Escolar Documentos
Profissional Documentos
Cultura Documentos
e TFTP
Topologia – Parte 1 (FTP)
A parte 1 destacará uma captura TCP de uma sessão FTP. Essa topologia consiste em um PC com acesso
à Internet.
Máscara de
Dispositivo Interface Endereço IP Sub-Rede Gateway Padrão
Objetivos
Parte 1: Identificar os campos do cabeçalho TCP e a operação usando uma captura de sessão FTP do
Wireshark
Parte 2: Identificar os campos do cabeçalho UDP e a operação usando uma captura de sessão TFTP
do Wireshark
© 2014 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco. Página 1 de 14
Laboratório - Uso do Wireshark para Examinar as Capturas FTP e TFTP
Histórico/cenário
Os dois protocolos na camada de transporte TCP/IP são TCP, definido no RFC 761, e UDP, definido em
RFC 768. Ambos os protocolos suportam a comunicação de protocolo de camada superior. Por exemplo,
o TCP é usado para fornecer suporte de camada de transporte para os protocolos HTTP e FTP, entre outros.
O UDP fornece suporte de camada de transporte para o Sistema de Nome de Domínio (DNS) e TFTP, entre
outros.
Observação: entender as partes dos cabeçalhos e a operação do TCP e UDP é uma habilidade crucial para
engenheiros de rede.
Na parte 1 deste laboratório, você usará a ferramenta de código aberto do Wireshark para capturar e analisar
os campos do cabeçalho do protocolo TCP para transferências de arquivos FTP entre o computador host
e um servidor FTP anônimo. O utilitário da linha de comando do Windows é usado para se conectar a um
servidor FTP anônimo e baixar um arquivo. Na parte 2 deste laboratório, você usará o Wireshark para
capturar e analisar os campos do cabeçalho do protocolo UDP para transferências de arquivos TFTP entre
o computador host e um Switch S1.
Observação: O switch usado é o Cisco Catalyst 2960s com a versão 15.0(2) do IOS Cisco (imagem
lanbasek9). Outros switches e versões do IOS Cisco podem ser usados. Dependendo do modelo e da versão
do IOS Cisco, os comandos e a saída disponíveis produzidos podem diferir do que é exibido nos laboratórios.
Observação: certifique-se de que o switch tenha sido apagado e não haja qualquer configuração inicial. Se
estiver em dúvida, entre em contato com seu instrutor.
Observação: a parte 1 supõe que o PC tenha acesso à Internet e não possa ser executado com Netlab.
A parte 2 é compatível com Netlab.
© 2014 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco. Página 2 de 14
Laboratório - Uso do Wireshark para Examinar as Capturas FTP e TFTP
© 2014 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco. Página 3 de 14
Laboratório - Uso do Wireshark para Examinar as Capturas FTP e TFTP
O TCP é comumente usado durante uma sessão para controlar a entrega de datagrama, verificar a chegada de
datagrama e gerenciar o tamanho da janela. Em cada troca de dados entre o cliente FTP e o servidor FTP,
uma nova sessão TCP é iniciada. Com a conclusão da transferência de dados, a sessão TCP é fechada. Por
fim, quando a sessão FTP é finalizada, o TCP desempenha ordenadamente um desligamento e término.
No Wireshark, as informações detalhadas do TCP estão disponíveis no painel de detalhes do pacote (seção
média). Destaque o primeiro datagrama TCP do computador de host e expanda o registro do TCP.
O datagrama TCP expandido é similar ao painel de detalhe de pacote mostrado abaixo.
© 2014 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco. Página 4 de 14
Laboratório - Uso do Wireshark para Examinar as Capturas FTP e TFTP
A imagem acima é um diagrama do datagrama TCP. Uma explicação de cada campo é fornecida para
referência:
• O número da porta origem do TCP pertence ao host da sessão TCP que abriu uma conexão. O valor
é geralmente um valor aleatório acima de 1.023.
• O número da porta destino do TCP é usado para identificar o protocolo de camada superior ou
o aplicativo no site remoto. Os valores no intervalo 0-1.023 representam as “portas conhecidas” e estão
associados a serviços e aplicações populares (conforme descrito no RFC 1700, tais como Telnet, FTP,
HTTP, e assim por diante). A combinação do endereço IP origem, porta origem, endereço IP destino
e porta destino identifica de forma exclusiva a sessão para o remetente e o destinatário.
