Wireshark Practical Packet Analysis

Fazer download em pdf ou txt
Fazer download em pdf ou txt
Você está na página 1de 112

Traduo revisada em 09.08.

2010

AGRADECIMENTOS
Meus sinceros agradecimentos a trs amigos queridos com os quais tenho a honra de trabalhar: Ednilson Silva, Lnio Edberg semeadores do conhecimento em comunicao de dados e Christian Barnard companheiro e iniciante nessa longa jornada: de desafios, pesquisas e disseminao do conhecimento adquirido. Esta traduo no poderia ter sido feita sem o auxilio dessas pessoas que compartilharam comigo seus conhecimentos e acima de tudo a amizade. Esse trabalho fruto dessa sinergia e esperamos que venha ajudar queles que buscam uma literatura em nossa lngua portuguesa, que trate da anlise de pacotes do mundo IP; To presente no nosso dia a dia. Por se tratar da traduo de uma obra publicada, no vislumbramos em hiptese alguma o cunho comercial, portanto fica aqui por parte do tradutor expressamente o desejo de no se fazer o comercio de qualquer tipo ou forma de publicao.

Ao Grande Arquiteto do Universo, toda honra e toda glria Jos VILOBALDO Soares @Baddu

CONTEDO

CAPITULO 1 BSICO DE REDES E ANLISE DE PACOTES.......................................................................... 6

O que Anlise de Pacotes?............................................................................................................................7 Evoluo de um Packet Sniffer (Farejador de Pacotes) ...................................................................................7 Como o Farejador de Pacotes (Packet Sniffer) Funciona ................................................................................7 Como os Computadores se Comunicam .........................................................................................................8 O Modelo OSI de Sete Camadas ......................................................................................................................8 Interao entre Protocolos ............................................................................................................................10 Encapsulamento de Dados ............................................................................................................................10 Hardware da Rede .........................................................................................................................................11 Classificao de Trfego ................................................................................................................................ 14
CAPITULO 2 CHACOALHANDO OS FIOS .................................................................................................... 15

Modo Promscuo ...........................................................................................................................................16 Espelhamento de Porta .................................................................................................................................18 Hubbing .........................................................................................................................................................18 Envenenamento do Cache ARP .....................................................................................................................19 Usando o Cain & Abel .................................................................................................................................... 20
CAPITULO 3 INTRODUO AO WIRESHARK ............................................................................................. 23

Uma Breve Histria sobre o Wireshark .........................................................................................................23 Os Benefcios do Wireshark ...........................................................................................................................23 Protocolos Suportados .................................................................................................................................. 24 Instalando o Wireshark.................................................................................................................................. 24 Fundamentos do Wireshark ..........................................................................................................................26 A Janela Principal ...........................................................................................................................................27 A caixa de Dilogo Preferncias ....................................................................................................................28 Cdigo de Cores de um Pacote......................................................................................................................29
CAPITULO 4 TRABALHANDO COM PACOTES CAPTURADOS .................................................................... 31

Encontrando e Marcando Pacotes ................................................................................................................31 Salvando e Exportando Arquivos Capturados ...............................................................................................32 Formatos de Exibio de Tempo e Referncias.............................................................................................35 Filtros de Captura e Exibio .........................................................................................................................36 A Sintaxe de Construo de Filtros ................................................................................................................37 3

CAPITULO 5 CARACTERISTICAS AVANADAS DO WIRESHARK .............................................................. 40

Resoluo de Nomes ..................................................................................................................................... 40 Dissecao de Protocolo................................................................................................................................ 41 Seguindo os fluxos TCP .................................................................................................................................. 43 Janela Estatstica Hierrquica de Protocolo ..................................................................................................43 Visualizando os Dispositivos Finais ................................................................................................................44 Conversaes .................................................................................................................................................45 A Janela IO Graphs .........................................................................................................................................46
CAPITULO 6 PROTOCOLOS MAIS COMUNS............................................................................................... 47

Protocolo de Resoluo de Endereos ARP ................................................................................................48 Protocolo de Configurao Dinmica DHCP ...............................................................................................48 TCP/IP e HTTP ................................................................................................................................................49 TCP/IP ............................................................................................................................................................49 Sistema de Nomes de Domnio DNS ...........................................................................................................52 Protocolo de Transferncia de Arquivos FTP..............................................................................................53 Protocolo Telnet ............................................................................................................................................54 Servio de Mensagens MSN ..........................................................................................................................55 Protocolo Internet de Controle de Mensagens ICMP ................................................................................57 Consideraes Finais .....................................................................................................................................57
CAPITULO 7 CENRIOS BSICOS ............................................................................................................. 58

Perda da Conexo TCP ................................................................................................................................... 58 Sem Conectividade ........................................................................................................................................63 Fantasma no Internet Explorer......................................................................................................................64 Problemas com o FTP .................................................................................................................................... 66 Falha no Servidor Remoto .............................................................................................................................67 Um Programa Mal Intencionado ...................................................................................................................69
CAPITULO 8 LUTANDO CONTRA A LENTIDO DA REDE........................................................................... 74

Anatomia do Download Lento .......................................................................................................................75 Uma Rota Lenta .............................................................................................................................................78 Viso Dupla ....................................................................................................................................................80 Ser que o Servidor Emperrou?.....................................................................................................................82 Uma falha de Anlise .....................................................................................................................................84 O Servidor POP de Email................................................................................................................................ 85 Acessando o Gnutella .................................................................................................................................... 87

CAPITULO 9 ANLISE BASEADA EM SEGURANA ................................................................................... 91

Sistema Operacional Fingerprinting ..............................................................................................................91 Um Simples Escaneamento (varredura) de Porta .........................................................................................92 Uma Impressora Abarrotada de Impresso ..................................................................................................93 Um FTP Interrompido .................................................................................................................................... 94 O Vrus (Worm) Blaster.................................................................................................................................. 96 Informaes Confidenciais ............................................................................................................................97 O Ponto de Vista de um Hacker.....................................................................................................................98
CAPITULO 10 FAREJANDO PELO AR ......................................................................................................... 101

Farejando um Canal de Cada Vez ................................................................................................................101 Interferncia do Sinal em uma Rede Sem Fio .............................................................................................102 Modos de Funcionamento de uma Placa de Rede Sem Fio ........................................................................102 Farejando via Rede Sem Fios no Windows ..................................................................................................103 Configurando o AirPcap ...............................................................................................................................103 Capturando Trfego com o AirPcap ............................................................................................................104 Pacotes Extras 802.11.................................................................................................................................. 105 Colunas Wireless Especificas .......................................................................................................................107 Filtros Wireless Especficos ..........................................................................................................................108 Uma Tentativa Ruim de Conexo ................................................................................................................110 Consideraes Finais ................................................................................................................................... 112

1
BSICO DE REDES E ANLISE DE PACOTES
Um milho de coisas diferentes pode dar errado com uma rede de computadores em um dado dia a partir de uma simples infeco por um spyware ou um erro de uma complexa configurao de um roteador, e ser impossvel resolver todos os problemas imediatamente. O melhor que podemos esperar fazer estar plenamente preparado com o conhecimento e as ferramentas para resolver a esses tipos de problemas. Todos os problemas em uma rede decorrem a nvel dos pacotes, at mesmo as futursticas aplicaes podem revelar implementaes ruins e aparentemente protocolos confiveis podem ser usados para fins maliciosos. Para melhor compreender e resolver problemas em uma rede, ns vamos ao nvel de pacote onde nada est escondido de ns, onde nada obscurecido pelas estruturas menos enganosas, grficos atraentes, ou funcionrios no confiveis. Aqui no h segredos, e o que mais pudermos fazer no nvel da anlise de pacotes, poderemos controlar melhor a nossa rede e resolver os problemas nela encontrados. Este o mundo da anlise de pacotes. Este livro mergulha no mundo da anlise de pacotes de cabea. Voc vai aprender o que anlise de pacotes, antes de mergulhar em rede de comunicao, para que possa ganhar alguns conhecimentos bsicos que voc precisa para analisar diferentes cenrios. Voc aprender como usar os recursos da ferramenta de anlise Wireshark para abordar a comunicao de rede lenta, identificar gargalos na aplicao e at mesmo acompanhar hackers atravs de alguns cenrios do mundo real. Antes de voc terminar de ler este livro, voc deve ser capaz de implementar tcnicas avanadas de anlise de pacotes que iro ajud-lo a resolver os problemas mais difceis em sua prpria rede.

O que Anlise de Pacotes?


Anlise de pacotes, muitas vezes referida como packet sniffing (farejamento de pacotes) ou anlise de protocolo, descreve o processo de capturar e interpretar dados em tempo real medida que flui atravs de uma rede a fim de entender melhor o que est acontecendo na rede. Anlise de pacotes normalmente realizada por um packet sniffer (farejador de pacotes), ferramenta utilizada para capturar dados brutos atravessando os fios de uma rede. A anlise de pacotes podem nos ajudar a entender caractersticas da rede, saber quem est em uma rede, ou determinar qual a utilizao da largura de banda disponvel, identificar as pocas de pico de uso da rede, identificar possveis ataques ou atividades maliciosas, e encontrar aplicaes inseguras. Existem vrios tipos de programas farejadores de pacotes (Packets sniffing), incluindo tanto o software livre como o comercial. Cada programa foi concebido com objetivos diferentes em mente. Alguns dos mais populares programas de anlise de pacotes so tcpdump (Um programa de linha de comando), OmniPeek e Wireshark (ambos baseados em GUI sniffers).

Evoluo de um Packet Sniffer (Farejador de Pacotes)


Existem vrios tipos de sniffers. Ao selecionar o que voc vai usar, voc deve considerar as seguintes variveis: - Protocolos suportados - Suporte ao Programa - Interface amigvel - Suporte aos Sistemas Operacionais - Custo

Protocolos Suportados
Todos os sniffers podem interpretar vrios protocolos. A maioria dos sniffers pode interpretar os protocolos mais comuns, tais como DHCP, IP e ARP, mas nem todos podem interpretar alguns dos protocolos no tanto tradicionais. Ao escolher um sniffer, certifique-se que ele suporta os protocolos que voc vai usar.

Interface Amigvel
Considere o layout do programa, a facilidade de instalao e, em geral o fluxo padro de operao. O programa que voc escolher deve se ajustar ao seu nvel de percia. Se voc tem muito pouca experincia em anlise de pacotes, voc pode querer evitar o mais avanado programa de linha de comandos como o tcpdump. Pelo contrrio, se voc tem uma experincia muita rica, a sim voc poder fazer dele a sua melhor escolha.

Custo
A grande coisa a respeito dos programas analisadores de pacotes que existem muitos softwares livres que qualquer produto rival comercializado. Voc nunca poder ter que pagar por um programa analisador de pacotes.

Suporte ao Programa
Mesmo depois de ter dominado o bsico de um programa analisador de pacotes, voc ainda vai precisar de apoio ocasional para resolver novos problemas que possam surgir. Ao avaliar os suportes disponveis, procurar coisas como documentao de desenvolvimento, fruns pblicos, e listas de discusso. Embora possa haver uma falta de suporte ao desenvolvedor para programas de anlise de pacotes gratuitos como o Wireshark, as comunidades que utilizam estas aplicaes, muitas vezes compensa essa falta, atravs de fruns de debates, wikis, blogs desenvolvidos para ajud-lo a obter mais do seu programa.

Suporte ao Sistema Operacional


Infelizmente, nem todos os programas analisadores de pacotes tem suporte a cada sistema operacional. Tenha certeza de que o que voc escolher para aprender funcione em todos os sistemas operacionais que voc precisa de suporte.

Como o Farejador de Pacotes (Packet Sniffer) Funciona


O processo de farejamento (sniffer) de pacotes pode ser dividido em trs etapas: coleta, converso e anlise.

Coleta
Na primeira etapa, o farejador (sniffer) de pacotes coloca a interface de rede selecionada, em modo promscuo. Neste modo a placa de rede pode escutar todo o trfego em seu segmento de rede. O farejador (sniffer) usa este

modo juntamente com o acesso de baixo nvel da interface para capturar os dados em formato binrio que passam pelos fios.

Converso
Nesta etapa, os dados binrios capturados so convertidos em uma forma legvel. Este o ponto onde os mais avanados analisadores de pacotes param. Neste ponto, a rede de dados est em uma forma que s pode ser interpretada em um nvel muito bsico, deixando a maioria da anlise para o usurio final.

Anlise
A terceira e ltima etapa consiste na anlise real dos dados capturados e convertidos. Nesta etapa, o analisador de pacotes pega os dados capturados, verifica o seu protocolo com base nas informaes extradas, e comea a sua anlise a partir das caractersticas especficas do protocolo. Uma anlise mais aprofundada realizada comparando vrios pacotes, bem como vrios outros elementos da rede.

Como os Computadores se Comunicam


A fim de compreender totalmente a anlise de pacotes, voc precisa entender exatamente como os computadores se comunicam uns com os outros. Nesta seo examinaremos os conceitos bsicos dos protocolos de rede, o modelo OSI, os quadros de dados de rede, e o hardware que suporta tudo.

Protocolos de rede
As redes modernas so compostas de uma variedade de diferentes sistemas em execuo e muitas plataformas diferentes. Para auxiliar nesta comunicao, usamos um conjunto comum de regras chamado protocolos de rede, protocolos esses que regem toda a comunicao. Protocolos de rede comuns incluem TCP, IP, ARP e DHCP. Uma pilha de protocolo um agrupamento lgico de protocolos que trabalham juntos. Um protocolo de rede pode ser extremamente simples ou extremamente complexo, dependendo de sua funo. Embora os vrios protocolos de rede so muitas vezes radicalmente diferentes, a maioria tem que abordam as seguintes questes: Controle de fluxo - a gerao de mensagens pelo sistema de recepo para instruir o sistema de transmisso para acelerar ou retardar a transmisso de dados Confirmao de pacotes - a transmisso de uma mensagem de retorno do sistema de recepo para o sistema de transmisso confirmando a recepo dos dados Erro de deteco - o uso de cdigos pelo sistema de transmisso para verificar se os dados enviados no foram danificados durante a transmisso A correo de erros - a retransmisso de dados que foram perdidos ou danificados durante a transmisso inicial Segmentao - a diviso de longos fluxos de dados em fluxos menores para uma transferncia mais eficiente A criptografia de dados - uma funo que usa chaves de criptografia para proteger os dados transmitidos atravs de uma rede Compresso de dados - um mtodo para reduzir o tamanho dos dados transmitidos atravs de uma rede, eliminando informaes redundantes

O Modelo OSI de Sete Camadas


Os protocolos so separados com base em suas funes atravs de um padro de referncia, modelo de referncia chamado de Open Systems Interconnection (OSI). Este modelo foi originalmente publicado em 1983 pela Organizao Internacional for Standardization (ISO) como um documento chamado ISO 7498. O modelo OSI divide o processo de comunicao de rede em sete camadas distintas: Aplicao Apresentao Seo Transporte Rede Enlace de Dados Fsica - Camada 7 - Camada 6 - Camada 5 - Camada 4 - Camada 3 - Camada 2 - Camada 1

A diviso em sete camadas do modelo hierrquico OSI (figura ao lado) torna mais fcil a compreenso da comunicao em uma rede. A camada de aplicao, na parte superior representa os programas utilizados para acessar os recursos existentes em uma rede. A camada inferior a camada fsica, atravs da qual a rede envia e recebe os dados. Os protocolos em cada camada trabalham em conjunto com as camadas superiores e inferiores. Nota: O modelo OSI no mais do que um padro de recomendao, os desenvolvedores de protocolos no so obrigados a segui-lo exatamente. Por uma questo de fato, o modelo OSI no o modelo de rede nica que existe, por exemplo algumas pessoas preferem o modelo do Departamento de Defesa (DoD). Vamos trabalhar em torno dos conceitos do modelo OSI, neste livro. Vamos olhar amplamente, as funes de cada uma das camadas do modelo OSI, bem como alguns exemplos de protocolos utilizados em cada uma.

A Camada de Aplicao
A camada de aplicao, a camada superior do modelo OSI, fornece um meio para que os usurios realmente acessem os recursos de rede. Esta a nica camada tipicamente vista pelos usurios finais, uma vez que fornece a interface que a base para todas as suas atividades de rede.

A Camada de Apresentao
A camada de apresentao transforma os dados que recebe em um formato que possa ser lido pela camada de aplicao. Os dados de codificao e decodificao feitos aqui dependem do protocolo da camada de aplicao que est enviando ou recebendo os dados. Esta camada tambm controla vrias formas de criptografia/decriptografia utilizadas para prover a segurana dos dados enviados ou recebidos.

A Camada de Seo
A camada de sesso controla o dilogo, ou sesso entre dois computadores, estabelece, gerencia e termina, a comunicao entre todos os dispositivos. A camada de sesso tambm responsvel por determinar se uma conexo duplex ou half-duplex e graciosamente fechar uma conexo entre os dispositivos, ao invs de deix-la cair abruptamente.

A Camada de Transporte
O objetivo principal da camada de transporte fornecer o servio de transporte confivel dos dados para as camadas inferiores. Atravs de recursos, incluindo o controle de fluxo, a segmentao e controle de erro, a camada de transporte garante o transporte de dados de um ponto a outro sem erros. Garantir o transporte de dados confivel pode ser extremamente complicado, o modelo OSI dedica toda uma camada a ele. A camada de transporte fornece os seus servios tanto a protocolos orientados conexo ou no. Firewalls e Servidores Proxy operam nesta camada.

A Camada de Rede
A camada de rede responsvel pelo roteamento de dados entre redes fsicas, e uma das camadas OSI mais complexas. responsvel pela lgica de endereamento de hosts da rede (por exemplo, atravs de um endereo IP), e tambm lida com a segmentao de pacotes, a identificao do protocolo e, em alguns casos, deteco de erros. Os Roteadores operam nesta camada.

A Camada de Enlace de Dados


A camada de enlace de dados permite transporte de dados atravs do meio fsico da rede. Seu objetivo principal proporcionar um esquema de endereamento que pode ser usado para identificar os dispositivos fsicos e fornecer recursos de verificao de erros para garantir a integridade dos dados. Bridges e Switches so dispositivos fsicos que operam nesta camada.

A Camada Fsica
A camada fsica, na parte inferior do modelo OSI o meio fsico atravs do qual os dados so transferidos na rede. Esta camada define a natureza fsica e eltrica de todo o hardware utilizado, incluindo as tenses, os ns da

rede, placas, repetidores, e especificaes de cabeamento. A camada fsica estabelece e termina conexes, fornece um meio de compartilhamento dos recursos de comunicao, e converte sinais digitais em analgicos e vice-versa. A tabela abaixo lista alguns dos protocolos mais comuns utilizados em cada camada do modelo OSI.

Interao entre Protocolos


Como o fluxo de dados atravs das camadas do modelo OSI? A transferncia inicial dos dados em uma rede comea na camada de aplicao do sistema de transmisso. Os dados so passados as camadas inferiores do modelo OSI at atingir a camada fsica, neste ponto a camada fsica do sistema de transmisso envia os dados para o sistema de recepo. O sistema receptor captura os dados em sua camada fsica, e os repassa as camadas superiores at chegar a camada de aplicao. Servios prestados por diferentes protocolos em qualquer nvel do modelo OSI no so redundantes. Por exemplo, se um protocolo em uma camada fornece um servio particular, ento nenhum outro protocolo em qualquer outra camada ir fornecer este mesmo servio. Protocolos em camadas correspondentes, no envio e na recepo dos dados so complementares. Se na transmisso um protocolo na camada sete responsvel por criptografar os dados a serem transmitidos, o protocolo correspondente na camada sete da mquina receptora dever ser responsvel por decifrar os dados. A figura abaixo mostra uma representao grfica do modelo OSI na comunicao entre dois computadores. Aqui voc pode ver a comunicao que vai de cima para baixo, de um computador e ento inverter quando ela atinge o outro computador.

Cada camada do modelo OSI s capaz de se comunicar com as camadas imediatamente acima e abaixo dela. Por exemplo, a camada 2 s pode enviar e receber dados da camada 1 e da camada 3.

Encapsulamento de Dados
Os protocolos em diferentes camadas se comunicam com o auxlio do encapsulamento de dados . Cada camada na pilha responsvel por adicionar um cabealho ou rodap aos dados serem transmitidos, este bit de informao extra que permite a comunicao entre as camadas. Por exemplo, quando a camada de transporte recebe dados da camada de sesso, ele adiciona seu prprio cabealho de informao aos os dados antes de pass-lo para a prxima camada.

10

As Unidades de Dados dos Protocolos


O processo de encapsulamento cria uma unidade de dados dos protocolos (PDU), que inclui os dados enviados e todas as informaes de cabealho ou rodap adicionadas a ele. Como os dados se movem de cima para baixo no modelo OSI, a PDU adicionar o cabealho e o rodap com as informaes do protocolo envolvido entre as camadas. A PDU estar em sua forma final quando atingir a camada fsica, nesse ponto ela ser enviada ao computador de destino. O computador de destino retira o cabealho e o rodap do protocolo envolvido entre as camadas do modelo OSI. Uma vez que a PDU atinge a camada superior do modelo OSI, restaro apenas os dados enviados. Nota: Pacote o termo associado Protocol Data Unit (PDU). Quando eu uso a palavra pacote, refiro-me a uma PDU completa que inclui as informaes de cabealho e rodap de todas as camadas do modelo OSI.

Hardware da Rede
Agora hora de olhar para o hardware da rede, onde todo o trabalho sujo feito. Vamos focar especificamente algumas das peas de hardware mais comuns em uma rede, hubs, switches e roteadores. Hubs Um hub geralmente no mais que uma caixa com vrias portas RJ-45, como mostrado na figura abaixo. Hubs variam de muito pequeno de quatro portas, at os maiores de 48 portas, projetados para serem montados em rack no ambiente empresarial. Hubs so projetados para conectar dispositivos de rede para que eles possam se comunicar.

Um hub nada mais do que um dispositivo de repetio que opera na camada fsica do modelo OSI. Um dispositivo de repetir simplesmente pega os pacotes enviados a partir de uma porta e transmite (repete) a outro dispositivo conectado a outra porta. Por exemplo, se um computador conectado a porta 1 de um hub de quatro portas tem que enviar dados a um computador conectado a porta 2, o hub envia os pacotes para todas as portas. Os clientes conectados s portas 3 e 4 ignoram os dados, porque no para eles, descartando os pacotes. Nesse tipo de conexo o resultado uma grande quantidade de trfego desnecessrio na rede. Imagine que voc est enviando um email aos empregados da empresa. O e-mail tem no campo assunto Relativo a todo o pessoal de marketing, mas em vez de envi-lo apenas as pessoas que trabalham no departamento de marketing, voc o envia para todos os funcionrios da empresa. Os empregados que trabalham no marketing sabe que pra eles e vo l-lo. Os outros empregados, no entanto, vero que no para eles, e vo descart-lo. Voc pode ver como isso resultado de um monte de comunicao desnecessria e um desperdcio de tempo, exatamente assim como funciona um hub. A figura abaixo fornece uma exibio grfica do que est acontecendo aqui. Nesta figura, Um computador A est transmitindo dados para o computador B. No entanto, quando o computador A envia esses dados, todos os computadores conectados ao hub os recebem. Apenas o computador B realmente os aceita, os outros computadores vai descart-lo. Uma ltima nota sobre hubs que eles s so capazes de operar em modo half-duplex, ou seja, eles no podem enviar e receber dados ao mesmo tempo. Isso os diferencia dos switches, que so dispositivos full-duplex que podem enviar e receber dados de forma sncrona. Enquanto voc no vai ver hubs sendo usado nas mais modernas ou rede de alto trfego (switches so usados em vez disso, como discutido abaixo), voc deve saber como os hubs trabalham, uma vez que eles sero muito importantes para a anlise de pacotes.

11

Computador B

Computador A

Computador C

Computador D

Switches A melhor alternativa ao hub em uma rede de alto trfego o dispositivo chamado switch. Como um hub, um switch projetado para repetir os pacotes, mas faz isso de maneira muito diferente, tambm como um hub, um switch proporciona um caminho de comunicao entre dispositivos, mas o faz com mais eficincia. Ao invs de enviar um broadcast de dados para cada porta individualmente, somente envia os dados para o computador para quais os mesmos so destinados. Fisicamente falando, um switch parece idntico a um hub. Por uma questo de fato, se os dispositivos no tiverem uma identificao visvel, voc ter dificuldade em diferenci-los. Muitos dos switches do mercado so gerenciveis atravs de software especfico ou interface web. Estes switches so referidos como switches gerenciados e oferecem vrios recursos que podem ser teis na gesto da rede. Isto inclui a capacidade de visualizar, habilitar ou desabilitar portas especficas, fazer mudanas de configurao e ser reiniciado remotamente.

Switches tm funcionalidades avanadas de manipulao dos pacotes transmitidos. capaz de se comunicar diretamente com dispositivos especficos, switches so capazes de identificar dispositivos baseados em seus endereos. Tudo isso significa que devem operar na camada de enlace do modelo OSI. Os Switches armazenam os endereos de camada 2 de cada dispositivo conectado em uma tabela CAM, que funciona como uma espcie de guarda de trnsito. Quando um pacote transmitido, o switch l as informaes do cabealho da camada 2 do pacote e usando a tabela CAM como referncia, determina para qual porta ser enviado o pacote. Os switches apenas enviam pacotes para as portas envolvidas em uma comunicao, o que reduz consideravelmente o trfego na rede. A figura abaixo mostra uma representao grfica do fluxo de trfego atravs de um switch. Nesta figura, um computador A mais uma vez envia os dados para o computador B. Neste caso, os computadores esto conectados atravs de um switch que permite que o computador A envia os dados diretamente para o computador B sem outros dispositivos na rede estar ciente da presente comunicao. Alm disso, vrias conversas podem acontecer ao mesmo tempo.

Computador B

Computador C Computador A

Computador D

12

Roteadores Um roteador um dispositivo de rede avanada com um nvel muito mais elevado de funcionalidade do que qualquer switch ou um hub. Um roteador pode ter vrias formas, mas a maioria tem vrios leds na frente e portas na parte traseira, dependendo do tamanho da rede. Roteadores operam na camada 3 do modelo OSI. Eles so responsveis pelo envio de pacotes entre duas redes distintas. O processo que os roteadores usam para direcionar o fluxo de trfego entre redes chamado de roteamento. Existem vrios tipos de protocolos de roteamento que ditam como diferentes tipos de pacotes so encaminhados para outras redes. Roteadores normalmente usam endereos da camada 3 (Tais como endereos IP) com exclusividade identificar dispositivos em uma rede. Uma maneira fcil de ilustrar o conceito de roteamento pensar em um bairro com uma rede de ruas, cada rua tem casas, e cada casa tem seu prprio endereo. Voc mora em uma rua, assim voc pode mover-se entre todas as casas da rua. Isto muito semelhante ao funcionamento de um switch que permite a comunicao entre todos os computadores em um segmento de rede. Para se comunicar com um vizinho em outra rua, no entanto, uma pessoa deve seguir o fluxo dos sinais da rua at a casa do vizinho. Vamos trabalhar com um exemplo de comunicao atravs das ruas. Usando a figura abaixo, digamos que eu estou sentado na 503 Vine Street, e eu preciso ir at a 202 Lane Dogwood. Para fazer isso, eu preciso atravessar para Oak Street, e em seguida, para Dogwood Lane. Pense nisso como uma passagem segmentos de rede. Se o dispositivo em 192.168.0.3 precisa se comunicar com o dispositivo em 192.168.0.54, ele deve atravessar um roteador para chegar rede 10.100.1.1, em seguida, atravessar o segmento do roteador de destino antes que ele possa chegar ao segmento da rede de destino.

O tamanho e o nmero de roteadores em uma rede dependem do tamanho e funo dessa rede. As redes domsticas ou de pequenos escritrios consistem de um pequeno roteador localizado no centro da rede, enquanto uma grande rede corporativa pode ter vrios roteadores espalhados por vrios departamentos, todos se conectando a um roteador central ou switch de camada 3. Um switch de camada 3 um tipo avanado de switch que tambm tem uma funcionalidade interna para atuar como um roteador. Comeando a olhar para diagramas de rede cada vez mais, voc vai compreender como os dados so encaminhados a diversos pontos.A figura abaixo mostra o layout de uma forma muito comum de rede roteada. Neste exemplo, duas redes separadas esto ligadas atravs de um nico roteador. Se um computador na rede A desejar se comunicar com um computador na rede B, os dados transmitidos devem passar pelo roteador.
Rede A Computador B Rede B Computador W

Computador Y Computador Computador C

Computador X

Computador D

Computador Z

13

Classificao de Trfego
Ao considerar o trfego em uma rede, vamos classific-lo em trs classes principais: broadcast, multicast e unicast. Cada classificao tem uma caracterstica distinta que determina como os pacotes de uma determinada classe so tratados pelo hardware de rede.

