6215 8001 0017 d3ee 1a10 21f6 397c
8018 16d0 11bb 0000 0101 080a 0002 151a
0295 fc61 70
E^@ ^@ 5 ^I^_ @^@ @^F 1^X .. 1 b^T
.. 1 b^U ..^A ^@^W .... ^Z^P !.. 9 |
..^X ^V.. ^Q.. ^@^@ ^A^A ^H^J ^@^B ^U^Z
^B.. .. a p
8
15:08:13.778810 eth0 < 158.49.98.21.telnet > 158.49.98.20.32769: . 129:129(0)
ack 51 win 5792 <nop,nop,timestamp 43383991 136474> (DF) [tos 0x10]
4510 0034 c09c 4000 4006 798b 9e31 6215
9e31 6214 0017 8001 21f6 397c d3ee 1a11
8010 16a0 819d 0000 0101 080a 0295 fcb7
0002 151a
E^P ^@ 4 .... @^@ @^F y.. .. 1 b^U
.. 1 b^T ^@^W ..^A !.. 9 | .... ^Z^Q
..^P ^V.. .... ^@^@ ^A^A ^H^J ^B.. ....
^@^B ^U^Z
15:08:14.091720 eth0 > 158.49.98.20.32769 > 158.49.98.21.telnet: P 51:52(1)
ack 129 win 5840 <nop,nop,timestamp 136509 43383991> (DF)
4500 0035 0920 4000 4006 3117 9e31 6214
9e31 6215 8001 0017 d3ee 1a11 21f6 397c
8018 16d0 0c41 0000 0101 080a 0002 153d
0295 fcb7 75
E^@ ^@ 5 ^I
@^@ @^F 1^W .. 1 b^T
.. 1 b^U ..^A ^@^W .... ^Z^Q !.. 9 |
..^X ^V.. ^L A ^@^@ ^A^A ^H^J ^@^B ^U =
^B.. .... u
15:08:14.091961 eth0 < 158.49.98.21.telnet > 158.49.98.20.32769: . 129:129(0)
ack 52 win 5792 <nop,nop,timestamp 43384022 136509> (DF) [tos 0x10]
4510 0034 c09d 4000 4006 798a 9e31 6215
9e31 6214 0017 8001 21f6 397c d3ee 1a12
8010 16a0 815a 0000 0101 080a 0295 fcd6
0002 153d
E^P ^@ 4 .... @^@ @^F y.. .. 1 b^U
.. 1 b^T ^@^W ..^A !.. 9 | .... ^Z^R
..^P ^V.. .. Z ^@^@ ^A^A ^H^J ^B.. ....
^@^B ^U =
Como ejercicio se propone visualizar la contraseña de tu compañero mientras accede a la
cuenta Redes de tu sistema Linux.
5. Protocolo ICMP
El protocolo ICMP (Internet Control Message Protocol) informa de la aparición de errores
en la manipulación de los datagramas. Siempre que un router detecte un error o excepción en un
datagrama utiliza el protocolo ICMP para informar al host origen de esa circunstancia. ICMP no
realiza ninguna acción para corregir el error que se haya producido, solamente se encarga de
comunicarlo al host origen para que éste realice las acciones oportunas para corregir el error.
Inicialmente, ICMP fue diseñado como un protocolo para los routers, sin embargo los hosts
también lo pueden utilizar.
Aunque este protocolo fue diseñado para detectar las incidencias que se producen en el
transporte de un datagrama hacia el host destino, no todas ellas pueden ser detectadas. Entre
estas causas se encuentra la pérdida de un datagrama que lleva un mensaje ICMP. En este punto
podríamos pensar que para solucionar este problema, esta pérdida podría ser notificada con otro
mensaje ICMP. Más que solucionar el problema, lo estaríamos agravando cuando la razón de
esa pérdida sea una congestión en la red. Por eso, no se permite notificar mediante mensajes
ICMP la pérdida de datagramas que lleven un mensaje ICMP. De hecho, la pérdida de un
datagrama que transporta un mensaje ICMP no se notifica. Otra norma general que impone este
protocolo es que las notificaciones de error se hacen solamente al host origen.
La siguiente figura muestra cómo los mensajes ICMP van encapsulados en datagramas IP:
9
Aunque ICMP va encapsulado en un datagrama IP, eso no quiere decir que ICMP sea un
protocolo de nivel superior. Debe considerarse como parte de IP, como si fuese una herramienta
auxiliar de la que dispone IP para poder detectar errores en el transporte de los datagramas a sus
diversos destinos.
Cada tipo de mensaje ICMP tiene su propio formato, aunque todos ellos comienzan con tres
campos comunes. El resto de campos puede variar en función del tipo de mensaje. Los campos
comunes son el campo Tipo, el campo Código y el campo Checksum.
