Você está na página 1de 5

Novidades

Fruns

Galeria

NovosPosts FAQ Calendario Comunidade

Blogs

ColunadeSegurana

FAQ

FaleConosco

OpesdosFruns

Busca

Registrese

LinksRpidos

WiresharkParte2AnalisandoaPerformancedaRedeeIdentificandoProblemas

+CriarBlog

ColunadeSegurana
WiresharkParte2AnalisandoaPerformancedaRedeeIdentificando

1c3m4n

Problemas
por1c3m4nem09012013s19:05(9772Visualizaes)

0Comentrios

Quemnuncaprecisouidentificarproblemasnaredeegastouhorasrevisandotudoque
foifeito?Asvezes,nosesquecemosdeverificarobsicoeficamoscriando
possibilidadessupercomplexas.Nessecontexto,vouutilizarumametforabemsimples
paraexemplificaraquesto:Quandoumapessoaestdoenteoqueomdicofaz?Tudo
seiniciacomumquestionrioaopaciente,certo?Pois,paraanalisararedea
mesmacoisa,aredeseriaopaciente,ensserimosomdico.Agrandepergunta
agora:Comovocperguntaalgoparaarede?Bem..nosepergunta,aomenos
diretamentensapenasescutamosotrfegoeapartirda,tentamosdiagnosticaro
problema.
Antesdecontinuarcomoartigogostariadedeixarclaroquemuitostermosutilizados
estaroemingls,poisassimquevocencontrarnamaiorpartedasdocumentaes
disponveis,esinceramente,muitasdelastraduzidasficamhorrveis(pelomenospara
mim).OWiresharkprovumagamadefuncionalidadesmuitoextensaemuitasdelas
soextremamenteteis,pormpoucoconhecidas.

IrparaPerfil
MarcarcomoLido

DatadeIngresso:
Idade:
Posts:
PostsdeBlog:

Sep2002
34
6.022
10

PostsRecentesnosBlogs
ProtegendooApachecontraataquesDoSe
Slowloris
0512201313:36

VeremosagoraoquenoWiresharkchamadodeExpertinfo.Oexpertinfona
verdade,umlogdetodasasanomaliasencontradasnotrfegocapturado,comopor
exemplo,retransmisses,pacotesmalformados,etc.Paraissodeixeipreviamenteo
Wiresharkcapturandootrfegodaminhamquinaporalgunsminutosenquanto
navegavaparaveroqueaparecia.Apsfinalizaracaptura,vocprecisaclicaem
Analyze>ExpertInfoComposite.Istoirabrirumajanelacomosdadosencontrados.

MetasploiteArmitagenoKaliLinuxHackeando
suarede
1506201318:40
NmapParte3UtilizandoScriptingparaBrute
ForceeEnumerao
2901201310:10
WiresharkParte3Recriandoarquivos
transmitidospelarede
1501201313:06
WiresharkParte2AnalisandoaPerformance
daRedeeIdentificandoProblemas
0901201319:05

ComentriosRecentes
WiresharkParte1AnlisedeTrfegoe
CapturadeSenhas
porbellonetom
ProtegendooApachecontraataquesDoSe
Slowloris
porMarcusMaciel
NmapParte3UtilizandoScriptingparaBrute
ForceeEnumerao
poraldevan
NmapParte2EvasodeFirewall/IDS
porperitinaicos

Vocpodeclicaremqualquerumdospacotesencontradosqueeleir,
automaticamente,marcarestepacotenalistadecapturacomopodeservistona
imagemabaixo:

NmapParte1EntendendoostiposdeScanning
porMagal

VisitantesRecentes
dannylo,Dimas,felipescds,filipirocha,futurasolucoes,
lets,marciok,MDdantas,taiendychyvu,timidboy

