Laboratório – Uso do Wireshark para examinar quadros Ethernet

Topologia
Gateway
Padrão

Roteador

Objetivos
Parte 1: Examinar os campos do cabeçalho em um quadro Ethernet II
Parte 2: Usar o Wireshark para capturar e analisar quadros Ethernet

Histórico/cenário
Quando os protocolos da camada superior se comunicam uns com os outros, os dados fluem para as
camadas da Interconexão de Sistemas Abertos (OSI) e são encapsulados dentro de um quadro da
Camada 2. A composição do quadro depende do tipo de acesso do meio físico. Por exemplo, se o protocolo
de camada superior é o TCP e IP, e o acesso ao meio Ethernet, o encapsulamento do quadro da Camada 2
será Ethernet II. Isso é comum em um ambiente LAN.
No estudo dos conceitos da Camada 2, deve-se analisar a informação do cabeçalho do quadro. Na primeira
parte deste laboratório, você analisará os campos contidos em um quadro Ethernet II. Na parte 2, você usará
o Wireshark para capturar e analisar os campos do cabeçalho do quadro Ethernet II para o tráfego local
e remoto.

Recursos necessários
 1 PC (Windows 7, Vista ou XP com acesso à Internet com o Wireshark instalado)

Parte 1: Examine os campos do cabeçalho em um quadro Ethernet II

Na parte 1, você examinará os campos e o conteúdo do cabeçalho de um quadro Ethernet II. Uma captura
do Wireshark será usada para examinar o conteúdo nesses campos.

Etapa 1: Analise as descrições e os comprimentos do campo do cabeçalho Ethernet II.

Endereço Endereço Tipo

Preâmbulo Destino Origem de quadro Dados FCS

8 bytes 6 Bytes 6 Bytes 2 Bytes 46 – 1500 bytes 4 Bytes

Etapa 2: Examine a configuração de rede do PC.

Esse endereço IP do host do PC é 10.20.164.22 e o gateway padrão tem um endereço IP de 10.20.164.17.

© 2014 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco. Página 1 de 7
Laboratório – Uso do Wireshark para Examinar Quadros Ethernet

Etapa 3: Examine os quadros Ethernet em uma captura do Wireshark.

A captura do Wireshark abaixo mostra os pacotes gerados por um ping sendo enviados de um host do PC ao
gateway padrão. Um filtro foi aplicado ao Wireshark para visualizar somente os protocolos ARP e ICMP.
A sessão começa com uma consulta ARP para o endereço MAC do roteador do gateway, seguido por quatro
solicitações e respostas de ping.

Etapa 4: Examine o conteúdo do cabeçalho Ethernet II de uma solicitação ARP.

A tabela a seguir usa o primeiro quadro na captura do Wireshark e exibe os dados nos campos do cabeçalho
Ethernet II.

© 2014 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco. Página 2 de 7
Laboratório – Uso do Wireshark para Examinar Quadros Ethernet

Campo Valor Descrição

Preâmbulo Não exibido na Este campo contém bits sincronizados, processados pelo
captura hardware da NIC.
Endereço de Destino Broadcast Endereços da camada 2 para o quadro. Cada endereço tem
(ff:ff:ff:ff:ff:ff) 48 bits de comprimento, ou 6 octetos, expressos como 12
dígitos hexadecimais, 0-9,A-F.
Endereço de Origem Dell_24:2a:60
Um formato comum é 12:34:56:78:9A:BC.
(5c:26:0a:24:2a:60)
Os primeiros seis números hexadecimais indicam o fabricante
da placa de rede (NIC), os últimos seis números
hexadecimais são o número de série da placa de rede.
O endereço destino pode ser um broadcast, que contém
todos os valores 1, ou um unicast. O endereço origem
é sempre unicast.
Tipo de Quadro 0x0806 Nos quadros Ethernet II, este campo contém um valor
hexadecimal que é usado para indicar o tipo de protocolo de
camada superior no campo de dados. Há muitos protocolos
de camada superior suportados pela Ethernet II. Dois tipos de
quadro comum são:
Valor Descrição
0x0800 Protocolo IPv4
0x0806 Protocolo de Resolução de Endereços (ARP)
Dados ARP Contém o protocolo de nível superior encapsulado. O campo
de dados é entre 46 – 1.500 bytes.
FCS Não exibido na Sequência de Verificação do Quadro , usado pela NIC para
captura identificar erros durante a transmissão. O valor é computado
pela máquina emissora, incluindo endereços do quadro, tipo
e campo de dados. Isso é verificado pelo receptor.

