Oficina: Analise de Tráfego TCP/IP

GNU/Linux desde 2003 Analista e Desenvolvedor de Sistemas Administrador de Sistemas GNU/Linux Consultor de TI Membro do TchêLinux Editor do blog botecodigital.info Docente no Curso Técnico em Informática

Cronograma

Apresentação Motivação Conceitos e definições Ferramentas Captura e análise Conclusão

Motivação

Encontrar pontos de bloqueio Detectar anomalias na rede Encontrar motivo de lentidão Descobrir equipamentos com defeito Analisar comportamento de aplicações Levantar da sua cadeira sabendo onde está o

problema da rede.

O que é necessário?

Dedicação e estudo Utilizar as ferramentas corretas Conhecer os protocolos a serem analisados Testes de laboratório até conseguir identificar o

processo de negociação de conexões (header) e transferência (payload) de dados.

O modelo OSI

O modelo TCP

O modelo TCP

Cabeçalho TCP

O protocolo IP

Cabeçalho IP

Dados IP

Cabeçalho TCP

Dados TCP

Cabeçalho IP

Cabeçalho UDP

Conexões TCP

Protocolo ARP

Negociação TCP

Captura de tráfego (posicionamento)

Modo HUB

Port mirroring

Modo bridge

Ferramentas

Análise

Captura

Tcpdump - www.tcpdump.org

• Ferramenta tradicional de captura de tráfego

• Contempla a captura completa de um tráfego de rede

• Aceita filtros por expressões

• Biblioteca padrão para captura de tráfego: libpcap

• Captura em tempo real

• Suporta vários formatos e fontes de captura

• Multi-platforma

• Análise de cabeçalhos em árvore (encapsulamento)

• Aplicação de regras e filtros

• Funcionalidades específicas para análise de

tráfego de VoIP

• Reconstrução de Sessão

Wireshark www.wireshark.org

Algumas opções

Opção Descrição

-i Informa-se a interface que desejamos analisar, caso deixado em branco, será utilizada a primeira da lista do comando ifconfig, ou tcpdump -D

-v Aumenta a quantidade de informação do cabeçalho

-vvv O nível máximo de verbose

-t Mostra insformações de data e hora

-n Não faz a resolução de nomes, melhorando o desempenho da captura

-s Informa o tamanho do snap length da captura

-e Mostra os dados referente a camada de enalace do modelo OSI

-w Grava a saída da captura em um arquivo que deve ser passado por parâmetro

Filtros básicos

Filtro Descrição

host Especifica-se o nome ou ip da máquina a ser analisada

net Especifica a rede a ser analisada

port Especifica a porta a ser analisada

src Especifica o endereço de origem dos pacotes a serem analisados

dst Especifica o endereço de destino dos pacotes a serem analisados

and Operadores utilizados para combinar expressões, fazendo com que os resultados sejam precisos.

or

not

Exemplos de uso

tcpdump -i eth0 -vvv -n -w captura.pcap tcpdump -i eth0 -v -n host 10.1.1.2 -w captura.pcap tcpdump -i eth0 -v -n host 10.1.1.2 and dst net

74.125.234.0 tcpdump -i eth0 -v -n host 10.1.1.2 and not port 22

Chega de papo \o/

Considerações finais

→ A análise de tráfego é fundamental para

auxiliar o SysAdmin na resolução dos mais

diversos problemas de rede.

→ Sem utilizar a análise o SysAdmin será um mero

testador de possibilidades, sem saber ao certo onde

está o real problema.

Muito obrigado! =]

E-mail: tfinardi@gmail.com Site: www.finardi.eti.br Blog: www.botecodigital.info Twitter: @tfinardi Slides: www.slideshare.net/tfinardi