Wireshark

Captura e anlise de pacotes.

Realiza captura do trfego de rede na placa de rede da mquina.

Wireshark

Captura e anlise de pacotes.

Realiza captura do trfego de rede na placa de rede da mquina.

Analisar durante a captura, salvar captura, abrir arquivo de captura salvo.

Filtros
Filtros de captura.
Arquivos de captura podem crescer rapidamente e ficar muito grandes,
possvel filtrar os pacotes que sero capturados para capturar apenas o que
interessa e reduzir o tamanho do arquivo de captura.
Filtro de visualizao
Aps feita a captura possvel aplicar filtros que permitem a visualizao
apenas dos pacotes que interessam, sem alterar o aquivo de captura, isso
auxilia na anlise dos dados.

Wireshark

Exemplo de filtro de visualizao.

Filtro por pacote:

ICMP, TCP, UDP, IMGP....
Filtro por endereo IP
ip.addr == end. IP - Pacotes que contenham o endereo IP especificado.
ip.scr == end. IP - Pacotes com o endereo IP especificado como origem.
ip.dst == end. IP - Pacotes com o endereo IP especificado como destino.
tcp.flags.syn Pacote TCP com flag syn ativa.
Tambm possvel com binar expresses para montar filtros mais especficos, por exemplo:
ICMP && ip.dst == 10.1.1.1
Pacotes do protocolo ICMP com endereo IP de destino igual 10.1.1.1

Documentao
The Internet Engineering Task Force

A misso do IETF fazer com que a Internet

funcionar melhor atravs da produo de alta
qualidade, documentos tcnicos relevantes que
influenciam na forma como as pessoas de
desenvolvem , usam e gerenciam a Internet.
http://tools.ietf.org/html/
4

Arquitetura TCP/IP
A arquitetura de rede TCP/IP organizada em
quatro camadas:

Aplicao

Transporte

Rede

Interface de rede

Uma camada s se comunica

imediatamente superior ou inferior.

com

outra

Camadas TCP/IP
Mensagem
Pacote/segmento
(TCP ou UDP)
Datagrama IP

Quadro

Aplicao
Transporte
Rede
Interface de Rede

FTP, SMTP, HTTP

TCP / UDP

IP / ICMP

Ethernet, Token Ring

Aplicao
Define a sintaxe das mensagens tratadas entre
aplicaes.
a nica camada cuja implementao realizada
atravs de processos do sistema operacional
Trata os detalhes especficos de cada tipo de
aplicao.

Aplicao
Telnet terminal virtual
FTP (File Transfer Protocol) transferncia de arquivos.
SMTP (Simple Mail Transfer Protocol) Correio eletrnico
e-mail.
SNMP (Simple Network Manegement Protocol) gerenciamento de redes.
HTTP (Hypertext Transfer Protocol) WWW (World Wide
Web)

Transporte
Prov comunicao fim a fim ente aplicaes

TCP (Transmission Control Protocol)

Orientado conexo

Prov fluxo confivel de dados

Divide o fluxo em segmentos

Controle de erro

Controle de sequncia

Transporte

Three way handshake

Modo do TCP estabelecer uma conexo

A mquina que inicia a conexo (A) envia um pacote com a

flag SYN ativa.

A mquina que recebe o pedido de conexo (B) devolve uma

pacote com as flags SYN e ACK ativas, um nmero de
sequncia que identifica o prximo segmento que a mquina
ir enviar e o prximo nmero de sequncia que ela espera
receber.

A mquina A reponde com a flag ACK, o numero que a

mquina B esperava e o prximo numero que a mquina A
espera receber.
10

Transporte

Nos 2 primeiros pacotes o cliente envia pedido de conexo

SYN e no tem resposta

O 5 pacote de uma reposta do servidor SYN, ACK

O 6 pacote e confirmao da conexo SYN

11

Transporte

UDP (User Datagram Protocol)

Servio de datagrama no confivel

Apenas envia os pacotes

No garante entrega

til em servios real time.

Video conferncia.
VoIP.

12

IP

Hierarquia dos endereos IP

Estrutura hierrquica que identifica Redes fsicas e interfaces

de rede.
Identificador de rede

Identificador de estao

Identificador de Rede
Prefixo de rede, identifica a rede de forma nica e individual

Identificador de estao
identifica uma interface dentro da rede de forma nica e
individual

13

IP

Regras de atribuio

Diferentes prefixos para diferentes redes.

