Sei sulla pagina 1di 59
Análise Análise de de tráf tráf ego ego em em redes redes TCP/IP TCP/IP com
Análise Análise de de tráf tráf ego ego em em redes redes TCP/IP TCP/IP com

AnáliseAnálise dede tráftráfegoego emem redesredes TCP/IPTCP/IP comcom tcpdumptcpdump

JoJoããoo EribertoEriberto MotaMota FilhoFilho

FozFoz dodo IguaIguaççu,u, PR,PR, 1818 out.out. 20172017 Eriberto - out. 17

Sumário Sumário • A an á lise de tr á fego • A estrutura de

SumárioSumário

• A an álise de tr á fego

• A estrutura de um protocolo

• O protocolo IP

• O protocolo TCP

• O protocolo UDP

• O protocolo ICMP

• O modelo OSI

• Té cnica de uso do tcpdump na an álise de tr áfego

• Payloads que falam

• Bridges na an á lise de tr áfego

• Conclus ão

Sumário Sumário • A an á lise de tr á fego • A estrutura de

SumárioSumário

• A an álise de tr á fego

• A estrutura de um protocolo

• O protocolo IP

• O protocolo TCP

• O protocolo UDP

• O protocolo ICMP

• O modelo OSI

• Té cnica de uso do tcpdump na an álise de tr áfego

• Payloads que falam

• Bridges na an á lise de tr áfego

• Conclus ão

A A análise análise de de tráfego tráfego • Auxiliar de rede diz: - Chefe,

AA análiseanálise dede tráfegotráfego

• Auxiliar de rede diz:

- Chefe, deu pane! Parou tudo!

• Gerente de rede diz:

- Troca o switch!

- Agora troca o roteador!

- Não deu. Troca os cabos.

- Deve ser o link da tele. Liga pra l á .

• Auxiliar de rede diz:

- Ai meu Deus faculdade hoje

Tenho trabalho na

• Gerente de rede diz:

- Nada disso! E j á pede a pizza

meu Deus faculdade hoje Tenho trabalho na • Gerente de rede diz: - Nada disso! E
A A análise análise de de tráfego tráfego • A an á lise de tr

AA análiseanálise dede tráfegotráfego

• A análise de tr áfego permite, entre outras possibilidades:

- Encontrar pontos de bloqueio na rede.

- Detectar anomalias na rede.

- Descobrir equipamentos e cabeamento defeituosos.

- Observar importantes mensagens de sistema n ão mostradas pelas aplica ções.

• A análise depender á, principalmente, do conhecimento a respeito de protocolos de rede e de modelo OSI.

• Para entender os protocolos, é necess á rio estudar RFCs.

• RFCs regulam o funcionamento da Internet!!!

A A análise análise de de tráfego tráfego • Algumas RFCs importantes para a an

AA análiseanálise dede tráfegotráfego

• Algumas RFCs importantes para a an álise de tr áfego: 768, 791, 792, 793, 2460, 6890 e todas as respectivas atualiza çõ es.

• Dispon í veis em http://ietf.org/rfc.html e outros sites.

• A ferramenta: tcpdump.

• Outras formas de aux ílio: tshark, wireshark, mtr, ping, netcat, iptraf, packit etc.

• Auxí lio para testes e estudo: simulador de redes CORE (http://eriberto.pro.br/core).

• H á diversas capturas de tr á fego, dispon í veis para estudo, em https://wiki.wireshark.org/SampleCaptures

A A análise análise de de tráfego tráfego • Alguns pockets que podem ser usados

AA análiseanálise dede tráfegotráfego

• Alguns pockets que podem ser usados como refer ê ncia:

> TCP/IP and tcpdump Pocket Reference Guide da SANS:

http://www.sans.org/security-resources/tcpip.pdf (IPv4) http://www.sans.org/security-resources/ipv6_tcpip_pocketguide.pdf (IPv6)

> Análise de tráfego em redes TCP/IP com tcpdump e windump:

http://eriberto.pro.br/files/guia_tcpdump.pdf

A A análise análise de de tráfego tráfego Simulador de redes CORE (# apt-get install

AA análiseanálise dede tráfegotráfego

A A análise análise de de tráfego tráfego Simulador de redes CORE (# apt-get install a

Simulador de redes CORE

(# apt-get install a partir de http://eriberto.pro.br/core).

Ou

M áquina virtual dispon í- vel no site oficial.

Sumário Sumário • A an á lise de tr á fego • A estrutura de

SumárioSumário

• A an álise de tr á fego

• A estrutura de um protocolo

• O protocolo IP

• O protocolo TCP

• O protocolo UDP

• O protocolo ICMP

• O modelo OSI

• Té cnica de uso do tcpdump na an álise de tr áfego

• Payloads que falam

• Bridges na an á lise de tr áfego

• Conclus ão

A A estrutura estrutura de de um um protocolo protocolo • Protocolos de rede s

AA estruturaestrutura dede umum protocoloprotocolo

• Protocolos de rede s ão um conjunto de regras literais que estabelecem um padr ão de comunica çã o e comportamento.

