Você está na página 1de 19

5 APLICAÇÕES PRÁTICAS DO

WIRESHARK
PARA PROBLEMAS DE
REDES E TELEFONIA IP

G II LL SS O
G ONN JJ U
U SS TT
5 Aplicações Práticas do Wireshark para Problemas de Redes e Telefonia IP por Gilson Just

SUM ÁRIO

Introdução 3

Problemas de Autenticação 5

Ligações Fantasmas 7

Problemas de QoS 9

Conflitos de Endereço IP 11

Facilite a Vida com os Filtros 15

Dica Bônus 18

Conclusão 19

Entrar no canal do Telegram www.gilsonjust.com


2
5 Aplicações Práticas do Wireshark para Problemas de Redes e Telefonia IP por Gilson Just

INTRODUÇÃO
Olá, bem-vindo(a) ao meu E-book! Deixa eu começar te fazendo 3 perguntas:

Você já sofreu com operadoras VoIP derrubando ligações e ficou


sem argumentação para provar que o problema não partiu do seu
equipamento, mas sim da operadora, e acabar de uma vez por
todas com aquele empurra-empurra que perdura por vários dias,
semanas ou até meses?

Você já ficou dependendo da análise de terceiros (fabricantes, por


exemplo) para resolver um problema e teve que esperar dias ou
mesmo semanas por um retorno, enquanto o cliente te
pressionava por uma solução?

Você gostaria de ter uma ferramenta que te ajudasse a resolver


problemas de redes/telefonia IP de forma simples, rápida, precisa
e com o nível de detalhes que você precisa para poder argumentar
com clientes, fabricantes, e operadoras?

Talvez você já saiba que o Wireshark é uma das ferramentas de


análise de tráfego de rede mais poderosas e utilizadas no
mercado. Mas você sabia que o Wireshark possui também uma
série de recursos voltados à área de telefonia IP que ajudam a
resolver diversos tipos de problemas, tais como erros de
sinalização, problemas de streaming RTP e QoS?

Hoje eu vivo exclusivamente dos meus ganhos prestando suporte


técnico e consultoria nas áreas de redes e telefonia IP, e o
Wireshark é, sem dúvida, a ferramenta mais importante no meu
dia a dia! É com ele que eu resolvo os problemas dos clientes de
forma simples e rápida, mas também com a precisão e nível de
detalhes que eu preciso para poder argumentar com os clientes,
fabricantes e operadoras.

Entrar no canal do Telegram www.gilsonjust.com


3
5 Aplicações Práticas do Wireshark para Problemas de Redes e Telefonia IP por Gilson Just

Neste E-book, eu vou compartilhar 5 DICAS RÁPIDAS E VALIOSAS sobre o


poder do Wireshark para problemas reais de redes e telefonia IP com a
intenção de:

Te ajudar a resolver os problemas de forma mais simples e rápida

Te ajudar a obter as informações necessárias para argumentar


com clientes, fabricantes e operadoras

Ampliar seu leque de ferramentas

Facilitar o seu dia a dia

Cada dica será ensinada a partir de um caso real que eu atendi em campo!

Eu tenho mais de 20 anos de experiência na área e preciso admitir que, até


onde eu sei, não existe nenhum material parecido com esse na internet…
então espero que você goste desse conteúdo!

Ah, e não para por aqui não, viu?! Se você quiser aprender mais, participe do
meu canal no Telegram! Lá eu estou sempre postando conteúdos exclusivos
e gratuitos sobre Wireshark.

CLIQUE AQUI PARA ENTRAR NO


CANAL DO TELEGRAM

Gilson Just
Eng. Especialista em Redes
Me acompanhe nas redes sociais

Entrar no canal do Telegram www.gilsonjust.com


4
5 Aplicações Práticas do Wireshark para Problemas de Redes e Telefonia IP por Gilson Just

CASO 1 PROBLEMAS DE

AUTENTICA ÇÃ O

Neste caso, vou te contar a respeito de um suporte técnico que eu prestei


para uma empresa que estava tentando registrar duas contas SIP sobre um
determinado SIP Server na internet (Operadora VoIP).

O problema era que o técnico atendendo no local que configurava o PABX


tinha conseguido registrar só uma das contas SIP desta operadora VoIP; a 2ª
conta não registrava sobre o SIP Server localizado na internet de jeito
nenhum!

