7.2.4.3 Lab - Using Wireshark To Examine FTP and TFTP Captures

Laboratório - Uso do Wireshark para examinar as capturas FTP
e TFTP
Topologia – Parte 1 (FTP)
A parte 1 destacará uma captura TCP de uma sessão FTP. Essa topologia consiste em um PC com acesso
à Internet.
Topologia – Parte 2 (TFTP)

A parte 2 destacará uma captura UDP de uma sessão TFTP. O PC deve ter uma conexão Ethernet e uma
conexão de console para o Switch S1.
Tabela de Endereçamento (parte 2)
Máscara de
Dispositivo Interface Endereço IP Sub-Rede Gateway Padrão
S1 VLAN 1 192.168.1.1 255.255.255.0 ND

PC-A NIC 192.168.1.3 255.255.255.0 192.168.1.1
Objetivos
Parte 1: Identificar os campos do cabeçalho TCP e a operação usando uma captura de sessão FTP do
Wireshark
Parte 2: Identificar os campos do cabeçalho UDP e a operação usando uma captura de sessão TFTP
do Wireshark
© 2014 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco. Página 1 de 14
Laboratório - Uso do Wireshark para Examinar as Capturas FTP e TFTP
Histórico/cenário
Os dois protocolos na camada de transporte TCP/IP são TCP, definido no RFC 761, e UDP, definido em
RFC 768. Ambos os protocolos suportam a comunicação de protocolo de camada superior. Por exemplo,
o TCP é usado para fornecer suporte de camada de transporte para os protocolos HTTP e FTP, entre outros.
O UDP fornece suporte de camada de transporte para o Sistema de Nome de Domínio (DNS) e TFTP, entre
outros.
Observação: entender as partes dos cabeçalhos e a operação do TCP e UDP é uma habilidade crucial para
engenheiros de rede.
Na parte 1 deste laboratório, você usará a ferramenta de código aberto do Wireshark para capturar e analisar
os campos do cabeçalho do protocolo TCP para transferências de arquivos FTP entre o computador host
e um servidor FTP anônimo. O utilitário da linha de comando do Windows é usado para se conectar a um
servidor FTP anônimo e baixar um arquivo. Na parte 2 deste laboratório, você usará o Wireshark para
capturar e analisar os campos do cabeçalho do protocolo UDP para transferências de arquivos TFTP entre
o computador host e um Switch S1.
Observação: O switch usado é o Cisco Catalyst 2960s com a versão 15.0(2) do IOS Cisco (imagem
lanbasek9). Outros switches e versões do IOS Cisco podem ser usados. Dependendo do modelo e da versão
do IOS Cisco, os comandos e a saída disponíveis produzidos podem diferir do que é exibido nos laboratórios.
Observação: certifique-se de que o switch tenha sido apagado e não haja qualquer configuração inicial. Se
estiver em dúvida, entre em contato com seu instrutor.
Observação: a parte 1 supõe que o PC tenha acesso à Internet e não possa ser executado com Netlab.
A parte 2 é compatível com Netlab.
Recursos necessários – Parte 1 (FTP)

1 PC (Windows 7, Vista ou XP com acesso ao prompt de comando, acesso à Internet e o Wireshark
instalado)
Recursos necessários – Parte 2 (TFTP)

• 1 Switch (Cisco 2960 com imagem de lanbasek9 versão 15.0(2) do IOS Cisco ou semelhante)
• 1 PC (Windows 7, Vista ou XP com o Wireshark e um servidor TFTP, como tftpd32 instalado)
• Cabo de console para configurar os dispositivos IOS Cisco através da porta de console
• Cabo ethernet como mostrado na topologia
Parte 1: Identificar os campos do cabeçalho TCP e a operação usando uma

captura de sessão FTP do Wireshark.
Na parte 1, use o Wireshark para capturar uma sessão FTP e inspecionar campos do cabeçalho TCP.
Etapa 1: Inicie uma captura do Wireshark.

a. Feche todo o tráfego de rede desnecessário, como por exemplo, o navegador, para limitar a quantidade
de tráfego durante a captura do Wireshark.
b. Inicie a captura do Wireshark.
Etapa 2: Baixe o arquivo Readme (Leiame).

a. No prompt de comando, insira ftp ftp.cdc.gov.
b. Efetue login no site FTP para os Centros de controle e prevenção de doenças (CDC) com o usuário
anônimo e nenhuma senha.
c. Localize e baixe o arquivo Leiame.
Etapa 3: Pare a captura do Wireshark.
Etapa 4: Exiba a janela principal do Wireshark.

O Wireshark capturou muitos pacotes durante a sessão FTP para ftp.cdc.gov. Para limitar a quantidade de
dados para análise, digite tcp and ip.addr == 198.246.112.54 na área Filter: entry (Filtro:entrada) e clique
em Apply (Aplicar). O endereço IP, 198.246.112.54, é o endereço de ftp.cdc.gov.
Etapa 5: Analisar os campos TCP.

