Tarea 3#

Equipo ARFA-FGFG-RCJE-ROFM#

  1. Arganis Ramírez Francisco - 108003620
  2. Ramón Cisneros Jorge - 308283961
  3. Flores García Fernando - 314107035
  4. Romo Olea Fhernanda - 314284286

Explicación de los comandos utilizados#

  • dhclient -r libera el lease actual que fue asignado y termina el cliente DCHP. ifdown deshabilita la interfaz y ifup la vuelve a habilitar. Esto resulta en que se tenga que solicitar una nueva dirección IP al servidor DHCP.
  • ip addr muestra las interfaces y direcciones del protocolo IPv4 o IPv6 en el dispositivo.
  • ip neighbour flush all elimina todas las entradas en el caché ARP o NDISC.
  • ip neighbour show muestra las entradas en el caché ARP o NDISC.
  • resolvectl flush-caches Elimina todos los registros de recursos en el caché DNS.
  • dig AAAA example.com. @1.1.1.1 Realiza una consulta DNS mostrando las respuestas de los servidores de nombres consultados. AAAA es el tipo de registro, example.com es el nombre a resolver y @1.1.1.1 indica la dirección o nombre del servidor DNS.
  • ip route show muestra las entradas en la tabla de ruteo.
  • nmap -v -sP realiza una exploración de la red, determinando qué equipos se pueden alcanzar en qué direcciones IP y otros datos, por ejemplo qué servicios proporcionan, qué puertos utilizan, etc. -sP indica que no se hace un escanéo de puertos después de descubrir un equipo.
  • ping -c envía paquetes del protocolo ICMP ECHO_REQUEST a un destino. -c especifica la cuenta de los paquetes a enviar.
  • traceroute -n imprime la ruta de los paquetes hacia un destino, usando paquetes del protocolo ICMP. -n indica que no se intenta mapear las direcciones IP de los equipos.
  • curl -k transfiere datos del servidor especificado. -k permite que se proceda con conexiones consideradas inseguras.

Explicación de los filtros de captura utilizados#

  • arp or (ether src host 00:00:00:00:00:00 or ether dst host ff:ff:ff:ff:ff:ff) captura paquetes del protocolo ARP o paquetes con dirección MAC de origen 00:00:00:00:00:00 o paquetes con dirección MAC de destino ff:ff:ff:ff:ff:ff. Incluye paquetes broadcast (destino ff:ff:ff:ff:ff:ff).
  • ip6 or icmp or ( host ( 0.0.0.0 or 255.255.255.255 ) or ip6 host :: or ip6 net ::ffff ) captura paquetes del protocolo IPv6 o paquetes del protocolo ICMP o paquetes con dirección IPv4 de origen o destino 0.0.0.0 o 255.255.255.255 o paquetes con dirección IPv6 de origen o destino :: o ::ffff.
  • udp port ( 53 or 67 or 68 ) or tcp port ( 22 or 53 or 5353 or 1024 or 16384 or 32768 or 49152 or 65535 ) captura paquetes de protocolo UDP de los puertos 53, 67 o 68 o paquetes TCP de los puertos 22 o 53 o 5353 o 1024 o 16384 o 32768 o 49152 o 65535. Esto incluye paquetes de DNS (53), DHCP (67, 68), SSH (22) y multicast DNS (5353).
  • host (1.1.1.1 or example.com. or 2606:4700:4700::1111) and port (53 or 80 or 443) captura paquetes de origen o destino 1.1.1.1, example.com o 2606:4700:4700::1111 de los puertos 53, 80 o 443. Esto icluye paquetes de los protocolos HTTP, HTTPS o DNS.

Explicación del tráfico encontrado#

Capa 2#

Los resultados de la captura se encuentran aquí.
Se observan 2 tipos de paquetes:

  • Paquetes del protocolo ARP que preguntan por una dirección IP y las respuestas de los equipos conectados. Algunos de estos son paquetes provienen del módem (198.168.1.254) y están dirigidos a los equipos conectados para mantener actualizada la tabla de direcciones MAC. Otros, provenientes de 198.168.1.77 y que preguntan por todas las direcciones desde 198.168.1.0 hasta 198.168.1.254, corresponden al descubrimiento de la red con nmap.
  • Otros paquetes con destino IP 255.255.255.255 y MAC ff:ff:ff:ff:ff:ff. Por ejemplo, se observan algunos broadcast provenientes de otro equipo (198.168.1.71) en la red, usando el protocolo UDP.

