Académique Documents
Professionnel Documents
Culture Documents
Administraoderedes
Unix/Linux
MarceloBarrosdeAlmeida
marcelobarrosalmeida@gmail.com
Aula03:Sumrio
FundamentosdeTCP/IP
OrganizaodosprotocolosTCP/IP
EncapsulamentoeMultiplexaoTCP/IP
ProtocoloARP
HeaderEthernet,IPeTCP/UDP
ICMPeSNMP
Wireshark,tcpdumpetcpflow
IPTraf,iftop,kismetenmap
ntopecacti
Psgradaduaoemredesdecomputadores
FundamentosdeTCP/IP
ProtocolosdoTCP/IP
OrganizaodosprotocolosTCP/IP
Fonte:TCP/IPIllustratedVolume1,RichardStevens
EncapsulamentodoTCP/IP
Pelomenos58bytesdeoverhead,sendoqueoframemnimode
64bytes
Fonte:TCP/IPIllustratedVolume1,RichardStevens
MultiplexaonoTCP/IP
EexistnciadetiponaethernetenoIPpermitiramqueprotocolos
comoSCTP(transporte)eIPv6pudessemseragregados
normalmente
Fonte:TCP/IPIllustratedVolume1,RichardStevens
MultiplexaonoTCP/IP
Umaaplicaoidentificadaunicamentenumcomputadoratravs
detrsinformaes:
oendereoIPdamquina
asuaporta
oprotocolodetransporteutilizado(TCP/UDP)
Destaforma,possvelpossuirumamesmamquinaprovendo
vriosserviosderede(multiplexao)
...
Camadadeaplicao
Aplicaes
Portas
Multiplexao
Camadadetransporte
TCPouUDP
Camadaderede
IP
MultiplexaonoTCP/IP
Cadaprocessodeveterumnmerodeporta,umIPeum
protocolodetransporte(TCP/UDP)paraidentificlo
AnotaoIP:Porta,porexemplo,200.210.10.20:80
Cliente
Aplicao
Transporte
Rede
Enlace
Fsica
Servidor
Porta
Porta
TCPou
UDP
TCPou
UDP
IP
IP
MultiplexaonoTCP/IP
Porta:uminteirode16bits
OIANA(InternetAssignedNumbersAuthority)mantm
umalistadenmerosdeportas
De0a1023:Portasconhecidas,reservadasparavrios
protocolosdodiaadiapeloIANA
De1024a49151:Portasregistradas,nocontroladaspelo
IANA,maslistadascomoconvenincia
De49152a65535:Portasefmeras,nocontroladaspeloIANA
(dototal)
Servidores:portasconhecidas
Clientes:portasefmeras
Hostsnamesmaredelocal
Nonecessriogatewaydefaultouroteadores,tudose
resolvesomentecomoARP
Fonte:TCP/IPIllustratedVolume1,RichardStevens
Hostsemredeslocaisdiferentes
Gatewaydefaulteroteadoresnecessrios
Fonte:TCP/IPIllustratedVolume1,RichardStevens
Endereamentofsicoxendereamentolgico
EndereosIP
(Rede)
Estao1
Roteador
RedeFsicaA
Estao2
RedeFsicaB
EndereosMAC
(Enlace)
ProtocoloARP
AredefsicasconheceMACs
AtravsdoARPeladeterminaoendereoMACdoIPde
destinoparaqueoenviodopacotesejarealizado
IP1
MAC1
IP2
MAC2
ProtocoloARP
MensagemArpRequestenviadaparatodososnsda
rede(broadcast),procurandopelodonodoIP
QuemrespondepeloIPa.b.c.d?
ProtocoloARP
MensagemArpReplayenviadacomoresposta,casoo
donodoIPsejaencontrado
Eurespondo!
