Traduo revisada em 09.08.

2010
 AGRADECIMENTOS

Meus sinceros agradecimentos a trs amigos queridos com os quais tenho a honra de trabalhar: Ednilson Silva,
Lnio Edberg semeadores do conhecimento em comunicao de dados e Christian Barnard companheiro e
iniciante nessa longa jornada: de desafios, pesquisas e disseminao do conhecimento adquirido. Esta traduo
no poderia ter sido feita sem o auxilio dessas pessoas que compartilharam comigo seus conhecimentos e acima
de tudo a amizade. Esse trabalho fruto dessa sinergia e esperamos que venha ajudar queles que buscam uma
literatura em nossa lngua portuguesa, que trate da anlise de pacotes do mundo IP; To presente no nosso dia a
dia. Por se tratar da traduo de uma obra publicada, no vislumbramos em hiptese alguma o cunho comercial,
portanto fica aqui por parte do tradutor expressamente o desejo de no se fazer o comercio de qualquer tipo ou
forma de publicao.

Ao Grande Arquiteto do Universo, toda honra e toda glria

Jos VILOBALDO Soares
@Baddu

2
 CONTEDO

CAPITULO 1
BSICO DE REDES E ANLISE DE PACOTES.......................................................................... 6
O que Anlise de Pacotes?............................................................................................................................7
Evoluo de um Packet Sniffer (Farejador de Pacotes) ...................................................................................7
Como o Farejador de Pacotes (Packet Sniffer) Funciona ................................................................................7
Como os Computadores se Comunicam .........................................................................................................8
O Modelo OSI de Sete Camadas ......................................................................................................................8
Interao entre Protocolos ............................................................................................................................10
Encapsulamento de Dados ............................................................................................................................10
Hardware da Rede .........................................................................................................................................11
Classificao de Trfego ................................................................................................................................ 14

CAPITULO 2
CHACOALHANDO OS FIOS .................................................................................................... 15
Modo Promscuo ...........................................................................................................................................16
Espelhamento de Porta .................................................................................................................................18
Hubbing .........................................................................................................................................................18
Envenenamento do Cache ARP .....................................................................................................................19
Usando o Cain & Abel .................................................................................................................................... 20

CAPITULO 3
INTRODUO AO WIRESHARK ............................................................................................. 23
Uma Breve Histria sobre o Wireshark .........................................................................................................23
Os Benefcios do Wireshark ...........................................................................................................................23
Protocolos Suportados .................................................................................................................................. 24
Instalando o Wireshark.................................................................................................................................. 24
Fundamentos do Wireshark ..........................................................................................................................26
A Janela Principal ...........................................................................................................................................27
A caixa de Dilogo Preferncias ....................................................................................................................28
Cdigo de Cores de um Pacote......................................................................................................................29

CAPITULO 4
TRABALHANDO COM PACOTES CAPTURADOS .................................................................... 31
Encontrando e Marcando Pacotes ................................................................................................................31
Salvando e Exportando Arquivos Capturados ...............................................................................................32
Formatos de Exibio de Tempo e Referncias.............................................................................................35
Filtros de Captura e Exibio .........................................................................................................................36
A Sintaxe de Construo de Filtros ................................................................................................................37

3
CAPITULO 5
CARACTERISTICAS AVANADAS DO WIRESHARK .............................................................. 40
Resoluo de Nomes ..................................................................................................................................... 40
Dissecao de Protocolo................................................................................................................................ 41
Seguindo os fluxos TCP .................................................................................................................................. 43
Janela Estatstica Hierrquica de Protocolo ..................................................................................................43
Visualizando os Dispositivos Finais ................................................................................................................44
Conversaes .................................................................................................................................................45
A Janela IO Graphs .........................................................................................................................................46

CAPITULO 6
PROTOCOLOS MAIS COMUNS............................................................................................... 47
Protocolo de Resoluo de Endereos ARP ................................................................................................48
Protocolo de Configurao Dinmica DHCP ...............................................................................................48
TCP/IP e HTTP ................................................................................................................................................49
TCP/IP ............................................................................................................................................................49
Sistema de Nomes de Domnio DNS ...........................................................................................................52
Protocolo de Transferncia de Arquivos FTP..............................................................................................53
Protocolo Telnet ............................................................................................................................................54
Servio de Mensagens MSN ..........................................................................................................................55
Protocolo Internet de Controle de Mensagens ICMP ................................................................................57
Consideraes Finais .....................................................................................................................................57

CAPITULO 7
CENRIOS BSICOS ............................................................................................................. 58
Perda da Conexo TCP ................................................................................................................................... 58
Sem Conectividade ........................................................................................................................................63
Fantasma no Internet Explorer......................................................................................................................64
Problemas com o FTP .................................................................................................................................... 66
Falha no Servidor Remoto .............................................................................................................................67
Um Programa Mal Intencionado ...................................................................................................................69

CAPITULO 8
LUTANDO CONTRA A LENTIDO DA REDE........................................................................... 74
Anatomia do Download Lento .......................................................................................................................75
Uma Rota Lenta .............................................................................................................................................78
Viso Dupla ....................................................................................................................................................80
Ser que o Servidor Emperrou?.....................................................................................................................82
Uma falha de Anlise .....................................................................................................................................84
O Servidor POP de Email................................................................................................................................ 85
Acessando o Gnutella .................................................................................................................................... 87

4
CAPITULO 9
ANLISE BASEADA EM SEGURANA ................................................................................... 91
Sistema Operacional Fingerprinting ..............................................................................................................91
Um Simples Escaneamento (varredura) de Porta .........................................................................................92
Uma Impressora Abarrotada de Impresso ..................................................................................................93
Um FTP Interrompido .................................................................................................................................... 94
O Vrus (Worm) Blaster.................................................................................................................................. 96
Informaes Confidenciais ............................................................................................................................97
O Ponto de Vista de um Hacker.....................................................................................................................98

CAPITULO 10
FAREJANDO PELO AR ......................................................................................................... 101
Farejando um Canal de Cada Vez ................................................................................................................101
Interferncia do Sinal em uma Rede Sem Fio .............................................................................................102
Modos de Funcionamento de uma Placa de Rede Sem Fio ........................................................................102
Farejando via Rede Sem Fios no Windows ..................................................................................................103
Configurando o AirPcap ...............................................................................................................................103
Capturando Trfego com o AirPcap ............................................................................................................104
Pacotes Extras 802.11.................................................................................................................................. 105
Colunas Wireless Especificas .......................................................................................................................107
Filtros Wireless Especficos ..........................................................................................................................108
Uma Tentativa Ruim de Conexo ................................................................................................................110
Consideraes Finais ................................................................................................................................... 112

5
 BSICO DE REDES E ANLISE DE PACOTES
1
Um milho de coisas diferentes pode dar errado com uma rede de computadores em um dado dia a
partir de uma simples infeco por um spyware ou um erro de uma complexa configurao de um roteador, e
ser impossvel resolver todos os problemas imediatamente. O melhor que podemos esperar fazer estar
plenamente preparado com o conhecimento e as ferramentas para resolver a esses tipos de problemas. Todos os
problemas em uma rede decorrem a nvel dos pacotes, at mesmo as futursticas aplicaes podem revelar
implementaes ruins e aparentemente protocolos confiveis podem ser usados para fins maliciosos. Para
melhor compreender e resolver problemas em uma rede, ns vamos ao nvel de pacote onde nada est escondido
de ns, onde nada obscurecido pelas estruturas menos enganosas, grficos atraentes, ou funcionrios no
confiveis. Aqui no h segredos, e o que mais pudermos fazer no nvel da anlise de pacotes, poderemos
controlar melhor a nossa rede e resolver os problemas nela encontrados. Este o mundo da anlise de pacotes.

