Cuestión 1. Iniciación al monitor de red. Visualización general de protocolos en la red.
Activa el monitor de red y captura todo tipo de tráfico en la red durante unos segundos. Paraliza la captura y visualiza…
1.a) Del conjunto de datos adquiridos, filtrar los que estén dirigidas a la máquina del alumno. ¿Cuántas tramas aparecen?
nbns && ip.dst==172.20.43.208
Total (Packets): 2411
Datos Filtrados (Displayed): 831
Con este comando filtramos descartando las tramas indeseadas con
“!nbns” y quedándonos con las que van dirigidas a mi maquina.
Una vez filtrado, aparecen 831 de un total de 2411 tramas que
habían desde un principio.
1.b) Del conjunto de datos adquiridos, filtrar los que proceden de la máquina del alumno. ¿Cuántas tramas visualizas ahora?
1.c) Ahora filtra los datos cuyo origen o destino sea la máquina del alumno. ¿Qué número de tramas se visualizan? ¿Es coherente este valor con los resultados anteriores?
1.d) A continuación, filtra los datos en los que esté presente el protocolo HTTP. ¿Qué otros protocolos observas en el interior de la trama además del HTTP?
Cuestión 2. Análisis estadístico de una captura de datos.
A partir de una conexión y descarga de datos en la red se determinará cierta información que aparece en la misma. En primer lugar se iniciará el monitor de red y se realizarán las siguientes acciones para generar tráfico:
Con el navegador, realiza la descarga del programa PUTTY:
http://tartarus.org/~simon/putty-snapshots/x86/putty.zip
A continuación, una vez paralizada la captura. Con los datos obtenidos debes responder a las siguientes cuestiones:
2.a) Calcula el porcentaje de paquetes IP existentes en la captura. (Paquetes IP / tramas totales *100).
Paquetes IP (Displayed): 4926
Tramas totales (Packets): 4926
Porcentaje IP: 100%
2.b) Calcula el porcentaje de paquetes IP enviados por la máquina del alumno.
Escribimos en Filter : ip.src == 172.20.43.208
Total tramas: 4926
Tramas difusión: 2494
%tramas: (2494/4926)*100 = 50,63%
2.c) Calcula el porcentaje de segmentos TCP recibidos por la máquina del alumno.
Total tramas: 4926
Tramas recibidas: 1926
%tramas: (1926/4926)*100 = 39,10 %
2.d) Calcula el porcentaje de paquetes que contengan el protocolo DNS en su interior.
Total tramas: 4926
Tramas con DNS: 42
%tramas: (42/4926)*100 = 0,85 %
Cuestión 3. Tramas del nivel de Enlace (Ethernet).
A partir de la captura del ejercicio anterior, debes analizar ahora la cabecera del nivel de enlace. Para ello, realiza un filtrado para visualizar TRAMAS que procedan de tu máquina.
3.a) ¿Qué tipo de filtro has empleado?. Indica la dirección MAC de tu máquina.
ip.src == 172.20.43.208
MAC: 00:0A:5E:76:FD:5B
3.b) ¿Con qué otra dirección MAC se comunica la tarjeta de red Ethernet de tu máquina en bastantes ocasiones? ¿Sabes identificar el equipo al que pertenece esa otra dirección MAC?
Se comunica con la MAC = 00:01:f4:11:38:bd
Cuestión 4. Sobre el protocolo ARP.
4.a Visualiza la dirección MAC e IP de la máquina de ensayos, ejecutando el siguiente comando en una ventana de MSDOS:
En MS-DOS introducimos: ipconfig /all
Anota los valores de IP y MAC que obtienes. Con ello sabrás el direccionamiento IP y MAC de tu PC en la red local.
ip=172.20.43.208
MAC= 00:0A:5E:76:FD:5B
A continuación, activa la captura de tramas en el programa monitor de red.