ProtocoloARP
Arespostapositivapermitequeoscamposdo
endereamentodoenlacesejampreenchidos
Oresultadomantidoemtabelaporumtempo
Paraendereosforadassubredeslocais,odefault
gatewayusado,seestiverconfigurado
OMACprecisasernicodentrodaredefsica
Vendoatabelaarp:arpa
Quadroethernet(RFC894)
omaiscomumetodosdevempoderrecebereenviar
Fonte:TCP/IPIllustratedVolume1,RichardStevens
QuadroIEEE802(RFC1042)
Menoscomumetodosdevempelomenossercapazesde
receber
Fonte:TCP/IPIllustratedVolume1,RichardStevens
Ethernet
Broadcastlimitado:
IP:255.255.255.255
MACDST:FF:FF:FF:FF:FF:FF
Nuncarepassadoporumroteador,sendoconfinadonaLAN
Broadcastdirecionadosaredesousubredes:
Ex:10.255.255.255,192.168.255.255
Podeserrepassadopeloroteador
MTU:MaximumTransmissionUnit
1500paraframesethernet
1492paraframesIEEE802
IPAddressing
Classesdeendereamento
Fonte:TCP/IPIllustratedVolume1,RichardStevens
MulticasteMACAddress
Multicasts:MACsde01:00:5e:00:00:00a01:00:5e:7f:ff:ff
Fonte:TCP/IPIllustratedVolume1,RichardStevens
IPHeader
Fonte:TCP/IPIllustratedVolume1,RichardStevens
IPHeader
Thecurrentprotocolversionis4,soIPissometimescalled
IPv4.
Theheaderlengthisthenumberof32bitwordsintheheader,
includinganyoptions.Sincethisisa4bitfield,itlimitsthe
headerto60bytes.
Thetypeofservicefield(TOS)iscomposedofa3bit
precedencefield(whichisignoredtoday),4TOSbits,andan
unusedbitthatmustbe0.The4TOSbitsare:minimizedelay,
maximizethroughput,maximizereliability,andminimize
monetarycost.Only1ofthese4bitscanbeturnedon.Ifall4
bitsare0itimpliesnormalservice.
Fonte:TCP/IPIllustratedVolume1,RichardStevens
IPHeader
ThetotallengthfieldisthetotallengthoftheIPdatagramin
bytes.Sincethisisa16bitfield,themaximumsizeofanIP
datagramis65535bytes
Theidentificationfielduniquelyidentifieseachdatagramsent
byahost.Itnormallyincrementsbyoneeachtimeadatagram
issent.
Flagsfieldandthefragmentationoffsetfieldarerelatedto
framefragmentation.
Thetimetolivefield(TTL)setsanupperlimitonthenumberof
routersthroughwhichadatagramcanpass.Itisinitializedby
thesender(often32or64)anddecrementedbyonebyevery
routerthathandlesthedatagram.
Fonte:TCP/IPIllustratedVolume1,RichardStevens
IPHeader
TheprotocolfieldidentifieswhichprotocolgavethedataforIP
tosendanditisusedbyIPtodemultiplexincomingdatagrams.
Headerchecksum(calculatedovertheIPheaderonly).
EveryIPdatagramcontainsthesourceIPaddressandthe
destinationIPaddress.Theseare32bitvaluesaddresses
usedinIPv4.
Thefinalfield,theoptions,isavariablelengthlistofoptional
informationforthedatagram,liketimestamp,recordroute,and
soon.Theseoptionsarerarelyused.
Fonte:TCP/IPIllustratedVolume1,RichardStevens
TCPHeader
Fonte:TCP/IPIllustratedVolume1,RichardStevens
TCPHeader
EachTCPsegmentcontainsthesourceanddestinationport
numbertoidentifythesendingandreceivingapplication.These
twovalues,alongwiththesourceanddestinationIPaddresses
intheIPheader,uniquelyidentifyeachconnection.
Thesequencenumberidentifiesthebyteinthestreamofdata
fromthesendingTCPtothereceivingTCPthatthefirstbyteof
datainthissegmentrepresents.
Theheaderlengthgivesthelengthoftheheaderin32bit
words.Thisisrequiredbecausethelengthoftheoptionsfield
isvariable.Witha4bitfield,TCPislimitedtoa60byte
header.
Fonte:TCP/IPIllustratedVolume1,RichardStevens
TCPHeader
TherearesixflagbitsintheTCPheader.Oneormoreofthem
canbeturnedonatthesametime.
URG:Theurgentpointerisvalid.
ACK:Theacknowledgmentnumberisvalid.
PSH:Thereceivershouldpassthisdatatotheapplication
assoonaspossible.
RST:Resettheconnection.
SYN:Synchronizesequencenumberstoinitiatea
connection.
FIN:Thesenderisfinishedsendingdata.
Fonte:TCP/IPIllustratedVolume1,RichardStevens
TCPHeader
TCP'sflowcontrolisprovidedbyeachendadvertisingawindow
size.Thisisthenumberofbytes,startingwiththeonespecifiedby
theacknowledgmentnumberfield,thatthereceiveriswillingto
accept.Thisisa16bitfield,limitingthewindowto65535bytes.
