Usando um Analisador de Pacote para Trobleshooting de Rede

Ol, meus amigos ! Retorno hoje ao blog mais legal da Internet para mais uma srie de artigos. Venho durante esse tempo que estive um pouco afastada, olhando, lendo, observando o blog. Pessoas que j conhecia fazendo suas certs, e eu de l torcendo. Pxa, esse cara vai passar ! Ele bom. Dito e certo. Pass para ele. Mas precisei estar em retiro independente da minha vontade. E percebi quanto esse blog estimula, avalanca e fornece vastssimo material sobre Network que tornou-se quase uma Cincia. Se no for. Acredito no poder da transformao e principalmente da unio. Sabemos que o momento esse. Unio em torno do objetivo de manter este blog 100% no ar e sempre atualizado. Internet imensa ?? Sem dvida. Internet tem vastssimo material ?? Toneladas. Eu s no encontro na Internet, meus amigos, algum que pensa, realiza, e organiza tudo isso com coerncia para que voc e eu possamos entender. E faz simplesmente porque gosta e o tempo todo diz a voc para andar para frente. Marco Filippeti. Aps um mal-entendido (acredito eu), podemos observar quantos se mobilizaram para dizer a ele quanto precisamos, necessitamos, e somos sim carente de um profissional com sua capacidade de realizao que nos d um norte. E ele tem famlia, trabalho e outras atividades e problemas, como todos aqui. E com tudo isso ainda mantem o blog. Resumindo ? Quando acessei e li a msg blog fora por tempo indeterminado de Marco, fiquei sem saber bem que o pensar. Fiquei ali parada, olhando e querendo digerir a tal palavra indeterminado. Como ?!? No. Parei, li novamente e no entendi. Mas imediatamente decidi : T na hora de voltar. Era bem isso que eu queria dizer. Vamos ao artigo !

Por que minha rede est lenta ? Por que no posso acessar meu email ? Por que no posso compartilhar um drive ?

Todas essas perguntas e muitas outras sero feitas quando algo estranho acontece na sua rede e um milho de coisas diferentes podem dar errado em uma rede em um dado momento do dia - de uma simples infeco por um spyware, a um erro complexo de configurao no seu router - e literalmente impossvel resolver todos os problemas imediatamente. O melhor que podemos esperar fazer estar totalmente preparados com o conhecimento e ferramentas que podem responder a esses tipos de casos. Resumindo : pr-ativos 24 horas.

Todos os problemas das redes resultam do nvel de pacote, onde at mesmo aplicaes que parecem estar rodando corretamente, podem revelar implementaes horrveis e protocolos confiveis podem se provar serem maliosos. Para melhor entender e resolver problemas na rede, vamos olhar no nvel de pacote onde nada est escondido, e onde nada est obscurecido por estruturas de menu mal feitas, olhos capturando grficos ou funcionrios no confiveis. Aqui, no existem segredos, e quanto mais podemos fazer ao nvel de pacote, mais podemos ter controle da nossa rede e resolver seus problemas. Ento, prepare-se para entrar. no mundo dos analisadores de pacote ou sniffers. Neste artigo, vou mostrar como vocs podem efetivamente usar um analisador de pacote, ou, um sniffer, para isolar e resolver problemas na sua rede. Mas, antes, uma curiosidade: Sniffer diferente de sniffer. Sim, diferente. Sniffer, com a primeira letra maiscula, uma marca proprietria da NetScout (j foi da Network General). J, sniffer um termo genrico usado pela indstria para definir um programa que monitora e analisa o trfego de rede, detectando gargalos na rede e outros problemas. Aqui est o link da definio feita no Search Networking. Bem, esse o primeiro artigo de uma srie 5 ou 6 . E no nossa inteno esgotar o assunto. No. Nem pensar. Apenas vamos resvalar no tema que convenhamos vasto. ok?