• Protocolos de rede, quando implementados, possuem uma estrutura b á sica, formada por um cabe ç alho (ou header) e um payload (ou área de dados).

Cabe çalho
Cabe çalho
Payload
Payload
Sumário Sumário • A an á lise de tr á fego • A estrutura de

SumárioSumário

• A an álise de tr á fego

• A estrutura de um protocolo

• O protocolo IP

• O protocolo TCP

• O protocolo UDP

• O protocolo ICMP

• O modelo OSI

• Té cnica de uso do tcpdump na an álise de tr áfego

• Payloads que falam

• Bridges na an á lise de tr áfego

• Conclus ão

O O protocolo protocolo IP IP • IP, RFC 791. O protocolo mais importante da

OO protocoloprotocolo IPIP

• IP, RFC 791. O protocolo mais importante da fam í lia TCP/IP.

0

1

2

3

0

1

2

3

4

5

6

7 8 9

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9 0 1

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

|Version| IHL |Type of Service|

Total Length

|

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

|

Identification

|Flags|

Fragment Offset

|

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

|

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

| Time to Live |

Protocol

Header Checksum

|

|

Source Address

|

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

|

Destination Address

|

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

|

Options

|

Padding

|

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

O O protocolo protocolo IP IP • O campo TTL é importante porque permite estimar

OO protocoloprotocolo IPIP

• O campo TTL é importante porque permite estimar o sistema operacional oposto e a quantidade de roteadores entre o host oposto e o local.

• Por default, sistemas operacionais utilizam valores iniciais de TTL que podem ser alterados. Unix e derivados diretos = 255, MS Windows = 128 e GNU/Linux = 64.

• Protocolos IP: s ão os protocolos que s ão encapsulados pelo IP. Sã o listados pela IANA e um resumo poder á ser encontrado em /etc/protocols. Exemplos: ICMP, TCP e UDP.

O O protocolo protocolo IP IP • O IP é utilizado para transportar outros protocolos.

OO protocoloprotocolo IPIP

• O IP é utilizado para transportar outros protocolos. Ent ã o, sempre haver á um protocolo IP no seu payload.

Cabe çalho IP
Cabe çalho IP
Cabe çalho TCP Payload TCP Payload IP
Cabe çalho TCP
Payload TCP
Payload IP
O O protocolo protocolo IP IP • Os protocolos IP mais importantes para a an

OO protocoloprotocolo IPIP

• Os protocolos IP mais importantes para a an á lise de tr á fego s ão o TCP, o UDP e o ICMP.

• Entre todos os protocolos IP, somente o TCP e o UDP utilizam portas.

Sumário Sumário • A an á lise de tr á fego • A estrutura de

SumárioSumário

• A an álise de tr á fego

• A estrutura de um protocolo

• O protocolo IP

• O protocolo TCP

• O protocolo UDP

• O protocolo ICMP

• O modelo OSI

• Té cnica de uso do tcpdump na an álise de tr áfego

• Payloads que falam

• Bridges na an á lise de tr áfego

• Conclus ão

O O protocolo protocolo TCP TCP • TCP, RFC 793. O protocolo de transporte mais

OO protocoloprotocolo TCPTCP

• TCP, RFC 793. O protocolo de transporte mais controlado, confi ável e complexo da fam í lia TCP/IP.

0

1

2

3

0

1

2

3

4

5

6

7 8 9

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9 0 1

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

|

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

Sequence Number

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

|

|

Source Port

Destination Port

|

|

|

Acknowledgment Number

|

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

|

Data |

|U|A|P|R|S|F|

|

| Offset| Reserved |R|C|S|S|Y|I|

Window

|

|

|

|G|K|H|T|N|N|

|

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

|

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

|

Checksum

Urgent Pointer

|

|

Options

|

Padding

|

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

O O protocolo protocolo TCP TCP - - flags flags • Flags TCP: - Syn

OO protocoloprotocolo TCPTCP -- flagsflags

• Flags TCP:

- Syn (synchronize): inicia conex õ es.

- Fin (finish): finaliza conex õ es.

- Psh (push): envia dados.

- Ack (acknowledgment): confirma ção de que é conhecido o n úmero de sequ ê ncia do pr ó ximo segmento a ser enviado pelo lado oposto.

- Rst (reset): “n ão entendi”.

IMPORTANTE: as flags TCP s ão disparadas contra portas e somente a flag push possui payload.