Depois de várias tentativas sem sucesso reconfigurando PABX, SIP


Trunk, Roteadores e Firewalls envolvidos, a empresa entrou em
contato comigo pedindo um suporte técnico para resolver aquele
caso misterioso... a primeira pergunta que me fizeram foi: “por que
o PABX está registrando apenas uma conta VoIP”??

Após várias horas de análise, revisei a configuração do PABX e


não encontrei nada de errado... revisei as configurações de
Firewall e Roteadores, e tudo também parecia estar tudo certo...
até o momento em que coloquei uma lupa sobre o tráfego de
rede originado no PABX com o Wireshark e… BAAAM! ENCONTREI
O PROBLEMA! Dá só uma olhada na captura do Wireshark:

Entrar no canal do Telegram www.gilsonjust.com


5
5 Aplicações Práticas do Wireshark para Problemas de Redes e Telefonia IP por Gilson Just

O tempo todo o SIP Server estava nos dando a dica do problema ao retornar a
mensagem SIP “403 Forbidden”. Quando abri o conteúdo desse pacote com o
Wireshark, o problema foi escancarado: “The user in the auth header is not
the same the user-eid, the registration is rejected”.

Ou seja, havia claramente um erro de digitação no cadastro do


usuário/senha de autenticação do SIP Trunk, algo que não
conseguimos ver ao passar o olho, pois os números e letras
inseridos no cadastro do SIP Trunk no PABX eram muito
pequenos para percebermos.

Foi a primeira vez que eu vi um SIP Server dar uma dica assim, ainda mais
localizado na internet. Tal informação poderia ser usada para fins indevidos
se analisarmos do ponto de vista de segurança, mas… o que vale é a lição!

Moral da história:

DICA 1

O Wireshark permite diagnosticar problemas de sinalização


em telefonia IP (incluindo problemas de autenticação) de
forma simples e rápida!

Entrar no canal do Telegram www.gilsonjust.com


6
5 Aplicações Práticas do Wireshark para Problemas de Redes e Telefonia IP por Gilson Just

CASO 2 LIGA ÇÕ ES

FANTASMAS

Este foi um cenário onde, para reduzir custos com telefonia, o cliente
contratou uma operadora VoIP localizada na internet. Com a crise, muitos
gastos foram cortados, inclusive os custos de locação de Firewall do cliente.

O cliente acabou ficando apenas com um modem bem simples, que


infelizmente não tinha muitos recursos de abertura de porta (Port
Forwarding), muito menos de restrição de acesso “pelo lado de fora” por
endereço IP de origem, por exemplo. Ou seja, as portas de sinalização SIP UDP
5060 ficaram ABERTAS para o MUNDO TODO.

Em cerca de poucos minutos, o endereço IP Público do cliente foi descoberto


através de um “friendly scanner” proveniente do sistema SIPVicious, famoso
por identificar e rastrear vulnerabilidades SIP através da internet. Não
demorou muito tempo pra que o cliente fosse inundado com ligações
fantasmas vindas de DIVERSAS PARTES DO MUNDO, o que só foi possível
descobrir através do recurso de GeoIP do Wireshark!

Dá só uma olhada na captura abaixo:

Entrar no canal do Telegram www.gilsonjust.com


7
5 Aplicações Práticas do Wireshark para Problemas de Redes e Telefonia IP por Gilson Just

Para piorar, a operadora obriga nosso equipamento PABX a trabalhar na


porta UDP 5060 (do lado de fora - WAN), o que tornava o cenário ainda mais
vulnerável... e se você acha que não tem como ficar pior, espera só! Essa
operadora VoIP ainda opera sem registro/autenticação SIP, por simples
apontamento IP:Porta via UDP. Sim, acredite!

O cliente inicialmente quis brigar com a operadora, que


imediatamente questionou: “Por que você não libera o tráfego
sobre a porta UDP 5060 do modem (escancaradamente aberta
na interface pública do modem/roteador) só para o endereço IP
do meu SIP Server?”. O cliente se viu obrigado a responder: “Por
que o nosso modem é simples e não tem esse recurso...".
Confesso que tive que concordar com a operadora nesse ponto…

Depois disso, o cliente adquiriu um Firewall e protegeu a porta UDP 5060


aberta na WAN apenas para o endereço IP da operadora VoIP na internet. A
mesma encerrou o chamado aberto e tudo foi resolvido! Moral da história:

DICA 2

O Wireshark permite identificar a origem (Cidade/País) de


ataques ao PABX IP. Isso é extremamente útil para laudos
técnicos de segurança, por exemplo.

