analisis trama dns
A continuación una salida TCPDump/WinDump de una conexión cualquiera. En este caso un update de informacion a una tabla de BD mysql desde el puesto STATION atraves del puerto 1472 hacia INFO01 donde se ubica la base de datos mysql a la escucha en puerto 3306.
code1.jpg
Vamos a distinguir las partes que nos interesan.
Cabecera IP:
code2.jpg
Segmento TCP:
code3.jpg
Datos (incluye Opciones y Campo Relleno):
code4.jpg
La cabecera IP ya fue tema de estudio en la primera parte de este artículo. Así pues nos centramos en elSegmento TCP.
CAbecera TCP
La salida hexadecimal que vamos a analizar:
code3.jpg
05c0 Puerto origen. En este caso 1472.
0cea Puerto destino. En este caso 3306.
27dd 44a3 Número de secuencia. (32 bits). Indica el número de secuencia del primer byte que trasporta el segmento. En este caso 1020517571.
6fad 253b Número de acuse de recibo. (32 bits). Indica el número desecuencia del siguiente byte que se espera recibir. Con este campo se indica al otro extremo de la conexión que los bytes anteriores se han recibido correctamente. En este caso 1873618235.
5 Posición de los datos (Data Offset). (4 bits). Longitud de la cabecera medida en múltiplos de 32 bits (4 bytes). El valor mínimo de este campo es 5, que corresponde a un segmento sin datos (20 bytes).
018Campo reservado (para un posible uso futuro) + Bits de código o indicadores. (6 + 6 bits.)
Bits de código o indicadores. (6 bits). Los bits de código determinan el propósito y contenido del segmento. A continuación se explica el significado de cada uno de estos bits (mostrados de izquierda a derecha) si está a 1:
URG. El campo Puntero de urgencia contiene información válida.ACK. El campo Número de acuse de recibo contiene información válida, es decir, el segmento actual lleva un ACK. Observemos que un mismo segmento puede transportar los datos de un sentido y las confirmaciones del otro sentido de la comunicación.
PSH. La aplicación ha solicitado una operación push (enviar los datos existentes en la memoria temporal sin esperar a completar el segmento).RST. Interrupción de la conexión actual.
SYN. Sincronización de los números de secuencia. Se utiliza al crear una conexión para indicar al otro extremo cual va a ser el primer número de secuencia con el que va a comenzar a transmitir (veremos que no tiene porqué ser el cero).
FIN. Indica al otro extremo que la aplicación ya no tiene más datos para enviar. Se utiliza parasolicitar el cierre de la conexión actual.
En este caso:
Si pasamos 018 (hex) a binario, obtenemos: 11000
Como ya hemos explicado en los artículos de TCPDump/windump:
….U A P R S F
——————
0 0 0 1 1 0 0 0 (en binario)
——————
7 6 5 4 3 2 1 0
los bytes 7 y 6 son los reservados. Vemos entonces que tenemos activadoscon 1 los indicadores A y P que corresponden a SYN +PSH
NOTA: Esto último ya los estudiamos en el capítulo de filtros TCPDump/ WinDump
fd59 Window (ventana). (16 bits). Número de bytes que el emisor del segmento está dispuesto a aceptar por parte del
destino. En este caso 64857.
2def Checksum o suma de vdrificación (16 bits). Suma de comprobación de errores del...
Regístrate para leer el documento completo.