análise de tráfego tcp/ip
DESCRIPTION
Oficina apresentada dia 27/07/2012 na 13ª edição do Fórum Internacional de Software Livre (FISL13) na PUC em Porto Alegre.TRANSCRIPT
Oficina: Analise de Tráfego TCP/IP
GNU/Linux desde 2003 Analista e Desenvolvedor de Sistemas Administrador de Sistemas GNU/Linux Consultor de TI Membro do TchêLinux Editor do blog botecodigital.info Docente no Curso Técnico em Informática
Cronograma
Apresentação Motivação Conceitos e definições Ferramentas Captura e análise Conclusão
Motivação
Encontrar pontos de bloqueio Detectar anomalias na rede Encontrar motivo de lentidão Descobrir equipamentos com defeito Analisar comportamento de aplicações Levantar da sua cadeira sabendo onde está o
problema da rede.
O que é necessário?
Dedicação e estudo Utilizar as ferramentas corretas Conhecer os protocolos a serem analisados Testes de laboratório até conseguir identificar o
processo de negociação de conexões (header) e transferência (payload) de dados.
O modelo OSI
O modelo TCP
O modelo TCP
Cabeçalho TCP
O protocolo IP
Cabeçalho IP
Dados IP
Cabeçalho TCP
Dados TCP
Cabeçalho IP
Cabeçalho UDP
Conexões TCP
Protocolo ARP
Negociação TCP
Captura de tráfego (posicionamento)
Modo HUB
Port mirroring
Modo bridge
Ferramentas
Análise
Captura
Tcpdump - www.tcpdump.org
• Ferramenta tradicional de captura de tráfego
• Contempla a captura completa de um tráfego de rede
• Aceita filtros por expressões
• Biblioteca padrão para captura de tráfego: libpcap
• Captura em tempo real
• Suporta vários formatos e fontes de captura
• Multi-platforma
• Análise de cabeçalhos em árvore (encapsulamento)
• Aplicação de regras e filtros
• Funcionalidades específicas para análise de
tráfego de VoIP
• Reconstrução de Sessão
Wireshark www.wireshark.org
Algumas opções
Opção Descrição
-i Informa-se a interface que desejamos analisar, caso deixado em branco, será utilizada a primeira da lista do comando ifconfig, ou tcpdump -D
-v Aumenta a quantidade de informação do cabeçalho
-vvv O nível máximo de verbose
-t Mostra insformações de data e hora
-n Não faz a resolução de nomes, melhorando o desempenho da captura
-s Informa o tamanho do snap length da captura
-e Mostra os dados referente a camada de enalace do modelo OSI
-w Grava a saída da captura em um arquivo que deve ser passado por parâmetro
Filtros básicos
Filtro Descrição
host Especifica-se o nome ou ip da máquina a ser analisada
net Especifica a rede a ser analisada
port Especifica a porta a ser analisada
src Especifica o endereço de origem dos pacotes a serem analisados
dst Especifica o endereço de destino dos pacotes a serem analisados
and Operadores utilizados para combinar expressões, fazendo com que os resultados sejam precisos.
or
not
Exemplos de uso
tcpdump -i eth0 -vvv -n -w captura.pcap tcpdump -i eth0 -v -n host 10.1.1.2 -w captura.pcap tcpdump -i eth0 -v -n host 10.1.1.2 and dst net
74.125.234.0 tcpdump -i eth0 -v -n host 10.1.1.2 and not port 22
Chega de papo \o/
Considerações finais
→ A análise de tráfego é fundamental para
auxiliar o SysAdmin na resolução dos mais
diversos problemas de rede.
→ Sem utilizar a análise o SysAdmin será um mero
testador de possibilidades, sem saber ao certo onde
está o real problema.
Muito obrigado! =]
E-mail: [email protected] Site: www.finardi.eti.br Blog: www.botecodigital.info Twitter: @tfinardi Slides: www.slideshare.net/tfinardi