Observação: na captura do Wireshark abaixo, a porta destino é 21, que é FTP. Os servidores FTP ouvem
a porta 21 para conexões de cliente FTP.
• O Número de sequência especifica o número do último octeto em um segmento.
• O Número de confirmação especifica o próximo octeto esperado pelo destinatário.
• Os Bits de Código possuem um significado especial no gerenciamento de sessão e no tratamento de
segmentos. Entre valores interessantes estão:
- ACK (Confirmação do recebimento de um segmento).
- SYN (Sincronizar, somente estabelecido quando uma nova sessão TCP é negociada durante
o handshake triplo do TCP).
- FIN (Finalizar, solicitação para fechar a sessão TCP).
• O Tamanho da janela é o valor da janela deslizante, determina quantos octetos podem ser enviados
antes de se esperar por uma confirmação.
• O Ponteiro de Urgência só é usado com uma flag URG (Urgente) quando o remetente precisa enviar
dados urgentes ao destinatário.
• As Opções têm apenas uma opção atualmente e estão definidas como o tamanho máximo de segmento
TCP (valor opcional).
Usando a captura do Wireshark da primeira inicialização da sessão TCP (bit SYN definido para 1), preencha
as informações sobre o cabeçalho TCP:
Do PC para o servidor do CDC (somente o bit SYN é definido para 1):
Endereço IP Origem:
Endereço IP Destino:
Na segunda captura filtrada do Wireshark, o servidor FTP do CDC confirma a solicitação do PC. Observe os
valores dos bits SYN e ACK.
© 2014 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco. Página 5 de 14
Laboratório - Uso do Wireshark para Examinar as Capturas FTP e TFTP
Endereço IP origem:
Endereço IP destino:
Número da porta origem:
Número da porta destino:
Número de sequência:
Número de confirmação:
Tamanho do cabeçalho:
Tamanho da janela:
No estágio final da negociação para estabelecer comunicações, o PC envia uma mensagem de confirmação
ao servidor. Observe somente que o bit ACK é definido como 1 e o número de sequência foi incrementado
para 1.
© 2014 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco. Página 6 de 14
Laboratório - Uso do Wireshark para Examinar as Capturas FTP e TFTP
Endereço IP origem:
Endereço IP destino:
Número de sequência:
Número de confirmação:
Tamanho do cabeçalho:
Tamanho da janela:
© 2014 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco. Página 7 de 14
Laboratório - Uso do Wireshark para Examinar as Capturas FTP e TFTP
Com a finalização da sessão FTP, o cliente FTP envia um comando “quit” (sair). O servidor FTP confirma
o término do FTP com Response: 221 Goodbye (adeus). Neste momento, a sessão TCP do servidor FTP
envia um datagrama TCP ao cliente FTP, anunciando o término da sessão TCP. A sessão TCP do cliente
FTP confirma o recebimento do datagrama de término, então, envia seu próprio término da sessão TCP.
Quando o originador do término TCP, o servidor FTP, recebe um término duplicado, um datagrama ACK
é enviado para confirmar o término e a sessão TCP é fechada. Essa sequência é visível na captura e no
diagrama abaixo.
Ao aplicar um filtro ftp, toda a sequência do tráfego FTP pode ser examinada no Wireshark. Observe
a sequência dos eventos durante esta sessão de FTP. O nome de usuário anônimo foi usado para recuperar
o arquivo Leiame. Quando a transferência for concluída, o usuário terá concluído a sessão FTP.
© 2014 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco. Página 8 de 14
Laboratório - Uso do Wireshark para Examinar as Capturas FTP e TFTP
Aplique o filtro TCP novamente no Wireshark para examinar o término da sessão TCP. Quatro pacotes são
transmitidos para o encerramento da sessão TCP. Como a conexão TCP é em full-duplex, cada direção deve
concluir independentemente. Examine os endereços origem e destino.
Neste exemplo, o servidor FTP não tem mais dados para enviar no fluxo; envia um segmento com
a configuração flag FIN no quadro 63. O PC envia uma ACK para confirmar o recebimento do FIN para
encerrar a sessão do servidor para o cliente no quadro 64.