I - Como os sniffers de pacote funcionam

Um analisador de pacote um programa utilizado para capturar e analisar pacotes na sua rede. Estes pacotes so os blocos fundamentais de construo das comunicaes de rede. O processo de sniffing de pacote envolve trs passos fundamentais : coleta, converso e analisar. No primeiro passo, o sniffer de pacote comuta a interface da placa de rede do seu computador onde est sendo executado para o modo promscuo. Neste modo, uma placa de rede pode ouvir todo trfego de rede neste segmento em particular. O sniffer utiliza este recurso para capturar dados binrios brutos fluindo atravs deste hardware de rede, a placa. Uma vez que esteja completa, o processo de converso se inicia e os dados binrios capturados so convertidos em um formato legvel. Tudo que tem de ser feito agora neste ponto a anlise destes pacotes capturados. agora que o sniffer captura o pacote e converte os dados e verifica qual protocolo

est dentro dele. Os vrios recursos destes protocolos so ento avaliados pelo sniffer e exibido para o usurio em um formato que seja fcilmente lido. Existem alguns sniffers de pacote disponveis. Os mais populares incluem o Omnipeek, TCPDump e Wireshark (ex-Ethereal). Qual deles voc vai usar, s vai depender da sua preferncia pessoal. Eu prefiro o Wireshark, devido a grande comunidade de suporte e ao fcil uso da sua interface, de modo que sobre ele que vamos usar por todo este artigo.

As 5 partes

Um analizador de rede uma combinao de hardware e software. Embora existam diferenas em cada produto, um analizador de rede composto de 5 partes bsicas: Hardware A maioria dos analisadores de rede so baseados em software e funcionam com os SOs padro e placas de redes. Entretanto, alguns analisadores de rede oferecem benefcios adicionais tais como, anlise de falhas de hardware (por exemplo, erros de CRC), problemas de voltagem, problemas de cabeamento, jitter, jabber, erros de negociao, e assim por diante. Alguns analisadores de rede somente suportam adaptadores Ethernet ou wireless, enquanto outros suportam adaptadores mltiplos e permite que usurios customizem suas configuraes. Dependendo da situao, voc pode tambm precisar de um hub ou de um cabo tap para conectar ao cabo existente. Drive de captura Esta parte do analizador de rede que responsvel pela captura bruta do trfego de rede do cabo. Ele filtra a sada do trfego que voc quer pegar e guardar para capturar o dado no buffer. Este a alma de um analizador de rede voc no pode capturar dados sem ele. Buffer Este componente armazena os dados capturados. O dado pode ento ser armazenado no buffer at ele estiver cheio, ou, dentro de um mtodo de rotao (por exemplo, um round robin), onde o dado mais novo substitue o dado mais antigo. Buffers podem ser baseados em disco ou baseados em memria. Anlise real-time Esta caracterstica analisa o dado conforme ele chega no cabo. Alguns analisadores de rede utilizam-o para encontrar problemas na performance da rede, e IDSs (Intrusion Detection Systems) utilizam -o para olhar os sinais de atividade de invaso. Decodificao Este componente exibe o contedo (com descries) do trfego de rede de modo a que ele seja legvel. Decodificadores so especficos para cada protocolo, dessa forma os analisadores de protocolo variam em nmero de decodificadores que eles suportam atualmente. Entretanto, novos decodes so constantemente adicionados aos analisadores de rede.

Capturando pacotes com o Wireshark

O programa Wireshark distribudo livremente e pode ser feito o download no site da Wireshark. Instalar o software bastante fcil, ento no vou falar sobre isso, embora seja importante observar que este soft conta com a instalao do driver WinPcap que j vem includo no pacote. Bom, uma vez que voc instale o Wireshark com o driver WinPcap, voc dever estar pronto para mergulhar de cabea nele. A primeira coisa que vamos fazer simplesmente adivinhe ? Capturar pacotes. Sim !! E para fazer isto, voc pri meiro precisa selecionar sobre qual interface de rede ele ir fazer a captura, ao clicar no boto List available capture interfaces do lado esquerdo da barra de ferramentas principal.

