COMUNICACIONES Y REDES INDUSTRIALES 2020/21 Enrique Parro Jimenez

PRÁCTICA 2: ANÁLISIS DE TRAZAS

El objetivo de esta práctica es la obtención y análisis de los paquetes transmitidos al realizar una conexión
entre dos máquinas usando las aplicaciones PING, TELNET y SSH.

Para el desarrollo de la práctica se utilizará el software de análisis WIRESHARK

(www.wireshark.org), así como el ordenador del alumno y una máquina virtual con S.O. Ubuntu Linux
(www.virtualbox.org) instalada en el mismo ordenador que actuará como servidor (como alternativa a la
máquina virtual también puede utilizarse otro ordenador conectado a la misma red). En dicha máquina virtual,
o en el otro ordenador, será necesario instalar un servidor de SSH (paquete openssh-server) y TELNET
(paquetes xinetd y telnetd). En el servidor también se deberá crear un usuario temporal para la realización de
las prácticas (e.g., login=usuario, password=usuario).

El desarrollo de la práctica se realizará de la siguiente manera:

1. En primer lugar se deberá ejecutar el programa WIRESHARK para capturar el tráfico de red entre las
dos máquinas mencionadas.

2. A continuación se ejecutará desde la línea de comandos la aplicación PING sobre la dirección

62.62.62.62. Tras la generación de 4 paquetes se finalizará la ejecución del PING y se guardará la traza de
WIRESHARK en el fichero “ping1.pcap”.

3. Posteriormente se realizará PING sobre la dirección del servidor, guardando los paquetes de la traza en
el fichero “ping2.pcap”.

4. De igual manera se realizará TELNET sobre el servidor, con login y password previamente asignados.
Dicha traza se deberá guardar en el fichero “telnet.pcap”.

5. Repetir el paso anterior utilizando la aplicación SSH para conectar al servidor. Guardar la traza en el
fichero “ssh.pcap”.

A su vez, utilizando la información contenida en las trazas previamente almacenadas, deberán contestarse las
siguientes preguntas:

1
COMUNICACIONES Y REDES INDUSTRIALES 2020/21 Enrique Parro Jimenez

Soluciones
1. ¿Qué diferencia las trazas “ping1” y “ping2”?

El programa “ping” realiza un interrogatorio a una dirección específica para comprobar el estado del
anfitrión, es decir quien lanza el ping, con respecto a los equipos de una red, realizándose un diagnóstico
de estado, velocidad y calidad. Esta acción se realiza utilizando paquetes en formato ICMP que es un
protocolo de mensajes de control y se mueve por la capa de red, junto con el protocolo IP.

El programa “ping” envía un mensaje “Echo Request” con una IP hacia quien se hace la pregunta usando
el protocolo ICMP, tal como se muestra a continuación analizando las trazas de WireShark:

Así pues, analizando el ICMP por dentro se puede observar en este caso (donde no hay respuesta del
objetivo 62.62.62.62) cual es el tipo de mensaje ICMP es 8:

Si lo comparamos con la captura “ping2” donde se realiza un ping desde el equipo al servidor, se puede
comprobar como existe un mensaje de respuesta del servidor con un mensaje ICMP de tipo 0 “Echo
Reply”, tal como se muestra a continuación:

2
COMUNICACIONES Y REDES INDUSTRIALES 2020/21 Enrique Parro Jimenez

Consecuentemente, la mayor diferencia de las 2 trazas o capturas es que, en el caso de “ping1.cap” existe
una respuesta del objetivo (servidor con IP 192.168.56.101) con un mensaje tipo 0 de protocolo ICMP y
en el caso de la captura “ping2.cap” no hay ninguna respuesta del objetivo 62.62.62.62 con lo que el
posible equipo con esa dirección no está (o está averiado) en la red donde estamos conectados con
nuestro equipo.

2. ¿Qué diferencia las trazas “telnet” y “ssh”?

En el plano teórico, podemos observar en las capturas .pcap de cada uno de ellos que utilizan su propio
protocolo, es decir, cada uno de ellos se identifica unívocamente por las computadoras que están utilizando
el servicio, tal como se muestra a continuación:

Por otro lado, cada servicio tiene asignado un puerto para canalizar la comunicación entre cliente y
servidor, en este caso si añadimos a wireshark una columna que identifique el puerto de los paquetes
enviados/recibidos, podemos identificarlos fácilmente. Esta información se encuentra en el apartado
“Transmission Control Protocol” o TCP del paquete telnet en wireshark, tal como se muestra en la
siguiente imagen:

En este caso podemos observar que tenemos puertos diferentes para cada servicio, en concreto, tenemos
que el puerto para el servicio de Telnet es el 23 y para el servicio de SSH es el 22.

Adicionalmente, tal como se definen ellos mismo, se puede observar que el servicio de telnet es un
protocolo “plano”, es decir, envía los caracteres directamente, a diferencia del servicio SSH que realiza
una encriptación de tipo AES256 para asegurar las comunicaciones, cómo se muestra a continuación:

3
COMUNICACIONES Y REDES INDUSTRIALES 2020/21 Enrique Parro Jimenez

3. ¿Qué paquetes de la traza “telnet” contienen el login y la contraseña transmitidas?

Respecto a este punto, la información enviada por el cliente hacia el servidor vía telnet (protocolo de red)
se muestran como “Data” dentro del paquete enviado en formato hexadecimal, con lo que la lectura es
directa en caso de que haya un “man in the middle”.

A continuación se muestra un carácter de la contraseña (“e”):

Estos paquetes contienen los caracteres enviados como “login” o “password” hasta que se envía el paquete
que contiene el retorno de carro:

Cabe mencionar que en cada caso, la capa de transporte TCP del servidor realiza la confirmación de que el
puerto está “abierto” y dispuesto para realizar la escucha del paquete enviado, siguiendo el proceso de
negociación en 3 pasos (SYN, SYN/ACK y ACK) tal como podemos ver en la siguiente imagen: