Flashcards: 205.3 - Resolucion De Problemas De Red
42 tarjetas de repaso. Usa el sistema de repeticion espaciada para memorizar.
P: Un administrador puede hacer ping a 8.8.8.8 pero no puede acceder a ningun sitio web por nombre. Cual es la causa mas probable?
R: c) El servidor DNS no esta configurado o no responde. Si el ping a una IP publica (8.8.8.8) funciona, la conectividad de red esta operativa (interfaz, IP, gateway, enrutamiento). El problema es que no se pueden resolver nombres de dominio a direcciones IP, lo que indica un fallo en la configuracion DNS. Se debe verificar /etc/resolv.conf y probar con dig o nslookup para confirmar.
P: Que comando muestra los puertos TCP que estan en modo escucha junto con el proceso propietario?
R: b) ss -tlnp. Las opciones significan: -t (TCP), -l (listening/escucha), -n (numerico, sin resolver nombres), -p (mostrar proceso). La opcion a) mostraria UDP (-u), la opcion c) mostraria todas las conexiones TCP (-a incluye establecidas y en escucha), y la opcion d) muestra un resumen de estadisticas.
P: Que herramienta combina las funcionalidades de ping y traceroute en una monitorizacion interactiva continua?
R: c) mtr. mtr (My Traceroute) ejecuta continuamente un traceroute y muestra estadisticas en tiempo real de cada salto, incluyendo porcentaje de perdida de paquetes, latencia minima, media y maxima, y desviacion estandar. Es la herramienta ideal para diagnosticar problemas intermitentes de ruta. Se puede usar en modo interactivo o con --report para un informe no interactivo.
P: Que comando de tcpdump captura todo el trafico HTTP hacia el host 192.168.1.100 y lo guarda en un archivo?
R: a) tcpdump -i eth0 host 192.168.1.100 and port 80 -w /tmp/http.pcap. La sintaxis de tcpdump usa filtros BPF (Berkeley Packet Filter): host filtra por IP, port filtra por puerto, y and combina condiciones. La opcion -w escribe la captura en formato pcap. La opcion -i especifica la interfaz. Los filtros son expresiones de texto libre, no formato clave=valor.
P: Que opcion de dig muestra solo la respuesta a la consulta DNS, sin cabeceras ni informacion adicional?
R: c) dig +short. La opcion +short de dig muestra unicamente la respuesta a la consulta, omitiendo toda la informacion adicional (cabeceras, seccion de autoridad, seccion adicional, estadisticas). Por ejemplo, dig +short ejemplo.com mostraria solo la IP (como 93.184.216.34). Es muy util para scripts y consultas rapidas.
P: Un administrador ejecuta nmap -sn 192.168.1.0/24. Que hace este comando?
R: b) Realiza un ping sweep para descubrir hosts activos sin escanear puertos. La opcion -sn (anteriormente -sP) indica a nmap que realice solo el descubrimiento de hosts, sin escanear puertos. Utiliza una combinacion de ICMP echo, TCP SYN al puerto 443, TCP ACK al puerto 80 y ICMP timestamp para determinar que hosts estan activos. Es util para obtener un inventario rapido de la red.
P: Que informacion proporciona el comando ethtool eth0?
R: c) La velocidad, duplex, autonegociacion y estado del enlace fisico. ethtool muestra informacion de la capa fisica de la interfaz de red: velocidad del enlace (100Mb/s, 1000Mb/s), modo duplex (Full/Half), estado de autonegociacion (on/off), y si hay enlace detectado (Link detected: yes/no). Es la primera herramienta a usar cuando se sospecha de problemas fisicos de red.
P: Que comando se usa para verificar rapidamente si el puerto 443 de un servidor remoto esta abierto y aceptando conexiones?
R: c) nc -zv 192.168.1.100 443. El comando nc (netcat) con las opciones -z (modo escaneo, sin enviar datos) y -v (verbose, mostrar resultado) intenta establecer una conexion TCP al puerto especificado. Si el puerto esta abierto, reporta “Connection succeeded” o “open”; si esta cerrado o filtrado, reporta un error. ping no puede verificar puertos y dig es para consultas DNS.
P: En la salida de traceroute, que significa una linea con * * *?
R: c) El router en ese salto no responde a los sondeos (puede filtrar ICMP/UDP). Los asteriscos * * * indican que el router en ese salto no envio respuestas ICMP Time Exceeded. Esto puede deberse a que el router tiene configurado filtrar ese tipo de trafico, tiene limitacion de tasa para ICMP, o esta muy congestionado. No necesariamente indica un problema: muchos routers de Internet filtran deliberadamente estos paquetes por seguridad. Si los saltos siguientes responden, la ruta funciona correctamente.
P: Un administrador necesita trazar la cadena completa de resolucion DNS de un dominio, desde los servidores raiz hasta el servidor autoritativo. Que comando debe usar?
R: b) dig +trace ejemplo.com. La opcion +trace de dig realiza consultas iterativas empezando por los servidores raiz DNS (.), pasando por los servidores TLD (.com), hasta llegar al servidor autoritativo del dominio. Muestra cada paso de la cadena de delegacion, lo que es invaluable para diagnosticar problemas de resolucion DNS como delegaciones incorrectas o servidores autoritativos no respondiendo.
P: Que opcion de tcpdump evita la resolucion de nombres de host y puertos, mostrando solo valores numericos?
R: b) -nn. La opcion -nn de tcpdump desactiva la resolucion de nombres. La primera -n evita la resolucion de direcciones IP a nombres de host, y la segunda -n evita la resolucion de numeros de puerto a nombres de servicio. Esto acelera significativamente la captura al no realizar consultas DNS inversas por cada paquete capturado.
P: Un administrador necesita verificar si hay errores de transmision o paquetes descartados en una interfaz de red. Que comando debe usar?
R: b) ip -s link show eth0. El comando ip -s link show eth0 muestra estadisticas detalladas de la interfaz, incluyendo el numero de bytes y paquetes transmitidos/recibidos, errores de RX/TX, paquetes descartados (dropped), desbordamientos (overruns) y errores de trama. Estas estadisticas son fundamentales para diagnosticar problemas de rendimiento o hardware en la capa fisica.
P: Que estado en la tabla de vecinos (ip neigh) indica que una entrada ARP fue configurada manualmente y no expirara?
R: c) PERMANENT. El estado PERMANENT indica que la entrada fue configurada manualmente por el administrador (entrada estatica) y no sera eliminada automaticamente por el mecanismo de expiracion del kernel. Las entradas REACHABLE son validas y verificadas recientemente, STALE son validas pero antiguas, y DELAY estan esperando confirmacion de accesibilidad.
P: Que opcion de nmap realiza un escaneo SYN stealth que requiere privilegios de root?
R: b) -sS. La opcion -sS realiza un escaneo SYN (half-open scan), que envia paquetes SYN sin completar la conexion TCP. Es mas rapido y menos detectable que un escaneo TCP completo (-sT), pero requiere privilegios de root para crear paquetes raw. -sU escanea puertos UDP y -sn realiza solo descubrimiento de hosts sin escanear puertos.
P: Que columna de mtr indica el porcentaje de paquetes que se perdieron en cada salto?
R: c) Loss%. La columna Loss% en mtr muestra el porcentaje de paquetes perdidos en cada salto de la ruta. Un valor alto en un salto intermedio no siempre indica un problema real, ya que algunos routers limitan las respuestas ICMP. Si el Loss% solo es alto en el destino final, entonces si hay un problema de perdida de paquetes real.
P: Un administrador ejecuta ping -s 1472 -M do -c 4 destino. Que esta intentando verificar?
R: c) El MTU del camino (Path MTU Discovery). La opcion -s 1472 establece un tamano de paquete de 1472 bytes de datos (que con las cabeceras IP e ICMP de 28 bytes suma 1500, el MTU estandar de Ethernet). La opcion -M do activa el bit “Don’t Fragment” (DF), lo que impide la fragmentacion. Si el MTU del camino es menor que 1500, se recibira un error ICMP “Fragmentation Needed”, indicando un problema de MTU.
P: Que herramienta de diagnostico de red proporciona informacion sobre la velocidad del enlace, el modo duplex y si hay un cable conectado fisicamente?
R: c) ethtool. El comando ethtool muestra informacion de la capa fisica de la interfaz de red, incluyendo la velocidad del enlace (10/100/1000 Mbps), modo duplex (Full/Half), estado de autonegociacion y si se detecta enlace fisico (Link detected: yes/no). Es la herramienta de primera linea para diagnosticar problemas fisicos de conectividad.
P: Que opcion de ss muestra tanto los sockets TCP como UDP que estan en modo escucha?
R: b) ss -tulnp. La combinacion -tulnp incluye: -t (TCP), -u (UDP), -l (listening/escucha), -n (numerico) y -p (proceso). Sin la opcion -u, solo se mostrarian los sockets TCP. La opcion -a mostraria todos los sockets (incluyendo los establecidos), no solo los que estan en escucha.
P: Un administrador quiere capturar solo los paquetes ICMP en la interfaz eth0 usando tcpdump. Que filtro debe utilizar?
R: b) tcpdump -i eth0 icmp. Los filtros de tcpdump usan la sintaxis BPF (Berkeley Packet Filter). Para filtrar por protocolo se escribe directamente el nombre del protocolo: icmp, tcp, udp, arp, etc. No se necesitan opciones adicionales como --filter o protocol. Estos filtros se pueden combinar con operadores logicos: tcpdump -i eth0 icmp and host 192.168.1.1.
P: Que opcion de nmap permite detectar la version de los servicios que estan ejecutandose en los puertos abiertos?
R: b) -sV. La opcion -sV (Service Version detection) de nmap interroga los puertos abiertos para determinar el servicio y su version. Por ejemplo, puede distinguir entre Apache 2.4.41 y Nginx 1.18.0 en el puerto 80. La opcion -O detecta el sistema operativo, -A es un escaneo agresivo que incluye -sV, -O y mas, y -F es un escaneo rapido de los puertos mas comunes.
P: Escribe el comando para capturar el trafico de red en la interfaz eth0 y guardarlo en un archivo pcap llamado /tmp/captura.pcap.
