análise de tráfego em redes tcp/ip com...

22
Eriberto - abr. 20 Análise de tráfego Análise de tráfego em redes TCP/IP em redes TCP/IP com tcpdump com tcpdump 2ª parte 2ª parte João Eriberto Mota Filho João Eriberto Mota Filho Brasília, DF, 25 abr. 2020 Brasília, DF, 25 abr. 2020

Upload: others

Post on 09-Oct-2020

9 views

Category:

Documents


0 download

TRANSCRIPT

Page 1: Análise de tráfego em redes TCP/IP com tcpdumperiberto.pro.br/palestras/analise_trafego_2a_parte.pdfEriberto - abr. 20 Conclusão Referências (usando tcpdump) para estudo: • MOTA

Eriberto - abr. 20

Análise de tráfego Análise de tráfego em redes TCP/IP em redes TCP/IP

com tcpdumpcom tcpdump

2ª parte2ª parteJoão Eriberto Mota FilhoJoão Eriberto Mota Filho

Brasília, DF, 25 abr. 2020Brasília, DF, 25 abr. 2020

Page 2: Análise de tráfego em redes TCP/IP com tcpdumperiberto.pro.br/palestras/analise_trafego_2a_parte.pdfEriberto - abr. 20 Conclusão Referências (usando tcpdump) para estudo: • MOTA

Eriberto - abr. 20

O livro...O livro...

Este minucurso está baseado em partes do livro Análise de Tráfego em Redes TCP/IP, da Novatec Editora.

Page 3: Análise de tráfego em redes TCP/IP com tcpdumperiberto.pro.br/palestras/analise_trafego_2a_parte.pdfEriberto - abr. 20 Conclusão Referências (usando tcpdump) para estudo: • MOTA

Eriberto - abr. 20

SumárioSumário

• CoreEmu em container Docker• Fluxo TCP• Protocolo ARP• Roteamento visto no Modelo OSI• Bridges• Endereço MAC em roteamento e em bridge• Conclusão

Page 4: Análise de tráfego em redes TCP/IP com tcpdumperiberto.pro.br/palestras/analise_trafego_2a_parte.pdfEriberto - abr. 20 Conclusão Referências (usando tcpdump) para estudo: • MOTA

Eriberto - abr. 20

SumárioSumário

• CoreEmu em container Docker• Fluxo TCP• Protocolo ARP• Roteamento visto no Modelo OSI• Bridges• Endereço MAC em roteamento e em bridge• Conclusão

Page 5: Análise de tráfego em redes TCP/IP com tcpdumperiberto.pro.br/palestras/analise_trafego_2a_parte.pdfEriberto - abr. 20 Conclusão Referências (usando tcpdump) para estudo: • MOTA

Eriberto - abr. 20

CoreEmu em container DockerCoreEmu em container Docker

• O CORE (Common Open Reserch Emulator) pode ser instalado diretamente no seu computador. No entanto, ele também pode ser ativado rapidamente via Docker.

• O código fonte para compilar e instalar está disponível em https://github.com/coreemu/core

• A versão (um pouco antiga mas funcional) para Docker está disponível em https://hub.docker.com/r/d3f0/coreemu_vnc

Page 6: Análise de tráfego em redes TCP/IP com tcpdumperiberto.pro.br/palestras/analise_trafego_2a_parte.pdfEriberto - abr. 20 Conclusão Referências (usando tcpdump) para estudo: • MOTA

Eriberto - abr. 20

CoreEmu em container DockerCoreEmu em container Docker

• CoreEmu em container Docker:

# apt-get install docker.io tigervnc-viewer

# docker run -d --cap-add=NET_ADMIN --cap-add=SYS_ADMIN -p 5900:5900 -p 8080:8080 d3f0/coreemu_vnc

- Execute o TigerVNC Viewer.

- Aponte para 127.0.0.1 e clique em conectar.

