Você está na página 1de 20

Robert Shimonski

Novatec

Copyright 2013 Elsevier Inc. All rights reserved.


No part of this publication may be reproduced or transmitted in any form or by any means, electronic or mechanical, including photocopying, recording, or any information storage and retrieval
system, without permission in writing from the publisher. Details on how to seek permission, further
information about the Publishers permissions policies and our arrangement with organizations such
as the Copyright Clearance Center and the Copyright Licensing Agency, can be found at our website:
www.elsevier.com/permissions.
This book and the individual contributions contained in it are protected under copyright by the
Publisher (other than as may be noted herein).
This edition of THE WIRESHARK FIELD GUIDE ANALYZING AND TROUBLESHOOTING
NETWORK TRAFFIC by Robert Shimonski is published by arrangement with ELSEVIER INC., a
Delaware corporation having its principal place of business at 360 Park Avenue South, New York, NY
10010, USA.
Nenhuma parte desta publicao pode ser reproduzida ou transmitida de qualquer forma ou por
qualquer meio, eletrnico ou mecnico, incluindo fotocpia, gravao ou qualquer armazenamento
de informao e sistema de recuperao, sem permisso por escrito da editora. Detalhes sobre como
pedir permisso, mais informaes sobre as permisses de polticas da editora e o acordo com organizaes como o Copyright Clearance Center e da Copyright Licensing Agency, podem ser encontradas no site: www.elsevier.com/permissions.
Este livro e as contribuies individuais contidas nele so protegidos pelos Copyright da Editora
(alm de outros que podero ser aqui encontrados).
Esta edio do livro THE WIRESHARK FIELD GUIDE ANALYZING AND TROUBLESHOOTING
NETWORK TRAFFIC de Robert Shimonski publicada por acordo com a Elsevier Inc., uma corporao de Delaware estabelecida no endereo 360 Park Avenue South, New York, NY 10010, EUA.
Copyright 2014 Novatec Editora Ltda.
Todos os direitos reservados e protegidos pela Lei 9.610 de 19/02/1998. proibida a reproduo
desta obra, mesmo parcial, por qualquer processo, sem prvia autorizao, por escrito, do autor e da
Editora.
Editor: Rubens Prates
Traduo: Lcia Ayako Kinoshita
Reviso gramatical: Marta Almeida de S
Editorao eletrnica: Carolina Kuwabata
ISBN: 978-85-7522-388-8
Histrico de impresses:
Dezembro/2013

Primeira edio

Novatec Editora Ltda.


Rua Lus Antnio dos Santos 110
02460-000 So Paulo, SP Brasil
Tel.: +55 11 2959-6529
Fax: +55 11 2950-8869
E-mail: novatec@novatec.com.br
Site: www.novatec.com.br
Twitter: twitter.com/novateceditora
Facebook: facebook.com/novatec
LinkedIn: linkedin.com/in/novatec
MP20131211

captulo 1

Sobre o Wireshark

1.1 Introduo
Profissionais da rea de redes, operadores e engenheiros experientes em
todo o mundo utilizam o Wireshark e ferramentas semelhantes para
solucionar problemas, e abordaremos o como e o porqu disso. Nesta
seo, discutiremos brevemente a histria do Wireshark, bem como o
uso da captura e anlise de pacotes na rea de redes. Em primeiro lugar,
necessrio compreender a histria do Wireshark e da captura e anlise
de pacotes para obter um entendimento slido a respeito do propsito do
uso dessa ferramenta. Aps termos apresentado a histria do Wireshark,
discutiremos sobre sua verso mais recente, como obt-la e o que necessrio preparar para fazer a instalao e a configurao do produto.
Tambm discutiremos os aspectos bsicos relacionados captura e anlise
de pacotes para que voc tenha conhecimento da finalidade para a qual a
ferramenta naturalmente usada.
Este livro pode ser utilizado por iniciantes e por aqueles que ainda
no tm experincia com redes, porm ter um conhecimento anterior
e slido sobre o assunto facilitar bastante a leitura, a compreenso e
a absoro das informaes contidas neste livro.