O O protocolo protocolo TCP TCP • O TCP (e tamb é m o UDP)

OO protocoloprotocolo TCPTCP

• O TCP (e tamb ém o UDP) é utilizado para transportar protocolos de uso espec ífico dos usu ários e das suas aplica ções. Ex.: http, smtp, pop-3, ftp, msn, ssh, telnet, irc etc.

Cabe çalho IP
Cabe çalho IP
Cabe çalho TCP HTTP Payload TCP Payload IP
Cabe çalho TCP
HTTP
Payload TCP
Payload IP
O O protocolo protocolo TCP TCP • O protocolo TCP é orientado à conex ã

OO protocoloprotocolo TCPTCP

• O protocolo TCP é orientado à conexão e a garante por interm é dio do three-way handshake.

É um protocolo full duplex.

• Em uma rede, independente do protocolo, é sempre o cliente quem inicia a conex ão.

• Não há rede sem servidor ou servi ç o.

O O protocolo protocolo TCP TCP cygnus:~# tcpdump -nSt host www.eriberto.pro.br IP 10.1.1.15.49012 > 203.0.113.4.80:

OO protocoloprotocolo TCPTCP

cygnus:~# tcpdump -nSt host www.eriberto.pro.br

IP 10.1.1.15.49012 > 203.0.113.4.80: Flags [S], seq 747415379, win 5840, options [mss 1460,sackOK,TS val 11081666 ecr 0,nop,wscale 6], length 0

IP 203.0.113.4.80 > 10.1.1.15.49012: Flags [S.], seq 2372044971, ack 747415380, win 5840, options [mss 1460], length 0

IP 10.1.1.15.49012 > 203.0.113.4.80: Flags [.], ack 2372044972, win 5840, length 0

IP 10.1.1.15.49012 > 203.0.113.4.80: Flags [P.], seq 747415380:747415928, ack 2372044972, win 5840, length 548

IP 203.0.113.4.80 > 10.1.1.15.49012: Flags [.], ack 747415928, win 6576, length 0

IP 203.0.113.4.80 > 10.1.1.15.49012: Flags [P.], seq 2372044972:2372045807, ack 747415928, win 6576, length 835

IP 10.1.1.15.49012 > 203.0.113.4.80: Flags [.], ack 2372045807, win 6680, length 0

IP 203.0.113.4.80 > 10.1.1.15.49012: Flags [F.], seq 2372045807, ack 747415928, win 6576, length 0 IP 10.1.1.15.49012 > 203.0.113.4.80: Flags [.], ack 2372045808, win 6680, length 0

IP 10.1.1.15.49012 > 203.0.113.4.80: Flags [F.], seq 747415928, ack 2372045808, win 6680, length 0 IP 203.0.113.4.80 > 10.1.1.15.49012: Flags [.], ack 747415929, win 6576, length 0

O O protocolo protocolo TCP TCP cygnus:~# tcpdump -nStA host www.eriberto.pro.br ] [ IP 10.1.1.15.49012

OO protocoloprotocolo TCPTCP

cygnus:~# tcpdump -nStA host www.eriberto.pro.br

] [

IP 10.1.1.15.49012 > 203.0.113.65.80: Flags [P.], seq 747415380:747415928, ack 2372044972, win 5840, length 548

E

L

@.@.

J7) t.P, T.b

P

Z

GET

/teste.html HTTP/1.1

Host: www.eriberto.pro.br

User-Agent: Mozilla/5.0 (X11; U; Linux i686; pt-BR; rv:1.9.1.10) Gecko/20100623 Iceweasel/3.5.10 (like Firefox/3.5.10) Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language: pt-br,pt;q=0.8,en-us;q=0.5,en;q=0.3

Accept-Encoding: gzip,deflate

Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7

Keep-Alive: 300

Connection: keep-alive

] [

O O protocolo protocolo TCP TCP cygnus:~# tcpdump -nSt port 81 IP 10.1.1.15.47887 > 203.0.113.8.81:

OO protocoloprotocolo TCPTCP

cygnus:~# tcpdump -nSt port 81

IP 10.1.1.15.47887 > 203.0.113.8.81: Flags [S], seq 2535659221, win 5840, options [mss 1460,sackOK,TS val 295864 ecr 0,nop,wscale 6], length 0

IP 203.0.113.8.81 > 10.1.1.15.47887: Flags [R.], seq 0, ack 2535659222, win 0, length 0

O O protocolo protocolo TCP TCP 2008-04-30 02:52:37.137288 IP 192.168.1.100.52075 > 161.148.185.130.3456 : Flags

OO protocoloprotocolo TCPTCP

O O protocolo protocolo TCP TCP 2008-04-30 02:52:37.137288 IP 192.168.1.100.52075 > 161.148.185.130.3456 : Flags

2008-04-30 02:52:37.137288 IP 192.168.1.100.52075 > 161.148.185.130.3456: Flags [S], seq 3214674887, win 5840, options [mss 1460,sackOK,TS val 810225 ecr 0,nop,wscale 7], length 0