ThechecksumcoverstheTCPsegment:theTCPheaderandthe
TCPdata.Thisisamandatoryfieldthatmustbecalculatedand
storedbythesender,andthenverifiedbythereceiver.
TheurgentpointerisvalidonlyiftheURGflagisset.Thispointeris
apositiveoffsetthatmustbeaddedtothesequencenumberfieldof
thesegmenttoyieldthesequencenumberofthelastbyteofurgent
data.
Themostcommonoptionfieldisthemaximumsegmentsizeoption,
calledtheMSS.
Fonte:TCP/IPIllustratedVolume1,RichardStevens
Controledecongestionamentoecontrolede
fluxo
Ajaneladetransmissoummecanismoqueimplementao
controledefluxoentretransmissorereceptor.Basicamente,a
janelamudadetamanhoproporcionalmentecapacidadede
recepo.
RTT(RoundTripTime):tempodeviagemdopacote,sendo
medidoquandooreconhecimentoparaumdeterminado
segmentochega.Muitoimportantenoclculodotempode
retransmisso(RTORetransmissionTimeout)
ORTOajudaacontornarsituaesdecongestionamentona
rede.
TCPConnectionEstablishment
AcriaodeumaconexoTCPenvolve3passos
Fonte:TCP/IPIllustratedVolume1,RichardStevens
TCPConnectionTermination
AfinalizaodaconexoTCPenvolvequatrospassos
Fonte:TCP/IPIllustratedVolume1,RichardStevens
TCPStateTransitionDiagram
Fonte:TCP/IPIllustratedVolume1,RichardStevens
UDPHeader
CabealhomaissimplesjqueoUDPnoprecisa
garantiraentreganemtemcontroledefluxo
ICMP(InternetControlMessageProtocol)
OICMPajudanodiagnsticoda
redeatravsdevriasmensagens
deerro
Algunstipos:
0:echoreply(usadanoping)
3:destinationunreacheable
5:redirect
8:echorequest
11:timeexceed
13:timestamprequest
14:timestampreply
Fonte:TCP/IPIllustratedVolume1,RichardStevens
OrigemdoSNMP
SNMP:
SimpleNetworkManagementProtocol
Conjuntodeoperaessimplesquepermiteogerenciamentode
dispositivosIP
Criadoem1988peloIETF:
Necessidadedegerenciamentoemonitorizao
Necessidadedediagnstico
Inicialmentevoltadopararoteadoresmasdifundido
rapidamente(computadores,fontes,impressoras,racks,
etc)
VersesdoSNMP
SNMPv1(1988):
RFC1157
Poucoseguramasaindausada
SNMPv2(1993):
RFC3416,RFC3417,RFC3418
Melhorianasegurana,novostiposdedados,desempenho,
operaesadicionais
SNMPv3(1999):
RFC34113418,RFC2576
Fortesegurana(criptografia)
OrganizaodaInformaoemMIBs
MIB(Management
InformationBase
Especificaquaisvariveis
(objetos)oelementoderede
mantm,abasededadosde
informaododispositivo
Representadaemformade
rvore
padronizada,maspodeser
personalizadaem
determinadasreas(private)
MIBII:RFC1213
OrganizaodaInformao:OIDs
OID(ObjectIdentifiers)
Sorepresentadosnumericamenteou
deformatextual:
iso.org.dod.internet.private
1.3.6.1.4
iso.org.dod.internet.mgmt.mib
1.3.6.1.2.1
iso.org.dod.internet.private.enterprises
1.3.6.1.4.1
FuncionamentodoSNMP
Aesbsicasdepergunta/resposta
Aesdenotificaoprconfiguradas(traps)
SNMPManager
SNMPAgent
Requests(set/get)
Responses
Traps
UDPport162
UDPport161
FuncionamentodoSNMP
OperaesencontradosnoSNMPv1:
get/getnextrequestgetresponse:lvalores
setrequestsetresponse:configuravalores
trap:alarmesassncronosdoagente
OperaesencontradasnoSNMPv2ev3
getbulk:comooget,masrespeitalimitesdoagente
notification:umaespciedetrappadronizado
inform:confirmaesparatrap/notification
report:noimplementado
FuncionamentodoSNMP
Especificaformasdeautenticaoentreagentese
gerentes
Significam'plainpasswords'parav1ev2
ComunidadesnoSNMPv1ev2(precisamdedefiniode
'passwords')
readonly
readwrite
