Bacharelado em Sistemas de Informaes Redes de Computadores I

Prof. Esp. Ado dos Santos

asantos.eb.prof@ mail.com

Bacharelado em Sistemas de Informaes Redes de Computadores I

A!"#ISE $% CABE&A#'% IP
(A)#A PR"*ICA+

Bacharelado em Sistemas de Informaes Redes de Computadores I

Bacharelado em Sistemas de Informaes Redes de Computadores I

,erramentas de An-lise de *r-fe o Senhores a ideia a.ui / fa0er uma an-lise pr-tica do cabealho do protocolo IP. Contudo no hcomo prosse uirmos nesta aula sem antes conhecer al umas ferramentas .ue possibilitam esta an-lise. Assim destaco as se uintes ferramentas para esta tarefa1 *cpdump (2indump para 2indo3s+4 2ireshar54 *shar5 e IPCalc. Importante ressaltar .ue e6istem de0enas de ferramenta para esta ati7idade.

Bacharelado em Sistemas de Informaes Redes de Computadores I

*CP$)8P Esta ser- a principal ferramenta a ser utili0ada nesta aula. 9 tido como o melhor analisador de tr-fe o de rede em modo te6to .ue e6iste. 9 baseado na libcap4 uma Application Pro rammin Interface (API+ para captura de pacotes de rede.

Bacharelado em Sistemas de Informaes Redes de Computadores I

% *cdump mostra as cone6es estabelecidas e o tr-fe o correspondente. Principais Cha7es do *cpdump :$1 lista as interfaces de rede dispon;7eis.< :i iface1 analisa somente os dados .ue passarem pela interface de rede especificada< :n1 no resol7e nomes nem portas4 acelera a e6ibio dos resultado<

Bacharelado em Sistemas de Informaes Redes de Computadores I

:A1 mostra o conte=do dos pacotes utili0ando caracteres ASCII< :61 mostra o conte=do dos pacotes4 uando se.u>ncias em he6adecima< :S1 e6ibe os resultados *CP usando se.u>ncia absoluta4 em 7e0 da se.u>ncia relati7a. Recomendado na an-lise de se.u>ncias *CP< 8ais cha7es podem ser 7erificadas no manual.

Bacharelado em Sistemas de Informaes Redes de Computadores I

Principais E6presses do *cpdump host (nome:ip+1 especifica .ue somente o tr-fe o en7ol7endo a m-.uina em .uesto4 referenciada por seu nome ou IP4 ser- mostrado< net (rede?CI$R+1 assim como a cha7e anterior mostra a captura somente a rede especificada< and ou @@1 operador lA ico A!$ (e+4 associa duas ou mais e6presses4 tornando a associao obri atAria. %utras e6presses podem ser obser7ada no manual.

Bacharelado em Sistemas de Informaes Redes de Computadores I

E6emplos de uso do *cpdump tcpdum :n1 mostra o tr-fe o de rede4 .ue passa pela interface padro< tcpdump :n host B.C.D.2 and udp1 mostra o cabealho de todo tr-fe o .ue en7ol7a o host B.C.D.2 e .ue seEa )$P4 sem resol7er nomes< tcpdump :n icmp and net B.C.D.2?FG1 mostra os pacotes IC8P referentes a .ual.uer host .ue pertena H rede B.C.D.2?FG4 sem resol7er nomes.

Bacharelado em Sistemas de Informaes Redes de Computadores I

2indump 9 uma 7erso do *cpdump para o 8S 2indo3s4 basicamente a forma de utili0ao dele / a mesma apresentada para o I!)?#inu6.

Bacharelado em Sistemas de Informaes Redes de Computadores I

2ireshar5 9 outro analisador de tr-fe o baseado na libcap. ,a0 an-lise em ambiente r-fico e estdispon;7el tanto para )ni6 .uanto para 8S 2indo3s. 9 capa0 de ler ar.ui7os de tr-fe o erado pelo tcpdump.

Bacharelado em Sistemas de Informaes Redes de Computadores I

*shar5 9 outro analisador de tr-fe o baseado na 2ireshar54 contudo este fa0 seu trabalho em modo te6to. IPCalc Reali0a o c-lculo de redes4 utili0ando m-scaras4 ra es de IP etc.

Bacharelado em Sistemas de Informaes Redes de Computadores I

Analisando o Cabealho IP na Pr-tica Para reali0armos a an-lise de7emos fa0er a captura de tr-fe o4 para isso 7amos utili0ar o I!)?#inu6 e a ferramenta *C$)8P. !o terminal faa lo in como usu-rio root e di ite o se uinte comando1 J tcpdump :i interface :6

Bacharelado em Sistemas de Informaes Redes de Computadores I

Ao e6ecutar o comando o terminal ficaresperando tr-fe o na interface determinada4 para .ue esse tr-fe o seEa erado precisamos for-:lo4 como no caso a interface escolhida / a.uela .ue se comunica com a internet4 basta para nAs acessarmos um site para .ue o tr-fe o seEa erado.

