Analise Trafego

Eriberto - abr.
13
Anlise de trfego
Anlise de trfego
em redes TCP/IP
em redes TCP/IP
com tcpdump
com tcpdump
Joo Eriberto Mota Filho Joo Eriberto Mota Filho
Campinas, SP, 17 abr. 2013 Campinas, SP, 17 abr. 2013
Eriberto - abr. 13
Sumrio
Sumrio
A anlise de trfego
A estrutura de um protocolo
O protocolo IP
O protocolo TCP
O protocolo UDP
O protocolo ICMP
O modelo OSI
Tcnica de uso do tcpdump na anlise de trfego
Payloads que falam...
Bridges na anlise de trfego
Concluso
Eriberto - abr. 13
Sumrio
Sumrio
A anlise de trfego
O protocolo IP
O protocolo TCP
O protocolo UDP
O protocolo ICMP
O modelo OSI
Concluso
Eriberto - abr. 13
A anlise de trfego
A anlise de trfego
Auxiliar de rede diz:
- Chefe, deu pane! Parou tudo!
Gerente de rede diz:
- Troca o switch!
- Agora troca o roteador!
- No deu. Troca os cabos.
- Deve ser o link da tele. Liga pra l.
Auxiliar de rede diz:
- Ai meu Deus... Tenho trabalho na
faculdade hoje...
Gerente de rede diz:
- Nada disso! E j pede a pizza...
Eriberto - abr. 13
A anlise de trfego
A anlise de trfego
A anlise de trfego permite, dentre outras possibilidades:
- Encontrar pontos de bloqueio na rede.
- Detectar anomalias na rede.
- Descobrir equipamentos e cabeamento defeituosos.
- Observar importantes mensagens de sistema no mostradas
pelas aplicaes.
A anlise depender, principalmente, do conhecimento a
respeito de protocolos de rede e modelo OSI.
Para entender os protocolos, necessrio estudar RFCs.
RFCs regulam o funcionamento da Internet!!!
Eriberto - abr. 13
Algumas RFCs importantes para a anlise de trfego: 768, 791,
792, 793, 1918, 2460, 5735 e todas as respectivas atualizaes.
Disponveis em http://www.rfc-editor.org e outros sites.
A ferramenta: tcpdump.
Outras formas de auxlio: tshark, wireshark, mtr, ping, netcat,
iptraf etc.
TCP/IP and tcpdump Pocket Reference Guide:
http://www.sans.org/security-resources/tcpip.pdf
A anlise de trfego
A anlise de trfego
Eriberto - abr. 13
Sumrio
Sumrio
A anlise de trfego
O protocolo IP
O protocolo TCP
O protocolo UDP
O protocolo ICMP
O modelo OSI
Concluso
Eriberto - abr. 13
Protocolos de rede possuem uma estrutura bsica, formada por
um cabealho (ou header) e um payload (ou rea de dados).
Payload
Cabealho
Eriberto - abr. 13
Sumrio
Sumrio
A anlise de trfego
O protocolo IP
O protocolo TCP
O protocolo UDP
O protocolo ICMP
O modelo OSI
Concluso
Eriberto - abr. 13
O protocolo IP
O protocolo IP
IP, RFC 791. O protocolo mais importante da famlia TCP/IP.
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|Version| IHL |Type of Service| To!" Len#$ |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| I%enific!ion |&"!#s| &r!#'en (ffse |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Ti'e o Live | )rooco" | He!%er *$ec+s,' |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| So,rce -%%ress |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| .esin!ion -%%ress |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| (pions | )!%%in# |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Eriberto - abr. 13
O campo TTL importante porque permite estimar o sistema
operacional oposto e a quantidade de roteadores entre o host
oposto e o local.
Por default, sistemas operacionais utilizam valores iniciais de
TTL que podem ser alterados. Unix e derivados diretos = 255,
MS Windows = 128 e GNU/Linux = 64.
Protocolos IP: so os protocolos que so encapsulados pelo IP.
So listados pela IANA e um resumo poder ser encontrado em
/etc/protocols. Exemplos: ICMP, TCP e UDP.
O protocolo IP
O protocolo IP
Eriberto - abr. 13
O IP utilizado para transportar outros protocolos. Ento,
sempre haver um protocolo IP no seu payload.
Cabealho IP
O protocolo IP
O protocolo IP
P
a
y
l
o
a
d

I
P
Payload TCP
Cabealho TCP
Eriberto - abr. 13
Os protocolos IP mais importantes para a anlise de trfego
so o TCP, o UDP e o ICMP.
Dentre todos os protocolos IP, somente o TCP e o UDP utilizam
portas.
O protocolo IP
O protocolo IP
Eriberto - abr. 13
Sumrio
Sumrio
A anlise de trfego
O protocolo IP
O protocolo TCP
O protocolo UDP
O protocolo ICMP
O modelo OSI
Concluso
Eriberto - abr. 13
O protocolo TCP
O protocolo TCP
TCP, RFC 793. O protocolo de transporte mais controlado e
confivel da famlia TCP/IP.
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| So,rce )or | .esin!ion )or |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Se/,ence 0,'1er |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| -c+no2"e%#'en 0,'1er |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| .!! | |3|-|)|4|S|&| |
| (ffse| 4eserve% |4|*|S|S|5|I| 6in%o2 |
| | |7|8|H|T|0|0| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| *$ec+s,' | 3r#en )oiner |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| (pions | )!%%in# |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Eriberto - abr. 13
O TCP (e tambm o UDP) utilizado para transportar
protocolos de uso especfico dos usurios e das suas aplicaes.
Ex.: http, smtp, pop-3, ftp, msn, ssh, telnet, irc etc.
Cabealho IP
O protocolo TCP
O protocolo TCP
P
a
y
l
o
a
d

