Scribd
Cargar
33 vistas10 páginas

17.1.7 Lab - Exploring DNS Traffic - ILM

Este documento presenta una práctica de laboratorio para explorar el tráfico DNS utilizando Wireshark. La práctica tiene tres partes: 1) capturar tráfico DNS, 2) explorar consultas DNS, 3) explorar respuestas DNS. Se explican los pasos para instalar Wireshark, capturar paquetes, filtrar tráfico DNS y analizar detalles como direcciones MAC, IP, puertos y banderas en paquetes de consulta DNS.

Cargado por

Jhanssel Holguin
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como DOCX, PDF, TXT o lee en línea desde Scribd
33 vistas10 páginas

17.1.7 Lab - Exploring DNS Traffic - ILM

Este documento presenta una práctica de laboratorio para explorar el tráfico DNS utilizando Wireshark. La práctica tiene tres partes: 1) capturar tráfico DNS, 2) explorar consultas DNS, 3) explorar respuestas DNS. Se explican los pasos para instalar Wireshark, capturar paquetes, filtrar tráfico DNS y analizar detalles como direcciones MAC, IP, puertos y banderas en paquetes de consulta DNS.

Cargado por

Jhanssel Holguin
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como DOCX, PDF, TXT o lee en línea desde Scribd
Está en la página 1/ 10

Práctica de laboratorio: Explorar tráficoDNS (Versión para el

instructor)
Nota para el instructor: Los elementos con color de fuente rojo o resaltados en gris indican texto que aparece
solo en la copia del instructor.

Objetivos
Parte 1: Capturar tráfico DNS
Parte 2: Explorar tráfico de consultas DNS
Parte 3: Explorar tráfico de respuestas DNS

Aspectos Básicos/ Escenario


Wireshark es una herramienta de captura y análisis de paquetes de código abierto. Wireshark proporciona un
desglose detallado de la pila de protocolos de red. Wireshark nos permite filtrar tráfico para solucionar
problemas de red, investigar problemas de seguridad y analizar protocolos de red. Como Wireshark permite
ver los detalles de los paquetes, un atacante también puede utilizarla como herramienta de reconocimiento.
En esta práctica de laboratorio instalaremos y utilizaremos Wireshark para filtrar paquetes DNS y ver los
detalles de los paquetes de consultas y respuestas DNS.

Recursos necesarios
 Una computadora personal con acceso a internet y Wireshark instalado
Nota para el instructor: El uso de un analizador de paquetes (packet sniffer) como Wireshark se puede
considerar una infracción de la política de seguridad del lugar de estudios. Se recomienda obtener
autorización antes de realizar esta práctica de laboratorio. Si el uso de un programa analizador de paquetes
(packet sniffer) como Wireshark resulta ser un problema, el instructor puede asignar la práctica de laboratorio
como tarea para el hogar o hacer una demostración de la herramienta.

Instrucciones

Parte 1: Capturar tráfico DNS


Paso 1: Descargar e instalar Wireshark
a. Descargue la última versión estable de Wireshark desde la siguiente dirección web: www.wireshark.org.
Elija la versión de software que necesita según la arquitectura y el sistema operativo de la computadora
personal.
b. Siga las instrucciones que aparecen en la pantalla para instalar Wireshark. Si le aparece un cuadro
solicitando que instale USBPcap, NO debe instalar USBPcap para la captura de tráfico normal. USBPcap
es experimental, y podría causar problemas en los dispositivos USB de su computadora personal.

Paso 2: Capturar tráfico DNS


a. Inicie Wireshark. Seleccione una interfaz activa con tráfico para la captura de paquetes.
b. Limpie la caché DNS
1) En el Símbolo del sistema de Windows (Command Prompt), escriba ipconfig /flushdns.