Separación de la captura de tráfico de capa 2 en ARP y broadcast:

Tráfico ARP usando el filtro de visulalización arp
Tráfico broadcast usando el filtro de visualización eth.addr == ff:ff:ff:ff:ff:ff and not arp

Capa 3#

Los resultados de la captura se encuentran aquí.
La salida de los comandos de pruebas de conectividad de capa 3 se encuentran aquí.
Se observa algo de ruido por paquetes IPv6 que se envían o reciben de 2806:106e:25:5d3f:da7e:fb51:f82d:7d8b, que es la máquina en la que se hicieron las pruebas.
Otros paquetes capturados son del protocolo ICMP, que corresponden a los pings y a los traceroute realizados.
También se pueden observar algunos paquetes del protocolo DNS, por ejemplo, el número 393 en la captura, pues fue necesario consultar www.unam.mx para determinar su dirección IPv6 pues no se tenía en caché.
Al intentar alcanzar los destinos 2606:4700:4700::1111 y 2606:4700::6811:752e, algunos paquetes ICMP, por ejemplo el número 716 en la captura, reportan que se agotó el TTL porque probablemente el host bloque el ICMP. Esto se refleja en los resultados donde al hacer traceroute, no se recupera información sobre el segundo destino.

Capa 4#

Los resultados de la captura se encuentran aquí.
La salida de los comandos de pruebas de conectividad de capa 4 se encuentran aquí.
Los únicos paquetes capturados fueron exactamente las solicitudes de conexión a los puertos 22, 53, 80, 443, 1024, 16384, 32768 y 65535 y las respuestas desde el puerto 53.
Todos son paquetes TCP. Como 9.9.9.9 es un servidor DNS, no se pudo establecer conexión en ningún puerto más que en 53 y 443.

Capa 7#

Los resultados de la captura se encuentran aquí.
Los dos primeros paquetes corresponden a la consulta (registro tipo A) al DNS y la respuesta que example.com tiene dirección IPv4 93.184.216.34.
Los siguientes dos paquetes son la consulta (registro tipo AAAA) al DNS y la respuesta que example.com tiene dirección IPv6 2606:2800:220:1:248:1893:25c8:1946.
El resto de los paquetes son el intercambio con los puertos 80 para el protocolo HTTP y 443 para el protocolo HTTPS. Por ejemplo, el número 208 en la captura es la solicitud GET hacia example.com y el paquete 210 es una respuesta que ya incluye contenido html.

Obteniendo una nueva IP del servidor DHCP#

ipconfig /release

ipconfig /renew

Obteniendo dirección MAC e IP de la interfaz de red#

Obteniendo dirección IPv4 e IPv6 del router#

Captura de tráfico con Wireshark#

Limpieza de DNS#

Limpieza de Tabla ARP#

Pruebas de conectividad CAPA 2#

Descubrimiento de la red con NMAP#

Pruebas de conectividad CAPA 3#

Conectividad con el router#

Conectividad hacia Internet#

Referencias#

  • https://manpages.ubuntu.com/manpages/focal/en/man8/dhclient.8.html
  • https://manpages.ubuntu.com/manpages/focal/en/man8/ip.8.html
  • https://manpages.ubuntu.com/manpages/focal/en/man1/resolvectl.1.html
  • https://manpages.ubuntu.com/manpages/focal/en/man1/dig.1.html
  • https://manpages.ubuntu.com/manpages/focal/en/man1/nmap.1.html
  • https://manpages.ubuntu.com/manpages/focal/en/man1/ping.1.html
  • https://manpages.ubuntu.com/manpages/focal/man1/traceroute.db.1.html
  • https://manpages.ubuntu.com/manpages/focal/en/man1/curl.1.html