Este livro mergulha no mundo da anlise de pacotes de cabea. Voc vai aprender o que anlise de
pacotes, antes de mergulhar em rede de comunicao, para que possa ganhar alguns conhecimentos bsicos que
voc precisa para analisar diferentes cenrios. Voc aprender como usar os recursos da ferramenta de anlise
Wireshark para abordar a comunicao de rede lenta, identificar gargalos na aplicao e at mesmo acompanhar
hackers atravs de alguns cenrios do mundo real. Antes de voc terminar de ler este livro, voc deve ser capaz
de implementar tcnicas avanadas de anlise de pacotes que iro ajud-lo a resolver os problemas mais difceis
em sua prpria rede.

6
O que Anlise de Pacotes?
Anlise de pacotes, muitas vezes referida como packet sniffing (farejamento de pacotes) ou anlise de
protocolo, descreve o processo de capturar e interpretar dados em tempo real medida que flui atravs de uma
rede a fim de entender melhor o que est acontecendo na rede. Anlise de pacotes normalmente realizada por
um packet sniffer (farejador de pacotes), ferramenta utilizada para capturar dados brutos atravessando os fios de
uma rede. A anlise de pacotes podem nos ajudar a entender caractersticas da rede, saber quem est em uma
rede, ou determinar qual a utilizao da largura de banda disponvel, identificar as pocas de pico de uso da
rede, identificar possveis ataques ou atividades maliciosas, e encontrar aplicaes inseguras.
Existem vrios tipos de programas farejadores de pacotes (Packets sniffing), incluindo tanto o software
livre como o comercial. Cada programa foi concebido com objetivos diferentes em mente. Alguns dos mais
populares programas de anlise de pacotes so tcpdump (Um programa de linha de comando), OmniPeek e
Wireshark (ambos baseados em GUI sniffers).

Evoluo de um Packet Sniffer (Farejador de Pacotes)

Existem vrios tipos de sniffers. Ao selecionar o que voc vai usar, voc deve considerar as seguintes
variveis:
- Protocolos suportados - Suporte ao Programa
- Interface amigvel - Suporte aos Sistemas Operacionais
- Custo

Protocolos Suportados
Todos os sniffers podem interpretar vrios protocolos. A maioria dos sniffers pode interpretar os protocolos
mais comuns, tais como DHCP, IP e ARP, mas nem todos podem interpretar alguns dos protocolos no tanto
tradicionais. Ao escolher um sniffer, certifique-se que ele suporta os protocolos que voc vai usar.

Interface Amigvel
Considere o layout do programa, a facilidade de instalao e, em geral o fluxo padro de operao. O programa
que voc escolher deve se ajustar ao seu nvel de percia. Se voc tem muito pouca experincia em anlise de
pacotes, voc pode querer evitar o mais avanado programa de linha de comandos como o tcpdump. Pelo
contrrio, se voc tem uma experincia muita rica, a sim voc poder fazer dele a sua melhor escolha.

Custo
A grande coisa a respeito dos programas analisadores de pacotes que existem muitos softwares livres que
qualquer produto rival comercializado. Voc nunca poder ter que pagar por um programa analisador de
pacotes.

Suporte ao Programa
Mesmo depois de ter dominado o bsico de um programa analisador de pacotes, voc ainda vai precisar de apoio
ocasional para resolver novos problemas que possam surgir. Ao avaliar os suportes disponveis, procurar coisas
como documentao de desenvolvimento, fruns pblicos, e listas de discusso. Embora possa haver uma falta
de suporte ao desenvolvedor para programas de anlise de pacotes gratuitos como o Wireshark, as comunidades
que utilizam estas aplicaes, muitas vezes compensa essa falta, atravs de fruns de debates, wikis, blogs
desenvolvidos para ajud-lo a obter mais do seu programa.

Suporte ao Sistema Operacional

Infelizmente, nem todos os programas analisadores de pacotes tem suporte a cada sistema operacional. Tenha
certeza de que o que voc escolher para aprender funcione em todos os sistemas operacionais que voc precisa
de suporte.

Como o Farejador de Pacotes (Packet Sniffer) Funciona

O processo de farejamento (sniffer) de pacotes pode ser dividido em trs etapas: coleta, converso e anlise.

Coleta
Na primeira etapa, o farejador (sniffer) de pacotes coloca a interface de rede selecionada, em modo promscuo.
Neste modo a placa de rede pode escutar todo o trfego em seu segmento de rede. O farejador (sniffer) usa este

7
 modo juntamente com o acesso de baixo nvel da interface para capturar os dados em formato binrio que
passam pelos fios.

Converso
Nesta etapa, os dados binrios capturados so convertidos em uma forma legvel. Este o ponto onde os mais
avanados analisadores de pacotes param. Neste ponto, a rede de dados est em uma forma que s pode ser
interpretada em um nvel muito bsico, deixando a maioria da anlise para o usurio final.

Anlise
A terceira e ltima etapa consiste na anlise real dos dados capturados e convertidos. Nesta etapa, o analisador
de pacotes pega os dados capturados, verifica o seu protocolo com base nas informaes extradas, e comea a
sua anlise a partir das caractersticas especficas do protocolo. Uma anlise mais aprofundada realizada
comparando vrios pacotes, bem como vrios outros elementos da rede.

Como os Computadores se Comunicam

A fim de compreender totalmente a anlise de pacotes, voc precisa entender exatamente como os computadores
se comunicam uns com os outros. Nesta seo examinaremos os conceitos bsicos dos protocolos de rede, o
modelo OSI, os quadros de dados de rede, e o hardware que suporta tudo.

Protocolos de rede
As redes modernas so compostas de uma variedade de diferentes sistemas em execuo e muitas plataformas
diferentes. Para auxiliar nesta comunicao, usamos um conjunto comum de regras chamado protocolos de rede,
protocolos esses que regem toda a comunicao. Protocolos de rede comuns incluem TCP, IP, ARP e DHCP.
Uma pilha de protocolo um agrupamento lgico de protocolos que trabalham juntos.
Um protocolo de rede pode ser extremamente simples ou extremamente complexo, dependendo de sua
funo. Embora os vrios protocolos de rede so muitas vezes radicalmente diferentes, a maioria tem que
abordam as seguintes questes:

Controle de fluxo - a gerao de mensagens pelo sistema de recepo para instruir o sistema de
transmisso para acelerar ou retardar a transmisso de dados
Confirmao de pacotes - a transmisso de uma mensagem de retorno do sistema de recepo para o
sistema de transmisso confirmando a recepo dos dados
Erro de deteco - o uso de cdigos pelo sistema de transmisso para verificar se os dados enviados
no foram danificados durante a transmisso
A correo de erros - a retransmisso de dados que foram perdidos ou danificados durante a
transmisso inicial
Segmentao - a diviso de longos fluxos de dados em fluxos menores para uma transferncia mais
eficiente
A criptografia de dados - uma funo que usa chaves de criptografia para proteger os dados
transmitidos atravs de uma rede
Compresso de dados - um mtodo para reduzir o tamanho dos dados transmitidos atravs de uma
rede, eliminando informaes redundantes

O Modelo OSI de Sete Camadas

Os protocolos so separados com base em suas funes atravs de um padro de referncia, modelo de
referncia chamado de Open Systems Interconnection (OSI). Este modelo foi originalmente publicado em
1983 pela Organizao Internacional for Standardization (ISO) como um documento chamado ISO 7498.
O modelo OSI divide o processo de comunicao de rede em sete camadas distintas:

Aplicao - Camada 7
Apresentao - Camada 6
Seo - Camada 5
Transporte - Camada 4
Rede - Camada 3
Enlace de Dados - Camada 2
Fsica - Camada 1

8
 A diviso em sete camadas do modelo hierrquico OSI (figura ao lado) torna
mais fcil a compreenso da comunicao em uma rede. A camada de aplicao, na
parte superior representa os programas utilizados para acessar os recursos existentes
em uma rede. A camada inferior a camada fsica, atravs da qual a rede envia e
recebe os dados. Os protocolos em cada camada trabalham em conjunto com as
camadas superiores e inferiores.