El campo Tipo identifica el tipo de mensaje ICMP. En la siguiente tabla se muestran algunos
de los tipos de mensajes que contempla este protocolo. El campo Código se usa para aportar
más información acerca del tipo de mensaje ICMP. Este campo no siempre es necesario. El
último campo contendrá el Checksum del mensaje ICMP.
La descripción de cada uno de los tipos de mensajes ICMP de la tabla anterior es la
siguiente:
• Petición de eco y Contestación de eco: Son dos mensajes que se usan conjuntamente para
determinar el alcance de un host o un router. Normalmente son utilizados por los hosts, de
forma que estos puedan extraer información acerca del estado del host remoto, el retardo
que introduce la red en la entrega de los mensajes y el porcentaje de mensajes perdidos.
• Destino inalcanzable: Se trata de un mensaje que es generado por un router cuando no
puede encaminar un datagrama. Existen diferentes causas que provocan la emisión de este
mensaje y que están codificadas en el campo Código del mensaje ICMP. El mensaje es
dirigido al host que ha enviado el datagrama y en su interior se especifican los primeros
64 bits del datagrama que lo ha causado (el que no se puede entregar al destino).
• Paquete de restricción: Es un mensaje que utilizan los routers para frenar el ritmo de
inyección de mensajes en la red de un determinado host. Esta situación se produce cuando
un router se ve sobrecargado con la recepción de datagramas (una posible situación de
congestión) teniendo que descartar algunos por falta de buffers. Cuando se produce esta
situación, el router envía un mensaje de este tipo al host origen del datagrama descartado,
solicitándole que baje el ritmo de envío de datagramas ya que en ese momento hay una
situación temporal de congestión.
10
• Tiempo de vida agotado: Cuando un router encamina un datagrama, una de sus tareas es
decrementar en una unidad el campo Tiempo de vida (TTL) de la cabecera del mismo. Si
tras la operación el campo vale "0", el router debe descartar el datagrama y enviar un
mensaje ICMP de este tipo hacia el host origen.
El objetivo de esta sección es identificar el formato de un mensaje ICMP. Recordar que este
protocolo se encarga de notificar mensajes de error así como mensajes de control. Los mensajes
ICMP van encapsulados en datagramas IP (el campo tipo de IP vale 1, como puede
comprobarse en el fichero /etc/protocols). La cabecera ICMP ocupa 4 octetos (comunes
a todos los mensajes ICMP) más una serie de octetos que depende del tipo de mensaje. Los dos
primeros octetos llamado tipo y código identifican el mensaje ICMP, los dos siguientes
octetos son un checksum de 16 bits.
Para observar este hecho vamos a capturar un mensaje ICMP con el comando tcpdump. La
aplicación ping envía mensajes ICMP ECHO REQUEST (tipo 8) a un host específico. Este
host responde con un mensaje ICMP ECHO_RESPONSE (tipo 0). El host que efectúa la
petición escribe por su salida estándar el mensaje host is alive si ha habido una respuesta
o no answer from host si en 20 segundos el host remoto no ha respondido. También es
posible que ping imprima por su salida estándar estadísticas de los paquetes que ha enviado
(retardo que han sufrido, cuántos se han perdido, etc.) ejecutando ping –s @IP.
Después de los cuatro primeros octetos típicos de ICMP, los mensajes ICMP
ECHO_REQUEST usan 2 octetos que identifican el PID del proceso ping de la máquina que
efectúa la petición de ping (esto lo hace para identificar varios ping de un mismo origen)
seguido de otros dos octetos con un número de secuencia de los paquetes enviados. A partir del
número de secuencia recibido en el echo, ping puede identificar cuántos se han perdido, o se
han desordenado o son duplicados. También puede calcular el RTT (Round Trip Time).
6. Ejercicio 4
Ejecutar el comando ping a una dirección IP y capturar con el comando tcpdump el
contenido de 2 ó 3 paquetes. Identificar en el campo de cabecera IP el tipo de protocolo (ICMP),
y en el payload de IP vendrá la cabecera ICMP donde puede identificarse el tipo y código del
paquete ICMP, identificar el PID del ping y el número de secuencia de los paquetes enviados.
15:15:37.480025 eth0 >
(DF)
4500
9e31
1553
8cfa
24fb
a0d7
158.49.98.20 > 158.49.98.62: icmp: echo request
E^@
.. 1
^U S
....
$..
....
15:15:37.480326 eth0 <
(DF)
4500
9e31
1553
8cfa
^@ T ^@^@ @^@ @^A 9.. .. 1
b > ^H^@ R.. =^A ^B^@ .. )
^G^@ P.. ^G^H ^A^@ ^@^@ ....