23

24

Wireshark Guia Prtico

1.2 O que o Wireshark?


A captura e a anlise de protocolos no so nenhuma novidade; elas
existem h dcadas. Com a disponibilizao de sistemas UNIX, muitas
ferramentas contidas diretamente no sistema operacional permitiram a
captura e a anlise de dados no nvel de pacotes com o intuito de permitir a resoluo de problemas. Os dados que trafegam por uma rede, de
clientes para servidores ou para impressoras ou que passam por pontos de
acesso sem fio e pela Internet, movem-se na forma de sinais e frequncias
eltricas. Uma ferramenta para captura de pacotes (tambm chamada de
analisador de rede) pode ser utilizada para capturar esses dados para anlise. Um analisador de rede uma ferramenta para soluo de problemas
usada para identificar e resolver problemas de comunicao em redes,
planejar capacidades e realizar otimizaes em redes. Os analisadores de
rede podem capturar todo o trfego que passa pela rede e interpretar o
trfego capturado para decodificar e interpretar os diferentes protocolos
utilizados. Os dados decodificados so mostrados em um formato que
facilita sua compreenso, por meio da remoo de camadas dos dados
encapsulados utilizados para identific-los ou para permitir que possam ser
usados na rede. Um analisador de rede tambm pode capturar somente o
trfego que corresponda a critrios de seleo definidos por um filtro. Isso
permite que um profissional capture somente o trfego que seja relevante
ao problema em questo. Um analisador de rede tpico apresenta os dados
decodificados em trs painis:
Summary (Resumo): apresenta um resumo de uma linha do protocolo da camada mais alta contido no frame, bem como o horrio
da captura, alm dos endereos de origem e de destino.
Detail (Detalhes): Fornece detalhes sobre todas as camadas contidas
no frame.
Hex (Hexa): Apresenta os dados puros capturados em formato
hexadecimal.
A figura 1.1 mostra a ferramenta Wireshark com dados capturados e
prontos para inspeo. Nessa figura, podemos ver os trs painis sendo
utilizados. De cima para baixo, podemos observar os painis Summary

Captulo 1 Sobre o Wireshark

25

(Resumo), Detail (Detalhes) e Hex (Hexa). O painel Summary mostra


os detalhes de alto nvel como os nmeros de sequncia dos pacotes
capturados, o horrio da captura, os endereos de origem e de destino, o
protocolo utilizado, o tamanho e outras informaes. Se um pacote for
selecionado no painel de resumo, informaes mais detalhadas podero
ser visualizadas no painel de detalhes. Ao se aprofundar mais no nvel de
detalhes, possvel selecionar itens no painel Detail e observar, no painel
Hex, os dados hexa especficos que foram capturados.
medida que avanarmos neste guia, exploraremos cada um dos
painis de forma mais detalhada e aprenderemos sobre as especificidades
de como utiliz-los, como interpretar as informaes contidas em cada
um deles e como solucionar problemas. Os analisadores de rede tambm
oferecem a possibilidade de criar filtros de apresentao para que um
profissional da rea de redes possa identificar rapidamente o que estiver
procurando.

Figura 1.1 Usando o Wireshark.

26

Wireshark Guia Prtico

Analisadores de rede mais sofisticados oferecem a possibilidade de


efetuar anlise de padres. Esse recurso permite que o analisador de rede
verifique milhares de pacotes e identifique problemas. O analisador de
rede tambm pode informar as possveis causas para esses problemas e
oferecer dicas de como resolv-los.

1.3 O que anlise de rede e de protocolo?


A distribuio eletrnica de informaes tem se tornado cada vez mais
importante e a complexidade dos dados trocados entre sistemas vem
aumentando a passos largos. As redes de computadores atualmente
transportam todo tipo de trfego contendo dados, voz e vdeos. As aplicaes de rede exigem total disponibilidade, sem que haja interrupes
ou congestionamento. medida que os sistemas de informao em uma
empresa se expandem e se desenvolvem, mais dispositivos de rede so
implantados, resultando em extensas reas fsicas cobertas pelo sistema
de redes. muito importante que esse sistema de redes opere do modo
mais eficiente possvel, pois um perodo de tempo inoperante, alm de
representar um custo alto, tambm resulta em um uso ineficiente dos
recursos disponveis. A anlise de rede e/ou de protocolo corresponde a
um conjunto de tcnicas que engenheiros e profissionais da rea de redes
utilizam para estudar as propriedades das redes, incluindo conectividade,
capacidade e desempenho. As anlises de rede podem ser utilizadas para
estimar a capacidade de uma rede, observar caractersticas de desempenho
ou planejar aplicaes e atualizaes futuras.
Uma das melhores ferramentas para realizar anlises de rede um
analisador de rede como o Wireshark. Um analisador de rede um dispositivo que oferece uma ideia muito boa do que est acontecendo em uma
rede ao permitir que seja possvel dar uma olhada nos dados que trafegam
por ela, pacote a pacote. Um analisador de rede tpico entende diversos
protocolos, o que permite apresentar conversaes que ocorram entre os
hosts de uma rede. O Wireshark pode ser utilizado com essa capacidade.
Os analisadores de rede geralmente oferecem os seguintes recursos:

Captulo 1 Sobre o Wireshark

27

capturar e decodificar dados em uma rede;


analisar atividades de rede que envolvam protocolos especficos;
gerar e apresentar estatsticas sobre a atividade da rede;
realizar anlise de padres da atividade da rede.
A captura de pacotes e a decodificao de protocolos s vezes so
chamadas de sniffing. Esse termo surgiu em virtude da natureza dos
analisadores de rede, que possuem a habilidade de farejar (sniff, em
ingls) o trfego de rede e captur-lo.

As figuras 1.1 e 1.2 mostram a ferramenta Wireshark com dados capturados, com um problema tpico que pode ser atualmente visto em redes
um ARP (Address Resolution Protocol, ou Protocolo de Resoluo de
Endereos) storm. A figura 1.2 mostra como verificar os dados com mais
detalhes a fim de solucionar o problema. Embora iremos nos envolver
mais na inspeo detalhada do trfego em captulos posteriores, aqui voc
pode ver como um analisador de rede realiza uma anlise de protocolo.

Figura 1.2 Realizando uma anlise de protocolo.

Ao decodificar a captura de pacotes ARP, podemos nos aprofundar no


nvel de detalhes da ferramenta (e dos pacotes) para descobrir os endereos
de origem e de destino do storm. Porm o Wireshark no pode solucionar
todos os problemas sem ter alguma ajuda! Em primeiro lugar, necessrio
que voc, o profissional com a mente curiosa, primeiro entenda em que

28

Wireshark Guia Prtico

local o Wireshark deve ser colocado para capturar esses dados. Em seguida,
necessrio algum trabalho de inspeo e de anlise dos dados capturados
e, no mnimo, um entendimento bsico sobre como os dados funcionam
em uma rede. Tambm necessrio um trabalho de detetive de sua parte:
ser preciso saber como relacionar esse problema de ARP (na forma de
um endereo MAC) com o cliente ofensor que est provocando o storm.
Ento voc dever saber como solucionar o problema em questo. Como
podemos notar, a captura e a anlise de protocolos com uma ferramenta
de anlise de redes como o Wireshark somente ajudam a ter uma ideia
inicial do problema; nem sempre elas a resolvem diretamente para voc.

Esteja atento aos falsos positivos. O que isso quer dizer que voc
pode ver um problema quando, na realidade, no um problema,
mas um comportamento normal. Voc pode obter uma captura ou
um relatrio de um analisador de rede instruindo-o a respeito da
existncia de um problema quando, na verdade, isso no acontece. Usar
um analisador de rede e realizar anlises so funes de uma mente
cientfica. No s devemos questionar o que virmos, mas tambm pode
ser necessrio realizar testes e anlises adicionais para descobrirmos
a causa raiz de um problema. No tire concluses precipitadamente;
organize cientificamente os dados, analise, realize pesquisas e discuta
possibilidades com seus pares e colegas se no estiver certo a respeito
de suas descobertas.

1.4 A histria do Wireshark


O Wireshark (http://www.wireshark.org/) um aplicativo de software usado
para capturar e inspecionar dados no nvel de protocolo. medida que
os dados trafegam por uma rede, de clientes para servidores (por exemplo), eles so enviados, e, embora haja muitas ferramentas semelhantes,
o Wireshark pode ser baixado gratuitamente da Internet. A histria do
Wireshark apresenta muitas reviravoltas. Apesar de a ferramenta sempre
ter sido muito confivel e incrivelmente til na maior parte do tempo, ela
teve o nome alterado e mudou de mos vrias vezes.