Nota:
O modelo OSI no mais do que um padro de recomendao, os
desenvolvedores de protocolos no so obrigados a segui-lo exatamente. Por uma
questo de fato, o modelo OSI no o modelo de rede nica que existe, por exemplo
algumas pessoas preferem o modelo do Departamento de Defesa (DoD). Vamos
trabalhar em torno dos conceitos do modelo OSI, neste livro.
Vamos olhar amplamente, as funes de cada uma das camadas do modelo
OSI, bem como alguns exemplos de protocolos utilizados em cada uma.

A Camada de Aplicao
A camada de aplicao, a camada superior do modelo OSI, fornece um meio para que os usurios realmente
acessem os recursos de rede. Esta a nica camada tipicamente vista pelos usurios finais, uma vez que fornece
a interface que a base para todas as suas atividades de rede.

A Camada de Apresentao
A camada de apresentao transforma os dados que recebe em um formato que possa ser lido pela camada de
aplicao. Os dados de codificao e decodificao feitos aqui dependem do protocolo da camada de aplicao
que est enviando ou recebendo os dados. Esta camada tambm controla vrias formas de
criptografia/decriptografia utilizadas para prover a segurana dos dados enviados ou recebidos.

A Camada de Seo
A camada de sesso controla o dilogo, ou sesso entre dois computadores, estabelece, gerencia e termina, a
comunicao entre todos os dispositivos. A camada de sesso tambm responsvel por determinar se uma
conexo duplex ou half-duplex e graciosamente fechar uma conexo entre os dispositivos, ao invs de deix-la
cair abruptamente.

A Camada de Transporte
O objetivo principal da camada de transporte fornecer o servio de transporte confivel dos dados para as
camadas inferiores. Atravs de recursos, incluindo o controle de fluxo, a segmentao e controle de erro, a
camada de transporte garante o transporte de dados de um ponto a outro sem erros. Garantir o transporte de
dados confivel pode ser extremamente complicado, o modelo OSI dedica toda uma camada a ele. A camada de
transporte fornece os seus servios tanto a protocolos orientados conexo ou no. Firewalls e Servidores
Proxy operam nesta camada.

A Camada de Rede
A camada de rede responsvel pelo roteamento de dados entre redes fsicas, e uma das camadas OSI mais
complexas. responsvel pela lgica de endereamento de hosts da rede (por exemplo, atravs de um endereo
IP), e tambm lida com a segmentao de pacotes, a identificao do protocolo e, em alguns casos, deteco de
erros. Os Roteadores operam nesta camada.

A Camada de Enlace de Dados

A camada de enlace de dados permite transporte de dados atravs do meio fsico da rede. Seu objetivo principal
proporcionar um esquema de endereamento que pode ser usado para identificar os dispositivos fsicos e
fornecer recursos de verificao de erros para garantir a integridade dos dados. Bridges e Switches so
dispositivos fsicos que operam nesta camada.

A Camada Fsica
A camada fsica, na parte inferior do modelo OSI o meio fsico atravs do qual os dados so transferidos na
rede. Esta camada define a natureza fsica e eltrica de todo o hardware utilizado, incluindo as tenses, os ns da
9
 rede, placas, repetidores, e especificaes de cabeamento. A camada fsica estabelece e termina conexes,
fornece um meio de compartilhamento dos recursos de comunicao, e converte sinais digitais em analgicos e
vice-versa.

A tabela abaixo lista alguns dos protocolos mais comuns utilizados em cada camada do modelo OSI.

Interao entre Protocolos

Como o fluxo de dados atravs das camadas do modelo OSI? A transferncia inicial dos dados em uma rede
comea na camada de aplicao do sistema de transmisso. Os dados so passados as camadas inferiores do
modelo OSI at atingir a camada fsica, neste ponto a camada fsica do sistema de transmisso envia os dados
para o sistema de recepo. O sistema receptor captura os dados em sua camada fsica, e os repassa as camadas
superiores at chegar a camada de aplicao.
Servios prestados por diferentes protocolos em qualquer nvel do modelo OSI no so redundantes.
Por exemplo, se um protocolo em uma camada fornece um servio particular, ento nenhum outro protocolo em
qualquer outra camada ir fornecer este mesmo servio. Protocolos em camadas correspondentes, no envio e na
recepo dos dados so complementares. Se na transmisso um protocolo na camada sete responsvel por
criptografar os dados a serem transmitidos, o protocolo correspondente na camada sete da mquina receptora
dever ser responsvel por decifrar os dados. A figura abaixo mostra uma representao grfica do modelo OSI
na comunicao entre dois computadores. Aqui voc pode ver a comunicao que vai de cima para baixo, de um
computador e ento inverter quando ela atinge o outro computador.

Cada camada do modelo OSI s capaz de se comunicar com as camadas imediatamente acima e
abaixo dela. Por exemplo, a camada 2 s pode enviar e receber dados da camada 1 e da camada 3.

Encapsulamento de Dados
Os protocolos em diferentes camadas se comunicam com o auxlio do encapsulamento de dados . Cada camada
na pilha responsvel por adicionar um cabealho ou rodap aos dados serem transmitidos, este bit de
informao extra que permite a comunicao entre as camadas. Por exemplo, quando a camada de transporte
recebe dados da camada de sesso, ele adiciona seu prprio cabealho de informao aos os dados antes de
pass-lo para a prxima camada.

10
 As Unidades de Dados dos Protocolos
O processo de encapsulamento cria uma unidade de dados dos protocolos (PDU), que inclui os dados enviados e
todas as informaes de cabealho ou rodap adicionadas a ele.
Como os dados se movem de cima para baixo no modelo OSI, a PDU adicionar o cabealho e o
rodap com as informaes do protocolo envolvido entre as camadas. A PDU estar em sua forma final quando
atingir a camada fsica, nesse ponto ela ser enviada ao computador de destino. O computador de destino retira o
cabealho e o rodap do protocolo envolvido entre as camadas do modelo OSI. Uma vez que a PDU atinge a
camada superior do modelo OSI, restaro apenas os dados enviados.

Nota:
Pacote o termo associado Protocol Data Unit (PDU). Quando eu uso a palavra pacote, refiro-me a
uma PDU completa que inclui as informaes de cabealho e rodap de todas as camadas do modelo OSI.

Hardware da Rede
Agora hora de olhar para o hardware da rede, onde todo o trabalho sujo feito. Vamos focar especificamente
algumas das peas de hardware mais comuns em uma rede, hubs, switches e roteadores.

Hubs
Um hub geralmente no mais que uma caixa com vrias portas RJ-45, como mostrado na figura abaixo. Hubs
variam de muito pequeno de quatro portas, at os maiores de 48 portas, projetados para serem montados em rack
no ambiente empresarial. Hubs so projetados para conectar dispositivos de rede para que eles possam se
comunicar.