2008-04-30 02:52:37.152227 IP 161.148.185.130.3456 > 192.168.1.100.52075: Flags [R.], seq 2748955468, ack 3214674888, win 62780, length 0

O O protocolo protocolo TCP TCP cygnus:~# tcpdump -nSt host hamurabi.acc.umu.se IP 10.1.1.15.36306 >

OO protocoloprotocolo TCPTCP

cygnus:~# tcpdump -nSt host hamurabi.acc.umu.se

IP 10.1.1.15.36306 > 130.239.18.165.80: Flags [S], seq 1134470901, win 5840, options [mss 1460,sackOK,TS val 547187 ecr 0,nop,wscale 6], length 0

IP 130.239.18.165.80 > 10.1.1.15.36306: Flags [S.], seq 1887642709, ack 1134470902, win 5792, options [mss 1460,sackOK,TS val 324228655 ecr 547187,nop,wscale 7], length 0

IP 10.1.1.15.36306 > 130.239.18.165.80: Flags [.], ack 1887642710, win 92, options [nop,nop,TS val 547265 ecr 324228655], length 0

IP 10.1.1.15.36306 > 130.239.18.165.80: Flags [P.], seq 1134470902:1134471443, ack 1887642710, win 92, options [nop,nop,TS val 547265 ecr 324228655], length 541

IP 130.239.18.165.80 > 10.1.1.15.36306: Flags [.], ack 1134471443, win 54, options [nop,nop,TS val 324228688 ecr 547265], length 0

[

]

Ctrl c

IP 10.1.1.15.36306 > 130.239.18.165.80: Flags [F.], seq 1134471443, ack 1888127990, win 3563, options [nop,nop,TS val 549148 ecr 324229384,nop,nop,sack 2 {1888135190:1888148150}{1888129430:1888130870}], length 0 IP 130.239.18.165.80 > 10.1.1.15.36306: Flags [P.], seq 1888148150:1888149590, ack 1134471443, win 54, options [nop,nop,TS val 324229401 ecr 549051], length 1440

IP 10.1.1.15.36306 > 130.239.18.165.80: Flags [R], seq 1134471443, win 0, length 0

O O protocolo protocolo TCP TCP IP6 2001::10.33467 > 2001:1::10.80: Flags [S], seq 4052414885, win

OO protocoloprotocolo TCPTCP

IP6 2001::10.33467 > 2001:1::10.80: Flags [S], seq 4052414885, win 14400, options [mss 1440,sackOK,TS val 222843 ecr 0,nop,wscale 7], length 0

IP6 2001:1::10.80 > 2001::10.33467: Flags [S.], seq 3060786677, ack 4052414886, win 14280, options [mss 1440,sackOK,TS val 222843 ecr 222843,nop,wscale 7], length 0 IP6 2001::10.33467 > 2001:1::10.80: Flags [.], ack 1, win 113, options [nop,nop,TS val 222843 ecr 222843], length 0

IP6 2001::10.33467 > 2001:1::10.80: Flags [P.], seq 1:237, ack 1, win 113, options [nop,nop,TS val 222844 ecr 222843], length 236

IP6 2001:1::10.80 > 2001::10.33467: Flags [.], ack 237, win 120, options [nop,nop,TS val 222844 ecr 222844], length 0 IP6 2001:1::10.80 > 2001::10.33467: Flags [P.], seq 1:725, ack 237, win 120, options [nop,nop,TS val 222845 ecr 222844], length 724

IP6 2001::10.33467 > 2001:1::10.80: Flags [.], ack 725, win 124, options [nop,nop,TS val 222845 ecr 222845], length 0

IP6 2001:1::10.80 > 2001::10.33467: Flags [F.], seq 725, ack 237, win 120, options [nop,nop,TS val 222845 ecr 222845], length 0

IP6 2001::10.33467 > 2001:1::10.80: Flags [F.], seq 237, ack 726, win 124, options [nop,nop,TS val 222845 ecr 222845], length 0 IP6 2001:1::10.80 > 2001::10.33467: Flags [.], ack 238, win 120, options [nop,nop,TS val 222845 ecr 222845], length 0

Sumário Sumário • A an á lise de tr á fego • A estrutura de

SumárioSumário

• A an álise de tr á fego

• A estrutura de um protocolo

• O protocolo IP

• O protocolo TCP

• O protocolo UDP

• O protocolo ICMP

• O modelo OSI

• Té cnica de uso do tcpdump na an álise de tr áfego

• Payloads que falam

• Bridges na an á lise de tr áfego

• Conclus ão

O O protocolo protocolo UDP UDP • UDP, RFC 768. O protocolo de transporte mais

OO protocoloprotocolo UDPUDP

• UDP, RFC 768. O protocolo de transporte mais r ápido da famí lia TCP/IP.