Trfego Broadcast
Um pacote de broadcast enviado a todos as portas de um segmento de rede, independentemente de saber se essa porta um hub, switch ou roteador. Lembre-se que hub s utiliza trfego de broadcast.

Trfego Multicast
O Multicast um meio de transmitir um pacote a partir de uma nica fonte para mltiplos destinos simultaneamente. O objetivo do multicast fazer com que este processo seja o mais simples possvel, utilizando a largura de banda disponvel. A otimizao deste trfego reside no nmero de vezes que um fluxo de dados replicado para alcanar o seu destino. A manipulao exata do trfego multicast altamente dependente da implementao do protocolo usado. O principal mtodo de execuo multicast usar um esquema de endereamento especial que une os destinatrios de pacotes em um grupo multicast, isto como o IP multicast funciona. Esse esquema de endereamento garante que os pacotes no sero transmitidos a computadores que no faam parte do grupo de endereamento.

Trfego Unicast
Um pacote unicast transmitido diretamente de um computador para outro. Os detalhes de como funciona o unicast dependem do protocolo usado.

Domnio de Broadcast
Lembre-se que um pacote de broadcast aquele que enviado para cada dispositivo em segmento particular. Em redes maiores, com vrios hubs ou switches conectados via diferentes meios, os pacotes transmitidos de um switch atravs de todo o caminho at outras portas de outros switches na rede, so repetidos de switch a switch. A extenso que os pacotes percorrem chamada de domnio de broadcast - esse o segmento de rede onde qualquer computador pode transmitir diretamente para outro computador sem passar por um roteador. A figura abaixo mostra um exemplo de dois domnios de broadcast em uma rede pequena. Porque cada domnio de broadcast estende-se at que ele encontre o roteador, os pacotes de broadcast circularo apenas dentro deste domnio de broadcast especificado.
Roteador

Domnio de Broadcast

Domnio de Broadcast

Nosso exemplo anterior descrevendo como o roteamento refere-se a um bairro tambm fornece uma boa viso sobre como funcionam os domnios de broadcast. Voc pode pensar em um domnio de broadcast como sendo uma rua do bairro. Se voc ficar na varanda e gritar, apenas as pessoas da sua rua vo ser capazes de ouvir voc. Se voc quiser falar com algum em uma rua diferente, voc tem que encontrar uma maneira de falar com essa pessoa diretamente, ao invs de usar o broadcast a partir de sua varanda. As coisas que voc aprendeu at aqui so os princpios bsicos da anlise de pacotes. Voc deve entender o que est acontecendo neste nvel de comunicao de rede antes de comear a solucionar os seus problemas. No prximo captulo aprimoraremos mais estes conceitos e discutiremos sobre os princpios avanados de comunicaes de rede.

14

2
CHACOALHANDO OS FIOS
Podemos agora passar para a etapa final da preparao, antes de comearmos a capturar online os pacotes na rede. Esta ltima etapa descobrir o local mais adequado para colocar um sniffer no sistema de cabeamento da rede. Isso muitas vezes referido pelos analistas como a obteno de pacotes no fio, batendo na rede, ou batendo no fio. Basta colocar, este o processo de colocao de um farejador (sniffer) de pacote em uma rede no local fsico correto. Infelizmente, os pacotes de sniffing no to simples como ligar um laptop em uma porta de rede e ir capturando o trfego (Figura abaixo). Na verdade, s vezes mais difcil colocar um sniffer no sistema de cabeamento de uma rede que realmente analisar os pacotes capturados. O desafio com a colocao do sniffer que existe uma grande variedade de hardware de rede que usado para conectar dispositivos. Porque os trs principais dispositivos em uma moderna rede (hubs, switches e roteadores) todos lidam diferentemente com o trfego, voc deve estar muito consciente da instalao fsica da rede que voc est analisando.

15

Packet Sniffer

O objetivo deste captulo ajud-lo a desenvolver uma compreenso da colocao de um farejador (sniffer) de pacotes em uma variedade de topologias de rede diferentes. Ns vamos olhar vrias configuraes de rede e determinar a melhor maneira para capturar pacotes em ambientes baseado em um hub, switch, roteador. Como um precursor para a compreenso da colocao do farejador (sniffer), vamos tambm obter uma forma mais aprofundada de olhar para as placas de rede em modo promscuo, como elas funcionam, e por que elas so uma necessidade para a anlise de um pacote.

Modo Promscuo
Antes que voc possa capturar os pacotes em uma rede, voc precisar de um carto de interface de rede (NIC) que suporte um driver de modo promscuo. o modo promscuo que permite uma NIC ver todos os pacotes que atravessam o sistema de cabeamento. Quando uma placa de rede no est no modo promscuo, ela geralmente v uma grande quantidade broadcast e outros trfegos que no dirigida a ela, que sero descartados. Quando est no modo promscuo, ela captura tudo e passa todo o trfego que recebe para a CPU, basicamente ignorando as informaes que se encontram na camada 2. Seu farejador (sniffing) de pacotes agarra todos os pacotes para darlhe um relato completo e preciso de todos os pacotes no sistema. Nota: A maioria dos sistemas operacionais (incluindo o Windows) no vai deixar voc usar uma placa de rede em modo promscuo a menos que voc tenha privilgios de administrador. Se voc no pode obter esses privilgios em um sistema, possvel que voc no realize qualquer tipo de farejamento (sniffer) de pacotes em uma rede.

Farejando atravs de um Hub


Farejar (sniffing) em uma rede que tem hubs instalados um sonho para qualquer analista de pacotes. Como voc aprendeu anteriormente, o trfego atravs de um hub enviado para todas as portas conectadas ao hub. Portanto, para analisar com um computador ligado a um hub, tudo que voc precisa fazer conectar o farejador (sniffer) de pacotes em uma porta vazia do hub, e voc poder ver todas as comunicaes de/e para todos os computadores conectados ao hub. Conforme ilustrado na figura abaixo, a sua janela de visibilidade ilimitada quando o farejador (sniffer) est conectado a uma rede atravs de um hub.

Janela de visibilidade D

A Sniffer E F B C

16

Nota: A janela de visibilidade, como mostrada nos diagramas ao longo deste livro, mostra os dispositivos de uma rede, cujo trfego ser capaz de ser visto com um farejador (sniffer) de pacotes. Infelizmente para ns, redes baseadas em hubs so muito raras, devido dor de cabea que causam aos seus administradores. Hubs tendem a deixar o trfego da rede lenta, pois apenas um dispositivo pode usar o hub por vez, portanto, um dispositivo conectado atravs de um hub tem de competir por largura de banda com os outros dispositivos tambm tentando se comunicar atravs dela. Quando dois ou mais dispositivos tentam se comunicar ao mesmo tempo, colidem pacotes (como mostrado na figura abaixo) e pacotes transmitidos so perdidos e devem ser retransmitidos. Com o aumento de colises, o desempenho da rede pode diminuir drasticamente. Como o nvel de trfego e aumenta as colises, dispositivos podem tentar transmitir um pacote trs ou quatro vezes. por isso que as redes mais modernas de qualquer tamanho usam switches. Transmisso Transmisso A nica preocupao que temos que considerar quando estamos farejando (sniffing) pacotes em um computador individual em uma rede utilizando um hub, a captura do grande volume de trfego. Uma vez que uma placa de rede em modo promscuo Coliso v todo o trfego indo e vindo de todos os dispositivos em um hub, voc vai ter uma quantidade muito grande de dados para pesquisar, a maioria dos quais so irrelevantes. No prximo captulo voc vai aprender como aproveitar o poder de capturar e exibir esses dados utilizando filtros, a fim de realizar sua anlise de forma mais eficiente.

Hub

Farejando atravs de um Switch


Um ambiente com switch o tipo mais comum de rede que voc estar trabalhando. Switches proporcionam um meio eficaz de transporte de dados via broadcast, o trfego unicast e multicast. (Para mais informaes sobre estes temas ver Captulo 1). Como bnus, switches permitem a comunicao full-duplex, significando que as mquinas podem enviar e receber dados simultaneamente atravs do mesmo. Infelizmente para analistas de pacotes, switches adicionam um novo nvel de complexidade ao seu trabalho. Quando voc conecta um farejador (sniffer) de pacotes a uma porta de um switch, voc s pode ver o trfego broadcast e o trfego transmitidos e recebidos por sua mquina, como mostrado na figura baixo.

Janela de visibilidade Sniffer

Existem trs formas principais de capturar o trfego de um dispositivo em uma rede com switch: espelhamento de porta, o envenenamento de cache ARP, e hubbing.

17

Espelhamento de Porta
Espelhamento de porta (Port mirroring), ou a medio de porta (Port Spanning) como muitas vezes chamado, talvez a maneira mais fcil de capturar o trfego de um dispositivo em uma rede atravs de um switch. Neste tipo de instalao, voc deve ter acesso interface de linha de comando do switch em que o computador est localizado. Alm disso, o switch ter que suportar o espelhamento de porta. Para que voc possa atravs de linha de comando forar a opo de copia de todo o trfego em uma determinada porta para outra porta (ver figura baixo). Por exemplo, para capturar o trfego de um dispositivo na porta trs de um switch, voc pode simplesmente ligar o farejador (sniffer) na porta quatro e fazer o espelhamento da porta trs. Isso permitir que voc veja todo o trfego transmitido e recebido pelo seu dispositivo ligado na porta trs. O comando exato que voc ir digitar para configurar o espelhamento de porta variar dependendo do fabricante do switch que voc est usando. Voc vai encontrar uma lista de comandos de espelhamento de portas mais comuns na tabela baixo.

E Sniffer B Janela de visibilidade C

Quando estiver utilizando o espelhamento de porta, tenha cuidado com a quantidade de portas que estiverem sendo espelhadas. Alguns fabricantes permitem que voc faa o espelhamento de mltiplas portas em uma nica, isso pode ser muito til quando se analisa a comunicao entre dois ou mais dispositivos em um nico switch. No entanto, consideremos o que vai acontecer com um pouco de matemtica bsica. Por exemplo, se voc tiver um switch de 24 portas e voc espelha 23 portas de 100Mbps full-duplex para uma porta, voc pode ter, potencialmente, 4600Mbps fluindo para essa porta. Isto obviamente vai muito alm do limite fsico de uma nica porta e pode causar perda de pacotes ou de lentido da rede se trfego atingir um determinado nvel. Nestas situaes os switches descartaro o excesso de pacotes, impedindo a comunicao. Certifique-se que este tipo de situao no ocorra quando voc tentar executar a sua captura.

Hubbing
Outra maneira muito simples de capturar o trfego atravs de um dispositivo em uma rede com switch o hubbing. O Hubbing uma tcnica na qual voc coloca o dispositivo desejado e seu sistema farejador (sniffer) no mesmo segmento de rede, ligando-os diretamente a um hub. Muitas pessoas pensam que o uso de hub nos dia est em desuso, mas realmente a sua utilizao uma perfeita soluo em situaes onde voc no pode executar o espelhamento de porta, mas possui um hub para ligar o dispositivo desejado e o farejador (sniffer) na rede. Para utilizar o Hubbing, tudo o que voc precisa de um prprio hub e alguns cabos de rede. Depois de ter tudo mos, v at onde o dispositivo desejado est plugado e desconecte-o. Em seguida, conecte-o ao hub junto com o seu dispositivo farejador (sniffing). Em seguida, ligue o hub rede, conectando-o ao switch. Agora voc tem que basicamente colocar o dispositivo desejado e o farejador (sniffing) no mesmo domnio de broadcast, e todo o trfego enviado ao dispositivo desejado ser transmitido tambm ao farejador (sniffing) de forma que o mesmo poder capturar os pacotes como mostrado na figura abaixo.

18

D A

Sniffer Hub B C

Na maioria das situaes, a utilizao da tcnica de Hubbing reduz a forma de transmisso duplex, a simples half-duplex. Enquanto este mtodo no o melhor caminho para farejar os fios, s vezes ser a sua nica opo quando um switch no suportar o espelhamento de porta. Nota: Como um lembrete, geralmente um gesto simptico alertar ao usurio do dispositivo desejado, que voc ir desconect-lo e monitorado, especialmente se o usurio for o seu chefe! Quando estiver utilizando a tcnica Hubbing, certifique-se que voc est usando um hub de verdade e no um falso switch. Vrios fornecedores de hardware de rede tm o mau hbito de marketing de venda de um dispositivo hub quando ele realmente funciona como um switch. Se voc no est trabalhando com um hub, comprovadamente testado, voc s vai ver seu prprio trfego, e no do dispositivo de desejado. Quando voc encontrar um hub, teste-o para certifica-se que realmente um hub! A melhor maneira de determinar ou no se o dispositivo que voc est usando um verdadeiro hub s ligar um par de computadores nele e ver se voc pode farejar o trfego dos dois. Se conseguir, voc tem um verdadeiro hub em sua posse.

Envenenamento do Cache ARP


Lembre-se do captulo 1, que os dois principais tipos de pacotes de endereamento esto nas Camadas 2 e 3 do modelo OSI. Esta camada 2 de endereamento, ou endereo MAC, usada em conjunto com qualquer sistema de endereamento da camada 3 que voc est usando. No caso deste livro (e do padro da indstria), refiro-me ao Sistema de endereamento de camada 3, o Protocolo IP. Todos os dispositivos em uma rede se comunicam entre si na camada 3 usando endereos IP. Como switches operam na camada 2 do modelo OSI, eles devem ser capazes de traduzir endereos da camada 2 (MAC) em endereos da camada 3 (IP) e vice-versa, a fim de ser capaz de encaminhar o trfego para o dispositivo apropriado. Este processo de traduo feito atravs de um protocolo de camada 3 conhecido como o Protocolo de Resoluo de Endereos o ARP. Quando um computador precisa enviar dados para outro, ele envia um ARP pedindo ao o switch onde est ligado. O switch envia um pacote broadcast ARP para todos os computadores conectados a ele, pedindo que cada computador cheque o seu o endereo IP. Quando o computador de destino v este pacote, ele se identifica com o endereo IP e envia o seu endereo MAC. O switch tem agora uma rota estabelecida at computador de destino, e qualquer dispositivo que desejar se comunicar com este computador de destino pode utilizar essa rota. Estas informaes recm obtidas so armazenadas no cache ARP do switch, evitando assim o novo envio de um pacote broadcast ARP, cada vez que precisar enviar dados para esse computador. O envenenamento de cache ARP uma forma mais avanada de farejar (sniffer) os fios em uma rede comutada. comumente utilizado por hackers para enviar falsamente pacotes endereados aos sistemas do cliente, a fim de interceptar os trfegos da negao de servio (DoS), mas o envenenamento de cache ARP pode ainda servir como uma forma legtima de capturar os pacotes de uma mquina de destino em uma rede que utiliza switch. O envenenamento de cache ARP, por vezes referido como ARP spoofing, o processo de envio de mensagens ARP para um switch ou roteador Ethernet com MAC falso, a fim de interceptar o trfego de outro computador, como mostrado abaixo.

19

Trfego normal Switch

Trfego alterado Switch Roteador Computador desejado Roteador

Computador desejado

Sniffer Sniffer

Usando o Cain & Abel


Ao tentar envenenar o cache ARP, o primeiro passo baixar as ferramentas necessrias e recolher algumas informaes necessrias. Ns vamos usar a popular ferramenta de segurana Cain & Abel da Oxid.it (http://www.oxid.it). V em frente e instale-o agora. Uma vez que voc tenha instalado o software Cain & Abel, voc precisa coletar algumas informaes adicionais, incluindo os endereos IP de seu sistema analisador, o sistema (dispositivo) remoto que voc deseja capturar o trfego, e o roteador ao qual o mesmo est ligado. Quando voc abre o Cain & Abel, voc vai notar uma srie de guias perto da janela superior. O envenenamento de cache ARP apenas uma das vrias opes do Caim & Abel. Para os nossos propsitos, vamos estar trabalhando com a aba Sniffer. Quando clicar nesta guia, voc ver uma tabela vazia, como a mostrada abaixo.
1 5 2 3

Para preencher esta tabela voc ter primeiro que ativar a opo sniffer do Caim & Abel e scanear sua rede a procura dos dispositivos conectados a ela . Para fazer isso, siga estes passos: 1. Clique no segundo cone (1) na barra de ferramentas, que se assemelha a uma placa de rede. A primeira vez que voc fizer isso voc ser solicitado a selecionar a interface que deseja farejar (sniffing). Esta deve a interface que est conectada na rede, dessa forma voc estar realizando o envenenamento de cache ARP. 2. Uma vez que voc selecionou esta interface, clique em OK para ativar os farejadores Cain & Abel. 3. Para criar uma lista de hosts disponveis em sua rede, clique no cone (+) (2) e clique em OK como mostrado abaixo.

20

A grade vazia agora dever ser preenchida com uma lista de todos os hosts encontradas em sua rede, juntamente com os respectivos endereos MAC, endereos IP, e identificao do fabricante. Esta a lista que voc ir trabalhar quando configurar o envenenamento de cache ARP. Na parte inferior da janela do programa, voc ver um conjunto de guias que faz parte da opo Sniffer (3). Agora que voc construiu sua lista de host, voc ir trabalhar a partir da guia APR (4). Alterne para a janela APR clicando na guia. Uma vez na guia APR, sero apresentadas duas tabelas vazias: uma superior e outra inferior. Depois de configur-las, a tabela superior mostrar os dispositivos envolvidos no seu envenenamento de cache ARP, e a tabela inferior mostrar toda a comunicao entre as mquinas envenenadas. Para configurar o seu envenenamento, siga estes passos: 1. Clique no cone (+) na barra de ferramentas padro. A janela que aparece tem duas colunas laterais de seleo lado a lado. 2. No lado esquerdo, voc ver uma lista de todos os hosts disponveis na rede. Clique no endereo IP do dispositivo desejado, cujo trfego que voc deseja farejar (sniffing). Isso resultar na janela da direita, uma lista de todos os outros hosts existente na rede, sendo omitido o endereo IP do dispositivo j escolhido. 3. Na janela da direita, clique no endereo IP do roteador que o dispositivo escolhido est conectado e clique em OK, ver figura abaixo. Os Endereos IPs de ambos os dispositivos devem agora ser listados na tabela superior na janela principal. 4. Para concluir o processo, clique no smbolo de radiao (5) amarelo e preto na barra de ferramentas padro. Isso ir ativar os recursos de envenenamento de cache ARP do Cain & Abel, que permitir que o seu sistema de anlise intermedeie as comunicaes entre o dispositivo escolhido e o roteador. Agora voc pode carregar seu analisador de pacotes (Wirshark) e iniciar o processo de anlise. Quando voc terminar de capturar o trfego, basta clicar no smbolo de radiao (5) amarelo e preto para parar o envenenamento de cache ARP.

Como nota final sobre o envenenamento de cache ARP, voc deve estar muito consciente das regras do sistema em anlise para implementar este processo. Por exemplo, no usar esta tcnica quando for muita alta a utilizao do dispositivo desejado, como um servidor de arquivos que est ligado a rede por link 1Gbps (especialmente se link do seu sistema analisador for de apenas 100Mbps). Quando voc executar este reencaminhamento do trfego, todo o trfego transmitido e recebido pelo sistema desejado deve primeiro passar por seu analisador, tornando seu analisador o gargalo no processo de comunicao. Isso pode criar um efeito do tipo DoS na mquina que voc est analisando, o que resultar no desempenho da rede degradado, conseqentemente falha na anlise dos dados.

Farejando atravs de um Roteador


Todas as tcnicas para farejar os fios em uma rede comutada esto disponveis em redes roteadas tambm. A nica considerao importante quando se lida com ambientes roteados a importncia da colocao (localizao) do farejador (sniffer) quando voc est solucionando um problema que abrange vrios segmentos de rede. Como voc aprendeu anteriormente, o domnio de um dispositivo de transmisso se estende at um roteador. Neste ponto, o trfego entregue para o prximo roteador e voc perde a comunicao com os pacotes

21

que esto sendo transmitidos, at que voc receba uma confirmao de seu recebimento. Em situaes como esta, onde dados devem atravessar vrios roteadores, importante analisar o trfego em todos os lados do roteador. Por exemplo, considere o problema de comunicao que voc pode encontrar em uma rede com vrios segmentos de redes ligados atravs de uma variedade de roteadores. Nesta rede, cada segmento se comunica com outro segmento para armazenar e recuperar dados. O problema que estamos tentando resolver que um dispositivo na rede D, no pode se comunicar com um dispositivo que se encontra na rede A, como mostrado abaixo.

Rede A Rede B Rede C

Rede D

Seu instinto poderia dizer-lhe para capturar o trfego de um dispositivo no segmento D. Quando voc fizer isso, voc pode ver claramente que os dados esto sendo transmitidos ao segmento A, mas sem o recebimento de confirmao. Quando farejar (sniffing) o prximo segmento de rede para encontrar a fonte do problema, voc ver que o trfego descartado pelo roteador da rede B. Eventualmente, isto leva a um problema de configurao no roteador, quando corrigido, resolve o seu maior dilema. Este um excelente exemplo de que muitas vezes necessrio capturar o trfego de vrios dispositivos em vrios segmentos, a fim de identificar um problema.

Mapas de Rede
Em nossa breve discusso sobre o posicionamento da rede, j olhamos vrios mapas diferentes de rede. Um mapa de rede ou diagrama de rede, um diagrama que mostra todos os recursos tcnicos na rede e como eles esto conectados. No h melhor maneira de determinar a colocao de seu analisador de pacotes, alm de ser capaz de visualizar a rede de forma clara. Se voc tem um mapa de rede disponvel para voc, eu recomendo mant-lo acessvel, como se tornar um recurso valioso na soluo de problemas e processo de anlise. Voc pode mesmo fazer um mapa detalhado de sua prpria rede. Lembre-se: s vezes meio caminho andado na soluo de um problema sua identificao.

22

3
INTRODUO AO WIRESHARK
Existem diferentes farejadores (sniffing) de pacotes disponveis para anlise de desempenho de uma rede, mas ns vamos estar usando o Wireshark ao longo deste livro. Este captulo discute a histria do Wireshark, bem como seus benefcios, a instalao, e o seu uso bsico.

Uma Breve Histria sobre o Wireshark


O Wireshark tem uma histria muito rica. Gerald Combs, um ps-graduado de cincia da computao da Universidade de Missouri, em Kansas City, originalmente o desenvolveu fora de suas necessidades. A primeira verso do aplicativo Combs, chamado Ethereal, foi lanado em 1998 sob a GNU Public License (GPL). Oito anos depois de lanar o Ethereal, Combs deixou seu trabalho para perseguir outras oportunidades na carreira. Infelizmente, o seu empregador na poca tinha plenos direitos sobre a marca Ethereal, e Combs no conseguiu chegar a um acordo que lhe permitiria controlar a marca Ethereal. Em vez disso Combs e o resto da equipe de desenvolvimento, rebatizaram o projeto como Wireshark, em meados de 2006. O Wireshark tem crescido dramaticamente em popularidade, e sua equipe de desenvolvimento j possui mais de 500 colaboradores. O programa que existe sob o nome Ethereal no est mais sendo desenvolvido.

Os Benefcios do Wireshark
O Wireshark oferece vrios benefcios que o tornam atraente para o uso dirio. Ele Destina-se tanto ao curioso e ao especialista em anlise de pacotes e oferece uma variedade de recursos para seduzir cada um. Vamos examinar o Wireshark de acordo com os critrios definidos no Captulo 1 para selecionar um a ferramenta farejadora (sniffing) de pacotes.

23

Protocolos Suportados
O Wireshark excede o nmero de protocolos que ele suporta, mais de 850, como est escrito. Estes protocolos como o IP e o DHCP so os mais comuns que os mais avanados protocolos proprietrios, como o AppleTalk e BitTorrent. porque o Wireshark desenvolvido no mbito de um modelo de fonte aberta, o suporte de um novo protocolo adicionado a cada atualizao. Se existe um protocolo que o Wireshark no suporta, voc pode codific-lo e submeter seu cdigo aos desenvolvedores do Wireshark para incluso na aplicao (se o seu cdigo aceito, claro). Dito isto, no h realmente nenhum protocolo que o Wireshark no seja capaz de suportar.

Uso Amigvel
A interface do Wireshark um das mais fceis de entender qualquer outra ferramenta farejadora (sniffing) de pacotes. O Wireshark um aplicativo baseado em GUI com muita clareza escrito com menus de contexto e um layout simples. Ela tambm fornece vrios recursos projetados para melhorar seu uso, como a cor do protocolo baseado em codificao e detalhada representaes grficas de dados brutos. Ao contrrio de algumas das mais complicadas linhas de comandos alternativas como o tcpdump, o Wireshark GUI melhor para aqueles que esto apenas entrando no mundo da anlise de protocolo.

Custo
Uma vez que um open source, o preo do Wireshark no pode ser batido. O Wireshark liberado como software livre sob a GPL. Voc pode baixar e usar o Wireshark para qualquer finalidade, seja pessoal ou comercial.

Suporte ao Programa
Pode ser feito ou no a nvel do software. Quando se tratar de software distribudo livremente como o Wireshark, muitas vezes no h apoio formal, razo pela qual a comunidade de cdigo aberto, muitas vezes depende de seu usurio para oferecer esse suporte. Felizmente para ns, a comunidade Wireshark uma das melhores e mais ativa de que qualquer outro projeto de cdigo aberto. A pgina do Wireshark na internet permite ligaes diretas a vrias formas de suporte, incluindo documentao on-line. o suporte e desenvolvimento wiki, FAQs, um lugar para se inscrever na lista de distribuio de email do Wireshark, que acompanhada pela maioria dos programas desenvolvedores de topo. Estes desenvolvedores, juntamente com a comunidade de usurios do Wireshark, provem suporte que no deixa nenhuma pergunta sem resposta.

Suporte aos Sistemas Operacionais


O Wireshark suporta todos os principais sistemas operacionais modernos, incluindo Windows, Mac OS X e Linux. Voc pode ver uma lista completa dos sistemas operacionais suportados na home page do Wireshark.

Instalando o Wireshark
O processo de instalao do Wireshark surpreendentemente simples. Nesta seco ns olharemos os requisitos do sistema e, em seguida, percorrer as etapas envolvidas na instalao do Wireshark no Windows e Linux.

Requerimentos do Sistema
Antes de instalar o Wireshark, voc deve se certificar de que o sistema atende aos seguintes requisitos: Um processador de 400 MHz ou mais rpido; Pelo menos 60MB de espao de armazenamento disponvel; Uma NIC (placa de rede) que suporte o modo promscuo; WinPcap capture driver; O drive de captura WinPcap a implementao do Windows do Pcap pacote de interface de captura de interface de programao (API). Simplificando, este driver interage com seu sistema operacional para capturar pacotes de dados, aplicar filtros, e mudar a placa de rede dentro e fora do modo promscuo. Voc pode encontrar o pacote de instalao para o driver em http://www.winpcap.org. Nota: Embora voc possa baixar separadamente o WinPcap. melhor instal-lo a partir da instalao do Wireshark, porque a verso includa ao instalar o Wireshark j vem testada para trabalhar em conjunto com o mesmo.

24

Instalando no Windows
O primeiro passo ao instalar o Wireshark no Windows obter o instalao compilada mais recente na pgina web oficial Wireshark, http://www.wireshark.org. Navegue at a seo Downloads, e escolha um site para fazer o download. Uma vez que voc tenha baixado o pacote, siga estes passos: 1. Duplo clique no arquivo executvel. para iniciar a instalao e clique em Avanar na janela introdutria. 2. Leia o contrato de licenciamento e clique em Concordo se voc concordar. 3. Selecione os componentes do Wireshark que voc deseja instalar. Para nossos propsitos, Voc pode aceitar o padro clicando em Next (como mostrado na figura abaixo).

4. Clique em Avanar na janela de tarefas adicionais. 5. Selecione o local onde voc deseja instalar o Wireshark e clique em Avanar. 6. Certifique-se que a opo instalar o WinPcap esteja marcada, e clique em Install. O processo de instalao deve comear.

7. No meio da instalao do Wireshark, a instalao WinPcap dever comear. Quando isso acontecer, clique em Avanar na janela de introduo. Ento leia o contrato de licena e clique em Concordo. 8. O WinPcap ser instalado em seu computador. Assim que tiver terminado, clique Concluir. 9. O Wireshark dever concluir a sua instalao. Uma vez feito isso, clique em Avanar. 10. Uma vez que a janela de confirmao de instalao aparecer, clique em Concluir.

