Análise Tráfego Redes - Slides - Eriberto

Anlise de trfego em redes TCP/IP com tcpdump
Joo Eriberto Mota Filho

Foz do Iguau, PR, 16 out. 2013 Eriberto - out. 13
Sumrio
A anlise de trfego A estrutura de um protocolo O protocolo IP O protocolo TCP O protocolo UDP O protocolo ICMP O modelo OSI Tcnica de uso do tcpdump na anlise de trfego Payloads que falam... Bridges na anlise de trfego Concluso
Eriberto - out. 13
Sumrio
Eriberto - out. 13
A anlise de trfego
Auxiliar de rede diz: - Chefe, deu pane! Parou tudo! Gerente de rede diz: - Troca o switch! - Agora troca o roteador! - No deu. Troca os cabos. - Deve ser o link da tele. Liga pra l. Auxiliar de rede diz: - Ai meu Deus... Tenho trabalho na faculdade hoje... Gerente de rede diz: - Nada disso! E j pede a pizza...
Eriberto - out. 13
A anlise de trfego
A anlise de trfego permite, dentre outras possibilidades: - Encontrar pontos de bloqueio na rede. - Detectar anomalias na rede. - Descobrir equipamentos e cabeamento defeituosos. - Observar importantes mensagens de sistema no mostradas pelas aplicaes. A anlise depender, principalmente, do conhecimento a respeito de protocolos de rede e modelo OSI. Para entender os protocolos, necessrio estudar RFCs. RFCs regulam o funcionamento da Internet!!!
Eriberto - out. 13
A anlise de trfego
Algumas RFCs importantes para a anlise de trfego: 768, 791, 792, 793, 2460, 5156, 5735 e todas as respectivas atualiza es. Disponveis em http://www.rfc-editor.org e outros sites. A ferramenta: tcpdump. Outras formas de auxlio: tshark, wireshark, mtr, ping, netcat, iptraf, packeth etc. Auxlio para testes e estudo: simulador de redes CORE (# aptget install core-network em Debian Sid, Jessie e Backports). TCP/IP and tcpdump Pocket Reference Guide: http://www.sans.org/security-resources/tcpip.pdf
Eriberto - out. 13
A anlise de trfego
Simulador de redes CORE (# apt-get install core-network). Disponvel para Debian Sid, Jessie e Wheezy-backports, alm do Ubuntu posterior a novembro de 2013.
Eriberto - out. 13
Sumrio
Eriberto - out. 13
A estrutura de um protocolo
Protocolos de rede possuem uma estrutura bsica, formada por um cabealho (ou header) e um payload (ou rea de dados).
Cabealho
Payload
Eriberto - out. 13
Sumrio
Eriberto - out. 13
O protocolo IP
IP, RFC 791. O protocolo mais importante da famlia TCP/IP.
0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ |Version| IHL |Type of Service| To !" Len# $ | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | I%en ific! ion |&"!#s| &r!#'en (ffse | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Ti'e o Live | )ro oco" | He!%er *$ec+s,' | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | So,rce -%%ress | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | .es in! ion -%%ress | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | (p ions | )!%%in# | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Eriberto - out. 13
O protocolo IP
O campo TTL importante porque permite estimar o sistema operacional oposto e a quantidade de roteadores entre o host oposto e o local. Por default, sistemas operacionais utilizam valores iniciais de TTL que podem ser alterados. Unix e derivados diretos = 255, MS Windows = 128 e GNU/Linux = 64. Protocolos IP: so os protocolos que so encapsulados pelo IP. So listados pela IANA e um resumo poder ser encontrado em /etc/protocols. Exemplos: ICMP, TCP e UDP.
Eriberto - out. 13
O protocolo IP
O IP utilizado para transportar outros protocolos. Ento, sempre haver um protocolo IP no seu payload.
Cabealho IP
Cabealho TCP
Payload TCP
Payload IP
Eriberto - out. 13
O protocolo IP
Os protocolos IP mais importantes para a anlise de trfego so o TCP, o UDP e o ICMP. Dentre todos os protocolos IP, somente o TCP e o UDP utilizam portas.
Eriberto - out. 13
Sumrio
Eriberto - out. 13
O protocolo TCP
TCP, RFC 793. O protocolo de transporte mais controlado e confivel da famlia TCP/IP.
0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | So,rce )or | .es in! ion )or | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Se/,ence 0,'1er | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | -c+no2"e%#'en 0,'1er | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | .! ! | |3|-|)|4|S|&| | | (ffse | 4eserve% |4|*|S|S|5|I| 6in%o2 | | | |7|8|H|T|0|0| | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | *$ec+s,' | 3r#en )oin er | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | (p ions | )!%%in# | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Eriberto - out. 13
O protocolo TCP
O TCP (e tambm o UDP) utilizado para transportar protocolos de uso especfico dos usurios e das suas aplicaes. Ex.: http, smtp, pop-3, ftp, msn, ssh, telnet, irc etc.
Cabealho IP
Cabealho TCP Payload TCP
HTTP
Payload IP
Eriberto - out. 13
O protocolo TCP
O protocolo TCP orientado conexo e a garante por intermdio do three-way handshake. um protocolo full duplex. Em uma rede, independente do protocolo, sempre o cliente quem inicia a conexo. No h rede sem servidor.
Eriberto - out. 13
O protocolo TCP - flags