Entrar no canal do Telegram www.gilsonjust.com


8
5 Aplicações Práticas do Wireshark para Problemas de Redes e Telefonia IP por Gilson Just

CASO 3 PROBLEMAS DE

QoS

Veja que interessante esse caso! Tudo aconteceu durante um atendimento


técnico num cliente onde fiz uma captura Wireshark de uma chamada
telefônica entre dois ramais, sendo um ramal remoto (172.31.3.107) e outro
ramal local (195.1.209.20). Sim, isso é um endereço IP local dentro de uma
rede interna, o cliente está ciente disso!

Eu estava usando o Wireshark no Profile Default para investigar


um outro problema naquele cenário, e até então não tinha notado
nada com relação à marcação QoS do tráfego de rede. Até que eu
decidi abrir aquela mesma captura com o meu Profile do
Wireshark exclusivo para a análise de tráfego RTP, e... BAAAAM!
Ficou evidente que aquele ambiente de rede tinha também um
grave problema de falta de marcação QoS entre os equipamentos
VoIP.

Deixa eu te mostrar a captura e como eu cheguei nessa conclusão.

Entrar no canal do Telegram www.gilsonjust.com


9
5 Aplicações Práticas do Wireshark para Problemas de Redes e Telefonia IP por Gilson Just

Ali onde destaquei com o número “1”, eu notei uma diferenciação


na classe QoS entre o que cada aparelho IP enviava nessa
comunicação bidirecional do streaming RTP. Perceba que o IP
195.1.209.20 está marcando o tráfego RTP (G.711A) com classe
QoS CS0, ou seja, sem priorização alguma para os roteadores. Já
no sentido reverso, o IP 172.31.3.107 está enviando tráfego RTP
também com CODEC G.711A, mas com marcação QoS EF
(Expedited Forward), cujo valor decimal é 46 (veja no pacote com
o número “2”). Ou seja, apenas um dos sentidos do streaming
RTP estava sendo priorizado na rede com marcação QoS.

Sim, eu até poderia ter visto isso com o Wireshark no Profile


Default, mas teria sido BEM mais complicado (e improvável)! Eu
teria que ir diretamente no Header Layer 3 (Internet Protocol)
para buscar manualmente pela marcação QoS. Já ao analisar
com o Profile do Wireshark exclusivo para RTP, o problema
ficou evidente, quase que sem esforço! Isso porque, como você
viu na figura, o Profile mostra todo o tráfego RTP de forma
explícita direto na tela de captura, eliminando a necessidade de
abrir pacote por pacote e analisar cada campo individualmente.

Olha, vou te confessar que, nesses mais de 20 anos de atuação, eu já vi


problemas como esse nos mais diversos tipos de clientes, e ainda continuo
vendo! Cenários de pequeno porte e até mesmo de grande porte,
independentemente de fabricante, mantenedor, equipe de TI ou mesmo
operadora VoIP. Muitos cometem o mesmo erro! E problemas como esse
passam facilmente batido se não usamos a ferramenta de análise correta!

Moral da história:

DICA 3

O uso de Profiles no Wireshark facilita a análise de tráfego


RTP entre endpoints VoIP. Isso ajuda a identificar
problemas que não são tão evidentes, tais como de QoS.

Entrar no canal do Telegram www.gilsonjust.com


10
5 Aplicações Práticas do Wireshark para Problemas de Redes e Telefonia IP por Gilson Just

CASO 4 CONFLITO DE

ENDERE Ç OS IP

Aqui eu vou aproveitar o mesmo cenário do caso anterior para te mostrar um


segundo problema bem interessante. Continue comigo!

Só pra relembrar o cenário: temos um endpoint SIP Panasonic (195.1.209.20)


trocando pacotes RTP com outro endpoint SIP (172.31.3.107). Dá só uma
olhada na captura que eu fiz com o meu Wireshark:

Antes de continuarmos a análise, deixa eu fazer um comentário:


estiloso o meu Wireshark em Dark Mode, né? Se quiser aprender
a deixar seu Wireshark em modo escuro igual ao meu, clique aqui
e entre no meu canal do Telegram que lá eu ensino essa e muitas
outras dicas bem legais gratuitamente!

Voltando à análise: perceba que, no item “1” da captura, tudo está


lindo! Pacotes fluindo pra lá e pra cá, ou seja, áudio bidirecional
funcionando normalmente. Ambas as partes estavam se
escutando muito bem, ATÉ QUE… o lado da Panasonic
(195.1.209.20) começa a falar “Heeeeiinnn? Não te ouço!!! O que
você está falando? Repete, não estou te ouvindoooo”.