25

Instalando no Linux
O primeiro passo na instalao Wireshark em um sistema Linux baixar o pacote de instalao apropriado. Nem todas as verses do Linux so suportadas, no se surpreenda se a sua distribuio especfica no tiver o seu prprio pacote de instalao. Sistemas Baseados em RPM Para instalar o Wireshark em distribuies baseadas em RPM, como Red Hat, faa o seguinte: 1. Baixe o pacote de instalao apropriado do Wireshark na pgina web. 2. Abra uma janela do console e digite rpm-ivh wireshark 0.99.3.i386.rpm, substituindo o nome do seu pacote baixado, conforme apropriado. 3. Se todas as dependncias esto faltando, instal-los e repetir a etapa anterior. Sistemas Baseados em DEB Para instalar o Wireshark em uma distribuio baseada em DEB, como Debian ou Ubuntu, faa o seguinte: 1. Baixe o pacote de instalao apropriado do Wireshark pgina web. 2. Abra uma janela do console e digite apt-get install wireshark.

Fundamentos do Wireshark
Uma vez que voc instalou com sucesso o Wireshark em seu sistema, voc pode comear a se familiarizar com ele. Agora voc finalmente poder conseguir o completo funcionamento do seu farejador (sniffing) de pacotes. O fato que o Wireshark no muito interessante quando voc abri-lo pela primeira vez. E realmente para que as coisas se tornem emocionantes, voc tem que obter (capturar) alguns dados (pacotes).

Sua Primeira Captura de Pacotes


Iniciando o uso do Wireshark, voc vai realizar a sua primeira captura de pacote. Voc pode estar pensando: "Como eu vou capturar pacotes, quando nada h de errado na rede? "Existem duas coisas erradas com esta declarao. A primeira coisa que sempre h algo de errado na rede. Se voc no acredita em mim, ento v em frente e envie um email para todos os seus empregados e informe a eles que tudo est funcionando perfeitamente. Em segundo lugar, no tem que haver algo de errado para que voc possa realizar a anlise de pacotes. Na verdade, a maioria dos analistas de rede passa mais tempo analisando o trfego sem problemas, do que o trfego com problemas. Voc precisa de uma base para comparar a fim de ser capaz efetivamente de solucionar problemas de trafego em uma rede. Por exemplo, se voc sempre esperar para resolver um problema de DHCP analisando seu trfego, voc deve compreender com o que, o fluxo de trafego DHCP se parece. Mais amplamente, a fim de detectar anomalias no trafego dirio da rede, voc necessita conhecer a atividade normal diria da sua rede. Quando sua rede est funcionando corretamente, voc poder levar em considerao para anlise de um estado normal. Ns cobrimos o bsico. Agora vamos capturar alguns pacotes! 1. Abra o Wireshark. 2. No menu principal drop-down, selecione Capture e, em seguida, Interfaces. Voc dever ver uma caixa de dilogo listando as vrias interfaces que podem ser usados para captura de pacotes, juntamente com os respectivos endereos IP. Escolha a interface que deseja usar e clique em Capture (como mostrado abaixo).

3. Sua captura de pacotes deve comear e o Wireshark dever mostrar a janela de captura de pacotes. Esta janela exibe um resumo breve do tipo de trfego que est sendo capturado, assim como a durao da captura atual (como mostrado baixo).

26

4. Espere cerca de mais ou menos um minuto, e quando voc estiver pronto para parar a captura e visualizar os dados, clique em Parar. Depois de ter concludo as etapas e terminado o processo de captura, a janela principal do Wireshark aparecer com os dados. Por uma questo de fato, voc poder se assustar com quantidade de dados que aparece, mas tudo vai comear a fazer sentido mais rapidamente, quando quebrarmos (analisarmos) a janela principal do Wireshark uma pea de cada vez.

A Janela Principal
Voc vai passar a maior parte de seu tempo usando a janela principal do Wireshark. Este o lugar onde todos os pacotes que voc capturou sero apresentados e divididos em um formato mais compreensvel. Usando o pacote de captura que acabou de fazer, vamos dar uma olhada na janela principal do Wireshark (como mostrado abaixo), que contm trs painis. Os trs painis na janela principal dependem um do outro. Dispostos em ordem para visualizarmos os detalhes de um pacote individualmente, devemos primeiro selecionar o pacote clicando nele no painel Packet List. Depois de selecionar o pacote, poderemos ver os bytes que correspondem exatamente ao pacote selecionado, no painel Packet Bytes quando clicarmos na parte desejada do pacote no painel Packet Details.

27

Painel Packet List O painel superior, conhecido como Packet List, exibe uma tabela contendo todos os pacotes do arquivo de captura atual. Voc vai ver colunas contendo o nmero do pacote, o tempo relativo quando o pacote foi capturado, a origem e o destino do pacote, o protocolo do pacote, e algumas informaes gerais encontrados em no pacote. Painel Packet Details O painel central, conhecido como o Packet Details, contm uma exibio hierarquia de informaes sobre um nico pacote. Esta exposio pode ser recolhida e expandida para mostrar todas as informaes coletadas sobre um pacote individualmente. Painel Packet Bytes O painel inferior, e talvez o mais confuso, o Packet Bytes. Este painel apresenta o pacote em formato de bytes, no transformado da forma que ele , ele mostra o pacote da forma que ele atravessa o fio. Esta a informao em estado bruto, com nada quente ou frio para tornar mais fcil a sua compreenso. Nota: muito importante entender como funcionam esses painis diferentes entre si, pois voc estar gastando mais do seu tempo trabalhando com eles na janela principal.

A caixa de Dilogo Preferncias


O Wireshark tem vrias preferncias que podem ser personalizados para atender s suas necessidades. Vejamos algumas das mais importantes. Para acessar as preferncias do Wireshark, selecione Edit do Menu drop-down principal e clique em Preferences. Isso deve abrir a caixa de dilogo Preferences, que contm vrias opes personalizveis (como mostrado abaixo).

Essas preferncias so divididas em cinco seces principais: interface com o usurio, captura, a impresso de resoluo de nomes e protocolos.

28

Interface do usurio As preferncias da interface do usurio determinam como o Wireshark apresenta os dados. Voc pode alterar a maioria das opes aqui de acordo com suas preferncias pessoais, incluindo ou no salvar as posies da janela, o layout dos trs painis principais, a colocao da barra de rolagem, a colocao da lista de pacotes, as colunas dos painis, as fontes usadas para exibir os dados capturados, e o fundo e as cores de primeiro plano. Captura As preferncias de captura permitem que voc especifique opes relacionadas forma como os pacotes so capturados, incluindo a sua interface de captura de padro, ou no usar o modo promscuo por padro, e se deve ou no atualizar o painel Packet List em tempo real. Imprimindo A seo de preferncias de impresso permite que voc especifique vrias opes relacionadas maneira como o Wireshark imprimir seus dados. Resoluo de Nomes As preferncias na seo de resoluo de nomes permitem voc ativar recursos do Wireshark que lhe permitem resolver endereos para nomes mais reconhecidos (Incluindo o MAC, rede e resoluo de nomes de transportes) e especificar o nmero mximo de solicitaes simultneas de resoluo de nome. Protocolos As preferncias na seo de protocolos permitem que voc manipule as opes relacionadas com a captura e exibio dos vrios protocolos que o Wireshark capaz de decodificar. No tem preferncias configurveis para todos os protocolos, mas alguns tm vrias opes que podem ser alteradas. Estas opes so deixadas inalteradas a menos que voc tenha um motivo especfico para faz-las.

Cdigo de Cores de um Pacote


Se voc se parece comigo, voc pode ter uma averso a objetos brilhantes e cores bonitas. Se for esse o caso, a primeira coisa que voc deve ter notado quando voc abre o Wireshark, so as diferentes cores dos pacotes no painel Packet List (como mostrada abaixo). Pode parecer que as cores sejam distribudas aleatoriamente para cada pacote individualmente, mas este no o caso. Nota: Quando me refiro ao trfego, voc pode supor que eu estou me referindo a todos os pacotes apresentados no painel Packet List. Mais especificamente, quando me refiro a ela, no contexto do trfego DNS, eu estou falando de todos os pacotes do protocolo DNS no painel Packet List. Cada pacote exibido com uma determinada cor, por uma razo. Por exemplo, voc pode perceber que todo o trfego DNS azul e todo o trfego HTTP est verde. Estas cores refletem o protocolo do pacote. O cdigo de cores permite que voc rapidamente diferencie entre os vrios protocolos de modo que voc no precisa ler o campo protocolo no painel Packet List para cada pacote individualmente. Voc ir achar que isso acelera muito o tempo que leva para percorrer grandes arquivos de captura.

O Wireshark torna fcil de ver as cores que so atribudas a cada protocolo atravs da janela Coloring Rules. Para abrir essa janela, siga estes passos: 1. Abrir o Wireshark. 2. Selecione a opo View no menu drop-down principal. 3. Clique em Coloring Rules. A janela Coloring Rules aparecer (como mostrado abaixo), exibindo uma lista completa de todas as regras definidas no Wireshark. Voc pode definir suas prprias regras de colorao e modificar as existentes.

29

Por exemplo, para alterar a cor usada como plano de fundo para o trfego HTTP a partir do padro verde lavanda, siga estes passos: 1. Abra o Wireshark e acesse a caixa de dilogo Coloring Rules (View > Coloring Rules). 2. Encontre a regra de colorao do HTTP na lista Coloring Rules, e selecion-lo clicando uma vez. 3. Clique no boto Edit. 4. Clique no boto Background Color (Cor de fundo) como mostrado abaixo.

5. Escolha a cor que deseja usar na roda de cores e clique em OK. 6. Clique em OK mais duas vezes para aceitar as alteraes e voltar janela principal. 7. A janela principal dever ser atualizada para refletir a nova cor.

30

4
TRABALHANDO COM PACOTES CAPTURADOS
Agora que voc j realizou a sua primeira captura de pacotes, vamos nos deter um pouco mais sobre alguns conceitos bsicos que voc precisa saber sobre o trabalho com os pacotes capturados no Wireshark. Isto inclui a verificao e marcao de pacotes, o salvamento dos arquivos de captura, anexando arquivos de captura, imprimindo os pacotes, e alterando tempo dos formatos exibidos.

Encontrando e Marcando Pacotes


Uma vez que voc comea realmente a fazer a anlise de pacotes, voc acabar por encontrar cenrios que envolvem um nmero muito grande de pacotes. Como o nmero desses pacotes cresce em milhares e mesmo milhes, voc precisa ser capaz de navegar atravs destes pacotes de forma mais eficiente. Esta a razo do uso do Wireshark, pois ele lhe permitir encontrar e marcar os pacotes que correspondam a um determinado critrio.

31

Encontrando Pacotes
Para encontrar os pacotes que correspondam a critrios especficos, abra o pacote de dilogo Localizar (Mostrado na abaixo) selecionando a opo Edit do Menu drop-down principal e clicando em Find Packets ou pressionando as teclas CTRL-F.

Esta caixa de dilogo oferece trs opes para encontrar os pacotes: filtro de exibio, valor hexadecimal ou uma string. A opo de filtro de visualizao permite que voc insira uma expresso que ser usada para encontrar somente os pacotes que a satisfaam (que ser detalhada mais tarde). A busca por string ou valor hexadecimal procurar por pacotes com a string ou o valor hexadecimal especificado, voc pode ver exemplos de todos estes casos abaixo. Outras opes incluem a capacidade de selecionar a janela que voc deseja pesquisar, o conjunto de caracteres a ser usado, e qual a direo que voc deseja pesquisar.

Uma vez que voc fez sua escolha, digite a seqncia de pesquisa na caixa de texto, e clique em Find para encontrar o primeiro pacote que atenda aos seus critrios. Para encontrar a prxima correspondncia, pressione CTRL-N, ou para encontrar a correspondncia anterior pressione CTRL-B.

Marcando Pacotes
Depois de ter encontrado os pacotes que combinam com seus critrios, voc pode marcar os de interesse particular. Pacotes marcados destacam-se com um fundo preto e texto em branco, como mostrado abaixo. (Voc tambm poder ordenar os pacotes marcados quando for salv-los). Existem vrias razes para voc querer marca de um pacote, incluindo a possibilidade de salvar os pacotes separadamente, ou ser capaz de encontr-los rapidamente com base na sua cor.

Para marcar um pacote, clique com o boto direito do mouse no painel Packet List e escolha Mark Packet do Menu pop-up. Ou, simplesmente clique em um pacote no painel Packet List e pressione CTRL-M para marc-lo. Para desmarcar um pacote, desfazer esta definio usando CTRL-M novamente. Voc pode marcar os pacotes que desejar em uma captura. Voc pode saltar para frente e para trs entre os pacotes marcados pressionando SHIFT-CTRL-N e SHIFT-CTRL-B, respectivamente.

Salvando e Exportando Arquivos Capturados


Quando estiver executando a anlise do pacote, voc vai achar que uma boa parte da anlise ir aparecer aps a sua captura. Geralmente, voc ir realizar vrias capturas, e ir salv-las para analis-las todas de uma vez. Por isso, o Wireshark permite que voc salve a captura de arquivos para serem analisados posteriormente.

32

Salvando Arquivos Capturados


Para salvar uma captura de pacotes, selecione File no menu drop-down e em seguida, clique em Save As, ou pressione CTRL-SHIFT hfen. Voc dever ver a caixa de dialogo Save File como mostrado abaixo. Aqui voc ser perguntado sobre o local para salvar a sua e captura de pacotes e o formato de arquivo que voc deseja usar. Se voc no especificar um formato de arquivo, o Wireshark ir usar o formato de arquivo padro (.pcap).

Uma das caractersticas mais poderosas da caixa de dilogo Save File a capacidade de salvar uma srie de pacotes especficos. Voc pode optar por salvar apenas pacotes em um intervalo especfico, pacotes marcados, ou pacotes visveis como o resultado de um filtro de uma seleo. Esta uma tima maneira de reduzir grandes arquivos de captura.

Exportando Dados Capturados


Voc pode exportar seus dados capturados pelo Wireshark em diversos formatos para exibio em outras mdias ou importar para outra ferramenta de anlise de pacotes. Esses formatos incluem texto simples, Postscript, valores separados por vrgula (CSV), e XML. Para exportar a captura de pacotes, escolha File > Export., e depois selecione o formato que voc deseja exportar. Voc ser perguntado por uma caixa de dilogo Save As sobre as opes relacionadas a esse formato especfico.

Mesclando Arquivos Capturados


Certos tipos de anlise requerem a capacidade de mesclar vrios arquivos de captura, e, felizmente o Wireshark fornece dois mtodos diferentes para fazer isso. Para mesclar um arquivo de captura, siga estes passos: 1. Abra um dos arquivos capturados que voc deseja mesclar. 2. Escolha File>Merge para fazer a mesclagem com a caixa de dialogo Capture File como mostrado abaixo. 3. Selecione o novo arquivo que voc deseja mesclar ao arquivo j aberto, e em seguida, selecione o mtodo a utilizar para a mesclagem dos arquivos. Voc pode inserir o arquivo selecionado no inicio do aberto, anex-lo, ou mescl-lo em ordem cronolgica com base na sua data e hora.

33

Alternativamente, se voc desejar mesclar vrios arquivos rapidamente em ordem cronolgica, considere o uso de arrastar e soltar. Para fazer isso, abra o arquivo com a primeira captura atravs do Windows Explorer (ou qualquer que seja seu navegador de arquivos preferido). Em seguida v para o segundo arquivo, clique nele e arraste-o para a janela principal do Wireshark.

Imprimindo Pacotes
Embora a maioria das anlises ter lugar na tela do computador, voc ainda poder encontrar a necessidade de imprimir os dados capturados. Para imprimir pacotes capturados, abra a caixa de dialogo Print escolhendo File > Print a partir do menu principal como mostrado abaixo.

Voc pode imprimir os dados selecionados como texto simples, PostScript ou para uma sada de arquivo. Com a caixa de dialogo Save File As, voc pode especificar uma determinada faixa de pacotes para impresso, apenas os pacotes marcados, ou os pacotes apresentados como o resultado de um filtro. Voc tambm pode escolher qual dos trs painis principais do Wireshark ser impresso cada pacote. Depois de ter selecionado as opes desejadas, simplesmente clique em Print.

34

Formatos de Exibio de Tempo e Referncias


O tempo essencial, especialmente na anlise de pacotes. Tudo o que acontece em uma rede sensvel ao tempo, e voc ter de analisar as tendncias e a latncia da rede em praticamente todos os arquivos de captura. O Wireshark reconhece a importncia do tempo e nos fornece vrias opes configurveis que lhe digam respeito. Aqui vamos dar uma olhada em formatos de tempo de exibio e referncias.

Formato de Exibio de Tempo


Cada pacote que capturado pelo Wireshark dado um rtulo de tempo, que aplicada ao pacote pelo sistema operacional. O Wireshark pode mostrar a hora absoluta, e a relao entre tempo em que o ltimo pacote foi capturado e o incio e final da captura. As opes relacionadas com a exibio do tempo encontram-se atravs da visualizao do menu principal. O Time Display Format (como mostrado abaixo) permite-lhe configurar o formato de apresentao, assim como a preciso do tempo mostrado. A opo de formato de apresentao permite-lhe escolher vrias opes para exibio da hora. As opes de preciso permitem que voc defina a preciso de exibir o tempo automaticamente ou configurar manualmente, como segundos, milissegundos, microssegundos, e assim por diante. Vamos alterar essas opes, muitas vezes no final do livro, assim voc deve se familiarizar com elas agora.

Referncias de Tempo de um Pacote


A referncia de tempo de um pacote permite que voc o configure para que todos os clculos de tempo subseqentes sejam feitos em relao a esse pacote especfico. Esta caracterstica particularmente til quando voc est examinando vrias solicitaes de dados em um arquivo de captura e quer ver a referncia de tempo de um pacote solicitado. Para definir uma referncia de tempo para um determinado pacote, escolha o pacote de referncia no painel Packet List, em seguida escolha Edit > Set Time Reference do menu principal. Ou, selecione o pacote de referncia e pressione CTRL-T. Para remover uma referncia de tempo a partir de um determinado pacote, selecione o pacote e pressione novamente CTRL-T. Quando voc habilitar uma referncia de tempo em um determinado pacote, na coluna de tempo no painel Packet List ser exibido *REF como mostrado abaixo.

Nota: Definir uma referncia de tempo de um pacote s til quando o formato de exibio de tempo de uma
captura configurado para exibir o tempo em relao ao incio da captura. Qualquer outra configurao no ir produzir resultados teis e ir criar um conjunto de referncias, muitas vezes confusa.

35

Filtros de Captura e Exibio


Anteriormente discutimos sobre o salvamento de pacotes atravs do uso de filtros. Os filtros permitem-nos mostrar apenas determinados pacotes em uma captura. Ns podemos criar e usar uma expresso para encontrar exatamente aquilo que queremos, mesmo em um enorme arquivo de captura. Uma expresso no mais que uma seqncia de texto que diz ao Wireshark o que mostrar e o que no mostrar. O Wireshark oferece dois tipos de filtros: os filtros de captura e filtros de exibio.

Filtros de Captura
Filtros de captura so utilizados durante o processo de captura de pacotes em tempo real e so aplicados pelo WinPcap. O conhecimento de sua sintaxe pode ser tambm til em outros programas de anlise de rede. Voc pode configur-los na caixa de dialogo Capture Option onde voc pode especificar o trfego que voc quer ou no quer capturar. Uma boa maneira de usar um filtro de captura seria quando queremos capturar o trfego em um servidor com mltiplas funes. Por exemplo, suponha que voc est solucionando um problema com um servio sendo executado na porta 262. Se o servidor que voc est analisando est executando vrios servios diferentes em varias portas, ento localizar e analisar apenas o trfego na porta 262 pode ser completamente trabalhoso. Para capturar somente o trfego da porta 262, voc pode usar um filtro de captura. Basta seguir estes passos: 1. Abra a caixa de dilogo Capture Options (como mostrado abaixo), selecione a interface que deseja capturar os pacotes e escolha um filtro de captura. 2. Voc pode aplicar o filtro de captura, digitando uma expresso ao lado do boto Capture Filter ou clicando no boto Capture Filter, que ir iniciar o construtor de expresso de captura que ir ajudar voc a criar o seu filtro. Queremos que nosso filtro mostre apenas o trfego de entrada e sada da porta 262, assim digite apenas port 262, como mostrado abaixo. 3. Depois de definir seu filtro, clique em Start para comear a captura. Aps a coleta de uma amostra adequada, voc deve ver agora apenas o trfego da porta 262 e ser capaz de analisar de forma mais eficiente esses dados em particular.

Filtros de Exibio
Pode utilizar um filtro para exibir dados em um arquivo de captura, uma vez que o mesmo foi criado, e desta forma mostrar somente os pacotes que correspondam a esse filtro. Voc pode inserir um filtro que foi criado na caixa de texto acima do painel Packet List. A utilizao de filtros mais comumente usada que a apresentao de toda a captura. Dessa forma, se voc precisar voltar para a captura original, voc pode simplesmente desmarcar a expresso de filtro. Voc pode usar um filtro para limpar o trfego de broadcast a partir de um arquivo de captura, por exemplo, para limpar broadcasts de ARPs a partir do painel Packet List quando estes pacotes no esto relacionados com o problema atual que est sendo analisado. No entanto, devido aos pacotes de broadcasts ARPs poderem ser teis mais tarde, melhor filtr-los temporariamente do que elimin-los completamente. Para filtrar todos os pacotes ARPs na janela de captura, siga estes passos:

36

1. Navegue at a parte superior do painel Pakect List e coloque o cursor na caixa de texto Filter. 2. Digite !Arp e pressione ENTER para remover todos os pacotes ARP do painel Packet List como mostrado abaixo. Para remover o filtro, desmarque a caixa de texto e pressione ENTER novamente.

O Construtor de Filtros (uma forma simples)


A caixa de dialogo de construo de filtros um recurso que torna mais fcil a utilizao do Wireshark pelos usurios novatos, para capturar e criar filtros de exibio. Para acessar esta caixa de dilogo, clique no boto Capture Filter na caixa de dilogo Capture Options e, em seguida, clique no boto Expression.

A primeira coisa que voc vai notar na caixa dilogo Filter Expression uma lista de todos os campos possveis relacionadas ao protocolo no lado esquerdo da janela. Esses campos especificam todos os critrios de filtro possveis. Para criar um filtro, siga estes passos: 1. Para ver os campos especficos dos critrios associados a um referido protocolo, expanda-o clicando no smbolo mais (+) prximo a ele. Uma vez que voc encontrar os critrios que voc deseja basear o seu filtro, selecione-o clicando sobre ele. 2. Selecione a relao que o campo selecionado ter com os valores dos critrios fornecidos por voc. Esta relao especificada em termos de igual, maior que, menor que, e assim por diante. 3. Crie a sua expresso de filtro, especificando o valor dos critrios que dizem respeito ao o campo selecionado. Voc pode definir esse valor ou selecione valores pr-programados do Wireshark. 4. Depois de ter feito isso, clique em OK para ver a verso completa do texto somente do filtro que voc acabou de criar.

A Sintaxe de Construo de Filtros


O caixa de dilogo Filter Expression timo para os usurios novatos, mas quando voc comear a dominar a criao de filtros, voc vai achar que digitar manualmente as expresses de filtro aumentar mais ainda a sua eficincia. A exibio da Filter expression sctruture muito simples, mas extremamente poderosa. Esta linguagem especfica do Wireshark. Vejamos como a sintaxe desse filtro funciona e alguns exemplos do que podemos fazer com ele.

Filtrando um Protocolo Especifico


Voc vai usar na maioria das vezes a captura ou exibio de uma captura filtrada com base em um protocolo especfico. Por exemplo, digamos que voc est solucionando um problema de TCP e voc quer ver apenas o trfego TCP em um arquivo de captura. Se assim for, basta usar um filtro de tcp quando quiser comear o trabalho.

37

Agora vamos olhar para as coisas do outro lado da cerca. Imagine que no curso de solucionar seu problema TCP, voc tem usado bastante o ping, gerando uma grande quantidade de trfego ICMP. Voc pode remover este trfego ICMP de seu arquivo de captura com a expresso de filtro !icmp.

Sinais de Comparao
Os sinais de comparao permitem comparar valores. Por exemplo, quando voc est resolvendo problemas em redes TCP/IP, muitas vezes voc vai precisar ver todos os pacotes de um endereo IP em particular. Em um caso como este o sinal de comparao de igual (==) permitir voc criar um filtro que mostre todos os pacotes com um endereo IP 192.168.0.1 usando uma expresso de filtro como ip.addr == 192.168.0.1. Ou, considere o exemplo mais avanado de um sinal de comparao. Imagine um cenrio em que s precisamos de visualizar os pacotes de menos de 128 bytes de comprimento. Ns podemos usar o sinal menor ou igual a (<=) para realizar este objetivo em uma expresso de filtro como <frame.pkt_len = 128. Voc vai encontrar uma lista completa de sinais de comparao no Wireshark baixo:

Operadores Lgicos Os operadores lgicos permitem combinar vrias expresses de filtro em um nica instruo. Voc pode usar operadores lgicos para aumentar dramaticamente a eficcia de seus filtros. Por exemplo, considere o nosso exemplo anterior de exibir apenas pacotes de um determinado endereo IP e, agora, assumir que estamos interessados em dois endereos IP. Podemos usar o operador ou (or) para criar uma expresso que mostre pacotes contendo um endereo IP. A sintaxe da expresso seria ip.addr ser == 192.168.0.1 or 192.168.0.2 == ip.addr. Voc vai encontrar uma lista completa dos operadores lgicos do Wireshark na tabela baixo:

Exemplos de Expresses de Filtro Embora os conceitos relacionados criao de expresses de filtro sejam bastante simples, voc vai precisar fazer referncia a diversas palavras-chave e operadores especficos ao criar novos filtros para resoluo dos vrios problemas. Porque este livro no pretende ser um manual do usurio do Wireshark, no vamos cobrir todas as palavras-chave e operadores, mas voc vai encontrar informaes sobre eles no site do Wireshark. A tabela abaixo d uma idia de alguns exemplos de expresses de filtro.

38

Salvando Filtros
Uma vez que voc comeou a criar lotes de captura e filtros de exibio, voc certamente usar determinados filtros com mais freqncia. Felizmente, voc no precisar digit-los toda vez que quiser us-los; O Wireshark permite que voc salve seus filtros para uso posterior. Para salvar o filtro personalizado, siga estes passos: 1. Selecione Capture > Capture Filters para abrir a caixa de dilogo Display Filter. 2. Crie um novo filtro clicando no boto New no lado esquerdo da tela. 3. Digite um nome para o filtro na caixa ao lado das palavras Filter name. 4. Digite o filtro atual na caixa ao lado das palavras Filter string. 5. Assim que tiver terminado, clique no boto Save para salvar o seu filtro na lista.

O Wireshark tambm inclui vrios filtros construdos, mas estes so apenas para dar um exemplo de como um filtro pode se parecer. Voc vai querer us-los quando voc estiver criando seus prprios filtros, porque eles so timos para fins de referncia.

39

5
CARACTERISTICAS AVANADAS DO WIRESHARK
Depois de dominar os conceitos fundamentais do Wireshark, voc provavelmente vai querer mergulhar ainda mais em algumas de suas mais avanadas caractersticas. Neste captulo, vamos olhar para alguns desses recursos poderosos, incluindo a resoluo de nomes, dissecao de protocolo e remontagem de pacotes.

Resoluo de Nomes
Os dados em rede so transportados atravs de vrios sistemas de endereamento alfanumricos que muitas vezes so demasiado longos ou complicados de se lembrar, como o endereo fsico de hardware 00:16: CE: 6E: 8B: 24. A resoluo de nomes (tambm chamado de pesquisa de nome) o processo que utiliza um protocolo para converter um endereo em outro. Por exemplo, quando um computador tem um endereo fsico 00:16: CE: 6E: 8B: 24, o DNS e protocolos ARP nos permitem ver o seu nome como Marketing-2. Atravs dessa associao poderemos lembrar com facilidade esse novo endereo. Podemos usar vrias ferramentas de resoluo de nomes para tornar a nossa captura de pacotes mais legvel. Por exemplo, ns poderemos usar a resoluo de DNS para ajudar a identificar facilmente o nome de um computador que estamos tentando identificar como a origem de um pacote especfico.

40

Tipos de Resoluo de Nomes do Wireshark


Existem trs tipos de resoluo de nomes disponveis no Wireshark: resoluo de endereos MAC resoluo de nomes de rede e resoluo de nomes de transportes (portas). Resoluo de Endereo MAC A resoluo de endereo MAC utiliza o protocolo ARP para tentar converter endereos MAC da camada 2 como 00:09:05 B1:02:03, em endereos IP de camada 3, tais como 10.100.12.1. Se essas tentativas de converses falharem, como ltimo recurso o Wireshark converter os trs primeiros bytes do endereo MAC na especificao IEEE com o nome do fabricante do dispositivo, como Netgear_01: 02:03. Resoluo do Nome da Rede A resoluo de nomes de Rede tenta converter um endereo da Camada 3, como o IP endereo 192.168.1.50, em um nome DNS fcil de leitura e de memorizao como MarketingPC1. Resoluo de Nome de Transporte A resoluo de nomes de Transporte (portas) tenta converter um nmero de porta a um nome do protocolo associado a ela. Um exemplo disto seria mostrar a porta 80 como http.