En la máquina del alumno se lanzarán peticiones ‘echo’ a través del programa ping a la dirección IP 172.20.43.230, borrando previamente de la tabla ARP local la entrada asociada a esa dirección IP
arp –a (Visualiza la tabla ARP)
arp –d (Borra una dirección IP en la tabla ARP)
ping 172.20.43.230 (Muestra la conectividad de la máquina 172.20.43.230)
En el monitor de red debes detener la captura y visualizarla. Introduce un filtro para visualizar sólo tramas ARP asociadas a la máquina del alumno…
· ¿Cuántas tramas Ethernet intervienen en el protocolo ARP?
Dos tramas Ethernet, una petición y una respuesta. Si se observa en la imagen, por error del software de monitorización se repite 2 veces la petición (2 primeras líneas).
· ¿Cuál es el estado de la memoria caché de ARP una vez se ha ejecutado el protocolo ARP para la resolución de una dirección?
En la memoria caché se almacena la dirección ip a la que hacemos ping.
· Sin que haya transcurrido mucho tiempo, captura de nuevo tramas con el monitor de red. Vuelve a ejecutar el comando ping (con la misma dirección IP destino). Paraliza la captura y observa la secuencia de tramas ARP. ¿Aparecen las mismas tramas ARP asociadas con tu máquina?
En este caso no aparecen tramas ARP, ya que al encontrarse la dirección MAC en la memoria cache, no es necesario iniciar el protocolo.
4.b Ejecuta el comando ping con diferentes direcciones IP de los compañeros asistentes a prácticas. ¿Qué ocurre con la memoria caché de ARP de tu máquina?
Ejecutamos en MS-DOS los siguientes comandos: ping 172.20.43.204, ping 172.20.43.206 y ping 172.20.43.208. Con esto, estamos realizando peticiones a los ordenadores de nuestros compañeros mediante su dirección IP. Seguidamente miramos la memoria cache ARP, en la cual podemos ver las correspondientes direcciones MAC de los mismos. Como es de prever esto es así porque los ordenadores están conectados en red local, en caso de que esto no fuera así, tendríamos la dirección MAC del router que haría de enlace entre las redes.
4.c. Borra el contenido de tu caché ARP. A continuación, activa el Monitor de red y pide a tus compañeros del aula más cercanos a ti que te envíen comandos ping. Tú no debes enviar ningún comando. Pasados unos segundos… ¿Qué ocurre con tu caché de ARP?
¿Qué tramas de ARP aparecen en la captura del monitor de red?
Para borrar la memoria cache ARP hacemos uso del comando:
arp –d "dirección ip"
Como se aprecia, mi memoria cache va aumentando de nuevo, pudiendo apreciarse sus direcciones IP y MAC.
Las tramas que aparecen son ARP de petición y respuesta entre los ordenadores.
4.d) Borra el contenido de tu caché ARP. Ejecutar el comando ping con las siguientes direcciones IP externas a tu red local:
· 172.20.41.241
· 10.3.2.0
· 10.3.7.0
· 10.4.2.5
¿Qué ocurre con la memoria caché de ARP en este caso? Especifica cuál es la máquina de tu red local de la que proceden las tramas que transportan los mensajes de respuesta al haber ejecutado el comando ping a los anteriores destinos.
Lo que ocurre en el primer caso es que al tener que acceder a otra red local fuera de la nuestra a parte de los 2 ciscos que utilizamos para salir del laboratorio hemos tenido que pasar por otra máquina la 172.20.43.232 por lo que en la caché ARP nos apareceran las IP’s de los cisco más la máquina de linux por la que teníamos que pasar para llegar a la dirección IP a la que le hemos hecho el ping.
Sin embargo para el segundo caso solo necesitamos pasar por los 2 cisco no hace falta pasar por la red de la máquina linux al igual que en el tercer caso.
Y para terminar como podemos ver en el último caso como hacemos ping al serial 1 de uno de los cisco no hace falta que pasemos por el otro para llegar hasta esa dirección IP, ya que siempre iremos de un sitio hasta el otro por el camino mas corto pues el laboratorio está configurado de esta manera.