Captulo 1 Sobre o Wireshark

29

Uma das primeiras verses bem conhecidas do Wireshark surgiu na


forma do Ethereal. Em virtude de problemas legais e de direitos autorais, o
nome foi alterado para Wireshark. No entanto podemos iniciar a histria
dessa ferramenta na poca em que ela se chamava Ethereal. O Ethereal
(e sua nova forma, o Wireshark) um analisador de rede freeware de
cdigo aberto que pode ser baixado gratuitamente e usado em diversas
plataformas de sistemas computacionais. Durante sua infncia, ferramentas como o Sniffer Pro eram mais robustas e um tanto quanto mais caras.
Outras ferramentas como aquelas vendidas pela Fluke Networks no s
eram mais caras, como tambm eram distribudas com um hardware,
elevando seus custos. Quando foi disponibilizado, o Ethereal no era to
robusto e oferecia recursos para decodificao de protocolos, porm no
tinha vrios dos recursos que outras ferramentas disponveis ofereciam,
como a capacidade de monitorao de aplicativos, anlises inteligentes,
ferramentas sofisticadas para gerao de relatrios e a capacidade de capturar frames corrompidos. O Wireshark corresponde verso atual da
ferramenta Ethereal, que atualmente inclui anlises inteligentes e muitos
outros recursos que estavam ausentes em verses anteriores.
O WinPcap (http://www.winpcap.org/) a outra aplicao que deve ser
usada com o Wireshark. O WinPcap nada mais do que uma biblioteca
que o Wireshark acessa a partir do sistema Windows. Sistemas que no so
baseados em Windows podem utilizar a libcap. Qualquer que seja a biblioteca usada, ela fornecer um driver que possibilita a captura de pacotes no
nvel de sistema e de hardware. No prximo captulo, aprenderemos que
sua placa de interface de rede (NIC, ou Network Interface Card) deve ser
utilizada em modo promscuo para capturar pacotes e que o Wireshark
utiliza essas bibliotecas para ter essa funcionalidade facilitada. Ao fazer
download e usar o Wireshark, esse conjunto de bibliotecas acompanha a
ferramenta e deve ser instalado junto com ela para que possa ser utilizado. Esse conjunto de bibliotecas gerado e distribudo por uma empresa
chamada CACE (http://www.cacetech.com/).
H alguns anos, a CACE foi comprada por uma empresa chamada
Riverbed (http://www.riverbed.com/), que tambm fornecedora de ferramentas, software e hardware para anlise de redes e gerao de relatrios. Com
a Riverbed por trs da CACE e dando suporte ao Wireshark, provvel

30

Wireshark Guia Prtico

que esse trio poderoso de grupos no s possa conduzir a anlise de redes


a um novo patamar, mas tambm possa dar um impulso ao Wireshark
para que ele se desenvolva e se torne um aplicativo mais robusto do que
atualmente.

Usando o tcpdump
O tcpdump (http://www.tcpdump.org/) um analisador de captura/pacote de
protocolos usado na linha de comando. De modo muito semelhante ao
Wireshark [que utiliza uma interface grfica de usurio (GUI)], o tcpdump
captura pacotes e mostra detalhes especficos sobre eles, os quais podem
ser utilizados para anlises mais minuciosas a respeito de um problema.
Ele tambm funciona com a libcap e coloca a NIC em modo promscuo
possibilitando a captura de pacotes. O tcpdump mostra detalhes na linha
de comando e pode ser personalizado por meio de opes que permitem
mostrar mais ou menos detalhes especficos. extremamente til quando
h necessidade de capturar dados no momento em que o problema ocorrer,
pois normalmente est sempre instalado e pronto para ser usado na
maioria dos sistemas, principalmente aqueles baseados em UNIX. Alm
disso, est disponvel gratuitamente com o sistema operacional que voc
instalar.
A figura 1.3 mostra o uso do tcpdump em um sistema UNIX. Nesse caso,
podemos ver a conversao entre dois hosts, aquele no qual o tcpdump
est instalado (a origem) e o endereo de destino com o qual ele est se
comunicando.
Como voc pode observar aqui, bem fcil us-lo e manipul-lo. Voc
pode obter praticamente os mesmos dados obtidos com o Wireshark ao
usar o tcpdump, porm o Wireshark fornece mais complementos, por
exemplo, uma GUI fcil de usar, uma ferramenta de anlise inteligente e
ferramentas para gerao de relatrios.
O tcpdump tambm pode ser encontrado em muitos dos firewalls
baseados em UNIX instalados hoje em dia. Os firewalls, como aqueles da
McAfee e da Juniper, possuem o tcpdump integrado em seus conjuntos de
ferramentas para que possa ser facilmente acionado a fim de solucionar
ou informar sobre um problema.

