3.8.8 Lab - Explore DNS Traffic

Práctica de Laboratorio: Explorar tráfico DNS
Objetivos
Parte 1: Capturar tráfico DNS
Parte 2: Explorar tráfico de consultas DNS
Parte 3: Explorar tráfico de respuestas DNS
Antecedentes / Escenario
Wireshark es una herramienta de captura y análisis de paquetes de código abierto. Wireshark proporciona un
desglose detallado de la pila de protocolos de red. Wireshark les permite filtrar tráfico para solucionar
problemas de red, investigar problemas de seguridad y analizar protocolos de red. Como Wireshark permite
ver los detalles de los paquetes, un atacante también puede utilizarla como herramienta de reconocimiento.
En esta práctica de laboratorio instalarán Wireshark en un sistema Windows y lo utilizarán para filtrar
paquetes DNS y ver los detalles de los paquetes de consultas y respuestas DNS.
Recursos Necesarios
 1 PC Windows con acceso a Internet y Wireshark instalado
Instrucciones
Paso 1: Capturar tráfico DNS
a. Abran Wireshark e inicien una captura de Wireshark; para ello, hagan doble clic en una interfaz de red
con tráfico.
 2017 - 土曜日 Cisco y/o sus filiales. Todos los derechos reservados. Información pública de Cisco Página 1 de 10
www.netacad.com
b. En el símbolo del sistema, escriban ipconfig/flushdns y borren el caché de DNS.

C:\Users\Student> ipconfig /flushdns
Configuración IP de Windows
Se vació con éxito la caché de resolución de DNS.

c. Presionen nslookup en la confirmación para acceder al modo interactivo de nslookup.
d. Introduzcan el nombre de dominio del sitio web. En este ejemplo se utiliza el nombre de
dominio www.cisco.com. Introduzcan “www.cisco.com”en el símbolo >prompt.
C:\Users\Student> nslookup
Servidor Predeterminado: Desconocido
Dirección: 68.105.28.16
> www.cisco.com
Servidor: Desconocido
Dirección: 68.105.28.16
Respuesta no autoritativa:
Nombre: e2867.dsca.akamaiedge.net
Direcciones: 2001:578:28:68d::b33
2001:578:28:685::b33
96.7.79.147
Alias: www.cisco.com
www.cisco.com.akadns.net
wwwds.cisco.com.edgekey.net
wwwds.cisco.com.edgekey.net.globalredir.akadns.net
e. Presionen exit una vez que haya terminado para salir del modo interactivo nslookup. Cierren el símbolo
del sistema.
f. Hagan clic en Stop capturing packets (Dejar de capturar paquetes) para detener la captura de
Wireshark.
Paso 2: Explorar Tráfico de Consultas DNS

a. Observen el tráfico capturado en el panel Packet List (Lista de paquetes) de Wireshark. Introduzcan
udp.port == 53 en el cuadro de filtros y hagan clic en la flecha (o presionen Intro) para mostrar
solamente paquetes DNS.
b. Seleccionen el paquete que tiene la etiqueta Standard query 0x0002 A www.cisco.com.
www.netacad.com
En el panel Packet Details (Detalles del paquete), observen que este paquete tiene Ethernet II,
Internet Protocol Version 4, User Datagram Protocol y Domain Name System (query).
c. Expandan Ethernet II para ver los detalles. Observen los campos de origen y de destino.
Pregunta:
¿Qué sucedió con las direcciones MAC de origen y de destino? ¿Con qué interfaces de red están
asociadas estas direcciones MAC?
EsEn este ejemplo, la dirección MAC de origen está asociada con la NIC de la PC y la dirección
MAC de destino está asociada con el Gateway predeterminado. Si hay un servidor DNS local, la
www.netacad.com
dirección MAC de destino sería la dirección MAC del servidor DNS local.criba sus respuestas
aquí.
a. Expandan Internet Protocol Version 4. Observen las direcciones IPv4 de origen y de destino.
Pregunta:
¿Cuáles son las direcciones IP de origen y destino? ¿Con qué interfaces de red están asociadas estas
direcciones IP?
EscEn este ejemplo, la dirección IP de origen está asociada con la NIC de la PC y la dirección IP
de destino está asociada con el servidor DNS.riba sus respuestas aquí.
www.netacad.com
b. Expandan User Datagram Protocol. Observen los puertos de origen y de destino.
Pregunta:
¿Cuáles son los puertos de origen y de destino? ¿Cuál es el número de puerto de DNS predeterminado?
El número de puerto de origen es 58461 y el puerto de destino es 53, el cual es número de puesto de
DNS predeterminado.
Escriba sus respuestas aquí.
c. Abran un símbolo del sistema e introduzcan arp–a e ipconfig/all para registrar las direcciones MAC e IP
de la PC.
C:\Users\Student> arp -a
Interface: 192.168.1.10 --- 0x4

Dirección de Internet Dirección Física Tipo
192.168.1.1 cc-40-d0-18-a6-81 dinámico
192.168.1.122 b0-a7-37-46-70-bb dinámico
192.168.1.255 ff-ff-ff-ff-ff-ff estático
224.0.0.22 01-00-5e-00-00-16 estática
224.0.0.252 01-00-5e-00-00-fc estático
239.255.255.250 01-00-5e-7f-ff-fa estático
255.255.255.255 ff-ff-ff-ff-ff-ff estático
C:\Users\Studuent> ipconfig /all
Configuración IP de Windows
www.netacad.com
Host Name . . . . . . . . . . . . : DESKTOP

