Universidad Israel

CARRERA: Maestría en Seguridad Informática

ASIGNATURA: Competencias Digitales En Seguridad Informática I
PROFESOR: PhD. Tannia Mayorga Jácome
ESTUDIANTE: Cristhian Gabriel Morales Hidalgo

Lab - Using Wireshark to Examine TCP and UDP Captures

Topología - Parte 1 (FTP)

La Parte 1 resaltará una captura TCP de una sesión FTP. Esta topología consta de la
máquina virtual CyberOps Workstation con acceso a Internet.

Topología Mininet - Parte 2 (TFTP)

Seguridad Informática
Objetivos
Parte 1: identificar los campos de encabezado TCP y la operación mediante una captura
de sesión FTP de Wireshark
Parte 2: identificar los campos de encabezado UDP y la operación mediante una captura
de sesión TFTP de Wireshark

Antecedentes / Escenario
Dos protocolos en la capa de transporte TCP/IP son TCP (definido en RFC 761) y UDP
(definido en RFC 768). Ambos protocolos admiten comunicación de protocolo de capa
superior. Por ejemplo, TCP se utiliza para proporcionar compatibilidad con la capa de
transporte para los protocolos de transferencia de hipertexto (HTTP) y FTP, entre otros.
UDP proporciona compatibilidad con la capa de transporte para el sistema de nombres de
dominio (DNS) y TFTP, entre otros.
En la Parte 1 de esta práctica de laboratorio, utilizará la herramienta de código abierto
Wireshark para capturar y analizar campos de encabezado de protocolo TCP para
transferencias de archivos FTP entre la computadora host y un servidor FTP anónimo. La
línea de comando del terminal se usa para conectarse a un servidor FTP anónimo y
descargar un archivo. En la Parte 2 de esta práctica de laboratorio, utilizará Wireshark para
capturar y analizar campos de encabezado UDP para transferencias de archivos TFTP
entre dos computadoras host Mininet.

Recursos necesarios
• Máquina virtual de estación de trabajo CyberOps
• acceso a Internet

Instrucciones
Part 1: Identificar los campos de encabezado TCP y la operación
mediante una captura de sesión FTP de Wireshark
En la Parte 1, usa Wireshark para capturar una sesión FTP e inspeccionar los campos de
encabezado TCP.

Step 1: Inicie una captura de Wireshark.

a. Inicie e inicie sesión en la máquina virtual CyberOps Workstation. Abra una ventana de
terminal e inicie Wireshark. El ampersand (&) envía el proceso a un segundo plano y le
permite continuar trabajando en la misma terminal.
[ analista@secOps ~]$ tiburón alambre &
b. Inicie una captura de Wireshark para la interfaz enp0s3 .
c. Abra otra ventana de terminal para acceder a un sitio ftp externo. Ingrese ftp
ftp.cdc.gov cuando se le solicite. Inicie sesión en el sitio FTP de los Centros para el
Control y la Prevención de Enfermedades (CDC) con un usuario anónimo y sin
contraseña.
[ analista@secOps ~]$ ftp ftp.cdc.gov
Conectado a ftp.cdc.gov.
220 Servicio FTP de Microsoft
Nombre ( ftp.cdc.gov: analista ): anónimo
331 Acceso anónimo permitido, enviar identidad (nombre de correo
electrónico) como contraseña.
Contraseña:
230 Usuario conectado.

Seguridad Informática
 El tipo de sistema remoto es Windows_NT .
ftp>

Step 2: Descargue el archivo Léame.

a. Localice y descargue el archivo Léame ingresando el comando ls para enumerar los
archivos.
ftp> ls
200 Comando PUERTO exitoso.
125 Conexión de datos ya abierta; Inicio de transferencia.
- rwxrwxrwx 1 grupo de propietarios 128 9 de mayo de 1995 . cambiar.dir
- rwxrwxrwx 1 grupo de propietarios 107 9 de mayo de 1995 .mensaje
drwxrwxrwx 1 propietario grupo 0 2 de febrero 11:21 pub
- rwxrwxrwx 1 grupo de propietarios 1428 13 de mayo de 1999 Léame
- rwxrwxrwx 1 grupo de propietarios 383 13 de mayo de 1999 Información
del sitio
- rwxrwxrwx 1 grupo de propietarios 0 17 de mayo de 2005 up.htm
drwxrwxrwx 1 grupo de propietarios 0 20 de mayo de 2010 w3c
- rwxrwxrwx 1 grupo de propietarios 202 22 de septiembre de 1998
bienvenido.msg
226 Transferencia completa.

