Home

Frum
MDs
Cursos ONLINE
FUNCERTI
Polticas / Privacidade
[CCNA] Desafio 01 - Semana 01 - Novembro 2010
Servios - MPLS
06 11 2010
Usando um analisador de pacote para troubleshooting de rede -
parte III
Postado por: Marcia Guimaraes em Artigos de Colabs, Security, Tutoriais, Artigos - Imprima este post
Ol a todos !
Percebi que no podia dividir esse artigo desse ponto em diante, ento preferi publicar tudo de uma vez.
Faz mais sentido, portanto, vamos l !
IV - Procurando algum tipo de trfego na rede
Antes que voc possa identificar um trfego problemtico, voc deve primeiro entender como o que um
trfego normal e qua a cara dele. Vamos dar uma rpida olhada no trfego ARP para ficar um
pouquinho mais confortvel com a exibio deste no nvel de pacote.
As entranhas do ARP
A idia bsica por trs do ARP para a mquina um broadcast de seu endereo IP e endereo MAC para
todos os clientes dentro do seu domnio de broadcast a fim de encontrar o endereo IP associado com um
endereo MAC especfico para o qual ele deseja transmitir. Digamos que a mquina A queira conversar
com a mquina B, mas mquina A no sabe o endereo MAC da mquina B, mas sabe o endereo IP.
Ento, ele basicamente se parece com isso :
Computador A Oi a todos ! Meu endereo IP xx.xx.xx.xx, e o meu endereo MAC
XX:XX:XX:XX:XX:XX. Eu preciso enviar uma informao para algum com o endereo IP
xx.xx.xx.yy, porm eu no sei qual o seu endereo MAC. Quem tiver este endereo IP,
por favor, responda com seu endereo MAC ?
Todas as mquinas no segmento, no domnio de broadcast, iro receber esse broadcast ARP, e somente
uma mquina ir responder: aquela que tiver o endereo IP requisitado pelo computador A. Com esta
informao na mo, a troca de dados se inicia entre as mquinas.
Computador B Oi computador A ! Sou quem voc procura. Tenho o endereo IP
xx.xx.xx.yy. E meu endereo MAC XX:XX:XX:XX:XX:YY.
Bem j conhecemos o processo do protocolo ARP a fundo. Apenas fiz aqui um refresh da informao
para que todos fiquem espertos.

ARP no nvel de pacote
Entendendo o conceito bsico do ARP, podemos dar uma olhada em alguns pacotes para ver como ele
atualmente funciona.
Agora, vamos passo-a-passo por todo o processo ARP, do incio ao fim. Ok? Neste cenrio o
computador A precisa se comunicar com o computador B.
O Wireshark permite que voc salve sua captura, gerando assim arquivos com a extenso .pcap. Voc
pode baixar o arquivo desta captura ARP aqui. Veja. Optei por usar uma captura que vocs possam
carregar no aplicativo, para que voc possa acompanhar o passo-a-passo da anlise do trfego. E mais.
Observem que o intuito aqui no esgotar o assunto que extenso. Aqui somente o ponta-a-p inicial
para que voc mesmo trilhe seu caminho no uso da ferramenta.
Na janela detalhes do pacote do primeiro pacote do arquivo de captura direto. O computador
192.168.0.114 precisa se comunicar com o computador 192.168.0.1, porm ele no conhece o endereo
MAC do destino (Who has 192.168.0.1? Tell 192.168.0.114). Observe que o endereo MAC alvo aqui
00:00:00:00:00:00. E nesse caso, ele envia o pacote com o endereo MAC ff:ff:ff:ff:ff:ff, fazendo um
broadcast deste pacote por todo o segmento de rede. Este o pacote bsico ARP Request, conforme visto
no campo Opcode na sinalizado abaixo.