I
P
Cabealho TCP
P
a
y
l
o
a
d

T
C
P
HTTP
Eriberto - abr. 13
O protocolo TCP orientado conexo e a garante por
intermdio do three-way handshake.
um protocolo full duplex.
Em uma rede, independente do protocolo, sempre o cliente
quem inicia a conexo.
No h rede sem servidor.
O protocolo TCP
O protocolo TCP
Eriberto - abr. 13
O protocolo TCP - flags
O protocolo TCP - flags
Flags TCP:
- Syn (synchronize): inicia conexes.
- Fin (finish): finaliza conexes.
- Psh (push): envia dados.
- Ack (acknowledgment): confirmao de que conhecido o
nmero de sequncia do prximo segmento a ser enviado pelo
lado oposto.
- Rst (reset): no entendi.
IMPORTANTE: as flags TCP so disparadas contra portas e
somente a flag push possui payload.
Eriberto - abr. 13
cygnus:~# tcpdump -nSt host www.eriberto.pro.br
IP 10.1.1.15.4901 ! "4.55.41.1"#.#0: $%&gs 'S() se* "4"415+"9) win 5#40) options
'mss 14,0)s&c-./)0S 1&% 110#1,,, ecr 0)nop)wsc&%e ,() %ength 0
IP "4.55.41.1"#.#0 ! 10.1.1.15.4901: $%&gs 'S.() se* +"0449"1) &c- "4"415+#0)
win 5#40) options 'mss 14,0() %ength 0
IP 10.1.1.15.4901 ! "4.55.41.1"#.#0: $%&gs '.() &c- +"0449") win 5#40) %ength 0
IP 10.1.1.15.4901 ! "4.55.41.1"#.#0: $%&gs 'P.() se* "4"415+#0:"4"4159#) &c-
+"0449") win 5#40) %ength 54#
IP "4.55.41.1"#.#0 ! 10.1.1.15.4901: $%&gs '.() &c- "4"4159#) win ,5",) %ength 0
IP "4.55.41.1"#.#0 ! 10.1.1.15.4901: $%&gs 'P.() se* +"0449":+"045#0") &c-
"4"4159#) win ,5",) %ength #+5
IP 10.1.1.15.4901 ! "4.55.41.1"#.#0: $%&gs '.() &c- +"045#0") win ,,#0) %ength 0
IP "4.55.41.1"#.#0 ! 10.1.1.15.4901: $%&gs '$.() se* +"045#0") &c- "4"4159#)
win ,5",) %ength 0
IP 10.1.1.15.4901 ! "4.55.41.1"#.#0: $%&gs '.() &c- +"045#0#) win ,,#0) %ength 0
IP 10.1.1.15.4901 ! "4.55.41.1"#.#0: $%&gs '$.() se* "4"4159#) &c- +"045#0#)
win ,,#0) %ength 0
IP "4.55.41.1"#.#0 ! 10.1.1.15.4901: $%&gs '.() &c- "4"41599) win ,5",) %ength 0
O protocolo TCP
O protocolo TCP
Eriberto - abr. 13
cygnus:~# tcpdump -nSt2 host www.eriberto.pro.br
'...(
IP 10.1.1.15.4901 ! "4.55.41.1"#.#0: $%&gs 'P.() se* "4"415+#0:"4"4159#) &c-
+"0449") win 5#40) %ength 54#
3..4..5.5.
...6"7..t.P)..0.b..P....8..930 :teste.htm% ;00P:1.1
;ost: www.eriberto.pro.br
<ser-2gent: =o>i%%&:5.0 ?@11A <A 4inuB i,#,A pt-CDA r1:1.9.1.107 9ec-o:0100,+
Icewe&se%:+.5.10 ?%i-e $ireEoB:+.5.107
2ccept: teBt:htm%)&pp%ic&tion:Bhtm%FBm%)&pp%ic&tion:Bm%A*G0.9)H:HA*G0.#
2ccept-4&ngu&ge: pt-br)ptA*G0.#)en-usA*G0.5)enA*G0.+
2ccept-3ncoding: g>ip)deE%&te
2ccept-Ih&rset: IS.-##59-1)utE-#A*G0.")HA*G0."
/eep-2%i1e: +00
Ionnection: -eep-&%i1e
'...(
O protocolo TCP
O protocolo TCP
Eriberto - abr. 13
cygnus:~# tcpdump -nSt port #1
IP 10.1.1.15.4"##" ! 00.1".0.1.#1: $%&gs 'S() se* 5+5,591) win 5#40) options
'mss 14,0)s&c-./)0S 1&% 95#,4 ecr 0)nop)wsc&%e ,() %ength 0
IP 00.1".0.1.#1 ! 10.1.1.15.4"##": $%&gs 'D.() se* 0) &c- 5+5,59) win 0)
%ength 0
O protocolo TCP
O protocolo TCP
Eriberto - abr. 13
00#-04-+0 0:5:+".1+"## IP 19.1,#.1.100.50"5 ! 1,1.14#.1#5.1+0.+45,: $%&gs 'S()
se* +14,"4##") win 5#40) options 'mss 14,0)s&c-./)0S 1&% #105 ecr 0)nop)wsc&%e
"() %ength 0
00#-04-+0 0:5:+".15" IP 1,1.14#.1#5.1+0.+45, ! 19.1,#.1.100.50"5: $%&gs 'D.()
se* "4#9554,#) &c- +14,"4###) win ,"#0) %ength 0
O protocolo TCP
