Taller Capa de Transporte Protocolos TCP-UDP UDP bits 0 32 64 96 128 160 0–7 8 – 15 16 – 23 24 – 31 Dirección Origen Dirección Destino Ceros Protocolo Longitud UDP Puerto Origen Puerto Destino Longitud del Mensaje Suma de verificación Datos Pseudo Cabecera IP Cabecera UDP 1. Usando la herramienta Wireshark, cargar el archivo data2.pcapng y utilizarlo para reconocer: a. El paquete 4495 y desglosarlo en el modelo del paquete del protocolo: bits 0–7 0 32 64 0 96 128 160 8 – 15 16 – 23 24 – 31 192.168.1.102 50.17.195.149 UDP(17) 209 138 138 Checksum: 0xd352 229 [unverified] 00:8a:00:8a:00:d1:d3:52 Pseudo Cabecera IP Cabecera UDP 00:8a:00:8a:00:d1:d3:52 es igual ¿Cuál es el protocolo de aplicación?¿Para que sirve? Microsoft Windows Browser Protocol (BROWSER) Este protocolo no solo almacena el nombre, también tiene un campo en el que se incluyen los servicios que el host ofrece, claro los servicios que están integrados con el sistema operativo, en este caso, Windows Ubicar el paquete 4845: bits 0–7 0 32 64 0 96 8 – 15 16 – 23 0.0.0.0 225.225.225.225 UDP(17) 68 24 – 31 312 67 Pseudo Cabecera IP Checksum: 0x17d5 128 160 332 [unverified] 00:44:00:43:01:38:17:d5 Cabecera UDP 00:44:00:43:01:38:17:d5 es igual a: b. Cuál es el protocolo de aplicación? DHCP c. Hay más paquetes relacionados con este paquete? Ubíquelos El paquete 4846 está relacionado por el ID de Transacción 0xcca04514 en donde se envía un mensaje DHCP NAK indicando que el contrato ha terminado o que la dirección IP asignada no es válida. d. Explique qué proceso se está realizando en esa secuencia de paquetes UDP. bits 0–7 0 32 64 0 96 128 8 – 15 16 – 23 192.168.0.1 225.225.225.225 UDP(17) 67 576 24 – 31 556 68 Checksum: 0xbd8a [unverified] Pseudo Cabecera IP Cabecera UDP 160 00:43:00:44:02:2c:bd:8a 00:43:00:44:02:2c:bd:8ª es igual a e. Que otros protocolos e aplicación hay utilizando UDP como protocolo de transporte en esta traza? Exponga en el modelo del protocolo 1 paquete de cada protocolo de aplicación que encuentre. Los protocolos de aplicación encontrados fueron BROWSER, DHCP, DNS. BROWSER: Paquete 5831 0–7 bits 8 – 15 0 96 128 160 24 – 31 192.168.0.5 32 64 16 – 23 0 192.168.0.255 UDP(17) 138 206 186 138 Checksum: 0xe2ab [unverified] 00:8a:00:8a:00:ba:e3:ab 00:8a:00:8a:00:ba:e3:ab es igual. DCHP: Paquete 2675 0–7 bits 8 – 15 0 96 128 160 24 – 31 192.168.1.1 32 64 16 – 23 0 192.168.1.102 UDP(17) 67 556 68 576 Checksum: 0x501b [unverified] 00:43:00:44:02:2c:50:1b 00:43:00:44:02:2c:50:1b es valor es DNS: Paquete 31 0–7 bits 8 – 15 0 96 128 160 24 – 31 192.168.1.102 32 64 16 – 23 0 192.168.1.1 UDP(17) 53 62289 61 41 Checksum: 0x99e8 [unverified] f3:51:00:35:00:29:99:e8 f3:51:00:35:00:29:99:e8 es igual: TCP 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 Puerto de origen Puerto de destino Número de secuencia Número de acuse de recibo ACK Posición U A P R S F de los R C S S Y I Reservado VENTANA datos G K H T N N Suma de control Puntero urgente Opciones Relleno Datos 1. Usando la herramienta Wireshark, cargar el archivo data2.pcapng y utilizarlo para reconocer: a. El paquete 44 y desglosarlo en el modelo del paquete del protocolo: 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 49342 80 0 (numero relativo de secuencia) 0 (relative ack number) Longitud cabecera 32 Bytes(8) 0 0 0 0 1 0 0x287d [unverified] Longitud del tamaño de la ventana:8292 0 02:04:05:b4:01:03:03:02:01:01:04:02 c0:be:00:50:39:63:de:7d:00:00:00:00:80:02:20:00:28:7d:00:00:02:04:05:b4:01:03:03:02:01:01:04:02 02:04:05:b4:01:03:03:02:01:01:04:02 es igual a: c0:be:00:50:39:63:de:7d:00:00:00:00:80:02:20:00:28:7d:00:00:02:04:05:b4:01:03:03:02:01:01:04:0 2 es igual: b. Ubique una secuencia de conexión identificando los 3 paquetes continuos SYN, SYN + ACK, ACK y el paquete FIN de la conexión Paquete 6152 (FIN, ACK) 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 49478 80 1 (relative sequence number) 1 (relative ack number) Longitud cabecera 20 Bytes(5) 0 1 0 0 0 1 000 Longitude del tamaña de ventana: 16800 0x37df [unverified] 0 c1:46:00:50:b0:98:6d:0b:ee:a4:fa:74:50:11:41:a0:37:df:00:00 c1:46:00:50:b0:98:6d:0b:ee:a4:fa:74:50:11:41:a0:37:df:00:00 es igual a: Paquete 6150 (SYN, ACK) 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 80 49450 0 Longitude cabecera 32 bytes (2) 0 1 0 0 (relative sequence number) 1 (relative ack number) 1 0 0xb513 [unverified] 02:04:05:78:01:01:04:02:01:03:03:09 Longitude del tamaña de ventana: 14722 0 00:50:c1:2a:5a:de:58:f0:74:f7:05:3b:80:12:39:82:b5:13:00:00:02:04:05:78:01:01:04:02:01:03:03:09 02:04:05:78:01:01:04:02:01:03:03:09 es igual: 00:50:c1:2a:5a:de:58:f0:74:f7:05:3b:80:12:39:82:b5:13:00:00:02:04:05:78:01:01:04:02:01:03:03:0 9 es igual: c. Exponga un paquete con flag reset activado y trate de determinar que ocurrió en la conexión que hizo que se activara este bit. El paquete 4929 tiene un flag Reset (RST) activado, así mismo tiene activado el ACK, cuando esto ocurre es porque se envió un paquete con flag SYN para iniciar una conexión TCP, en este caso al puerto 80 pero este está cerrado. 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 49465 80 20 (relative sequence number) 264 (relative ack number) Longitude cabecera 20 bytes (5) 000 0 1 0 1 0 0 Longitude del tamaña de ventana: 0 0x7873 [unverified] 0 c1:39:00:50:3a:1b:0d:4d:4c:0c:61:08:50:14:00:00:78:73:00:00 c1:39:00:50:3a:1b:0d:4d:4c:0c:61:08:50:14:00:00:78:73:00:00 es igual: d. Exponga un paquete con flag push activado. Qué otro flag se activa junto con push? El paquete 2250 tiene flag PUSH activado. Y se identifica que este flag se activa junto al flag ACK. 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 49392 80 81402 (relative sequence number) 1804 (relative ack number) Longitude cabecera 20 bytes (5) 000 0 1 1 0 0 0 Longitude del tamaña de ventana: 328 0x2570 [unverified] 0 00:50:c0:f0:e0:02:da:f1:78:3b:03:79:50:18:01:48:25:70:00:00 00:50:c0:f0:e0:02:da:f1:78:3b:03:79:50:18:01:48:25:70:00:00