Um hub nada mais do que um dispositivo de repetio que opera na camada fsica do modelo OSI.
Um dispositivo de repetir simplesmente pega os pacotes enviados a partir de uma porta e transmite (repete) a
outro dispositivo conectado a outra porta. Por exemplo, se um computador conectado a porta 1 de um hub de
quatro portas tem que enviar dados a um computador conectado a porta 2, o hub envia os pacotes para todas as
portas. Os clientes conectados s portas 3 e 4 ignoram os dados, porque no para eles, descartando os pacotes.
Nesse tipo de conexo o resultado uma grande quantidade de trfego desnecessrio na rede.
Imagine que voc est enviando um email aos empregados da empresa. O e-mail tem no campo assunto
Relativo a todo o pessoal de marketing, mas em vez de envi-lo apenas as pessoas que trabalham no
departamento de marketing, voc o envia para todos os funcionrios da empresa. Os empregados que trabalham
no marketing sabe que pra eles e vo l-lo. Os outros empregados, no entanto, vero que no para eles, e vo
descart-lo. Voc pode ver como isso resultado de um monte de comunicao desnecessria e um desperdcio
de tempo, exatamente assim como funciona um hub.
A figura abaixo fornece uma exibio grfica do que est acontecendo aqui. Nesta figura, Um
computador A est transmitindo dados para o computador B. No entanto, quando o computador A envia esses
dados, todos os computadores conectados ao hub os recebem. Apenas o computador B realmente os aceita, os
outros computadores vai descart-lo.
Uma ltima nota sobre hubs que eles s so capazes de operar em modo half-duplex, ou seja, eles no
podem enviar e receber dados ao mesmo tempo. Isso os diferencia dos switches, que so dispositivos full-duplex
que podem enviar e receber dados de forma sncrona.
Enquanto voc no vai ver hubs sendo usado nas mais modernas ou rede de alto trfego (switches so usados em
vez disso, como discutido abaixo), voc deve saber como os hubs trabalham, uma vez que eles sero muito
importantes para a anlise de pacotes.

11
 Computador B

Computador C
Computador A

Computador D

Switches
A melhor alternativa ao hub em uma rede de alto trfego o dispositivo chamado switch. Como um hub, um
switch projetado para repetir os pacotes, mas faz isso de maneira muito diferente, tambm como um hub, um
switch proporciona um caminho de comunicao entre dispositivos, mas o faz com mais eficincia. Ao invs de
enviar um broadcast de dados para cada porta individualmente, somente envia os dados para o computador para
quais os mesmos so destinados. Fisicamente falando, um switch parece idntico a um hub. Por uma questo de
fato, se os dispositivos no tiverem uma identificao visvel, voc ter dificuldade em diferenci-los.
Muitos dos switches do mercado so gerenciveis atravs de software especfico ou interface web.
Estes switches so referidos como switches gerenciados e oferecem vrios recursos que podem ser teis na
gesto da rede. Isto inclui a capacidade de visualizar, habilitar ou desabilitar portas especficas, fazer mudanas
de configurao e ser reiniciado remotamente.

Switches tm funcionalidades avanadas de manipulao dos pacotes transmitidos. capaz de se

comunicar diretamente com dispositivos especficos, switches so capazes de identificar dispositivos baseados
em seus endereos. Tudo isso significa que devem operar na camada de enlace do modelo OSI.
Os Switches armazenam os endereos de camada 2 de cada dispositivo conectado em uma tabela CAM,
que funciona como uma espcie de guarda de trnsito. Quando um pacote transmitido, o switch l as
informaes do cabealho da camada 2 do pacote e usando a tabela CAM como referncia, determina para qual
porta ser enviado o pacote. Os switches apenas enviam pacotes para as portas envolvidas em uma comunicao,
o que reduz consideravelmente o trfego na rede.
A figura abaixo mostra uma representao grfica do fluxo de trfego atravs de um switch. Nesta
figura, um computador A mais uma vez envia os dados para o computador B. Neste caso, os computadores esto
conectados atravs de um switch que permite que o computador A envia os dados diretamente para o
computador B sem outros dispositivos na rede estar ciente da presente comunicao. Alm disso, vrias
conversas podem acontecer ao mesmo tempo.

Computador B

Computador C
Computador A

Computador D

12
Roteadores
Um roteador um dispositivo de rede avanada com um nvel muito mais elevado de funcionalidade do que
qualquer switch ou um hub. Um roteador pode ter vrias formas, mas a maioria tem vrios leds na frente e portas
na parte traseira, dependendo do tamanho da rede. Roteadores
operam na camada 3 do modelo OSI. Eles so responsveis pelo
envio de pacotes entre duas redes distintas. O processo que os
roteadores usam para direcionar o fluxo de trfego entre redes
chamado de roteamento.
Existem vrios tipos de protocolos de roteamento que
ditam como diferentes tipos de pacotes so encaminhados para
outras redes. Roteadores normalmente usam endereos da camada
3 (Tais como endereos IP) com exclusividade identificar
dispositivos em uma rede.
Uma maneira fcil de ilustrar o conceito de roteamento pensar em um bairro com uma rede de ruas,
cada rua tem casas, e cada casa tem seu prprio endereo. Voc mora em uma rua, assim voc pode mover-se
entre todas as casas da rua. Isto muito semelhante ao funcionamento de um switch que permite a comunicao
entre todos os computadores em um segmento de rede. Para se comunicar com um vizinho em outra rua, no
entanto, uma pessoa deve seguir o fluxo dos sinais da rua at a casa do vizinho.
Vamos trabalhar com um exemplo de comunicao atravs das ruas. Usando a figura abaixo, digamos
que eu estou sentado na 503 Vine Street, e eu preciso ir at a 202 Lane Dogwood. Para fazer isso, eu preciso
atravessar para Oak Street, e em seguida, para Dogwood Lane. Pense nisso como uma passagem segmentos de
rede. Se o dispositivo em 192.168.0.3 precisa se comunicar com o dispositivo em 192.168.0.54, ele deve
atravessar um roteador para chegar rede 10.100.1.1, em seguida, atravessar o segmento do roteador de destino
antes que ele possa chegar ao segmento da rede de destino.

O tamanho e o nmero de roteadores em uma rede dependem do tamanho e funo dessa rede. As redes
domsticas ou de pequenos escritrios consistem de um pequeno roteador localizado no centro da rede, enquanto
uma grande rede corporativa pode ter vrios roteadores espalhados por vrios departamentos, todos se
conectando a um roteador central ou switch de camada 3. Um switch de camada 3 um tipo avanado de switch
que tambm tem uma funcionalidade interna para atuar como um roteador.
Comeando a olhar para diagramas de rede cada vez mais, voc vai compreender como os dados so
encaminhados a diversos pontos.A figura abaixo mostra o layout de uma forma muito comum de rede roteada.
Neste exemplo, duas redes separadas esto ligadas atravs de um nico roteador. Se um computador na rede A
desejar se comunicar com um computador na rede B, os dados transmitidos devem passar pelo roteador.
Rede A Rede B

Computador B Computador W

Computador Y Computador X
Computador Computador C

Computador D Computador Z

13
Classificao de Trfego
Ao considerar o trfego em uma rede, vamos classific-lo em trs classes principais: broadcast, multicast e
unicast. Cada classificao tem uma caracterstica distinta que determina como os pacotes de uma determinada
classe so tratados pelo hardware de rede.

Trfego Broadcast
Um pacote de broadcast enviado a todos as portas de um segmento de rede, independentemente de saber se
essa porta um hub, switch ou roteador. Lembre-se que hub s utiliza trfego de broadcast.

Trfego Multicast
O Multicast um meio de transmitir um pacote a partir de uma nica fonte para mltiplos destinos
simultaneamente. O objetivo do multicast fazer com que este processo seja o mais simples possvel, utilizando
a largura de banda disponvel. A otimizao deste trfego reside no nmero de vezes que um fluxo de dados
replicado para alcanar o seu destino. A manipulao exata do trfego multicast altamente dependente da
implementao do protocolo usado. O principal mtodo de execuo multicast usar um esquema de
endereamento especial que une os destinatrios de pacotes em um grupo multicast, isto como o IP multicast
funciona. Esse esquema de endereamento garante que os pacotes no sero transmitidos a computadores que
no faam parte do grupo de endereamento.

Trfego Unicast
Um pacote unicast transmitido diretamente de um computador para outro. Os detalhes de como funciona o
unicast dependem do protocolo usado.

Domnio de Broadcast
Lembre-se que um pacote de broadcast aquele que enviado para cada dispositivo em segmento particular. Em
redes maiores, com vrios hubs ou switches conectados via diferentes meios, os pacotes transmitidos de um
switch atravs de todo o caminho at outras portas de outros switches na rede, so repetidos de switch a switch.
A extenso que os pacotes percorrem chamada de domnio de broadcast - esse o segmento de rede
onde qualquer computador pode transmitir diretamente para outro computador sem passar por um roteador. A
figura abaixo mostra um exemplo de dois domnios de broadcast em uma rede pequena. Porque cada domnio de
broadcast estende-se at que ele encontre o roteador, os pacotes de broadcast circularo apenas dentro deste
domnio de broadcast especificado.

Roteador

Domnio de Broadcast Domnio de Broadcast

Nosso exemplo anterior descrevendo como o roteamento refere-se a um bairro tambm fornece uma
boa viso sobre como funcionam os domnios de broadcast. Voc pode pensar em um domnio de broadcast
como sendo uma rua do bairro. Se voc ficar na varanda e gritar, apenas as pessoas da sua rua vo ser capazes de
ouvir voc. Se voc quiser falar com algum em uma rua diferente, voc tem que encontrar uma maneira de falar
com essa pessoa diretamente, ao invs de usar o broadcast a partir de sua varanda.
As coisas que voc aprendeu at aqui so os princpios bsicos da anlise de pacotes. Voc deve
entender o que est acontecendo neste nvel de comunicao de rede antes de comear a solucionar os seus
problemas. No prximo captulo aprimoraremos mais estes conceitos e discutiremos sobre os princpios
avanados de comunicaes de rede.

14
 CHACOALHANDO OS FIOS
2
Podemos agora passar para a etapa final da preparao, antes de comearmos a capturar online os
pacotes na rede. Esta ltima etapa descobrir o local mais adequado para colocar um sniffer no sistema de
cabeamento da rede. Isso muitas vezes referido pelos analistas como a obteno de pacotes no fio, batendo na
rede, ou batendo no fio. Basta colocar, este o processo de colocao de um farejador (sniffer) de pacote em
uma rede no local fsico correto.
Infelizmente, os pacotes de sniffing no to simples como ligar um laptop em uma porta de rede e ir
capturando o trfego (Figura abaixo). Na verdade, s vezes mais difcil colocar um sniffer no sistema de
cabeamento de uma rede que realmente analisar os pacotes capturados.
O desafio com a colocao do sniffer que existe uma grande variedade de hardware de rede que
usado para conectar dispositivos. Porque os trs principais dispositivos em uma moderna rede (hubs, switches e
roteadores) todos lidam diferentemente com o trfego, voc deve estar muito consciente da instalao fsica da
rede que voc est analisando.

15
 Packet Sniffer

O objetivo deste captulo ajud-lo a desenvolver uma compreenso da colocao de um farejador

(sniffer) de pacotes em uma variedade de topologias de rede diferentes. Ns vamos olhar vrias configuraes
de rede e determinar a melhor maneira para capturar pacotes em ambientes baseado em um hub, switch,
roteador. Como um precursor para a compreenso da colocao do farejador (sniffer), vamos tambm obter uma
forma mais aprofundada de olhar para as placas de rede em modo promscuo, como elas funcionam, e por que
elas so uma necessidade para a anlise de um pacote.

Modo Promscuo
Antes que voc possa capturar os pacotes em uma rede, voc precisar de um carto de interface de rede (NIC)
que suporte um driver de modo promscuo. o modo promscuo que permite uma NIC ver todos os pacotes que
atravessam o sistema de cabeamento. Quando uma placa de rede no est no modo promscuo, ela geralmente v
uma grande quantidade broadcast e outros trfegos que no dirigida a ela, que sero descartados. Quando est
no modo promscuo, ela captura tudo e passa todo o trfego que recebe para a CPU, basicamente ignorando as
informaes que se encontram na camada 2. Seu farejador (sniffing) de pacotes agarra todos os pacotes para dar-
lhe um relato completo e preciso de todos os pacotes no sistema.

Nota:
A maioria dos sistemas operacionais (incluindo o Windows) no vai deixar voc usar uma placa de rede
em modo promscuo a menos que voc tenha privilgios de administrador. Se voc no pode obter esses
privilgios em um sistema, possvel que voc no realize qualquer tipo de farejamento (sniffer) de pacotes em
uma rede.

Farejando atravs de um Hub

Farejar (sniffing) em uma rede que tem hubs instalados um sonho para qualquer analista de pacotes. Como
voc aprendeu anteriormente, o trfego atravs de um hub enviado para todas as portas conectadas ao hub.
Portanto, para analisar com um computador ligado a um hub, tudo que voc precisa fazer conectar o farejador
(sniffer) de pacotes em uma porta vazia do hub, e voc poder ver todas as comunicaes de/e para todos os
computadores conectados ao hub. Conforme ilustrado na figura abaixo, a sua janela de visibilidade ilimitada
quando o farejador (sniffer) est conectado a uma rede atravs de um hub.

Janela de visibilidade

Sniffer
E
F

B C

16
 Nota:
A janela de visibilidade, como mostrada nos diagramas ao longo deste livro, mostra os dispositivos de
uma rede, cujo trfego ser capaz de ser visto com um farejador (sniffer) de pacotes.

Infelizmente para ns, redes baseadas em hubs so muito raras, devido dor de cabea que causam aos
seus administradores. Hubs tendem a deixar o trfego da rede lenta, pois apenas um dispositivo pode usar o hub
por vez, portanto, um dispositivo conectado atravs de um hub tem de competir por largura de banda com os
outros dispositivos tambm tentando se comunicar atravs dela. Quando dois ou mais dispositivos tentam se
comunicar ao mesmo tempo, colidem pacotes (como mostrado na figura abaixo) e pacotes transmitidos so
perdidos e devem ser retransmitidos.
Com o aumento de colises, o desempenho da rede pode
diminuir drasticamente. Como o nvel de trfego e aumenta as
colises, dispositivos podem tentar transmitir um pacote trs ou
quatro vezes. por isso que as redes mais modernas de qualquer
tamanho usam switches. Transmisso Transmisso

A nica preocupao que temos que considerar quando

estamos farejando (sniffing) pacotes em um computador individual
em uma rede utilizando um hub, a captura do grande volume de
trfego. Uma vez que uma placa de rede em modo promscuoColiso v
todo o trfego indo e vindo de todos os dispositivos em um hub,
voc vai ter uma quantidade muito grande de dados para pesquisar, a
maioria dos quais so irrelevantes. No prximo captulo voc vai
aprender como aproveitar o poder de capturar e exibir esses dados Hub
utilizando filtros, a fim de realizar sua anlise de forma mais
eficiente.

Farejando atravs de um Switch

Um ambiente com switch o tipo mais comum de rede que voc estar trabalhando. Switches proporcionam um
meio eficaz de transporte de dados via broadcast, o trfego unicast e multicast. (Para mais informaes sobre
estes temas ver Captulo 1). Como bnus, switches permitem a comunicao full-duplex, significando que as
mquinas podem enviar e receber dados simultaneamente atravs do mesmo. Infelizmente para analistas de
pacotes, switches adicionam um novo nvel de complexidade ao seu trabalho. Quando voc conecta um
farejador (sniffer) de pacotes a uma porta de um switch, voc s pode ver o trfego broadcast e o trfego
transmitidos e recebidos por sua mquina, como mostrado na figura baixo.

Janela
de visibilidade B

Sniffer

E F

A C

Existem trs formas principais de capturar o trfego de um dispositivo em uma rede com switch:
espelhamento de porta, o envenenamento de cache ARP, e hubbing.