O protocolo TCP
Eriberto - abr. 13
cygnus:~# tcpdump -nSt host h&mur&bi.&cc.umu.se
IP 10.1.1.15.+,+0, ! 1+0.+9.1#.1,5.#0: $%&gs 'S() se* 11+44"0901) win 5#40)
options 'mss 14,0)s&c-./)0S 1&% 54"1#" ecr 0)nop)wsc&%e ,() %ength 0
IP 1+0.+9.1#.1,5.#0 ! 10.1.1.15.+,+0,: $%&gs 'S.() se* 1##",4"09) &c- 11+44"090)
win 5"9) options 'mss 14,0)s&c-./)0S 1&% +4#,55 ecr 54"1#")nop)wsc&%e "()
%ength 0
IP 10.1.1.15.+,+0, ! 1+0.+9.1#.1,5.#0: $%&gs '.() &c- 1##",4"10) win 9) options
'nop)nop)0S 1&% 54",5 ecr +4#,55() %ength 0
IP 10.1.1.15.+,+0, ! 1+0.+9.1#.1,5.#0: $%&gs 'P.() se* 11+44"090:11+44"144+) &c-
1##",4"10) win 9) options 'nop)nop)0S 1&% 54",5 ecr +4#,55() %ength 541
IP 1+0.+9.1#.1,5.#0 ! 10.1.1.15.+,+0,: $%&gs '.() &c- 11+44"144+) win 54) options
'nop)nop)0S 1&% +4#,## ecr 54",5() %ength 0
'...( Itr% c
IP 10.1.1.15.+,+0, ! 1+0.+9.1#.1,5.#0: $%&gs '$.() se* 11+44"144+) &c- 1###1"990)
win +5,+) options 'nop)nop)0S 1&% 54914# ecr +49+#4)nop)nop)s&c-
J1###1+5190:1###14#150KJ1###194+0:1###1+0#"0K() %ength 0
IP 1+0.+9.1#.1,5.#0 ! 10.1.1.15.+,+0,: $%&gs 'P.() se* 1###14#150:1###149590) &c-
11+44"144+) win 54) options 'nop)nop)0S 1&% +49401 ecr 549051() %ength 1440
IP 10.1.1.15.+,+0, ! 1+0.+9.1#.1,5.#0: $%&gs 'D() se* 11+44"144+) win 0) %ength 0
O protocolo TCP
O protocolo TCP
Eriberto - abr. 13
Sumrio
Sumrio
A anlise de trfego
O protocolo IP
O protocolo TCP
O protocolo UDP
O protocolo ICMP
O modelo OSI
Concluso
Eriberto - abr. 13
O protocolo UDP
O protocolo UDP
UDP, RFC 768. O protocolo de transporte mais rpido da
famlia TCP/IP.
0 7 8 15 16 23 24 31
+--------+--------+--------+--------+
| So,rce | .esin!ion |
| )or | )or |
+--------+--------+--------+--------+
| | |
| Len#$ | *$ec+s,' |
+--------+--------+--------+--------+
Eriberto - abr. 13
O protocolo UDP
O protocolo UDP
Somente os protocolos TCP e UDP possuem portas.
Sempre que houver uma nova conexo TCP ou UDP, a porta do
cliente mudar.
Eriberto - abr. 13
Sumrio
Sumrio
A anlise de trfego
O protocolo IP
O protocolo TCP
O protocolo UDP
O protocolo ICMP
O modelo OSI
Concluso
Eriberto - abr. 13
O protocolo ICMP
O protocolo ICMP
ICMP, RFC 792. O protocolo de controle da rede TCP/IP.
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Type | *o%e | *$ec+s,' |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| I*9)::: |
Exemplos:
- Tipo 8: echo request.
- Tipo 0: echo reply.
- Tipo 3, cdigo 3: porta de destino inacessvel.
- Tipo 11, cdigo 0: TTL expirado em trnsito.
Eriberto - abr. 13
O protocolo ICMP
O protocolo ICMP
O ICMP utilizado para controlar as atividades de rede.
De um modo geral, somente o TCP no assessorado pelo
ICMP.
H vrios tipos e cdigos ICMP.
No se bloqueia ICMP em redes!!! Isso no cria segurana e
sim descontrole. Se for o caso, controle alguns tipos de ICMP.
Use filtros de pacotes, como o Netfilter, para controlar a
quantidade mxima de echo requests permitidos. Exemplo:
# iptables -A FORWARD -p icmp --icmp-type 8 -m limit --limit 10/s -j ACCEPT
# iptables -A FORWARD -p icmp --icmp-type 8 -j DROP
Eriberto - abr. 13
cygnus:~# tcpdump -nSt port 54 or icmp
IP 10.1.1.15.4"014 ! 10.1.1.1.54: <LP) %ength ,
IP 10.1.1.1 ! 10.1.1.15: II=P 10.1.1.1 udp port 54 unre&ch&b%e) %ength 4
O protocolo ICMP