Nota : puede recibir los siguientes mensajes:

421 Servicio no disponible, el servidor remoto ha cerrado la conexión
ftp: Sin conexión de control para comando

501 El servidor no puede acceder al argumento

500 comando no entendido
ftp: bind: Dirección ya en uso

Si esto sucede, entonces el servidor FTP está actualmente inactivo. Sin embargo,
puede continuar con el resto del laboratorio analizando los paquetes que pudo capturar
y leyendo los paquetes que no capturó. También puede regresar al laboratorio más
tarde para ver si el servidor FTP está respaldado.
b. Ingrese el comando obtener Léame para descargar el archivo. Cuando se complete la
descarga, ingrese el comando quit para salir. ( Nota : si no puede descargar el archivo,
puede continuar con el resto del laboratorio).
ftp> obtener Léame
200 Comando PUERTO exitoso.
125 Conexión de datos ya abierta; Inicio de transferencia.
¡ADVERTENCIA! 36 saltos de línea desnudos recibidos en modo ASCII
Es posible que el archivo no se haya transferido correctamente.
226 Transferencia completa.
1428 bytes recibidos en 0,056 segundos (24,9 kbytes /s)

c. Una vez completada la transferencia, ingrese quit para salir de ftp.

Step 3: Detenga la captura de Wireshark.

Step 4: Vea la ventana principal de Wireshark.

Wireshark capturó muchos paquetes durante la sesión de FTP a ftp.cdc.gov. Para limitar la
cantidad de datos para el análisis, aplique el filtro tcp e ip.addr == 198.246.117.106 y haga
clic en Aplicar .
Nota : la dirección IP, 198.246.117.106, es la dirección de ftp.cdc.gov en el momento en
que se creó este laboratorio. La dirección IP puede ser diferente para usted. Si es así,

Seguridad Informática
 busque el primer paquete TCP que inició el protocolo de enlace de 3 vías con ftp.cdc.gov .
La dirección IP de destino es la dirección IP que debe usar para su filtro.

Nota : Su interfaz de Wireshark puede verse ligeramente diferente a la imagen de arriba.

Step 5: Analice los campos TCP.

Después de aplicar el filtro TCP, los primeros tres paquetes (sección superior) muestran la
secuencia de [SYN], [SYN, ACK] y [ACK], que es el protocolo de enlace de tres vías TCP.

TCP se usa de manera rutinaria durante una sesión para controlar la entrega de datagramas,
verificar la llegada de datagramas y administrar el tamaño de la ventana. Para cada intercambio
de datos entre el cliente FTP y el servidor FTP, se inicia una nueva sesión TCP. Al finalizar la
transferencia de datos, la sesión TCP se cierra. Cuando finaliza la sesión de FTP, TCP realiza
un cierre y finalización ordenados.

Seguridad Informática
En Wireshark, la información detallada de TCP está disponible en el panel de detalles del paquete
(sección central). Resalte el primer datagrama TCP de la computadora host y expanda partes del
datagrama TCP, como se muestra a continuación.

El datagrama TCP expandido parece similar al panel de detalles del paquete, como se
muestra a continuación.