Habilitando a Resoluo de Nome


Para habilitar a resoluo de nomes, abra a caixa de dilogo Capture Options (como mostrado na figura ao lado), escolhendo Capture > Options ou pressionando CTRL-K.

Desvantagens da Resoluo de Nomes


Tendo em conta os seus benefcios, utilizar a resoluo de nomes pode nos trazer algumas desvantagens como as seguintes: s vezes a resoluo de nomes falha. Isso simplesmente pode acontecer porque o nome desconhecido pelo servidor de consulta. A resoluo de Nomes deve ocorrer toda vez que voc abrir um arquivo de captura especfico. Porque essa informao no salva no arquivo. Isto significa que se os servidores que a resoluo de nome depende no esto disponveis a resoluo do nome ir falhar. O DNS pode adicionar pacotes ao arquivo de captura, silenciosamente e sem aviso. O trfego resultante de resolver todos os endereos baseados em DNS tornar o seu arquivo de captura mais volumoso. A resoluo de Nomes exige uma sobrecarga de processamento adicional. Se voc est lidando com uma captura muito grande de arquivos e com pouca memria, voc poder querer renunciar ao recurso de resoluo de nomes, a fim de conseguir utilizar mais os recursos do sistema.

Dissecao de Protocolo
Um dissecador de protocolo permite ao Wireshark quebrar um protocolo (ICMP, por exemplo) em vrias sees para que ele possa ser analisado. O dissecador do protocolo ICMP permite ao Wireshark pegar os dados brutos e format-lo em um pacote ICMP. Voc pode pensar em um dissecador como um tradutor entre os dados brutos que flui atravs dos fios e o programa Wireshark. Para que um protocolo seja suportado pelo Wireshark, ele deve ter um dissecador incorporado. O Wireshark utiliza vrios dissecadores em conjunto para interpretar cada pacote. Ele determina que dissecador usar, usando sua lgica programada fazendo dessa forma uma busca bem sucedida. Infelizmente, o Wireshark nem sempre faz as escolhas certas quando seleciona o dissecador correto para uso em um pacote. Isto especialmente verdadeiro quando ele est usando um protocolo sobre a rede em uma configurao no padro, como uma porta no-padro. Felizmente, ns podemos mudar a maneira como Wireshark implementa certos dissecadores. Por exemplo, abra o arquivo de rastreamento wrongdissector.dmp. Observe que esse arquivo contm um monte de comunicao NetBIOS entre dois computadores. No entanto, h algo errado aqui. Se voc clicar em alguns dos pacotes, voc vai notar que alguns dados no painel de Packet Bytes definitivamente no se parece com o trfego NetBIOS. Na verdade, se voc olhar para pacotes 6 e 7, pode realmente ver um username e uma senha que est sendo enviado de um computador para o outro.

41

Aps uma pequena investigao, descobrimos que os computadores que estamos analisando esto se comunicando vi FTP (note as palavras FTP Server do lado direito da figura abaixo).O Wireshark pensa que este um trfego NetBIOS porque o servidor e o cliente esto configurados para usar o FTP na porta 137, a porta padro de comunicao NetBIOS.

Para corrigir esse problema, temos que forar o Wireshark a usar o dissecador do protocolo FTP nestes pacotes, um processo conhecido como decodificao forada. Para executar este processo, siga estes passos: 1. Clique com o boto direito do mouse em um dos pacotes e selecione Decode As. Isso abrir uma janela na qual voc poder selecionar o dissecador desejado a ser usado (figura abaixo). 2. Diga ao Wireshark para decodificar todo o trafego TCP originado na porta 137 usando o dissecador de protocolo FTP, selecionando Source (137) a partir do menu drop-down e selecionando em seguida FTP na guia Transport. 3. Depois de ter feito suas selees, clique em OK para ver as alteraes imediatamente aplicadas ao processo de captura. Voc dever ver os dados decodificados de modo que voc possa analis-los do painel PacketList sem ter que dissec-los profundamente atravs de seus bytes individualmente.

Nota:
As mudanas que voc faz quando criou uma decodificao forada no so salvas junto com o arquivo de captura. Voc deve recriar sua decodificao forada toda vez que voc abrir o arquivo de captura. Voc pode usar esta funcionalidade mltipla vezes no mesmo arquivo de captura. Porque pode ser difcil manter uma decodificao forada quando voc for usar mais de um arquivo de captura, o Wireshark pode fazer isso para voc. A partir da caixa de dilogo Decode, voc pode clicar no boto Show Current e mostrar todas as decodificaes foradas criadas at o momento. Voc pode tambm limp-las clicando no boto Clear (figura ao lado).

42

Seguindo os fluxos TCP


Uma das caractersticas de anlise mais til do Wireshark sua capacidade para visualizar os fluxos do TCP na camada de aplicao. Este recurso permite que voc combine todas as informaes relacionadas aos pacotes e visualizar os dados das aplicaes que os pacotes carregam como os usurios finais os v. Mais que a visualizao dos dados sendo enviado do cliente para o servidor em um grupo de pequenos pedaos, o fluxo do TCP ordena os dados para torn-los facilmente visveis. Voc pode usar esta ferramenta na tentativa de capturar e decifrar mensagens instantneas enviadas por um funcionrio que suspeito de oferecer informaes corporativas. Para ver como isso iria funcionar, abra o arquivo de exemplo suspectemployeechat.dmp. Neste arquivo voc ver uma grande quantidade de trfego gerado pelo cliente IM popular MSN Messenger. (Voc pode identificar este como o trfego MSN Messenger pela MSNMS que aparece no campo protocolo no painel Packet List). Se voc examinar os detalhes de cada pacote, voc poder ver pequenos pedaos de texto sendo transmitidos. Poderamos passar muito tempo escrevendo as informaes de cada pacote e ir combinando-as at descobrir o que est sendo dito no chat, mas isso no muito prtico. Em vez disso, vamos usar a Janela TCP Stream para obter uma melhor imagem do que est acontecendo. Para seguir o fluxo TCP de dados, clique com o boto direito e selecione Follow TCP Stream. Fazendo isso no arquivo de captura de exemplo obteremos alguns resultados positivo. A janela TCP Stream agora mostra o bate-papo completo entre o nosso funcionrio suspeito e a pessoa que est se comunicando com ele (figura abaixo).

Alm de visualizar os dados nesta janela, voc tambm poder salv-lo como um arquivo de texto, imprimi-lo, ou optar por exibir os dados em ASCII, EBCDIC, Hex, matrizes, ou formato de dados original.

Janela Estatstica e Hierrquica de Protocolo


Ao lidar com arquivos de captura extremamente grande, s vezes precisamos determinar a distribuio dos protocolos no arquivo, ou seja, que percentual da captura TCP, que percentual de IP, que percentual DHCP, e assim por diante. Ao invs de contar cada pacote, totalizando os resultados, podemos usar a janela Protocol Hierarchy Statistics do Wireshark. Esta uma tima maneira de confrontar o resultado de sua rede. Por exemplo, se voc sabe que 10 por cento do trfego de sua rede geralmente composto de trfego ARP, e um dia voc ter obtm uma captura que chega a 50 por cento, ento voc saber que algo de errado est acontecendo. Abra a janela de Protocol Hierarchy Statistics (como mostrado abaixo) escolhendo Statitics > Protocol Hierarchy.

43

Observe que nem todos os totais somam exatamente 100 por cento. Porque um monte de pacotes que voc vai ver contm vrios protocolos de vrias camadas, a contagem de cada protocolo em relao a cada pacote pode ser desligada. No entanto, voc ainda vai ter uma imagem precisa da distribuio de protocolos nos arquivo de captura.

Visualizando os Dispositivos Finais


Um dispositivo final o local onde termina a comunicao em um determinado protocolo. Por exemplo, existem dois pontos de comunicao TCP / IP: os endereos IP dos sistemas de envio e recepo de dados, 192.168.1.5 e 192.168.0.8. Um exemplo da Camada 2 seria a comunicao entre duas placas de rede (NIC) e seus endereos MAC. As placas de envio e recepo de dados tem os endereos 01:00:5e:00:00:16 e 01:00:5e:01:01:06, tornando esses endereos os dispositivos finais da comunicao. Voc pode ver uma representao grfica desse conceito na figura abaixo.

Ao analisar o trfego, voc pode descobrir que pode reduzir um problema em um determinado dispositivo final em sua rede. A janela Endpoints do Wireshark (Statistics > Endpoints) mostra vrias estatsticas teis para cada dispositivo final (figura abaixo), incluindo os endereos, bem como o nmero de pacotes e bytes transmitidos e recebidos por cada um. A guia na janela superior mostra os dispositivos finais suportados e reconhecidos no arquivo de captura. Clique na guia para visualizar a lista dos dispositivos finais e os respectivos protocolos. Seleciona na prxima caixa a opo Name Resolution para visualizar a resoluo de nomes na comunicao entre os dispositivos finais.

44

Voc pode usar a caixa de dilogo Endpoints para filtrar pacotes especficos e exibi-los no painel Packet List. Se voc clicar com o boto direito do mouse em um determinado dispositivo final, sero mostradas vrias opes, incluindo a capacidade de criar um filtro para exibir apenas o trfego deste dispositivo ou todo o trfego excluindo o do dispositivo selecionado. Como bnus, voc tambm poder exportar diretamente o dispositivo final atravs de uma regra de colorizao.

Conversaes
A conversao em uma rede, parece uma conversa entre duas pessoas, descrever uma comunicao que ocorre entre dois hosts (endpoints). Por exemplo, a conversa entre Jim e Sally pode consistir em "Ei, como vai voc? "Estou timo! E voc? "Poderia estar melhor!". Uma conversa entre 192.168.1.5 e 192.168.0.8 poder parecer "SYN", "SYN / ACK", e "ACK". (Ns vamos olhar para o processo de comunicao TCP / IP com mais detalhes no Captulo 6.) O Wireshark fornece caixa de dilogo Conversations (Statstics > Conversations), mostrado na figura abaixo. Voc vai ver os endereos dos dispositivos finais envolvidos na conversa listados como endereo A e endereo B, sero exibidas colunas com os pacotes e bytes transmitidos de cada dispositivo. As conversas constantes nesta janela so divididas atravs do protocolo em uso, e podem ser selecionadas atravs das guias na parte superior da janela. Clicando com o boto direito do mouse em uma conversa especfica lhe permitir criar filtros que podem ser teis, tais como mostrando todo o trfego transmitido pelo dispositivo a, todo o trfego recebido pelo dispositivo B, ou todo o trfego de comunicao entre os dispositivos A e B.

45

A Janela IO Graphs
Uma das melhores maneiras de visualizar tendncias visualiz-las graficamente. A janela IO Graphs do Wireshark permite mostrar um grfico da taxa de transferncia de dados em uma rede. Voc pode usar esse recurso para procurar pontos ou pausas na transferncia de um protocolo especifico durante todo um dia na sua rede. Vamos olhar um grfico de um IO atravs de um download de um arquivo na internet em um computador especifico. Abra o arquivo de rastreamento FileDownload.dmp e, em seguida selecione Statistics > IO Graphs. Aqui voc pode ver o nmero pequeno de bytes por segundo no incio da captura, at o grfico mostrar os picos por um perodo maior de tempo, enquanto o arquivo est sendo baixado (figura abaixo). Voc pode personalizar diversas caractersticas deste grfico. As duas coisas mais importantes que voc poder modificar so as definies para o eixo-x e y do grfico, que permitir modificar os intervalos e as unidades usadas para exibir as informaes de transferncia.

Observe que a maioria das opes configurveis composta por uma rea onde voc pode criar filtros. Voc pode criar at cinco filtros originais (usando a mesma sintaxe tanto para visualizar ou capturar) e especificar as cores de exibio para os filtros. Por exemplo, voc pode criar filtros para mostrar o trfego ARP e DHCP e mostrar as linhas do grfico em vermelho e azul, para que possa mais facilmente diferenciar as tendncias de transferncia entre estes dois tipos de protocolo. Embora algumas dessas caractersticas nos paream serem teis em situaes obscuras, provavelmente voc vai se deparar usando-as mais do que possa imaginar. importante que voc se familiarize com essas janelas e opes, porque faremos referncias a elas em alguns dos prximos captulos.

46

6
PROTOCOLOS MAIS COMUNS
Este captulo uma sntese de alguns dos protocolos mais comuns que aparecem no Wireshark. Vamos olhar arquivos de exemplo contendo os vrios protocolos e em seguida discutir sobre a forma como cada um funciona. Meu objetivo aqui ajudar voc a entender cada um desses protocolos e dar-lhe uma base para comparao quando os tiver analisando, por suspeita de mau funcionamento . Este captulo contm algumas informaes bsicas sobre esses protocolos. Nota: No vou entrar em grandes detalhes sobre o projeto de cada protocolo individualmente, em vez disso, eu fornecerei o nmero da RFC associada a cada um deles. Uma RFC , ou pedido de comentrios, o documento oficial que define as normas de execuo dos protocolos na Pilha TCP/IP. Voc pode procurar a documentao RFC na home page do RFC Editor, http://www.rfc-editor.org.

47

Protocolo de Resoluo de Endereos ARP


Vamos comear com o Address Resolution Protocol (ARP), porque ele um dos protocolos mais simples, necessitando apenas de alguns pacotes para completar a operao inteira. O ARP (RFC 826) usado para traduzir endereos da camada 3 (IP) em endereos da camada 2 (MAC), permitindo assim que os dispositivos (como switches e roteadores) determinem onde os outros dispositivos esto localizados em suas portas. A coisa engraada sobre ARP que ele realmente presta servio a duas diferentes camadas do modelo OSI: a camada de rede e a camada de enlace de dados. Quando um computador quer transmitir dados para outro computador, ele deve primeiro saber onde que o computador est. Isso feito com a ajuda do switch ou roteador que conecta os dois computadores e o protocolo ARP. Agora, d uma olhada no nosso arquivo de captura, como mostrado na figura abaixo. Note que o primeiro pacote enviado por nosso computador de origem (01:16: ce: 6e: 8b 24), um pacote enviado a ff:ff:ff:ff:ff:ff perguntando: Quem 192.168.0.1?.

Como voc aprendeu anteriormente, a mudana s funciona na camada 2, no h conhecimento sobre o endereo do computador da camada 3. O que o computador faz, ento? Bem, o que voc faz quando voc no sabe o primeiro nome do Smith ao qual deseja se comunicar? Voc pega a lista telefnica e liga para Smith que encontrar at chegar ao Smith desejado! O ARP fornece a funcionalidade para localizar o endereo do cliente na camada 3 permitindo que o computador de origem envie um broadcast ARP. Este broadcast enviado para o endereo da camada 2 ff:ff:ff:ff:ff:ff (padro de endereamento broadcast), o pacote ento enviado para todos os computadores que se encontra no mesmo domnio de broadcast. A funo desse pacote perguntar a cada computador que se encontra conectado se possui ou no o endereo IP 192.168.0.1. Computadores com um endereo IP diferente simplesmente descartam o pacote, enquanto o que tem o endereo IP, envia uma resposta contendo seu endereo de Camada 2 ao computador de origem. O segundo pacote (tambm mostrado na figura acima) mostra a resposta ARP ao computador que enviou o primeiro pacote. A resposta muito simples um: 192.168.0.1 00:13:46:0b:22:ba. Deste ponto em diante, o computador de origem saber o endereo da camada 2 do computador de destino e ser capaz de enviar dados diretamente para ele.

Protocolo de Configurao Dinmica DHCP


O Dynamic Host Configuration Protocol (DHCP) outro protocolo bastante simples. O DHCP (RFC 2131) fornece automaticamente aos clientes as informaes relacionadas s configuraes de rede, como um nome de domnio, endereo do servidor NTP, ou um nico endereo de camada 3 (IP). O processo de comunicao DHCP um tipo de comunicao cliente/servidor no qual o computador cliente solicita um endereo IP a um servidor DHCP e o servidor reconhece-o dando-lhe um. A funcionalidade bsica do servidor DHCP um processo simples de quatro etapas. O processo comea com o pacote 1 quando o computador cliente envia um pacote DHCP Discover para o endereo de broadcast IP 255.255.255.255 (como mostrado na figura abaixo).

Quando um cliente deseja obter um endereo IP em uma rede, ele deve primeiro localizar um servidor de DHCP vlido. Isso feito atravs do envio de um pacote de broadcast tentando localizar um servidor de DHCP vlido na rede. Quando um servidor DHCP vlido recebe um destes pacotes, ele envia uma resposta ao cliente com um pacote DHCP Offer, como visto no pacote 2 (figura abaixo). Este pacote contm o endereo IP que o servidor DHCP quer atribuir ao cliente e outras informaes que o servidor est configurado para oferecer.

48

Depois que o cliente recebe este pacote, ele solicita as informaes de endereamento a partir do servidor DHCP, enviando um pacote de solicitao, que o nosso pacote 3 do nosso arquivo de exemplo. Desde que o cliente ainda no tenha se configurado com o endereo IP fornecido, esse pacote novamente enviado como um broadcast, o que diz ao servidor que o cliente aceitou a sua oferta e notifica a todos os outros servidores DHCP na rede que o cliente no est mais aceitando outras ofertas. Depois que o servidor recebe este pacote, ele atribui esse endereo IP para o cliente e envia um DHCP ACK de volta para o cliente, como pode ser visto em pacote de 4 (figura abaixo), significando o final da transao DHCP.

Observe que cada transao DHCP tem um ID especifico da transao que podem ser visto atravs do cabealho de informao no painel Packet List. Esse ID da transao permitir que o servidor DHCP possa identificar e separar cada transao do cliente. Isto importante porque permite que voc mantenha cada transao separada no processo de anlise. Embora ns discutimos apenas quatro, voc pode encontrar at oito diferentes tipos de pacotes DHCP em um arquivo de captura. (Para mais informaes sobre estas e outras funes DHCP, leia o RFC DHCP).

TCP/IP e HTTP
O TCP / IP a base para quase toda a comunicao que discutiremos neste livro. Porque o protocolo de rede mais amplamente utilizado, vamos nos concentrar nele. O Hypertext Transfer Protocol (HTTP, RFC 2616) baseado na comunicao cliente/servidor, usado para transferir pginas da web atravs de uma rede. Um HTTP transao simples um bom exemplo de comunicao TCP / IP. Toda vez que voc pesquisar na Internet com o Google, verificar o tempo, ou mesmo verificar a sua equipe de esporte favorita, voc estar transferindo dados via TCP / IP usando o HTTP.

TCP/IP
O protocolo TCP/IP realmente uma pilha de protocolos, composto por diferentes protocolos em ambas as camadas 3 e 4 do modelo OSI. Estes protocolos incluem o TCP, IP, ARP, DHCP, ICMP, e muitos outros. O Transmission Control Protocol (TCP, RFC 793) um protocolo da camada 4 que comumente utilizado porque fornece um mtodo eficiente de transparncia, comunicao confivel e bidirecional entre os dispositivos. A comunicao Bi-direcional permite que os dados possam ser transmitidos e recebidos simultaneamente a partir de um nico servidor. Todos os benefcios e as caractersticas do TCP so possveis atravs de diferentes tipos de pacotes TCP. Nos prximos pargrafos vamos olhar para esses diferentes tipos de pacotes e o que eles fazem. O Internet Protocol (IP, RFC 791) um protocolo de camada 3 que fornece o sistema de endereamento que permite a comunicao em uma rede. O IP um protocolo sem conexo , o que significa que requer a funcionalidade do pacote TCP, para garantir a confiabilidade dos dados transmitidos. O trfego no arquivo de captura comea com a criao de uma sesso TCP/IP, seguida pelo pedido e transmisso de dados HTTP e o encerramento da sesso. Passo a passo atravs desta simples comunicao entre cliente e servidor nos ajudar a compreender como TCP e o IP trabalham.

Estabelecendo uma Sesso


Antes que voc possa transferir dados para outro computador, o remetente e o receptor precisam completar um processo de handshake TCP. Um handshake TCP consiste em um processo de trs etapas pelo qual o computador de origem (o cliente, neste exemplo) estabelece uma conexo com o computador de destino (o servidor). Voc pode ver o processo de handshake nos primeiros trs pacotes de nosso arquivo de captura, e detalhado visualmente na figura abaixo. Agora um momento muito bom para ir em frente e estabelecer uma conexo entre os nossos computadores cliente e servidor. O computador cliente mostrado no primeiro pacote com endereo IP 145.254.160.237. O computador servidor mostrado no primeiro pacote com Endereo IP 65.208.228.223.

49

O Pacote SYN Para iniciar o processo de handshake, o cliente envia um pacote SYN para o servidor; este pacote usado para estabelecer a sincronizao com o servidor, garantindo a ordem da comunicao entre o cliente e o servidor. O pacote SYN carrega com ele um nmero de seqncia de 32 bits, localizado no cabealho de um pacote TCP. Para visualizar as informaes de um pacote TCP, incluindo o seu nmero de seqncia, expanda a seo TCP no painel Packet Details do Wireshark. (Voc usar esta seo com freqncia, porque ela contm uma variedade de informaes teis, incluindo a origem e o destino das portas utilizadas, o nmero de seqncia, a tipo de pacote TCP, e outras opes de TCP especfica.) Observe no arquivo de captura que o primeiro pacote SYN tem o nmero de seqncia 0, como mostrado na figura abaixo.

Nota: No Wireshark, os nmeros da seqncia TCP so tratados como "parente" por padro. O Wireshark ajusta o primeiro nmero da seqncia em um fluxo de comunicao a fim de que ele seja 0 independente do seu verdadeiro valor. Isso feito para que os nmeros de seqncia sejam mais fceis de serem seguidos. A resposta do Servidor SYN/ACK O prximo passo no processo de handshake a resposta do servidor. Uma vez que o servidor recebe o pacote SYN inicial do cliente, ele l o nmero de seqncia e usa esse nmero no pacote que ele retorna. A resposta chamada SYN/ACK, e visto em dois pacotes do arquivo de exemplo. Uma parte do pacote ACK reconhece o pacote SYN, em outras palavras, ele diz ao computador cliente que o servidor recebeu o pacote SYN. Ele faz isso incrementando em um o nmero de seqncia enviado no pacote SYN original e o usa como o nmero de confirmao do pacote ACK. Quando o cliente recebe o nmero de confirmao contendo o nmero de seqncia original SYN , ele sabe que o servidor pode receber sua comunicao, e vice-versa. O objetivo do SYN parte da SYN/ACK o mesmo do pacote SYN original: Ele usado para transmitir um nmero de seqncia que o sistema cliente pode utilizar para confirmar a recepo. O Pacote ACK Final Finalmente, o cliente envia um pacote ACK para o servidor. Este pacote informa ao servidor que o cliente recebeu o SYN/ACK. Tal como acontece com as duas etapas do processo, o nmero de seqncia incrementado em um e enviado como um nmero de confirmao para o servidor. Uma vez que esse ultimo pacote ACK recebido, a comunicao pode comear. Iniciando o Fluxo de Dados Uma vez que o handshake foi estabelecido, todos os pacotes enviados nesta sesso particular entre o cliente e o servidor sero usados os nmeros de seqncia para se certificar da ordem de seqncia do envio e recebimento dos pacotes. No entanto, a partir de agora, esses pacotes sero incrementados pelo tamanho do

50

quadro de dados a serem transmitidos, ao invs de um. (Para saber mais sobre como os pacotes TCP mantmse organizados, olhar a RFC 793). Pedido e Transmisso HTTP Uma vez que a sesso de comunicao foi estabelecida, hora do pedido e transmisso da pgina da web que voc est tentando exibir. Isto envolve HTTP e TCP. O processo comea no pacote 4, o nosso primeiro pacote HTTP, pede ao servidor para transmitir a pgina web para o cliente. V em frente e expanda a seo HTTP deste pacote no painel Packet Details para ver as informaes especificas do protocolo relacionado a este pedido (conforme mostrado na figura abaixo).

Como voc pode ver, este pacote contm um comando GET (Request Mtodo: GET) para a pgina web download.html no domnio www.ethereal.com domnio (Request URL: / download.html e Host: www.ethereal.com). Voc vai notar tambm outras informaes que podem ser teis, tais como codificao de caracteres (Accept-Charset:ISO-8859-1), e a localizao em referncia (Referrer: http://www.ethereal.com/\ Development.html r \ n). Depois do HTTP ter feito o pedido inicial atravs do GET request, o TCP assume o processo de transferncia dos dados. Durante o resto do arquivo de captura voc vai ver este processo repetido: HTTP faz o pedido de dados ao servidor, e o servidor ir usar TCP para o transporte dos dados de volta ao cliente. O servidor permite que o cliente reconhea o pedido vlido enviando uma mensagem HTTP OK antes de transmitir os dados. (Voc pode ver o GET correspondente e o pacote OK no arquivo de exemplo, nos pacotes 4 e 38, mostrado na figura abaixo).

51

Terminando uma Sesso Quando no h mais dados para serem enviados atravs da conexo estabelecida, a conexo pode ser terminada de uma maneira muito similar ao handshake TCP inicial . Ao invs de usar os pacotes SYN e ACK no entanto, este processo utiliza e pacotes FIN ACK, conforme mostrado na figura abaixo.

Quando o servidor termina a transmisso de dados, ele envia um FIN/ACK para o cliente, como mostrado na figura abaixo. O pacote FIN foi projetado para finalizar a conexo.

O cliente responde ao pacote FIN com um pacote ACK que usa os nmeros de seqncia e as regras de incremento que ele encontra no pacote FIN. Isso finaliza a comunicao com o servidor. Embora o servidor possa ainda receber dados do cliente, a partir desse momento ele no mais transmitir dados. Para concluir o processo, o cliente deve iniciar o mesmo processo novamente com o servidor. O processo FIN/ACK deve ser iniciado e reconhecido por ambos, cliente e servidor. Por exemplo, no pacote de 40, o servidor envia um FIN/ACK para o cliente, e o cliente responde com seu pacote ACK no pacote 41. Em seguida o cliente envia o seu prprio FIN/ACK para o servidor, e o servidor fecha a conexo com um pacote ACK pacotes 43, como mostrado na figura abaixo.

Sistema de Nomes de Domnio DNS


O Domain Name System (DNS, RFC 1034) traduz uma forma de endereo em outra, especificamente, traduz endereos de DNS, como www.google.com ou Marketing-PC1, em seus endereos IP correspondentes. Alguma forma de traduo de endereos uma exigncia, uma vez camada 3 do modelo OSI s pode localizar um computador se tiver o seu endereo IP. A traduo DNS um processo muito simples, e ela consegue na maioria casos terminar o processo utilizando apenas dois pacotes. O primeiro pacote um pedido para o servidor DNS de sua rede local que pergunta: Qual o endereo IP do www.google.com? O segundo pacote a resposta do servidor DNS, dizendo que www.google.com reside em um servidor com o endereo IP de XX.XX.XX.XXX. Vamos dar uma olhada no DNS em ao (veja a figura abaixo). Observe que no primeiro pacote do arquivo um pacote DNS da origem 192.168.0.114 est solicitando o endereo IP de http://www.chrissanders.org do destino 205.152.37.23. O endereo IP de destino recebe a consulta e responde com o pacote 2, que contm o endereo IP do site solicitado, 208.113.140.24. Quando esse processo estiver concludo, a camada 3 assume o processo e completa o seu handshake TCP para que a transferncia de dados possa comear.

52

Nota: Quando voc examinar o arquivo de captura, voc ver vrias consultas DNS diferentes. Muitas vezes uma simples pgina web por necessitar de informao poder gerar uma srie de consultas em vrios servidores. Tente criar um filtro de exibio para mostrar apenas o trfego DNS e veja se voc pode determinar quantas diferentes consultas DNS se encontram neste arquivo.

Protocolo de Transferncia de Arquivos FTP


O File Transfer Protocol (FTP, RFC 959) um protocolo da camada 7 que utilizado para transferir dados entre um servidor e um cliente. Utiliza as portas 20 e 21, o FTP um dos utilitrios de transferncia de arquivos mais usados. Porque o FTP um protocolo cliente/servidor, todas as comunicaes presentes no arquivo de captura mostra o trfego entre um computador cliente e um computador servidor. Tal como acontece com todos os processos TCP, o FTP comea com um handshake TCP padro, como mostrado no pacote 1 da figura abaixo.