Flags TCP: - Syn (synchronize): inicia conexes. - Fin (finish): finaliza conexes. - Psh (push): envia dados. - Ack (acknowledgment): confirmao de que conhecido o nmero de sequncia do prximo segmento a ser enviado pelo lado oposto. - Rst (reset): no entendi. IMPORTANTE: as flags TCP so disparadas contra portas e somente a flag push possui payload.
Eriberto - out. 13
O protocolo TCP
cygnus:~# tcpdump -nSt host www.eriberto.pro.br IP 10.1.1.15.4901 ! "4.55.41.1"#.#0: $%&gs 'S() se* "4"415+"9) win 5#40) options 'mss 14,0)s&c-./)0S 1&% 110#1,,, ecr 0)nop)wsc&%e ,() %ength 0 IP "4.55.41.1"#.#0 ! 10.1.1.15.4901 : $%&gs 'S.() se* win 5#40) options 'mss 14,0() %ength 0 IP 10.1.1.15.4901 ! "4.55.41.1"#.#0: $%&gs '.() &c+" 0449"1) &c- "4"415+#0) +" 0449" ) win 5#40) %ength 0
IP 10.1.1.15.4901 ! "4.55.41.1"#.#0: $%&gs 'P.() se* "4"415+#0:"4"4159 #) &c+" 0449" ) win 5#40) %ength 54# IP "4.55.41.1"#.#0 ! 10.1.1.15.4901 : $%&gs '.() &c- "4"4159 #) win ,5",) %ength 0 IP "4.55.41.1"#.#0 ! 10.1.1.15.4901 : $%&gs 'P.() se* "4"4159 #) win ,5",) %ength #+5 IP 10.1.1.15.4901 ! "4.55.41.1"#.#0: $%&gs '.() &cIP "4.55.41.1"#.#0 ! 10.1.1.15.4901 : $%&gs '$.() se* win ,5",) %ength 0 IP 10.1.1.15.4901 ! "4.55.41.1"#.#0: $%&gs '.() &c+" 0449" : +" 045#0") &c+" 045#0") win ,,#0) %ength 0 +" 045#0") &c- "4"4159 #) +" 045#0#) win ,,#0) %ength 0 +" 045#0#)
IP 10.1.1.15.4901 ! "4.55.41.1"#.#0: $%&gs '$.() se* "4"4159 #) &cwin ,,#0) %ength 0
IP "4.55.41.1"#.#0 ! 10.1.1.15.4901 : $%&gs '.() &c- "4"4159 9) win ,5",) %ength 0 Eriberto - out. 13
O protocolo TCP
cygnus:~# tcpdump -nSt2 host www.eriberto.pro.br '...( IP 10.1.1.15.4901 ! "4.55.41.1"#.#0: $%&gs 'P.() se* "4"415+#0:"4"4159 #) &c+" 0449" ) win 5#40) %ength 54# 3..4..5.5. ...6"7..t.P)..0.b..P....8..930 :teste.htm% ;00P:1.1 ;ost: www.eriberto.pro.br <ser-2gent: =o>i%%&:5.0 ?@11A <A 4inuB i,#,A pt-CDA r1:1.9.1.107 9ec-o: 0100, + Icewe&se%:+.5.10 ?%i-e $ireEoB:+.5.107 2ccept: teBt:htm%)&pp%ic&tion:Bhtm%FBm%)&pp%ic&tion:Bm%A*G0.9)H:HA*G0.# 2ccept-4&ngu&ge: pt-br)ptA*G0.#)en-usA*G0.5)enA*G0.+ 2ccept-3ncoding: g>ip)deE%&te 2ccept-Ih&rset: IS.-##59-1)utE-#A*G0.")HA*G0." /eep-2%i1e: +00 Ionnection: -eep-&%i1e '...(
Eriberto - out. 13
O protocolo TCP
cygnus:~# tcpdump -nSt port #1 IP 10.1.1.15.4"##" ! 00.1". 0 .1.#1: $%&gs 'S() se* 5+5,59 1) win 5#40) options 'mss 14,0)s&c-./)0S 1&% 95#,4 ecr 0)nop)wsc&%e ,() %ength 0 IP 00.1". 0 .1.#1 ! 10.1.1.15.4"##": $%&gs 'D.() se* 0) &c%ength 0 5+5,59 ) win 0)
Eriberto - out. 13
O protocolo TCP
00#-04-+0 0 :5 :+".1+" ## IP 19 .1,#.1.100.5 0"5 ! 1,1.14#.1#5.1+0.+45,: $%&gs 'S() se* + 14,"4##") win 5#40) options 'mss 14,0)s&c-./)0S 1&% #10 5 ecr 0)nop)wsc&%e "() %ength 0 00#-04-+0 0 :5 :+".15 " IP 1,1.14#.1#5.1+0.+45, ! 19 .1,#.1.100.5 0"5: $%&gs 'D.() se* "4#9554,#) &c- + 14,"4###) win , "#0) %ength 0 Eriberto - out. 13
O protocolo TCP