O segundo pacote o nosso REPLY vindo da mquina 192.168.0.1. Este dispositivo recebeu o ARP
Request no primeiro passo, e gerou este reply endereado a 192.168.0.114. Observe que este reply
contem a informao que a mquina 192.168.0.114 precisa para se comunicar efetivamente com a mquina
192.168.0.1, que o endereo MAC 00:13:46:0b:22:ba. O endereo MAC desta ltima est neste
pacote. Vc pode dizer imediatamente que este um ARP reply s olhando o campo Opcode.
Resumindo e importante saber :
Quando o campo Opcode tem 00001 request.
Quando o campo Opcode tem 00002 reply.
Uma vez que o dispositivo 192.168.0.114 recebeu o reply, este ento pode pegar o endereo MAC de
192.168.0.1 e coloc-lo no cache ARP para uso futuro. Com esta nova informao, o ARP pode com
sucesso traduzir a camada 2 e a camada 3, de modo que a comunicao possa se mover pelo meio fsico.

V - Troubleshooting de um problema real na sua rede
Chegou a hora H. Vamos mergulhar fundo na comunicao feita na sua rede, dando uma olhada em um
cenrio real com um problema real e compreend-lo no nvel de pacote com a ajuda do Whireshark.
Neste cenrio, uma empresa tem um servidor FTP que utilizado para manter todos os seus releases de
software. Recentemente, um tcnico responsvel pela manuteno recebeu diversos relatos dos
desenvolvedores da empresa reportando que na ocasio quando trabalhavam at mais tarde na empresa, a
performance do upload/download fica bastante degradada. Neste servidor FTP est rodando uma
aplicao simples de FTP que tem features de logging, fornecendo toda informao necessria. ok. Este
o cenrio perfeito para o uso do sniffer de pacote.
Um arquivo de captura pode ser melhor obtido ao usar a tcnica de espelhamento de porta para obter do
fio a captura apropriada do dado. Mas algo melhor pode ser feito, se voc instalar o Wireshark diretamente
na mquina em questo, porm se performance um problema, ento isso gera um risco, e poderia fazer
com que pacotes fossem dropados, reduzindo assim a validade de nossa captura. Aqui tambm usaremos o
arquivo .pcap. Para isso, faa download da captura de trfego FTP aqui. Carregue o arquivo e continue a
ler.
Quando voc abriu seu arquivo de captura, viu que muita coisa est acontecendo dentro de um curto
espao de tempo. Observe a coluna time dentro da janela lista de pacote onde exibido os primeiros
200 pacotes cruzando o fio em menos de 1 segundo.
Este nmero no significa muito, visto que no podemos usar isso tambm eficazmente para ver a taxa de
dados fluindo atravs do fio, mas no h outra maneira de fazer isso. Selecione Statistics do menu principal
e ento escolha Summary. Ir abrir uma tela de resumo que dar um overview de algumas estatsticas para
todo o processo de captura.
Se voc olhar o ltimo pedao de dado exibido na tela, voc ver que a taxa mdia Mbit/segundo de
0.233. No MUITO dado capturado, porm significante o bastante para voc se preocupar.
Olhando novamente a janela lista de pacotes, existe muito dado para ser compreendido e digerido;
aproximadamente 20.000 pacotes. Quando procurando neste pacotes, uma boa idia iniciar como ns
podemos limitar o campo de pesquisa. E o melhor meio de fazer isto usando a janela Conversations.
Uma conversa na rede, exatamente como uma conversa entre duas pessoas (opaaaaaa com duas
mulheres precisamos de uma largura de banda maior :)) ), descreve a comunicao que acontece entre 2
hosts (tambm conhecido como pontos-finais). Vc pode acessar janela de Conversations ao selecionar
Statistics no topo da tela e escolher Conversations. Fazendo isto, voc ir exibir uma lista de todas as
conversas dentro da captura com alguma informao sobre cada conversa.
Nesta captura entretanto, somente uma conversao listada. Isto significa que todos os 20.000 pacotes
exibidos esto sendo transmitidos entre o servidor FTP e o mesmo host.
Assim, verificamos que somos incapazes de delimitar nossa pesquisa usando a janela Conversations. O que
fazer ?, voc pensa. Calma. Vamos para o prximo passo que utilizar um filtro para efetuar essa tarefa.