17
Espelhamento de Porta
Espelhamento de porta (Port mirroring), ou a medio de porta (Port Spanning) como muitas vezes chamado,
talvez a maneira mais fcil de capturar o trfego de um dispositivo em uma rede atravs de um switch. Neste
tipo de instalao, voc deve ter acesso interface de linha de comando do switch em que o computador est
localizado. Alm disso, o switch ter que suportar o espelhamento de porta. Para que voc possa atravs de linha
de comando forar a opo de copia de todo o trfego em uma determinada porta para outra porta (ver figura
baixo). Por exemplo, para capturar o trfego de um dispositivo na porta trs de um switch, voc pode
simplesmente ligar o farejador (sniffer) na porta quatro e fazer o espelhamento da porta trs. Isso permitir que
voc veja todo o trfego transmitido e recebido pelo seu dispositivo ligado na porta trs. O comando exato que
voc ir digitar para configurar o espelhamento de porta variar dependendo do fabricante do switch que voc
est usando. Voc vai encontrar uma lista de comandos de espelhamento de portas mais comuns na tabela baixo.

E F

Sniffer

B C
Janela de visibilidade

Quando estiver utilizando o espelhamento de porta, tenha cuidado com a quantidade de portas que
estiverem sendo espelhadas. Alguns fabricantes permitem que voc faa o espelhamento de mltiplas portas em
uma nica, isso pode ser muito til quando se analisa a comunicao entre dois ou mais dispositivos em um
nico switch. No entanto, consideremos o que vai acontecer com um pouco de matemtica bsica. Por exemplo,
se voc tiver um switch de 24 portas e voc espelha 23 portas de 100Mbps full-duplex para uma porta, voc
pode ter, potencialmente, 4600Mbps fluindo para essa porta. Isto obviamente vai muito alm do limite fsico de
uma nica porta e pode causar perda de pacotes ou de lentido da rede se trfego atingir um determinado nvel.
Nestas situaes os switches descartaro o excesso de pacotes, impedindo a comunicao. Certifique-se que este
tipo de situao no ocorra quando voc tentar executar a sua captura.

Hubbing
Outra maneira muito simples de capturar o trfego atravs de um dispositivo em uma rede com switch o
hubbing. O Hubbing uma tcnica na qual voc coloca o dispositivo desejado e seu sistema farejador (sniffer)
no mesmo segmento de rede, ligando-os diretamente a um hub. Muitas pessoas pensam que o uso de hub nos dia
est em desuso, mas realmente a sua utilizao uma perfeita soluo em situaes onde voc no pode
executar o espelhamento de porta, mas possui um hub para ligar o dispositivo desejado e o farejador (sniffer) na
rede.
Para utilizar o Hubbing, tudo o que voc precisa de um prprio hub e alguns cabos de rede. Depois de
ter tudo mos, v at onde o dispositivo desejado est plugado e desconecte-o. Em seguida, conecte-o ao hub
junto com o seu dispositivo farejador (sniffing). Em seguida, ligue o hub rede, conectando-o ao switch. Agora
voc tem que basicamente colocar o dispositivo desejado e o farejador (sniffing) no mesmo domnio de
broadcast, e todo o trfego enviado ao dispositivo desejado ser transmitido tambm ao farejador (sniffing) de
forma que o mesmo poder capturar os pacotes como mostrado na figura abaixo.
18
 D

Sniffer E F

Hub
B C

Na maioria das situaes, a utilizao da tcnica de Hubbing reduz a forma de transmisso duplex, a
simples half-duplex. Enquanto este mtodo no o melhor caminho para farejar os fios, s vezes ser a sua
nica opo quando um switch no suportar o espelhamento de porta.

Nota:
Como um lembrete, geralmente um gesto simptico alertar ao usurio do dispositivo desejado, que voc
ir desconect-lo e monitorado, especialmente se o usurio for o seu chefe!

Quando estiver utilizando a tcnica Hubbing, certifique-se que voc est usando um hub de verdade e
no um falso switch. Vrios fornecedores de hardware de rede tm o mau hbito de marketing de venda de um
dispositivo hub quando ele realmente funciona como um switch. Se voc no est trabalhando com um hub,
comprovadamente testado, voc s vai ver seu prprio trfego, e no do dispositivo de desejado. Quando voc
encontrar um hub, teste-o para certifica-se que realmente um hub! A melhor maneira de determinar ou no se o
dispositivo que voc est usando um verdadeiro hub s ligar um par de computadores nele e ver se voc pode
farejar o trfego dos dois. Se conseguir, voc tem um verdadeiro hub em sua posse.

Envenenamento do Cache ARP

Lembre-se do captulo 1, que os dois principais tipos de pacotes de endereamento esto nas Camadas 2 e 3 do
modelo OSI. Esta camada 2 de endereamento, ou endereo MAC, usada em conjunto com qualquer sistema
de endereamento da camada 3 que voc est usando.

No caso deste livro (e do padro da indstria), refiro-me ao Sistema de endereamento de camada 3, o

Protocolo IP.
Todos os dispositivos em uma rede se comunicam entre si na camada 3 usando endereos IP. Como
switches operam na camada 2 do modelo OSI, eles devem ser capazes de traduzir endereos da camada 2
(MAC) em endereos da camada 3 (IP) e vice-versa, a fim de ser capaz de encaminhar o trfego para o
dispositivo apropriado. Este processo de traduo feito atravs de um protocolo de camada 3 conhecido como
o Protocolo de Resoluo de Endereos o ARP.
Quando um computador precisa enviar dados para outro, ele envia um ARP pedindo ao o switch onde
est ligado. O switch envia um pacote broadcast ARP para todos os computadores conectados a ele, pedindo que
cada computador cheque o seu o endereo IP. Quando o computador de destino v este pacote, ele se identifica
com o endereo IP e envia o seu endereo MAC. O switch tem agora uma rota estabelecida at computador de
destino, e qualquer dispositivo que desejar se comunicar com este computador de destino pode utilizar essa rota.
Estas informaes recm obtidas so armazenadas no cache ARP do switch, evitando assim o novo envio de um
pacote broadcast ARP, cada vez que precisar enviar dados para esse computador.
O envenenamento de cache ARP uma forma mais avanada de farejar (sniffer) os fios em uma rede
comutada. comumente utilizado por hackers para enviar falsamente pacotes endereados aos sistemas do
cliente, a fim de interceptar os trfegos da negao de servio (DoS), mas o envenenamento de cache ARP pode
ainda servir como uma forma legtima de capturar os pacotes de uma mquina de destino em uma rede que
utiliza switch.
O envenenamento de cache ARP, por vezes referido como ARP spoofing, o processo de envio de
mensagens ARP para um switch ou roteador Ethernet com MAC falso, a fim de interceptar o trfego de outro
computador, como mostrado abaixo.

19
 Trfego normal
Trfego alterado
Switch
Switch

Computador Roteador
desejado Computador Roteador
desejado

Sniffer
Sniffer

Usando o Cain & Abel

Ao tentar envenenar o cache ARP, o primeiro passo baixar as ferramentas necessrias e recolher algumas
informaes necessrias. Ns vamos usar a popular ferramenta de segurana Cain & Abel da Oxid.it
(http://www.oxid.it). V em frente e instale-o agora.
Uma vez que voc tenha instalado o software Cain & Abel, voc precisa coletar algumas informaes
adicionais, incluindo os endereos IP de seu sistema analisador, o sistema (dispositivo) remoto que voc deseja
capturar o trfego, e o roteador ao qual o mesmo est ligado.
Quando voc abre o Cain & Abel, voc vai notar uma srie de guias perto da janela superior. O
envenenamento de cache ARP apenas uma das vrias opes do Caim & Abel. Para os nossos propsitos,
vamos estar trabalhando com a aba Sniffer. Quando clicar nesta guia, voc ver uma tabela vazia, como a
mostrada abaixo.

5 2
1
3

Para preencher esta tabela voc ter primeiro que ativar a opo sniffer do Caim & Abel e scanear sua
rede a procura dos dispositivos conectados a ela . Para fazer isso, siga estes passos:
1. Clique no segundo cone (1) na barra de ferramentas, que se assemelha a uma placa de rede. A primeira vez
que voc fizer isso voc ser solicitado a selecionar a interface que deseja farejar (sniffing). Esta deve a
interface que est conectada na rede, dessa forma voc estar realizando o envenenamento de cache ARP.
2. Uma vez que voc selecionou esta interface, clique em OK para ativar os farejadores Cain & Abel.
3. Para criar uma lista de hosts disponveis em sua rede, clique no cone (+) (2) e clique em OK como
mostrado abaixo.

20
 A grade vazia agora dever ser preenchida com uma lista de todos os hosts encontradas em sua rede,
juntamente com os respectivos endereos MAC, endereos IP, e identificao do fabricante. Esta a lista que
voc ir trabalhar quando configurar o envenenamento de cache ARP.
Na parte inferior da janela do programa, voc ver um conjunto de guias que faz parte da opo Sniffer
(3). Agora que voc construiu sua lista de host, voc ir trabalhar a partir da guia APR (4). Alterne para a janela
APR clicando na guia.
Uma vez na guia APR, sero apresentadas duas tabelas vazias: uma superior e outra inferior. Depois de
configur-las, a tabela superior mostrar os dispositivos envolvidos no seu envenenamento de cache ARP, e a
tabela inferior mostrar toda a comunicao entre as mquinas envenenadas.
Para configurar o seu envenenamento, siga estes passos:
1. Clique no cone (+) na barra de ferramentas padro. A janela que aparece tem duas colunas laterais de
seleo lado a lado.
2. No lado esquerdo, voc ver uma lista de todos os hosts disponveis na rede. Clique no endereo IP do
dispositivo desejado, cujo trfego que voc deseja farejar (sniffing). Isso resultar na janela da direita,
uma lista de todos os outros hosts existente na rede, sendo omitido o endereo IP do dispositivo j
escolhido.
3. Na janela da direita, clique no endereo IP do roteador que o dispositivo escolhido est conectado e clique
em OK, ver figura abaixo. Os Endereos IPs de ambos os dispositivos devem agora ser listados na tabela
superior na janela principal.
4. Para concluir o processo, clique no smbolo de radiao (5) amarelo e preto na barra de ferramentas
padro. Isso ir ativar os recursos de envenenamento de cache ARP do Cain & Abel, que permitir que o
seu sistema de anlise intermedeie as comunicaes entre o dispositivo escolhido e o roteador.

Agora voc pode carregar seu analisador de pacotes (Wirshark) e iniciar o processo de anlise. Quando
voc terminar de capturar o trfego, basta clicar no smbolo de radiao (5) amarelo e preto para parar o
envenenamento de cache ARP.

Como nota final sobre o envenenamento de cache ARP, voc deve estar muito consciente das regras do
sistema em anlise para implementar este processo. Por exemplo, no usar esta tcnica quando for muita alta a
utilizao do dispositivo desejado, como um servidor de arquivos que est ligado a rede por link 1Gbps
(especialmente se link do seu sistema analisador for de apenas 100Mbps). Quando voc executar este
reencaminhamento do trfego, todo o trfego transmitido e recebido pelo sistema desejado deve primeiro passar
por seu analisador, tornando seu analisador o gargalo no processo de comunicao. Isso pode criar um efeito do
tipo DoS na mquina que voc est analisando, o que resultar no desempenho da rede degradado,
conseqentemente falha na anlise dos dados.

Farejando atravs de um Roteador

Todas as tcnicas para farejar os fios em uma rede comutada esto disponveis em redes roteadas tambm. A
nica considerao importante quando se lida com ambientes roteados a importncia da colocao
(localizao) do farejador (sniffer) quando voc est solucionando um problema que abrange vrios segmentos
de rede.
Como voc aprendeu anteriormente, o domnio de um dispositivo de transmisso se estende at um
roteador. Neste ponto, o trfego entregue para o prximo roteador e voc perde a comunicao com os pacotes
21
 que esto sendo transmitidos, at que voc receba uma confirmao de seu recebimento. Em situaes como
esta, onde dados devem atravessar vrios roteadores, importante analisar o trfego em todos os lados do
roteador.
Por exemplo, considere o problema de comunicao que voc pode encontrar em uma rede com vrios
segmentos de redes ligados atravs de uma variedade de roteadores. Nesta rede, cada segmento se comunica
com outro segmento para armazenar e recuperar dados. O problema que estamos tentando resolver que um
dispositivo na rede D, no pode se comunicar com um dispositivo que se encontra na rede A, como mostrado
abaixo.

Rede A

Rede B

Rede C

Rede D

Seu instinto poderia dizer-lhe para capturar o trfego de um dispositivo no segmento D. Quando voc
fizer isso, voc pode ver claramente que os dados esto sendo transmitidos ao segmento A, mas sem o
recebimento de confirmao. Quando farejar (sniffing) o prximo segmento de rede para encontrar a fonte do
problema, voc ver que o trfego descartado pelo roteador da rede B. Eventualmente, isto leva a um problema
de configurao no roteador, quando corrigido, resolve o seu maior dilema. Este um excelente exemplo de que
muitas vezes necessrio capturar o trfego de vrios dispositivos em vrios segmentos, a fim de identificar um
problema.

Mapas de Rede
Em nossa breve discusso sobre o posicionamento da rede, j olhamos vrios mapas diferentes de rede. Um
mapa de rede ou diagrama de rede, um diagrama que mostra todos os recursos tcnicos na rede e como eles
esto conectados.
No h melhor maneira de determinar a colocao de seu analisador de pacotes, alm de ser capaz de
visualizar a rede de forma clara. Se voc tem um mapa de rede disponvel para voc, eu recomendo mant-lo
acessvel, como se tornar um recurso valioso na soluo de problemas e processo de anlise. Voc pode mesmo
fazer um mapa detalhado de sua prpria rede. Lembre-se: s vezes meio caminho andado na soluo de um
problema sua identificao.

22
 INTRODUO AO WIRESHARK
3
Existem diferentes farejadores (sniffing) de pacotes disponveis para anlise de desempenho de uma rede,
mas ns vamos estar usando o Wireshark ao longo deste livro. Este captulo discute a histria do Wireshark,
bem como seus benefcios, a instalao, e o seu uso bsico.

Uma Breve Histria sobre o Wireshark

O Wireshark tem uma histria muito rica. Gerald Combs, um ps-graduado de cincia da computao da
Universidade de Missouri, em Kansas City, originalmente o desenvolveu fora de suas necessidades. A primeira
verso do aplicativo Combs, chamado Ethereal, foi lanado em 1998 sob a GNU Public License (GPL).
Oito anos depois de lanar o Ethereal, Combs deixou seu trabalho para perseguir outras oportunidades
na carreira. Infelizmente, o seu empregador na poca tinha plenos direitos sobre a marca Ethereal, e Combs no
conseguiu chegar a um acordo que lhe permitiria controlar a marca Ethereal. Em vez disso Combs e o resto da
equipe de desenvolvimento, rebatizaram o projeto como Wireshark, em meados de 2006.
O Wireshark tem crescido dramaticamente em popularidade, e sua equipe de desenvolvimento j possui
mais de 500 colaboradores. O programa que existe sob o nome Ethereal no est mais sendo desenvolvido.

Os Benefcios do Wireshark
O Wireshark oferece vrios benefcios que o tornam atraente para o uso dirio. Ele Destina-se tanto ao curioso e
ao especialista em anlise de pacotes e oferece uma variedade de recursos para seduzir cada um. Vamos
examinar o Wireshark de acordo com os critrios definidos no Captulo 1 para selecionar um a ferramenta
farejadora (sniffing) de pacotes.