cygnus:~# tcpdump -nSt host h&mur&bi.&cc.umu.se IP 10.1.1.15.+,+0, ! 1+0. +9.1#.1,5.#0: $%&gs 'S() se* 11+44"0901) win 5#40) options 'mss 14,0)s&c-./)0S 1&% 54"1#" ecr 0)nop)wsc&%e ,() %ength 0 IP 1+0. +9.1#.1,5.#0 ! 10.1.1.15.+,+0,: $%&gs 'S.() se* 1##",4 "09) &c- 11+44"090 ) win 5"9 ) options 'mss 14,0)s&c-./)0S 1&% + 4 #,55 ecr 54"1#")nop)wsc&%e "() %ength 0 IP 10.1.1.15.+,+0, ! 1+0. +9.1#.1,5.#0: $%&gs '.() &c- 1##",4 "10) win 9 ) options 'nop)nop)0S 1&% 54" ,5 ecr + 4 #,55() %ength 0 IP 10.1.1.15.+,+0, ! 1+0. +9.1#.1,5.#0: $%&gs 'P.() se* 11+44"090 :11+44"144+) &c1##",4 "10) win 9 ) options 'nop)nop)0S 1&% 54" ,5 ecr + 4 #,55() %ength 541 IP 1+0. +9.1#.1,5.#0 ! 10.1.1.15.+,+0,: $%&gs '.() &c- 11+44"144+) win 54) options 'nop)nop)0S 1&% + 4 #,## ecr 54" ,5() %ength 0 '...( Itr% c IP 10.1.1.15.+,+0, ! 1+0. +9.1#.1,5.#0: $%&gs '$.() se* 11+44"144+) &c- 1###1 "990) win +5,+) options 'nop)nop)0S 1&% 54914# ecr + 4 9+#4)nop)nop)s&cJ1###1+5190:1###14#150KJ1###1 94+0:1###1+0#"0K() %ength 0 IP 1+0. +9.1#.1,5.#0 ! 10.1.1.15.+,+0,: $%&gs 'P.() se* 1###14#150:1###149590) &c11+44"144+) win 54) options 'nop)nop)0S 1&% + 4 9401 ecr 549051() %ength 1440 IP 10.1.1.15.+,+0, ! 1+0. +9.1#.1,5.#0: $%&gs 'D() se* 11+44"144+) win 0) %ength 0 Eriberto - out. 13
O protocolo TCP
IP, 001::10.++4," ! 001:1::10.#0: $%&gs 'S() se* 405 414##5) win 14400) options 'mss 1440)s&c-./)0S 1&% #4+ ecr 0)nop)wsc&%e "() %ength 0 IP, 001:1::10.#0 ! 001::10.++4,": $%&gs 'S.() se* +0,0"#,,"") &c- 405 414##,) win 14 #0) options 'mss 1440)s&c-./)0S 1&% #4+ ecr #4+)nop)wsc&%e "() %ength 0 IP, 001::10.++4," ! 001:1::10.#0: $%&gs '.() &c- 1) win 11+) options 'nop)nop)0S 1&% #4+ ecr #4+() %ength 0 IP, 001::10.++4," ! 001:1::10.#0: $%&gs 'P.() se* 1: +") &c- 1) win 11+) options 'nop)nop)0S 1&% #44 ecr #4+() %ength +, IP, 001:1::10.#0 ! 'nop)nop)0S 1&% 001::10.++4,": $%&gs '.() &c#44 ecr #44() %ength 0 +") win 1 0) options +") win 1 0)
IP, 001:1::10.#0 ! 001::10.++4,": $%&gs 'P.() se* 1:" 5) &coptions 'nop)nop)0S 1&% #45 ecr #44() %ength " 4
IP, 001::10.++4," ! 001:1::10.#0: $%&gs '.() &c- " 5) win 1 4) options 'nop)nop)0S 1&% #45 ecr #45() %ength 0 IP, 001:1::10.#0 ! 'nop)nop)0S 1&% 001::10.++4,": $%&gs '$.() se* " 5) &c#45 ecr #45() %ength 0 +") win 1 0) options
IP, 001::10.++4," ! 001:1::10.#0: $%&gs '$.() se* 'nop)nop)0S 1&% #45 ecr #45() %ength 0 IP, 001:1::10.#0 ! 'nop)nop)0S 1&% 001::10.++4,": $%&gs '.() &c#45 ecr #45() %ength 0
+") &c- " ,) win 1 4) options +#) win 1 0) options Eriberto - out. 13
Sumrio
Eriberto - out. 13
O protocolo UDP
UDP, RFC 768. O protocolo de transporte mais rpido da famlia TCP/IP.
0 7 8 15 16 23 24 31 +--------+--------+--------+--------+ | So,rce | .es in! ion | | )or | )or | +--------+--------+--------+--------+ | | | | Len# $ | *$ec+s,' | +--------+--------+--------+--------+
Eriberto - out. 13
O protocolo UDP