Feito isso, voc ser presenteado com uma janela listando todas as suas interfaces de rede onde a captura est disponvel. Clique no boto Start prximo a interface que voc deseja utilizar para dar inico a captura de pacotes desta conexo. Espere por alguns minutos at que uma quantidade significativa de pacotes tenha sido coletada e ento clique no boto Stop. Simples assim.

Voc dever ento retornar a tela principal com um monte de dados novos e . Congratulations !!! Voc acabou de completar sua primeira captura de pacotes com sucesso ! Agora, voc pode comear a se perguntar: Como irei interpretar esta captura de dados ?!? Mas ainda no estamos prontos para isso. Precisamos ver como o nosso sniffer funciona, mas isso para o prximo artigo. Se cuidem. At l ! Sds, Mrcia Guimares Ol meus amigos, Antes de dar continuidade a srie sobre sniffer de pacote, agradeo as boas-vindas no site mais legal Internet. Vamos l ?!?

II - Espremendo o fio

Agora que voc sabe como fazer uma captura bsica de pacote no Wireshark, importante aprender como capturar o trfego certo. Assumindo que voc esteja numa rede comutada Ethernet (que todo mundo usa hoje em dia), e todo o trfego que voc captura ser seu. Isto , todo trfego que estiver entrando e saindo do seu computador do qual voc iniciou a captura de pacote. Isso basicamente como funciona uma rede comutada (todos aqui no blog sabem como funciona ). O switch somente envia dados para a porta para o qual ele foi destinado. Ento, isto nos deixa uma pergunta : Como voc captura o trfego de um computador que tem um sniffer de pacote instalado ?

Existem alguns mtodos que podem ser usados em situaes como esta. Trs das tcnicas mais comuns so espelhamento de porta, hubbing out e envenenamento do cache arp. Port mirroring provvelmente um dos meios mais fceis de capturar o trfego que voc est procurando. Tambm chamado de port spanning, este um recurso disponvel na maioria das redes comutadas gerenciadas. configurvel ao acessar a linha de comando ou uma gui de gerenciamento do switch alvo e sistemas de sniffers so plugados nele e comandos entrados que iro espelhar o trfego de uma porta para outra. Por exemplo, a captura de trfego poderia ser feita de um dispositivo plugado na porta 3 do switch, enquanto voc poderia plugar seu sniffer no porta 6 e entrar um comando especfico de espelhamento que iria refletir o trfego da porta 3 para a porta 6.

Hubbing out uma tcnica na qual voc tem localizado o dispositivo alvo e seu sistema analisador no mesmo segmento de rede ao plug-lo diretamente em um hub. Para fazer isto, tudo que voc precisa daquele velho hub empoeirado e alguns poucos cabos de rede. Simplesmente v at o switch no qual o computadoralvo reside e desplugue-o da rede. Plugue o cabo de rede alvo, junto com cabo do sniffer no hub, e ento plug o hub no switch. Isto colocar o sniffer e a mquinaalvo no mesmo domnio de broadcast e permitindo assim que voc veja todos os pacotes para e da mquina-alvo, como tambm o seu trfego. Desde que isto envolva uma breve perda de conectividade, recomendo enfticamente que permita que o usurio do sistema-alvo saiba que haver uma

interrupo de conectividade, especialmente se este usurio faz parte do equipe de gerenciamento da sua rede. tica.

A ltima e derradeira tcnica a mais avanada de todas : ARP Cache Poisoning. Esta tcnica exige que voc use ferramentas de terceiros e um conhecimento profundo do protocolo ARP. Mas isso todos aqui j sabem. Vc pode ler uma explicao e tutorial desta tcnica aqui .