 2017 - 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información pública de Cisco Página 1 de 10
www.netacad.com
Práctica de laboratorio: Explorar tráfico DNS

2) Para la mayoría de las distribuciones de Linux, se utiliza una de las siguientes utilidades para el
almacenamiento caché DNS: Systemd -Resolved, DNSMasq y NSCD. Si la distribución Linux que
está usando no utiliza ninguna de las utilidades mencionadas, busque en internet la herramienta para
vaciar caché DNS para esa distribución Linux.
(i) Identifique la herramienta utilizada en una distribución Linux, comprobando el estado (status):
Systemd-Resolved: systemctl status systemd-resolved.service
DNSMasq: systemctl status dnsmasq.service
NSCD: systemctl status nscd.service
(ii) Si está utilizando systemd-Resolved, debe escribir systemd-resolve —flush-caches para vaciar
la caché de Systemd-Resolved antes de reiniciar el servicio. Los siguientes comandos reinician
el servicio asociado mediante privilegios elevados:
Systemd-Resolved: sudo systemctl restart systemd-
resolved.service
DNSMasq: sudo systemctl restart dnsmasq.service
NSCD: sudo systemctl restart nscd.service
3) Para macOS, escriba sudo killall -HUP mDNSResponder para limpiar la caché DNS en la consola
Terminal. Busque en internet cuales son los comandos que se usan para limpiar la caché DNS de
una versión pasada del sistema operativo
c. En el Símbolo del sistema o terminal, escriba nslookup para entrar en el modo interactivo.
d. Introduzca el nombre de dominio del sitio web. En este ejemplo utilizamos el nombre de
dominio www.cisco.com
e. Escriba exit al finalizar. Cierre el Símbolo del sistema.
f. Haga clic en Stop capturing packets para detener la captura de Wireshark.

 2017 - 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información pública de Cisco Página 2 de 10
www.netacad.com
Práctica de laboratorio: Explorar tráfico DNS

Parte 2: Explorar tráfico de consultas DNS (DNS Query)


a. Observe el tráfico capturado en el panel de Lista de Paquetes (Packet List) de Wireshark. Introduzca
udp.port == 53 en el cuadro de filtros y luego haga clic en la flecha (o presione enter) para mostrar
solamente paquetes DNS.
b. Nota: Las capturas de pantalla proporcionadas son solo ejemplos. La salida que obtenga puede ser
ligeramente diferente a la mostrada.

c. Seleccione el paquete DNS que contiene la Standard query (Consulta estándar) y a www.cisco.com en
la columna Información.
d. En el panel de Detalles del paquete (Packet Details), observe que este paquete tiene Ethernet II,
Internet Protocol Version 4, User Datagram Protocol y Domain Name System (query).

 2017 - 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información pública de Cisco Página 3 de 10
www.netacad.com
Práctica de laboratorio: Explorar tráfico DNS

e. Expanda Ethernet II para ver los detalles. Observe los campos de origen y de destino. (source,
destination)

¿Qué sucedió con las direcciones MAC de origen y de destino? ¿Con qué interfaces de red están
asociadas estas direcciones MAC?
Escriba sus respuestas aquí.

En este ejemplo, la dirección MAC de origen está asociada con la tarjeta de interfaz de red
(Network Interface Card NIC) de la computadora personal y la dirección MAC de destino está
asociada con la puerta de enlace por defecto. Si hay un servidor DNS local, la dirección MAC de
destino sería la dirección MAC del servidor DNS local.

 2017 - 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información pública de Cisco Página 4 de 10
www.netacad.com
Práctica de laboratorio: Explorar tráfico DNS

f. Expanda Internet Protocol Version 4. Observe las direcciones IPv4 de origen y de destino.

Pregunta:

¿Cuáles son las direcciones IP de origen y destino? ¿Con qué interfaces de red están asociadas estas
direcciones IP?
Escriba sus respuestas aquí.

En este ejemplo, la dirección IP de origen está asociada con la tarjeta de interfaz de red (Network
Interface Card NIC) de la computadora personal y la dirección IP de destino está asociada con la
puerta de enlace por defecto.

 2017 - 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información pública de Cisco Página 5 de 10
www.netacad.com
Práctica de laboratorio: Explorar tráfico DNS

g. Expanda User Datagram Protocol. Observe los puertos de origen y de destino.

