Cuestión 2. Análisis estadístico de una captura de datos

A partir de un fichero de captura de tráfico en la red se determinará cierta información que aparece en la misma. Para ello se necesita generar tráfico para poder obtener un fichero con información capturada. En primer lugar se iniciará el monitor de red y se realizará las siguientes acciones para generar tráfico:

• Conéctate con el navegador a http://www.ua.es
• Desde la ventana de MSDOS ejecuta el comando ping 172.20.43.230 que permite comprobar la conectividad en red de una máquina remota.

• En la misma ventana ejecutamos ahora el comando tracert 193.145.233.8 que es muy útil para visualizar los saltos que recorren paquetes IP hasta que llegan a su destino.

• Por último, introducimos la palabra "aula24" en el buscador GOOGLE.

A continuación, una vez paralizada la captura de datos, guárdala con el nombre LAB24_P2.cap. Con la captura anterior, debes responder a las siguientes cuestiones:
Apartado a) Calcula el porcentaje de tramas Ethernet de difusión existentes en la captura. (tramas de difusión/tramas totales * 100)
Para saber cuántas tramas de difusión hemos emitido tenemos que utilizar el filtro eth.dst == FF:FF:FF:FF:FF:FF que lo que nos filtra son las tramas que han sido mandadas a una dirección MAC concreta, siendo la especificada arriba una dirección que lo que simboliza es cualquier dirección MAC, es decir, que lo envía a todos (difusión).

Las tramas de difusión que obtenemos son 3140.
Las tramas totales son 6763.
El porcentaje de tramas de difusión será: (3140/6763)*100 = 46.43%

Apartado b) Calcula el porcentaje de paquetes IP existentes en la captura.
Para obtener la cantidad de tramas IP utilizamos el filtro ip que lo que hará será, de todas las tramas que hemos capturado, dejará sólo las que utilicen el protocolo IP.
La cantidad de tramas IP es 6169.
Las tramas totales son 6763.
El porcentaje de tramas ip será: (6169/6763)*100 = 91.22%

Apartado c) Calcula el porcentaje de paquetes IP enviados por la máquina del alumno.
El filtro que utilizaremos para este apartado será ip && ip.src == 172.20.43.205 ya que lo que se busca conseguir son los paquetes IP cuyo origen es nuestro ordenador, por lo que hemos de especificar que la dirección IP de origen es la nuestra.

La cantidad de paquetes IP enviados es 1443.
La cantidad total de paquetes es 6763.
El porcentaje de tramas ip será: (1443/6763)*100 = 21.34%

Apartado d) Indica el número de los paquetes IP que contengan la cabecera "abcd" en su interior. ¿Qué aplicación ha podido generar esos datos?
El filtro que vamos a aplicar para este caso es ip contains "abcd". Si en lugar de eso pusiéramos la cadena sin comillas, buscaría los paquetes que tuvieran las letras sueltas, cuando lo que buscamos es que estén concatenadas.
Como podemos ver, no hemos captado ningún paquete IP con esas características.
La aplicación que crea estos paquetes es ping.



Apartado e) Localiza los paquetes que tengan el campo de la cabecera IP "TTL" igual a 1. ¿Cuántos aparecen? ¿Qué aplicación puede haberlas generado?
Para realizar este apartado hemos de filtrar los paquetes IP cuyo campo "TTL" (Time To Live) tenga valor 1. Para ello el filtro que utilizaremos será ip.ttl == 1.
La cantidad de paquetes IP cuyo campo "TTL" vale 1 es 12.
La aplicación que genera estos paquetes con estas características es la aplicación "tracert" lanzada al principio de este ejercicio.

Apartado f) Determina en cuantos paquetes aparece la cadena "aula24". ¿A qué aplicación están asociados?
Para ver en cuantos paquetes aparece la cadena "aula24" lo que hemos de hacer es utilizar el filtro ip contains "aula24", ya que mostrará los paquetes IP que contengan la cadena especificada en alguno de sus campos.
La cantidad de paquetes IP que contienen la cadena "aula24" es 4.
La aplicación que ha generado estos paquetes es el navegador de Internet (en nuestro caso, el Mozilla Firefox) al realizar la introducción a este ejercicio.