1 00:00:01,459 --> 00:00:39,759 Ahora vamos a capturar las tramas con un software que se llama Wireshark. Primero lo voy a instalar. Lo instalo en el servidor Wireshark. Cuando termine de instalarse, lo veré en el menú de software de mi máquina y lo veré y lo podré lanzar. Aquí está. 2 00:00:39,759 --> 00:00:43,679 pero para poder ver las interfaces 3 00:00:43,679 --> 00:00:46,039 tengo que lanzarlo en línea de comandos y poner usuario 4 00:00:46,039 --> 00:00:49,119 administrador, entonces esto lo tengo que hacer con sudo 5 00:00:49,119 --> 00:00:52,420 vale, entonces ahora lo lanzo 6 00:00:52,420 --> 00:00:55,740 puede ser con sudo y como podéis ver ahora sí que me abre 7 00:00:55,740 --> 00:00:58,460 la interfaz y me presenta las interfaces 8 00:00:58,460 --> 00:01:01,600 gráficas que tiene 9 00:01:01,600 --> 00:01:04,400 la máquina, tiene la S3 que era la 10 00:01:04,400 --> 00:01:07,599 conectada por NAT a través de internet y la 11 00:01:07,599 --> 00:01:30,920 Interfaz 8, que es la que he configurado como servidor de HSP. Voy a ver si ahora mismo está la IP activa, porque antes la desconecté, abro un nuevo terminal y le pregunto, digo IP A, me dice que sí, que está activa, esta es la interfaz, por lo tanto, yo puedo ya empezar a capturar tramas. 12 00:01:31,640 --> 00:01:38,560 Bien, pues selecciono ENP0S8, ya está, y ahora le voy a dar aquí para empezar a capturar tramas. 13 00:01:39,239 --> 00:01:43,640 Bien, esto está capturando tramas. Ahora mismo, si se produjera alguna comunicación, ¿veis? 14 00:01:43,739 --> 00:01:49,459 Aquí se han producido unos mensajes a nivel de... en el protocolo ARP, ¿vale? 15 00:01:49,459 --> 00:01:57,719 Se han producido unos mensajitos. Bueno, el protocolo ARP es uno de los muchos protocolos que puede estar funcionando en nuestra máquina. 16 00:01:57,719 --> 00:02:13,560 Voy a hacer que nuestro cliente le pida una dirección por DHCP al servidor. ¿Recordáis cómo se hacía eso? Había un comando que era dhclient, entonces lo voy a ejecutar aquí. 17 00:02:13,560 --> 00:02:33,289 A ver, he movido la ventana y se me ha ido. Abro un terminal, bueno, la tenía abierta. Aquí, dh sudo, sudo dh, ¿qué hay? Menos sudo. 18 00:02:34,110 --> 00:02:45,349 Con esto acaba de pedir una dirección IP. Entonces, como veis aquí, he parado de capturar tramas. Como veis aquí se ven las últimas tramas que se han ido produciendo en la red. 19 00:02:45,349 --> 00:02:47,430 en esta red 20 00:02:47,430 --> 00:02:59,340 en Wireshark podemos verlo muy claramente 21 00:02:59,340 --> 00:03:04,060 podemos filtrar 22 00:03:04,060 --> 00:03:06,300 por protocolo si queremos 23 00:03:06,300 --> 00:03:08,080 para que nos ponga solamente 24 00:03:08,080 --> 00:03:09,240 los protocolos DHCP 25 00:03:09,240 --> 00:03:12,219 podemos ver todos los 26 00:03:12,219 --> 00:03:14,139 mensajes anteriores, pero los últimos, los que se han 27 00:03:14,139 --> 00:03:15,900 producido cuando yo he lanzado aquí DHClient 28 00:03:15,900 --> 00:03:17,699 han sido estos dos, han sido primero 29 00:03:17,699 --> 00:03:20,039 un DHCP request 30 00:03:20,039 --> 00:03:24,039 que venía de 31 00:03:24,039 --> 00:03:26,099 una máquina determinada, para saber más detalles 32 00:03:26,099 --> 00:03:27,979 puedo hacer doble clic, entonces aquí 33 00:03:27,979 --> 00:03:53,659 Aquí veo que se produce un mensaje DHCP request que viene de esta MAC, que es la MAC de mi cliente, la que acaba en DE5, y lo hace por broadcast, porque el DHCP request lo lanza por el nivel de enlace a broadcast, es decir, a todas las máquinas que están visibles en su red de difusión. 34 00:03:53,659 --> 00:03:56,039 todas las máquinas que estaban ahí 35 00:03:56,039 --> 00:03:57,379 han podido capturar esta trama 36 00:03:57,379 --> 00:04:00,219 y esta trama es de HCP 37 00:04:00,219 --> 00:04:00,639 Request 38 00:04:00,639 --> 00:04:04,139 aquí viene el detalle de la 39 00:04:04,139 --> 00:04:06,180 trama, luego la respuesta del servidor 40 00:04:06,180 --> 00:04:07,439 es esta, que es 41 00:04:07,439 --> 00:04:09,900 ACK, te voy a dar 42 00:04:09,900 --> 00:04:12,120 la IP y cuál te doy por la que 43 00:04:12,120 --> 00:04:14,060 me hayas pedido, le había pedido renovarla 44 00:04:14,060 --> 00:04:15,819 a 100, esta trama 45 00:04:15,819 --> 00:04:17,939 perdón, esta secuencia ha sido muy sencilla 46 00:04:17,939 --> 00:04:19,959 es la secuencia de yo ya tengo una IP 47 00:04:19,959 --> 00:04:22,100 y te pido que me la reasignes 48 00:04:22,100 --> 00:04:42,939 Pues ahora vamos a lanzar desde el cliente, vamos a lanzar el DHCP Discover para ver qué se captura en Wireshark. Voy a lanzar aquí Wireshark. Lo voy a reiniciar en realidad, voy a decir que no guarde la sesión anterior, que continúe y ahora está empezando a capturar tramas. 