15 16

+--------+--------+--------+--------+

0 7 8

23 24

31

|

Source

|

Destination

|

|

Port

|

Port

|

+--------+--------+--------+--------+

|

|

|

|

Length

|

Checksum

|

+--------+--------+--------+--------+

O O protocolo protocolo UDP UDP • Somente os protocolos TCP e UDP possuem portas.

OO protocoloprotocolo UDPUDP

• Somente os protocolos TCP e UDP possuem portas.

• Sempre que houver uma nova conex ão TCP ou UDP, a porta do cliente mudar á .

• O protocolo UDP é r ápido mas exige que todo o controle de fluxo seja feito pela aplica ção, ao contr ário do TCP.

Sumário Sumário • A an á lise de tr á fego • A estrutura de

SumárioSumário

• A an álise de tr á fego

• A estrutura de um protocolo

• O protocolo IP

• O protocolo TCP

• O protocolo UDP

• O protocolo ICMP

• O modelo OSI

• Té cnica de uso do tcpdump na an álise de tr áfego

• Payloads que falam

• Bridges na an á lise de tr áfego

• Conclus ão

O O protocolo protocolo ICMP ICMP • ICMP, RFC 792. O protocolo de controle do

OO protocoloprotocolo ICMPICMP

• ICMP, RFC 792. O protocolo de controle do IP.

 

0

1

2

3

0

1

2

3

4

5

6

7 8 9

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9 0 1

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

 

|

Type

 

|

Code

 

|

Checksum

 

|

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

 

|

ICMP

 

|

Exemplos:

 

- Tipo 8: echo request.

- Tipo 0: echo reply.

- Tipo 3, c ó digo 3: porta de destino inacess ível.

- Tipo 11, c ó digo 0: TTL expirado em tr ânsito.

O O protocolo protocolo ICMP ICMP • O ICMP é utilizado para controlar as atividades

OO protocoloprotocolo ICMPICMP

• O ICMP é utilizado para controlar as atividades de rede.

• De um modo geral, entre os protocolos IP, somente o TCP n ão é assessorado pelo ICMP.

• H á v ários tipos e c ó digos ICMP.

• Não se bloqueia ICMP em redes!!! Isso n ã o cria seguran ç a e sim descontrole. O correto é controlar o ICMP pelo sistema de firewall.

• Sistemas de firewall s ão compostos por diversos elementos como filtros de pacotes, proxies, IPS, verificadores de integridade etc. Firewalls n ão controlam somente TCP e UDP!

O O protocolo protocolo ICMP ICMP cygnus:~# tcpdump -nSt port 54 or icmp IP 10.1.1.15.47014

OO protocoloprotocolo ICMPICMP

cygnus:~# tcpdump -nSt port 54 or icmp

IP 10.1.1.15.47014 > 10.1.1.1.54: UDP, length 6

IP 10.1.1.1 > 10.1.1.15: ICMP 10.1.1.1 udp port 54 unreachable, length 42

O O protocolo protocolo ICMP ICMP 21:03:42.745064 IP 201.22.137.119 > 10.1.4.25: ICMP 65.54.179.248 unreachable -

OO protocoloprotocolo ICMPICMP

O O protocolo protocolo ICMP ICMP 21:03:42.745064 IP 201.22.137.119 > 10.1.4.25: ICMP 65.54.179.248 unreachable -

21:03:42.745064 IP 201.22.137.119 > 10.1.4.25: ICMP 65.54.179.248 unreachable - need to frag (mtu 1492), length 556

Sumário Sumário • A an á lise de tr á fego • A estrutura de

SumárioSumário

• A an álise de tr á fego

• A estrutura de um protocolo

• O protocolo IP

• O protocolo TCP

• O protocolo UDP

• O protocolo ICMP

• O modelo OSI

• Té cnica de uso do tcpdump na an álise de tr áfego

• Payloads que falam

• Bridges na an á lise de tr áfego

• Conclus ão

O O modelo modelo OSI OSI • Modelo criado pela ISO para que fabricantes de

OO modelomodelo OSIOSI

• Modelo criado pela ISO para que fabricantes de hardware de rede possam desenvolver equipamentos compat íveis entre si.

Dados

Dados

Dados

Segmentos

Pacotes[1]

Quadros[2]

Bits

Aplicação Apresentação Sessão Transporte Rede Enlace Fí sica
Aplicação
Apresentação
Sessão
Transporte
Rede
Enlace
Fí sica

[1] pacotes ou datagramas [2] quadros ou frames

Usuário, http, ftp, smtp, pop3, chat etc

SSL, conversão de padrões, (des)compressão

Sessão de aplicações

TCP, UDP

IP e protocolos IP (exceto TCP e UDP) / roteador

Ethernet, ATM, PPP, frame relay / switch, bridge

Hub, cabos, placa de rede, ondas wireless etc

O O modelo modelo OSI OSI Mas, de uma forma simples, o que é o

OO modelomodelo OSIOSI

Mas, de uma forma simples, o que é o modelo OSI???

