Aprendiendo ARP con Wireshark en GNS3

por
Tiempo de lectura: 4 minutos

En el post anterior explicabamos como se comunican dos dispositivos en una red y como se apoyan en el protocolo ARP (Address Resolution Protocol) para completar toda la información de los paquetes antes de ser enviados; Ahora, en este post vamos a verlo a bajo nivel, es decir con el mero mero detalle a nivel de paquetes, para eso vamos a apoyarnos en GNS3 para simular un ambiente sencillo, y hacer captura de paquetes con Wireshark, que como veran, nos deja revisar todo el detalle del tráfico en la red.

Esta sencilla topología la puedes implementar con los objetos incluidos en GNS3 (Ver guía de instalación de GNS3 en Windows):

Para configurar las IPs de los VPCS (o PCs virtuales):

Ahora, de PC1 a PC2, vamos a iniciar una captura (puede ser en cualquiera de los dos cables hacia los PCs) y damos ok:

Ahora podemos empezar la captura dando click sobre cualquier cable y usando la opción Start Capture:

Esto lanza la consola de Wireshark, y luego iniciaremos un Ping de PC1 a PC2:

Si observaste con cuidado la gráfica anterior, antes del ping la tabla ARP de PC1 estaba limpia, luego del Ping contiene la entrada de la IP de PC2 (10.10.10.102) y su respectiva dirección MAC (física) que fue encontrada a través del protocolo ARP. Ahora, en la captura antes del Ping puedes observar los dos primeros paquetes que corresponden a ARP:

Entonces, ahora sí, veamos el detalle de estos dos paquetes. El primer paquete simplemente pregunta ¿Que MAC está asociada a la IP 10.10.10.102 (PC2)?, Atentamente 10.10.10.101 (PC1). Ahondando un poco en los detalles del paquete, si observas, veras que el origen de este paquete es PC1, dado a que es la maquina que está generando el tráfico hacia PC2 y necesita conocer su dirección MAC para poder enviar el Ping. Algo curioso, es, esta pregunta la hace usando como destino una MAC broadcast (ff:ff:ff:ff:ff:ff), si recuerdas, el tráfico broadcast es aquel que va dirigida a toda la red. Quiere decir en ultimas, que esta consulta de PC1 se propaga a toda la red. Este primer paquete se conoce como ARP Request o consulta de ARP:

Ahora, el segundo paquete, es básicamente la respuesta de PC2 a PC1, este se conoce como ARP Reply. En este caso, es solo la maquina con la IP consultada inicialmente la que genera esta respuesta, cualquier otro PC o dispositivo en la red simplemente lo ignora. En la respuesta veras la información de MAC/IP de PC2 como origen del tráfico y la información de MAC/IP de PC1 como destino del tráfico:

y entonces, ¿Como lo viste?, sencillo, ¿eh?. Te invito a que lo repliques, lo tomes como ejemplo y lo analices. Te dejo acá el .PCAP si lo quieres ver con wireshark en casa y analizar un poco mas (debes descomprimirlo primero).

Recuerda entonces, hay dos mensajes en una resolución de ARP, un ARP Request que es básicamente un broadcast (A todos los dispositivos de la red), y un ARP Reply que es un Unicast o respuesta de ese dispositivo que responde la consulta inicial, entregando su información de MAC address para que se pueda iniciar la comunicación del tráfico que está en espera; en este ejemplo el Ping.

Saber como funciona ARP a bajo nivel es importante para tu carrera en Networking, y si me preguntas, uno de los puntos claves de cualquier entrevista de Network Security, CyberSecurity y cualquier tema que tenga que ver con comunicaciones, así que no lo pases por alto. Dejanos tus comentarios e inquietudes y un abrazo, hasta la proxima.

Deja un comentario