Somente os protocolos TCP e UDP possuem portas. Sempre que houver uma nova conexo TCP ou UDP, a porta do cliente mudar.
Eriberto - out. 13
Sumrio
Eriberto - out. 13
O protocolo ICMP
ICMP, RFC 792. O protocolo de controle da rede TCP/IP.
0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Type | *o%e | *$ec+s,' | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | I*9)::: |
Exemplos: - Tipo 8: echo request. - Tipo 0: echo reply. - Tipo 3, cdigo 3: porta de destino inacessvel. - Tipo 11, cdigo 0: TTL expirado em trnsito.
Eriberto - out. 13
O protocolo ICMP
O ICMP utilizado para controlar as atividades de rede. De um modo geral, somente o TCP no assessorado pelo ICMP. H vrios tipos e cdigos ICMP. No se bloqueia ICMP em redes!!! Isso no cria segurana e sim descontrole. Se for o caso, controle alguns tipos de ICMP. Use filtros de pacotes, como o Netfilter, para controlar a quantidade mxima de echo requests permitidos. Exemplo:
# iptables -A FORWARD -p icmp --icmp-type 8 -m limit --limit 10/s -j ACCEPT # iptables -A FORWARD -p icmp --icmp-type 8 -j DROP
Eriberto - out. 13
O protocolo ICMP
cygnus:~# tcpdump -nSt port 54 or icmp IP 10.1.1.15.4"014 ! 10.1.1.1.54: <LP) %ength , IP 10.1.1.1 ! 10.1.1.15: II=P 10.1.1.1 udp port 54 unre&ch&b%e) %ength 4
Eriberto - out. 13
O protocolo ICMP
1:0+:4 ."450,4 IP 01. .1+".119 ! 10.1.4. 5: II=P ,5.54.1"9. 4# unre&ch&b%e need to Er&g ?mtu 149 7) %ength 55,
Eriberto - out. 13
Sumrio
Eriberto - out. 13
O modelo OSI
Modelo criado pela ISO para que fabricantes de hardware de rede possam desenvolver equipamentos compatveis entre si.
Dados Dados Dados e!me"tos Pacotes#1$ %&ad'os#($ )its
Aplicao Apresentao Sesso Transporte Rede Enlace Fsica
*s&+'io, -ttp, .tp, smtp, pop/, c-at etc 0, co"1e's2o de pad'3es, des/comp'ess2o ess2o de aplica43es TCP, *DP 5P e p'otocolos 5P 6e7ceto TCP e *DP8 / 'oteado' Et-e'"et, AT9, PPP, .'ame 'elay / s:itc-, b'id!e ;&b, cabos, placa de 'ede, o"das :i'eless etc
[1] pacotes ou datagramas [2] quadros ou frames
Eriberto - out. 13
O modelo OSI
O modelo OSI, na prtica, uma referncia ao encapsulamento de dados e protocolos, com nveis de preparao e controle. Um exemplo, utilizando o protocolo HTTP como aplicao:
Aplicao Apresentao Sesso Transporte Rede Enlace Fsica Encapsulamento Preparao Controle Encap. / Controle Encap. / Controle Encap. / Controle Despacho
Eriberto - out. 13
Header Header Header
HTTP
TCP IP (v4 e v6) Ethernet
O modelo OSI
importante ressaltar que os protocolos de transporte (TCP e UDP) servem para transportar dados referentes a usu rios. Se no houver usurios, no haver as camadas 4 a 7.
Aplicao Apresentao Sesso Transporte Rede Enlace Fsica
Encapsulamento Preparao Controle Encap. / Controle Encap. / Controle Encap. / Controle Despacho
Header Header Header
HTTP
TCP IP Ethernet
Eriberto - out. 13
Sumrio
Eriberto - out. 13
Tcnica de uso do tcpdump na anlise de trfego