Depois do filtro TCP ter sido aplicado, os primeiros três quadros no painel de lista de pacotes (seção
superior) exibem o protocolo TCP de camada de transporte que cria uma sessão segura. A sequência [SYN],
[SYN, ACK], e [ACK] ilustra o handshake triplo.
O TCP é comumente usado durante uma sessão para controlar a entrega de datagrama, verificar a chegada de
datagrama e gerenciar o tamanho da janela. Em cada troca de dados entre o cliente FTP e o servidor FTP,
uma nova sessão TCP é iniciada. Com a conclusão da transferência de dados, a sessão TCP é fechada. Por
fim, quando a sessão FTP é finalizada, o TCP desempenha ordenadamente um desligamento e término.
No Wireshark, as informações detalhadas do TCP estão disponíveis no painel de detalhes do pacote (seção
média). Destaque o primeiro datagrama TCP do computador de host e expanda o registro do TCP.
O datagrama TCP expandido é similar ao painel de detalhe de pacote mostrado abaixo.
A imagem acima é um diagrama do datagrama TCP. Uma explicação de cada campo é fornecida para
referência:
• O número da porta origem do TCP pertence ao host da sessão TCP que abriu uma conexão. O valor
é geralmente um valor aleatório acima de 1.023.
• O número da porta destino do TCP é usado para identificar o protocolo de camada superior ou
o aplicativo no site remoto. Os valores no intervalo 0-1.023 representam as “portas conhecidas” e estão
associados a serviços e aplicações populares (conforme descrito no RFC 1700, tais como Telnet, FTP,
HTTP, e assim por diante). A combinação do endereço IP origem, porta origem, endereço IP destino
e porta destino identifica de forma exclusiva a sessão para o remetente e o destinatário.
Observação: na captura do Wireshark abaixo, a porta destino é 21, que é FTP. Os servidores FTP ouvem
a porta 21 para conexões de cliente FTP.
• O Número de sequência especifica o número do último octeto em um segmento.
• O Número de confirmação especifica o próximo octeto esperado pelo destinatário.
• Os Bits de Código possuem um significado especial no gerenciamento de sessão e no tratamento de
segmentos. Entre valores interessantes estão:
- ACK (Confirmação do recebimento de um segmento).
- SYN (Sincronizar, somente estabelecido quando uma nova sessão TCP é negociada durante
o handshake triplo do TCP).
- FIN (Finalizar, solicitação para fechar a sessão TCP).
• O Tamanho da janela é o valor da janela deslizante, determina quantos octetos podem ser enviados
antes de se esperar por uma confirmação.
• O Ponteiro de Urgência só é usado com uma flag URG (Urgente) quando o remetente precisa enviar
dados urgentes ao destinatário.
• As Opções têm apenas uma opção atualmente e estão definidas como o tamanho máximo de segmento
TCP (valor opcional).
Usando a captura do Wireshark da primeira inicialização da sessão TCP (bit SYN definido para 1), preencha
as informações sobre o cabeçalho TCP:
Do PC para o servidor do CDC (somente o bit SYN é definido para 1):
Endereço IP Origem:
Endereço IP Destino:
Número da porta origem:

Número da porta destino:
Número de sequência:
Número de confirmação:
Tamanho do cabeçalho:
Tamanho da janela:
Na segunda captura filtrada do Wireshark, o servidor FTP do CDC confirma a solicitação do PC. Observe os
valores dos bits SYN e ACK.
Preencha as seguintes informações com relação à mensagem de SYN-ACK.
Endereço IP origem:
Endereço IP destino:
Tamanho da janela:
No estágio final da negociação para estabelecer comunicações, o PC envia uma mensagem de confirmação
ao servidor. Observe somente que o bit ACK é definido como 1 e o número de sequência foi incrementado
para 1.
Preencha as seguintes informações com relação à mensagem de ACK.
Endereço IP origem:
Endereço IP destino:
Tamanho da janela:
Quantos outros datagramas TCP continham um bit SYN?

