1. Práctica de lectura de tramas con Ethereal/Wireshark
Objetivos: Adquirir experiencia en el uso avanzado de una herramienta de análisis de tráfico de red, en
particular de una sesión de tráfico web (HTTP sobre TCP). Identificar los diferentes tipos de protocolos,
ver los campos incluidos en el mismo, filtrar los paquetes que nos interesan, etc.
Conocimientos teóricos previos: Se requiere tener claros los diferentes niveles del modelo de
referencia OSI. Conocimientos básicos sobre protocolos y de arquitecturas de redes de ordenadores.
Ejercicios:
0) Crea en tu carpeta local (en tu “home”) una subcarpeta llamada “wireshark”. En ella
guardaremos los ficheros que vayamos usando en esta práctica.
1) Descárgate los archivos que encontrarás en el sitio de apoyo de la asignatura junto con este
guión. Los ficheros contienen capturas de paquetes que se analizarán en los siguientes ejercicios.
Ejercicio 1: Lectura de paquetes e información asociada en Ethereal/Wireshark.
Introducción: La captura es de un ordenador en una red privada local que está navegando a través de
Internet.
Se recomienda que durante la realización de los ejercicios, vayáis apuntando vuestros comentarios y
respuestas a las preguntas planteadas en un fichero de texto, aún cuando al final no se tengan que
entregar a los profesores.
1) Abre el archivo “web.gz” con Ethereal/Wireshark. ¿Cuántos paquetes han sido capturados?
¿Cuánto tiempo ha llevado la captura?
2) Analiza un poco más a fondo el primer paquete. Observa si tiene o no datos. Si tienes activada la
función de coloreado de paquetes, podrás ver que Ethereal/Wireshark lo identifica como un
paquete HTTP, aunque si te fijas bien el protocolo TCP no encapsula ningún contenido de HTTP.
¿Por qué crees que aún así Ethereal/Wireshark lo colorea como un paquete HTTP? Busca el
primer paquete que contiene datos HTTP. Si no hay datos en los anteriores, ¿cuál es su
acometido?
3) Ordena los paquetes capturados por protocolos para poder analizar mejor aquéllos que se han
identificado como HTTP (no sólo en lo relativo al color, sino que contienen el protocolo en sí).
Observando la secuencia de los paquetes del protocolo HTTP se puede ver claramente las
peticiones HTTP que se hacen al servidor y las respuestas que éste proporciona. ¿Qué página es
la que se pide en el paquete 4?

2. 4) Observa en el espacio dedicado a mostrar el paquete capturado en hexadecimal, al fondo de la
ventana. En ese espacio, hay tres columnas. La primera es un contador. ¿Cuánto suma en total
para el paquete 4? ¿Qué relación tiene esta suma con el tamaño del paquete? La segunda
columna muestra el contenido en hexadecimal del paquete. Cuando lo puede interpretar, se
muestran los caracteres correspondientes en la tercera columna; en caso contrario, se puede ver
un punto. ¿Qué ocurre con los caracteres r y n? ¿Qué significan esos caracteres? ¿Se consiguen
interpretar o se muestran como un punto?
5) El siguiente paquete, el número 15, contiene la respuesta del servidor a nuestra petición. Observa
que bajo “Hypertext Transfer Protocol” nos da el resultado de nuestra petición (un “200 OK”)
junto con el resto de cabeceras. Si investigamos lo que hay dentro de “line­based text data:
text/html”, veremos que se trata de una página web. ¿Cuál es el tamaño del paquete número 15
(en bytes)? ¿Cómo puede ser que se haya enviado todo ese texto en un número tan pequeño de
bytes? Pista: defragmentación (o resemblance). Investiga los paquetes afectados por la
defragmentación, en especial, fijándote en su tamaño, si llevan contenidos HTTP o no y si hay
alguna indicación de que el contenido se encuentra en otro paquete. ¿Quién realiza la
defragmentación?
6) Identifica el momento en el que llega la respuesta de la petición de la página web. Observa que
en los instantes siguientes se piden una serie de ficheros adicionales al servidor. ¿Qué son estos
ficheros? ¿Tiene éxito la petición de todos ellos? ¿Cuál crees que es el siguiente paquete que
contiene un GET provocado por una acción del usuario (humano) que está utilizando el
navegador?
7) Observa que el paquete 111 contiene una nueva petición de otra página web. Asimismo, el
paquete 116 vuelve a pedir la hoja de estilo (/docencia/style.css), aún cuando podemos ver que
hasta el paquete 129 no obtenemos la página web completa. ¿Cómo puede ser eso?
8) Vuelve a ordenar los paquetes según su número. Para ello, mira el tamaño de los primeros 20 ó
25 paquetes uno a uno en Wireshark. Si agrupáramos por tamaños los paquetes, cuántos grupos
tendríamos y con qué se corresponderían.
9) En el menú “Statistics”, selecciona “Protocol Hierarchy” para observar la jerarquía de
protocolos. ¿Qué protocolo se ha utilizado más: TCP o UDP? Observa para qué se ha utilizado
UDP. Fíjate también en el tamaño de los datos intercambiados entre el cliente y el servidor web
y cuánto supone eso del total del intercambio de datos. ¿Qué porcentaje del total de bytes de
TCP corresponde a datos (texto e imágenes)? (Nota: por un error en Wireshark, tendrás que
sumar los datos de los paquetes que contienen las páginas web) ¿Y cuál es el porcentaje sobre el
total de bytes de todos los paquetes? Una vez que lo hayas calculado, cierra esta ventana de
estadísticas.
10) En el menú de “Statistics”, elige ahora la entrada “IO Graphs”. Verás el ritmo de intercambio de

3. paquetes en una gráfica donde el eje horizontal es el temporal, mientras que el vertical indica el
número de paquetes. Cambia el intervalo del tick del eje X a 0.10 segundos para analizarlo con
mayor claridad. Un rápido vistazo nos hará ver que se pueden identificar nítidamente las
peticiones web que hace el cliente por los picos que genera. Así mismo, hay otros picos, más
pequeños, que se pueden identificar (por ejemplo a las 3,5 segundos o a los 10 segundos). Intenta
averiguar a qué se deben esos picos y si tienen alguna relación con la visita de las páginas web.
11) Una manera sencilla de ver cuánto del tráfico total es debido a HTTP es introduciendo una regla
de filtrado en el gráfico anterior. Para ello, en Graph 2 indica en el campo de texto “http” y pulsa
“Graph 2”.
12) Finalmente en “Statistics” comprueba qué nos ofrece la opción de “Conversations” y
“Endpoints”, en particular en la pestaña de IPv4. Observa la relación de paquetes y bytes
enviados desde el cliente y la del servidor. Recuerda que en el web es un servicio cliente­
servidor típico, donde el que ofrece información es el servidor mientras que el cliente es
solamente consumidor de la misma. Saca conclusiones al respecto.
Autoevaluación
Dirige tu navegador web a la siguiente URL, donde podrás comprobar por ti mismo lo aprendido hasta
ahora mediante un sistema de autoevaluación:
http://libresoft.es/webs/grex/IARO/autoevaluacion/Wireshark
Responde las preguntas que se plantean hasta que llegues a la última. Muchas gracias.