Captulo 1 Sobre o Wireshark

31

Figura 1.3 Usando o tcpdump.

Para as pessoas que utilizam sistemas baseados em Windows, possvel


fazer o download e instalar o WinDump, que a verso Windows
para o tcpdump. Assim como o tcpdump utiliza a libcap, o WinDump
utiliza o WinPcap, da mesma forma que o Wireshark no Windows.
No Windows 7, Windows 8 e no Server 2008 SP2, o comando netsh
trace start capture=yes uma boa alternativa ao tcpdump. Nenhuma
instalao necessria para capturar pacotes.

1.5. Resolvendo problemas


Agora que aprendemos sobre captura e anlise de protocolos e como o
Wireshark se enquadra nesse contexto, vamos continuar a expandir seu
uso discutindo como ele pode ser utilizado para analisar dados. Vamos
detalhar mais medida que avanarmos neste livro, apesar disso, vale a
pena introduzir o assunto para que possamos prosseguir a partir da.
Ao trabalhar com uma rede ou se voc for diretamente responsvel
por ela, com frequncia, voc ir ouvir falar que ela apresenta problemas.
Alguns desses problemas so solicitaes comuns ao help desk, provenientes de usurios que no conseguem se lembrar de suas senhas de sistema,
enquanto outros so requisies de usurios que no conseguem fazer login

32

Wireshark Guia Prtico

porque seus cabos de rede foram desconectados novamente. Embora sejam


problemas comuns, e ocasionalmente irritantes, eles podem ser facilmente
corrigidos por meio de uma rpida sucesso de passos destinados a solucionar o problema e, geralmente, exigem uma soluo simples.
Em seguida na lista de reclamaes esto as solicitaes de usurios que
dizem que a rede est muito lenta. uma reclamao comum, mas o que
acontece quando quase todos os usurios de sua rede fizerem solicitaes
em massa reclamando da velocidade de seus logins, de aplicativos que
travam ou de sesses que expiram? Obviamente, pode haver um problema com o desempenho da rede se a maioria dos usurios estiver fazendo
reclamaes. Para onde voc deve olhar para comear a procurar a causa
do problema? Com as redes corporativas se expandindo e se conectando
a redes de outras empresas cada vez mais rapidamente, monitorar o desempenho da rede pode se tornar uma tarefa complicada.
Para investigar os problemas e tentar descobrir a causa raiz, inicialmente necessrio isol-los, monitorar o desempenho da rede usando o
Wireshark e ento trabalhar a fim de corrigi-los. Se o desempenho for o
problema, quais so os vrios aspectos que podemos observar no mapa para
descobrir em que local os problemas esto ocorrendo e como diagnostic-los corretamente? As perguntas que devem ser feitas imediatamente ao
iniciar a anlise de desempenho so:
O desempenho precrio da rede est afetando um usurio, diversos
usurios ou toda a rede?
O desempenho precrio est centrado em um local em particular
ou est presente em toda a rede?
Quando, exatamente, voc comeou a perceber que o desempenho
est precrio? Ou sempre foi ruim?
Houve alguma alterao recente no importa se foi grande ou
pequena?
Todos os aplicativos de um local em particular esto tendo problemas
ou eles esto localizados em um aplicativo especfico?
Voc tem alguma documentao da rede ou mapas da topologia?

Captulo 1 Sobre o Wireshark

33

Isso apenas uma amostra das perguntas que podem ser feitas, porm
essas so as perguntas mais comuns. Em ltima instncia, queremos usar
o Wireshark para identificar e resolver problemas, contudo ele deve ser
manipulado por algum como voc, que saiba como detect-los. Descobrir,
em detalhes, a causa raiz de um problema o que podemos fazer ao usar
essa ferramenta, caso seu trabalho de detetive seja executado corretamente.
Voc vai querer capturar dados da rede, analis-los e usar modelos comuns
de rede, conhecimentos sobre protocolos e metodologias especficas para
auxiliar na anlise do problema e dos dados capturados.

1.6 Usando o Wireshark para analisar dados


O segredo para solucionar problemas de forma bem-sucedida saber como
a rede funciona em condies normais. Esse conhecimento permite que
um engenheiro de rede reconhea operaes anormais rapidamente. Ao
usar uma estratgia para solucionar problemas de rede, o problema pode
ser abordado de modo sistemtico e pode ser resolvido com o mnimo de
interferncia nos usurios. Infelizmente, muitos profissionais da rea de
redes, com anos de experincia, ainda no dominaram o conceito bsico de
solucionar problemas; alguns minutos dedicados avaliao dos sintomas
podem economizar horas perdidas atrs do problema errado.
Uma boa abordagem para a resoluo de problemas envolve os passos
a seguir:
reconhecer os sintomas e definir o problema;
isolar e compreender o problema;
identificar e testar a causa do problema;
resolver o problema;
verificar se o problema foi resolvido;
se o problema no for identificado, repetir os passos at resolv-lo
ou encontrar mais dados a serem analisados.

34

Wireshark Guia Prtico

O primeiro passo na tentativa de solucionar um problema de rede


reconhecer os sintomas. Voc pode ouvir falar do problema de vrias
maneiras: um usurio final pode ter reclamado que est tendo problemas
de desempenho ou de conectividade ou uma estao para gerenciamento
de rede pode ter informado voc a respeito do problema. Compare o
problema com a operao normal. Determine se algo foi alterado na rede
imediatamente antes de o problema ter comeado a ocorrer. Alm disso,
verifique se voc no est resolvendo algo que nunca havia funcionado
antes. Redija uma definio clara do problema.
Aps o problema ter sido confirmado e os sintomas terem sido identificados, o prximo passo consiste em isolar e compreender o problema.
Quando os sintomas ocorrerem, sua responsabilidade coletar os dados
para anlise e identificar o local em que o problema ocorre. A melhor
abordagem para reduzir o escopo do problema por meio de mtodos
que utilizem o conceito de dividir para conquistar. Procure descobrir se o
problema est relacionado com um segmento da rede ou com uma nica
estao. Determine se o problema pode estar duplicado em algum outro
ponto da rede.
O terceiro passo na resoluo do problema consiste em identificar
e testar a causa do problema. Voc pode utilizar analisadores de rede e
outras ferramentas para analisar o trfego. Aps desenvolver uma teoria
a respeito da causa do problema, voc deve test-la.
Depois que uma soluo para o problema tiver sido determinada,
preciso coloc-la em prtica. A soluo pode envolver a atualizao de
hardware ou de software. Pode exigir o aumento de segmentao da LAN
ou a atualizao de hardware para aumento de capacidade.
O ltimo passo consiste em garantir que todo o problema tenha sido
solucionado fazendo o usurio final testar a soluo. s vezes, uma correo de um problema pode criar um novo problema. Em outras ocasies,
o problema que voc corrigiu pode ser um sintoma de um problema subjacente mais srio. Se o problema for realmente resolvido, documente os
passos executados para solucion-lo. No entanto, se o problema persistir,
o processo de resoluo de problemas deve ser repetido a partir do incio.

Captulo 1 Sobre o Wireshark

35

Para entender a anlise de rede, muito importante aprender a teoria


por trs do funcionamento das redes. Para que uma rede funcione, os computadores nela presentes devem concordar com um conjunto de regras. Um
conjunto de regras como esse conhecido como protocolo. Um protocolo
em termos de rede bem similar a um idioma em termos humanos. Dois
computadores usando diferentes protocolos para conversar um com o outro seria como uma pessoa tentando se comunicar em japons com outra
pessoa que no entendesse esse idioma. Isso simplesmente no d certo!
H muitos protocolos atualmente no mundo das comunicaes em rede.
No incio da poca das redes, cada fornecedor de rede criava seu prprio
protocolo. Posteriormente, foram desenvolvidos padres para que os dispositivos provenientes de vrios fornecedores pudessem se comunicar uns
com os outros usando um protocolo comum. O protocolo mais comumente
utilizado o TCP/IP (Transmission Control Protocol/Internet Protocol,
ou Protocolo de Controle de Transmisso/Protocolo de Internet).
Discutiremos os detalhes mais especficos do TCP/IP em captulos
posteriores, quando comearmos a explorar os pacotes capturados.

Para usar o Wireshark na resoluo de problemas, voc deve capturar


dados de pontos estratgicos especficos que incluam a rea em que o
problema se encontra e deve analisar esses dados. Como exemplo, voc
pode ver detalhes especficos no resumo do Wireshark conforme mostrado
na figura 1.4. Nessa figura, voc pode ver dados especficos relacionados
ao horrio da captura. O motivo de isso ser relevante porque voc deve
capturar os dados relacionados ao momento em que o problema ocorrer
para descobrir qual o problema. Dados capturados fora desse intervalo
de tempo podem ser utilizados como base de referncia da rede e de seu
desempenho durante o uso normal, porm voc ter de esperar que o
problema tenha ocorrido nesse perodo e/ou filtrar os dados para identific-lo caso, realmente, o problema tenha ocorrido.
Na figura 1.4, podemos ver quantos pacotes foram capturados (sem
filtragem), por quanto tempo, alm de outros dados especficos comumente
utilizados para identificar a captura.

36

Wireshark Guia Prtico

Figura 1.4 Resumo de captura efetuada pelo Wireshark.

A figura 1.5 mostra outra ferramenta que pode ser utilizada no programa Wireshark. Por exemplo, suponha que voc tenha um problema
e queira a opinio do Wireshark sobre o que ele acha que poderia ser
esse problema. Voc pode perguntar ao Expert e descobrir. Embora essa
informao nem sempre seja precisa em virtude dos falsos positivos,
possvel comear a obter pistas. Dados que trafegam pela rede podem ser
identificados como problemticos, porm pode ser o modo como os dados
funcionam normalmente, portanto podem no indicar um problema nem
apontar para o problema especfico sendo informado.

Figura 1.5 Usando as guias de anlise inteligente do Wireshark.

Captulo 1 Sobre o Wireshark

37

A figura 1.6 mostra dados mais detalhados, que podem ser obtidos a
partir do Expert do Wireshark. Nesse local, podemos analisar mais pistas, porm, acima de tudo, podemos fazer exploraes mais detalhadas
partindo dessa ferramenta e retornando ao painel Summary do Wireshark
para acessar diretamente o pacote que foi sinalizado de modo a gerar uma
mensagem ou um alerta no Expert.

Figura 1.6 Visualizando problemas com o Expert do Wireshark.

Na figura 1.6, podemos observar problemas especficos que podem


estar ocorrendo no sequenciamento. Outra dica til consiste em expandir
os dados de sequncia que foram sinalizados e dar um clique duplo no
pacote sinalizado para inspecionar esse pacote em particular nos painis
Summary, Detail e Hex.
Nem sempre confie no que o Wireshark diz a voc. Falsos positivos podem
ser enganosos. Podem conduzir voc na direo errada. Entretanto uma
boa maneira de comear a usar a ferramenta para compreender melhor
sua rede, os dados que trafegam por ela e a pilha TCP/IP.

1.7 O modelo OSI


O modelo OSI (Open Systems Interconnection, ou Interconexo de
Sistemas Abertos) usado para proporcionar uma maneira metdica de
abordar o modo como os dados trafegam por redes e sistemas e como eles
funcionam com as aplicaes utilizadas nesses computadores e nessas redes. uma ferramenta til que parece ser atemporal, pois continuamente

38

Wireshark Guia Prtico

referenciada e utilizada atualmente desde sua concepo h muitos anos.


Baseada no modelo de quatro camadas do Departamento de Defesa (DoD)
na poca em que a Internet (ARPAnet) foi inicialmente concebida, ela
serve como uma maneira de ajudar no s na descrio do modo como
os dados trafegam por sistemas e redes, mas tambm uma ferramenta
excelente na resoluo de problemas.
Quando os dados chegam a seus destinos, a camada fsica da estao
receptora obtm esses dados e realiza o processo inverso (tambm conhecido como desempacotamento). A camada fsica converte os bits de volta
para frames a fim de pass-los camada de enlace de dados. A camada
de enlace de dados remove o cabealho e o trailer e passa os dados para
a camada de rede. Novamente, esse processo se repete at que os dados
cheguem at a camada de aplicao. Na figura 1.7, podemos observar as
camadas do modelo OSI.
Modelo OSI
Camada 7
Aplicao
Camada 6
Apresentao
Camada 5
Sesso
Camada 4
Transporte
Camada 3
Rede
Camada 2
Enlace de dados
Camada 1
Fsica

Figura 1.7 O modelo OSI.

As camadas do modelo OSI esto descritas a seguir:


Camada de aplicao: a camada mais alta do modelo OSI e
responsvel pelo gerenciamento de comunicaes entre aplicaes
de rede. Essa camada no a aplicao propriamente dita, embora
algumas delas possam realizar funes da camada de aplicao.

Captulo 1 Sobre o Wireshark

39

Exemplos de protocolos da camada de aplicao incluem o FTP (File


Transfer Protocol, ou Protocolo de Transferncia de Arquivos), o
HTTP (HyperText Transfer Protocol, ou Protocolo de Transferncia
de Hipertexto), o SMTP (Simple Mail Transfer Protocol, ou Protocolo Simples para Transferncia de Correio) e o Telnet.
Camada de apresentao: essa camada responsvel pela apresentao, criptografia e compresso dos dados.
Camada de sesso: a camada de sesso responsvel pela criao e pelo
gerenciamento de sesses entre sistemas finais. O protocolo da camada
de sesso geralmente no usado em diversos protocolos. Exemplos de
protocolos da camada de sesso incluem o NetBIOS e o RPC (Remote
Procedure Call, ou Chamada de Procedimento Remoto).
Camada de transporte: essa camada responsvel pela comunicao entre programas ou processos. Nmeros de porta ou de sockets
so usados para identificar unicamente esses processos. Exemplos
de protocolos da camada de transporte incluem TCP, UDP (User
Datagram Protocol) e SPX.
Camada de rede: essa camada responsvel pelo endereamento e
pela entrega de pacotes do n de origem ao n de destino. A camada
de rede recebe dados da camada de transporte e os encapsula em
um pacote ou datagrama. Endereos lgicos de rede geralmente so
atribudos aos ns nessa camada. Exemplos de protocolos da camada
de rede incluem IP e IPX.
Camada de enlace de dados: essa camada responsvel pela entrega de frames entre as NICs no mesmo segmento fsico. Ela est
subdividida na camada MAC (Media Access Control, ou Controle
de Acesso ao Meio) e na camada LLC (Logical Link Control, ou
Controle de Enlace Lgico). A comunicao na camada de enlace de
dados geralmente baseada em endereos de hardware. A camada
de enlace de dados encapsula dados da camada de rede em um frame. Exemplos de protocolos da camada de enlace de dados incluem
Ethernet, o token ring, atualmente quase extinto, e o protocolo PPP
(point-to-point, ou ponto a ponto). Dispositivos que operam nessa
camada incluem bridges e switches.

40

Wireshark Guia Prtico

Camada fsica: essa camada define conectores, fiaes e as especificaes de como a voltagem e os bits passam por meios ligados por
fios (ou sem fios). Os dispositivos dessa camada incluem repetidores,
concentradores e hubs. Os dispositivos que operam na camada fsica
no tm conhecimento sobre caminhos.
Ao usar o Wireshark, voc deve considerar as metodologias usadas na
resoluo de problemas, bem como o modo como os dados funcionam
nas redes e nos sistemas. Saber como disparar e executar a ferramenta
no suficiente! preciso saber especificamente o local em que ela deve
ser colocada, quando deve ser executada e o que voc ir capturar. Ento
voc ter de fazer anlises, as quais testaro seu conhecimento sobre redes,
computadores, aplicativos e sistemas.

1.8 Resumo
Neste captulo, aprendemos sobre a captura e a anlise de protocolos, os
fundamentos sobre o Wireshark, bem como o bsico sobre como resolver problemas com ele. No prximo captulo, aprenderemos a instalar e
configurar o Wireshark para que possamos comear a us-lo e a trabalhar
com ele.

Você também pode gostar