Entrar no canal do Telegram www.gilsonjust.com


11
5 Aplicações Práticas do Wireshark para Problemas de Redes e Telefonia IP por Gilson Just

O motivo? Dá uma olhada no item “3” da captura. Veja que temos tráfego
apenas no sentido 195.1.209.20 (Panasonic) -> 172.31.3.107. Ou seja, o tráfego
no sentido contrário (do outro endpoint até o SIP Panasonic) não está mais
chegando até o meu endpoint Panasonic, por isso que o usuário da Panasonic
não estava mais escutando o que o outro usuário falava.

Mas… o que estava causando aquilo??

Veja mais uma vez o poder do Wireshark! Note que, no item “2” da
captura, temos um evento de broadcast ARP, onde um host na
rede inicia uma requisição para conversar com o endereço IP do
Firewall (195.1.209.1). O autor deste broadcast ARP se anuncia na
rede com o mesmo endereço IP da Panasonic (195.1.209.20),
GERANDO ASSIM UM CONFLITO DE ENDEREÇO IP NA REDE!

Nesse exato momento, o Firewall que está roteando a chamada


VoIP pensa: “Uhmmm... acho que devo enviar esse RTP que está
passando por mim para o novo endereço IP chamado
195.1.209.20 a partir de agora”. Nisso a Panasonic deixa de
receber os pacotes vindo do outro endpoint (172.31.1.107), pois o
Firewall passou a entregá-los para esse novo endpoint Ubiquiti
denominado claramente pelos 3 primeiros bytes de seu endereço
MAC (veja o pacote em destaque em Packet details na captura).

Este era um problema intermitente, ou seja, era difícil de simular


pois tínhamos que identificar o problema enquanto ele ocorria.
Felizmente identificamos o problema no exato momento em que
realizou-se uma chamada de testes, e através de um
espelhamento de porta no switch, pudemos coletar o tráfego
proveniente e destinado a Panasonic. Ao percebemos o problema,
a busca se iniciou através da análise do tráfego RTP bidirecional,
até o momento em que ele se tornou unidirecional.

Entrar no canal do Telegram www.gilsonjust.com


12
5 Aplicações Práticas do Wireshark para Problemas de Redes e Telefonia IP por Gilson Just

Agora, olha só que legal essa função do Wireshark: além dos pacotes,
podemos analisar também o sinal de voz das chamadas! Dá uma olhada
nessa imagem gerada pelo trace do Wireshark. A linha vermelha mostra o
momento em que o problema na chamada ocorre: o tráfego vindo do
endpoint 172.31.3.107 não chega mais na Panasonic, pois é redirecionado para
o tal do Ubiquiti.

Enfim... mostrei o problema para a equipe de TI e eles perceberam que


haviam instalado um Access-Point (Ubiquiti) na rede com o mesmo endereço
IP da Panasonic... aí foi só trocar o endereço IP deste engraçadinho que o
problema foi resolvido!

E, para concluir o caso, dê uma olhada na


imagem ao lado (também gerada pelo
trace do Wireshark). É possível ver o exato
momento em que o problema ocorreu:
14:12:50.400. Aí eu só precisei localizar este
horário no trace e… BAM! Lá estava o
pacote ARP do mau!

Entrar no canal do Telegram www.gilsonjust.com


13
5 Aplicações Práticas do Wireshark para Problemas de Redes e Telefonia IP por Gilson Just

Moral da história:

DICA 4

As capturas do Wireshark permitem analisar chamadas de


voz sobre IP de forma visual, didática e detalhada, ajudando
assim a identificar diversos tipos de problemas, até mesmo
conflitos de endereços IP na rede.

Entrar no canal do Telegram www.gilsonjust.com


14
5 Aplicações Práticas do Wireshark para Problemas de Redes e Telefonia IP por Gilson Just

CASO 5 FACILITE A VIDA

C/ OS FILTROS!

E pra encerrar com chave de ouro, quero bater um papo com você sobre os
filtros do Wireshark.

Você sabia que dá para criar filtros como botões personalizados de atalho no
Wireshark que facilitam ABSURDAMENTE o nosso dia a dia? Ou seja, chega de
ficar digitando as informações que você quer localizar dentro de capturas!
Não é muito inconveniente e cansativo ficar digitando “sip”, “sip and tcp”,
“sip.Method==INVITE”, “tcp.flags.reset==1”, ou mesmo “arp.dupplicated-ip-
detected” toda vez? Sem contar que podemos cometer erros de digitação...

