Professional Documents
Culture Documents
Novatec
Primeira edio
captulo 1
Sobre o Wireshark
1.1 Introduo
Profissionais da rea de redes, operadores e engenheiros experientes em
todo o mundo utilizam o Wireshark e ferramentas semelhantes para
solucionar problemas, e abordaremos o como e o porqu disso. Nesta
seo, discutiremos brevemente a histria do Wireshark, bem como o
uso da captura e anlise de pacotes na rea de redes. Em primeiro lugar,
necessrio compreender a histria do Wireshark e da captura e anlise
de pacotes para obter um entendimento slido a respeito do propsito do
uso dessa ferramenta. Aps termos apresentado a histria do Wireshark,
discutiremos sobre sua verso mais recente, como obt-la e o que necessrio preparar para fazer a instalao e a configurao do produto.
Tambm discutiremos os aspectos bsicos relacionados captura e anlise
de pacotes para que voc tenha conhecimento da finalidade para a qual a
ferramenta naturalmente usada.
Este livro pode ser utilizado por iniciantes e por aqueles que ainda
no tm experincia com redes, porm ter um conhecimento anterior
e slido sobre o assunto facilitar bastante a leitura, a compreenso e
a absoro das informaes contidas neste livro.
23
24
25
26
27
As figuras 1.1 e 1.2 mostram a ferramenta Wireshark com dados capturados, com um problema tpico que pode ser atualmente visto em redes
um ARP (Address Resolution Protocol, ou Protocolo de Resoluo de
Endereos) storm. A figura 1.2 mostra como verificar os dados com mais
detalhes a fim de solucionar o problema. Embora iremos nos envolver
mais na inspeo detalhada do trfego em captulos posteriores, aqui voc
pode ver como um analisador de rede realiza uma anlise de protocolo.
28
local o Wireshark deve ser colocado para capturar esses dados. Em seguida,
necessrio algum trabalho de inspeo e de anlise dos dados capturados
e, no mnimo, um entendimento bsico sobre como os dados funcionam
em uma rede. Tambm necessrio um trabalho de detetive de sua parte:
ser preciso saber como relacionar esse problema de ARP (na forma de
um endereo MAC) com o cliente ofensor que est provocando o storm.
Ento voc dever saber como solucionar o problema em questo. Como
podemos notar, a captura e a anlise de protocolos com uma ferramenta
de anlise de redes como o Wireshark somente ajudam a ter uma ideia
inicial do problema; nem sempre elas a resolvem diretamente para voc.
Esteja atento aos falsos positivos. O que isso quer dizer que voc
pode ver um problema quando, na realidade, no um problema,
mas um comportamento normal. Voc pode obter uma captura ou
um relatrio de um analisador de rede instruindo-o a respeito da
existncia de um problema quando, na verdade, isso no acontece. Usar
um analisador de rede e realizar anlises so funes de uma mente
cientfica. No s devemos questionar o que virmos, mas tambm pode
ser necessrio realizar testes e anlises adicionais para descobrirmos
a causa raiz de um problema. No tire concluses precipitadamente;
organize cientificamente os dados, analise, realize pesquisas e discuta
possibilidades com seus pares e colegas se no estiver certo a respeito
de suas descobertas.
29
30
Usando o tcpdump
O tcpdump (http://www.tcpdump.org/) um analisador de captura/pacote de
protocolos usado na linha de comando. De modo muito semelhante ao
Wireshark [que utiliza uma interface grfica de usurio (GUI)], o tcpdump
captura pacotes e mostra detalhes especficos sobre eles, os quais podem
ser utilizados para anlises mais minuciosas a respeito de um problema.
Ele tambm funciona com a libcap e coloca a NIC em modo promscuo
possibilitando a captura de pacotes. O tcpdump mostra detalhes na linha
de comando e pode ser personalizado por meio de opes que permitem
mostrar mais ou menos detalhes especficos. extremamente til quando
h necessidade de capturar dados no momento em que o problema ocorrer,
pois normalmente est sempre instalado e pronto para ser usado na
maioria dos sistemas, principalmente aqueles baseados em UNIX. Alm
disso, est disponvel gratuitamente com o sistema operacional que voc
instalar.