Caso 1: bloqueio do trfego em um elemento intermedirio de rede (regras de filtragem mal feitas, erro no roteamento etc).
Sentido
do
trfego
Eriberto - out. 13

Aplicar o tcpdump ao longo da topologia para descobrir o ponto de bloqueio.
Sentido
do
trfego
Eriberto - out. 13

Aplicar o tcpdump ao longo da topologia para descobrir o ponto de bloqueio.
Syn Syn Syn Syn Nada
Sentido
do
trfego
Eriberto - out. 13

Caso 2: bloqueio do trfego por falha fsica na topologia.
Sentido
do
trfego
Eriberto - out. 13

Aplicar o tcpdump ao longo da topologia para descobrir o ponto de falha.
Sentido
do
trfego
Eriberto - out. 13

Aplicar o tcpdump ao longo da topologia para descobrir o ponto de falha.
Syn Syn Syn Nada
Sentido
do
trfego
Eriberto - out. 13
Sumrio
Eriberto - out. 13
Payloads ue falam!!!
Em casos de falhas de conexo em servios, analise o payload do trfego com o tcpdump. Muitos servidores dizem as causas dos problemas mas as aplicaes no o fazem. Exemplos: jabber, bancos de dados etc. Utilize a opo -A para ver o payload.
Eriberto - out. 13
Payload:
00:1 :0+.499"15 IP 19 .1,#.1.104.++0, ! 19 .1,#.1.101.+4941: $%&gs 'P.() se* 1:"5) &c- 1) win ++) options 'nop)nop)0S 1&% +"1#9"5 ecr 5 1#4+,() %ength "4 3..~..5.5......h...e...K.?..51M....N....... .i.O....$....P.;ost Q19 .1,#.1.101Q is not &%%owed to connect to this =ySR4 ser1er
Eriberto - out. 13
Payload:
1,:4#: ,.1 0 9, IP 1" .1,.10.49.++0, ! 1" .1,.10.4 .+990+: $%&gs 'P.() se* "9:1, ) &c- #0) win 1#1) options 'nop)nop)0S 1&% +""+0+ ecr + 0 0+0() %ength #+ 3....35.5......1...H......bB........8...... .9.h.0.........#4 0002ccess denied Eor user Q&%ph&+1Q5Q1" .1,.10.4 Q to d&t&b&se Qwi-inet+Q
Eriberto - out. 13
Eriberto - out. 13
Payload:
11: :4 .#++5"" IP 0#.,#.1,+. 0.5 ! 1" .1,.0.1.5"14#: $%&gs 'P.() se* 1:+55) &c1 ,) win 4,) options 'nop)nop)0S 1&% 191+ ",9,1 ecr 0144# ,() %ength +54 3....S5.0....L.......E.TU.3..1.......s..... r 6N.+b.TOBm% 1ersionGQ1.0QO!Tstre&m:stre&m Bm%nsGQP&bber:c%ientQ Bm%ns:stre&mGQhttp:::etherB.P&bber.org:stre&msQ idGQ5 15#5 9#Q EromGQP&bber.orgQ Bm%:%&ngGQenQ!Tstre&m:error!Tpo%icy-1io%&tion Bm%nsGQurn:ietE:p&r&ms:Bm%:ns:Bmppstre&msQ:!TteBt Bm%:%&ngGQQ Bm%nsGQurn:ietE:p&r&ms:Bm%:ns:Bmpp-stre&msQ!<se oE S02D004S re*uiredT:teBt!T:stre&m:error!T:stre&m:stre&m!
Eriberto - out. 13
Sumrio
Eriberto - out. 13
"ridges na anlise de trfego

