Escolar Documentos
Profissional Documentos
Cultura Documentos
Capitulo PDF
Capitulo PDF
Novatec
Copyright © 2013 Elsevier Inc. All rights reserved.
No part of this publication may be reproduced or transmitted in any form or by any means, elec-
tronic or mechanical, including photocopying, recording, or any information storage and retrieval
system, without permission in writing from the publisher. Details on how to seek permission, further
information about the Publisher’s permissions policies and our arrangement with organizations such
as the Copyright Clearance Center and the Copyright Licensing Agency, can be found at our website:
www.elsevier.com/permissions.
This book and the individual contributions contained in it are protected under copyright by the
Publisher (other than as may be noted herein).
This edition of THE WIRESHARK FIELD GUIDE ANALYZING AND TROUBLESHOOTING
NETWORK TRAFFIC by Robert Shimonski is published by arrangement with ELSEVIER INC., a
Delaware corporation having its principal place of business at 360 Park Avenue South, New York, NY
10010, USA.
Nenhuma parte desta publicação pode ser reproduzida ou transmitida de qualquer forma ou por
qualquer meio, eletrônico ou mecânico, incluindo fotocópia, gravação ou qualquer armazenamento
de informação e sistema de recuperação, sem permissão por escrito da editora. Detalhes sobre como
pedir permissão, mais informações sobre as permissões de políticas da editora e o acordo com orga-
nizações como o Copyright Clearance Center e da Copyright Licensing Agency, podem ser encontra-
das no site: www.elsevier.com/permissions.
Este livro e as contribuições individuais contidas nele são protegidos pelos Copyright da Editora
(além de outros que poderão ser aqui encontrados).
Esta edição do livro THE WIRESHARK FIELD GUIDE ANALYZING AND TROUBLESHOOTING
NETWORK TRAFFIC de Robert Shimonski é publicada por acordo com a Elsevier Inc., uma corpo-
ração de Delaware estabelecida no endereço 360 Park Avenue South, New York, NY 10010, EUA.
Copyright © 2014 Novatec Editora Ltda.
Todos os direitos reservados e protegidos pela Lei 9.610 de 19/02/1998. É proibida a reprodução
desta obra, mesmo parcial, por qualquer processo, sem prévia autorização, por escrito, do autor e da
Editora.
Editor: Rubens Prates
Tradução: Lúcia Ayako Kinoshita
Revisão gramatical: Marta Almeida de Sá
Editoração eletrônica: Carolina Kuwabata
ISBN: 978-85-7522-388-8
Histórico de impressões:
Dezembro/2013 Primeira edição
1.1 Introdução
Profissionais da área de redes, operadores e engenheiros experientes em
todo o mundo utilizam o Wireshark e ferramentas semelhantes para
solucionar problemas, e abordaremos o como e o porquê disso. Nesta
seção, discutiremos brevemente a história do Wireshark, bem como o
uso da captura e análise de pacotes na área de redes. Em primeiro lugar,
é necessário compreender a história do Wireshark e da captura e análise
de pacotes para obter um entendimento sólido a respeito do propósito do
uso dessa ferramenta. Após termos apresentado a história do Wireshark,
discutiremos sobre sua versão mais recente, como obtê-la e o que é ne-
cessário preparar para fazer a instalação e a configuração do produto.
Também discutiremos os aspectos básicos relacionados à captura e análise
de pacotes para que você tenha conhecimento da finalidade para a qual a
ferramenta é naturalmente usada.
Este livro pode ser utilizado por iniciantes e por aqueles que ainda
não têm experiência com redes, porém ter um conhecimento anterior
e sólido sobre o assunto facilitará bastante a leitura, a compreensão e
a absorção das informações contidas neste livro.
23
24 Wireshark • Guia Prático
local o Wireshark deve ser colocado para capturar esses dados. Em seguida,
é necessário algum trabalho de inspeção e de análise dos dados capturados
e, no mínimo, um entendimento básico sobre como os dados funcionam
em uma rede. Também é necessário um trabalho de detetive de sua parte:
será preciso saber como relacionar esse problema de ARP (na forma de
um endereço MAC) com o cliente ofensor que está provocando o storm.
Então você deverá saber como solucionar o problema em questão. Como
podemos notar, a captura e a análise de protocolos com uma ferramenta
de análise de redes como o Wireshark somente ajudam a ter uma ideia
inicial do problema; nem sempre elas a resolvem diretamente para você.
•••
Esteja atento aos falsos positivos. O que isso quer dizer é que você
pode ver um problema quando, na realidade, não é um problema,
mas um comportamento normal. Você pode obter uma captura ou
um relatório de um analisador de rede instruindo-o a respeito da
existência de um problema quando, na verdade, isso não acontece. Usar
um analisador de rede e realizar análises são funções de uma mente
científica. Não só devemos questionar o que virmos, mas também pode
ser necessário realizar testes e análises adicionais para descobrirmos
a causa raiz de um problema. Não tire conclusões precipitadamente;
organize cientificamente os dados, analise, realize pesquisas e discuta
possibilidades com seus pares e colegas se não estiver certo a respeito
de suas descobertas.
que esse trio poderoso de grupos não só possa conduzir a análise de redes
a um novo patamar, mas também possa dar um impulso ao Wireshark
para que ele se desenvolva e se torne um aplicativo mais robusto do que
é atualmente.