Sabemos que este um servidor FTP, e olhando o painel lista de pacotes, temos uma mistura de pacotes
de trfego TCP e FTP. Uma boa estratgia isolar o trfego FTP. E isto pode ser feito ao se criar um filtro
de exibio.
Um filtro de exibio um filtro que diz ao Wireshark para somente exibir pacotes que batem com certos
critrios. Podemos criar um filtro ao digitar o critrio que queremos na caixa Filter que fica imediatamente
acima do painel lista de pacotes. Se voc digitar ftp (por favor sem as aspas) dentro desta caixa e der
enter, e somente o trfego FTP ser exibido no painel lista de pacotes.
Agora, o painel detalhes do pacote pode ser verificado para se ter uma idia do que cada pacote FTP
est fazendo. Para fazer isto, selecione um pacote no painel lista de pacote e ento expanda a seo FTP
no painel lista de pacotes. Se voc fizer isto para o primeiro pacote FTP, voc ver uma resposta sendo
enviada do servidor (10.121.70.151) para o cliente (10.234.125.254), declarando que uma tentativa de
login falhou :
Response arg : Login incorrect.
Se voc continuar com esta investigao, olhando os detalhes de cada pacote FTP, voc comear a
compreender e ver a tendncia do seu trfego. Bem, a captura inteira consiste de um host remoto tentando
e falhando ao logar no servidor FTP. E no somente voc pode ver estas tentativas de login, e visto que
todo trfego est desencriptado, voc pode tambm ver as senhas FTP que foram sendo tentadas ao logar.
Agora, olhe os pacotes 11, 17, 21 e 47, e voc poder ver que o cliente remoto tentou o login com as
senhas merlin, mercury, mets e mgr, respectivamente. E no somente isso, mas se voc olhar na coluna
time, todas estas tentativas de login aconteceram em 2 dcimos de segundo. Muito rpido esse cara, no
?!? O que voc acha ? Ser que ele mesmo que est digitando essas senhas?!?! Eu tenho certeza que
no.
Apenas para verificar mais um pouquinho sobre isso, podemos usar um filtro mais avanado para exibir
todas as tentativas de login para este servidor FTP. Usando o seguiten filtro de exibio
ftp.request.comand == PASS
e ai voc ir exibir todas as senhas que o cliente remoto usou para tentar logar no seu servidor FTP.
Hum. o que temos aqui ?!? Tentativas rpidas e mltiplas de login usando senhas alfabticas
sequenciais?!? SIM !
um sinal claro de que algum est tentando violar a segurana do seu servidor FTP usando um ataque de
fora bruta !
Ok. Tivemos sucesso ao usar o Wireshark no somente para rastrear que o podia estar causando a
degradao de performance do seu servidor FTP durante o horrio de maior movimento, alm de tambm
identificar um potencial intruso.
isso. Voc est pronto para ouvir e capturar seu trfego de rede.

Concluso
Gosto de frequentemente comparar o trabalho de um Analista de Rede, ao trabalho de um mdico com seu
paciente. Apesar do mdico ser um especialista, cardiologista, neurologista ou ortopedista, todos, sem
exceo, iniciam com medies bsicas para ver seu bem estar geral. Onde um mdico pode fazer uma
cultura sangunea, um Analista de Rede visualizar a hierarquia de um protocolo; onde um mdico tem
histrico completo mdico, uma anammese para obter um padro de comparao da sade de seus
pacientes, um Analista de Rede ir executar algumas capturas de pacotes para obter um padro de
comparao da sade de sua rede.
A idia aqui que voc tem de saber o que fazer quando certos sintomas so observados na sua rede antes
de focar no problema especfico, que a causa do sintoma. Visualizar um problema na rede no to fcil
como capturar alguns pacotes e olhar para a palavra ERROR bem grande na sua frente. Vc tem que
saber que coisas so essas e quando elas parecem estar funcionando corretamente, para que em
contrapartida voc possa encontrar as sutilezas que fazem a diferena entre uma rede com a sade perfeita
e outra que se arrasta lentamente e se nada for feito, chega a um estado terminal. O nico modo de fazer
isto efetivamente ser capaz de interceptar os pacotes que esto fluindo atravs do cabo.