Bacharelado em Sistemas de Informaes Redes de Computadores I

Kuando acessar o site4 ser- capturado 7-rios pacotes com blocos parecidos com o .ue apresento abai6o1 L6LLLL1 GRbd MNLL LLOM PQNO MLLL MLLG aQPM bbMN

L6LLFL1 cQaR ScaL Rdca LLNL OLNF NRPf NPef bQeR L6LLPL1 QLFL LLSb LFSf LLLL LFLF LQLa LLFN fPRN L6LLOL1 OfSa aMdd

Bacharelado em Sistemas de Informaes Redes de Computadores I

%bser7e .ue cada bloco deste representa um pacote IP4 todo nosso trabalho de an-lise do cabealho se dar- a partir deste bloco.

Bacharelado em Sistemas de Informaes Redes de Computadores I

$e in;cio / importante lembrarmos .ue o .ue trafe a em rede so bTtes em se.u>ncia. *odo o cabealho e o paTload de um Protocolo so con7ertidos em bTtes .ue caminham pela rede4 assim o bloco apresentado representam e6atamente esta se.u>ncia de bTtes4 a rupados de dois em dois

Bacharelado em Sistemas de Informaes Redes de Computadores I

Assim iniciaremos nossa an-lise pelo primeiro bTte MNh. Sabemos de antemo .ue o primeiro bTte do cabealho informa os campos Uersion e I'#4 dessa forma temos .ue descobrir o 7alor do campo I'# para sabermos o tamanho do cabealho. Ao co7ertermos MNh em bin-rios teremos o 7alor FLLLFLF. #embrem:se .ue todo o bTte representa dois campos4 o Uersion e o I'#4 lembrando .ue os M primeiros bits representa o Uersion e os M bits se uintes o I'#.

Bacharelado em Sistemas de Informaes Redes de Computadores I

$entro desta lA ica temos ento1 : LFLL para o campo Uersion< e4 : LFLF para o campo I'#. %bser7e .ue ao con7ertermos MNh para bin-rio temos o 7alor FLLLFLF4 assim para formamos dois camos de M bits temos .ue adicionar o L (0ero+ H es.uerda deste n=mero bin-rio.

Bacharelado em Sistemas de Informaes Redes de Computadores I

Reali0ando a con7erso de bin-rios para decimal temos1 : LFLL V M4 lo o o protocolo utili0ado / o IP7M : LFLF V N4 7alor I'# .ue indica N linhas de cabealho. Isso corresponde ento a PL bTtes4 o .ue implica .ue os 7inte primeiros bTtes mostrados correspondem ao cabealho IP.

Bacharelado em Sistemas de Informaes Redes de Computadores I

%s PL primeiros bTtes do cabealho so ento1 MNLL LLOM PQNO MLLL MLLG aQPM bbMN GRbd cQaR ScaL A ora precisamos saber o **# do pacote e .ual protocolo ele est- transportando em seu paTload. Para calcular ento o **#4 obser7aremos .ue este est- no bTte de n=mero R.

Bacharelado em Sistemas de Informaes Redes de Computadores I

% 7alor do bTte n=mero no7em em 'e6adecimal / MLh4 .ue con7ertido para decimal ser- GM. #o o **# ser- i ual a GM o .ue indica .ue a comunicao est- ocorrendo com um sistema I!)?#inu6.

Bacharelado em Sistemas de Informaes Redes de Computadores I

$a mesma forma .ue obser7amos .ue o bTte n=mero R respresenta o **#4 obser7aremos tamb/m .ue o bTte n=mero FL representa o campo Protocolo4 neste caso o bTte FL / LGh .ue .uando con7ertido para decimal / i ual a G. Este 7alor na tabela da IA!A ou no ar.ui7os ?etc?protocols representa o protocolo *CP. Podemos concluir da.ui .ue como o cabealho deste pacote tem PL bTtes e protocolo do paTload / o *CP4 lo o o bTte PF / o in;cio do cabealho *CP.

Bacharelado em Sistemas de Informaes Redes de Computadores I

Para finali0armos descobriremos os endereos de ori em e de destino do pacote4 para isso obser7amos a estrutura do cabealho iremos concluir .ue o endereo de ori em e destino comeam respecti7amente nos bTtes FO e FS4 assim temos para o endereo de ori em o se uinte 7alor4 bbMNGRbd4 para a ori em e cQaRScaL para o destino.

Bacharelado em Sistemas de Informaes Redes de Computadores I

Reali0ando as con7erses necess-rios teremos ento1 bb MN GR bd V FQS.GR.FLN.FQR para a ori em e4 cQ aR Sc aL V PLL.FGR.FPM.FGL para o destino. Senhores obser7em .ue estes so os endereo de ori em e destino .ue eu capturei en.uanto prepara7a esta aula4 pro7a7elmente este 7alores sero diferentes a ora.

Bacharelado em Sistemas de Informaes Redes de Computadores I

Bem senhores acredito .ue foi poss;7el obser7armos como funciona o tr-fe o de rede4 especialmente o tr-fe o do protocolo IP4 desta forma finali0aremos esta aula apresentando al umas ferramentas =teis para um administrador de rede4 so elas1 !8AP4 8*R4 *RACER%)*E4 PI!I4 etc.