Uma vez concludo o processo de handshake, o servidor envia uma mensagem de boas vindas para o cliente. Esta mensagem identifica o servidor como um servidor FTP e diz ao cliente que o servidor est pronto para aceitar suas credenciais de login, como mostrado na figura abaixo.

Atravs dos prximos pacotes, o cliente envia um username (csanders) e uma senha (echo) para o servidor, e o servidor as reconhece (figura abaixo).

Esta comunicao est apresentada na coluna da Info do painel Packet List, mas essa janela s d um breve resumo do contedo do pacote. Se voc quiser ir um pouco mais profundo, voc pode expandir a seo FTP no painel Packet Details. Note que a criptografia no usada no nosso exemplo, ento a senha de FTP pode ser vista claramente no arquivo de captura no pacote 7 (figura abaixo).

Uma conexo cliente usa uma lista de comandos para interagir com um servidor FTP. Eles podem exibir o contedo de um diretrio, percorrer um diretrio, baixar ou apagar um arquivo, e assim por diante. (Para uma lista completa dos comandos disponveis visveis em um pacote FTP, consulte RFC 959). Vamos olhar um pouco os comandos FTP usados no nosso arquivo de exemplo, comeando com o pacote 15, mostrado na figura ao lado.

53

Comando CWD Como voc pode ver, o pacote 15 mostra um comando CWD enviado do cliente para o servidor. O CWD est para mudar o diretrio de trabalho, e esse comando enviado toda vez que voc falar com um cliente de FTP para mover para um diretrio diferente do servidor. Observe neste exemplo que o comando CWD inclui os pedidos para alterar o diretrio de trabalho para /, que o diretrio raiz FTP do servidor. Quando voc se loga pela primeira vez em um servidor FTP, o comando CWD enviado para mudar para o diretrio raiz, /. Uma vez que o servidor recebe este comando CWD, ele muda para o diretrio raiz e diz ao cliente que / agora o diretrio de trabalho atual. Comando SIZE O comando seguinte o SIZE, mostrado na figura ao lado. Este comando informa o tamanho (Em bytes) de um arquivo particular, e sempre enviado com um nome de arquivo.

Note que no pacote 25, o cliente envia o comando SIZE para o servidor para solicitar o tamanho do music.mp3 arquivo. O pacote 26 (figura ao lado) mostra a resposta do servidor, cujo tamanho do arquivo 4.980.924 bytes. Comando RETR O comando RETR (recuperao), mostrado na figura ao lado, usado pelo cliente para solicitar o download de um arquivo ao servidor. No pacote 32, o cliente envia o comando RETR para o servidor, solicitando o download do arquivo music.mp3. Depois que o servidor recebe este pedido, comea a enviar os dados para o cliente. Nota: Os pacotes rotulados como FTP-DATA so aqueles que contm um arquivo que est sendo baixado ou carregado para um servidor.

Protocolo Telnet
O protocolo Telnet (RFC 854) no um protocolo seguro, utiliza uma comunicao baseada em texto entre o cliente e servidor. Ele freqentemente usado para administrar remotamente servidores, switches, roteadores e outros dispositivos de hardware de rede. Nota: Voc pode tornar a sua comunicao mais segura usando SSH ao invs do telnet. Que tipo de comunicao est ocorrendo no presente intercmbio entre o servidor e o cliente? Comeando pelo topo, poderemos obter vrias concluses. O primeiro de vrios pacotes de confirmao que estamos definitivamente vendo no trfego telnet, por causa das configuraes telnet especficas envolvidas entre os dois dispositivos como mostrado na figura ao lado. Cada sesso telnet usa vrias opes exclusivas para especificar as taxas de comunicao e os modos de transferncia de dados, que devem ser sincronizadas entre o cliente e o servidor antes da comunicao iniciar. Estas opes fazem parte dos primeiros 30 pacotes no arquivo de captura de exemplo. O primeiro pacote interessante o nmero 27, que identifica o servidor como um servidor OpenBSD. O pacote 29 apresenta um prompt de login para o cliente, e no pacote 31 voc pode ver que o nome de usurio "fake" enviado de volta para o servidor. No pacote 36 requisitada uma senha do cliente, que respondida no pacote 38 com "user", como mostrado na figura abaixo. Agora voc pode ver o quanto o telnet inseguro. Essa combinao de nome de usurio e senha poderia muito bem ser a senha administrativa

54

para um dos servidores mais importantes em sua rede, e ainda seria apresentado em texto claro que lido por qualquer um com um farejador de pacotes e um pouco de conhecimento.

O resto do arquivo de captura mostra o cliente usando a sesso telnet estabelecida sesso para pingar vrios sites. Voc pode observar esses dados exatamente como so transferidos, olhando para a seo telnet no painel Packet Details.

Servio de Mensagens MSN


Voc pode achar que precisa analisar o trfego de uma conversa de mensagem instantnea por vrias razes. Ns exploramos um cenrio possvel no Captulo 5 quando se suspeita de um funcionrio da empresa oferecer informaes financeiras atravs de um software de envio de mensagens. Existem vrias aplicaes de envio de mensagens instantneas, e enquanto cada uma utiliza seu prprio protocolo, existem certas similaridades em cada uma. Aqui vamos nos concentrar especificamente sobre o trfego do MSN Messenger Service (MSNMS). Vamos ver se no podemos pegar alguns funcionrios no ato. Nota: Algumas organizaes tm polticas que impedem o uso de software de mensagens, e se esse for o caso, mesmo vendo o protocolo MSNMS em um arquivo de captura alarmes podero ser disparados. O arquivo de captura comea com uma comunicao TCP com um simples handshake entre dois clientes, conforme mostrado na figura abaixo.

Na seqncia deste handshake, o primeiro pacote MSNMS enviado a partir do 192.168.0.114 para um servidor que resida fora da sua rede local (figura abaixo).

Este pacote est sendo enviado de um computador em sua rede para um servidor remoto da Microsoft a fim de estabelecer um handshake que prepara a comunicao. Estes pacotes iniciais so marcados como pacotes USR, como visto na seo MSNMS do pacote no painel Packet Details. Voc pode ver o endereo de e-mail da pessoa que inicia a conversa ([email protected]) nestes pacotes iniciais (figura abaixo).

Os prximos dois pacotes so marcados como pacotes CAL, como mostrado na figura abaixo. Os pacotes CAL so enviados do computador dentro da rede para um servidor MSN, a fim de estabelecer a comunicao com outro usurio MSNMS.

55

Como voc pode ver no pacote 7, o usurio correspondente MSNMS tem o endereo de email [email protected] (figura abaixo).

O servidor reconhece agora que recebeu um pacote CAL no pacote 7 e 8 (figura abaixo).

O pacote 9 o ltimo pacote a ser enviado para estabelecer uma comunicao plena. Conforme mostrado na figura abaixo, o packet 9 um pacote JOI enviado a partir do servidor MSN remoto, indicando que o outro membro ([email protected], neste caso) tem xito e se juntou sesso e pode estabelecer a comunicao.

O restante do arquivo de captura contm apenas pacotes MSG, que so simplesmente as mensagens enviadas a partir de uma extremidade a outra, neste caso entre Brian e Thomas. A primeira coisa que provavelmente vem mente quando voc pensa neste conceito , posso realmente ver o que eles esto dizendo?! Bem, to assustador como , a resposta sim. Tudo. Por um simples clique-direito nos pacotes MSG e selecionando Follow TCP Stream (como voc aprendeu a fazer no captulo 5), voc pode ver a conversa completa entre Brian e Thomas (figura abaixo). Isso pode fazer voc ser um pouco mais cuidadoso quando estiver usando enviadores de mensagens instantneas enquanto trabalha!

56

Protocolo Internet de Controle de Mensagens ICMP


O Internet Control Message Protocol (ICMP) uma parte do protocolo IP, eu gosto de cham-lo de protocolo de utilidade, pois usado para solucionar problemas de outros protocolos. Se voc j usou a utilidade de ping, voc usou o protocolo ICMP. Vamos ver o que o trfego ICMP comum parece. A o arquivo de captura de arquivo includo apenas contm oito pacotes. H dois pings separados para dois hosts separados. Vamos olhar os detalhes do pacote um, mostrado na figura abaixo. Se voc expandir a seo ICMP, voc vai ver o pouco que existe em um pacote ICMP. O primeiro pacote rotulado como tipo 8, um pedido (ping). Cada pacote ICMP tem um tipo numrico associado a ele, que determina como o pacote manipulado pela mquina de destino. (RFC 792 lista todos os diferentes tipos de pacotes ICMP). O senso comum nos diz que se um computador envia uma solicitao de eco, ele deve receber uma resposta de eco, e isso o que vemos no arquivo de captura. O Pacote 2 transmitido de volta a partir do computador remoto e marcado como ICMP tipo 0, uma resposta eco (ping). Um padro de ping a partir de uma linha de comando do Windows pinga um host quatro vezes. Voc pode ver o processo de ping no arquivo de captura e na figura abaixo tambm. O primeiro destino do ping: 192.168.0.1, recebe e responde a quatro pings. Depois disso, outro ping iniciado a 72.14.207.99 (http:// www.google.com), que tambm recebe e responde a quatro pings.

Consideraes Finais
O objetivo deste captulo foi apresentar a voc o Wireshark para analisar os arquivos de captura e usar esses arquivos capturados para mostrar como alguns protocolos comuns trabalham. Embora tenhamos apenas brevemente apresentado alguns protocolos mais avanados, eu recomendo a leitura das suas RFCs, estudando-as com mais profundidade. Como o livro continua com vrios cenrios, os estaremos construindo sobre os conceitos bsicos que voc aprendeu aqui.

57

7
CENRIOS BSICOS
Agora chegamos na realidade na carne e ossos deste livro, estamos prontos para usar o Wireshark e analisar de verdade os problemas de rede. Vamos comear dando uma olhada em algumas situaes simples onde a nossa capacidade de analisar os pacotes vo nos ajudar a entender melhor o que est acontecendo por trs das cenas. Ento, vamos olhar para alguns simples cenrios de resoluo de problemas do mundo real que voc poderia possivelmente encontrar no dia a dia. Vamos mergulhar a fundo.

Perda da Conexo TCP


Um dos problemas mais comuns que encontramos quando estamos resolvendo problemas em uma rede perda de conectividade. Por enquanto, vamos ignorar os motivos para a perda de conectividade e olhar para o que realmente ocasionou a perda a nvel de pacote, e assim poderemos identificar esse tipo de problema. O pequeno arquivo de captura tcp-lost.pcap-con (figura abaixo) mostra uma perda de conectividade. O arquivo comea com quatro pacotes padro TCP ACK enviados entre 10.3.71.7 e 10.3.30.1.

58

O problema comea no pacote 5, onde vemos a primeira retransmisso TCP pacotes (figura abaixo).

Por desenho, quando o TCP envia um pacote para um destino e no tem resposta, ele espera um determinado perodo de tempo e depois retransmite o pacote original. Se no receber a resposta, a fonte (origem) do computador duplica a quantidade de tempo e aguarda por uma resposta antes de enviar outra retransmisso. O conceito de retransmisso TCP ilustrado na figura abaixo.

Conforme mostrado na figura abaixo, o processo se repete at que as cinco tentativas de retransmisso TCP sejam concludas, o que sempre leva aproximadamente 9,6 segundo em sua aplicao Windows. Depois de cinco tentativas de retransmisso falhar, a conexo falha completamente e transmisso de dados perdida. Se voc definir o formato de exibio de tempo do Wireshark para mostrar o tempo que tem decorrido desde o pacote capturado anteriormente (View > Time Display Format > Seconds Since Beginning of Capture), voc poder visualizar o incremento do tempo entre os pacotes (figura abaixo).

Agora, d uma olhada nos pacotes retransmitidos na figura abaixo. Observe que o nmero de seqncia (Seq = 5.840) corresponde ao nmero de ACK do pacote cinco mostrado na parte inferior da figura acima (ACK = 5,840). Como voc aprendeu no captulo 6, o TCP usa estes nmeros SEQ e ACK para manter um fluxo TCP em ordem. Como o nmero SEQ mostrado na retransmisso corresponde ao nmero ACK do pacote, voc sabe que o pacote 5 que foi perdido e agora est sendo retransmitido. A capacidade de localizar o pacote exato em que uma tentativa de retransmisso TCP comea conduz muitas vezes voc a pistas que ajudam a determinar exatamente por que essa perda de conectividade ocorreu.

59

Destinos e Cdigos ICMP no encontrados


Ao testar a conectividade da rede, uma das ferramentas mais utilizadas o utilitrio ICMP ping. Se voc tiver sorte, o destino que voc est pingando vai responder, dizendo que seu ping foi bem sucedido. Infelizmente, muitas vezes voc no vai receber uma resposta de ping para trs quando voc estiver resolvendo um problema, voc receber uma mensagem Destination unreachable (destino inacessvel). Usando um farejado de pacotes (sniffer) em conjunto com um utilitrio ICMP poder obter um pouco mais de informao que apenas o ICMP sozinho faria. Vamos ver se no podemos usar essa mensagem de erro ICMP para isolar o problema.

Destino Inacessvel (Unreachable Destination)


Quando voc abrir o arquivo destunreachable.pcap, voc notar que o primeiro pacote no arquivo de captura o seu padro Echo (ping) pacote de solicitao (tambm conhecido como um pacote ICMP tipo 8) de 10.2.10.2 para 10.4.88.88, como mostrado na figura abaixo. Para verificar isso, olhe para a seo ICMP do painel Packet Details, voc deve ver este pacote identificado como tal. Normalmente, porm, que voc iria querer receber um Echo (ping) pacote de resposta (tambm conhecido como um pacote ICMP tipo 0) em resposta ao seu ping.

Examinando o pacote 2 na figura abaixo, voc pode ver que ele tambm no um pacote tipo 0, mas sim um pacote tipo 3, que retornado quando um destino que voc esto tentando ping est inacessvel.

Nota: Se o ICMP apenas identifica o tipo de pacote, no temos ento muita informao til. Mas felizmente, ele nos d um nmero de cdigo tambm, como o Cdigo: 1 (host unreachable). (Vrios tipos de pacotes ICMP oferecem cdigos com um pouco de informao mais especfica sobre o pacote.) Observe que o endereo IP de origem no pacote 2 no o computador que est sendo pingado. Este um sinal certo de que sua solicitao de eco no veio do seu destino. O cdigo de ICMP listado (1) nos diz que a solicitao de ping chegou ao roteador ou switch, mas no ao host de destino. Quando um host est inacessvel, voc tambm vai ver muitas vezes um broadcast ARP enviado a partir do roteador ou switch. A falta de resposta a este broadcast ARP significa que o dispositivo de envio no pode encontrar o dispositivo de destino, ento ele envia um pacote de volta para o computador de origem com um ICMP tipo 0, cdigo 1.

Porta no encontrada (Unreachable Port)


Outra tarefa comum quando estamos resolvendo um problema pingando um dispositivo em uma determinada porta. Isso geralmente feito para garantir que as portas que so necessrias para a execuo de determinados servios esto abertas e aceitam a comunicao de entrada. Por exemplo, voc pode garantir que o FTP acessvel pingando um computador remoto na porta 21. Se por algum motivo o computador remoto no est aceitando a comunicao de entrada na porta 21, ele ir retornar um pacote ICMP tipo 0, o cdigo 2, o que significa que a porta de destino est inacessvel. Desde que voc utilize o ICMP com freqncia em sua rede no dia-a-dia em sua rotina de manuteno, voc deve se familiarizar com ele e alguns dos seus tipos e cdigos mais comuns.

60

Pacotes Fragmentados
O Internet Protocol utilizado para uma volumosa transferncia de dados atravs de uma rede, mas ns muitas vezes ignoramos o fato de que somente assim que uma grande quantidade de dados pode caber no fio de uma vez. Com o intuito de solucionar as limitaes das camadas inferiores, O IP possui uma tecnologia chamada de fragmentao. A fragmentao permite que o protocolo IP possa quebrar grandes quantidades de dados em blocos que podem ser enviados atravs da camada fsica e remontados no sistema destino. Nesta seo, vamos dar uma olhada neste fluxo de dados que tem sido fragmentado pelo IP. O arquivo de traado ipfragments.pcap consiste em 24 pacotes que mostram um solicitao ping e sua resposta. De nossa experincia anterior, sabemos que uma tpica Seqncia ICMP (ping) solicitao-eresposta s tm oito pacotes. Ento por que ns temos muitos mais aqui? Porque neste caso cada pedido e cada resposta exigem trs pacotes em vez de apenas um, por isso h trs vezes mais pacotes do que o usual, como voc pode ver na figura abaixo.

Estes so os pacotes que voc veria se capturasse um ping cujo tamanho dos dados fosse maior do que o padro. Por padro, um ping envia apenas 32 bytes de dados para o seu destino no Windows. No entanto, como voc pode ver, o ping neste traado est transmitindo 3072 bytes de dados para o cliente. Isso representa um problema, porque o padro Ethernet s projetado para lidar com 1.500 bytes em um nico pacote. Portanto, O IP deve fragmentar os pacotes em um fluxo de dados, que o que vemos neste arquivo de rastreamento.

Determinando Quando um Pacote Fragmentado


Como podemos dizer se um pacote foi fragmentado? Felizmente, tudo o que precisamos fazer olhar para o painel Packet Details no ipfragments.pcap. Aqui est como faz-lo: 1. No arquivo de captura, selecione o pacote 1, expanda a seo Internet Protocol na parte inferior do painel Packet Details. 2. Voc dever ver uma seo chamada Flags. Expanda esta seo e voc dever ver trs campos de dados, como mostrado na figura abaixo. O que mais nos interessa a seo More Fragments. Observe que para este pacote, esta seco tem um valor de 1, isso significa que existe mais fragmentos na seqncia.

3. Olhe para a mesma seo do pacote 2, voc ver que ele tem o mesmo valor no campo More Fragments. 4. Olhe para o campo More Fragments do pacote 3, mostrado na figura abaixo. Ao contrrio dos pacotes 1 e 2, este pacote tem um 0 no campo More Fragments. Um valor de 0 nos diz que este

61

pacote o fim do fluxo de dados e que no h mais fragmentos na seqncia. Os possveis valores para esse campo e s 1 e 0.

Mantendo as Coisas em Ordem


A prxima pergunta que surge como estes pacotes fragmentados mantm a ordem. Uma vez que um dispositivo pode receber mltiplos fluxos de dados de uma s vez, o IP atribui um valor de seqncia para que os sistemas receptores possam saber a ordem dos pacotes fragmentados. Para ver o valor da seqncia de um pacote fragmentado, olhe na seo IP do painel Packet Details. Por exemplo, se olhar a seo IP do pacote 1 um no arquivo de exemplo, voc ver um valor de seqncia 0. Isto diz que este o primeiro pacote de uma srie de pacotes fragmentados. Se for para o segundo pacote, voc vai ver uma mudana dramtica neste nmero (figura abaixo): ele sobe para 1.480. A razo para esta mudana que o valor de seqncia de todos os fragmentos do pacote seguinte determinado pelo tamanho (dados) do pacote anterior (menos o tamanho do cabealho IP, que de 20 bytes). No caso do pacote 2, esse pacote ter o nmero da seqncia anterior, que 0, e adicionado o tamanho (em bytes) do mesmo, que 1480.

Como o pacote de 2, o pacote 3 tem a seqncia de 1480 acrescentado do tamanho do pacote anterior que 1480, resultando em uma nova seqncia de 2960. Este conceito ilustrado na figura abaixo.

62

D uma olhada em alguns exemplos de trfego IP fragmentado para ver se voc pode seguir um fluxo de dados at o fim e manter esse fluxo em ordem usando a seqncia de cada pacote. (Isto pode vir a ser um desafio maior do que voc pensa em um arquivo de captura desordenada.)

Sem Conectividade
Agora vamos usar o Wireshark, pela primeira vez para analisar e solucionar problemas de um problema real de rede. Neste cenrio temos dois usurios, Barry e Beth, que se sentam ao lado um do outro em um escritrio. Depois de um aumento do oramento o departamento de TI acaba de adquirir dois novos computadores para Barry e Beth. Voc est no comando da instalao destes novos computadores e certificando-se que esto funcionando corretamente. Aps a instalao, conexo e configurao dos computadores, voc comea a test-los para se certificar que tudo est funcionando. No entanto, voc se depara rapidamente com um problema. O computador de Barry est funcionando perfeitamente, mas por alguma razo o computador de Beth incapaz de acessar a Internet. Seu objetivo descobrir o porqu o computador de Beth incapaz de se conectar Internet e, em seguida, resolver o problema.

O Que Sabemos
A primeira coisa que voc deve sempre fazer quanto a resoluo de um problema fazer uma lista do que voc sabe sobre o assunto. Neste caso, sabemos que Barry e Beth ambos esto usando computadores idnticos, novssimos. Sabemos tambm ambos os computadores tm ligao rede, pois voc lhes atribuiu endereos IP e teve a certeza de que voc poderia ping-los de outro computador no mesmo segmento de rede. Finalmente, sabemos que as configuraes em ambos os computadores devem ser exatamente as mesmas, uma vez que voc os configurou um aps o outro.

Farejando Atravs dos Fios


Uma vez que ns estabelecemos o que sabemos sobre o assunto, hora de fazermos um plano para descobrir o que no sabemos. Comeamos por descobrir que tipo de captura de trfego preciso ter e onde preciso colocar o nosso analisador de da rede para obt-las. O problema a resolver o do acesso a Internet, a escolha lgica capturar os pacotes quando o computador de Beth est tentando acessar um site. A rede a qual o computador de Barry e Beth est conectado, no muito familiar, assim para efeito de comparao, vamos capturar os pacotes do computador de Barry. Ns vamos trabalhar com dois arquivos de captura: um que est ok e outro que no. Comparar os dois nos ajudar a resolver o problema. Este processo conhecido como linha de base. Ns vamos instalar o Wireshark diretamente em ambos as mquinas.

Anlise
Vamos comear por olhar o arquivo de rastreamento do computador de Barry est acessando a Internet com sucesso (barryscomputer.pcap). Quando voc abre o arquivo de rastreamento, a primeira coisa que voc vai ver uma transao HTTP. Como voc pode ver na figura abaixo, voc primeiro tem broadcast ARP procurando um endereo de camada 2 do gateway default 192.168.0.10. Depois do computador de Barry receber uma resposta a esta solicitao, ele inicia um handshake TCP com o servidor remoto. Quando isso for concludo, a transferncia de dados do servidor para o cliente comea.

Agora que sabemos como um pedido WEB bem sucedido deve nesta rede, vamos dar uma olhada no arquivo de captura do computador de Beth (Bethscomputer.pcap) para ver se conseguimos encontrar o problema. No devemos demorar muito tempo para percebermos que algo est definitivamente errado aqui. Conforme mostrado na figura abaixo, o primeiro pacote um pedido ARP, no muito diferente daquele do arquivo de Barry barryscomputer.pcap. No entanto, este pedido ARP no enviado para o mesmo endereo IP como no ltimo. Aqui, o ARP est procurando por um dispositivo com um endereo IP de 192.168.0.11.

63

Imediatamente aps esse pacote ARP, vemos um monte de trfego NetBIOS, como mostrado na figura abaixo. Se outros endereos IP no sinal de que algo errado, ento tudo isso definitivamente o trfego NetBIOS.

O NetBIOS um protocolo mais antigo que normalmente s usado como um backup quando o TCP/IP no est funcionando. O aparecimento de trfego NetBIOS aqui significa que, o computador de Beth foi incapaz de se conectar com xito Internet com o TCP/IP, e foi revertido para o NetBIOS como meio alternativo de comunicao, mas que tambm falhou. (A qualquer momento que voc v o NetBIOS sua rede, muitas vezes um bom sinal de que algo no est certo.) Vamos nos concentrar na maior anomalia que visto at agora, ou seja, os diferentes endereos IP em cada um dos pacotes ARP. O computador de Barry usa o ARP para encontrar o local do gateway default 192.168.0.10. O computador de Beth tentou fazer a mesma coisa, porm, tentou encontrar a localizao do endereo IP 192.168.0.11 e falhou, como mostrado na figura abaixo. Os endereos do gateway default so inconsistentes; algo est errado.
Computador de Barry

Computador de Beth

Uma verificao rpida das configuraes TCP/IP em ambos os computadores revela a resposta do nosso problema: um erro de digitao. O computador de Barry est definido para ter um gateway default 192.168.0.10, e o computador de Beth est definido para 192.168.0.11, que o endereo errado.

Resumo
Os erros que voc vai encontrar muitas vezes devido a erros de configurao. Sempre que possvel, compare uma mquina que funciona adequadamente com a que no para voc identificar o problema. No cenrio anterior, pudemos localizar o pacote exato em que as coisas no se encaixavam corretamente. Uma vez definida a causa do seu problema, voc ir resolv-lo mais facilmente.

Fantasma no Internet Explorer


Este cenrio comea com uma chamada perturbadora para o help desk de um usurio em sua rede chamado Chad. De acordo com o Chad, o seu computador recentemente hospedeiro de uma possesso demonaca. Apesar de seus melhores esforos, a home page inicial em seu navegador da Internet continua a mudar sozinha apontando para outro site. Mesmo que ele mude manualmente de volta como deveria ser, suas mudanas so revertidas depois que ele reinicia o seu computador. Seu objetivo aqui chegar ao fundo dessa possesso e de realizar um exorcismo dos fantasmas que invadiram o computador do Chade.

64

O Que Sabemos
Chad foi da nossa empresa h muito tempo e sabemos que ele no tem uma grande competncia tcnica. Na verdade, ele geralmente faz mau uso do que bom uso do seu computador. (Eu no suponho que voc conhea usurios como ele?) Do ponto de vista tcnico, sabemos que o computador de Chad tem cerca de dois anos, roda o sistema Windows XP, e usa Internet Explorer 6 como seu navegador.

Farejando Atravs dos Fios


Porque esse problema ocorre apenas como o computador do Chad, sabemos que a nica mquina que temos para capturar pacotes a do Chad. Alm disso, parece que a pgina inicial do computador do Chad redefinida toda vez seu computador reiniciado, vamos fazer a nossa captura no momento do boot. Neste caso, no podemos instalar o Wireshark diretamente na mquina do Chad e capturar os pacotes que precisamos, o modo hubbing um bom mtodo para usarmos. Se voc no lembra como esta tcnica usada, consulte nosso a discusso sobre ela em "Hubbing" na pgina 19. A captura comear assim que o computador for ligado e ser interrompida logo que ele for completamente reiniciado, sem a necessidade da interao do usurio.

Anlise
Embora no haja nenhuma interao do usurio com o computador durante a captura, voc pode ficar um pouco chocado quando voc abre o arquivo de rastreamento (hauntedbrowser.pcap) e ver os pacotes TCP e HTTP bombardeando atravs dos fios, como mostrado na figura abaixo. Durante o processo de inicializao normal, voc deve raramente, ou nunca, ver pacotes como estes sendo enviados.

Olhando mais de perto esses pacotes, podemos imediatamente tirar algumas concluses. Em primeiro lugar, sabemos que todos esses pedidos HTTP esto sendo gerados pelo computador do Chade, porque o seu endereo IP listado como a fonte de todos os pacotes TCP e HTTP. Alm disso, voc pode ver no pacote 5 (figura abaixo) que este computador est enviando pacotes HTTP para um sistema na Internet com o comando GET, o que significa que ele est tentando fazer o download de dados.

Dada essa informao, podemos supor que algo est sendo executado no computador do Chad na inicializao que no deveria ocorrer. Um olhar o painel de baixo do Packet List fornece-nos uma idia do que pode ser a raiz do nosso problema. Os pacotes 11 e 12 fazem um pedido DNS ao servidor no domnio na weatherbug.com, como mostrado na figura abaixo.

Considerando que a pgina inicial do Chad continua a mudar quando seu computador reiniciado, ns provavelmente encontramos o nosso culpado. Aps uma investigao mais aprofundada do computador do Chad, nossa hiptese se mostra correta, e vemos que o computador tem um programa desktop WeatherBug sendo executado em segundo plano, configurado para transferir as informaes de tempo e exibi-las na home page aps cada reinicializao. Aps a desinstalao deste software, o problema cessa.

65

Resumo
Voc vai descobrir que muitos problemas em computadores e redes no so da responsabilidade de um computador particular ou da prpria rede, mas sim o software que est rodando nele. Neste cenrio, um programa de monitoramento do tempo, havia sido instalado no computador do Chade , causando-lhe o pensamento que o mesmo estava "possudo" por seu navegador da web mudando a sua home page inicial aps cada reinicializao. Ao capturar e analisar os pacotes com o Wireshark, fomos capazes de descobrir este programa rodando silenciosamente em segundo plano.