Comando ARP | Dir Mac Orig. | Dir IP orig. | Dir MAC dest. | Dir IP dest. |
ARP_request | MAC 1 | 5.1.2.0 | BROADCAST | 5.1.1.0 |
ARP_response | MAC 2 | 5.1.1.0 | MAC 1 | 5.1.2.0 |
ARP_request | MAC 3 | 5.2.1.0 | BROADCAST | 5.2.2.0 |
ARP_response | MAC 4 | 5.2.2.0 | MAC 3 | 5.2.1.0 |
4.f) (ejercicio teórico) ¿Qué sucedería con el protocolo ARP si, a diferencia de la red representada en la cuestión anterior, tenemos tres segmentos de red y dos routers que los enlazan? En este caso, la máquina con IP 5.1.2.0 realiza un ping a la máquina 5.3.2.0. (Todas las tablas ARP están vacías)
Comando ARP | Dir Mac Orig. | Dir IP orig. | Dir MAC dest. | Dir IP dest. |
ARP_request | MAC 1 | 5.1.2.0 | BROADCAST | 5.1.1.0 |
ARP_response | MAC 2 | 5.1.1.0 | MAC 1 | 5.1.2.0 |
ARP_request | MAC 3 | 5.2.1.0 | BROADCAST | 5.2.3.0 |
ARP_response | MAC 5 | 5.2.3.0 | MAC 3 | 5.2.1.0 |
ARP_request | MAC 6 | 5.3.1.0 | BROADCAST | 5.3.2.0 |
ARP_response | MAC 7 | 5.3.2.0 | MAC 6 | 5.3.1.0 |
Cuestión 5. Sobre direccionamiento IP y máscaras de subred.
5.a) Analizar al azar varios DATAGRAMAS IP (4 ó 5) capturados con el monitor de red.
· De los datagramas visualizados, indica cuál es su longitud:
Datagrama | Cab. | Cuerpo | Protocolo | Clase fuente | Clase destino |
1 (nº 61) | 20 bytes | 48 bytes | TCP | Clase B (172.20.43.221) | Clase B (172.25.32.98) |
2 (nº 87) | 20 bytes | 40 bytes | TCP | Clase B (172.20.43.221) | Clase B (172.25.32.98) |
3 (nº 89) | 20 bytes | 787 bytes | TCP | Clase B (172.20.43.221) | Clase B (172.25.32.98) |
4 (nº 98) | 20 bytes | 1500 bytes | TCP | Clase B (172.25.32.98) | Clase B (172.20.43.221) |
5.b) Empleando el monitor de red, averigua las direcciones IP de los siguientes servidores Web, indicando la CLASE de dirección a la que pertenecen (A, B ó C):
Para averiguar las IP de los servidores Web hemos usado el comando ping del simbolo del sistema para que nos devolviera la IP. Ej: ping www.ibm.com
Para clasificar las IP’s nos hemos basado en los siguientes baremos:
Clase A: 0.x.x.x – 127.x.x.x
Clase B: 128.x.x.x – 191.x.x.x
Clase C: 192.x.x.x – 223.x.x.x
• http://www.ibm.com a 129.42.58.216 (Clase B)
• http://www.ono.es a 62.42.230.18 (Clase A)
• http://www.ua.es a 193.145.233.8 (Clase C)
5.c) (ejercicio teórico) Sea una máquina con dirección IP 145.34.23.1 y máscara de subred asociada 255.255.192.0. Determina si los siguientes destinos IP de un datagrama que se envíe a la red serán locales o remotos:
· 145.34.23.9 local
· 145.21.1.2 remoto
· 65.33.123.87 remoto
· 145.34.200.34 local
· 145.34.128.200 local
¿A qué máquina de la red local se enviará la trama Ethernet que transportará al datagrama IP si el destino es remoto?
Se enviará a la puerta de enlace del router de salida (IP 145.34.0.1).