O O modelo modelo OSI OSI • O modelo OSI é , em uma vis

OO modelomodelo OSIOSI

• O modelo OSI é , em uma vis ã o simplificada, isso:

Cabe çalho Ethernet
Cabe çalho Ethernet
Cabe çalho IP Cabe çalho TCP HTTP Payload TCP Payload IP Payload Ethernet
Cabe çalho IP
Cabe çalho TCP
HTTP
Payload TCP
Payload IP
Payload Ethernet
O O modelo modelo OSI OSI • O modelo OSI, na pr á tica, é

OO modelomodelo OSIOSI

• O modelo OSI, na pr ática, é uma refer ê ncia ao encapsulamento de dados e protocolos, com n íveis de prepara ção e controle.

• Um exemplo, utilizando o protocolo HTTP como aplica ção:

Aplica çã o Apresenta çã o Sessão Transporte Rede Enlace Física
Aplica çã o
Apresenta çã o
Sessão
Transporte
Rede
Enlace
Física
Encapsulamento Prepara çã o Controle Encap. / Controle Encap. / Controle
Encapsulamento
Prepara çã o
Controle
Encap. / Controle
Encap. / Controle

Encap. / Controle Despacho

/ Controle Encap. / Controle Encap. / Controle Despacho HTTP Header Header TCP IP (v4 e
HTTP
HTTP
Header Header TCP IP (v4 e v6) Header Ethernet
Header
Header
TCP
IP (v4 e v6)
Header
Ethernet
O O modelo modelo OSI OSI • É importante ressaltar que os protocolos de transporte

OO modelomodelo OSIOSI

É importante ressaltar que os protocolos de transporte (TCP e UDP) servem para “transportar” dados referentes a usu á rios. Se não houver usu ários, n ão haver á as camadas 4 a 7.

Aplica çã o Apresenta çã o Sessão Transporte Rede Enlace Física
Aplica çã o
Apresenta çã o
Sessão
Transporte
Rede
Enlace
Física
Encapsulamento Prepara çã o Controle Encap. / Controle Encap. / Controle
Encapsulamento
Prepara çã o
Controle
Encap. / Controle
Encap. / Controle

Encap. / Controle Despacho

/ Controle Encap. / Controle Encap. / Controle Despacho HTTP Header Header TCP IP (v4 e
HTTP
HTTP
Header Header TCP IP (v4 e v6) Header Ethernet
Header
Header
TCP
IP (v4 e v6)
Header
Ethernet
Sumário Sumário • A an á lise de tr á fego • A estrutura de

SumárioSumário

• A an álise de tr á fego

• A estrutura de um protocolo

• O protocolo IP

• O protocolo TCP

• O protocolo UDP

• O protocolo ICMP

• O modelo OSI

• Té cnica de uso do tcpdump na an álise de tr áfego

• Payloads que falam

• Bridges na an á lise de tr áfego

• Conclus ão

Técnica Técnica de de uso uso do do tcpdump tcpdump na na análise análise de

TécnicaTécnica dede usouso dodo tcpdumptcpdump nana análiseanálise dede tráfegotráfego

• Caso 1: bloqueio do tr áfego em um elemento intermedi ário de rede (regras de filtragem mal feitas, erro no roteamento etc).

de rede (regras de filtragem mal feitas, erro no roteamento etc). S e n t i
de rede (regras de filtragem mal feitas, erro no roteamento etc). S e n t i
de rede (regras de filtragem mal feitas, erro no roteamento etc). S e n t i

S e n t i d o

d o

t r á f e g o

Técnica Técnica de de uso uso do do tcpdump tcpdump na na análise análise de

TécnicaTécnica dede usouso dodo tcpdumptcpdump nana análiseanálise dede tráfegotráfego

• Aplicar o tcpdump ao longo da topologia para descobrir o ponto de bloqueio.

tcpdump ao longo da topologia para descobrir o ponto de bloqueio. S e n t i
tcpdump ao longo da topologia para descobrir o ponto de bloqueio. S e n t i
tcpdump ao longo da topologia para descobrir o ponto de bloqueio. S e n t i

S e n t i d o

d o

t r á f e g o

Técnica Técnica de de uso uso do do tcpdump tcpdump na na análise análise de

TécnicaTécnica dede usouso dodo tcpdumptcpdump nana análiseanálise dede tráfegotráfego

• Aplicar o tcpdump ao longo da topologia para descobrir o ponto de bloqueio.