Problemas com o FTP


Neste seguinte cenrio, vamos imaginar que voc acabou de configurar um novo servidor FTP para sua companhia. Os clientes iro se conectar a esse servidor FTP tanto internamente e externamente para fazer download e upload de grandes quantidades de dados. Voc definiu o software do servidor FTP e, criou um nome de usurio e senha genrica para utilizao por todos os funcionrios. No entanto, por alguma razo quando voc est tentando testar o servidor de um computador remoto, voc no consegue acess-lo atravs software cliente de FTP.

O Que Sabemos
Sabemos que este servidor novo e acaba de ser criada utilizando o Windows Server 2003, com todas as ltimas atualizaes e service packs instalados. Verificamos que o software de FTP est configurado corretamente e est ativo. Verificamos tambm que o cliente que tenta se conectar ao servidor de FTP est usando o endereo IP apropriado e as credenciais de login.

Farejando Atravs dos Fios


Porque esse problema envolve um servidor e uma mquina cliente, ns teremos um arquivo de captura de ambos os computadores. A captura do cliente ser feita quando o software de cliente FTP tenta se conectar ao servidor. A captura a partir do servidor ser feita no momento em que o cliente est tentando se conectar ao software de FTP. Ao capturar os arquivos desta forma, seremos capazes de determinar se o problema tem origem junto do cliente ou ao servidor, em seguida, poderemos prosseguir com uma investigao mais aprofundada. Ns vamos instalar o Wireshark diretamente nestas duas mquinas para o propsito destas capturas.

Anlise
Vamos comear com o cliente para se certificar de que a comunicao est sendo iniciada como deve ser. Olhando para o ftpclientdenied.pcap arquivo de captura (figura abaixo), e ver que ele est fazendo exatamente o que deve fazer. Comea o processo handshake TCP atravs da emisso de um pacote SYN para o servidor remoto, 192.168.0.182. No entanto, o servidor no responde, de modo que o cliente emite mais dois pacotes SYN para tentar estabelecer uma comunicao.

Este processo continua por cerca de nove segundos antes que o cliente determine que incapaz de se conectar ao servidor. O cliente est fazendo exatamente o que suposto fazer sobre o incio do handshake TCP, por isso seguro assumir que o problema mais provvel no resida no cliente. Agora vamos olhar para o rastreamento do ponto de vista do servidor no arquivo de captura ftpserverdenied.pcap. Os dois arquivos de captura perecem-se similar, na verdade, a nica diferena entre os dois arquivos que a fonte e os endereos de destino nos pacotes SYN esto sendo comutados (figura abaixo). Isso nos diz que os pacotes enviados do cliente so realmente enviados ao servidor, mas que por alguma razo desconhecida o servidor no os tem aceitados.

66

Cliente

Servidor

H tipicamente trs razes principais para que o computador rejeite os pacotes que lhe foram enviados. O suposto servio que para aceitar esses pacotes no est funcionando. Porque sabemos que o software do servidor FTP est funcionando e pronto para aceitar conexes, esse no pode ser o nosso problema. O servidor est enfrentando uma quantidade muito elevada de trfego. Nestas situaes o buffer do servidor pode estar muito cheio e ficando incapaz de se comunicar com alguns clientes. Mais uma vez, isso no pode ser a causa do nosso problema, porque o servidor acaba de ser criado e est sem carga alguma. Os pacotes esto sendo intencionalmente bloqueados. O que intencionalmente pode bloquear os pacotes recebidos por um computador? Algo est fazendo exatamente o que suposto fazer! Aps uma anlise mais aprofundada do servidor, ns achamos que o firewall do Windows est ativado e ele est bloqueando todo o trfego de entrada nas portas FTP.

Resumo
A anlise de pacotes nem sempre leva voc direto a causa do seu problema. De fato, neste cenrio nada especfico na captura identificou o firewall como o problema. No entanto, esta anlise permitiu reduzir o problema especificamente ao servidor. s vezes, voc deve solucionar problemas que afetam dezenas ou mesmo centenas de sistemas. Se voc pode usar a anlise de pacotes nestas situaes afim de diminuir o problema em um computador especfico, ento voc ter que ter guardado uma enorme quantidade de tempo.

Falha no Servidor Remoto


Alguns usurios da rede so absolutamente inacreditveis. Alguma vez voc j teve um usurio que sempre culpa o departamento de TI para cada pequeno problema que ele ou ela tem? Erin exatamente esse tipo de usurio. A qualquer momento em que a rede esteja funcionando abaixo do estado ideal esperado, ela fica contente que voc saiba. Neste cenrio especfico, Erin est tentando enviar um pedido online de alguns produtos. O problema que quando ela submete o formulrio para encomendar o produto, ele retorna um erro HTTP 403 (proibido). Ns sabemos que este erro quase sempre causado por um problema no website remoto, mas Erin se queixou o suficiente para que o seu patro lhe pedisse para provar-lhe que este verdadeiramente o caso. Temos que mostrar que esse problema devido ao servidor remoto, e no algo no nvel de pacote.

O Que Sabemos
Sabemos que Erin no tem sido capaz de enviar dados atravs do formulrio web em questo, mas ela pode submeter qualquer outro formulrio web que ela necessite alcanar. Olhando para o cdigo-fonte do site em questo, vemos que ela est usando um formulrio HTML padro, sem nada diferente anexado a ele.

Farejando Atravs dos Fios


Instalar o Wireshark no computador de Erin a maneira mais fcil de obter a captura do arquivo de que precisamos. Uma vez instalado, podemos comear o processo de captura e Erin pode ento tentar preencher e enviar o seu formulrio, neste ponto que comearemos o processo de anlise.

67

Anlise
O arquivo de rastreamento (http-culpa post.pcap) comea com um handshake TCP padro entre o computador de Erin, 24.4.97.251, e o servidor remoto,216.23.168.114, como mostrado na figura abaixo.

Pouco tempo depois, comea a comunicao HTTP entre o cliente e o servidor. Observe na coluna Info (figura abaixo) que no demora muito para o cliente receber a mensagem HTTP 403 do servidor, que a fonte da denncia.

O erro 403 acontece no pacote 9. Porque este realmente nico fluxo de dados na captura que estamos preocupados, clique com o boto direito e escolha Follow TCP Stream para ler o texto com a remontagem da transao HTTP, como mostrado na figura abaixo.

Olhando para este fluxo TCP, vemos primeiro os dados do formulrio sendo enviados a partir de nosso cliente para o servidor. Neste ponto, devemos ver uma resposta do servidor com algo dizendo que os dados do formulrio foram aceitos, mas em vez disso, vemos a resposta de 403. Isso suficiente para provar que o problema encontra-se no servidor remoto e no na sua rede.

68

Resumo
A anlise de pacotes geralmente uma grande ferramenta para usar quando voc tem de provar o que voc realmente est fazendo. No s s vezes voc tem que provar suas convices ao seu gerente, mas s vezes provar a voc mesmo. Neste caso, a interpretao simples do texto do fluxo TCP pode ser mostrada ao seu supervisor para pr fim ao discurso de Erin contra o departamento de TI.

Um Programa Mal Intencionado


Este cenrio muito parecido com a situao do computador assombrado do Chad. Neste caso, porm, temos um pouco mais a passar. Mandy outro usurio em nossa rede que est se queixando de coisas estranhas acontecendo em seu navegador. O navegador continua a mudar a sua home page para uma de um site de segurana falso em momentos aleatrios ao longo do dia. No s isso, ele v um punhado de pop-ups e seu computador geralmente lento. Se voc tem alguma experincia de reparo em computador, provavelmente voc est muito certo que este um problema de spyware. No entanto, ao invs de apenas usar uma ferramenta de remoo de spyware, ns vamos fazer um rastreamento do computador, de modo que possamos ver exatamente o que este spyware est fazendo para o computador de Mandy ter tantos problemas.

O Que Sabemos
Ns no precisamos saber muito para resolver este problema particular. Sabemos que o computador de Mandy est funcionando lentamente e que o seu browser est sendo invadido constantemente. Seu computador est executando um software antivrus, de modo que o vrus no seja uma preocupao para ns.

Farejando Atravs dos Fios


Ao solucionar um problema relacionado a spyware, sempre uma boa idia comear o seu arquivo de rastreamento quando o computador reiniciado. A maioria das aplicaes spyware tendem a verificar por atualizaes e infecta o computador na reinicializao. Vamos comear nosso arquivo de captura, logo que o computador for ligado e continuar a capturar os pacotes at um minuto ou mais aps o processo de inicializao ter sido concludo. Neste caso, o hubbing ou envenenamento de cache ARP so os melhores mtodos a utilizar para interceptar os pacotes desta mquina. H muito trfego fluindo em nossa rede, vamos criar o arquivo de captura usando um filtro que s pega o trfego de/para o computador de Mandy.

Anlise
Este um arquivo de captura muito grande, ento vamos comear pelo comeo. Os dois primeiros pacotes (mostrado na figura abaixo) so bastante comuns quando um computador inicia-se e comea a inicializar sua pilha TCP/IP.

O primeiro pacote mostra que o computador faz uma solicitao de IP ao servidor DHCP. Normalmente, h uma resposta para este pacote a partir do servidor DHCP, mas uma vez que este um pacote broadcast, o nosso filtro de captura no permitir que ele seja mostrado. O segundo pacote um pacote ARP que chamamos de ARP gratuito. O ARP gratuito um pacote broadcast ARP que usado para garantir que nenhuma outra mquina na rede tem o mesmo endereo IP que mquina de origem. Voc s deve ver os pedidos ARP gratuito saindo, se voc v uma resposta ARP gratuito, o que significa que outro computador na rede tem o seu endereo IP. Nesta captura vemos apenas os pedidos, ento estamos em boa forma. O terceiro pacote da captura o que ns nos preocuparemos. Neste momento do processo de inicializao do computador, o TCP/IP ainda no foi totalmente inicializado: Voc pode ver que ele ainda envia os seus pacotes ARP gratuito, como mostrado na figura abaixo. Mas o pacote 3 mostra que um dispositivo fora da nossa rede est tentando se comunicar com o computador de Mandy na porta 5554.

69

Neste ponto, do processo de inicializao, nenhuma mquina deve estar tentando se comunicar com o computador de Mandy, uma vez que a mesma ainda no est pronta a se comunicar. Portanto, o computador de Mandy simplesmente descarta o pacote e continua com seu processo de inicializao. Outro pacote como este aparece no pacote 5 do arquivo de captura, porm desta vez, o pacote alterou a porta que ele est usando e tenta se conectar a porta 9898, como mostrado na figura abaixo. Muito complicado.

Mais uma vez, o computador de Mandy no est pronto para a comunicao e simplesmente descarta o pacote. Depois do computador de Mandy estar pronto para finalmente aceitar a comunicao, ele recebe mais um desses pacotes no pacote 10. O computador de Mandy no tem qualquer servio sendo executado na porta requisitada para poder aceitar o handshake TCP, assim que seu computador responde para o computador remoto com um pacote TCP RST, encerra a comunicao, como mostrado na figura abaixo.

Esse processo se repete ao longo da prxima srie de vrios pacotes. O computador de Mandy est fazendo exatamente o que suposto ser feito para recusar esta comunicao. Filtrando o Que Bom Se voc continuar a rolar at o pacote 68, voc ver a primeira comunicao legtima, como mostrado na figura abaixo.

Aqui o computador de Mandy comea a se comunicar com o seu software antivrus e comea o download de suas atualizaes. Estes pacotes so vlidos, e j que estamos olhando apenas para os pacotes suspeitos, vamos filtrar esses por filtragem de todo o trfego de/para o endereo IP da McAfee indicado no pacote 68 (figura abaixo). Nota: Esperamos que voc se lembre de como criar filtros da nossa discusso anterior. O filtro que voc deseja criar para esconder qualquer tipo de trfego de/par o servidor da McAfee !ip.addr == 216.49.88.118.

Tentativas de Conexo Remota Uma vez que voc tem esse filtro configurado, o prximo pacote de nosso interesse o pacote 147, mostrado na figura abaixo.

70

Este um pacote mensageiro enviado a partir de um dispositivo na Internet. Voc pode ler o contedo da mensagem, exibindo os pacotes atravs do painel Packet Bytes, como mostrado na figura abaixo.

Felizmente, o servio de mensagens est desabilitado em nossa rede, de modo que Mandy nunca ver esta mensagem. Voc pode verificar que esta mensagem nunca ser entregue vendo o pacote ICMP Destination unreachable enviado pelo nosso computador ao computador remoto logo aps a tentativa de conexo inicial, como mostrado na figura abaixo.

No pacote 210 (figura abaixo), comeamos a ver uma coisa muito preocupante.

Assim como antes, temos um computador remoto tentando estabelecer uma comunicao com o computador de Mandy, iniciando um handshake TCP. No entanto, ao contrrio de antes, seu computador realmente responde desta vez, via porta 1025. Isso significa que existe um servio em execuo nesta porta que est aguardando por uma conexo a partir do exterior. Isso nunca uma coisa boa! Aproximando-se do Problema Neste ponto, voc pode ir vendo mais o nosso arquivo de captura e continuar a vendo as mesmas coisas. Vrias tentativas de conexo so feitas para o computador de Mandy, algumas das quais so bem sucedidas e algumas das quais no so. No obstante, at agora, essas tentativas de conexo realmente no resultou em muito mais interesse por nossa parte, isto , at o nmero de pacotes 357, mostrado na figura abaixo.

No pacote 357 um DCEPRC, ou um pacote Remote Procedure Call (RPC). O RPC um protocolo usado para executar programas remotamente no sistema. Vamos ver, aqui temos um computador fora da nossa rede tentando Iniciar um programa remotamente em um computador dentro de nossa rede. No temos um PhD em cincia da computao para descobrir que isto no deveria acontecer. Agora, vamos querer ver bem de perto o computador de Mandy para ver exatamente a comunicao de volta para o sistema remoto. Ao monitorar essa comunicao, voc acabar por chegar ao pacote 381, no qual o nosso cliente faz um pedido DNS para updates.virtumonde.com, como mostrado na figura abaixo.

71

Se algo como isso acontecer e voc no estiver familiarizado com o site sendo consultado, faa uma pesquisa na Internet. Se voc procurar a palavra-chave virtumonde, voc vai encontrar um monte de resultados relacionados ao spyware e o servidor de hospedagem. Vamos dar uma olhada na comunicao entre o computador de Mandy e o servidor remoto virtumonde. Para fazer isso, abra a janela Conversations e filtre todo o trfego entre o nosso anfitrio, 24.6.125.19, e o servidor virtumonde, 208.48.15.13 (veja a figura abaixo). Uma vez que voc fizer isso, voc ter apenas alguns pacotes para olhar, o que torna as coisas muito mais fceis.

Continuando a lista de pacotes, que vemos no pacote de 386 que o nosso cliente vai para o servidor virtumonde e pede o download de um arquivo chamado bkinst.exe (figura abaixo).

Se voc fizer uma pesquisa na Internet para este arquivo, voc ver que ele est associado com o spyware, invasor do navegador, e praticamente qualquer outra coisa ruim que voc possa pensar. Voc encontrou com sucesso o problema que afeta o computador de Mandy.

Resumo
Neste cenrio, aprendemos que a razo pelo qual o computador de Mandy estava fazendo coisas estranhas foi relacionada a uma aplicao spyware que estava sendo descarregada em seu computador atravs de um servio RPC em segundo plano. Mas qual foi o ponto positivo para passarmos por tudo isso apenas para descobrir algo que j sabamos? Passamos por este processo de anlise para que pudssemos entender melhor o que estava acontecendo na rede. Se o computador de Mandy era capaz de ser infectado com este spyware, as chances so grandes acontecer com o computador de outra pessoa. Aprender as portas e os servios utilizados neste

72

processo de comunicao nos permitir bloque-los no nvel do firewall para evitar problemas no futuro. Mesmo que um problema possa parecer de simples correo, ir a at no final da anlise para descobrir exatamente o porqu isso est acontecendo pode ser muito til no futuro.

Consideraes Finais
Os cenrios previstos neste captulo so muito simples, mas so tambm muito importantes para ajudar voc a se familiarizar com o Wireshark, a anlise de pacotes, e soluo de problemas de rede em geral. O resto do livro est escrito em grande parte no mesmo formato, mas com foco nas diferentes reas de anlise de pacotes do mundo real.

73

8
LUTANDO CONTRA A LENTIDO DA REDE
Como um administrador de rede, muito do seu tempo ser gasto corrigindo os computadores e servios que esto sendo executados mais devagar do que o esperado. A queixa mais comum ouvida pelo pessoal de TI que a rede est lenta. No entanto, s porque algum diz que a rede est funcionando lentamente, no significa que um problema de rede seja a culpa. Portanto, antes de comear a resolver um problema de rede lenta, primeiro voc tem que determinar como a rede realmente est, de fato, com lentido. Neste captulo, vamos olhar para vrias situaes diferentes em que um usurio est reclamando que a rede est lenta.

74

Anatomia do Download Lento


Vamos olhar para a anatomia de um download lento a nvel de pacote. Percorrer todos os pacotes (como mostrado na figura abaixo), voc vai ver um monte de padro HTTP e trfego TCP, e isso mostra o download, tendo lugar. Como aprendemos em nossa discusso sobre HTTP no captulo 6, o HTTP usado para solicitar os dados de um servidor web e, em seguida o TCP usado para fazer o download desses dados do servidor remoto.

A fim de filtrar o trfego anormal que est tornando o nosso download lento, usaremos a janela Expert Infos. Para abrir essa janela, clique em Analize na barra de menu e selecione Expert Infos. Voc deve ver algo como a figura abaixo.

Por default, a janela Expert Infos mostra todos os avisos, erros, notas, e trfego de conversao (batepapo) do nosso arquivo de captura. O trfego de conversao (bate-papo) em geral no suspeito (pelo menos para essa finalidade), vamos modificar a configurao default selecionando Error+Warn+Note na caixa suspensa prxima as palavras Severity filter. Nossa nova janela Expert Infos ser semelhante a da figura abaixo.

75

Observe na figura acima que a abundncia dos pacotes em nosso arquivo de captura so os pacotes TCP Window update. A taxa de transmisso de dados atravs de uma rede determinado pelo tamanho da janela de recepo TCP. Quando os clientes esto transferindo dados, eles vo enviar constantemente a atualizao da janela TCP para os outros com a sua capacidade de receber dados aumentando ou diminuindo essa janela. Estes pacotes so usados para notificar um cliente que ele precisa aumentar ou diminuir o tamanho dos dados a serem transmitidos. Voc pode pensar nisso como algum pressionando o boto em uma fonte de gua para voc. Se o boto for pressionado demais, voc no ser capaz de capturar toda a gua na boca, ento voc deve instruir a pessoa a diminuir a presso sobre o boto. Por outro lado, se a pessoa no est pressionando o boto o suficiente, voc no beber gua tanto quanto voc poderia beber. Em seguida, vemos o nosso primeiro pacote problemtico. medida que o download comea, ns comeamos a ver o segmento TCP anterior sendo perdido, como mostrado na figura abaixo.

76

Estes pacotes dizem-nos que durante o curso da transferncia de dados, um pacote subitamente foi descartado. Em resposta, o cliente envia os pacotes Duplicate ACK para o servidor, solicitando que o pacote perdido seja enviado novamente. O cliente continua a enviar Duplicate ACKs at que recebe o pacote solicitado. Vemos ento a retransmisso do pacote descartado como um TCP Retransmission na janela Expert Infos, como mostrado na figura abaixo.

No incio do nosso download, vemos apenas um ou dois ACKs Duplicate em uma linha, mas como o download progride, comeamos a ver mais e mais. Isto diz-nos que estamos a experimentar mais latncia. Se voc continuar a percorrer o resto da captura, voc vai ver que ele est cheio de segmentos perdidos e Duplicate ACKs - o indicador de download lento no processo. Convenientemente, o Wireshark permite que o grfico do fluxo de TCP para o download, como mostrado na figura abaixo. Voc pode acessar o grfico, clicando em um pacote relacionado com o fluxo que deseja analisar (eu selecionei o pacote de nmero 1023) e escolhendo Statistics > TCP Stream Graph > Round Trip Time Graph. O TCP Stream Graph recurso do Wireshark uma tima maneira de visualizar o throughput de dados quando se trata de um fluxo TCP.

77

Embora este grfico possa no ser esteticamente agradvel, uma tima maneira de comparar o tempo de ida e volta (RTT) ao longo de uma captura de pacotes. Repare, por exemplo, que perto do comeo do grfico desta captura, vemos o RTT com mais de um segundo. Isto completamente inaceitvel para o download um arquivo. Mesmo quando fazemos um download de um arquivo da Internet, vemos tempo no superior a 0,1 segundos, com tempo ideal de no mais de 0,04 segundo (40 milissegundos). Este grfico mostra-nos logo que temos um grande problema.

Uma Rota Lenta


O primeiro passo para resolver qualquer problema de rede lenta determinar a origem do problema. No cenrio seguinte, o help desk acabou de receber um telefonema de Owen, que est reclamando que sua conexo Internet est extremamente lenta.

O Que Sabemos
No h muito que ns precisamos saber antes de podermos comear a enderear esta queixa bastante simples. Verificamos que a questo da Internet lenta persiste independentemente do site visitado. E, aps uma investigao aprofundada, ns sabemos que cada mquina que se encontra na mesma rede do Owen esto enfrentando o mesmo problema.

Farejando Atravs dos Fios


Uma vez que Owen foi o primeiro a reclamar sobre este problema, vamos realizar a anlise de seu computador (embora provavelmente qualquer computador na rede seja suficiente). Vamos instalar o Wireshark diretamente em sua mquina para obter a captura de pacotes que precisamos. Desde que o problema esteja afetando vrios computadores, sabemos que no um problema com o computador de Owen especificamente, uma captura apenas de seu computador que tenta acessar a Internet no vai nos dar as informaes que necessitamos. Em vez disso, vamos usar o utilitrio ICMP traceroute para obter uma melhor idia de onde reside o problema. O traceroute uma ferramenta de diagnstico baseado no ICMP (UDP baseados em Unix) que envia pacotes para cada roteador ao longo de um caminho, progredindo at atingir um destino especificado. O traceroute ir relatar algumas informaes bsicas sobre quaisquer atrasos que enfrentamos (como mostrado na sada na figura abaixo), mas para obter uma compreenso real sobre onde est o gargalo, vamos capturar os resultados do traceroute com o Wireshark. Eu inclu uma imagem de uma tela de sada de traceroute como amostra na figura abaixo. Cada linha representa o tempo que leva para atravessar uma rede em uma rota at o destino.

78

Anlise
Olhando para o arquivo de captura (icmp-tracert slow.pcap, figura abaixo), a primeira coisa que vemos so os pacotes Echo (ping) a serem enviados a partir do computador de Owen para um host remoto.

Estes pacotes diferentes dos pacotes ping regular uma importante maneira, como voc ver se olhar na seo IP do painel Packet Details. A diferena que o valor de TTL destes pacotes est definido como um, como mostrado na figura abaixo.

O valor Time-To-Live (TTL) um valor numrico que determina quantas vezes um pacote saltar de um roteador at outro atravs de uma rede at chegar ao seu destino final. Um valor de 1 significa que um traceroute ir enviar um pacote para o dispositivo de destino, mas que o pacote termina quando ele atinge o primeiro roteador ao longo do percurso, neste mesmo tempo, um pacote ICMP TTL expirado ser enviado de volta. Depois de recebido este ICMP TTL expired packet, o traceroute ir enviar outro pacote com um valor TTL de 2, o que causar um ICMP TTL expired packet a ser enviado de volta uma vez que o pacote atinge o segundo roteador ao longo do percurso. Esse processo continua at que um pacote tenha o valor de TTL que apenas o suficiente para chegar ao destino, como ilustrado na figura abaixo.

TTL 1 TTL 2 TTL 3

Aplicando o nosso conhecimento recente sobre TTL em nossa situao atual, podemos ver imediatamente um problema com o primeiro pacote enviado. Este pacote tem um TTL de valor de 1, por isso imediatamente atinge o roteador interno da nossa rede que deveria nos responder, mas isso no acontece. Uma vez que o computador de Owen no recebeu uma resposta imediata de volta ao primeiro pacote TTL de valor 1, ele espera cerca de trs segundos (como mostrado no campo Time do Wireshark na figura abaixo) e ento envia outra solicitao.

79

Quando o computador de Owen no recebe nenhuma resposta para esta segunda tentativa, ele aguarda aproximadamente trs segundos e envia um ltimo pacote para o roteador, que tambm no obtm xito, como mostrado na figura abaixo.

Neste ponto, o traceroute obtm uma resposta do primeiro roteador, assim que seu prximo pacote (pacote 4) que tem um valor TTL de 2. Este pacote chega ao segundo roteador com xito, e o computador de Owen recebe o esperado ICMP tipo 11, cdigo 0, que tem a mensagem Time-To-Live exceeded, mostrado na figura abaixo.

Esse processo continua at o resto da captura, o valor de TTL continuamente incrementado at que o destino seja alcanado. O que podemos determinar a partir desta anlise traceroute? Primeiro de tudo, sabemos que nosso problema reside no roteador interno da nossa rede, porque nunca conseguimos receber uma resposta ICMP dele. Roteadores so dispositivos muito complicados, por isso no nos aprofundaremos na semntica do que exatamente est errado com o nosso roteador. O ponto chave que ns obtemos xito determinando onde reside o problema: no roteador interno da nossa rede.

Resumo
Mais uma vez, o Wireshark nos salvou inmeras horas de resoluo de problemas nos permitindo rapidamente localizar a fonte do nosso problema. Enquanto o Wireshark no vai nos dizer o que h de errado com o nosso roteador ou como corrigi-lo, sabemos agora o suficiente para virar a nossa ateno para a configurao do roteador para saber mais sobre o problema. Ns tambm aprendemos algumas coisas novas sobre o ICMP, bem como a forma de trabalho com o utilitrio traceroute. (o traceroute tem vrias outras opes configurveis e de uso, voc pode descobrir mais sobre eles, fazendo uma busca rpida pela Internet.)

Viso Dupla
Neste cenrio, voc ter instalado e configurado um novo computador para o Jeff, o empregado mais novo da empresa. Normalmente, quando voc instala um novo computador, voc espera que ele seja mais rpido que o resto dos dispositivos em sua rede. No entanto, depois de pouco tempo, os relatrios de Jeff passa por perodos de pico de utilizao, o seu computador est com lentido grave a ponto de que determinados servios de rede tornam-se indisponveis.

O Que Sabemos
Primeiro de tudo, sabemos que o computador de Jeff novo, assim deve funcionar com um desempenho ideal. Fora isso, no h outros relatos de lentido rede, durante o pico ou no de utilizao . Sabemos tambm que Jeff um usurio que usa muito da largura de banda. A maioria das suas tarefas est relacionada com a utilizao da rede, e muitas vezes ele executa mltiplas aplicaes net-centric de uma vez. Estas aplicaes, juntamente com a Internet e clientes de email, criam uma carga acima da mdia do trfego, mas que a nossa rede deve ser capaz de lidar facilmente.

Farejando Atravs dos Fios


Porque esse problema est relacionado apenas ao computador de Jeff, vamos instalar o Wireshark diretamente nele. A melhor poca para analisar este problema quando ele est acontecendo, que durante o tempo de pico de uso. Queremos que Jeff possa executar sua rotina diria, por isso vamos iniciar a captura do arquivo, deixe-o funcionar por alguns minutos, enquanto Jeff faz as suas tarefas, e termine-as para que possamos olhar os dados coletados.

80

Anlise
O ttulo deste cenrio realmente se torna claro quando voc abre o arquivo de rastreamento, doublevision.pcap. Imediatamente, voc vai notar tudo duplicado, todos os pacotes no arquivo de captura so repetidos, como voc pode ver no incio da captura na figura abaixo. Isto definitivamente no normal. Nota: Por razes de simplicidade, vamos apenas olhar para seis pacotes, uma vez que realmente tudo o que necessrio para nossos propsitos. Basta lembrar que todos os pacotes so duplicados para todas as comunicaes a partir do computador de Jeff.

Existem duas causas comuns para pacotes duplicados em um arquivo de captura: inconsistncias no encaminhamento e configurao incorreta do espelhamento de porta. Antes de chegarmos at essa nossa concluso e tentar determinar a causa disso tudo, vamos ter certeza que os pacotes que estamos olhando so verdadeiras duplicatas um do outro. Uma maneira de determinar se os dois pacotes so idnticos olhar para o nmero de identificao IP de cada um em seu cabealho IP. Voc vai encontrar esse ID na seo IP de um pacote no painel Packet Details. Voc ver que o primeiro e segundo pacotes tm o mesmo nmero de identificao, 0xc509, como mostrado na figura abaixo.

O mesmo verdade para os terceiro e quarto pacotes, ambos tm um ID da transao 0xaca7, como mostrado na figura abaixo. Continuando a lista, ns achamos que o mesmo verdadeiro para cada par de pacotes no arquivo de captura.