Primary Dns Suffix . . . . . . . :
Node Type . . . . . . . . . . . . : Híbrido
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
Ethernet adaptador Ethernet:
Sufijo de conexión específica DNS. :

Description . . . . . . . . . . . : Intel(R) PRO/1000 MT Desktop Adapter
Physical Address. . . . . . . . . : 08-00-27-80-91-DB
DHCP Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
Link-local IPv6 Address . . . . . : fe80::d829:6d18:e229:a705%4(Favorito)
IPv4 Address. . . . . . . . . . . : 192.168.1.10(Favorito)
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Lease Obtained. . . . . . . . . . : Martes 20 de Agosto, 2019 5:39:51 PM
Lease Expires . . . . . . . . . . : Miércoles 21 de Agosto, 2019 5:39:50 PM
Default Gateway . . . . . . . . . : 192.168.1.1
DHCP Server . . . . . . . . . . . : 192.168.1.1
DHCPv6 IAID . . . . . . . . . . . : 50855975
DHCPv6 IAID . . . . . . . . : 00-01-00-01-24-21-BA-64-08-00-27-80-91-DB
DNS Servers . . . . . . . . . . . : 68.105.28.16
68.105.29.16
NetBIOS over Tcpip. . . . . . . . : Habilitado
Pregunta:
Comparen las direcciones MAC e IP presentes en los resultados de Wireshark con los resultados de
ipconfig /all. ¿Cuál es su observación?
Las direcciones IP y MAC capturadas en los resultados de Wireshark son las mismas que figuran
en el comando «ipconfig/all».
d. Expandan Domain Name System (query)) en el panel Packet Details. Después expandan Flags
(Marcadores) y Queries (Consultas).
www.netacad.com
Observen los resultados. El marcador está definido para realizar la consulta recursivamente y así
consultar la dirección IP en www.cisco.com.
www.netacad.com
Paso 3: Explorar Tráfico de Respuestas DNS

a. Seleccionen el paquete DNS de respuestas correspondiente que tiene la etiquetaStandard query
response 0x0002 A www.cisco.com.
Preguntas:
¿Cuáles son las direcciones MAC e IP y los números de puerto de origen y de destino? ¿Qué similitudes
y diferencias tienen con las direcciones presentes en los paquetes de consultas DNS?
La IP de origen, la dirección MAC y el número de puerto en el paquete de consulta ahora son
direcciones de destino. La IP de destino, la dirección MAC y el número de puerto en el paquete de
consulta ahora son las direcciones de origen. aquí.
www.netacad.com
b. Expandan Domain Name System (response). Después expandan Flags, Queries y Answers
(Respuestas). Observen los resultados.
Pregunta:
¿El servidor DNS puede realizar consultas recursivas?

Sí, el DNS puede manejar consultas recursivas.
c. Observen los registros CNAME y A en los detalles de las respuestas.

Pregunta:
¿Qué similitudes y diferencias tienen con los resultados de nslookup?

EscriLos resultados en Wireshark deben ser iguales a los resultados de nslookup en la petición
de ingreso de comando.ba sus respuestas aquí.
www.netacad.com
Pregunta de Reflexión
1. A partir de los resultados de Wireshark. ¿qué más pueden averiguar sobre la red cuando quitan el filtro?
Sin los filtros, los resultados muestran otros paquetes, como DHCP y ARP. A partir de estos
paquetes y la información contenida en estos paquetes, puede conocer otros dispositivos y sus
funciones dentro de la LAN.us respuestas aquí.
2. ¿De qué manera un atacante puede utilizar Wireshark para poner en riesgo la seguridad de sus redes?
Un atacante en la LAN puede usar Wireshark para observar el tráfico de la red y puede obtener
información confidencial en los detalles del paquete si el tráfico no está encriptado.s respuestas
aquí.
www.netacad.com

3.8.8 Lab - Explore DNS Traffic

Cargado por

Copyright:

Formatos disponibles

3.8.8 Lab - Explore DNS Traffic

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

3.8.8 Lab - Explore DNS Traffic

Cargado por

Copyright:

Formatos disponibles

Práctica de Laboratorio: Explorar tráfico DNS

b. En el símbolo del sistema, escriban ipconfig/flushdns y borren el caché de DNS.

Se vació con éxito la caché de resolución de DNS.

Paso 2: Explorar Tráfico de Consultas DNS

b. Expandan User Datagram Protocol. Observen los puertos de origen y de destino.

Escriba sus respuestas aquí.

Interface: 192.168.1.10 --- 0x4

C:\Users\Studuent> ipconfig /all

Host Name . . . . . . . . . . . . : DESKTOP

Ethernet adaptador Ethernet:

Sufijo de conexión específica DNS. :

Escriba sus respuestas aquí.

Paso 3: Explorar Tráfico de Respuestas DNS

¿El servidor DNS puede realizar consultas recursivas?

Escriba sus respuestas aquí.

c. Observen los registros CNAME y A en los detalles de las respuestas.

¿Qué similitudes y diferencias tienen con los resultados de nslookup?

También podría gustarte