dns whireshark
Páginas: 4 (983 palabras)
Publicado: 2 de abril de 2014
PRACTICA DETALLES DEL PROTOCOLO DNS
CAPTURA TRAFICO CON WHIRESHARK
Para ver en “crudo” el protocolo DNS vamos a utilizar ingeniería inversa para analizar una “sesión” DNS. Decimos sesión entrecomillas porque debemos recordar que DNS funciona mediante UDP, por lo que no existe una conexión establecida, si no que cada mensaje es independiente. Vamos a utilizar el sniffer Whireshark.Simplemente ponemos en captura el sniffer y accedemos desde el navegador a una URL: por ejemplo www.osasuna.es
Suponiendo que la dirección solicitada no se encuentre en el archivo hosts ni en ningún tipode caché, esta petición lanzará una solicitud de traducción a un servidor DNS, el que esté configurado por defecto en el sistema.
Consulta
Vamos a ver la captura de pantalla de WhiresharkEn la captura anterior tenemos la lista de paquetes capturados. En primer lugar pueden aparecer dos paquetes que ahora no nos interesan: una consulta ARP a la dirección de broadcast para buscar ladirección MAC de nuestro router.
Lo que nos interesa ahora son los dos paquetes siguientes. Si hemos visto capturas de sesiones TCP sabremos que suele haber una serie de paquetes adicionales queno contienen datos, que son los que se utilizan para establecer y cerrar la conexión. En este caso vemos que la cosa es mucho más sencilla ya que sólo hay dos paquetes: una consulta y correspondienterespuesta.
Esto, por supuesto, es debido a que se trata del protocolo UDP, que no es orientado a conexión.
En la ventana de en medio vemos los detalles del paquete UDP que hemos enviadonosotros como consulta.
Como vemos, no sólo se envía el nombre que queremos traducir, si no también una cabecera con una serie de datos necesarios para la consulta.
El primer datos de la cabecera esel identificador de transacción (transaction ID) que consta de 2 bytes que identifican un par consulta-respuesta, es decir, la respuesta a esta consulta tendrá que tener el mismo identificador de...
CAPTURA TRAFICO CON WHIRESHARK
Para ver en “crudo” el protocolo DNS vamos a utilizar ingeniería inversa para analizar una “sesión” DNS. Decimos sesión entrecomillas porque debemos recordar que DNS funciona mediante UDP, por lo que no existe una conexión establecida, si no que cada mensaje es independiente. Vamos a utilizar el sniffer Whireshark.Simplemente ponemos en captura el sniffer y accedemos desde el navegador a una URL: por ejemplo www.osasuna.es
Suponiendo que la dirección solicitada no se encuentre en el archivo hosts ni en ningún tipode caché, esta petición lanzará una solicitud de traducción a un servidor DNS, el que esté configurado por defecto en el sistema.
Consulta
Vamos a ver la captura de pantalla de WhiresharkEn la captura anterior tenemos la lista de paquetes capturados. En primer lugar pueden aparecer dos paquetes que ahora no nos interesan: una consulta ARP a la dirección de broadcast para buscar ladirección MAC de nuestro router.
Lo que nos interesa ahora son los dos paquetes siguientes. Si hemos visto capturas de sesiones TCP sabremos que suele haber una serie de paquetes adicionales queno contienen datos, que son los que se utilizan para establecer y cerrar la conexión. En este caso vemos que la cosa es mucho más sencilla ya que sólo hay dos paquetes: una consulta y correspondienterespuesta.
Esto, por supuesto, es debido a que se trata del protocolo UDP, que no es orientado a conexión.
En la ventana de en medio vemos los detalles del paquete UDP que hemos enviadonosotros como consulta.
Como vemos, no sólo se envía el nombre que queremos traducir, si no también una cabecera con una serie de datos necesarios para la consulta.
El primer datos de la cabecera esel identificador de transacción (transaction ID) que consta de 2 bytes que identifican un par consulta-respuesta, es decir, la respuesta a esta consulta tendrá que tener el mismo identificador de...
Leer documento completo
Regístrate para leer el documento completo.