Análisis capturas tráfico de Red. Interpretacion datagrama UDP (III).

Ya vimos en la primera parte y segunda parte de este estudio sobre Análisis de capturas de tráfico de red la interpretación del datagrama IP y el segmento TCP, la interpretación de los valores hexadecimales de la salida de TCPDump/WinDump referente al datagrama IP y segmento TCP. Ahora vamos a estudiar e interpretar el datagrama UDP. UDP es el protocolo del nivel de transporte que, a diferencia de TCP, no es orientado a conexión y no es fiable. Es el protocolo más sencillo, más rápido, usado para aplicaciones multimedia y comunicaciones en las que se puede permitir la perdida de algún datagrama. Los datagramas UDP se encapsulan dentro de la parte de datos de un datagrama IP.

Mostramos a continuación el formato de la cabecera de un datagrama UDP:

Formato cabecera datagrama UDP.

La salida tcpdump/windump en hexadecimal:

IP 192.168.1.30.137 > 192.168.1.41.137: UDP, length 62
0x0000: 4500 005a d5cd 0000 8011 e12d c0a8 011e E..Z…….-….
0x0010: c0a8 0129 0089 0089 0046 b453 824c 8500 …)…..F.S.L..
0x0020: 0000 0001 0000 0000 2045 4d45 4445 4245 ………EMEDEBE
0x0030: 4e46 4145 5046 4a43 4143 4143 4143 4143 NFAEPFJCACACACAC
0x0040: 4143 4143 4143 4143 4100 0020 0001 0004 ACACACACA…….
0x0050: 93e0 0006 0000 c0a8 011e ……….

Hemos marcado con color amarillo la parte correspondiente a UDP y color azul la correspondiente a la cabecera IP.

  • 0089 Puerto de orígen (16 bits). En este caso 137.
  • 0089 Puerto de destino (16 bits). En este caso 137.
  • 0046 Longitud (16 bits) es la longitud expresada en bytes del datagrama. Incluye cabecera y datos del fatagrama. En este caso 70 bytes. el valor mínimo es 8.
  • b453 Suma de control o Checksum (16 bits).

Es el campo de comprobación de integridad (checksum). Nos permite comprobar que los datos recibidos son correctos. Para calcular esta suma, se genera una cabecera con los datos siguientes:

Cabecera suma de control udp

De esta cabecera conocemos todos los datos, incluso el protocol o protocolo que sería UDP. Lo sacamos de la parte correspondiente a la cabecera IP 8011 en este caso 11 en hexadecimal corresponde a 17 decimal según esta lista:

Valores para los protocolos

1 ICMP, 2 IGMP, 6 TCP, 9 IGRP, 17 UDP, 47 GRE, 50 ESP, 51 AH, 88 EIGRP, 89 OSPF, 115 L2TP.

Cálculo de la suma de control. Según rfc-0768:

El campo Suma de Control (Checksum) es el complemento a uno de 16 bits de la suma de los complementos a uno de las palabras de la combinación de una pseudo-cabecera construída con información de la cabecera IP, la cabecera UDP y los datos, y rellenada con octetos de valor cero en la parte final (si es necesario) hasta tener un múltiplo de dos octetos.

Un valor 0 indica que no se requiere comprobación de los datos.

En las siguiente entrega veremos el protocolo ICMP.

Esta entrada fue publicada en Seguridad y redes y etiquetada , , , , , , , , , , , , , , , , , , , , , . Guarda el enlace permanente.

Una respuesta a Análisis capturas tráfico de Red. Interpretacion datagrama UDP (III).

  1. Pingback: Modificando ficheros de tráfico de red .pcap con Bittwiste. | Seguridad y Redes

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s