III Dissecando o Wireshark

Agora que voc j sabe onde colocar o seu sniffer, voc pode voltar para o Wireshark e us-lo para analisar seus pacotes. Se voc ainda est com a sua primeira captura aberta, timo. Seno, mos-a-obra e faa uma nova captura para coletar dados da sua rede. Existem 3 sees principais no programa Wireshark. So elas : painel lista de pacotes painel detalhes do pacotes painel bytes do pacote

O painel lista de pacotes, aquele no topo da janela e exibe uma tabela contendo todos os pacotes dentro do arquivo de captura atual. Esta seo est dividida em vrias colunas incluindo o nmero do pacote, a hora em que ele foi capturado, o endereo ip de origem e de destino do pacote, o procotolo, e algumas informaes sobre gerais sobre o pacote baseado no seu protocolo. O painel detalhes do pacotes, est exatamente abaixo do painel lista de pacotes, e contem uma exibio hierrquica de toda informao capturada sobre um nico pacote. Os itens nesta seo podem ser expandidos ou fechados para facilitar a visualizao. A ltima seo o painel bytes do pacote. Este painel, na parte inferior da janela, exibe a informao sobre uma seleo individual do pacote no seu formato bruto, no processado. basicamente o mesmo dado que exibido no painel detalhes do pacote, porm sem toda aquela separao que torna mais fcil a interpretao do pacote. muito importante entender como esses diferentes painis se relacionam. Ok? Se voc como eu, que gosta daqueles objetos cheios de cores, que s vezes mais atrapalham que ajudam (rs), ento a primeira coisa que voc provvelmente deve ter observado quando capturou seus primeiros pacotes foram as diferentes cores exibidas nos pacotes dentro do painel detalhes do pacote. Cada pacote exibido como uma cor por uma razo. Por exemplo, voc pode ter notado que todo trfego ARP azul e todo trfego HTTP verde. Estas cores refletem o protocolo do pacote. A codificao de cores permitem que voc rpidamente diferencie entre os vrios protocolos de modo que voc no tenha que ler o campo PROTOCOL dentro do

painel lista de pacote para cada pacote individual. Voc vai achar que isto aumenta muito a velocidade ao navegar pelo browser atravs de grandes capturas. isso, galera. At o prximo artigo. E ..se cuidem. Sds. Ol a todos ! Percebi que no podia dividir esse artigo desse ponto em diante, ento preferi publicar tudo de uma vez. Faz mais sentido, portanto, vamos l !

IV - Procurando algum tipo de trfego na rede

Antes que voc possa identificar um trfego problemtico, voc deve primeiro entender como o que um trfego normal e qua a cara dele. Vamos dar uma rpida olhada no trfego ARP para ficar um pouquinho mais confortvel com a exibio deste no nvel de pacote. As entranhas do ARP A idia bsica por trs do ARP para a mquina um broadcast de seu endereo IP e endereo MAC para todos os clientes dentro do seu domnio de broadcast a fim de encontrar o endereo IP associado com um endereo MAC especfico para o qual ele deseja transmitir. Digamos que a mquina A queira conversar com a mquina B, mas mquina A no sabe o endereo MAC da mquina B, mas sabe o endereo IP. Ento, ele basicamente se parece com isso : Computador A Oi a todos ! Meu endereo IP xx.xx.xx.xx, e o meu endereo MAC XX:XX:XX:XX:XX:XX. Eu preciso enviar uma informao para algum com o endereo IP xx.xx.xx.yy, porm eu no sei qual o seu endereo MAC. Quem tiver este endereo IP, por favor, responda com seu endereo MAC ? Todas as mquinas no segmento, no domnio de broadcast, iro receber esse broadcast ARP, e somente uma mquina ir responder: aquela que tiver o endereo IP requisitado pelo computador A. Com esta informao na mo, a troca de dados se inicia entre as mquinas. Computador B Oi computador A ! Sou quem voc procura. Tenho o endereo IP xx.xx.xx.yy. E meu endereo MAC XX:XX:XX:XX:XX:YY. Bem j conhecemos o processo do protocolo ARP a fundo. Apenas fiz aqui um refresh da informao para que todos fiquem espertos.