Agora que sabemos que todos os pacotes so duplicatas exatas tanto quanto a carga em uso, podemos comear a tentar determinar qual das duas solues possveis mais provvel que seja correta, roteamento inconsistente ou erro de espelhamento de porta. Para esse fim, vamos olhar para os valores TTL dos pacotes.

81

Se esses valores diferem, sinaliza um problema de roteamento interno; se so iguais, ento temos provavelmente um problema de espelhamento de porta. Conforme mostrado na figura abaixo, vemos que o valor TTL do pacote 1 47, e o valor do pacote 2 46. Isso nos diz que definitivamente temos um problema de roteamento interno. O fato que o segundo pacote foi diminudo de 1 mostra que o mesmo passou por um roteador em algum lugar e depois foi devolvido de volta nossa mquina. Porque este problema est apenas ocorrendo com o computador de Jeff, conclumos que deve ser isolado nele, mais do que em um roteador na rede. Aps uma investigao mais aprofundada, achamos que o seu novo computador foi configurado com uma mscara de subrede errada.

Resumo
Se uma mquina est configurada com uma mscara de subrede errada, o resultado pode ser uma multiplicidade de problemas, incluindo a preveno da comunicao dele com os outros computadores. Neste caso, todos os pacotes enviados a partir do computador de Jeff so devolvidos, essencialmente duplicando a quantidade de trfego que o computador tem que lidar diminuindo a comunicao diminuindo tremendamente durante os horrios de pico.

Ser que o Servidor Emperrou?


Surpresa! Outro usurio est se queixando de uma conexo de Internet lenta. Desta vez, Eric reclama que ele no pode acessar uma parte do site da Novell para o download de alguns softwares necessrios. Cada vez que ele visita o site, o seu browser carrega e carrega, mas nada acontece. Deve ser um problema com a rede, certo?

O Que Sabemos
Aps uma verificao completa da rede, determinamos que o acesso Internet normal para todas as mquinas exceto para a mquina de Eric. Portanto, o problema deve ser especfico da estao de trabalho de Eric. Seu computador est executando o Windows, e est completamente atualizado com todos os service packs mais recentes e patches. Aps mais investigao, descobrimos que o nico problema com uma seo especial do site da Novell.

Farejando Atravs dos Fios


Porque o problema aqui apenas com o computador do Eric, podemos instalar o Wireshark em seu sistema e capturar os pacotes que precisamos. O problema ocorre quando ele visita uma seo especial do site da Novell, por isso vamos obter este arquivo de rastreamento, enquanto este problema especfico est ocorrendo.

Anlise
Quando voc abre o http-client refuse.pcap (mostrado na figura abaixo) deve ser capaz de identificar imediatamente a comunicao HTTP, j que h um pedido HTTP aps o handshake TCP inicial. Na verdade, esse pedido HTTP parece normal at os pacotes 28 e 29, como voc ver abaixo. Vamos pular at eles e ver se podemos localizar o problema.

Fique de olho na coluna Tempo nesta captura. Todos os pacotes so recebidos sem atraso at o pacote 28. Estamos no meio de uma transao HTTP quando de repente h uma defasagem de 9 segundos entre os pacotes de 27 e 28.

82

No mundo das comunicaes de rede, um atraso de 9 segundos entre pacotes completamente inaceitvel, a menos que voc esteja esperando por alguma forma de entrada de dados do usurio. Depois de passar 9 segundos, o servidor no pode mais transmitir os dados de volta que ele precisa ao cliente, por isso envia um pacote RST para terminar a conexo. Nosso cliente no desistiu ainda, e ele espera um adicional de 55 segundos (como mostrado na figura abaixo) antes de reconhecer o reset.

O servidor deixou de se comunicar com o cliente, e temos de encontrar o porqu. Poderamos passar o passo a passo em toda a captura e analisar cada pacote, mas seria um processo extremamente longo e tedioso. Em vez disso, ns vamos tomar o caminho mais fcil. Uma vez que estamos lidando com uma transao HTTP, o fluxo TCP deve ser de fcil leitura, enquanto ns podemos seguir o arquivo de rastreamento. Depois de abrir o fluxo TCP, observe que as cores diferentes so usadas para mostrar a comunicao: O vermelho utilizado para transferncia de dados de nossos clientes, e o azul usado para mostrar os dados transferidos do servidor remoto. Olhando para esse trfego, voc no consegue ver nada alm do que o normal do HTML sendo transferido? Se voc navegar at a segunda parte do trfego que vem do nosso cliente, voc ver um pedido para obter um applet Flash a partir do servidor Novell, como mostrado na figura abaixo. Isto onde reside o problema. A pgina web Owen est tentando visualizar uma solicitao de um objeto Flash, este tipo de pedido pode ser facilmente bloqueado por um bloqueador de pop-up. Isso apenas o que est acontecendo aqui.

Resumo
Aps um pouco de investigao sobre os dados Flash sendo chamado a partir do site da Novell, voc aprende que o site tenta abrir o seu contedo principal em uma nova janela flash, que o bloqueador de pop-up do Internet Explorer do Eric est bloqueando. Enquanto o navegador no for capaz de nos dar alguma informao til sobre o problema (exceto uma mensagem de tempo limite de conexo), usamos o Wireshark, alguns conceitos bsicos de anlise de pacotes, e um pouco de pacincia para localizar o ponto exato onde o processo de comunicao estava sendo prejudicado.

83

Uma falha de Anlise


Neste cenrio seguinte, um dos usurios da nossa rede tem chamado no help desk reclamando que a rede est funcionando muito lentamente. Ele no pode acessar a Internet ou qualquer rede-centric aplicaes a uma velocidade razovel, e ele realmente ficando para trs em seu trabalho. O que est tornando as coisas to lentas?

O Que Sabemos
Depois de examinar outros usurios da rede, aprendemos que o problema da Internet generalizado. Todos os usurios relatam que a Internet to lenta que quase inutilizvel. O roteador de borda de sua rede tambm indica alta utilizao do processador, mostrando que ele est lidando com um trfego muito substancial, tanto de sada como de entrada. Nota: O roteador de borda descreve a localizao de um roteador em uma rede. Um roteador de borda est na extremidade de uma rede e a conecta ao mundo exterior.

Farejando Atravs dos Fios


Porque o roteador de borda manipula todo o trfego entre a rede local e a Internet, e mostra uma carga de processamento alta, o roteador de borda o melhor ponto de anlise aqui.

Anlise
Vamos usar espelhamento de porta para enfrentar este cenrio, porque obviamente no podemos instalar o Wireshark em um roteador. Os pacotes includos na captura slowness.pcap-torrenciais oferece apenas uma breve amostragem das muitas conexes acontecendo em nossa rede, como mostrado na figura abaixo.

Um sistema dentro da nossa rede (192.168.0.193) aparece repetidamente nesta captura, fazendo e recebendo ligaes de um monte de sistemas fora da nossa rede. Mais preocupante ainda, a maior parte do trfego que est sendo enviado com a bandeira do TCP PSH, o que obriga um computador receptor a ignorar o seu buffer e repassar todo o trfego diretamente, frente de qualquer outro trfego. Isso quase sempre um mau sinal. Ainda pior, a maioria dessas conexes j passou a fase do handshake TCP, o que significa que existe transferncia de dados de/para o nosso cliente. Voc pode ter uma noo de quantas dessas conexes esto ocorrendo, observando os dilogos das conversaes mostrados na figura abaixo.

84

Em apenas um segundo de captura, existem 27 diferentes conversaes TCP acontecendo! A maneira mais simples para aliviar este problema seria ir para ao computador ofensor e dar uma vasculhada, mas o que pode ser divertido nisso? Ns vamos fazer a forma de analisar os pacotes. Olhando para os pacotes, o primeiro curso de ao pode ser rastrear os endereos IP remotos e ver onde eles esto localizados, geralmente atravs da realizao de uma pesquisa WHOIS em cada endereo IP. No entanto, neste caso voc encontrar rapidamente que a maioria desses endereos IP no aponta para qualquer empresa ou mesmo para a mesma rea, mas sim em locais diferentes em torno do mundo. Para melhor avaliar os pacotes, voc poderia ver se o fluxo TCP detm todas as informaes valiosas. Neste caso, seguindo as provas inteis do fluxo TCP, os dados apresentados no nos levam a nada, como voc pode ver na figura abaixo.

O Servidor POP de Email


Em termos de importncia, aos olhos dos empregados o e-mail est no mesmo nvel da Internet . Sendo esse o caso, quando no est trabalhando, voc estar ouvindo sobre isso. Neste cenrio, todos os usurios da rede esto reclamando que seu e-mail est tomando um tempo extremamente longo para chegar ao seu destino. Tanto para o caso do e-mail enviado a outros domnios, mesmo o caso do e-mail enviado para os colegas de trabalho dentro da mesma organizao. Vamos chegar a fundo nisto.

O Que Sabemos
Todo o e-mail da nossa empresa gerenciado atravs de um servidor de email. Depois de fazer algumas pesquisas, ns confirmamos que este problema existe para todos os clientes de e-mail em nossa rede. Considerando que um e-mail tpico do escritrio, normalmente entregue instantaneamente, a entrega est agora a tomar de 10 a 15 minutos. A demora a mesma para o recebimento de e-mail externo.

Farejando Atravs dos Fios


Porque o nosso problema est relacionado a um servio que est hospedado em um servidor de email, vamos colocar o nosso analisador de l. O problema tem sido consistente durante todo o dia de trabalho, portanto, qualquer hora boa para capturar os pacotes.

Anlise
Quando voc olhar para os resultados da captura (e-mail troubles.pcap) voc ver exatamente o que voc deve ver em um servidor de e-mail: pacotes de e-mail. H um monte de Post Office Protocol (POP) pacotes

85

que entram em nosso servidor de e-mail (veja a figura abaixo), mas apenas quantos e em que velocidade? Talvez o nosso servidor de e-mail esteja sendo sobrecarregado.

Para determinar a taxa em que ns estamos recebendo os pacotes POP, altere o formato de exibio Seconds Since Begenning or Capture e olhe para o ltimo pacote no arquivo. Este resultado diz-nos que estamos vendo dois minutos de trfego intenso, como mostrado na coluna Time na figura abaixo.

Agora podemos comear a olhar para cada fluxo de comunicao para ver se alguma coisa anormal est acontecendo. A grande coisa sobre um pacote POP que se voc quiser ver o contedo da mensagem de email, tudo que voc tem a fazer ler o TCP stream associado a ele. Por exemplo, se voc fizer isso para o pacote 1, voc ver que este e-mail inclui o texto, bem como um anexo, document_9446.pif, como mostrado na figura abaixo.

Olhando ainda mais por este fluxo, vemos outra mensagem de outro endereo de e-mail com aparncia suspeita, mas tambm tem um arquivo PIF anexado a ela. Uma busca rpida por arquivos PIF ir dizer-lhe que se trata de Arquivos de Informao de Programa, no algo que voc v normalmente atravs de e-mail. No s isso, esses arquivos tendem a ser executveis muito grandes. Durante o decurso deste arquivo de captura, estes arquivos chegam a partir de mltiplas fontes. O que temos aqui um influxo de spam (e, possivelmente, vrus ou wormcontaining) e-mail que est sobrecarregando o nosso servidor e tornando o trfego de email muito lento atravs da rede.

Resumo
Nosso servidor de e-mail est sendo esmagado por um alto volume de spam com grandes anexos. Esta condio muito comum de ver quando monitoramos o desempenho de um servidor de email. Como uma organizao cresce, a quantidade de spam recebido cresce com ele. No caso da nossa rede, os usurios podem ser pacientes e cair fora da lentido, ou a organizao pode investir em algum tipo de soluo de filtragem de spam.

86

Acessando o Gnutella
Este cenrio ao longo das mesmas linhas o nosso cenrio BitTorrent. Tina, uma usuria em nossa rede, chama e reclama que seu computador est incrivelmente executando devagar, se ela est fazendo algo localmente, sobre a rede local, ou atravs da Internet.

O Que Sabemos
Este cenrio apresenta o mesmo caso como nosso exemplo anterior BitTorrent. Como tal, sabemos que este problema generalizado e atinge outros usurios tambm. No entanto, os outros usurios so apenas relatam sobre velocidades lentas quando tratam com a Internet e aplicaes net-centric. O roteador de borda da nossa rede de comunicao est com processamento alto e uma grande quantidade de trfego de entrada e de sada.

Farejando Atravs dos Fios


Neste caso, todos os sintomas de computadores infectados so consistentes com o nosso exemplo do BitTorrent, com a exceo do computador de Tina. No so apenas seus pedidos net-centric lento, mas seu computador que est em geral se arrastando. Porque seu computador est apresentando sintomas nicos, vamos supor que o problema est relacionado ao seu computador, de modo que por onde vamos comear a nossa anlise. No entanto, como o computador de Tina est to lento, instalar o Wireshark diretamente nele no poderia ser melhor a idia, j que a lentido pode causar a perda de pacotes durante o processo de captura. Ns vamos usar o espelhamento de porta em seu lugar.

Anlise
Este arquivo de captura (gnutella.pcap) longo, mas se parece muito com a captura do BitTorrent, em sua maior parte. Como voc pode ver na figura abaixo, O computador de Tina, 10.1.4.176, parece estar tentando se comunicar com vrios hospedeiros diferentes fora da nossa rede. As maiorias dessas tentativas voltam sem resposta aps o SYN inicial ou so negadas pelo cliente com um pacote RST.

Vrios fatores podem estar causando essas falhas de conexes, mas antes de investigar mais profundamente, vamos ver exatamente a quantidade de trfego que so confrontadas para que possamos determinar a extenso do nosso problema. Uma boa maneira de fazer isto olhar para os dilogos das transaes para ver quantas conversas TCP e IP esto acontecendo, como mostrado na figura abaixo. A janela Conversations mostra que esse arquivo de rastreamento contm 81 transaes IP e 243 TCP, como voc pode ver nas abas na parte superior da figura abaixo. Esse grande nmero de transaes normalmente aceitvel se voc est vendo o trfego capturado a partir de um servidor, mas esta uma estao de trabalho, no normal ver estas transaes sobre um curto perodo de tempo.

87

Se voc olhar para algumas destas transaes TCP, voc vai ver que cada uma envolve um host remoto. Voc pode dizer que a maioria dessas transaes no foi bem sucedida, uma vez que o nmero de pacotes para cada uma muito baixo. A fim de obter as informaes que realmente precisamos para avaliar a comunicao acontecendo aqui, precisamos ver uma transao bem-sucedida. A melhor forma de faz-lo a partir da janela Conversations que j temos em aberto. Com a guia IPv4:81 selecionada nessa janela, clique em Packets para classificar todos as transaes pelo nmero de pacotes que contm, como mostrado na figura abaixo.

Voc deve ver a comunicao entre o computador de Tina e o host remoto, 65.34.1.56, no topo da lista, como mostrado na figura abaixo.

88

Agora, veja s esses pacotes clicando nesta conversa, selecionando Aplly as Selected, selecionando Apply a Filter, e depois escolhendo A<->B. O resultado que voc ver somente os pacotes mostrados na figura abaixo.

Os pacotes mostrados na figura acima oferecem algumas informaes adicionais que nos leva diretamente ao problema. Especificamente, os pacotes 431, 433 e 434 so identificados como pacotes Gnutel. Estes pacotes so caractersticos do trfego Gnutel enviados ou recebidos atravs da rede Gnutella de compartilhamento de arquivos. Clicando neles obtermos um pouco mais de detalhes, como mostrado na figura abaixo.

O painel Packet Details do pacote 431 (na figura acima) realmente no nos d todas as informaes teis, a no ser de que este pacote um download/upload que atravessa a rede Gnutella. Se olharmos para o painel Packet Bytes (figura abaixo), porm, vemos algo um pouco alarmante.

Este fluxo de dados em particular mostra um comando GET de um download de um arquivo com um nome que contm as palavras sorority sex kitten. Encontramos o nosso trfego suspeito. Como um breve aparte, aqui est outra maneira de dizer que este o trfego Gnutella. Se voc olhar para todas as tentativas de transaes tendo lugar, voc vai notar que as informaes de cabealho do painel Packet List mostram toda esta comunicao acontecendo na porta 6346, como mostrado na figura abaixo.

89

Uma busca rpida por esse nmero de porta em http://www.iana.org ir listar os servios relacionados a esta porta.

Resumo
A rede Gnutella comumente usada para a descarga e distribuio de vrios tipos de arquivo. Esta idia pode parecer grande no incio, mas, infelizmente resultou em uma grande rede peer-to-peer de pornografia, bem como de software pirata, filmes e msica. Neste cenrio, parece que a Tina, ou algum usando o computador da Tina, tem instalado algum tipo de cliente Gnutella para baixar material pornogrfico.

Consideraes Finais
Se voc olhar como cada um destes cenrios foi resolvido, voc notar que a maioria dos problemas no estavam realmente relacionados a rede . Isso muito comum quando se trata de denncias sobre uma rede lenta. Normalmente, no a rede que est lenta, mas problemas com computadores individuais ou aplicaes que os usurios executam que a tornam desse jeito.

90

9
ANLISE BASEADA EM SEGURANA
Neste captulo, vamos mergulhar em vrios cenrios relacionados com a segurana de rede e trabalhar atravs deles com o Wireshark. Com o aparecimento de ameaas de hackers, ladres de identidade, e roubo de dados das empresas, voc no pode deixar de ser capaz de analisar a segurana de sua rede no nvel do pacote.

Sistema Operacional Fingerprinting


O Sistema Operacional (OS) fingerprinting uma tcnica usada por hackers para identificar o sistema operacional de um computador remoto, a fim de obter informaes que possa invadi-lo. O OS fingerprinting trabalha usando uma mquina remota para enviar vrios comandos a um computador de destino. Quando a mquina remota recebe as respostas a esses comandos, ele pode interpretar essas respostas para tentar adivinhar o sistema operacional que o computador de destino est usando. Conhecer o sistema operacional de um computador permitir encontrar rapidamente as falhas de funcionamento deste sistema.

91

Quando voc abrir o osfingerprinting.pcap, voc ver vrios tipos diferentes de trfego ICMP, como mostrado na figura abaixo. Alguns desses trfegos, como pedido Echo (ping), e resposta Echo (ping), so comuns e no devem ser motivo de alarme. No entanto, o trfego como Timestamp request/reply, Address mask request, e Information request so incomuns.

O trfego ICMP no usual que vemos na figura acima, sugere que nosso sistema o alvo de um ataque usando o ICMP atravs de varreduras OS fingerprinting. A mquina que faz o ataque envia esses pedidos e usa a resposta do sistema alvo (se houver) para determinar o sistema operacional em execuo na maquina alvo. Nota: Como nunca veremos o trfego ICMP tipos 13, 15 ou 17 em circunstncias normais, ns podemos criar um filtro mostrando somente esse tipo de trfego rapidamente. Esse filtro icmp.type==13 || icmp.type==15 || icmp.type==17.

Um Simples Escaneamento (varredura) de Porta


Hackers podem usar varreduras de portas para obter informaes importantes sobre uma rede. Usando um software especializado em varredura de porta , um hacker pode tentar se conectar a um dispositivo atravs de uma porta especifica, como a 21 (FTP) e 80 (HTTP). Com as informaes recebidas a partir desses exames, o hacker pode encontrar portas abertas que podem permitir o acesso a sua rede. Pense em uma porta aberta como um tnel secreto em um castelo bem guardado. Uma vez que o hacker conhece esse tnel, ele pode muito bem ser capaz de entrar sem usar nenhum outro truque. A figura abaixo, com base no arquivo de captura portscan.pcap, mostra como um software de varredura de portas trabalha.

Como voc pode ver na figura acima, existem muito poucos pacotes sendo enviados entre 10.100.25.14 (a mquina local) e 10.100.18.12 (um computador remoto). Quando voc der uma olhada nesses pacotes, voc vai ver exatamente porque eles so to suspeitos. Nosso arquivo de rastreamento mostra que todos os pacotes enviados a partir do computador remoto esto sendo enviados para um nmero de porta diferente na mquina local (por exemplo, 21 e 1028). Mas o mais importante, que estas portas podem ser exploradas comumente, por um telnet, microsoft-ds, FTP e SMTP. Quando voc v um computador remoto enviando vrios pacotes para estas portas exploradas, voc pode tipicamente assumir que uma varredura de porta est ocorrendo.

92

Uma Impressora Abarrotada de Impresso


Mesmo as menores organizaes podem ter vrias impressoras em sua rede. O custo do papel, da tinta, da manuteno, da propriedade, pode levar ao interesse de uma impressora de baixo volume conectada a rede. Neste cenrio uma da impressora na nossa rede comeou a imprimir lixo por completo, e ningum sabe a fonte do mesmo. Nosso objetivo encontrar a fonte de tais documentos misteriosos e pr fim a impresso eles.

O Que Sabemos
Nossa impressora uma impressora de alto volume conectada a rede atravs de um servidor. No tem nenhuma permisso especial atribuda a ela, nem qualquer capacidade extra de registro. O problema constante. Mesmo quando limpamos sua fila de impresso, ela enche imediatamente e comea a imprimir novamente.

Farejando Atravs dos Fios


Porque a impressora problemtica est instalada em um servidor, haver muito trfego fluindo na rede, e ns vamos ter um monte de dados para classificar atravs dela. Independente disso, o instalar o Wireshark diretamente no servidor o melhor caminho a ser seguido. Como o problema parece ser uma constante, podemos capturar pacotes a qualquer momento.

Anlise
O arquivo de captura printerproblem.pcap um exemplo muito bom do trfego para uma impressora. Como voc pode ver na figura abaixo, o nosso servidor, 10.100.16.15, est recebendo um fluxo macio de pacotes de SPOOLS de um cliente dentro de nossa rede, 10.100.17.47.

bastante fcil de identificar a fonte de impresso neste caso, mas ns ainda no resolvemos o problema. Para saber mais sobre o que est acontecendo, vamos visualizar o fluxo de dados TCP a ser enviado para a impressora. Voc ver que os dados esto sendo impressos a partir do Microsoft Word e que o username da pessoa que est imprimindo csanders (figura abaixo).

93

Resumo
Embora no tenhamos parado o fluxo de pacotes SPOOLS neste cenrio, usamos o Wireshark para encontrar rapidamente a fonte do problema misterioso de impresso. Tendo identificado a origem, podemos descobrir o porqu esta informao est sendo enviada para a impressora. (Muito provavelmente, o cliente 10.100.17.47 em nossa rede est comprometido de alguma forma.)

Um FTP Interrompido
O FTP um dos meios mais utilizados para transferncia de grandes quantidades de dados. A empresa que estaremos olhando tem um servidor de FTP interno que ela usa para manter todo o seu software de prlanamento. Ultimamente, o tcnico de TI encarregado da manuteno e acompanhamento deste servidor tem notado uma grande quantidade de trfego no servidor depois de algumas horas. Infelizmente, o software servidor de FTP no tem a funcionalidade de registro, por isso a nica maneira de obter uma boa compreenso do que est acontecendo obter uma captura de pacotes. Queremos identificar a razo do aumento do uso da largura de banda pelo servidor e eliminar a fonte.

O Que Sabemos
O servidor FTP est executando um software muito antigo com nenhuma funcionalidade de registro. Todos os grandes desenvolvedores da empresa ter usernames e contas que lhes permitem pleno acesso a todos os arquivos no servidor. Este servidor tambm configurado para que ele possa ser acessado de fora da rede, de modo que os desenvolvedores possam trabalhar de casa.

Farejando Atravs dos Fios


Uma vez que este servidor est em nossa rede, instalar o Wireshark sobre ele possa parecer o melhor mtodo a utilizar. No entanto, j que o servidor est passando por um nvel muito elevado de carga de trfego, os pacotes podero ser descartados se acabar entupindo muito o servidor, por isso vamos usar o espelhamento de porta em seu lugar.

Anlise
Quando voc abre a captura crack.pcap ftp, voc vai ver um monte de coisas acontecendo em um perodo muito curto de tempo. De nossa discusso sobre FTP no captulo 6, voc dever estar familiarizado com a forma como o processo de autenticao FTP acontece. Aps o handshake TCP inicial, um processo de login normalmente ocorre de modo que o usurio pode comear a interagir com o servidor. Nesta captura, saltamos direito para o processo de autenticao de username e password, e como voc pode ver no pacote 4 (figura abaixo), esta tentativa de autenticao falha.

Podemos supor que o usurio que est tentando fazer login tenha digitado incorretamente sua senha, mas essa suposio rapidamente deixada de lado nos prximos pacotes. Como mostrado na figura abaixo, vemos muitas falhas de autenticao.

94

Imediatamente aps a tentativa de autenticao no vemos outra tentativa de login para o servidor (10.121.70.151) de um cliente dentro da nossa prpria rede (10.234.125.254). O curioso sobre esta solicitao que o usurio est tentando se logar usando a conta de administrador, como visto no pacote 10 na figura abaixo.

Esta uma grande oportunidade de usar um filtro de visualizao para mostrar apenas os pacotes que representam uma tentativa de login FTP, assim como:

Agora, se olharmos na coluna Info de cada tentativa de login, podemos ver que as passwords esto sendo usadas em ordem alfabtica, ou seja, o atacante est percorrendo cada letra do alfabeto em sucesso. Este um sinal indicador de que algum est tentando adivinhar a senha de uma conta usando um ataque estilo dicionrio. O ataque estilo dicionrio aquele em que as senhas so adivinhadas com base em um usurio ou em uma mquina criando dicionrio de palavras. Se voc olhar para o tempo entre cada tentativa, voc tambm pode ver que essas tentativas de adivinhar a password esto acontecendo rpido demais para ser feita por um ser humano, elas provavelmente esto sendo feitas por uma ferramenta de um hacker. Encontramos com sucesso a fonte da utilizao de nosso aumento de banda.

Resumo
Temos confirmado que um computador dentro da nossa rede est sendo atacado por um programa hacker projetado para executar um ataque de dicionrio sobre o servidor FTP. Mas nosso trabalho no est feito ainda. Neste ponto, precisamos determinar se o empregado cuja mquina est a lanar o ataque responsvel por faz-lo ou se o seu computador foi comprometido a partir de outro computador remotamente.

95

O Vrus (Worm) Blaster


A crescente ameaa de vrus e worms que se espalham pela Internet assusta os administradores de sistema e usurios finais. Neste cenrio, Eddy faz uma chamada no help desk com a preocupao de que seu computador foi infectado com um vrus. Toda vez que ele inicia seu computador ele recebe uma mensagem que o mesmo ser desligado em 60 segundos. Uma vez que este timer expira, o computador desligado como indicado. Este processo continua se repetindo continuamente e ele no acessa seu computador por mais de 60 segundos de cada vez.

O Que Sabemos
Sabemos que Eddy tende a ser cuidadoso com a segurana, de modo que um spyware no uma preocupao imediata. Nossa empresa utiliza um software antivrus, no entanto descentralizado e na maior parte gerenciado pelo usurio.

Farejando Atravs dos Fios


Toda vez que voc suspeitar que um vrus ou worm pode ser a causa de um computador com problema , normalmente no uma idia sensata instalar um sniffer diretamente nessa mquina. Programas malintencionados muitas vezes podem funcionar contra farejadores de pacotes no lhes permitindo executar corretamente. Nossa melhor estratgia aqui usar o espelhamento de porta. A captura comear logo que o computador ligado e terminar quando o computador se desligar aps o temporizador de 60 segundos expirar.

Anlise
O arquivo de captura blaster.pcap, mostrado na figura abaixo, registra alguns pacotes TCP sendo transmitidos de nosso computador para outro computador suspeito na rede local via portas 1793 e 4444. Estes pacotes so capturados em um momento quando nada est ativo na mquina que no seja no perodo de 60 segundos, dessa atividade suspeita.

Uma das melhores maneiras de identificar o trfego de um vrus ou worm olhar para os dados sendo enviados atravs da rede. Vamos olhar para cada pacote em nossa captura no painel Packet Bytes na parte inferior da janela principal do Wireshark. Os dados do primeiro pacote parecem inocentes o suficiente, isso no uma informao muito usual, como voc pode ver na figura abaixo.

Movendo-se para o segundo pacote, no entanto (figura abaixo), vemos uma referncia para o C:\ WINNT\ System32. Este um dos mais importantes diretrios do sistema Windows 2000, pois contm muitos arquivos de sistema usados para carregar e executar o Windows. Vendo um pacote de rede referenciando esse local, um sinal de problemas.

96

Mais uma vez, o terceiro pacote no fornece nenhuma informao til, mas o quarto mostra algo que pode ser motivo de preocupao, como mostrado na figura abaixo.