O protocolo ICMP
Eriberto - abr. 13
1:0+:4."449#" IP 10.1.4.5.59+4+ ! ,5.54.1"9.4#.44+: $%&gs '.() se* ,#+:14+)
&c- 1+) win 595#) %ength 14,0
1:0+:4."450,4 IP 01..1+".119 ! 10.1.4.5: II=P ,5.54.1"9.4# unre&ch&b%e -
need to Er&g ?mtu 1497) %ength 55,
1:0+:5".54#4"4 IP 10.1.4.5.59+4" ! 0".4,.109.4#.1#,+: $%&gs '$.() se* 15#) &c-
41"5) win ,04#0) %ength 0
O protocolo ICMP
O protocolo ICMP
Eriberto - abr. 13
Sumrio
Sumrio
A anlise de trfego
O protocolo IP
O protocolo TCP
O protocolo UDP
O protocolo ICMP
O modelo OSI
Concluso
Eriberto - abr. 13
Modelo criado pela ISO para que fabricantes de hardware de
rede possam desenvolver equipamentos compatveis entre si.
Dados
Dados
Dados
e!me"tos
Pacotes#1$
%&ad'os#($
)its
[1] pacotes ou datagramas
[2] quadros ou frames
Apresentao
Sesso
Transporte
Enlace
Aplicao
Rede
Fsica
*s&+'io, -ttp, .tp, smtp, pop/, c-at etc
0, co"1e's2o de pad'3es, des/comp'ess2o
ess2o de aplica43es
TCP, *DP
5P e p'otocolos 5P 6e7ceto TCP e *DP8 / 'oteado'
Et-e'"et, AT9, PPP, .'ame 'elay / s:itc-, b'id!e
;&b, cabos, placa de 'ede, o"das :i'eless etc
O modelo OSI
O modelo OSI
Eriberto - abr. 13
O modelo OSI, na prtica, uma referncia ao encapsulamento
de dados e protocolos, com nveis de preparao e controle.
Um exemplo, utilizando o protocolo HTTP como aplicao:
Apresentao
Sesso
Transporte
Enlace
Aplicao
Rede
Fsica
Preparao
Controle
Encap. / Controle
Encap. / Controle
Encapsulamento
Encap. / Controle
Despacho
HTTP
TCP
Ethernet
IP (v4 e v6)
Header
Header
Header
O modelo OSI
O modelo OSI
Eriberto - abr. 13
importante ressaltar que os protocolos de transporte (TCP e
UDP) servem para transportar dados referentes a usurios.
Se no houver usurios, no haver as camadas 4 a 7.
Apresentao
Sesso
Transporte
Enlace
Aplicao
Rede
Fsica
Preparao
Controle
Encap. / Controle
Encap. / Controle
Encapsulamento
Encap. / Controle
Despacho
HTTP
TCP
Ethernet
IP
Header
Header
Header
O modelo OSI
O modelo OSI
Eriberto - abr. 13
Sumrio
Sumrio
A anlise de trfego
O protocolo IP
O protocolo TCP
O protocolo UDP
O protocolo ICMP
O modelo OSI
Concluso
Eriberto - abr. 13
Caso 1: bloqueio do trfego em um elemento intermedirio de
rede (regras de filtragem mal feitas, erro no roteamento etc).
S e n t i d o d o t r f e g o
Eriberto - abr. 13
Aplicar o tcpdump ao longo da topologia para descobrir o ponto
de bloqueio.
Eriberto - abr. 13
de bloqueio.
Syn Syn Syn Syn Nada
Eriberto - abr. 13
Caso 2: bloqueio do trfego por falha fsica na topologia.
Eriberto - abr. 13
de falha.
Eriberto - abr. 13
de falha.
Syn Syn Syn Nada
Eriberto - abr. 13
Sumrio
Sumrio
A anlise de trfego
O protocolo IP
O protocolo TCP
O protocolo UDP
O protocolo ICMP
O modelo OSI
Concluso
Eriberto - abr. 13
Payloads ue falam!!!
Em casos de falhas de conexo em servios, analise o payload
do trfego com o tcpdump.
Muitos servidores dizem as causas dos problemas mas as
aplicaes no o fazem. Exemplos: jabber, bancos de dados etc.
Utilize a opo -A para ver o payload.
Eriberto - abr. 13
Eriberto - abr. 13
Payload:
00:1:0+.499"15 IP 19.1,#.1.104.++0, ! 19.1,#.1.101.+4941: $%&gs 'P.() se* 1:"5)
&c- 1) win ++) options 'nop)nop)0S 1&% +"1#9"5 ecr 51#4+,() %ength "4
3..~..5.5......h...e...K.?..51M....N.......