ARP no nvel de pacote

Entendendo o conceito bsico do ARP, podemos dar uma olhada em alguns pacotes para ver como ele atualmente funciona. Agora, vamos passo-a-passo por todo o processo ARP, do incio ao fim. Ok? Neste cenrio o computador A precisa se comunicar com o computador B. O Wireshark permite que voc salve sua captura, gerando assim arquivos com a extenso .pcap. Voc pode baixar o arquivo desta captura ARP aqui. Veja. Optei por usar uma captura que vocs possam carregar no aplicativo, para que voc possa acompanhar o passo-a-passo da anlise do trfego. E mais. Observem que o intuito aqui no esgotar o assunto que extenso. Aqui somente o ponta-a-p inicial para que voc mesmo trilhe seu caminho no uso da ferramenta. Na janela detalhes do pacote do primeiro pacote do arquivo de captura direto. O computador 192.168.0.114 precisa se comunicar com o computador 192.168.0.1, porm ele no conhece o endereo MAC do destino (Who has 192.168.0.1? Tell 192.168.0.114). Observe que o endereo MAC alvo aqui 00:00:00:00:00:00. E nesse caso, ele envia o pacote com o endereo MAC ff:ff:ff:ff:ff:ff, fazendo um broadcast deste pacote por todo o segmento de rede. Este o pacote bsico ARP Request, conforme visto no campo Opcode na sinalizado abaixo.

O segundo pacote o nosso REPLY vindo da mquina 192.168.0.1. Este dispositivo recebeu o ARP Request no primeiro passo, e gerou este reply endereado a 192.168.0.114. Observe que este reply contem a informao que a mquina 192.168.0.114 precisa para se comunicar efetivamente com a mquina

192.168.0.1, que o endereo MAC 00:13:46:0b:22:ba. O endereo MAC desta ltima est neste pacote. Vc pode dizer imediatamente que este um ARP reply s olhando o campo Opcode. Resumindo e importante saber : Quando o campo Opcode tem 00001 request. Quando o campo Opcode tem 00002 reply. Uma vez que o dispositivo 192.168.0.114 recebeu o reply, este ento pode pegar o endereo MAC de 192.168.0.1 e coloc-lo no cache ARP para uso futuro. Com esta nova informao, o ARP pode com sucesso traduzir a camada 2 e a camada 3, de modo que a comunicao possa se mover pelo meio fsico.

V - Troubleshooting de um problema real na sua rede

Chegou a hora H. Vamos mergulhar fundo na comunicao feita na sua rede, dando uma olhada em um cenrio real com um problema real e compreend-lo no nvel de pacote com a ajuda do Whireshark. Neste cenrio, uma empresa tem um servidor FTP que utilizado para manter todos os seus releases de software. Recentemente, um tcnico responsvel pela manuteno recebeu diversos relatos dos desenvolvedores da empresa reportando

que na ocasio quando trabalhavam at mais tarde na empresa, a performance do upload/download fica bastante degradada. Neste servidor FTP est rodando uma aplicao simples de FTP que tem features de logging, fornecendo toda informao necessria. ok. Este o cenrio perfeito para o uso do sniffer de pacote. Um arquivo de captura pode ser melhor obtido ao usar a tcnica de espelhamento de porta para obter do fio a captura apropriada do dado. Mas algo melhor pode ser feito, se voc instalar o Wireshark diretamente na mquina em questo, porm se performance um problema, ento isso gera um risco, e poderia fazer com que pacotes fossem dropados, reduzindo assim a validade de nossa captura. Aqui tambm usaremos o arquivo .pcap. Para isso, faa download da captura de trfego FTP aqui. Carregue o arquivo e continue a ler. Quando voc abriu seu arquivo de captura, viu que muita coisa est acontecendo dentro de um curto espao de tempo. Observe a coluna time dentro da janela lista de pacote onde exibido os primeiros 200 pacotes cruzando o fio em menos de 1 segundo. Este nmero no significa muito, visto que no podemos usar isso tambm eficazmente para ver a taxa de dados fluindo atravs do fio, mas no h outra maneira de fazer isso. Selecione Statistics do menu principal e ento escolha Summary. Ir abrir uma tela de resumo que dar um overview de algumas estatsticas para todo o processo de captura.