Arquivo
<

Outubro2016

25

26

27

28

29

30

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

Comisso,vocpodeanalisarmelhoropacoteetentaridentificaracausadoproblema,
masestefoiapenasumexemploparavisualizaraferramenta.Oimportanteentender
cadaumadasExpertinfoquevocpoderencontrar,paraissoveremoscadauma
delasseparadamente.Estasmensagensaparecemnalistadepacotescomacorde
NomedoUsurio
Senha
Conectar
Registrese RecuperarSenha
fundopreta.
Agora,vamosanalisarasmensagenspossveis:
ZeroWindow
EstanotificaoindicaqueopacotecontmemseucabealhooTCPwindowsizecom0
easflagsRSTouFINnoestodefinidas,oquedeveriaocorrerparaindicarofimde
umaconexo.Estaumaindicaodequeoreceivebufferestcheio,maisnenhum
dadopodeserrecebidoatquealgumespaosejaliberado.Estacondiopodecausar
umincrementonodelaydospacotes.
WindowisFull
Estanotificaoindicaqueopacoteiresgotaroespaoembuffer,disponveldolado
queestrecebendoopacote.
KeepAlive
Estanotificaoindicaqueumladodacomunicaoesttentandomanterumaconexo
TCPativa.
WindowUpdate
Estanotificaoindicaqueumanovawindowsizeestsendoanunciada.Tipicamente,
estepacotenocontmnenhumdado,utilizaosmesmosnmerosdesequnciaeack
dopacoteanteriorcomumnovovalordewindowsize.
PreviousSegmentLost(Comumnoinciodeumacaptura)
EstanotificaoindicaqueopacoteTCPanteriorestfaltando.Sevociniciaracaptura
nomeiodeumdownload,comcertezavocterestetipodenotificao.Vocnodeve
verestetipodenotificaoamenosquehajaperdadepacotesnarede,ouvoctenha
iniciadoacapturanomeiodatransmissocomoditoanteriormente.Acorreodeste
tipodeproblemaincluiACKsduplicadosearetransmissodepacotes.
Retransmissions/FastRetransmissions
Estanotificaoindicaqueopacotefoiconsideradocomoretransmitido.definidopor
umpacotequecontenhadados,tenhaalteradoseusequencenumberenasequncia,
devehaverdoisoumaisACKsduplicadosnadireooposta.EstesACKsduplicados
devemconterosequencenumberdaretransmisso.Searetransmissoocorrerdentro
de20milisegundosdesdeoltimoACKduplicado,eleserconsideradoumFast
Retransmission.SeosACKsforemperdidosnaoutradireo,oWiresharkvqueo
pacotecontmdadosutilizandoomesmosequencenumbereosmarcacomo
retransmissions.
DuplicateACKs
Estanotificaoindicaqueacomunicaoperdeuumpacoteduranteatransfernciade
dados.Estessequencenumbersdevemserincrementadospelonmerodebytesde
dadoscontidosemcadapacote.Seumpacotechegacomumsequencenumber10.000
e1460bytesdedados,oprximosequencenumberesperado11.460.Masseo
prximopacotecontmosequencenumber12.920,depois14.380,etc,enviadauma
notificaoqueopacote11.460estfaltando.IstofeitoenviandovriosACKscom
estesequencenumbernocampoAcknowledgmentNumber.
Oremetentedevereceber3ACKsidnticos(umACKnormaledoisduplicados)antesde
retransmitiropacote.UmaltonmerodeACKsduplicadospodeindicarproblemasde
latnciaeperdadepacotes.Conhecendoestesalertasjpossveldetectarouao
menosdirecionarosesforosparaidenticarmuitosdosproblemascomunsde
comunicao.
OutrafuncionalidademuitoboadoWiresharkoIOGraph.Comele,possvelver
graficamenteotrfego,ecriarfiltrosparaconseguiridentificarquemresponsvel
peloque.ParautilizarosgrficosbastaclicaremStatistics>IOGraph,eistoirabrir
umajanelaparecidacomesta:

PesquisenoUnderLinux

NomedoUsurio

Senha

Conectar

Registrese

RecuperarSenha

Comopodeservistoexistemvriaschavesquepodemseralteradas,masnestecaso,
vamosfocarapenasnosfiltros.Podemosdefinirat5filtrosdistintosnestegrfico,
cadaumcomumacordiferente.Aoutraopoobotodoladodireitoinferior,nele
possvelalteraraunidadedogrfico,parapacotesporsegundo,bytesporsegundo,
bits,etc.
Naimagemvemos2picosdetrfego,oprimeiromaioreumsegundomenor.Agora
vemaparteinteressante:sevocclicarnalinhadestepico,najanelaprincipaldo
Wiresharkaparecerqualopacoteresponsvelporaqueleponto,vejaaimagem

SevocvoltaratelaprincipaldoWireshark,vocpoderanalisarmelhorosdados
referenteaopacote.Nomeucaso,aportadeorigem80eadedestino54832,
indicandotrfegoHTTP.Agoraquerosaberexatamenteaquepartedogrficoeste
trfegopertenceparaisso,voucriarumfiltronoIOGraph.OGraph1quealinha
preta,referenteaotrfegototal,entovoucriarofiltronoGraph2,ofiltroutilizado
sertcp.port==80(casoaindanotenhavistoaParte1doartigoenoesteja
familiarizadocomosfiltroscliqueaqui).Apsdigitarofiltro,bastaclicaremcimado
botoGraph2queogrficoseratualizado,comoficadifcilvisualizaronovogrfico
poreletersidosobrepostopeloantigoeuvoudesabilitaroGraph1clicandosobreo
boto.
Oresultadofoioseguinte:

PesquisenoUnderLinux

NomedoUsurio

Senha

Conectar

Registrese

RecuperarSenha

Comisto,identificamosoresponsvelpeloprimeiropico,faltandoosegundo.Paraisso,
bastareativaroGraph1erepetiroprocessodeclicarsobrealinhaeidentificaro
pacotenatelaprincipaldoWireshark.
Nesteexemploaportaa3389,entovoucriarofiltronalinhareferenteaoGraph3
comocontedotcp.port==3389.NovamentedesabilitooGraph1,edeixoativoso
Graph2e3,oresultadoogrficocomos2picos,oprimeiroemverdeeosegundo
emvermelho.

Comopodemosvernestaltimaimagemconseguimosidentificarvisualmenteede
formasimplesosresponsveispelotrfego.Istopodeserutilizadoparaidentificar
possveisproblemasnarede,porexemplo,latncianaresposta,perdadepacotes,etc.
Nesteartigo,utilizeiotrfegoapenasdaminhamquina,entoobviamentenoprecisei
mepreocuparcomoutroshosts,masnocasodeumarederealvocpoderiacriaros
filtrosutilizandoendereosipemconjuntocomaporta,parasaberqualmquinaa
responsvelpelotrfego.
Tags:iograph,performancerede,segurana,wireshark
Categorias:NoCategorizado
EnviarPostdeBlogporEmail

NmapParte2EvasodeFirewall/IDSPrincipalWiresharkParte3Recriandoarquivos
transmitidospelarede

PesquisenoUnderLinux

NomedoUsurio
Senha
CursoSegurana

Linux

Conectar
Monitoramentocom
Cactigraficono...

Registrese RecuperarSenha
Bitrix24Nuvem
ProgramaEspio
Gratuita
invisvel

Anncio certificacaolin

underlinux.org

Anncio bitrix24.com.br

Anncio wtsoftware.co

Vrusouataquena
rede

Programapara
mapearredecabeada

Monitoramentocom
Zabbix

Grficosemtempo
realdoMikrotik

underlinux.org

underlinux.org

underlinux.org

underlinux.org

PesquisenoUnderLinux

Comentrios

+EnviarComentrio

Desktop

FaleConosco UnderLinux.Org CondiesdeUso FAQ Topo

Visite:BRLinuxVivaOLinuxDicasL

Você também pode gostar