No quadro 65, o PC envia um FIN para o servidor de FTP para concluir a sessão TCP. O servidor FTP
responde com um ACK para confirmar o FIN no PC no quadro 67. Agora a sessão TCP foi encerrada entre
o servidor FTP e o PC.
© 2014 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco. Página 9 de 14
Laboratório - Uso do Wireshark para Examinar as Capturas FTP e TFTP
© 2014 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco. Página 10 de 14
Laboratório - Uso do Wireshark para Examinar as Capturas FTP e TFTP
Observe que no diretório atual, lista o usuário e a interface do servidor (PC-A) como o endereço IP de
192.168.1.3.
d. Teste a capacidade de copiar um arquivo usando TFTP no switch para o PC. Solucione o problema,
conforme o necessário.
S1# copy start tftp
Address or name of remote host []? 192.168.1.3
Destination filename [s1-confg]?
!!
1638 bytes copied in 0.026 secs (63000 bytes/sec)
Se você vir que o arquivo foi copiado (como na saída acima), estará pronto para passar para a próxima
etapa. Caso contrário, solucione os problemas. Se você receber a mensagem de erro %Error opening
tftp (Permission denied), verifique primeiro para assegurar que o firewall não esteja bloqueando
o TFTP, e que você esteja copiando para um local em que o nome de usuário tenha permissão
adequada, como o desktop.
© 2014 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco. Página 11 de 14
Laboratório - Uso do Wireshark para Examinar as Capturas FTP e TFTP
e. Defina o filtro para TFTP. A saída deve ser semelhante à saída mostrada acima. Essa transferência
TFTP é usada para analisar operações UDP de camada de transporte.
No Wireshark, as informações detalhadas do UDP estão disponíveis no painel de detalhes do pacote do
Wireshark. Destaque o primeiro datagrama UDP do host e mova o cursor do mouse para o painel de
detalhes do pacote. Pode ser necessário ajustar o painel de detalhes do pacote e expandir o registro
UDP clicando na caixa de expansão do protocolo. O datagrama UDP expandido deve ser semelhante ao
diagrama abaixo.
© 2014 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco. Página 12 de 14
Laboratório - Uso do Wireshark para Examinar as Capturas FTP e TFTP
Usando a captura Wireshark do primeiro datagrama UDP, preencha as informações sobre o cabeçalho
UDP. O valor de checksum é um valor hexadecimal (base 16), denotado pelo código precedente 0x:
Endereço IP Origem:
Endereço IP Destino:
Número da porta origem:
Número da porta destino:
Tamanho da mensagem UDP:
Checksum UDP:
Note que o datagrama UDP de retorno tem uma porta origem UDP diferente, mas esta porta origem
é usada para o restante da transferência TFTP. Como não há conexão confiável, somente a porta
original de origem usada para iniciar a sessão TFTP é usada para manter a transferência TFTP.
© 2014 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco. Página 13 de 14
Laboratório - Uso do Wireshark para Examinar as Capturas FTP e TFTP
Observe também que o checksum UDP está incorreto. Isso é causado provavelmente pelo
descarregamento de checksum UDP. Você pode saber mais sobre por que isso acontece pesquisando
por “descarregamento do checksum UDP”.
Reflexão
Este laboratório proporcionou a oportunidade de analisar operações de protocolos TCP e UDP das sessões
FTP e TFTP capturadas. Como o TCP gerencia a comunicação de forma diferente do UDP?
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
Desafio
Como nem o FTP nem o TFTP são protocolos seguros, todos os dados transferidos são enviados em texto
simples. Isso inclui quaisquer IDs de usuário, senhas ou conteúdo de arquivo de texto claro. Analisar
a sessão FTP de camada superior identificará rapidamente o ID de usuário, a senha e as senhas do arquivo
de configuração. O exame de dados TFTP da camada superior é um pouco mais complicado, mas o campo
de dados pode ser examinado e o ID de usuário de configuração e as informações de senha podem ser
extraídas.
Limpeza
A menos que seu instrutor oriente de outra forma:
1) Remova os arquivos que foram copiados para seu PC.
2) Apague as configurações no switch S1.
3) Remova o endereço IP manual do PC e restaure a conectividade com a Internet.
© 2014 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco. Página 14 de 14