.... l.. .... .... ^B @ ....
.... .... ^O @ .... ^O @ ^N^@
^O @
158.49.98.62 > 158.49.98.20:
0054
623e
0700
ffbf
ffbf
0f40
0054
6214
0700
ffbf
0000 4000 4001 39f4 9e31 6214
0800 52b8 3d01 0200 9929 c740
50d9 0708 0100 0000 98fb ffbf
6cfa ffbf cdd6 0240 b499 0f40
b499 0f40 b499 0f40 0e00 0000
b^T
.. @
....
^O @
^@^@
icmp: echo reply
6edf 4000 ff01 0c14 9e31 623e
0000 5ab8 3d01 0200 9929 c740
50d9 0708 0100 0000 98fb ffbf
6cfa ffbf cdd6 0240 b499 0f40
11
24fb ffbf b499 0f40 b499 0f40 0e00 0000
a0d7 0f40
E^@
.. 1
^U S
....
$..
....
15:15:38.480022 eth0 >
(DF)
4500
9e31
1253
8cfa
24fb
a0d7
E^@
.. 1
^R S
....
$..
....
^@ T n.. @^@
b^T ^@^@ Z..
^G^@ P.. ^G^H
.... l.. ....
.... .... ^O @
^O @
158.49.98.20 >
0054
623e
0700
ffbf
ffbf
0f40
..^A
=^A
^A^@
....
....
^L^T
^B^@
^@^@
^B @
^O @
.. 1
.. )
....
....
^N^@
b >
.. @
....
^O @
^@^@
158.49.98.62: icmp: echo request
0000 4000 4001 39f4 9e31 6214
0800 53b8 3d01 0300 9a29 c740
50d9 0708 0100 0000 98fb ffbf
6cfa ffbf cdd6 0240 b499 0f40
b499 0f40 b499 0f40 0e00 0000
^@ T ^@^@ @^@ @^A 9..
b > ^H^@ S.. =^A ^C^@
^G^@ P.. ^G^H ^A^@ ^@^@
.... l.. .... .... ^B @
.... .... ^O @ .... ^O @
^O @
.. 1
.. )
....
....
^N^@
b^T
.. @
....
^O @
^@^@
En los datagramas obtenidos se puede observar que el tipo de protocolo es ICMP, ya que el
valor de este campo es 01 (en negrita). El tipo es 00 en los paquetes echo reply y 08 en los
paquetes echo request (subrayado). El campo código es igual en los tres paquetes y vale 00
(negrita, cursiva y subrayado). El PID del ping es 3d01(negrita y subrayado). Por último, los
números de secuencia de los paquetes son respectivamente 0200 y 0300.
Como ejercicio se propone rellenar las tablas siguientes a partir de los datos obtenidos al
realizar un ping al ordenador de tu compañero.
Campos de cabecera
IP
IP version (4 bits)
Header length (4 bits)
TOS (8bits)
Total length (16 bits)
Identification (16 bits)
Flags (3 bits)
Frag. Offset(13 bits)
TTL (8 bits)
Protocol type (8 bits)
Checksum (16 bits)
Source @IP (32 bits)
Destin. @ IP (32 bits)
Hex.
Significado
12
Campos de cabecera
ICMP
Tipo
Código
Cheksum
PID del ping emisor
Número de secuencia
Hex.
Significado
ANEXO: Código ASCII: Hexadecimal/Character
00
08
10
18
20
28
30
38
40
48
50
58
60
68
70
78
NUL
BS
DLE
CAN
SP
(
0
8
@
H
P
X
`
h
p
x
01
09
11
19
21
29
31
39
41
49
51
59
61
69
71
79
SOH
HT
DC1
EM
!
)
1
9
A
I
Q
Y
a
i
q
y
02 STX
0A NL
12 DC2
1A SUB
22 “
2A *
32 2
3A :
42 B
4A J
52 R
5A Z
62 b
6A j
72 r
7A z
03
0B
13
1B
23
2B
33
3B
43
4B
53
5B
63
6B
73
7B
ETX
VT
DC3
ESC
#
+
3
;
C
K
S
[
c
k
s
{
04
0C
14
1C
24
2C
34
3C
44
4C
54
5C
64
6C
74
7C
EOT
NP
DC4
FS
$
,
4
<
D
L
T
\
d
l
t
05 ENQ
0D CR
15 NAK
1D GS
25 %
2D 35 5
3D =
45 E
4D M
55 U
5D ]
65 e
6D m
75 u
7D }
06
0E
16
1E
26
2E
36
3E
46
4E
56
5E
66
6E
76
7E
ACK
SO
SYN
RS
&
.
6
>
F
N
V
^
f
n
v
~
13
Descargar

Prcticas de Redes de Computadores