La imagen de arriba es un diagrama de datagrama TCP. Se proporciona una explicación de

cada campo como referencia:
• El número de puerto de origen TCP pertenece al host de sesión TCP que abrió una
conexión. El valor es normalmente un valor aleatorio por encima de 1.023.
• El número de puerto de destino TCP se utiliza para identificar la aplicación o el
protocolo de capa superior en el sitio remoto. Los valores en el rango de 0 a 1023
representan los "puertos conocidos" y están asociados con servicios y aplicaciones
populares (como se describe en RFC 1700), como Telnet, FTP y HTTP. La
combinación de la dirección IP de origen, el puerto de origen, la dirección IP de destino
y el puerto de destino identifica de forma única la sesión para el remitente y el receptor.
Nota : en la captura de Wireshark anterior, el puerto de destino es 21, que es FTP. Los
servidores FTP escuchan en el puerto 21 las conexiones de clientes FTP.
• El número de secuencia especifica el número del último octeto en un segmento.
• El número de acuse de recibo especifica el próximo octeto esperado por el receptor.
• Los bits de Código tienen un significado especial en la gestión de sesiones y en el
tratamiento de segmentos. Entre los valores interesantes están:
o ACK — Acuse de recibo de un segmento.
o SYN : sincroniza, solo se configura cuando se negocia una nueva sesión TCP
durante el protocolo de enlace de tres vías de TCP.
o FIN : finaliza la solicitud para cerrar la sesión TCP.

Seguridad Informática
 • El tamaño de la ventana es el valor de la ventana deslizante. Determina cuántos
octetos se pueden enviar antes de esperar un acuse de recibo.
• El puntero Urgente solo se usa con un indicador Urgente (URG) cuando el remitente
necesita enviar datos urgentes al receptor.
• Las opciones tienen solo una opción actualmente, y se define como el tamaño máximo
del segmento TCP (valor opcional).
Usando la captura de Wireshark del primer inicio de sesión TCP (bit SYN establecido en 1),
complete la información sobre el encabezado TCP. Es posible que algunos campos no se
apliquen a este paquete.
Desde la máquina virtual al servidor CDC (solo el bit SYN se establece en 1):

Descripción Resultados de Wireshark

Dirección IP origen 10.0.2.15

Dirección IP de destino 198.246.117.106

Número de puerto de origen 56690

Número de puerto de destino 21

Secuencia de números 346

Número de acuse de recibo 198

Longitud del encabezado 20 bytes

Tamaño de ventana 65535

En la segunda captura filtrada de Wireshark, el servidor FTP de CDC reconoce la solicitud de la

máquina virtual. Tenga en cuenta los valores de los bits SYN y ACK.

Complete la siguiente información con respecto al mensaje SYN-ACK.

Descripción Resultados de Wireshark

Dirección IP origen 198.246.117.106

Dirección IP de destino 10.0.2.15

Número de puerto de origen 21

Número de puerto de destino 56690

Secuencia de números 346

Seguridad Informática
 Descripción Resultados de Wireshark

Número de acuse de recibo 198

Longitud del encabezado 20 bytes

Tamaño de ventana 65535

En la etapa final de la negociación para establecer comunicaciones, la VM envía un mensaje

de reconocimiento al servidor. Observe que solo el bit ACK se establece en 1 y el número de
secuencia se ha incrementado a 1.

Complete la siguiente información con respecto al mensaje ACK .

Descripción Resultados de Wireshark

Dirección IP origen 10.0.2.15

Dirección IP de destino 198.246.117.106

Número de puerto de 56690

origen
Número de puerto de 21
destino
Secuencia de números 1

Número de acuse de 1
recibo
Longitud del encabezado 20 byts

Tamaño de ventana 64240

Pregunta:

¿Cuántos otros datagramas TCP contenían un bit SYN?

Solamente una. El primer paquete enviado por el host al comienzo de una sesión TCP
respuestas aquí.
Una vez establecida una sesión TCP, puede producirse tráfico FTP entre la PC y el
servidor FTP. El cliente FTP y el servidor se comunican entre sí, sin saber que TCP tiene el
control y la gestión de la sesión. Cuando el servidor FTP envía una Respuesta: 220 al

Seguridad Informática
 cliente FTP, la sesión TCP en el cliente FTP envía un reconocimiento a la sesión TCP en el
servidor. Esta secuencia es visible en la captura de Wireshark a continuación.