R: tcpdump -i eth0 -w /tmp/captura.pcap. El comando tcpdump -i eth0 -w /tmp/captura.pcap captura todo el trafico de la interfaz eth0 y lo guarda en formato pcap. La opcion -i especifica la interfaz y -w indica el archivo de salida. El archivo pcap puede analizarse posteriormente con tcpdump -r o con herramientas graficas como Wireshark.
P: Escribe el comando para realizar una consulta DNS inversa (de IP a nombre) de la direccion 8.8.8.8 usando dig.
R: dig -x 8.8.8.8. La opcion -x de dig realiza una consulta DNS inversa (PTR), traduciendo la direccion IP al nombre de dominio asociado. Internamente, dig convierte la IP al formato de zona inversa 8.8.8.8.in-addr.arpa y consulta el registro PTR correspondiente.
P: Escribe el comando para generar un reporte no interactivo de mtr hacia el host 10.0.0.1.
R: mtr —report 10.0.0.1. El comando mtr --report (o mtr -r) ejecuta mtr en modo no interactivo, realizando un numero predeterminado de ciclos (por defecto 10) y luego muestra un informe con las estadisticas de cada salto. Es util para scripts y para compartir resultados de diagnostico con otros administradores.
P: Escribe el comando para verificar si el puerto 22 del host 192.168.1.50 esta abierto usando netcat.
R: nc -zv 192.168.1.50 22. El comando nc -zv verifica la conectividad a un puerto especifico. La opcion -z indica modo escaneo (no envia datos) y -v activa el modo verbose para ver el resultado. Si el puerto esta abierto, reportara “Connection succeeded” o “open”. Es mas rapido y ligero que nmap para verificar un solo puerto.
P: Escribe el comando para mostrar la tabla de vecinos ARP del sistema usando la herramienta moderna de iproute2.
R: ip neigh show. El comando ip neigh show (o su forma abreviada ip n) muestra la tabla de vecinos del sistema, que incluye las entradas ARP (IPv4) y NDP (IPv6). Cada entrada muestra la direccion IP, la direccion MAC (lladdr), la interfaz y el estado (REACHABLE, STALE, DELAY, etc.). Es el reemplazo moderno de arp -a.
P: Tip de examen: Seguir un enfoque metodologico por capas es fundamental. Empieza siempre por lo …
R: Seguir un enfoque metodologico por capas es fundamental. Empieza siempre por lo basico (cable, IP, gateway) antes de investigar problemas mas complejos.
P: Tip de examen: mtr es la herramienta mas completa para diagnosticar problemas de ruta. La col…
R: mtr es la herramienta mas completa para diagnosticar problemas de ruta. La columna Loss% indica perdida de paquetes en cada salto, y Avg muestra la latencia media.
P: Tip de examen: ss es mas rapido y eficiente que netstat. La combinacion -tlnp (TCP, liste…
R: ss es mas rapido y eficiente que netstat. La combinacion -tlnp (TCP, listening, numeric, process) es la mas utilizada para verificar servicios en escucha.
P: Tip de examen: Conoce las opciones -i (interfaz), -w (escribir pcap), -r (leer pcap), `-n…
R: Conoce las opciones -i (interfaz), -w (escribir pcap), -r (leer pcap), -nn (no resolver) y los filtros basicos de host, port y protocol.
P: Tip de examen: dig es la herramienta DNS mas completa y preferida. Conoce +short para respu…
R: dig es la herramienta DNS mas completa y preferida. Conoce +short para respuestas concisas, +trace para ver la cadena de resolucion completa, y @servidor para consultar un DNS especifico.
P: Que hace el comando icmp_seq?
R: Numero de secuencia del paquete
P: Que hace el comando ttl?
R: Time To Live restante (saltos restantes)
P: Que hace el comando packet loss?
R: Porcentaje de paquetes perdidos
P: Que hace el comando Loss%?
R: Porcentaje de paquetes perdidos
P: Que hace el comando -l?
R: Solo sockets en escucha (listening)
P: Que es/son Metodologia de diagnostico por capas?
R: La resolucion de problemas de red se aborda sistematicamente siguiendo el modelo de capas (de abajo hacia arriba):
P: Que es/son ping - Prueba de conectividad basica?
R: El comando ping envia paquetes ICMP Echo Request y espera ICMP Echo Reply para verificar la conectividad.
P: Que es/son mtr - My Traceroute?
R: mtr combina la funcionalidad de ping y traceroute en una herramienta interactiva de monitorizacion continua.
P: Que es/son tcpdump - Captura de paquetes?
R: tcpdump es un analizador de paquetes de red en linea de comandos. Es esencial para diagnostico avanzado.
P: Que es/son nmap - Escaneo de red?
R: nmap escanea hosts y puertos para descubrir servicios y evaluar la seguridad.
P: Que es/son nc / ncat - Navaja suiza de red?
R: nc (netcat) o ncat (version mejorada de nmap) permite crear conexiones TCP/UDP arbitrarias.
P: Que es/son Trampas del examen?
R: > Errores comunes y distinciones criticas que LPI suele evaluar en este subtema: