CENTRO DE EDUCAÇÃO SUPERIOR DE BRASÍLIA

INSTITUTO DE EDUCAÇÃO SUPERIOR DE BRASÍLIA

ADMINISTRAÇÃO E SEGURANÇA DE REDES

Ferramentas de Administração de Redes

Mauro César de Farias Marinho  

2008

 
1. Introdução 
O objetivo deste laboratório é configurar algumas ferramentas de
apoio ao administrador de rede na manutenção da conectividade e
segurança dos serviços de rede.
As ferramentas são ping, traceroute, netstat, wireshark, hping,
nessus, e chkRootKit.
O comando ‘ping’ utiliza o protocolo ICMP para testar se um host
ou gateway está respondendo. No Linux o parâmetro “–c int “ pode ser
útil para limitar a quantidade de requisições enviadas.
Ex.: “ping 10.10.0.35 –c 3”.
O comando traceroute traça uma rota entre o host requisitor e o
de destino. Utiliza-se do parâmetro TTL (Time To Live) para receber
sinais de cada roteador por onde o sinal passar.
Ex.: “ traceroute 10.10.0.35 ”.
O comando “netstat” lista todos os sockets abertos. Através de
parâmetros podemos limitar ou detalhar as buscas como, por exemplo,
mostra o PID do programa dono do socket com o parâmetro ‘-p’.
Ex.: “ netstat ”.
Wireshark é um aplicativo de visualização de trafego de rede.
Mais conhecido como sniffer, ele coloca a placa de rede em modo
promíscuo. Isto significa que a placa de rede não
O hping é um gerador e analisador de pacotes TCP/IP
desenvolvido por Salvatore Sanfilippo para testes de segurança e
disponibilidade de serviços de rede.
Nessus é um aplicativo de teste de segurança em Redes. Procura
por vulnerabilidades de segurança. Tem linguagem de scripts (NASL)
própria para personalização de ataques.
ChkRootKit é uma ferramenta de detecção de RootKits. Rootkits
são programas desenvolvidos para adquirir acesso completo/irrestrito a
um computador por parte do atacante.
 

 
2. Procedimentos Experimentais 
a) ping e traceroute – Utilizamos o comando ‘ping’ e ‘traceroute’ com os
parâmetros gateway padrão, servidores DNS (em etc/resolv.conf)
‘10.10.0.35 e 10.10.0.123’ e, por fim, o IP 208.77.188.193
correspondente ao servidor HTTP do domínio iana.org.
b) neststat – Executamos o comando “ netstat --inet --l -p ” no console,
como pedido no roteiro.
c) wireshark – A instalação do wireshark foi feita atravéz do comando
“apt-get install wireshark”. Então executamos o programa com o
comando “wireshark” no console do Linux. Seguindo o roteiro,
escolhemos a interface eth0 para observar o tráfego, e então
acessamos o site do iesb pelo navegador Firefox. Só então param

d) tcpdump – Iniciamos a captura de pacotes do acesso ao site do IESB

com o comando “ tcpdump –i eth0 ”, sem filtros, correspondente ao
que foi feito no wireshark.
e) hping – Não conseguimos analisar a utilidade da ferramenta pois o
host destino não respondeu a nenhuma requisição do hping.
f) nessus – Não foi possível chegar neste ponto do roteiro do
laboratório. E em casa, não existem 2 ou mais computadores com
Linux para continuar o estudo.
g) chkrootkit – A ferramenta foi instalada com o comando “apt-get install
chkrootkit ”. Para chamar o programa bastou digitar seu nome no
Shell do Linux.

3. Resultados Obtidos e Análise de Dados 
a) O comando ping confirmou a conectividade entre os hosts testados
pois todos responderam a requisição ICMP. Significa que existe uma
rota física e lógica disponível entre os hosts testados e o computador.
O Default Gateway serve para encaminhar pacotes entre hosts de
uma sub-Rede com outros hosts do lado de fora.

b) O resultado do comando “ netstat - -inet - -l -p ” está na imagem

abaixo:

 
Figura 1: resuldado do comando netstat --inet -l -p

O argumento “--inet” restringe o resultado apenas a atividades de rede.

O argumento “--l” restringe o resultado apenas a servidores. O
argumento -p inclui o PID do processo envolvido. A ferramenta serve
para visualizar os serviços de rede disponíveis no computador. Para
visualizar a tabela de roteamento basta utilizar o argumento “ -r ”.

c) Utilizando o wireshark para monitorar o tráfego durante o

carregamento da página do IESB (www.iesb.br) gerou o seguinte
resultado:

 
 Figura2: captura de pacotes com wireshark.

A partir do host 192.168.1.110 abrimos o site do IESB. Analisando os

pacotes TCP, concluímos que o endereço IP do servidor www.iesb.br é
200.252.113.11. O socket utilizado no cliente foi 192.168.1.110:38174. Os
pacotes TCP estão sendo trocados pela porta 38174 no cliente e na porta 80
do servidor. O número de sequência do segmento SYN utilizado na conexão foi
0, como mostrado na imagem acima, onde existe o identificador “ [SYN] ”, na
primeira linha verde.

d) Capturamos com o tcpdump o tráfego gerado pelo comando

“hping -S 192.168.0.100 ”. o IP é de um Host Windows de nome
‘mascote’.

 
 Figura 3: Captura de pacotes com tcpdump.

e) Nessus – Infelizmente não foi possível executar o roteiro na aula

reservada para isto, nem mesmo em casa, por falta de mais um host
Linux, no caso a máquina vizinha.

 
 f) Capturamos a tela do fim da execução do chkRootKit.

Figura 4: pesquisa por rootkits utilizando chkRootKit.

4. Conclusão 
a) Ping e Traceroute – As ferramentas citadas são muito práticas
e objetivas para se obter resposta rápida sobre a
conectividade de algum host.
b) Netstat – Ferramenta confiável porém difícil de utilizar pelos
muitos parâmetros. Uma interface gráfica poderia ajudar.
c) Wireshark – Boa ferramenta gráfica de análise de pacotes de
Rede. Permite escolha de interfaces de rede e filtro de pacotes
para facilitar análise, pois a lista de pacotes é muito grande.
d) Tcpdump – Analisador de pacotes em tempo real. Sem
interface gráfica, por isso mais rápido que o wireshark.
e) Hping – rápida ferramenta de procura por portas de
comunicação. Combinado com comandos de Shell, é uma
poderosa ferramenta para busca por vulnerabilidades. Por
exemplo, o comando abaixo lista apenas as portas abertas de
um host:
hping –S localhost –p ++0 | grep “flags=SA”
 
 f) Nessus – Ferramenta não pode ser avaliada pelo grupo.
g) Chkrootkit – Levou só dois minutos para completar a pesquisa.
Mas fez uma varredura por muitos arquivos vitais. Não
testamos a identificação de um rootkit conhecido. Outra
ferramenta que não possui interface gráfica. Útil para varrer
cada host de uma rede periodicamente.

5. Referências 
Site: http://pt.wikipedia.org/wiki/ em 25 de Abril, as 16:50.
Site: http://www.linux.com/articles/114023 em 05 de Maio, as 16:00.