Cuando finaliza la sesión FTP, el cliente FTP envía un comando para "salir". El servidor
FTP reconoce la finalización del FTP con una Respuesta: 221 Adiós . En este momento , la
sesión TCP del servidor FTP envía un datagrama TCP al cliente FTP, anunciando la
finalización de la sesión TCP. La sesión TCP del cliente FTP acusa recibo del datagrama
de terminación y luego envía su propia terminación de sesión TCP. Cuando el originador de
la terminación TCP (el servidor FTP) recibe una terminación duplicada, se envía un
datagrama ACK para acusar recibo de la terminación y se cierra la sesión TCP. Esta
secuencia es visible en el diagrama y la captura a continuación.

Al aplicar un filtro ftp , la secuencia completa del tráfico FTP se puede examinar en Wireshark.
Observe la secuencia de eventos durante esta sesión FTP. El nombre de usuario anónimo se
utilizó para recuperar el archivo Léame. Una vez completada la transferencia de archivos, el
usuario finalizó la sesión de FTP.

Vuelva a aplicar el filtro TCP en Wireshark para examinar la terminación de la sesión TCP. Se
transmiten cuatro paquetes para la terminación de la sesión TCP. Debido a que la conexión TCP
es dúplex completo, cada dirección debe terminar de forma independiente. Examine las
direcciones de origen y destino.

Seguridad Informática
En este ejemplo, el servidor FTP no tiene más datos para enviar en el flujo. Envía un segmento
con el indicador FIN establecido en el marco 149. La PC envía un ACK para acusar recibo del
FIN para finalizar la sesión del servidor al cliente en el marco 150.
En el marco 151, la PC envía un FIN al servidor FTP para finalizar la sesión TCP. El servidor
FTP responde con un ACK para reconocer el FIN de la PC en el marco 152. Ahora la sesión TCP
finaliza entre el servidor FTP y la PC.

Part 2: Identificar operaciones y campos de encabezado UDP

mediante una captura de sesión TFTP de Wireshark
En la Parte 2, usa Wireshark para capturar una sesión TFTP e inspeccionar los campos de
encabezado UDP.

Step 1: Inicie el servicio Mininet y tftpd .

a. Inicie Mininet. Entra en operaciones cibernéticas como la contraseña cuando se le
solicite.
[ analista@secOps ~]$ sudo
lab.support.files/scripts/cyberops_topo.py
[ sudo ] contraseña para analista:

b. Inicie H1 y H2 en el indicador mininet > .

*** A partir de CLI:
mininet > xterm H1 H2
c. En la ventana del terminal H1 , inicie el servidor tftpd utilizando el script proporcionado.
[ root@secOps analista]#
/home/analyst/lab.support.files/scripts/start_tftpd.sh
[ root@secOps analista]#

Seguridad Informática
Step 2: Cree un archivo para la transferencia tftp .
a. Cree un archivo de texto en el indicador del terminal H1 en la carpeta / srv / tftp /.
[ root@secOps analista]# echo "Este archivo contiene mis datos
tftp ". > / srv / tftp / mis_tftp_datos
b. Verifique que el archivo se haya creado con los datos deseados en la carpeta.
[ root@secOps analista]# gato/ srv / tftp / my_tftp_data
Este archivo contiene mis datos tftp .

c. Debido a la medida de seguridad para este servidor tftp en particular , el nombre del
archivo receptor ya debe existir. En H2 , cree un archivo llamado my_tftp_data .
[ root@secOps analista]# toque my_tftp_datawireshrk

Step 3: Capture una sesión TFTP en Wireshark

a. Inicie Wireshark en H1 .
[ root@secOps analista]# tiburón alambre &
b. En el menú Editar , seleccione Preferencias y haga clic en la flecha para expandir
Protocolos . Desplácese hacia abajo y seleccione UDP . Haga clic en la casilla de
verificación Validar la suma de verificación UDP si es posible y haga clic en
Aceptar .

c. Inicie una captura de Wireshark en la interfaz H1-eth0 .