A figura 1.3 mostra o uso do tcpdump em um sistema UNIX. Nesse caso,
podemos ver a conversao entre dois hosts, aquele no qual o tcpdump
est instalado (a origem) e o endereo de destino com o qual ele est se
comunicando.
Como voc pode observar aqui, bem fcil us-lo e manipul-lo. Voc
pode obter praticamente os mesmos dados obtidos com o Wireshark ao
usar o tcpdump, porm o Wireshark fornece mais complementos, por
exemplo, uma GUI fcil de usar, uma ferramenta de anlise inteligente e
ferramentas para gerao de relatrios.
O tcpdump tambm pode ser encontrado em muitos dos firewalls
baseados em UNIX instalados hoje em dia. Os firewalls, como aqueles da
McAfee e da Juniper, possuem o tcpdump integrado em seus conjuntos de
ferramentas para que possa ser facilmente acionado a fim de solucionar
ou informar sobre um problema.
31
32
33
Isso apenas uma amostra das perguntas que podem ser feitas, porm
essas so as perguntas mais comuns. Em ltima instncia, queremos usar
o Wireshark para identificar e resolver problemas, contudo ele deve ser
manipulado por algum como voc, que saiba como detect-los. Descobrir,
em detalhes, a causa raiz de um problema o que podemos fazer ao usar
essa ferramenta, caso seu trabalho de detetive seja executado corretamente.
Voc vai querer capturar dados da rede, analis-los e usar modelos comuns
de rede, conhecimentos sobre protocolos e metodologias especficas para
auxiliar na anlise do problema e dos dados capturados.
34
35
36
A figura 1.5 mostra outra ferramenta que pode ser utilizada no programa Wireshark. Por exemplo, suponha que voc tenha um problema
e queira a opinio do Wireshark sobre o que ele acha que poderia ser
esse problema. Voc pode perguntar ao Expert e descobrir. Embora essa
informao nem sempre seja precisa em virtude dos falsos positivos,
possvel comear a obter pistas. Dados que trafegam pela rede podem ser
identificados como problemticos, porm pode ser o modo como os dados
funcionam normalmente, portanto podem no indicar um problema nem
apontar para o problema especfico sendo informado.
37
A figura 1.6 mostra dados mais detalhados, que podem ser obtidos a
partir do Expert do Wireshark. Nesse local, podemos analisar mais pistas, porm, acima de tudo, podemos fazer exploraes mais detalhadas
partindo dessa ferramenta e retornando ao painel Summary do Wireshark
para acessar diretamente o pacote que foi sinalizado de modo a gerar uma
mensagem ou um alerta no Expert.
38
39
40
Camada fsica: essa camada define conectores, fiaes e as especificaes de como a voltagem e os bits passam por meios ligados por
fios (ou sem fios). Os dispositivos dessa camada incluem repetidores,
concentradores e hubs. Os dispositivos que operam na camada fsica
no tm conhecimento sobre caminhos.
Ao usar o Wireshark, voc deve considerar as metodologias usadas na
resoluo de problemas, bem como o modo como os dados funcionam
nas redes e nos sistemas. Saber como disparar e executar a ferramenta
no suficiente! preciso saber especificamente o local em que ela deve
ser colocada, quando deve ser executada e o que voc ir capturar. Ento
voc ter de fazer anlises, as quais testaro seu conhecimento sobre redes,
computadores, aplicativos e sistemas.
1.8 Resumo
Neste captulo, aprendemos sobre a captura e a anlise de protocolos, os
fundamentos sobre o Wireshark, bem como o bsico sobre como resolver problemas com ele. No prximo captulo, aprenderemos a instalar e
configurar o Wireshark para que possamos comear a us-lo e a trabalhar
com ele.