Pregunta:

¿Cuáles son los puertos de origen y de destino? ¿Cuál es el número de puerto de DNS predeterminado?
Escriba sus respuestas aquí.

El número de puerto de origen es 577729 y el puerto de destino es 53, el cual es el número de


puerto DNS predeterminado.
h. Determine las direcciones IP y MAC de la computadora personal.
1) En el Símbolo de sistema de Windows, introduzca arp –a y ipconfig /all para registrar las
direcciones MAC y las direcciones IP de la computadora personal.
2) Para Linux y macOS, introduzca ifconfig o ip address en la consola terminal.
Pregunta:

Compare las direcciones MAC y las direcciones IP presentes en los resultados de Wireshark con los
resultados obtenidos del símbolo del sistema o terminal. ¿Cuál es su opinión?
Escriba sus respuestas aquí.

Las direcciones IP y MAC capturadas en los resultados de Wireshark son las mismas que se
obtienen con el comando ipconfig/all.
i. Expanda Domain Name System (query) en el panel de Detalles del paquete Luego, expanda Flags y
Queries.

 2017 - 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información pública de Cisco Página 6 de 10
www.netacad.com
Práctica de laboratorio: Explorar tráfico DNS

j. Observe los resultados. El flag está definido para realizar la consulta (query) recursivamente y así
consultar la dirección IP en www.cisco.com.

 2017 - 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información pública de Cisco Página 7 de 10
www.netacad.com
Práctica de laboratorio: Explorar tráfico DNS

Parte 3: Explorar tráfico de respuestas DNS


a. Seleccione el paquete que contiene la Standard query response (respuesta de consulta estándar) y A
www.cisco.com en la columna "Info" (Información)

Pregunta:

¿Cuáles son las direcciones MAC e IP de origen y destino y los números de puerto de "Src" (origen) y
"Dst" (destino)? ¿Que similitudes y diferencias tienen con las direcciones presentes en los paquetes de
consultas DNS?
Escriba sus respuestas aquí.

La dirección IP de origen, la dirección MAC de origen y el número de puerto de origen en el


paquete de consulta ahora son direcciones de destino. La IP de destino, la dirección MAC de
destino y el número de puerto de destino en el paquete de consulta ahora son las direcciones de
origen.
b. Expanda Domain Name System (response). Después expanda Flags, Queries y Answers.
c. Observe los resultados.
Pregunta:

¿El servidor DNS puede realizar consultas recursivas?


Escriba sus respuestas aquí.

 2017 - 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información pública de Cisco Página 8 de 10
www.netacad.com
Práctica de laboratorio: Explorar tráfico DNS

Sí, el DNS puede manejar consultas recursivas.

d. Observe los registros "CNAME" y "A" en los detalles de "Answers" (respuestas).


Pregunta:

¿Qué similitudes y diferencias tienen con los resultados de nslookup?


Escriba sus respuestas aquí.

Los resultados en Wireshark deben ser iguales a los resultados obtenidos de nslookup en el
Símbolo del sistema o consola terminal.

Reflexión
1. A partir de los resultados de Wireshark. ¿qué más podemos averiguar sobre la red si quitamos el filtro?
Escriba sus respuestas aquí.

 2017 - 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información pública de Cisco Página 9 de 10
www.netacad.com
Práctica de laboratorio: Explorar tráfico DNS

Sin los filtros, los resultados muestran otros paquetes, como DHCP y ARP. A partir de estos paquetes
y la información contenida en estos paquetes, podemos conocer otros dispositivos y sus funciones
dentro de la LAN.
2. ¿De qué manera un atacante puede utilizar Wireshark para poner en riesgo la seguridad de sus redes?
Escriba sus respuestas aquí.

Un atacante en la LAN puede usar Wireshark para observar el tráfico de la red y puede obtener
información confidencial en los detalles del paquete si el tráfico no está encriptado.
Fin del documento

 2017 - 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información pública de Cisco Página 10 de 10
www.netacad.com

También podría gustarte