_______________________________________________________________________________________
Após uma sessão TCP ser estabelecida, o tráfego de FTP pode ocorrer entre o PC e o servidor FTP. O cliente
e o servidor FTP se comunicam entre si, sem saber que o TCP possui o controle e o gerenciamento sobre
a sessão. Quando o servidor FTP envia uma resposta: 220 ao cliente FTP, a sessão TCP no cliente FTP envia
uma confirmação à sessão TCP no servidor. Essa sequência é visível na captura do Wireshark abaixo.
Com a finalização da sessão FTP, o cliente FTP envia um comando “quit” (sair). O servidor FTP confirma
o término do FTP com Response: 221 Goodbye (adeus). Neste momento, a sessão TCP do servidor FTP
envia um datagrama TCP ao cliente FTP, anunciando o término da sessão TCP. A sessão TCP do cliente
FTP confirma o recebimento do datagrama de término, então, envia seu próprio término da sessão TCP.
Quando o originador do término TCP, o servidor FTP, recebe um término duplicado, um datagrama ACK
é enviado para confirmar o término e a sessão TCP é fechada. Essa sequência é visível na captura e no
diagrama abaixo.
Ao aplicar um filtro ftp, toda a sequência do tráfego FTP pode ser examinada no Wireshark. Observe
a sequência dos eventos durante esta sessão de FTP. O nome de usuário anônimo foi usado para recuperar
o arquivo Leiame. Quando a transferência for concluída, o usuário terá concluído a sessão FTP.
Aplique o filtro TCP novamente no Wireshark para examinar o término da sessão TCP. Quatro pacotes são
transmitidos para o encerramento da sessão TCP. Como a conexão TCP é em full-duplex, cada direção deve
concluir independentemente. Examine os endereços origem e destino.
Neste exemplo, o servidor FTP não tem mais dados para enviar no fluxo; envia um segmento com
a configuração flag FIN no quadro 63. O PC envia uma ACK para confirmar o recebimento do FIN para
encerrar a sessão do servidor para o cliente no quadro 64.
No quadro 65, o PC envia um FIN para o servidor de FTP para concluir a sessão TCP. O servidor FTP
responde com um ACK para confirmar o FIN no PC no quadro 67. Agora a sessão TCP foi encerrada entre
o servidor FTP e o PC.
Parte 2: Identifique os campos do cabeçalho UDP e a operação usando

uma captura de sessão TFTP do Wireshark.
Na parte 2, use o Wireshark para capturar uma sessão TFTP e inspecionar campos do cabeçalho UDP.
Etapa 1: Configure essa topologia física e prepare-se para a captura TFTP.
a. Estabeleça um console e uma conexão Ethernet entre o PC-A e o switch S1.

b. Se já não estiver concluído, configure manualmente o endereço IP no PC para 192.168.1.3. Não
é necessário para definir o gateway padrão.
c. Configure o switch. Designe um endereço IP de 192.168.1.1 para a VLAN 1. Verifique a conectividade

com o PC efetuando ping em 192.168.1.3. Solucione o problema, conforme o necessário.
Switch> enable
Switch# conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)# host S1
S1(config)# interface vlan 1
S1(config-if)# ip address 192.168.1.1 255.255.255.0
S1(config-if)# no shut
*Mar 1 00:37:50.166: %LINK-3-UPDOWN: Interface Vlan1, changed state to up
*Mar 1 00:37:50.175: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1,
changed state to up
S1(config-if)# end
S1# ping 192.168.1.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.3, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/203/1007 ms
Etapa 2: Prepare o servidor TFTP no PC.

a. Se ainda não houver, crie uma pasta no desktop do computador chamada TFTP. Os arquivos do switch
serão copiados para este local.
b. Inicie tftpd32 no PC.
c. Clique em Procurar e altere o diretório atual para C:\Users\user1\Desktop\TFTP substituindo user1
pelo seu nome de usuário.
O servidor TFTP deve ter o seguinte aspecto:
Observe que no diretório atual, lista o usuário e a interface do servidor (PC-A) como o endereço IP de
192.168.1.3.
d. Teste a capacidade de copiar um arquivo usando TFTP no switch para o PC. Solucione o problema,
conforme o necessário.
S1# copy start tftp
Address or name of remote host []? 192.168.1.3
Destination filename [s1-confg]?
!!
1638 bytes copied in 0.026 secs (63000 bytes/sec)
Se você vir que o arquivo foi copiado (como na saída acima), estará pronto para passar para a próxima
etapa. Caso contrário, solucione os problemas. Se você receber a mensagem de erro %Error opening
tftp (Permission denied), verifique primeiro para assegurar que o firewall não esteja bloqueando
o TFTP, e que você esteja copiando para um local em que o nome de usuário tenha permissão
adequada, como o desktop.
Etapa 3: Capture uma sessão TFTP no Wireshark

a. Abra o Wireshark. No menu Edit (Editar), selecione Preferences (Preferências) e clique no sinal de
mais (+) para expandir Protocols (Protocolos). Role para baixo e selecione UDP. Clique na caixa de
seleção Validate the UDP checksum if possible (Validar o checksum UDP, se possível) e clique em
Apply (Aplicar). Em seguida, clique em OK.
b. Inicie uma captura do Wireshark.