Syn Syn Syn Syn Nada
Syn
Syn
Syn
Syn
Nada
para descobrir o ponto de bloqueio. Syn Syn Syn Syn Nada S e n t i
para descobrir o ponto de bloqueio. Syn Syn Syn Syn Nada S e n t i

S e n t i d o

d o

t r á f e g o

Técnica Técnica de de uso uso do do tcpdump tcpdump na na análise análise de

TécnicaTécnica dede usouso dodo tcpdumptcpdump nana análiseanálise dede tráfegotráfego

• Caso 2: bloqueio do tr áfego por falha f í sica na topologia.

Caso 2: bloqueio do tr á fego por falha f í sica na topologia. S e
Caso 2: bloqueio do tr á fego por falha f í sica na topologia. S e
Caso 2: bloqueio do tr á fego por falha f í sica na topologia. S e

S e n t i d o

d o

t r á f e g o

Técnica Técnica de de uso uso do do tcpdump tcpdump na na análise análise de

TécnicaTécnica dede usouso dodo tcpdumptcpdump nana análiseanálise dede tráfegotráfego

• Aplicar o tcpdump ao longo da topologia para descobrir o ponto de falha.

o tcpdump ao longo da topologia para descobrir o ponto de falha. S e n t
o tcpdump ao longo da topologia para descobrir o ponto de falha. S e n t
o tcpdump ao longo da topologia para descobrir o ponto de falha. S e n t

S e n t i d o

d o

t r á f e g o

Técnica Técnica de de uso uso do do tcpdump tcpdump na na análise análise de

TécnicaTécnica dede usouso dodo tcpdumptcpdump nana análiseanálise dede tráfegotráfego

• Aplicar o tcpdump ao longo da topologia para descobrir o ponto de falha.

Syn Syn Syn Nada
Syn
Syn
Syn
Nada
da topologia para descobrir o ponto de falha. Syn Syn Syn Nada S e n t
da topologia para descobrir o ponto de falha. Syn Syn Syn Nada S e n t

S e n t i d o

d o

t r á f e g o

Sumário Sumário • A an á lise de tr á fego • A estrutura de

SumárioSumário

• A an álise de tr á fego

• A estrutura de um protocolo

• O protocolo IP

• O protocolo TCP

• O protocolo UDP

• O protocolo ICMP

• O modelo OSI

• Té cnica de uso do tcpdump na an álise de tr áfego • Payloads que falam

• Bridges na an á lise de tr áfego

• Conclus ão

Payloads Payloads que que falam falam • Em casos de falhas de conex ã o

PayloadsPayloads queque falam falam

• Em casos de falhas de conex ão em servi ç os, analise o payload do tr áfego com o tcpdump.

• Muitos servidores dizem as causas dos problemas mas as aplica çõ es n ão mostram o que foi dito. Exemplos: jabber, aplica çõ es que usam bancos de dados etc.

• Utilize a op ção -A para ver o payload.

Payloads Payloads que que falam falam Payload: 00:12:03.499715 IP 192.168.1.104.3306 > 192.168.1.101.34941: Flags

PayloadsPayloads queque falam falam

Payloads Payloads que que falam falam Payload: 00:12:03.499715 IP 192.168.1.104.3306 > 192.168.1.101.34941: Flags

Payload:

00:12:03.499715 IP 192.168.1.104.3306 > 192.168.1.101.34941: Flags [P.], seq 1:75, ack 1, win 33, options [nop,nop,TS val 23718975 ecr 5218436], length 74

E

~

@.@

h

e

.i.?.O

j.Host F

}.(

@1&

!

'192.168.1.101' is not allowed to connect to this MySQL server

Payloads Payloads que que falam falam Payload: 16:48:26.120296 IP 172.16.10.49.3306 > 172.16.10.42.39903: Flags

PayloadsPayloads queque falam falam

Payloads Payloads que que falam falam Payload: 16:48:26.120296 IP 172.16.10.49.3306 > 172.16.10.42.39903: Flags

Payload:

16:48:26.120296 IP 172.16.10.49.3306 > 172.16.10.42.39903: Flags [P.], seq 79:162, ack 80, win 181, options [nop,nop,TS val 3773032 ecr 3202030], length 83

E

E@.@

1

*

bx

.9.h.0

O #42000Access

'wikinet3'

Z

denied for user 'alpha31'@'172.16.10.42' to database

Payloads Payloads que que falam falam Payload: 11:22:42.833577 IP 208.68.163.220.5222 > 172.16.0.1.57148: Flags

PayloadsPayloads queque falam falam

Payloads Payloads que que falam falam Payload: 11:22:42.833577 IP 208.68.163.220.5222 > 172.16.0.1.57148: Flags

Payload:

11:22:42.833577 IP 208.68.163.220.5222 > 172.16.0.1.57148: Flags [P.], seq 1:355, ack 126, win 46, options [nop,nop,TS val 1913276961 ecr 20144826], length 354