trap
SNMPv3prevformasmaissecurasdeautenticaoe
criptografia
Psgradaduaoemredesdecomputadores
Analisadoresderede
Wireshark:Godeep
Analisadorderedemultiplataforma
Suportacentenasdeprotocolos
Anlisesofflineeonline
Filtrospoderososeinspeodetalhada
Anlisegrfica
Ferramentaessencialparaqualqueradministradoreque
requerumbomconhecimentodeTCP/IP
http://www.wireshark.org/
tcpdump
Permiterealizarcapturasnoterminalaplicandofiltros
personalizados,salvandoemarquivos.cap
Tambmpodelerarquivos.capeanalisarsegundofiltros
especificados
Apesardasintaxecomplexadosfiltros,umaferramenta
bastantepoderosa
http://www.tcpdump.org/
tcpdump
CapturandootrfegorelacionadoportaTCP6881esalvandonoarquivo
teste.pcap
CapturandotrfegorelacionadoportaTCP6881eUDP33210ou33220
tcpdumpwtest.pcaps0dst10.168.28.22andtcpport22
ProcurandoporIPsdedestinonoformat10.x.y.100(xeynoimportam):
tcpdumpwtest.pcapdst10.168.28.22andtcpport22
Salvandoagoratodoopacoteenosomenteosprimeiros68bytes
tcpdumpwtest.pcapieth1tcpport6881orudp\(33210or33220\)
EspecificandoumhostdedestinoeSSH:
tcpdumpwtest.pcapieth1tcpport6881
tcpdump"ip[16]=10andip[19]=100"
Exemploondeapenaspacotesdeincioefimdeconexosoapresentados:
tcpdumpieth0"tcp[tcpflags]&(tcpsyn|tcpfin)!=0"
tcpflow
PermitesalvarosfluxosdecomunicaoTCPem
arquivosindependentes,comseguintenotao:
a.b.c.d.porta1x.y.z.w.porta2
Excelentepararecuperaodecontedo
NotratafragmentaonacamadaIP
Suporteaoformato.cap
Owiresharkpossuifunosimilar,masotcpflowrodano
terminaleoperasobretodaacapturadeumasvez
http://www.circlemud.org/~jelson/software/tcpflow/
tcpflowr<arquivo.cap>
Pausaparaoexerccio
ComoWireshark,captureumtrfego(crieconexesTCP,faa
downloads),salveedepoisexplore:
oencapsulamentodosprotocolos
aresoluodenomes
amultiplexaonoTCP/IP
oprocessodeaberturaefechamentodeconexo
ofuncionamentodoARP(limpeocacheantes)eorepasseparaodefault
gateway
osparesIP:Portaqueidentificamaconexo
osgrficosdeusodebanda,fluxoeestatsticasderedegeradospelo
Wireshark
asopesdeseguirconexesdowireshark
Realizeumacapturacomotcpdump,salveemarquivoedepoisoarquivono
Wireshark
Pausaparaoexerccio
Experimenteusarotcpflownoarquivode
capturasalvonoexerccioanterior.
Tenteidenticaroumesmosepararo
contedodosvriosfluxos.
IPTraf
Excelentemonitordeconexesparaterminal
Permiteidentificarproblemasetaxasfacilmente
http://iptraf.seul.org/
iftop
Similaraotop,mascomofocoemtrfegoderede
Interessanteparaanliserpidadousodaredee
conexes
http://exparrot.com/~pdw/iftop/
kismet
Ferramentadeterminalparaanlisedetrfegoderede
wireless
http://www.kismetwireless.net/
nmap
Ferramentamultiplataformaparaanliseeexploraode
rede,bastantetilnaavaliaodasegurana.
Permiteavaliarvrioshostsemumarededeformarpida
econcisa.
Podeterinterfacegrficaatravsdozenmap.
http://nmap.org/
nmap
Verificatodaumasubrede,detectandoportasTCPabertaseosistema
operacionalusandooflagSYNdoTCP
Similar,masverificandoportasUDP
nmapsSO10.0.0.0/24
nmapsUO10.0.0.0/24
Assumequeohostestonline(PN)eusa4msdetempoentreframes
nmapsSPNOT410.0.0.10
Pausaparaoexerccio
Instaleeuseoiptrafeoiftop
Useonmapparalevantarservios
disponveisemoutroshostsnarede
Casoestejarodandonativamenteeno
emVM,experimenteusarokismet.No
deixedeconfigurarnoarquivo/etc/kismet/
kismet.confasuaplacaderedesemfioe
odriver,nalinhaindicadaporsource.