d. Inicie una sesión tftp desde H2 al servidor tftp en H1 y obtenga el archivo my_tftp_data
.
[ root@secOps analista]# tftp 10.0.0.11 -c obtener my_tftp_data

Seguridad Informática
 e. Detenga la captura de Wireshark. Establezca el filtro en tftp y haga clic en Aplicar .
Utilice los tres paquetes TFTP para completar la tabla y responder las preguntas del
resto de esta práctica de laboratorio.

detallada está disponible en el panel de detalles del paquete Wireshark. Resalte el primer
datagrama UDP de la computadora host y mueva el puntero del mouse al panel de detalles del
paquete. Puede ser necesario ajustar el panel de detalles del paquete y expandir el registro UDP
haciendo clic en el cuadro de expansión del protocolo. El datagrama UDP expandido debería
verse similar al diagrama a continuación.

La siguiente figura es un diagrama de datagrama UDP. La información del encabezado es

escasa, en comparación con el datagrama TCP. Al igual que TCP, cada datagrama UDP se
identifica mediante el puerto de origen UDP y el puerto de destino UDP.

Usando la captura de Wireshark del primer datagrama UDP, complete la información

sobre el encabezado UDP. El valor de la suma de comprobación es un valor
hexadecimal (base 16), indicado por el código 0x anterior:

Descripción Resultados de Wireshark

Dirección IP origen 10.0.0.12

Dirección IP de destino 10.0.0.11

Número de puerto de 46026

origen
Número de puerto de 69
destino
Longitud del mensaje UDP 32

Suma de comprobación 0x2743

UDP
Pregunta:

Seguridad Informática
 ¿Cómo verifica UDP la integridad del datagrama?
Se envía una suma de verificación en el datagrama UDP y el valor de la suma de verificación
del datagrama se vuelve a calcular al recibirlo. Si la suma de verificación calculada es idéntica
a la suma de verificación enviada, se supone que el datagrama UDP está completo. aquí.

Examine el primer marco devuelto por el servidor tftpd . Complete la información sobre el
encabezado UDP:

Descripción Resultados de Wireshark

Dirección IP origen 10.0.0.11

Dirección IP de destino 10.0.0.12

Número de puerto de origen 46026

Número de puerto de 69
destino
Longitud del mensaje UDP 32

Suma de comprobación 0x2743

UDP

Observe que el datagrama UDP de retorno tiene un puerto de origen UDP diferente, pero este
puerto de origen se usa para el resto de la transferencia TFTP. Debido a que no existe una
conexión confiable, solo se usa el puerto de origen original utilizado para iniciar la sesión TFTP
para mantener la transferencia TFTP.
Además, tenga en cuenta que la suma de comprobación de UDP es incorrecta. Lo más probable
es que esto se deba a la descarga de la suma de comprobación de UDP. Puede obtener más
información sobre por qué sucede esto buscando "Descarga de suma de comprobación UDP".

Step 4: Limpiar
En este paso, cerrará y limpiará Mininet.
a. En la terminal que inició Mininet, ingrese quit cuando se le solicite.
mininet > salir
b. Cuando se le solicite, ingrese sudo mn –c para limpiar los procesos iniciados por
Mininet.
[ analista@secOps ~]$ sudo mn -c

Pregunta de reflexión
Esta práctica de laboratorio brindó la oportunidad de analizar las operaciones de los
protocolos TCP y UDP a partir de sesiones FTP y TFTP capturadas. ¿Cómo gestiona TCP
la comunicación de forma diferente a UDP?
TACP y UDP utilizan maneras diferentes para administrar la comunicación, debido a que la
confiabilidad y la entrega garantizada requieren un control adicional sobre el canal de
comunicación.
UDP en su caso tiene menos sobrecarga y control, y el protocolo de la capa superior debe
proporcionar algún tipo de control de reconocimiento. Sin embargo, los 2 protocolos transportan
datos entre clientes y servidores utilizando protocolos de capa de aplicación y son apropiados
para el protocolo de capa superior que cada uno admite.

Seguridad Informática