Redes de Computadores

Analisador de Protocolos
Prof. José Roberto Bezerra
jbroberto@yahoo.com.br

1
 Tópicos
● O que é um analisador de protocolos?
● Analisadores disponíveis
● Arquitetura em camadas
● Pilha de protocolos
● Wireshark

2
 O que é um Analisador de
Protocolos?

Analisadores de Protocolos (AP), também

chamados sniffers são ferramentas capazes de
monitorar o tráfego de uma rede em tempo real

3
 Analisadores de Protocolo

Possuem diferentes características e

funcionalidades, assim como diferentes formas
de apresentar as informações capturadas,
variando de acordo com o modelo do produto.

Alguns, são disponíveis em software, outros,

são fornecidos através de hardware como
equipamentos dedicados.

4
 Características Desejáveis
Captura e armazenagem de pacotes
Filtragem de pacotes a partir de determinadas regras
Composição de tráfego
Identificação dos diversos tipos de pacotes que trafegam
Contagem de pacotes
Contabilização dos pacotes que são transmitidos pela rede
Estatísticas de desempenho
Coletar informações para compor uma base de
informações estatísticas sobre o tráfego
Simulação
Criação e envio de pacotes especiais para teste de
equipamentos ou aplicações

5
 Características Desejáveis
Taxa de Colisões
Baseados em hardware ou software

6
 APs baseados em Hardware
● Custo bastante superior
● Possui um hardware dedicado
● Abrange o software
● Apresentam performance e recursos
superiores aos analisadores via software
● Apresentam-se basicamente em dois
formatos:
● Configuração completa com teclado, tela,
conexões, gabinete próprio...
● Acoplado a um notebook ou desktop
● Atualizações baseadas em firmware
●

7
8
 APs baseados em software
● Menor custo
● Facilidade de acesso
● Vários analisadores distribuídos com licenças
livres
● Adaptação rápida
● Menor quantidade de recursos
● Flexibilidade de atualização
●

9
 Soluções
● EffeTech HTTP
● Analisador de protocolos
● Remontagem de arquivos
● Apenas para Windows
● Microsoft Message Analyser
● Solução proprietária
● Uso em redes complexas, Unified
Communications e Concessionárias
● Estatísticas em tempo real (largura de banda,
padrões de uso para rede)
● Vários padrões de rede (Ethernet, FDDI, WAN)
● Apenas para Windows

10
 Soluções
● Observer
● Solução proprietária
● Uso em redes complexas, Unified
Communications e Concessionárias
● Estatísticas em tempo real (largura de banda,
padrões de uso para rede)
● Vários padrões de rede (Ethernet, FDDI, WAN)
● Apenas para Windows

11
 Soluções
Wireshark
 Analisador de Protocolos
 Centenas de protocolos disponíveis
 Captura em tempo real e interativa
 Licença GPL
 Desenvolvimento intenso
 Disponível para diversas plataformas

12
 Wireshark
● Wireshark é um software analisador de
pacotes de rede; É capaz de capturar os
pacotes da rede e exibí-los em detalhes
● Pode-se pensar no WS como um dispositivo

de medição para examinar o que acontece no

meio físico da mesma forma que um voltímetro
é usado para examinar a tensão elétrica
● A utilização de AP era bastante cara e utilizava

padrões proprietários. O uso do WS facilitou o

uso destes utilitários
● O WS equivale ao Ethereal

13
 Características
● Código fonte aberto
● Multiplataforma (Linux, Windows, OS X,

dispositivos móveis)
● Captura pacotes da própria rede sem causar

interferências
● Detalhamento de pacotes

● Importa e exporta em diversos formatos

(tcpdump (libpcap), Pcap NG, Microsoft Network

Monitor)
● Filtro de pacotes

● Busca de pacotes

● Estatísticas diversas

14
 Interface

15
 Arquitetura em Camadas
source
message M application
H
segment M
H H
t
transport
datagram M
H H
n H
t network
frame M
l n t link
physical H H H H H H
M link M
l n t l n t
physical
switch

H H H H
destination H H H
M network M
n t H H
n H
t
M link M
H
M application l n t l n t
M physical
H H
t
transport
M
H H H network
n t
M router
l n t link
16 physical
 Pilha de Protocolos Internet

Aplicação

Transporte
Rede

Link

Física

17
 Configurações Típicas

18
 Filtragem de Pacotes
 O hardware Ethernet filtra os pacotes
recebidos segundo os endereços de destino
 Unicast – pacotes endereçados a um único host
 Multicast – pacotes endereçados a vários hosts
 Broadcast – pacotes endereçados a todos os
hosts
 Em uma rede Ethernet, apenas os pacotes
direcionados ao host podem ser visualizados
com o analisador de pacotes, uma vez que
pacotes para outros hosts são filtrados pelo
adaptador de rede

19
 Modo Promíscuo
 Permite configurar o adaptador de rede para
repassar ao host não apenas os pacotes
direcionados ao host (unicast), mas todos os
pacotes que estão circulando na rede
 Assim, um host com um analisador de
pacotes poderia “escutar“ todo o tráfego que
circula pela rede a qual está conectado
 Para isso, também é necessário o uso de um
meio compartilhado

20
 Ethernet Compartilhada

21
 Redes Chaveadas
 Atualmente as redes ethernet típicas são
chaveadas, ou seja, o meio não é
compartilhado
 Os pacotes são chaveados a nível de enlace
e não há como o analisador de protocolos
escutar os pacotes, pois estes estão indo
diretamente a seus destinatários direcionados
internamente pelo switch

22
 Switched Ethernet

23
 Como utilizar um analisador de protocolos
(wireshark) em uma rede ethernet
baseada em switches?

24
 Soluções
 Realizar a captura no próprio host estudado
 Utilizar um hub auxiliar

25
 Captura no Host

 Vantagem: nenhuma configuração especial é

necessária
 Desvantagem: apenas o tráfego direcionada ao
host estudado pode ser capturado

26
 Hub Auxiliar

 Vantagem: permite visualizar uma área maior

da rede
 Desvantagem: é necessário direcionar uma
reconfiguração do cabeamento e dos
equipamentos
27
 Referências
 http://www.wireshark.org/docs
 http://wiki.wireshark.org/CaptureSetup/Ethernet

28
 FIM

29