análise de tráfego em redes tcp-ip.pdf

Novatec

Joo Eriberto Mota Filho

Copyright 2013 da Novatec Editora Ltda.

Todos os direitos reservados e protegidos pela Lei 9.610 de 19/02/1998. proibida a reproduo desta obra, mesmo parcial, por qualquer processo, sem prvia autorizao, por escrito, do autor e da Editora.

Editor: Rubens PratesEditora assistente: Ana Carolina PratesReviso gramatical: Patrizia ZagniEditorao eletrnica: Carolina KuwabataCapa: Carolina Kuwabata

ISBN: 978-85-7522-375-8

Histrico de impresses:

Julho/2013 Primeira edio

Novatec Editora Ltda.Rua Lus Antnio dos Santos 11002460-000 So Paulo, SP BrasilTel.: +55 11 2959-6529Fax: +55 11 2950-8869E-mail: [email protected]: novatec.com.brTwitter: twitter.com/novateceditoraFacebook: facebook.com/novatecLinkedIn: linkedin.com/in/novatec

Dados Internacionais de Catalogao na Publicao (CIP)(Cmara Brasileira do Livro, SP, Brasil)

Mota Filho, Joo Eriberto Anlise de trfego em redes TCP/IP : utilize tcpdump na anlise de trfegos em qualquer sistema operacional / Joo Eriberto Mota Filho. -- So Paulo : Novatec Editora, 2013.

Bibliografia. ISBN 978-85-7522-375-8

1. Redes de computadores 2. TCP/IP (Protocolo de redes de computadores) I. Ttulo.

13-07326 CDD-004.62

ndices para catlogo sistemtico:

1. TCP/IP : Protocolo de redes de computador : Processamentos de dados 004.62

VC20130718

32

captulo 1O que a anlise de trfego?

Este captulo abordar a definio do objetivo principal deste livro, ou seja, a anlise de trfego em redes TCP/IP.

1.1 Desconhecimento sobre redes: um problema histricoAs redes modernas so compostas de diversos equipamentos, sistemas opera-cionais, recursos de segurana e recursos de monitoramento. Manter todos esses elementos funcionando corretamente uma tarefa complexa que exige um bom conhecimento tanto prtico quanto terico.

Historicamente, no Brasil, a formao a respeito de redes de computadores, at meados da dcada de 2000, fazia parte dos cursos de graduao voltados para programao; assim, tnhamos as redes como sendo o patinho feio da infor-mtica, consistindo em uma disciplina com poucas horas de durao. A conse-quncia mais relevante disso que muitos profissionais antigos conheceram as redes apenas na prtica e, at hoje, tm problemas indecifrveis com as mesmas. Sem falar que, na sua grande maioria, eram os nicos profissionais disponveis para serem professores nos cursos de redes. Por outro lado, nas universidades mais conceituadas, o assunto ainda abordado de forma extremamente terica e com muita profundidade. Novamente, temos problemas de entendimento do assunto e, no fim, redes de computadores tudo o que um aluno no quer ver na sua frente. Portanto, com poucas excees, teremos duas situaes finais: cursos de redes com muitos ensinamentos prticos, mas poucos embasamentos tericos ou, ao contrrio, cursos profundos em cima de teorias e conceitos abstratos para o aluno. O resultado disso desastroso.

O perfeito domnio da teoria indispensvel para o entendimento de uma rede e sua correta administrao. Note que os comentrios deste item do livro no tm a inteno de ofender ou rebaixar ningum. O objetivo mostrar nossa

33Captulo 1 O que a anlise de trfego?

atual situao e sensibilizar para a extrema importncia de estudar e conhecer a teoria e a prtica de forma equilibrada. E tudo tem seu momento. Um exemplo disso que, em vrios cursos, tenta-se ensinar Modelo OSI na primeira aula. No entanto, impossvel entendermos o Modelo OSI sem conhecermos, com certa profundidade, protocolos bsicos como IP, TCP, UDP e ICMP.

O objetivo deste livro ensinar um pouco a respeito de protocolos de redes e sobre processos de anlise que sero essenciais na localizao de problemas. A partir disso, o leitor estar apto a enfrentar as redes TCP/IP sem receios e sem ter que contar com a sorte. Ser abordado, inclusive o protocolo IPv6.

1.2 Anlise de trfego em redes TCP/IPMas o que seria esta anlise de trfego? Observe o dilogo a seguir:

O dilogo mostrado algo comum em muitas redes. Contudo, ele no deveria ocorrer. Pessoas que trabalham em uma rede e realizam esse tipo de dilogo esto perdidas e chutando solues. Na verdade, elas no tm a menor noo do que esteja ocorrendo. nesse ponto que entra a anlise de trfego.

A anlise de trfego nos permite detectar, rapidamente, quais problemas esto ocorrendo em uma rede e onde eles esto. Um exemplo disso poder ser visto na figura 1.1.

Anlise de Trfego em Redes TCP/IP34

Legenda:

Estao de trabalho

Switch de rede

Roteador de rede

Roteador de rede bloqueando trfego

Figura 1.1 Rede com bloqueio de trfego.

Na figura 1.1 possvel notar uma rede com uma obstruo, uma vez que um dos roteadores est bloqueando todo o trfego. Em consequncia disso, no h co-municao entre as duas pores da rede interligadas por tal roteador. A questo est em como descobrir que o citado roteador o problema. nesse ponto que entra a anlise de trfego. Com ela, mesmo em uma rede com vrios roteadores, ser possvel chegar ao problema em 2 minutos ou menos.