Porexemplo,paraumaplacaIPW2200:
source=ipw2200,eth0,WiFi
ntop
Permiteacessarestatsticascompletasdotrfegoderede
atravsdeumainterfacewebeexcelentesgrficos
http://www.ntop.org/
TopTools:
top
ntop
atop
iftop
htop
apachetop
mtop
ntop
InstruesnoUbuntu:
Instaleopacotentopesuasdependncias
Configureasenhadoadministrador(usurioadmin)dontop:
Reinicieoservio:
sudontopsetadminpassword
sudontopuntopd
Ontopestardisponvelnaporta3000:
http://localhost:3000
Pausaparaoexerccio
Instaleeuseontop
Cacti
Similaraontop,masusandoumabasededados
embancoMySQLeinterfacesparaSNMP.
umaopomaisfcildeconfigurardoqueo
MRTG,bastanteflexvelecapazdeintegraro
gerenciamentodevriosativoscomohosts,
switches,roteadores,impressoras,etc.
Suporteapersonalizaoeoutrossistemas
operacionais
http://www.cacti.net/
InstalandooCactinoUbuntu
Instaleopacotemysqlserveredefinaumasenhaparao
administradordobancodedados.Instaletambmosnmpd:
Em/etc/snmp/snmpd.conf,libereoacessoaosnmpatravsda
comunidadepublic.Useoutronome,casoprefira.
com2secreadonlydefaultpublic
Garantaqueosnmpdestfuncionando:
aptgetinstallmysqlserversnmpd
snmpwalkOscpublicv1localhostsystem
Verfiqueosparmetrosdepartidadosnmpdem/etc/default/snmpd.
RemovaoIPaofinalparadisponibilizaroSNMPserveremoutras
interfacestambm.
SNMPDRUN=yes
SNMPDOPTS='LsdLf/dev/nullusnmpIsmuxp/var/run/snmpd.pid127.0.0.1'
InstalandooCactinoUbuntu
Instaleopacotecactiesuasdependncias(vrias,mas
apache,php,snmpemysqlsoasprincipais).Sigaos
dilogosdeconfigurao(escolhaapache2comoservidor
web):
Emcasodeerro,reconfigureopacotecom:
aptgetinstallcacti
dpkgreconfigurecacti
Aponteparahttp://localhost/cacti/install/eprossigaa
instalao.Aofinal,loguecomusr/pwdcomo
admin/admin.
ExistematualmentealgunsproblemasnousoviaFirefox
3,fiqueatento.
InstalandooCactinoUbuntu
BasicamentesernecessriocriarnovoshostsSNMP
(devices),atribuirgrficosaeleseorganizarestes
grficosemtrees.
EntrenaabadeConsole,entreemcreatedevices
Escolhaucd/netSNMPhostcomotipoeadicioneodevice,
configurandooSNMPcorretamente(verso1epubliccomo
comunidade)
Adicionegrficosparaestehost
AdicionedepoisohostnumGraphtreeevejaoresultadona
abadegrficos
Umaboareferncia:
http://www.debuntu.org/howtomonitoryourserverswithsnmpandcacti
ScreenshotsdoCacti
ScreenshotsdoCacti
Pausaparaoexerccio
Instaleeuseocacti,criandodevices
novosbaseadosemSNMP
Dvidas,comentrios,sugestes?
Imagem:cenadofilmeMadagascar,daDreamWorks
66
Direitosdecpia
CrditosShareAlike2.0
Voclivrepara
copiar,distribuir,apresentareexecutartrabalhos
fazertrabalhosderivados
fazerusocomercialdestetrabalho
Sobasseguintescondies
Crditos.Vocdevedarcrditoaoautororiginal.
Compartilhedomesmomodo.Sevocalterar,mudar,
ourealizartrabalhosusandoestecomobase,vocdeve
redistribuirotrabalhosresultantesobumalicena
idnticaaesta.
Paraqualquerreusooudistribuiovocdevedeixarclaro
ostermosdelicenadestetrabalho.
Qualquerumadestascondiespodemserabandonadas
sevocobtiverumapermissododetentordosdireitos
autorais.
Faausojustoeodireitosdosoutrosnoseroafetadosde
formaalgumapelasrestriesacima.
Textodalicena:
http://creativecommons.org/licenses/bysa/2.0/legalcode
Copyright2008
MarceloBarros
marcelobarrosalmeida@gmail.com
Correes,sugestese
traduessobemvindas!
67