Bridges so elementos que atuam na camada 2 do modelo OSI e so como switches (e so invisveis!). Caso os ativos de rede no permitam o uso de tcpdump (roteadores proprietrios etc), utilize um notebook, com duas placas de rede configuradas como bridge, para fazer a an lise. A opo -e no tcpdump mostra a camada de enlace no trfego. A segunda placa de rede poder ser um adaptador USBEthernet. Bridges no Debian: http://bit.ly/bridge_debian
Eriberto - out. 13
"ridges na anlise de trfego

O uso de bridge na anlise de trfego.
BRIDGE
Adaptador USB-Ethernet (venda em lojas, Mercado Livre e eBay). Custa US$ 3,50 no eBay, j includa a entrega no Brasil!
Eriberto - out. 13
Sumrio
Eriberto - out. 13
Conclus#o
A anlise de trfego um conhecimento fundamental para quem trabalha com redes de computadores. Sem ela, em momentos de panes e problemas em redes, o administrador ser um mero testador de possibilidades infundadas. A ferramenta tcpdump a melhor aliada na anlise de trfego. No entanto, outras ferramentas como o wireshark e o mtr podero ser teis, principalmente para o estudo e aprendizado. Payloads falam coisas importantes... oua-os! No se bloqueia ICMP em redes! Sem ele haver uma perda de controle. continua...
Eriberto - out. 13
Conclus#o
Referncias (usando tcpdump) para estudo:
MOTA FILHO, Joo Eriberto. Anlise de trfego em redes TCP/IP. Editora Novatec, 2013. STEVENS, W. Richard; FALL, Kevin R. TCP/IP Illustrated, Volume I, 2 edio. Editora Addison-Wesley, 2011. WIRESHARK.ORG. Seo de capturas no site, em http://wiki.wireshark.org/SampleCaptures.
Esta palestra est disponvel em:
http://eriberto.pro.br
Siga-me no Twitter @eribertomota
Eriberto - out. 13

Análise Tráfego Redes - Slides - Eriberto

Uploaded by

Document Information

Original Description:

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Análise Tráfego Redes - Slides - Eriberto

Uploaded by

Copyright:

Available Formats

Anlise de trfego em redes TCP/IP com tcpdump

Joo Eriberto Mota Filho

O protocolo TCP - flags

IP 10.1.1.15.4901 ! "4.55.41.1"#.#0: $%&gs '$.() se* "4"4159 #) &cwin ,,#0) %ength 0

Aplicao Apresentao Sesso Transporte Rede Enlace Fsica

[1] pacotes ou datagramas [2] quadros ou frames

TCP IP (v4 e v6) Ethernet

Aplicao Apresentao Sesso Transporte Rede Enlace Fsica

Tcnica de uso do tcpdump na anlise de trfego

Tcnica de uso do tcpdump na anlise de trfego

Tcnica de uso do tcpdump na anlise de trfego

Tcnica de uso do tcpdump na anlise de trfego

Tcnica de uso do tcpdump na anlise de trfego

Tcnica de uso do tcpdump na anlise de trfego

"ridges na anlise de trfego

"ridges na anlise de trfego

Esta palestra est disponvel em:

You might also like