top of page
Buscar

Analizando paquetes con Wireshark

  • jogofus
  • 15 dic 2023
  • 3 Min. de lectura

En nuestra carrera como administradores de sistemas y redes tenemos que hacer diagnósticos en la red.


Si, la gran mayoría de veces recurrimos al famoso ping y traceroute, con sus distintas variantes como tracert, MTR y demás. Es evidente que tenemos que asegurar que la conexión entre dos puntos se establece y más fácil que el ICMP no hay nada.


Pero hay momentos en los que hay que ver más allá.


Tenemos dos variantes:

  • Si no tenemos interfaz gráfica, o queremos hacer un análisis rápido, podemos usar tcpdump.

ree

  • Si queremos hacer un análisis más exhaustivo y con interfaz gráfica utilizaremos wireshark.

ree

Un caso personal en el que había que localizar en el switch que se encontraba en el CPD de la empresa en qué puerto estábamos conectados, ya que la documentación estaba desactualizada y las etiquetas del panel de parcheo no coincidían.


Resultó que el servicio DHCP estaba deshabilitado y tampoco sabíamos en que rango de red había que poner el equipo porque no se conocía la VLAN a la que pertenecía, así que abrí mi wireshark, me conecté a la toma de red de la pared y empecé a escuchar el tráfico.


Aquí entró en juego un protocolo de descubrimiento que uso bastante: LLDP, Link Layer Discovery Protocol. Su alternativa en Cisco sería CDP, Cisco Discovery Protocol.


En este caso se sabía que el dispositivo no era Cisco, por lo que había que buscar tráfico LLDP en wireshark.

ree

En los filtros, escribimos LLDP y nos aparecerán todos los paquetes que se reciben.


Si echamos un vistazo en los detalles, podemos ver lo siguiente:

ree

  • MAC address: nos dice la MAC del dispositivo de red.

  • Port Subtype: aquí podemos ver a qué puerto estamos conectados, que era una de las cosas que estábamos buscando.

  • System Name: Si necesitamos más información, aquí nos dice el nombre del switch.

  • System Description: Además, tenemos una descripción del dispositivo.


Aún podemos sacar más información interesante.

ree

Aquí nos dice la dirección de gestión del dispositivo, en este caso de la VLAN a la que pertenece.


ree

Esta parte nos interesa mucho.

Nos da una información importante: tenemos el VLAN ID, que en este caso es la VLAN 1 (sí, este es un error, pero esto es a modo laboratorio, en entorno empresarial sería otra cosa). También, y a modo informativo, nos dice el nombre que se le hubiera asignado previamente a la VLAN.


¡Pero aún hay más!


ree

Podemos ver si nos encontramos en un puerto que forma parte de un LACP/LAG/Etherchannel.

Nos dice que el switch tiene la capacidad de LACP y que, en el puerto en el que nos encontramos, no está habilitado.


ree

Por último, aquí podemos ver el MTU.



Sigamos analizando la red. En este caso vamos a ver los paquetes de DHCP.


Primero, tenemos que tener claro cuales son los paquetes que se retransmiten cuando un equipo coge IP por DHCP:

  • DHCP Discover.

  • DHCP Offer.

  • DHCP Request.

  • DHCP ACK.


ree

Vamos a ver qué información interesante nos dicen estos paquetes:

ree

Como es el primer paquete que se envía, y el equipo no dispone de IP, el paquete nos indica que la IP es 0.0.0.0 (null)

También nos aparece la dirección MAC del equipo que está solicitando la IP, así como el nombre del equipo.

ree

Aquí, el servidor DHCP nos indica qué IP nos ofrece, así como si se va a hacer uso de un arranque por PXE.


ree

Podemos ver cuál es la IP del servidor DHCP. Esto nos es útil por si en algún momento nos intentan hacer una suplantación poniendo un servidor DHCP ilegítimo.

ree

Como se ve aqui nos indica cuál es la máscara de red, que en este caso es una /24 (255.255.255.0), cuál es la puerta de enlace (192.168.0.1) y el servidor DNS (192.168.0.5), así como cuándo se renueva la IP (en 3 días).



Vamos a analizar un paquete DNS, algo sencillo.


ree

Aquí nos dice quien es el que responde a la petición DNS y a qué equipo se lo manda.

ree

En este paquete podemos ver cuál ha sido la petición. El equipo cliente está buscando la información de nxlinux.wordpress.com.

El servidor DHCP nos responde que es un cname de lb.wordpress.com y que las IP que tiene son 192.0.78.13 y 192.0.78.12.



En este caso estamos analizando los paquetes que mandamos y recibimos en nuestro equipo. Para hacer un buen análisis de la red tendríamos que hacer un SPANNING o Port Mirroring para que recibamos todos los paquetes de otra interfaz y podamos analizarlos.



¡Nos vemos en la siguiente entrada!

 
 
 

Comentarios

bottom of page