Resolución de Problemas

5. Análisis de Paquetes

El campo del análisis de paquetes de red es vasto y puede ser objeto de cursos y libros completos. Esta lección introducirá los fundamentos. El análisis de paquetes implica capturar e inspeccionar los datos que viajan a través de una red. Es una habilidad esencial para la solución de problemas de red, el ajuste del rendimiento y el análisis de seguridad. Al examinar paquetes individuales, se pueden obtener conocimientos profundos sobre lo que sucede en la red a un nivel bajo.

Herramientas Populares de Análisis de Paquetes de Red

Existen dos herramientas extremadamente populares para el análisis de paquetes de red: Wireshark y tcpdump. Ambas son potentes aplicaciones de análisis de paquetes que escanean sus interfaces de red, capturan la actividad de los paquetes y analizan los datos para su inspección. Nos permiten entrar en los detalles más finos del análisis de red. Usaremos tcpdump por su simplicidad en la línea de comandos, pero si planea profundizar en el análisis de paquetes de red, se recomienda encarecidamente explorar la interfaz gráfica de Wireshark.

Instalación de tcpdump

En sistemas basados en Debian como Ubuntu, puede instalar tcpdump con el siguiente comando:

sudo apt install tcpdump

Captura de Datos de Paquetes en Vivo

Para comenzar a capturar datos en una interfaz específica, use la bandera -i seguida del nombre de la interfaz.

pete@icebox:~$ sudo tcpdump -i wlan0
tcpdump: salida detallada suprimida, use -v o -vv para la decodificación completa del protocolo
escuchando en wlan0, tipo de enlace EN10MB (Ethernet), tamaño de captura 65535 bytes
11:28:23.958840 IP icebox.lan > nuq04s29-in-f4.1e100.net: ICMP echo request, id 1901, seq 2, length 64
11:28:23.970928 IP nuq04s29-in-f4.1e100.net > icebox.lan: ICMP echo reply, id 1901, seq 2, length 64
11:28:24.960464 IP icebox.lan > nuq04s29-in-f4.1e100.net: ICMP echo request, id 1901, seq 3, length 64
11:28:24.979299 IP nuq04s29-in-f4.1e100.net > icebox.lan: ICMP echo reply, id 1901, seq 3, length 64
11:28:25.961869 IP icebox.lan > nuq04s29-in-f4.1e100.net: ICMP echo request, id 1901, seq 4, length 64
11:28:25.976176 IP nuq04s29-in-f4.1e100.net > icebox.lan: ICMP echo reply, id 1901, seq 4, length 64
11:28:26.963667 IP icebox.lan > nuq04s29-in-f4.1e100.net: ICMP echo request, id 1901, seq 5, length 64
11:28:26.976137 IP nuq04s29-in-f4.1e100.net > icebox.lan: ICMP echo reply, id 1901, seq 5, length 64
11:28:30.674953 ARP, Request who-has 172.254.1.0 tell ThePickleParty.lan, length 28
11:28:31.190665 IP ThePickleParty.lan.51056 > 192.168.86.255.rfe: UDP, length 306

Notará mucha actividad al ejecutar una captura de paquetes, lo cual es esperado dado el tráfico constante de red en segundo plano. El ejemplo anterior muestra un fragmento de una captura tomada mientras se hacía ping a www.google.com.

Interpretación de la Salida de tcpdump

Analicemos una línea de la captura:

11:28:23.958840 IP icebox.lan > nuq04s29-in-f4.1e100.net: ICMP echo request, id 1901, seq 2, length 64
  • Marca de Tiempo: El primer campo (11:28:23.958840) muestra cuándo se capturó el paquete.
  • Protocolo: IP indica el protocolo de capa de red.
  • Origen y Destino: icebox.lan > nuq04s29-in-f4.1e100.net muestra el origen y el destino del paquete.
  • Información Específica del Protocolo: El resto de la línea contiene detalles específicos del protocolo. Para este paquete ICMP:
    • seq: El número de secuencia del paquete.
    • length: La longitud del paquete en bytes.

Como puede ver, nuestra máquina envió una solicitud de eco ICMP y recibió una respuesta de eco ICMP. Diferentes protocolos mostrarán información diferente, así que consulte la página del manual para obtener más detalles.

Guardar Capturas para Análisis Posterior

En lugar de ver el tráfico en vivo, puede guardar la captura en un archivo usando la bandera -w. Esto es útil para un análisis de paquetes fuera de línea más detallado.

sudo tcpdump -w /some/file.pcap

Solo hemos arañado la superficie del análisis de paquetes. Hay mucho más por explorar, incluidos los filtros avanzados y la inspección del contenido de los paquetes en Hex y ASCII. Innumerables recursos en línea pueden ayudarlo a dominar las herramientas de análisis de paquetes de red, y le recomendamos que continúe su viaje de aprendizaje.

Inicia sesión para guardar tu progreso de aprendizaje

Iniciar sesión

Ejercicios

Para solidificar su comprensión del análisis de paquetes, pruebe este laboratorio práctico. ¡La práctica hace al maestro!

  1. Analizar Marcos Ethernet con tcpdump en Linux - Practique la captura e inspección de marcos Ethernet, la generación de tráfico y el análisis de encabezados de trama y direcciones MAC usando tcpdump.

Este laboratorio le ayudará a aplicar los conceptos de análisis de paquetes en un escenario del mundo real y a ganar confianza con la solución de problemas de red.

Iniciar sesión en LabEx para practicar

Cuestionario

Cuál es la bandera para capturar una interfaz específica con tcpdump? Por favor, responda usando solo la bandera requerida en inglés. La respuesta distingue entre mayúsculas y minúsculas.