Qual é a importância do conteúdo do campo de endereço destino?

_______________________________________________________________________________________
_______________________________________________________________________________________
Todos os hosts na LAN receberão esse quadro de broadcast. O host com o endereço IP de 10.20.164.17
(gateway padrão) enviará uma resposta unicast para a origem (host do PC). Essa resposta contém
o endereço MAC da placa de rede do gateway padrão.
Por que o PC envia um broadcast ARP antes de enviar a primeira solicitação de ping?
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
Antes de o PC poder enviar uma solicitação de ping a um host, precisa determinar o endereço MAC destino
antes de poder criar o cabeçalho do quadro para a solicitação de ping. O broadcast ARP é usado para
solicitar o endereço MAC do host com o endereço IP contido no ARP.
Qual é o endereço MAC da origem no primeiro quadro? _______________________ 5c:26:0a:24:2a:60
Qual é o ID do fornecedor (OUI) da placa de rede da origem? __________________________ Dell
Que parte do endereço MAC é o OUI?

© 2014 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco. Página 3 de 7
Laboratório – Uso do Wireshark para Examinar Quadros Ethernet

_______________________________________________________________________________________
Os primeiros 3 octetos do endereço MAC indicam o OUI.
Qual é o número de série da placa de rede da origem? _________________________________ 24:2a:60

Parte 2: Use o Wireshark para capturar e analisar quadros Ethernet

Na parte 2, você usará o Wireshark para capturar quadros ethernet locais e remotos. Você examinará as
informações contidas nos campos do cabeçalho do quadro.

Etapa 1: Determine o endereço IP do gateway padrão em seu PC.

Abra uma janela do prompt de comando e emita o comando ipconfig.
Qual é o endereço IP do gateway padrão do PC? ________________________ As respostas irão variar

Etapa 2: Inicie a captura do tráfego na placa de rede de seu PC.

a. Abra o Wireshark.
b. Na barra de ferramentas do analisador de rede do Wireshark, clique no ícone Interface List (Lista de
interface).

c. Na janela Wireshark: Capturar interfaces, selecione a interface para iniciar a captura de tráfego clicando
na caixa de seleção apropriada e clique em Start (Iniciar). Se você não tiver certeza de que interface
verificar, clique em Details (Detalhes) para obter mais informações sobre cada interface listada.

d. Observe o tráfego que aparece na janela Packet List (Lista de pacotes).

© 2014 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco. Página 4 de 7
Laboratório – Uso do Wireshark para Examinar Quadros Ethernet

Etapa 3: Filtre o Wireshark para exibir apenas o tráfego do ICMP.

Você pode usar o filtro no Wireshark para bloquear a visibilidade do tráfego indesejado. O filtro não bloqueia
a captura de dados indesejados; filtra apenas o que é exibido na tela. Por enquanto, somente o tráfego do
ICMP deve ser exibido.
Na caixa Filtro do Wireshark, digite icmp. A caixa deve ficar verde se você digitou corretamente o filtro. Se
a caixa estiver verde, clique em Apply (Aplicar) para aplicar o filtro.

Etapa 4: Na janela do prompt de comando, efetue ping no gateway padrão do PC.

Da janela de comando, efetue ping no gateway padrão usando o endereço IP registrado na etapa 1.

Etapa 5: Interrompa a captura do tráfego na placa de rede.

Clique no ícone Stop Capture (Parar captura) para interromper a captura de tráfego.

Etapa 6: Examine a primeira solicitação (ping) de eco no Wireshark.

A janela principal do Wireshark é dividida em três seções: o painel Packet List (Lista de pacotes) (principal),
o painel Packet Details (Detalhes do pacote) (meio) e o painel Packet Bytes (Bytes de pacotes) (inferior). Se
você selecionou a interface correta para o pacote que captura na etapa 3, o Wireshark deve exibir as
informações do ICMP no painel da Packet List (Lista de pacotes) do Wireshark, similar ao exemplo a seguir.