Este artigo foi idealizado para a voc dar apenas uma direo do que se pode fazer com um sniffer de
pacote e quo essencial ele para a anlise dos pacotes fluindo pela sua rede.
Existem muitos sites na Internet sobre o assunto, mas recomendo que voc aprenda mais sobre anlise e
sniffing nos caras oficiais:
Site oficial do Wireshark, onde voc encontra os downloads e os links de suporte.
OpenPacket um site que fornece um repositrio centralizado de traces de trfego de rede para
pesquisadores, analistas e outros membros da comunidade de segurana digital. Aqui voc cria um login e
senha para baixar os arquivos .pcap do Wireshark que podem estar em 3 categorias : Normal, Suspicious
e Malicious.
Este o site de Laura Chappells. Existe muito material free que voc pode utilizar para seu estudo.
Este o site de Richard Bejtlich. timo site sobre Segurana de rede.
Fonte: Chris Sanders
Bem, poderamos ficar aqui o dia todo falando sobre sniffers, captura, e etc, e conversando sobre como,
onde, e o que capturar na sua rede quando ela est dando sinais de decriptude. (rs). Mas aqui termina a
srie. Agora cabe a vocs explorarem o Wireshark e tirar o mximo que puderem dele.
importante salientar que o conhecimento sobre os campos do frame (L2), pacote (L3), segmento
(L4), e com especial foco sobre a camada 4, Transporte, TCP e UDP, ser essencial para que voc saiba
o que est capturando. E para isso, vem ai uma nova srie de artigos falando sobre os Protocolos TCP e
UDP. Aguardem.
isso, meus amigos. Espero que seja til a todos.
Obrigada por tudo, e at o prximo artigo.
Sds,
Mrcia Guimares
Popularity: 7% [?]
Share
Leia tambm:
Usando um analisador de pacote para troubleshooting de rede - parte II
Usando um analisador de pacote para troubleshooting de rede - parte I
Lista de Controle de Acesso criadas facilmente - Parte 5
Lista de Controle de Acesso criadas facilmente - Parte 3
Lista de Controle de Acesso criadas facilmente - Parte 2
Lista de Controle de Acesso criadas facilmente - Parte 1
Lista de Controle de Acesso criadas facilmente - Parte 4
Anlise do trfego de acesso pgina web
Lista de Controle de Acesso criadas facilmente - Parte 6
[P&R] Redistribuio de Rotas - parte 2
Usando o roteador / switch Cisco como um servidor DHCP
Projeto de telefonia IP usando CME + CUE (parte 1)
3 - Perguntas Bsicas, Respostas Bsicas - GERENCIAMENTO DE REDE
Criando um As Built de Instalao de Rede
Acoplando um Sistema de Acelerao - Juniper WX - a um Roteador Cisco via WCCPv2
Este post foi postado Saturday, 6 de November de 2010 s 9:58 am e est em Artigos de Colabs, Security, Tutoriais,
Artigos. Voc pode verificar qualquer resposta a este post atravs do feed RSS 2.0. Voc pode deixar uma resposta, ou
fazer um trackback de seu prprio site.
19 Respostas para Usando um analisador de pacote para troubleshooting de rede - parte III
1. Diogo Mendes diz:
6 de November de 2010 s 10:05 am
Muito bom Mrcia! tima srie, como sempre muitssimo bem escrita! Parabns
Abraos!
2. rgrsilva diz:
6 de November de 2010 s 10:10 am
Belo post, vai direto no assunto! Parabns!
[ ]s
3. Daniel Valente diz:
7 de November de 2010 s 12:26 am
Muito bom. Bem escrito, bem explicativo. Parabns : )
4. Ariel Santana diz:
7 de November de 2010 s 5:02 am
Excelente post.