O painel Packet Bytes do quarto pacote mostra uma referncia direta ao arquivo msblast.exe. Se voc esteve envolvido com TI at a ltima parte de 2003, este nome deve saltar para fora em voc imediatamente. Entretanto, se voc no esteve, no se preocupe o Google nosso amigo. A busca por este nome trar muita informao sobre o worm Blaster origem do problema no computador de Eddy.

Resumo
Neste cenrio, fomos confrontados com um computador com software anti-vrus que no estava funcionando corretamente, o problema acabou por ser o worm Blaster. Quando voc suspeitar que voc pode estar lidando com um vrus ou worm, voc pode geralmente descobrir tudo o que voc precisa saber sobre a ameaa de executar uma Pesquisa na Internet para os sintomas. Depois de identificar o vrus ou worm voc poder trat-lo, voc pode pesquis-lo e aprender a combat-lo.

Informaes Confidenciais
Neste cenrio voc o agente de segurana de rede em uma grande empresa multinacional corporao. Voc acaba de ser alertado pelo seu superior que um empregado ouviu outros dois funcionrios discutindo a possibilidade de vender informaes da empresa. Sua tarefa neste cenrio para monitorar os computadores dos dois funcionrios suspeitos para ver se voc pode descobrir seus planos.

O Que Sabemos
Este cenrio baseado na especulao de outro funcionrio. Enquanto ns ainda no podemos verificar se o que foi ouvido verdadeiro ou se foi apenas retirado do contexto, sabemos que os dois funcionrios em questo so muito esclarecidos em relao ao uso do computador , ento nossas observaes devem ser realizadas com o mximo de cuidado.

Farejando Atravs dos Fios


Porque no queremos que os nossos colaboradores com experincia em tecnologia saibam iremos monitorlos, queremos ter absoluta certeza que os computadores que sero monitorados no mostrem sinais de estarem sendo observados. Por este motivo, vamos usar o espelhamento de porta, apesar de estarmos dentro da nossa prpria rede. Definiremos um espelhamento separado e uma captura para cada computador a ser monitorado.

Anlise
Ao longo do dia de trabalho destes dois trabalhadores, um monte de pacotes gerado. Na maioria dos casos, esses pacotes so legtimos, portanto, o primeiro passo procurar por trfego que possa ser suspeito. Utilizar filtros tornam fcil a busca do trfego, tais como DCEPRC, NetBIOS, ou ICMP, que no deveramos ver, em circunstncias normais. Eu apliquei esse filtro para a captura covertinfo.pcap, o resultado so dois pacotes a partir de um computador do empregado, conforme mostrado na figura abaixo.

Estes pacotes podem parecer com os pacotes ICMP padro, mas a origem e endereo de destino pertencem aos computadores dos nossos dois funcionrios suspeitos. Por que eles estariam pingando-se durante o meio do dia?

97

Em seguida, como no cenrio anterior vamos dar uma olhada no painel Packet Bytes para ver se conseguimos encontrar alguma coisa interessante neste pacote de ping. Ao faz-lo, vemos algo um pouco alarmante, como mostrado na figura abaixo.

Esse pacote ping est longe de ser normal. Por uma questo de fato, ele est carregando uma carga secreta com detalhes que os nossos funcionrios cuidam para que no saibamos!

Resumo
A tecnologia utilizada neste cenrio conhecida como Loki, um meio de envio de informaes pela rede atravs de mtodos ocultos. O termo Loki vem do primeiro projeto que incorpora dados em pacotes ICMP. Na nossa situao, o ICMP foi usado como veculo para transmitir mensagens entre nossos dois funcionrios com inteno maliciosa. A utilizao de canais secretos de comunicao no uma nova tecnologia, mas est evoluindo constantemente. No incomum encontrar dados escondidos em outros tipos de pacotes, bem como os cabealhos TCP e pacotes ARP. Lembre-se sempre do painel Packet Bytes , mesmo que voc no o use freqentemente, s vezes ser a nica forma de ver os segredos do contedo de um pacote.

O Ponto de Vista de um Hacker


Ao longo deste livro, ns olhamos as coisas do ponto de vista de um administrador de rede. Mas o que acontece quando um hacker com algum conhecimento de anlise de pacotes decide dar uma espiada no que est trafegando em nossa rede? Neste cenrio, assumimos a identidade de um hacker que tenta acessar informaes sensveis sobre a nossa rede local em nossa empresa.

O Que Sabemos
Mesmo que voc seja um funcionrio da empresa voc est tentando violar o acesso a rede, voc tem um acesso limitado aos recursos de rede. uma rede padro Ethernet, utilizando-se de alguns switchs e routeadores. Todos os computadores da rede rodando vrias verses do Windows com privilgios de acesso definidos em uma base por usurio.

Farejando Atravs dos Fios


Alguns hackers desejam capturar as senhas de administradores de rede para pode acess-la com privilgios. Outros simplesmente querem quebrar a segurana da mesma. Neste caso, queremos acessar um roteador na rede e depois fazer alguns danos srios. Os administradores de rede esto sempre se deparando com essas coisas, por isso o processo deve ser simples o suficiente para monitorar a comunicao entre um administrador de rede e um roteador para interceptar uma senha. Felizmente, tanto o administrador da rede e o roteador de destino esto na mesma sub-rede do computador que faremos o nosso ataque. Ns usaremos o Cain & Abel para criar o envenenamento de cache ARP entre o administrador de rede computador, 10.100.18.5, e o roteador de rede, 10.100.16.1, assim como que fizemos no Captulo 2.

Anlise
Depois de um tempo, conseguimos obter um ficheiro de captura que contm o trfego telnet do administrador da rede o login no roteador. Para fins do presente cenrio, a figura abaixo mostra apenas o trfego relativo a esta sesso telnet.

98

Quando discutimos sobre o telnet no captulo 6, notamos que ele normalmente usa texto em sua transmisso de dados. Telnet geralmente usado remotamente para administrar switches, servidores e roteadores, como aqui. A maioria desses dispositivos tem caractersticas que permitem a voc fazer o login de forma segura, normalmente via SSH, mas isto algo que os administradores de sistemas freqentemente negligenciam. Uma vez que a comunicao est a passar visvel, devemos ser capazes de encontrar as credenciais de login para este roteador com um pouco de pacincia. Telnet um protocolo seqencial, o que significa que tudo acontece em uma srie definida. Portanto, a melhor maneira de localizar o processo de login atravs de visualizarmos os dados dos pacotes Telnet um a um. Vemos o incio do processo de autenticao claramente no pacote 8, conforme mostrado na figura abaixo.

Se voc olhar no painel Packet Details no campo Telnet, voc ver que os dados que esto sendo passadas a partir do servidor o pedido de um username. Os prximos pacotes de resposta ao servidor deve conter o nome, mas um pouco mais complicado do que isso. Como voc pode ver na figura abaixo, o pacote 10 contm apenas a letra a. Isto no se parece com um nome de usurio tpico, e no .

O prximo pacote enviado pelo cliente para o servidor nos d outra parte do quebra-cabea, a letra d, conforme mostrado na figura abaixo. Ns estamos vendo a resposta do administrador sendo enviada ao servidor em um pacote de cada vez. Este processo prossegue por algum tempo at que possamos finalmente ver a palavra admin. No muito original, n? provavelmente o padro.

No pacote de 24 vemos um pedido de senha, como mostrado na figura abaixo.

99

Mais uma vez, vemos pacotes que vo atravs do fio que nos do a senha uma letra de cada vez (figura abaixo).

Continuamos farejando esses pacotes at que tenhamos a senha completa, barrymanilow. No s conseguimos capturar a senha do roteador, mas tambm aprendemos que o administrador da rede tem bom gosto musical!

Resumo
Neste ponto, ns temos tudo que precisamos para derrubar esta rede. Uma vez dentro da configurao do roteador, podemos eliminar sub-redes, trocar ips das interfaces, e fazer todas as sortes de outras coisas perniciosas que far com que o administrador de rede tenha dores de cabea severas. O ponto deste cenrio no mostrar o que se pode fazer em um momento de raiva, mas sim demonstrar o poder que algum com um pouco de conhecimento e um farejador de pacotes pode ter. Com o Wireshark e algumas outras ferramentas simples, ns efetivamente encontramos uma maneira de parar completamente todas as funes nesta rede.

100

10
FAREJANDO PELO AR
O mundo das redes sem fio (wireless) completamente diferente da tradicional rede (com fio). Quando consideramos a rede wireless precisamos levar em conta questes como freqncias, padres e questes de segurana. Dadas estas consideraes extras, voc pode apostar que o processo de farejamento (sniffing) muda completamente. Este captulo dedicado a explicar o processo de farejamento em redes sem fio no Windows. Enquanto discutimos o que faz o farejamento wireless original, veremos alguns exemplos do mesmo.

Farejando um Canal de Cada Vez


A primeira coisa a entender sobre o farejamento de trfego em redes sem fio que voc s pode farejar um canal sem fio por vez. As redes sem fio nos Estados Unidos podem operar em um dos onze canais diferentes (mais informaes esto disponveis a nvel internacional). Portanto, antes de capturar o trfego de uma rede sem fio do cliente ou do ponto de acesso (WAP), voc deve primeiro identificar qual o canal est transmitindo (figura abaixo).

101

A melhor maneira de descobrir qual o canal est sendo utilizado utilizar o salto de canal. Quando voc utiliza o salto de canais voc simplesmente inicia uma captura de pacotes e alterna rapidamente de canal para canal at que voc veja os dados relacionados ao que voc est procurando. Embora o salto de canal no seja a melhor tcnica ele funciona.

Interferncia do Sinal em uma Rede Sem Fio


Infelizmente, s vezes no podemos confiar na integridade da comunicao sem fio. Porque os dados so enviados atravs do ar, muito provvel que alguma coisa vai interferir no sinal. As redes sem fio incluem recursos para lidar com interferncias, mas eles no trabalham sempre. Portanto, estiver capturando pacotes sobre uma rede sem fio, preste muita ateno no seu ambiente para garantir que no existam fontes de interferncia, como as grandes superfcies reflexivas, grandes objetos rgidos, microondas, aparelhos de 2,4 GHz sem fio, paredes grossas e superfcies de alta densidade. Nessa mesma linha, tente chegar o mais perto possvel do dispositivo que voc est analisando. Voc no pode esperar capturar todos os pacotes enviados por um dispositivo se voc estiver em um andar acima dele.

Modos de Funcionamento de uma Placa de Rede Sem Fio


Antes do farejamento de pacotes em uma rede sem fio, uma boa idia se familiarizar com os diferentes modos em que uma placa de rede sem fio pode operar. A maioria dos usurios utiliza cartes de rede sem fios gerenciados ou em modo ad-hoc, mas outros modos incluem o modo mestre e o modo monitor. Falarei sobre cada modalidade, uma representao grfica da forma como cada um funciona mostrado na figura abaixo.

102

Modo Gerenciado O modo gerenciado utilizado quando o cliente sem fio se conecta diretamente a um ponto de acesso sem fio (WAP). Nestes casos, o driver associado com a placa de rede sem fio depende do WAP para gerenciar as entradas do processo de comunicao. Modo Ad-Hoc O modo Ad-hoc usado quando voc tem uma configurao de rede sem fio em que dispositivos se conectam diretamente uns aos outros. Neste modo, dois clientes sem fio que desejam se comunicar um com o outro compartilham as responsabilidades da comunicao, coisas que um WAP normalmente lida. Modo Master Algumas placas de rede sem fio de ponta tambm suportam o modo Master. O modo Master permite que a placa de rede sem fio trabalha em conjunto com o software driver de modo a permitir que o computador funcione como um WAP para outros dispositivos. Modo Monitor Este o modo mais importante para nossos propsitos. O modo Monitor usado quando voc quer que seu cliente sem fio no pare de transmitir e receber dados e s escutar os pacotes a ele destinados pelo ar. Para que o Wireshark possa capturar os pacotes em uma rede sem fio, sua placa de rede e o driver da mesma deve suportar o modo Monitor. Se voc compra uma placa de rede sem fio para fins de anlise, no se esquea de verificar se ela suporta o modo Monitor (tambm conhecido como modo RFMON).

Farejando via Rede Sem Fios no Windows


Mesmo que voc tenha uma placa de rede sem fio que suporta o modo Monitor, muitos driver dessas placas baseados no windows podem no permitir que voc mude para este modo. Voc precisa de um hardware extra para comear o trabalho a ser feito.

Configurando o AirPcap
AirPcap (da CACE Technologies http://www.cacetech.com) projetado para superar as limitaes que coloca Windows na anlise de pacotes wireless. O AirPcap um pequeno dispositivo USB (figura abaixo) que lembra um flash drive que foi concebido para capturar o trfego sem fio. O AirPcap usa o driver WinPcap discutido no captulo 3 e um utilitrio de configurao especial no cliente.

O programa de configurao AirPcap simples de usar, tem poucas opes configurveis. Conforme mostrado na figura abaixo, o painel de controle do AirPcap oferece as seguintes opes:

103

Interface Voc pode selecionar o dispositivo que voc est usando para a sua captura aqui. Algumas anlise de cenrios avanados podem exigir que voc use mais de um dispositivo AirPcap para farejar simultaneamente em vrios canais. Blink Led Clicando neste boto far com que as luzes LED no dispositivo AirPcap pisquem. Isto usado principalmente para identificao do adaptador especfico que voc est utilizando, se voc estiver usando vrios dispositivos AirPcap. Channel Neste campo, voc seleciona o canal no AirPcap que deseja escutar. Include 802.11 FCS in Frames Por padro, alguns sistemas reservam os ltimos quatro bits de verificao dos pacotes wireless. Este check, conhecido como Frame Check Sequence (FCS), usado para garantir que os pacotes no foram corrompidos durante a transmisso. A menos que voc tenha um motivo especfico para fazer o contrrio, marque essa caixa para incluir o checksums FCS. Capture Type As duas opes aqui so 802,11 e 802,11 + Radio. Somente a opo 802.11 inclui o cabealho padro 802.11 em todos os pacotes de captura. A opo 802,11 + Radio inclui este cabealho e tambm apresenta um cabealho radiotap, que contm informaes adicionais sobre o pacote, como a taxa de dados, a freqncia, o nvel do sinal e o nvel de rudo. Escolha 802.11 + Radio para ver todas as informaes de pacotes disponveis. FCS Filter Mesmo que voc desmarque a caixa ao lado das palavras Include 802.11 FCS in Frames, esta opo permite filtrar pacotes que o FCS determinou como corrompidos. Use a opo Valid Frames para mostrar apenas os pacotes que o FCS acha que foi recebido com xito. WEP Configuration Esta rea (acessvel na guia Keys) permite que voc insira as chaves de decriptografia WEP para as redes que voc est farejando. Para ser capaz de interpretar os dados criptografados por WEP, voc ter que inserir as chaves WEP correta para este campo.

Capturando Trfego com o AirPcap


Uma vez que voc instalou e configurou o AirPcap, o processo de captura dever ser familiar para voc. Basta seguir estes passos: 1. No Wireshark, selecione Capture > Options. 2. Selecione o dispositivo AirPcap na caixa de seleo da interface, como mostrado na figura abaixo.

104

Tudo na tela deve ser familiar a voc, exceto o boto de Wireless Settings. Clicando neste boto voc obter as mesmas opes que o utilitrio AirPcap lhe deu, como mostrado na figura abaixo. Porque o Wireshark totalmente integrado com o AirPcap, qualquer coisa configurada no utilitrio cliente tambm pode ser configurado a partir do Wireshark.

3. Depois de ter tudo configurado ao seu gosto, comece a capturar os pacotes clicando no boto Iniciar.

Pacotes Extras 802.11


A principal diferena entre a estrutura do pacote de uma rede sem fio e de um pacote-padro com fio a adio de um cabealho 802,11. Este cabealho contm informaes adicionais sobre o pacote e o meio utilizado para transmiti-lo, como mostrado na figura abaixo.

105

Para examinar o pacote mostrado na figura acima mais de perto, abra o arquivo de exemplo 80211traffic.pcap. Vejamos alguns dos itens interessantes este cabealho: Type/Subtype Especifica o tipo ou subtipo do pacote 802,11 mostrado. O tipo pode ser de gesto, dados ou controle. Cada tipo pode ter um subtipo. Por exemplo, o subtipo de pacotes de gesto pode ser indicao de frame, solicitao de autenticao, ou aviso de encerramento. Destination Address, Source Address, and BSS Id Esses campos contm a origem, destino e endereos BSS do pacote. Fragment Number and Sequence Number Esses nmeros so usados para colocar os pacotes da rede sem fio em devida ordem, semelhante maneira como o TCP organiza o fluxos de dados.

802.11 Flags
O cabealho do pacote de 802,11 tambm contm uma seo de Flags com ainda mais informaes especficas, como mostrado na figura abaixo.

A seo Flags inclui estes campos: DS Status O campo Distibution Status (DS) utilizado para determinar as forma que o pacote est sendo enviado. Se From DS 1 e To DS 0, ento o pacote est sendo enviado do WAP para o cliente sem fio. Se os valores so o inverso, o pacote est viajando a partir do cliente sem fio para o WAP. Se ambos os nmeros so 0, geralmente significa que o pacote est sendo difundido via broadcast do WAP. More Fragments Este campo utilizado quando os pacotes adicionais so necessrios para ler o pacote que est sendo enviado. Retry A opo Repetir indica ou no se o pacote que est sendo transmitido a partir da tentativa original de transmisso (0) ou uma retransmisso (1). PWR MGT Este campo indica se um cliente est entrando ou no em um estado de economia de energia. More Data Este campo utilizado por um WAP para informar o cliente que mais pacotes esto esperando para serem enviados a ele. Protected Flag Este campo usado para mostrar ou no se um pacote est utilizando criptografia de dados. Order Flag O campo Ordem usado para informar ao destinatrio que o pacote deve ser mantido em uma determinada ordem, que impede o receptor de reorganizar os pacotes a fim de aumentar o desempenho de transferncia.

106

O Quadro Beacon
O quadro (frame) Beacon um dos pacotes mais informativos em uma transmisso de uma rede sem fio . Um quadro Beacon enviado como um pacote de difuso WAP atravs de um canal da rede sem fio notificando a todos os clientes sem fio que est a escutar informando que o WAP est disponvel e definir os parmetros a serem definidos quando se conectar a ele. Portanto, esse tipo de pacote de transmisso contm uma grande quantidade de informaes teis, como mostrado na figura abaixo.

Algumas informaes que voc v em um quadro beacon inclui o seguinte: SSID parameter set Este o SSID que o WAP est transmitindo. Supported rates Este lista as taxas de throughput de dados suportados fornecidas pelo WAP e especifica se o protocolo utilizado 802.11b ou 802.11g. DS parameter set Este mostra o canal que o WAP est transmitindo. Extended supported rates Este mostra outras taxas de throughput suportadas pelo WAP. Vendor-specific information Esta seo mostra as informaes especficas do fornecedor sobre o WAP, incluindo o fabricante do chipset, nmero da etiqueta,e o comprimento tag. (note que o fabricante do chipset no sempre o mesmo que o fabricante WAP).

Colunas Wireless Especificas


O Wireshark tipicamente mostra seis colunas individuais no painel Packet List, todas devem ser familiares a voc. No entanto, devido sobrecarga adicionada ao analisar e interpretar os pacotes de uma rede sem fio, o Wireshark mostra as duas colunas mais teis: RSSI e TX Rate. A coluna Received Signal Strenght Indication (RSSI) mostra a freqncia de rdio (RF) a fora do sinal de um pacote capturado, enquanto a coluna TX Rate mostra a taxa de dados de um pacote capturado, como mostrado na figura abaixo. Ambos os indicadores podem ser de grande ajuda quando voc est solucionando problemas de conexes sem fio. De fato, mesmo se o seu software cliente wireless diz que voc tem a fora de sinal excelente, fazendo uma captao com essas colunas habilitadas os nmeros mostrados podem no corresponder com essa informao.

Para adicionar essas colunas no painel Packet List, siga estes passos: 1. Escolha Edit > Preferences. 2. Navegue at a seo Columns e clique em New. 3. Digite RSSI no campo de Title, e selecione IEEE 802.11 RSSI no formato drop-down box. 4. Repita esse processo novamente para a coluna TX Rate, intitulando-a adequadamente e selecionando IEEE 802.11 TX Rate na seo Format. A figura abaixo mostra uma janela semelhante depois de voc ter adicionado as informaes para ambas as colunas. 5. Clique em OK na janela de Preferences para salvar suas alteraes. 6. Reinicie o Wireshark para mostrar as novas colunas.

107

Filtros Wireless Especficos


Discutimos os benefcios dos filtros de captura no Captulo 4. Em uma infra-estrutura com fio muito mais fcil filtrar o trfego que voc deseja capturar, pois cada dispositivo tem o seu prprio cabo dedicado. Em uma rede sem fios, no entanto, todo o trfego gerado por clientes sem fios coexiste em canais compartilhados, o que significa que uma captura de qualquer canal pode conter o trfego de dezenas de clientes. Esta seo dedicada a alguns filtros de pacotes que podem ser usados para ajudar a encontrar o trfego que voc deseja.

Filtrando o Trfego de um Especifico BSS Id


Cada WAP em uma rede tem um nome de identificao exclusivo, denominado Basic Service Set Identifier (BSS Id). Este nome enviado em cada quadro de gerenciamento e dados quando o ponto de acesso transmite. (Veja "Pacotes Extras 802,11 Packet"). Depois que voc souber o nome do BSS Id que pretende examinar, tudo o que voc realmente tem a fazer encontrar um pacote que tenha sido enviado a partir desse WAP particular. O Wireshark mostra a transmisso WAP na coluna Info do painel Packet List, para encontrar esta informao normalmente muito fcil. Uma vez que voc tem um pacote de um WAP em particular que voc quer, encontre o campo do seu BSS Id no cabealho do 802.11, como mostrado anteriormente. Este o endereo que o seu filtro se basear. Depois de ter encontrado o BSS Id MAC endereo (listados no painel Packet Details), voc pode usar o filtro wlan.bssid.eq 00:11:23:44:55:66 para mostrar apenas o trfego que flui atravs desse WAP particular.

Filtrando Tipos de Pacotes Wireless Especficos


No incio deste captulo, discutimos sobre diversos tipos de pacotes sem fio que voc pode ver em uma rede. Voc muitas vezes precisar fazer filtros com base nesses tipos e subtipos. Use a Tabela abaixo como referncia para ajudar a construir os filtros que voc precisa.

108

Filtrando Tipos Especficos de Dados


Embora os pacotes de gerenciamento sem fio sejam muito importantes para alguns tipos de anlise, a nossa anlise exige que somente olhemos para os dados que so transmitidos atravs do ar, por exemplo, se precisamos rastrear os clientes sem fio desonestos ou identificar a possibilidade de divulgao de informaes indesejveis sobre a rede sem fios. Portanto, precisamos saber como filtrar esses pacotes de dados. Para filtrar todos os pacotes de dados em uma captura de arquivo, use a captura filtro wlan.fc.type eq 2. (Se voc faz referncia a tabela abaixo, voc ver que um quadro tipo 2 ir mostrar-nos de todos os dados relativos aos quadros de dados.) A nica desvantagem de usar esse filtro que ele ainda permite a exibio de pacotes de dados nulos. Estes pacotes so usados pelo WAP em determinadas placas de rede sem fios para alertar a rede que eles esto prestes a mudar de canal. Se voc no tem a necessidade de ver esses pacotes nulos, filtre-os atravs da expanso do filtro, criado anteriormente e eliminando o subtipo pacote NULL. O filtro ficar parecido com o mostrado abaixo:

Diferenciar os dados no criptografados/criptografados uma tima maneira de identificar pacotes WAP clandestino em uma rede ou determinar se as informaes sensveis esto sendo enviadas em texto legvel.

Lembre-se do Flag protegido da seo "802,11 Flags", visto anteriormente, que o Flag usado para identificar um pacote como sendo criptografados ou no criptografados. Ns basearemos nosso filtro neste flag. Lembre-se que o bit de flag protegido est definido para 0 quando no est sendo usada criptografia e definido como 1 se o pacote criptografado com um protocolo como o WEP, WPA, TKIP, e assim por diante. Portanto, o uso de um filtro

109

mostrar-nos todos os pacotes que no so criptografadas. Da mesma forma, um filtro

mostrar apenas o trfego criptografado. H centenas de formas de filtrar o trfego capturado sem fio. Voc pode ver vrios desses filtros de captura de uma rede sem fios no wiki Wireshark na http://wiki.wireshark.org.

Uma Tentativa Ruim de Conexo


Agora vamos dar uma olhada em um cenrio especfico relacionado anlise de pacotes em uma rede sem fios. Neste cenrio, Justin est tentando configurar o seu laptop para acessar a rede sem fios em seu escritrio. Infelizmente, ela no est funcionando.

O Que Sabemos
A rede que Justin est tentando se conectar usa o mtodo de autenticao compartilhada com criptografia WEP de canal. Justin simplesmente deve ser capaz de inserir essas configuraes em seu cliente sem fio para se conectar, mas quando o faz, a conexo falha.

Farejando Atravs dos Fios


Nesta situao, capturando os pacotes do ar exige o mesmo pensamento do processo de captura de pacotes em uma conexo com fio. Como o processo parece falhar quando Justin tenta se conectar rede sem fios, vamos capturar os pacotes neste momento. A melhor maneira de fazer isso usando o dispositivo AirPcap, configurado para um canal.

Anlise
Uma vez que temos de olhar para uma captura em uma rede sem fios, no sabemos o que uma autenticao bem-sucedida e como se parece essa seqncia. Vamos olhar para um arquivo de captura deste processo quando ele est funcionando corretamente, abra o exemplo de arquivo SuccessfulWEPAuth.pcap, que mostra uma seqncia bem-sucedida na rede de Justin. A rede sem fio de Justin est configurada utilizando a chave WEP compartilhada de segurana. A chave Wired Equivalent Privacy (WEP) um cdigo alfanumrico ou hexadecimal que serve como um tipo de senha usada para criptografar a comunicao entre um WAP e um cliente sem fio (ou seja, o usurio que est tentando se conectar ao wireless de rede). Para se conectar a um WAP, o cliente sem fio deve primeiro completar o processo de descoberta e resposta com o WAP, a fim de verificar a correta chave WEP que est sendo usada. Esta tentativa de descoberta e resposta comea no pacote 4 do arquivo de captura, como mostrado na figura abaixo.

O WAP responde tentativa de conexo atravs do envio de uma chave de descoberta para o cliente. Esta chave uma string encriptada de texto que deve ser decifrada pelo cliente (com a chave WEP adequada) e, em seguida enviada de volta para o WAP, como mostrada na figura abaixo.

No pacote de 6 o cliente sem fio envia de volta a chave desencriptada, e o WAP responde com uma mensagem indicando que o processo de autenticao foi bem-sucedido, como mostrado na figura abaixo.

110

Finalmente, aps uma autenticao bem-sucedida, o cliente pode transmitir um pedido de associao, receber um aviso, e se conectar, como mostrado na figura abaixo.

Agora que sabemos como uma conexo WAP se parece, vamos olhar para o arquivo de captura da tentativa de conexo de Justin. Como podemos ver no pacote 3 (mostrado na figura abaixo), o WAP envia a chave de descoberta para o computador de Justin, assim sabemos que os dois dispositivos podem ver um ao outro.

O Pacote 5 (figura abaixo) mostra o cliente sem fio enviando a sua resposta ao servidor, o que nos mostra que estes dispositivos esto tentando se comunicar.

Neste ponto de progresso, deveramos ver uma resposta do WAP, confirmando que o processo de autenticao foi bem sucedido. Mas em vez disso, vemos outra coisa, como mostrado na figura abaixo. A autenticao falha.

A mensagem enviada a partir do WAP para computador de Justin nos diz exatamente o que est acontecendo: os nmeros de seqncia esto fora de ordem. Isso significa que a resposta da chave de descoberta que o computador de Justin forneceu no foi correta - portanto, a chave WEP usada para decriptografar a chave de descoberta no foi enviada ou no foi digitada corretamente.

111

Resumo
A triste verdade sobre como solucionar problemas de rede sem fio que o software wireless cliente normalmente no relata problemas especficos: quando o cliente conecta ou no. Felizmente, as tcnicas de anlise de pacotes em redes sem fios permitem-nos ver exatamente o que est acontecendo e solucionar esses problemas de forma mais eficiente em redes sem fio.

Consideraes Finais
As redes sem fio esto se tornando um marco no ambiente corporativo. Como o foco est mudando para as redes sem fio, devemos ser capazes de solucionar problemas em redes com fios e sem fios. As competncias e os conceitos ensinados neste captulo devem ajudar voc a entender as complexidades da resoluo de problemas em uma rede sem fio atravs da anlise de pacotes.

112

Você também pode gostar