Interfaces na mesma rede com o mesmo prefixo.

Cada rede deve ter seu prefixo nico.

Interfaces que esto na mesma rede tem que ter o
mesmo prefixo de rede.

O identificador de estao (interface) deve ser nico

O identificador de estao (interface) deve ser nico

na rede.

14

IP

Mscara de rede

A mscara serve para a mquina diferenciar

Identificador de rede do Identificador de estao.
0 bit

24 bits

32 bits

11111111

11111111

11111111

00000000

255

255

255

24

--------------------- rede -------------------------

---- host ------

15

IP

Mscara de rede

0 bit

8 bits
255

16 bits
255

24 bits
255

--------------------- rede ------------------------255

255

32 bits
0

Rede /24

---- host -----0

Rede /16

--------------- rede -------------- --------------- host -------------255

---- host ------

0
0
0
--------------------- rede -------------------------

Rede /8

16

IP

Endereo IP pblico

Endereos que no foram reservados para fins especficos

e que podem ser roteados na internet.

Endereo IP Reservados

Endereos que foram reservados para fins especficos

Redes privadas;

Multicast;

Loopback, e outras

17

IP

RFC3330

Esta RFC trata da reserva de endereos IP

https://tools.ietf.org/html/rfc3330

A Internet Assigned Numbers Authority (IANA)

a responsvel pela coordenao global do DNS raiz;

Endereamento IP, e outros recursos.

http://www.iana.org/numbers

18

IP

19

Gateway

Equipamento responsvel por fazer a interconexo de duas ou

mais redes.
Pode ser uma mquina comum configurada para a tarefa ou
um equipamento dedicado.

Em redes domesticas o modem DSL faz o papel.

Em redes corporativas usa se equipamento dedicado.

O gateway recebe pacotes das maquinas de uma rede

encaminha para outra rede.
O gateway ou default gateway tambm pode ser chamado de
rota padro.

20

Gateway

Quando um pacote vai ser encaminhado, o endereo de

destino comparado com a tabela de rotas (roteador ou
estao de trabalho) caso no exista rota especfica para a
rede do destino, o pacote encaminhado para a rota padro.
A rota padro representada por 0.0.0.0 ex.:
Rede destino
0.0.0.0

Gateway
172.16.1.1

21

Gateway

22

Exerccio de fixao
Rede_____________ /24

Rede_____________ /16

M1
End. IP:__________
Masc:____________
gw.______________

M1
End. IP:__________
Masc:____________
gw.______________

M2
End. IP:__________
Masc:____________
gw.______________
M3
End. IP:__________
Masc:____________
gw.______________
M4
End. IP:__________
Masc:____________
gw.______________

Gateway
End. IP:__________
Masc:____________
End. IP:__________
Masc:____________

M2
End. IP:__________
Masc:____________
gw.______________
M3
End. IP:__________
Masc:____________
gw.______________
M4
End. IP:__________
Masc:____________
gw.______________
23

ICMP

O Internet Control Message Protocol (ICMP) usado pelo protocolo IP para trocar
informaes de erro e controle, sinalizando situaes por meio de seus diversos
tipos de mensagens.
Os tipos definidos so:

24

ICMP

Os tipos mais comuns so:

8

Echo Request
Pedido de Echo Reply, utilizado para testar a conectividade entre mquinas.

Echo Reply
Resposta ao pedido do Echo Request, indica que a conectividade entre as maquinas est
funcionando.

Destination Unreachable
No foi possvel alcanar o destino, neste caso ainda exitem cdigos que ajudam a identificar o
problema.

11 Time Exceeded
Tempo excedido, acontece quando o uma mquina descarta o pacote, seja por regra de firewall ou
porque o Time To Live (TTL) do pacote chegou a 0, ento ela devolve um pacote com cdigo 11.

25

ICMP

26

ICMP

Os principais cdigos do tipo 3 so:

Network Unreachable
No foi possvel alcanar a rede, acontece geralmente quando o gateway no
conhece rotas para a rede.

Host Unreachable
No foi possvel alcanar a mquina, acontece geralmente quando a mquina
no est acessvel, pode estar sem conexo com a rede, desligada,
desconfigurada entre outras possibilidades.