Se voc olhar o ltimo pedao de dado exibido na tela, voc ver que a taxa mdia Mbit/segundo de 0.233. No MUITO dado capturado, porm significante o bastante para voc se preocupar. Olhando novamente a janela lista de pacotes, existe muito dado para ser compreendido e digerido; aproximadamente 20.000 pacotes. Quando procurando neste pacotes, uma boa idia iniciar como ns podemos limitar o campo de pesquisa. E o melhor meio de fazer isto usando a janela Conversations. Uma conversa na rede, exatamente como uma conversa entre duas pessoas (opaaaaaa com duas mulheres precisamos de uma largura de banda maior :)) ), descreve a comunicao que acontece entre 2 hosts (tambm conhecido como pontos-finais). Vc pode acessar janela de Conversations ao selecionar Statistics no topo da tela e escolher Conversations. Fazendo isto, voc ir exibir uma lista de todas as conversas dentro da captura com alguma informao sobre cada conversa.

Nesta captura entretanto, somente uma conversao listada. Isto significa que todos os 20.000 pacotes exibidos esto sendo transmitidos entre o servidor FTP e o mesmo host. Assim, verificamos que somos incapazes de delimitar nossa pesquisa usando a janela Conversations. O que fazer ?, voc pensa. Calma. Vamos para o prximo passo que utilizar um filtro para efetuar essa tarefa. Sabemos que este um servidor FTP, e olhando o painel lista de pacotes, temos uma mistura de pacotes de trfego TCP e FTP. Uma boa estratgia isolar o trfego FTP. E isto pode ser feito ao se criar um filtro de exibio. Um filtro de exibio um filtro que diz ao Wireshark para somente exibir pacotes que batem com certos critrios. Podemos criar um filtro ao digitar o critrio que queremos na caixa Filter que fica imediatamente acima do painel lista de pacotes. Se voc digitar ftp (por favor sem as aspas) dentro desta caixa e der enter, e somente o trfego FTP ser exibido no painel lista de pacotes.

Agora, o painel detalhes do pacote pode ser verificado para se ter uma idia do que cada pacote FTP est fazendo. Para fazer isto, selecione um pacote no painel lista de pacote e ento expanda a seo FTP no painel lista de pacotes. Se voc fizer isto para o primeiro pacote FTP, voc ver uma resposta sendo enviada do servidor (10.121.70.151) para o cliente (10.234.125.254), declarando que uma tentativa de login falhou : Response arg : Login incorrect.

Se voc continuar com esta investigao, olhando os detalhes de cada pacote FTP, voc comear a compreender e ver a tendncia do seu trfego. Bem, a captura inteira consiste de um host remoto tentando e falhando ao logar no servidor FTP. E no somente voc pode ver estas tentativas de login, e visto que todo trfego est desencriptado, voc pode tambm ver as senhas FTP que foram sendo tentadas ao logar. Agora, olhe os pacotes 11, 17, 21 e 47, e voc poder ver que o cliente remoto tentou o login com as senhas merlin, mercury, mets e mgr, respectivamente. E no somente isso, mas se voc olhar na coluna time, todas estas tentativas de login aconteceram em 2 dcimos de segundo. Muito rpido esse cara, no ?!? O que voc acha ? Ser que ele mesmo que est digitando essas senhas?!?! Eu tenho certeza que no. Apenas para verificar mais um pouquinho sobre isso, podemos usar um filtro mais avanado para exibir todas as tentativas de login para este servidor FTP. Usando o seguiten filtro de exibio ftp.request.comand == PASS e ai voc ir exibir todas as senhas que o cliente remoto usou para tentar logar no seu servidor FTP.