A anlise de trfego permite, entre outras possibilidades:

detectaranomaliasnarede;

encontrarpontosdebloqueionarede;

descobrirequipamentosecabeamentodefeituosos;

observarimportantesmensagensdesistemanomostradaspelasaplicaes;

detectarfalhasdesegurana,instalaooubugsemserviosdisponveisna rede;

aprendersobreofuncionamentodeprotocoloseserviospelaobservao;

descobrirtrfegopiratadentrodarede.


1.3 Exemplos dos trabalhos a serem realizados neste livroEste livro usar o famoso tcpdump como ferramenta principal. lgico que vrios outros comandos e aplicativos tambm sero empregados, como o ping e o mtr. Entretanto, como foi dito, a maior parte dos trabalhos estar baseada no tcpdump.

O tcpdump um aplicativo que permite a visualizao de todo o trfego passante em uma rede. Teve seu desenvolvimento iniciado na dcada de 1980 e possui verses para ambientes Unix like (como o GNU/Linux, o Solaris e o OS X) e tambm para MS Windows, o WinDump.

Detalhes sobre o tcpdump e o WinDump sero mostrados no captulo 4 e ao longo deste livro.

A listagem a seguir, produzida pelo tcpdump operando em uma rede, mostrar um tpico cenrio de anlise de trfego.

root@canopus:~# tcpdump -nS host www.darknet.com.br

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes

20:31:39.939213 IP 192.168.1.180.48961 > 203.0.113.112.80: Flags [S], seq 1160980399, win 14600, options [mss

1460,sackOK,TS val 1083933 ecr 0,nop,wscale 7], length 0

20:31:40.398646 IP 203.0.113.112.80 > 192.168.1.180.48961: Flags [S.], seq 485093040, ack 1160980400, win 5840,

options [mss 1460,nop,nop,sackOK,nop,wscale 9], length 0

20:31:40.398692 IP 192.168.1.180.48961 > 203.0.113.112.80: Flags [.], ack 485093041, win 115, length 0

20:31:40.398791 IP 192.168.1.180.48961 > 203.0.113.112.80: Flags [P.], seq 1160980400:1160980733, ack

485093041, win 115, length 333

20:31:41.780977 IP 192.168.1.180.48961 > 203.0.113.112.80: Flags [P.], seq 1160980400:1160980733, ack

485093041, win 115, length 333


20:31:42.270815 IP 203.0.113.112.80 > 192.168.1.180.48961: Flags [P.], seq 485093041:485093521, ack 1160980733,

win 14, length 480


20:31:44.268380 IP 192.168.1.180.48961 > 203.0.113.112.80: Flags [F.], seq 1160980733, ack 485093521, win 123,

length 0

20:31:44.272200 IP 203.0.113.112.80 > 192.168.1.180.48961: Flags [F.], seq 485093521, ack 1160980733, win 14,

length 0



Anlise de Trfego em Redes TCP/IP36

possvel ver um trfego entre as mquinas 192.168.1.180 (cliente) e 203.0.113.112 (servidor). Trata-se de um trfego TCP destinado porta 80 do servidor e, tal tr-fego, ocorreu de forma satisfatria e sem erros. Outro bom exemplo o seguinte:

root@canopus:~# tcpdump -nS host 192.168.1.100

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes

20:36:53.747869 IP 192.168.1.180.51204 > 192.168.1.100.90: Flags [S], seq 2501341939, win 14600, options [mss

1460,sackOK,TS val 1162385 ecr 0,nop,wscale 7], length 0

20:36:53.748009 IP 192.168.1.100.90 > 192.168.1.180.51204: Flags [R.], seq 0, ack 2501341940, win 0, length 0

Nesse ltimo exemplo, a mquina cliente tentou realizar uma conexo com a porta 90 da mquina servidora. No entanto, tal porta estava fechada.

Ao longo deste livro sero mostrados os detalhes sobre o funcionamento de cada protocolo de rede envolvido e como interpretar corretamente as listagens anteriores.

1.4 Este livro s para quem usa GNU/Linux?No! Este livro se destina a qualquer pessoa e a qualquer sistema operacional, desde que se utilize TCP/IP. Como foi dito anteriormente, o tcpdump est disponvel para, praticamente, todos os sistemas operacionais, incluindo o WinDump para MS Windows. Caso o trfego a ser analisado esteja ocorrendo entre equipamentos que no permitam o emprego do tcpdump, bastar utilizar a tcnica de anlise por intermdio de bridge, como descrito no captulo 14.

Resumindo, este livro:

nosomenteparaquemusaGNU/Linux;

objetivaoensinodatcnicadeanlisedetrfego;

ao ensinar anlisede trfego, inevitavelmente, tambmensinarmuitosobre as redes TCP/IP. Esse ensino ocorrer de forma prtica, pois o leitor aprender vendo o trfego e no imaginando como o mesmo seria.

Apenas como curiosidade, a maioria dos trabalhos foi desenvolvida em GNU/Linux e a distribuio utilizada foi a Debian, verso Wheezy 7.0.


1.5 ConclusoA anlise de trfego um assunto essencial para administradores de redes de computadores. Com tal anlise, um administrador realmente dominar a sua rede. Muitas vezes, administradores no conhecem os conceitos bsicos sobre protocolos de redes e terminam no resolvendo, conscientemente, os problemas tcnicos encontrados. Isso sem mencionar os problemas que existem, mas nunca foram vistos ou notados.

De fato, a anlise de trfego um assunto que interessa a todos os que trabalham em uma rede. Por exemplo, um desenvolvedor Java ou PHP poder utilizar a anlise de trfego de uma forma bem bsica para saber se h conectividade entre uma aplicao e um banco de dados. Isso no s facilitar sua vida e abrir seus horizontes, como tambm o levar a contactar a equipe de redes somente em casos de real necessidade.

análise de tráfego em redes tcp-ip.pdf

Documents