Usando o tcpdump
O tcpdump (http://www.tcpdump.org/) é um analisador de captura/pacote de
protocolos usado na linha de comando. De modo muito semelhante ao
Wireshark [que utiliza uma interface gráfica de usuário (GUI)], o tcpdump
captura pacotes e mostra detalhes específicos sobre eles, os quais podem
ser utilizados para análises mais minuciosas a respeito de um problema.
Ele também funciona com a libcap e coloca a NIC em modo promíscuo
possibilitando a captura de pacotes. O tcpdump mostra detalhes na linha
de comando e pode ser personalizado por meio de opções que permitem
mostrar mais ou menos detalhes específicos. É extremamente útil quando
há necessidade de capturar dados no momento em que o problema ocorrer,
pois normalmente está sempre instalado e pronto para ser usado na
maioria dos sistemas, principalmente aqueles baseados em UNIX. Além
disso, está disponível gratuitamente com o sistema operacional que você
instalar.
A figura 1.3 mostra o uso do tcpdump em um sistema UNIX. Nesse caso,
podemos ver a conversação entre dois hosts, aquele no qual o tcpdump
está instalado (a origem) e o endereço de destino com o qual ele está se
comunicando.
Como você pode observar aqui, é bem fácil usá-lo e manipulá-lo. Você
pode obter praticamente os mesmos dados obtidos com o Wireshark ao
usar o tcpdump, porém o Wireshark fornece mais complementos, por
exemplo, uma GUI fácil de usar, uma ferramenta de análise inteligente e
ferramentas para geração de relatórios.
O tcpdump também pode ser encontrado em muitos dos firewalls
baseados em UNIX instalados hoje em dia. Os firewalls, como aqueles da
McAfee e da Juniper, possuem o tcpdump integrado em seus conjuntos de
ferramentas para que possa ser facilmente acionado a fim de solucionar
ou informar sobre um problema.
Capítulo 1 ■ Sobre o Wireshark 31
•••
Para as pessoas que utilizam sistemas baseados em Windows, é possível
fazer o download e instalar o WinDump, que é a versão Windows
para o tcpdump. Assim como o tcpdump utiliza a libcap, o WinDump
utiliza o WinPcap, da mesma forma que o Wireshark no Windows.
No Windows 7, Windows 8 e no Server 2008 SP2, o comando “netsh
trace start capture=yes” é uma boa alternativa ao tcpdump. Nenhuma
instalação é necessária para capturar pacotes.
Isso é apenas uma amostra das perguntas que podem ser feitas, porém
essas são as perguntas mais comuns. Em última instância, queremos usar
o Wireshark para identificar e resolver problemas, contudo ele deve ser
manipulado por alguém como você, que saiba como detectá-los. Descobrir,
em detalhes, a causa raiz de um problema é o que podemos fazer ao usar
essa ferramenta, caso seu trabalho de detetive seja executado corretamente.
Você vai querer capturar dados da rede, analisá-los e usar modelos comuns
de rede, conhecimentos sobre protocolos e metodologias específicas para
auxiliar na análise do problema e dos dados capturados.
A figura 1.5 mostra outra ferramenta que pode ser utilizada no pro-
grama Wireshark. Por exemplo, suponha que você tenha um problema
e queira a opinião do Wireshark sobre o que ele acha que poderia ser
esse problema. Você pode perguntar ao Expert e descobrir. Embora essa
informação nem sempre seja precisa em virtude dos falsos positivos, é
possível começar a obter pistas. Dados que trafegam pela rede podem ser
identificados como problemáticos, porém pode ser o modo como os dados
funcionam normalmente, portanto podem não indicar um problema nem
apontar para o problema específico sendo informado.
A figura 1.6 mostra dados mais detalhados, que podem ser obtidos a
partir do Expert do Wireshark. Nesse local, podemos analisar mais “pis-
tas”, porém, acima de tudo, podemos fazer explorações mais detalhadas
partindo dessa ferramenta e retornando ao painel Summary do Wireshark
para acessar diretamente o pacote que foi sinalizado de modo a gerar uma
mensagem ou um alerta no Expert.
Nem sempre confie no que o Wireshark diz a você. Falsos positivos podem
ser enganosos. Podem conduzir você na direção errada. Entretanto é uma
boa maneira de começar a usar a ferramenta para compreender melhor
sua rede, os dados que trafegam por ela e a pilha TCP/IP.
Camada 7
Aplicação
Camada 6
Apresentação
Camada 5
Sessão
Camada 4
Transporte
Camada 3
Rede
Camada 2
Enlace de dados
Camada 1
Física
1.8 Resumo
Neste capítulo, aprendemos sobre a captura e a análise de protocolos, os
fundamentos sobre o Wireshark, bem como o básico sobre como resol-
ver problemas com ele. No próximo capítulo, aprenderemos a instalar e
configurar o Wireshark para que possamos começar a usá-lo e a trabalhar
com ele.