En determinadas ocasiones podemos vernos obligados a hacer
capturas de paquetes en dos puntos distintitos de la red. Una vez hecha la
captura es necesario comparar los paquetes en ambos puntos para resolver ciertos
problemas como pueden ser, ver si el paquete llega o no o si lo hace con tiempos de
respuestas muy altos.
En la siguiente guía voy a mostrar cómo podemos identificar un
paquete en ambos puntos de la captura asegurándonos que estamos trabajando en
cada uno de los punto con el paquete correcto.
Para hacer la demo he montado la siguiente topología.
Las capturas de paquetes se van a tomar en el PC donde tenemos
wireshark instalado y en el firewall a nivel del puerto donde está conectado el
switch que da servicio a los equipos de la LAN.
Una vez hecho esto podemos probar de enviar vario pings . Los pings que he utilizado iban con destino a la ip
1.1.1.1.
Si analizamos las capturas recogidas en el PC y filtramos
por la ip 1.1.1.1 tenemos los siguientes paquetes:
Si hacemos lo mismo en las capturas recogidas en el firewall podemos ver los siguientes paquetes:
Como observamos la identificación del paquete es diferente
en ambas capturas y en la captura del cliente hay más paquetes debido a que quizás se empezó
a capturar antes que en el Firewall.
Para poder identificar un paquete determinado en ambos
puntos vamos a utilizar uno de los campos incluidos dentro de la cabecera del
paquete IP, en concreto es el campo “Identification”
Este campo es un valor único que se añade en el paquete que nos serirá para seguir ese paquete determinado en cada una de las capturas.
Como podemos ver ya tenemos acotado uno de los paquetes con lo que podremos hacer los mismo con el resto de paquetes para poder compararlos.
No hay comentarios:
Publicar un comentario