49 00:04:42,939 --> 00:05:01,790 Bien, pues desde esta máquina, que como veis, actualmente no tiene ninguna dirección IP en esta interfaz, voy a hacer un dhclient-v y esto va a lanzar peticiones. 50 00:05:02,310 --> 00:05:12,430 Entonces, como veis, aquí se está produciendo una fiesta. Voy a pararla, ¿vale? Para que no capture más. Y ahora vamos a ver qué es lo que hemos traceado. 51 00:05:12,430 --> 00:05:16,829 Pues hemos saciado primero un DHCP Discover 52 00:05:16,829 --> 00:05:19,790 Que si le doy aquí doble clic veo que es un Discover lanzado 53 00:05:19,790 --> 00:05:24,310 Desde la dirección MAC esta hacia un Broadcast 54 00:05:24,310 --> 00:05:27,889 Es decir, ha llegado a toda la red de difusión conectada 55 00:05:27,889 --> 00:05:29,689 Es decir, a todos los switches, todos los hubs 56 00:05:29,689 --> 00:05:33,050 Todo lo que había conectado a partir de la máquina que tiene esta MAC 57 00:05:33,050 --> 00:05:37,350 Y claro, como el servidor está en esa red lo ha escuchado 58 00:05:37,350 --> 00:05:40,089 Además, como el servidor es un servidor DHCP 59 00:05:40,089 --> 00:05:42,870 dice, esto es para mí, ha desempaquetado el mensaje 60 00:05:42,870 --> 00:05:44,790 ha dicho, vale, pues venga, yo te voy a dar 61 00:05:44,790 --> 00:05:46,730 una IP, ¿cuál te doy? entonces, este 62 00:05:46,730 --> 00:05:48,430 es el mensaje de offer 63 00:05:48,430 --> 00:05:50,550 el DHCP offer, ¿qué 64 00:05:50,550 --> 00:05:52,990 nos dice este mensaje? pues que le está mandando 65 00:05:52,990 --> 00:05:54,709 a la máquina anterior 66 00:05:54,709 --> 00:05:56,610 a la que habíamos dicho antes, le está 67 00:05:56,610 --> 00:05:58,689 mandando desde la MAC 68 00:05:58,689 --> 00:06:00,550 del propio servidor, le está mandando 69 00:06:00,550 --> 00:06:02,069 una oferta, y le está diciendo 70 00:06:02,069 --> 00:06:04,750 que se prepare para coger 71 00:06:04,750 --> 00:06:06,670 una dirección IP, ¿cuál es la dirección IP 72 00:06:06,670 --> 00:06:07,670 que le ofrece? esta 73 00:06:07,670 --> 00:06:10,370 la 100, ¿no? 74 00:06:11,310 --> 00:06:12,370 ¿Por qué la 100? 75 00:06:12,449 --> 00:06:13,910 Pues porque habíamos configurado la máquina 76 00:06:13,910 --> 00:06:16,569 así, nuestro servidor tenía una reserva 77 00:06:16,569 --> 00:06:17,870 configurada con la dirección 100 78 00:06:17,870 --> 00:06:20,269 para este cliente. 79 00:06:20,550 --> 00:06:22,370 Bien, el cliente 80 00:06:22,970 --> 00:06:25,550 después de... 81 00:06:25,550 --> 00:06:26,209 Bueno, aquí hay otro 82 00:06:26,209 --> 00:06:28,230 discover que se lanza por ahí. A ver, ¿este discover 83 00:06:28,230 --> 00:06:29,490 tiene algo que ver? Bueno, pues sí. 84 00:06:30,269 --> 00:06:31,870 Viene también de la misma máquina, 85 00:06:32,449 --> 00:06:34,170 pero no tengo claro ahora mismo si viene 86 00:06:34,170 --> 00:06:35,670 de la misma interfaz o no. Me da igual. 87 00:06:35,670 --> 00:06:51,930 Bueno, sí, parece que sí, porque aquí el offer se repite. Se captura dos veces. Yo creo que esto es simplemente como un acto reflejo. El mensaje se lee dos veces porque se ve así en la red, pero en realidad se produce un mensaje de discover y una oferta. 88 00:06:51,930 --> 00:07:15,350 Y ahora el cliente dice, vale, pues me la voy a quedar. Te lanzo un request. ¿Desde dónde? Desde mi dirección MAC. Lanzo de nuevo Broadcast porque esto funciona por Broadcast. Veis, la interfaz que está funcionando es ENPCRS8 y lo que hace es request. Pedirle la interfaz. Por cierto, voy a mirar a ver si las interfaces estas también eran desde la misma. Sí, también desde la 8. Son reflejos, son mensajes reflejos de los anteriores. 89 00:07:15,350 --> 00:07:32,089 Y después del request, el servidor le dice, ok, ACK, ACK quiere decir que te quedas con la IP. Perfecto, pues ya está. Hemos captado la secuencia de comunicación completa y nuestra máquina ya tiene una IP y aquí lo hemos capturado.