© 2014 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco. Página 5 de 7
Laboratório – Uso do Wireshark para Examinar Quadros Ethernet

a. No painel Lista de pacotes (seção superior), clique no primeiro quadro listado. Você deve ver Echo
(ping) request no cabeçalho Info (Informações). Isso deve realçar a linha azul.
b. Examine a primeira linha no painel Packet Details (Detalhes do pacote) (seção do meio). Esta linha
apresenta o comprimento do quadro; 74 bytes neste exemplo.
c. A segunda linha no painel Packet Details (Detalhes do pacote) mostra que é um quadro Ethernet II. Os
endereços MAC origem e destino também são exibidos.
Qual é o endereço MAC da placa de rede do PC? ___________________ 5c:26:0a:24:2a:60 no exemplo
Qual é o endereço MAC do gateway padrão? ______________________ 30:f7:0d:7a:ec:84 no exemplo
d. Você pode clicar no sinal de mais (+) no início da segunda linha para obter mais informações sobre o
quadro Ethernet II. Observe que o sinal de mais muda para o sinal de menos (-).
Que tipo de quadro é exibido? _______________________________ 0x0800 ou um tipo de quadro IPv4.
e. As duas últimas linhas exibidas na seção média fornecem informações sobre o campo de dados do
quadro. Observe que os dados contêm informações do endereço IPv4 de origem e de destino.
Qual é o endereço IP origem? _________________________________ 10.20.164.22 no exemplo
Qual é o endereço IP destino? ______________________________ 10.20.164.17 no exemplo
f. Você pode clicar em qualquer linha na seção média para destacar que parte do quadro (hex e ASCII) no
painel de Bytes de pacotes (seção inferior). Clique na linha do Internet Control Message Protocol
(Protocolo ICMP) na seção média e examine o que está realçado no painel de Bytes de pacotes.

O que os dois últimos octetos destacados dizem? ______ oi

g. Clique no próximo quadro na seção da parte superior e examine um quadro de Resposta de eco.
Observe que os endereços MAC origem e destino inverteram, pois esse quadro foi enviado do roteador
do gateway padrão como uma resposta ao primeiro ping.
Que dispositivo e endereço MAC são exibidos como o endereço destino?
___________________________________________ O PC do host, 5c:26:0a:24:2a:60 no exemplo.

Etapa 7: Reinicie a captura de pacote no Wireshark.

Clique no ícone Start Capture (Iniciar captura) para iniciar uma nova captura do Wireshark. Você receberá
uma janela popup perguntando se você deseja salvar os pacotes capturados anteriormente em um arquivo
antes de iniciar uma nova captura. Clique em Continue without Saving (Continuar sem salvar).

© 2014 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco. Página 6 de 7
Laboratório – Uso do Wireshark para Examinar Quadros Ethernet

Etapa 8: Na janela do prompt de comando, execute ping em www.cisco.com.

Etapa 9: Pare a captura de pacotes.

Etapa 10: Examine os novos dados no painel de lista de pacotes do Wireshark.

No primeiro quadro de echo request (ping), quais são os endereços MAC origem e destino?
Origem: _________________________________ Deve ser o endereço MAC do PC.
Destino: _________________________________ Deve ser o endereço MAC do gateway padrão.
Quais são os endereços IP origem e de destino contidos no campo de dados do quadro?
Origem: _________________________________ Ainda é o endereço IP do PC.
Destino: _________________________________ É o endereço do servidor em www.cisco.com.
Compare esses endereços com os endereços que você recebeu na etapa 7. O único endereço que mudou
foi o endereço IP destino. Por que o endereço IP destino mudou e o endereço MAC destino permaneceu
o mesmo?
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
Os quadros da camada 2 nunca saem da rede local. Quando um ping for emitido a um host remoto, a origem
usará o endereço MAC do gateway padrão para o destino do quadro. O gateway padrão recebe o pacote,
retira as informações do quadro da camada 2 do pacote e, depois, cria um novo cabeçalho do quadro com
o endereço MAC do próximo salto. Esse processo continua de roteador em roteador até que o pacote
chegue ao endereço IP destino.

Reflexão
O Wireshark não exibe o campo de preâmbulo de um cabeçalho do quadro. O que o preâmbulo contém?
_______________________________________________________________________________________
_______________________________________________________________________________________
O campo de preâmbulo contém sete octetos de sequências 1010 alternadas, e um octeto que sinaliza
o início do quadro, 10101011.

© 2014 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco. Página 7 de 7