- Utilize a senha coreemu

Page 7: Análise de tráfego em redes TCP/IP com tcpdumperiberto.pro.br/palestras/analise_trafego_2a_parte.pdfEriberto - abr. 20 Conclusão Referências (usando tcpdump) para estudo: • MOTA

Eriberto - abr. 20

SumárioSumário

• CoreEmu em container Docker• Fluxo TCP• Protocolo ARP• Roteamento visto no Modelo OSI• Bridges• Endereço MAC em roteamento e em bridge• Conclusão

Page 8: Análise de tráfego em redes TCP/IP com tcpdumperiberto.pro.br/palestras/analise_trafego_2a_parte.pdfEriberto - abr. 20 Conclusão Referências (usando tcpdump) para estudo: • MOTA

Eriberto - abr. 20

• Demonstração de situação de bloqueio de porta.

• Demonstração de fluxo simples.

• Demonstração de fluxo em tráfego anômalo.

Fluxo TCPFluxo TCP

Page 9: Análise de tráfego em redes TCP/IP com tcpdumperiberto.pro.br/palestras/analise_trafego_2a_parte.pdfEriberto - abr. 20 Conclusão Referências (usando tcpdump) para estudo: • MOTA

Eriberto - abr. 20

SumárioSumário

• CoreEmu em container Docker• Fluxo TCP• Protocolo ARP• Roteamento visto no Modelo OSI• Bridges• Endereço MAC em roteamento e em bridge• Conclusão

Page 10: Análise de tráfego em redes TCP/IP com tcpdumperiberto.pro.br/palestras/analise_trafego_2a_parte.pdfEriberto - abr. 20 Conclusão Referências (usando tcpdump) para estudo: • MOTA

Eriberto - abr. 20

• O protocolo ARP serve para...

• Demonstração.

• Possíveis ataques.

Protocolo ARPProtocolo ARP

Page 11: Análise de tráfego em redes TCP/IP com tcpdumperiberto.pro.br/palestras/analise_trafego_2a_parte.pdfEriberto - abr. 20 Conclusão Referências (usando tcpdump) para estudo: • MOTA

Eriberto - abr. 20

SumárioSumário

• CoreEmu em container Docker• Fluxo TCP• Protocolo ARP• Roteamento visto no Modelo OSI• Bridges• Endereço MAC em roteamento e em bridge• Conclusão

Page 12: Análise de tráfego em redes TCP/IP com tcpdumperiberto.pro.br/palestras/analise_trafego_2a_parte.pdfEriberto - abr. 20 Conclusão Referências (usando tcpdump) para estudo: • MOTA

Eriberto - abr. 20

• A interpretação de dados inseridos pelo usuário:

Fonte: livro Análise de tráfego em redes TCP/IP, Novatec Editora, figuras 13.1 e 13.2.

Roteamento visto no Modelo OSIRoteamento visto no Modelo OSI

Page 13: Análise de tráfego em redes TCP/IP com tcpdumperiberto.pro.br/palestras/analise_trafego_2a_parte.pdfEriberto - abr. 20 Conclusão Referências (usando tcpdump) para estudo: • MOTA

Eriberto - abr. 20

• O roteamento entre dois segmentos de rede:

Fonte: livro Análise de tráfego em redes TCP/IP, Novatec Editora, figura 13.3.

Roteamento visto no Modelo OSIRoteamento visto no Modelo OSI

Page 14: Análise de tráfego em redes TCP/IP com tcpdumperiberto.pro.br/palestras/analise_trafego_2a_parte.pdfEriberto - abr. 20 Conclusão Referências (usando tcpdump) para estudo: • MOTA

Eriberto - abr. 20

• O roteamento entre dois segmentos de rede:

Fonte: livro Análise de tráfego em redes TCP/IP, Novatec Editora, figura 13.3.

Roteamento visto no Modelo OSIRoteamento visto no Modelo OSI

Page 15: Análise de tráfego em redes TCP/IP com tcpdumperiberto.pro.br/palestras/analise_trafego_2a_parte.pdfEriberto - abr. 20 Conclusão Referências (usando tcpdump) para estudo: • MOTA

Eriberto - abr. 20

• O roteamento visto a partir do Modelo OSI:

Fonte: livro Análise de tráfego em redes TCP/IP, Novatec Editora, figura 13.9.