Port Unreachable
No foi possvel alcanar a porta de destino do pacote, utilizado principalmente
pela ferramenta traceroute.

27

ICMP

Pode acontecer tambm de no haver resposta ao Echo Request, neste caso de pois
de determinado tempo esperando, acontece o Timeout no caso do Windows apresenta
a mensagem Esgotado o tempo limite do pedido.
Comando ping
o ping uma ferramenta de rede que utiliza o ICMP para fazer testes de conectividade
entre mquinas.

Windows
comando : ping <end ip>
ping 10.1.1.1
Ele enviar 4 pacotes de echo request.
Para enviar mais pacotes, pode se usar o parmetro -t , assim ele ficar
enviando pacotes at que seja interrompido pelo usurio.

28

ICMP

Linux
comando : ping <end ip>
ping 10.1.1.1
Ele ficar enviando pacotes at que seja interrompido pelo usurio.
Ctrl + c para interromper o ping.

29

Echo Request e Echo Reply

30

ICMP Type 3 Code 1

31

ICMP Type 3 Code 0

32

Traceroute

O traceroute uma ferramenta para traar a rota de uma mquina at outra

mquina, ou seja, possvel descobrir por quais roteadores os pacotes devem
passar para chegar ao seu destino.
Em seu funcionamento mais bsico, utiliza o ICMP e as mensagem tipo 3
(Destination unreachable), para receber de cada n (roteador) no caminho
informaes sobre cada roteador.
Sempre que um roteador recebe um pacote ele decrementa o campo TTL do pacote,
quando o TTL chega a 0 o pacote descartado e o roteador envia uma mensagem
Time exceeded (ICMP tipo 11) para a o endereo de origem.
O traceroute se aproveita desta caracterstica para identificar cada roteador no
caminho da origem at o destino.

33

Traceroute

Na primeira mensagem enviado um pacote com TTL igual a 1, este descartado

no primeiro roteador, que envia um ICMP tipo 11 de volta.
As segunda mensagem igual a 2 e descartada no segundo roteador, assim segue
at o destino.
Quando finalmente o pacote chega ao destino, a porta que ele especifica no existe,
ento a mquina o descarta e envia para a origem um ICMP tipo 3 cdigo 3.

Tracert e traceroute

imagens

34

Traceroute

35

Relatrio
1 Utilize o Wireshark para identificar um TCP Three way handshake.
a) Na VM WinXP, colocar a placa de rede em modo NAT, abrir o wireshark e iniciar a
captura, abrir um navegador e um site qualquer.
Identifique os pacotes do handshake, utilize um print da tela de captura para evidenciar
os pacotes, explique funcionamento do mecanismo e qual o objetivo.
b) Identifique e evidencie as portas utilizadas na conexo.
c) Utilize um print da tela de captura para evidenciar as Flags SYN e ACK.

36

Relatrio
2 Utilize o Wireshark para identificar pacotes ICMP.

Utilize um print da tela de captura para evidenciar os pacotes e comente cada caso.

a) ICMP Echo request

b) ICMP Echo reply
c) ICMP Type 3 Code 0
d) ICMP Type 3 Code 1

37

Relatrio
Roteiro de configuraes:
(estes comandos Linux perdem a validade se a mquina for reiniciada)

No Linux, com 2 placas de rede, em modo REDE INTERNA.

Utilize o comando, para que a ativar o encaminhamento de pacotes:

sysctl -w net.ipv4.ip_forward=1

Configurar endereo IP nas placas da rede.

ifconfig eth0 192.168.1.1 netmask 255.255.255.0 (configurar o IP e a mascara)
ifconfig eth1 10.1.1.1 netmask 255.255.255.0 (configurar o IP e a mascara)
ifconfig (verificar a configurao das placas)

No XP placa de rede em modo REDE INTERNA, configurar endereo IP 10.1.1.10 , mascara e gateway.

38

Relatrio

Iniciar captura no wireshark.

a) ICMP Echo request e Echo reply

Efetuar ping para o gateway

b) ICMP Type 3 Code 0

Efetuar ping para um endereo em uma rede inalcanvel (uma rede que no foi configurada)

c) ICMP Type 3 Code 1

Efetuar ping para um endereo que no esteja em uso na rede 192.168.1.0/24

39