É muito mais fácil, prático e seguro criar filtros no Wireshark, algo que
fazemos uma única vez e depois temos sempre à nossa disposição! Ah, você
sabia que é possível usar esses filtros de forma combinada? Sim, mais uma
conveniência!

Dá só uma olhada nos filtros que eu mais uso no meu dia a dia:

Entrar no canal do Telegram www.gilsonjust.com


15
5 Aplicações Práticas do Wireshark para Problemas de Redes e Telefonia IP por Gilson Just

Se você não sabe como fazer isso, não se preocupe que eu vou te ajudar!

Para criar um atalho através do “Quick-filter” do Wireshark, basta seguir os


passos abaixo:

A) Com a interface do Wireshark aberta, clique no botão “+” no local indicado


na figura abaixo.

B) Ao pressionar o botão “+” no passo anterior, uma barra adicional será


visualizada no Wireshark, onde você deverá cadastrar de acordo com os
campos indicados abaixo:

Item 1 (Label): Será o nome do botão que será criado para seu filtro. Digite
“TCP” para este valor.

Item 2 (Filter): Será o filtro que você utilizará vinculado a este botão. Digite
“tcp” neste campo.

Item 3 (Comment): Será o comentário que será visualizado ao posicionar o


mouse sobre o botão criado.

Em seguida, basta pressionar o botão OK, que o seu filtro já estará criado.
Veja como ficou:

Entrar no canal do Telegram www.gilsonjust.com


16
5 Aplicações Práticas do Wireshark para Problemas de Redes e Telefonia IP por Gilson Just

Pronto! Agora você pode seguir esse mesmo passo a passo para
criar botões de outros filtros que você mais usa no seu dia a dia.
Alguns exemplos são: “udp”, “arp”, “icmp”, “rtp”, “sip”, e “rtcp”.
Você vai ver que ficará muito mais fácil de trabalhar dessa
forma!

Eu estou sempre incrementando os meus filtros no Wireshark, essa


ferramenta que me ajuda todos os dias a solucionar inúmeros problemas em
redes e telefonia IP de forma simples, rápida e detalhada!

DICA 5

O Wireshark permite criar filtros para localizar


informações específicas dentro de capturas de forma muito
prática e rápida, facilitando assim o seu dia a dia!

Entrar no canal do Telegram www.gilsonjust.com


17
5 Aplicações Práticas do Wireshark para Problemas de Redes e Telefonia IP por Gilson Just

DICA INSTALANDO O

B Ô NUS WIRESHARK

Bom, depois de todas essas dicas e discussões de cenários, talvez você tenha
ficado curioso(a) para fazer uns testes com o Wireshark.

Caso você não tenha muita familiaridade com a ferramenta, eu tenho um


vídeo tutorial (bem curtinho e passo a passo) no meu canal do YouTube
ensinando como baixar, instalar, e dar os primeiros passos com o Wireshark!

Para acessar o vídeo, é só clicar na imagem abaixo:

Você também pode acessar o vídeo clicando aqui

Entrar no canal do Telegram www.gilsonjust.com


18
5 Aplicações Práticas do Wireshark para Problemas de Redes e Telefonia IP por Gilson Just

CONCLUSÃO
Se você trabalha com redes e/ou telefonia IP, você sabe que são muitas as
fontes de problema no nosso dia a dia, e que quanto mais rápido
conseguimos resolver os problemas, melhor! Melhor para o cliente e também
para nós mesmos: menos stress e mais produtividade para os dois lados!

Por isso, nesse E-book, eu compartilhei 5 DICAS RÁPIDAS E VALIOSAS de


Wireshark para te ajudar a resolver os problemas do dia a dia de um jeito
mais simples e rápido, porém com a precisão e profundidade de detalhes que
você precisa para poder argumentar com clientes, fabricantes e operadoras.

Gostou desse material?


Quer receber mais conteúdo como esse gratuitamente?

Então faça parte do meu canal no Telegram! Lá eu estou sempre


postando conteúdos exclusivos e atualizados sobre o uso do
Wireshark em ambientes de redes e telefonia IP.

CLIQUE AQUI PARA ENTRAR NO


CANAL DO TELEGRAM

Eu também vou continuar te mandando dicas e conteúdos exclusivos


no email que você cadastrou para receber esse E-book!

Gilson Just
Eng. Especialista em Redes
Me acompanhe nas redes sociais

19

Você também pode gostar