E

$@.0

D

f.<Y.E

1

s

r

J!.3b.<?xml version='1.0'?><stream:stream xmlns='jabber:client' xmlns:stream='http://etherx.jabber.org/streams' id='521585298' from='jabber.org' xml:lang='en'><stream:error><policy-violation xmlns='urn:ietf:params:xml:ns:xmpp- streams'/><text xml:lang='' xmlns='urn:ietf:params:xml:ns:xmpp-streams'>Use of STARTTLS required</text></stream:error></stream:stream>

Payloads Payloads que que falam falam Payload: 16:19:50.614450 IP 172.30.1.5.3306 > 172.30.1.4.58868: Flags [P.],

PayloadsPayloads queque falam falam

Payloads Payloads que que falam falam Payload: 16:19:50.614450 IP 172.30.1.5.3306 > 172.30.1.4.58868: Flags [P.],

Payload:

16:19:50.614450 IP 172.30.1.5.3306 > 172.30.1.4.58868: Flags [P.], seq 391:467, ack 611, win 972, options [nop,nop,TS val 306116600 ecr 306114953], length 76

E

~.@.@.a=

~e

Z

.>

>

H

#HY000File

'./agenda1/webcal_entry_log.MYD' not found (Errcode: 30)

Sumário Sumário • A an á lise de tr á fego • A estrutura de

SumárioSumário

• A an álise de tr á fego

• A estrutura de um protocolo

• O protocolo IP

• O protocolo TCP

• O protocolo UDP

• O protocolo ICMP

• O modelo OSI

• Té cnica de uso do tcpdump na an álise de tr áfego

• Payloads que falam • Bridges na an á lise de tr áfego

• Conclus ão

Bridges Bridges na na análise análise de de tráfego tráfego • Bridges s ã o

BridgesBridges nana análiseanálise dede tráfegotráfego

• Bridges s ão elementos que atuam na camada 2 do modelo OSI e s ão como switches (e s ão invis í veis!).

• Caso os ativos de rede n ão permitam o uso de tcpdump (roteadores propriet ários etc.), utilize um notebook, com duas placas de rede configuradas como bridge, para fazer a an álise.

• A op ção -e no tcpdump mostra a camada de enlace no tr áfego.

• A segunda placa de rede poder á ser um adaptador USB- Ethernet.

• Bridges no Debian: http://bit.ly/bridge_debian

Bridges Bridges na na análise análise de de tráfego tráfego • O uso de bridge

BridgesBridges nana análiseanálise dede tráfegotráfego

• O uso de bridge na an álise de tr áfego.

BRIDGE
BRIDGE
• O uso de bridge na an á lise de tr á fego. BRIDGE Adaptador USB-Ethernet

Adaptador USB-Ethernet (venda em lojas, Mercado Livre e eBay). Custa US$ 2 no eBay, j á inclu í da a entrega no Brasil!

Sumário Sumário • A an á lise de tr á fego • A estrutura de

SumárioSumário

• A an álise de tr á fego

• A estrutura de um protocolo

• O protocolo IP

• O protocolo TCP

• O protocolo UDP

• O protocolo ICMP

• O modelo OSI

• Té cnica de uso do tcpdump na an álise de tr áfego

• Payloads que falam

• Bridges na an á lise de tr áfego • Conclus ão

Conclusão Conclusão • A an á lise de tr á fego é um conhecimento fundamental

ConclusãoConclusão

• A análise de tr áfego é um conhecimento fundamental para quem trabalha com redes de computadores. Sem ela, em momentos de panes e de problemas em redes, o administrador será um mero testador de possibilidades infundadas.

• A ferramenta tcpdump é a melhor aliada na an álise de tr áfego. No entanto, outras ferramentas como o wireshark e o mtr poder ão ser úteis, principalmente para o estudo e aprendizado.

• Payloads falam coisas importantes

ou ç a-os!

• Não se bloqueia ICMP em redes! Sem ele, haver á um certo grau de perda de controle.

continua

Conclusão Conclusão Refer ê ncias (usando tcpdump) para estudo: • MOTA FILHO, Jo ã o

ConclusãoConclusão

Refer ê ncias (usando tcpdump) para estudo:

• MOTA FILHO, Jo ão Eriberto. An á lise de tr áfego em redes TCP/IP. Editora Novatec, 2013.

• STEVENS, W. Richard; FALL, Kevin R. TCP/IP Illustrated, Volume I, 2ª ediçã o. Editora Addison-Wesley, 2011.

• WIRESHARK.ORG. Se çã o de capturas no site, em http://wiki.wireshark.org/SampleCaptures.

Esta palestra est á dispon í vel em:

http://eriberto.pro.br

Siga-meSiga-me nono TwitterTwitter @eribertomota@eribertomota