Roteamento visto no Modelo OSIRoteamento visto no Modelo OSI

Page 16: Análise de tráfego em redes TCP/IP com tcpdumperiberto.pro.br/palestras/analise_trafego_2a_parte.pdfEriberto - abr. 20 Conclusão Referências (usando tcpdump) para estudo: • MOTA

Eriberto - abr. 20

SumárioSumário

• CoreEmu em container Docker• Fluxo TCP• Protocolo ARP• Roteamento visto no Modelo OSI• Bridges• Endereço MAC em roteamento e em bridge• Conclusão

Page 17: Análise de tráfego em redes TCP/IP com tcpdumperiberto.pro.br/palestras/analise_trafego_2a_parte.pdfEriberto - abr. 20 Conclusão Referências (usando tcpdump) para estudo: • MOTA

Eriberto - abr. 20

BridgesBridges

• Interligação de duas porções de rede via camada 2.

• Similar ao switch.

• Principais usos:

- Interligação de duas porções do mesmo segmento de rede.

- Conversão de protocolos de camada 2.

- Elemento de auditoria e análise de tráfego.

- Base para elementos de firewall.

• Como criar -> http://bit.ly/bridge_debian

Page 18: Análise de tráfego em redes TCP/IP com tcpdumperiberto.pro.br/palestras/analise_trafego_2a_parte.pdfEriberto - abr. 20 Conclusão Referências (usando tcpdump) para estudo: • MOTA

Eriberto - abr. 20

SumárioSumário

• CoreEmu em container Docker• Fluxo TCP• Protocolo ARP• Roteamento visto no Modelo OSI• Bridges• Endereço MAC em roteamento e em bridge• Conclusão

Page 19: Análise de tráfego em redes TCP/IP com tcpdumperiberto.pro.br/palestras/analise_trafego_2a_parte.pdfEriberto - abr. 20 Conclusão Referências (usando tcpdump) para estudo: • MOTA

Eriberto - abr. 20

BridgesBridges

• Demonstração.

Page 20: Análise de tráfego em redes TCP/IP com tcpdumperiberto.pro.br/palestras/analise_trafego_2a_parte.pdfEriberto - abr. 20 Conclusão Referências (usando tcpdump) para estudo: • MOTA

Eriberto - abr. 20

SumárioSumário

• CoreEmu em container Docker• Fluxo TCP• Protocolo ARP• Roteamento visto no Modelo OSI• Bridges• Endereço MAC em roteamento e em bridge• Conclusão

Page 21: Análise de tráfego em redes TCP/IP com tcpdumperiberto.pro.br/palestras/analise_trafego_2a_parte.pdfEriberto - abr. 20 Conclusão Referências (usando tcpdump) para estudo: • MOTA

Eriberto - abr. 20

ConclusãoConclusão

• O Core Emulator é um elemento muito útil para o estudo de redes TCP/IP.

• O protocolo ARP serve para várias tecnologias!

• Para entender roteamento de redes é necessário conhecer Modelo OSI.

• As bridges são nossas aliadas na análise de tráfego e em sistemas de firewall.

continua...

Page 22: Análise de tráfego em redes TCP/IP com tcpdumperiberto.pro.br/palestras/analise_trafego_2a_parte.pdfEriberto - abr. 20 Conclusão Referências (usando tcpdump) para estudo: • MOTA

Eriberto - abr. 20

ConclusãoConclusão

Referências (usando tcpdump) para estudo:

• MOTA FILHO, João Eriberto. Análise de tráfego em redes TCP/IP. Editora Novatec, 2013.

• STEVENS, W. Richard; FALL, Kevin R. TCP/IP Illustrated, Volume I, 2ª edição. Editora Addison-Wesley, 2011.

• WIRESHARK.ORG. Seção de capturas no site, em http://wiki.wireshark.org/SampleCaptures.

Esta palestra está disponível em:

http://eriberto.pro.brSiga-me no Twitter @eribertomotaSiga-me no Twitter @eribertomota