5. ArcanjoV8 diz:
7 de November de 2010 s 10:26 am
UAU! Execelente topico, Marcia! Por favor, continue com essa impolgacao toda! o
pessoal do Blog CCNA agradece!
Thank you!
6. KimRondon diz:
7 de November de 2010 s 7:57 pm
Maravilhoso Mrcia, ja vo colocar em prtica num servicinho que vou fazer
obrigado
7. Deco diz:
8 de November de 2010 s 8:12 am
Mrcia, voc o cara! ahhahaha Parabns pela qualidade do post e
quantidade de informaes teis.
Eu gostei da comparao que voc fez do Analista de Redes com um mdico, e gostaria de falar aqui
para que o pessoal tome cuidado para no virar um mdico genrico pois ir ao hospital e ouvir que
voc est com uma virose e ter um doril receitado o fim da picada! Fala srio, os caras estudam
tanto para falar isso pra gente?
Isso serve para ns tambm, profissionais de redes e telecom, -Estudar tanto para dar mancada, ou
desculpa esfarrapada? No vira n
Aquele abrao galera, e Marcia, aguardo o post a respeito de TCP e UDP!
8. Fernando Nogueira diz:
8 de November de 2010 s 9:18 am
Muito bom o tutorial Mrcia!
Meus parabns!!! de muitssima utilidade!!!
Abraos e no aguardo dos prximos!!!
Int
9. Fbio R. Hernandes diz:
10 de November de 2010 s 8:24 am
temo! hehe
Que venha TCP e UDP.
10. Marcia Guimaraes diz:
11 de November de 2010 s 9:30 am
Ol !
Obrigada pelos comentrios. E sobre a srie do Protocolos TCP/UDP j est quase pronta, falta
pouco.
Espero que acompanhem, pq ser de grande ajuda para quem ainda no entendeu como funciona os
campos do TCP/UDP, principalmente do TCP.
abraos a todos.
Mrcia
11. neldel diz:
11 de November de 2010 s 12:46 pm
Bom!!
Tenho alguns meses de blog, e sempre li timas opinies de seus posts pelos usurios,
e aps a leitura desse seu trabalho s posso concordar.
timo.
Parabns.
12. jonas diz:
12 de November de 2010 s 8:07 am
Muito bom !!
13. victorino diz:
14 de November de 2010 s 9:45 pm
Muito bom Mrcia. Execelente da uma nocao excelente.
14. ferrugem diz:
23 de November de 2010 s 2:56 pm
Grande Mrcia Guimares!!!
Sempre com excelentes posts para compartilhar com a galera!
Eita mulher de vocabulrio requintado Anamnese foi boa!
Parabns mais uma vez por mais esta srie! Estamos todos no aguardo de mais posts e da anunciada
srie sobre TCP/UDP!
Abraos e sucesso sempre,
Felipe Ferrugem!
Juntos somos ainda melhores!!!
15. Marcia Guimaraes diz:
2 de December de 2010 s 10:29 am
rsss grande ferrugem !!!
16. aguero diz:
11 de March de 2011 s 10:48 am
Parabns e obrigado pelo excelente artigo.
17. anarco2002 diz:
19 de March de 2011 s 3:03 pm
ta pga! (gria do Mato Grosso do Sul, algo como: Caramba!!!!)
Mulher inteligente!!! Parabns! Um dia eu chego l Estou aguardando mais uma
srie muito bem escrito esta sobre Usando um analisador de pacote para troubleshooting de
rede mais uma vez, parabns!!
18. Alexandre Lima diz:
3 de November de 2012 s 10:52 pm
FantasticoEspetacular o seu POST li e adorei todosMuito bom!!! J estou tendo
bons resultados na minha rede.
Muito grato por compartilhar to valioso conhecimento.
um forte abrao Marcia
19. guilherme.dantas diz:
27 de April de 2013 s 12:06 pm
Rapaz, Marcia Guimaraes essa mulher arrebenta!
Deixe um Comentrio
Voc deve estar logado para postar um comentrio. Login
Mandigo theme by tom.