c. Execute o comando copy start tftp no switch.
d. Pare a captura do Wireshark.
e. Defina o filtro para TFTP. A saída deve ser semelhante à saída mostrada acima. Essa transferência
TFTP é usada para analisar operações UDP de camada de transporte.
No Wireshark, as informações detalhadas do UDP estão disponíveis no painel de detalhes do pacote do
Wireshark. Destaque o primeiro datagrama UDP do host e mova o cursor do mouse para o painel de
detalhes do pacote. Pode ser necessário ajustar o painel de detalhes do pacote e expandir o registro
UDP clicando na caixa de expansão do protocolo. O datagrama UDP expandido deve ser semelhante ao
diagrama abaixo.
A figura a seguir é um diagrama de datagrama UDP. As informações de cabeçalho são escassas, em

comparação ao datagrama TCP. Assim como o TCP, cada datagrama UDP é identificado pela porta
origem UDP e pela porta destino UDP.
Usando a captura Wireshark do primeiro datagrama UDP, preencha as informações sobre o cabeçalho
UDP. O valor de checksum é um valor hexadecimal (base 16), denotado pelo código precedente 0x:
Tamanho da mensagem UDP:
Checksum UDP:
Como o UDP verifica a integridade do datagrama?

____________________________________________________________________________________
____________________________________________________________________________________
Examine o primeiro quadro retornado do servidor tftpd. Preencha as informações sobre o cabeçalho
UDP:
Tamanho da mensagem UDP:
Checksum UDP:
Note que o datagrama UDP de retorno tem uma porta origem UDP diferente, mas esta porta origem
é usada para o restante da transferência TFTP. Como não há conexão confiável, somente a porta
original de origem usada para iniciar a sessão TFTP é usada para manter a transferência TFTP.
Observe também que o checksum UDP está incorreto. Isso é causado provavelmente pelo
descarregamento de checksum UDP. Você pode saber mais sobre por que isso acontece pesquisando
por “descarregamento do checksum UDP”.
Reflexão
Este laboratório proporcionou a oportunidade de analisar operações de protocolos TCP e UDP das sessões
FTP e TFTP capturadas. Como o TCP gerencia a comunicação de forma diferente do UDP?
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
Desafio
Como nem o FTP nem o TFTP são protocolos seguros, todos os dados transferidos são enviados em texto
simples. Isso inclui quaisquer IDs de usuário, senhas ou conteúdo de arquivo de texto claro. Analisar
a sessão FTP de camada superior identificará rapidamente o ID de usuário, a senha e as senhas do arquivo
de configuração. O exame de dados TFTP da camada superior é um pouco mais complicado, mas o campo
de dados pode ser examinado e o ID de usuário de configuração e as informações de senha podem ser
extraídas.
Limpeza
A menos que seu instrutor oriente de outra forma:
1) Remova os arquivos que foram copiados para seu PC.
2) Apague as configurações no switch S1.
3) Remova o endereço IP manual do PC e restaure a conectividade com a Internet.

7.2.4.3 Lab - Using Wireshark To Examine FTP and TFTP Captures

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

7.2.4.3 Lab - Using Wireshark To Examine FTP and TFTP Captures

Enviado por

Direitos autorais:

Formatos disponíveis

Laboratório - Uso do Wireshark para examinar as capturas FTP

Topologia – Parte 2 (TFTP)

Tabela de Endereçamento (parte 2)

S1 VLAN 1 192.168.1.1 255.255.255.0 ND

Recursos necessários – Parte 1 (FTP)

Recursos necessários – Parte 2 (TFTP)

Parte 1: Identificar os campos do cabeçalho TCP e a operação usando uma

Etapa 1: Inicie uma captura do Wireshark.

Etapa 2: Baixe o arquivo Readme (Leiame).

c. Localize e baixe o arquivo Leiame.

Etapa 3: Pare a captura do Wireshark.

Etapa 4: Exiba a janela principal do Wireshark.

Etapa 5: Analisar os campos TCP.

Número da porta origem:

Preencha as seguintes informações com relação à mensagem de SYN-ACK.

Preencha as seguintes informações com relação à mensagem de ACK.

Número da porta origem:

Número da porta destino:

Quantos outros datagramas TCP continham um bit SYN?

Parte 2: Identifique os campos do cabeçalho UDP e a operação usando

Etapa 1: Configure essa topologia física e prepare-se para a captura TFTP.

a. Estabeleça um console e uma conexão Ethernet entre o PC-A e o switch S1.

c. Configure o switch. Designe um endereço IP de 192.168.1.1 para a VLAN 1. Verifique a conectividade

Etapa 2: Prepare o servidor TFTP no PC.

Etapa 3: Capture uma sessão TFTP no Wireshark

b. Inicie uma captura do Wireshark.

A figura a seguir é um diagrama de datagrama UDP. As informações de cabeçalho são escassas, em

Como o UDP verifica a integridade do datagrama?

Você também pode gostar