Hum. o que temos aqui ?!? Tentativas rpidas e mltiplas de login usando senhas alfabticas sequenciais?!? SIM ! um sinal claro de que algum est tentando violar a segurana do seu servidor FTP usando um ataque de fora bruta ! Ok. Tivemos sucesso ao usar o Wireshark no somente para rastrear que o podia estar causando a degradao de performance do seu servidor FTP durante o horrio de maior movimento, alm de tambm identificar um potencial intruso. isso. Voc est pronto para ouvir e capturar seu trfego de rede.

Concluso

Gosto de frequentemente comparar o trabalho de um Analista de Rede, ao trabalho de um mdico com seu paciente. Apesar do mdico ser um especialista, cardiologista, neurologista ou ortopedista, todos, sem exceo, iniciam com medies bsicas para ver seu bem estar geral. Onde um mdico pode fazer uma cultura sangunea, um Analista de Rede visualizar a hierarquia de um protocolo; onde um mdico tem histrico completo mdico, uma anammese para obter um padro de comparao da sade de seus pacientes, um Analista de Rede ir executar algumas capturas de pacotes para obter um padro de comparao da sade de sua rede.

A idia aqui que voc tem de saber o que fazer quando certos sintomas so observados na sua rede antes de focar no problema especfico, que a causa do sintoma. Visualizar um problema na rede no to fcil como capturar alguns pacotes e olhar para a palavra ERROR bem grande na sua frente. Vc tem que saber que coisas so essas e quando elas parecem estar funcionando corretamente, para que em contrapartida voc possa encontrar as sutilezas que fazem a diferena entre uma rede com a sade perfeita e outra que se arrasta lentamente e se nada for feito, chega a um estado terminal. O nico modo de fazer isto efetivamente ser capaz de interceptar os pacotes que esto fluindo atravs do cabo. Este artigo foi idealizado para a voc dar apenas uma direo do que se pode fazer com um sniffer de pacote e quo essencial ele para a anlise dos pacotes fluindo pela sua rede. Existem muitos sites na Internet sobre o assunto, mas recomendo que voc aprenda mais sobre anlise e sniffing nos caras oficiais: Site oficial do Wireshark, onde voc encontra os downloads e os links de suporte. OpenPacket um site que fornece um repositrio centralizado de traces de trfego de rede para pesquisadores, analistas e outros membros da comunidade de segurana digital. Aqui voc cria um login e senha para baixar os arquivos .pcap do Wireshark que podem estar em 3 categorias : Normal, Suspicious e Malicious. Este o site de Laura Chappells. Existe muito material free que voc pode utilizar para seu estudo. Este o site de Richard Bejtlich. timo site sobre Segurana de rede. Fonte: Chris Sanders Bem, poderamos ficar aqui o dia todo falando sobre sniffers, captura, e etc, e conversando sobre como, onde, e o que capturar na sua rede quando ela est dando sinais de decriptude. (rs). Mas aqui termina a srie. Agora cabe a vocs explorarem o Wireshark e tirar o mximo que puderem dele. importante salientar que o conhecimento sobre os campos do frame (L2), pacote (L3), segmento (L4), e com especial foco sobre a camada 4, Transporte, TCP e UDP, ser essencial para que voc saiba o que est capturando. E para isso, vem ai uma nova srie de artigos falando sobre osProtocolos TCP e UDP. Aguardem. isso, meus amigos. Espero que seja til a todos. Obrigada por tudo, e at o prximo artigo. Sds, Mrcia Guimares