.i.O....$....P.;ost Q19.1,#.1.101Q is not &%%owed to connect to this =ySR4 ser1er
Eriberto - abr. 13
Eriberto - abr. 13
Payload:
1,:4#:,.109, IP 1".1,.10.49.++0, ! 1".1,.10.4.+990+: $%&gs 'P.() se* "9:1,)
&c- #0) win 1#1) options 'nop)nop)0S 1&% +""+0+ ecr +00+0() %ength #+
3....35.5......1...H......bB........8......
.9.h.0.........#40002ccess denied Eor user Q&%E&+1Q5Q1".1,.10.4Q to d&t&b&se
Qwi-imi%+Q
Eriberto - abr. 13
Eriberto - abr. 13
Payload:
11::4.#++5"" IP 0#.,#.1,+.0.5 ! 1".1.0.1.5"14#: $%&gs 'P.() se* 1:+55) &c-
1,) win 4,) options 'nop)nop)0S 1&% 191+",9,1 ecr 0144#,() %ength +54
3....S5.0....L.......E.TU.3..1.......s.....
r
6N.+b.TOBm% 1ersionGQ1.0QO!Tstre&m:stre&m Bm%nsGQP&bber:c%ientQ
Bm%ns:stre&mGQhttp:::etherB.P&bber.org:stre&msQ idGQ515#59#Q EromGQP&bber.orgQ
Bm%:%&ngGQenQ!Tstre&m:error!Tpo%icy-1io%&tion Bm%nsGQurn:ietE:p&r&ms:Bm%:ns:Bmpp-
stre&msQ:!TteBt Bm%:%&ngGQQ Bm%nsGQurn:ietE:p&r&ms:Bm%:ns:Bmpp-stre&msQ!<se oE
S02D004S re*uiredT:teBt!T:stre&m:error!T:stre&m:stre&m!
Eriberto - abr. 13
Sumrio
Sumrio
A anlise de trfego
O protocolo IP
O protocolo TCP
O protocolo UDP
O protocolo ICMP
O modelo OSI
Concluso
Eriberto - abr. 13
"ridges na anlise de trfego
Bridges so elementos que atuam na camada 2 do modelo OSI
e so como switches (e so invisveis!).
Caso os ativos de rede no permitam o uso de tcpdump
(roteadores proprietrios etc), utilize um notebook, com duas
placas de rede configuradas como bridge, para fazer a anlise.
A opo -e no tcpdump mostra a camada de enlace no trfego.
A segunda placa de rede poder ser um adaptador USB-
Ethernet.
Bridges no Debian: http://bit.ly/bridge_debian
Eriberto - abr. 13
O uso de bridge na anlise de trfego.
Adaptador USB-Ethernet (venda
em lojas, Mercado Livre e eBay).
Custa US$ 3,50 no eBay, j
includa a entrega no Brasil!
BRIDGE
Eriberto - abr. 13
Sumrio
Sumrio
A anlise de trfego
O protocolo IP
O protocolo TCP
O protocolo UDP
O protocolo ICMP
O modelo OSI
Concluso
Eriberto - abr. 13
Conclus#o
Conclus#o
A anlise de trfego um conhecimento fundamental para
quem trabalha com redes de computadores. Sem ela, em
momentos de panes e problemas em redes, o administrador
ser um mero testador de possibilidades infundadas.
A ferramenta tcpdump a melhor aliada na anlise de trfego.
No entanto, outras ferramentas como o wireshark e o mtr
podero ser teis.
Payloads falam coisas importantes... oua-os!
No se bloqueia ICMP em redes! Sem ele haver uma perda de
controle.
continua...
Eriberto - abr. 13
Conclus#o
Conclus#o
Uma referncia (usando tcpdump) para estudo:
GORALSKI, Walter. The illustrated network. Editora The Morgan
Kaufmann, 2008.
MOTA FILHO, Joo Eriberto. Anlise de trfego em redes TCP/IP.
Em edio (lanamento previsto para 2013).
STEVENS, W. Richard; FALL, Kevin R. TCP/IP Illustrated, Volume
I, 2 edio. Editora Addison-Wesley, 2011.
WIRESHARK.ORG. Seo de capturas no site, em
http://wiki.wireshark.org/SampleCaptures.
Esta palestra est disponvel em:
http://eriberto.pro.br
Siga-me no Twitter @eribertomota Siga-me no Twitter @eribertomota

Analise Trafego

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Analise Trafego

Enviado por

Direitos autorais:

Formatos disponíveis

Eriberto - abr.

Você também pode gostar