23
Protocolos Suportados
O Wireshark excede o nmero de protocolos que ele suporta, mais de 850, como est escrito. Estes protocolos
como o IP e o DHCP so os mais comuns que os mais avanados protocolos proprietrios, como o AppleTalk e
BitTorrent. porque o Wireshark desenvolvido no mbito de um modelo de fonte aberta, o suporte de um
novo protocolo adicionado a cada atualizao. Se existe um protocolo que o Wireshark no suporta, voc pode
codific-lo e submeter seu cdigo aos desenvolvedores do Wireshark para incluso na aplicao (se o seu cdigo
aceito, claro). Dito isto, no h realmente nenhum protocolo que o Wireshark no seja capaz de suportar.

Uso Amigvel
A interface do Wireshark um das mais fceis de entender qualquer outra ferramenta farejadora (sniffing) de
pacotes. O Wireshark um aplicativo baseado em GUI com muita clareza escrito com menus de contexto e um
layout simples. Ela tambm fornece vrios recursos projetados para melhorar seu uso, como a cor do protocolo
baseado em codificao e detalhada representaes grficas de dados brutos. Ao contrrio de algumas das mais
complicadas linhas de comandos alternativas como o tcpdump, o Wireshark GUI melhor para aqueles que
esto apenas entrando no mundo da anlise de protocolo.

Custo
Uma vez que um open source, o preo do Wireshark no pode ser batido. O Wireshark liberado como
software livre sob a GPL. Voc pode baixar e usar o Wireshark para qualquer finalidade, seja pessoal ou
comercial.

Suporte ao Programa
Pode ser feito ou no a nvel do software. Quando se tratar de software distribudo livremente como o
Wireshark, muitas vezes no h apoio formal, razo pela qual a comunidade de cdigo aberto, muitas vezes
depende de seu usurio para oferecer esse suporte. Felizmente para ns, a comunidade Wireshark uma das
melhores e mais ativa de que qualquer outro projeto de cdigo aberto. A pgina do Wireshark na internet
permite ligaes diretas a vrias formas de suporte, incluindo documentao on-line. o suporte e
desenvolvimento wiki, FAQs, um lugar para se inscrever na lista de distribuio de email do Wireshark, que
acompanhada pela maioria dos programas desenvolvedores de topo. Estes desenvolvedores, juntamente com a
comunidade de usurios do Wireshark, provem suporte que no deixa nenhuma pergunta sem resposta.

Suporte aos Sistemas Operacionais

O Wireshark suporta todos os principais sistemas operacionais modernos, incluindo Windows, Mac OS X e
Linux. Voc pode ver uma lista completa dos sistemas operacionais suportados na home page do Wireshark.

Instalando o Wireshark
O processo de instalao do Wireshark surpreendentemente simples. Nesta seco ns olharemos os requisitos
do sistema e, em seguida, percorrer as etapas envolvidas na instalao do Wireshark no Windows e Linux.

Requerimentos do Sistema
Antes de instalar o Wireshark, voc deve se certificar de que o sistema atende aos seguintes requisitos:
Um processador de 400 MHz ou mais rpido;
Pelo menos 60MB de espao de armazenamento disponvel;
Uma NIC (placa de rede) que suporte o modo promscuo;
WinPcap capture driver;
O drive de captura WinPcap a implementao do Windows do Pcap pacote de interface de captura de
interface de programao (API). Simplificando, este driver interage com seu sistema operacional para capturar
pacotes de dados, aplicar filtros, e mudar a placa de rede dentro e fora do modo promscuo. Voc pode encontrar
o pacote de instalao para o driver em http://www.winpcap.org.

Nota:
Embora voc possa baixar separadamente o WinPcap. melhor instal-lo a partir da instalao do
Wireshark, porque a verso includa ao instalar o Wireshark j vem testada para trabalhar em conjunto com o
mesmo.

24
Instalando no Windows
O primeiro passo ao instalar o Wireshark no Windows obter o instalao compilada mais recente na pgina
web oficial Wireshark, http://www.wireshark.org. Navegue at a seo Downloads, e escolha um site para fazer
o download. Uma vez que voc tenha baixado o pacote, siga estes passos:
1. Duplo clique no arquivo executvel. para iniciar a instalao e clique em Avanar na janela introdutria.
2. Leia o contrato de licenciamento e clique em Concordo se voc concordar.
3. Selecione os componentes do Wireshark que voc deseja instalar. Para nossos propsitos, Voc pode
aceitar o padro clicando em Next (como mostrado na figura abaixo).

4. Clique em Avanar na janela de tarefas adicionais.

5. Selecione o local onde voc deseja instalar o Wireshark e clique em Avanar.
6. Certifique-se que a opo instalar o WinPcap esteja marcada, e clique em Install. O processo de instalao
deve comear.

7. No meio da instalao do Wireshark, a instalao WinPcap dever comear. Quando isso acontecer, clique
em Avanar na janela de introduo. Ento leia o contrato de licena e clique em Concordo.
8. O WinPcap ser instalado em seu computador. Assim que tiver terminado, clique Concluir.
9. O Wireshark dever concluir a sua instalao. Uma vez feito isso, clique em Avanar.
10. Uma vez que a janela de confirmao de instalao aparecer, clique em Concluir.

25
 Instalando no Linux
O primeiro passo na instalao Wireshark em um sistema Linux baixar o pacote de instalao apropriado. Nem
todas as verses do Linux so suportadas, no se surpreenda se a sua distribuio especfica no tiver o seu
prprio pacote de instalao.

Sistemas Baseados em RPM

Para instalar o Wireshark em distribuies baseadas em RPM, como Red Hat, faa o seguinte:
1. Baixe o pacote de instalao apropriado do Wireshark na pgina web.
2. Abra uma janela do console e digite rpm-ivh wireshark 0.99.3.i386.rpm, substituindo o nome do seu
pacote baixado, conforme apropriado.
3. Se todas as dependncias esto faltando, instal-los e repetir a etapa anterior.
Sistemas Baseados em DEB
Para instalar o Wireshark em uma distribuio baseada em DEB, como Debian ou Ubuntu, faa o seguinte:
1. Baixe o pacote de instalao apropriado do Wireshark pgina web.
2. Abra uma janela do console e digite apt-get install wireshark.

Fundamentos do Wireshark
Uma vez que voc instalou com sucesso o Wireshark em seu sistema, voc pode comear a se familiarizar com
ele. Agora voc finalmente poder conseguir o completo funcionamento do seu farejador (sniffing) de pacotes.
O fato que o Wireshark no muito interessante quando voc abri-lo pela primeira vez. E realmente para que
as coisas se tornem emocionantes, voc tem que obter (capturar) alguns dados (pacotes).

Sua Primeira Captura de Pacotes

Iniciando o uso do Wireshark, voc vai realizar a sua primeira captura de pacote. Voc pode estar pensando:
"Como eu vou capturar pacotes, quando nada h de errado na rede? "Existem duas coisas erradas com esta
declarao. A primeira coisa que sempre h algo de errado na rede. Se voc no acredita em mim, ento v em
frente e envie um email para todos os seus empregados e informe a eles que tudo est funcionando
perfeitamente.
Em segundo lugar, no tem que haver algo de errado para que voc possa realizar a anlise de pacotes.
Na verdade, a maioria dos analistas de rede passa mais tempo analisando o trfego sem problemas, do que o
trfego com problemas. Voc precisa de uma base para comparar a fim de ser capaz efetivamente de solucionar
problemas de trafego em uma rede. Por exemplo, se voc sempre esperar para resolver um problema de DHCP
analisando seu trfego, voc deve compreender com o que, o fluxo de trafego DHCP se parece. Mais
amplamente, a fim de detectar anomalias no trafego dirio da rede, voc necessita conhecer a atividade normal
diria da sua rede. Quando sua rede est funcionando corretamente, voc poder levar em considerao para
anlise de um estado normal.
Ns cobrimos o bsico. Agora vamos capturar alguns pacotes!

1. Abra o Wireshark.
2. No menu principal drop-down, selecione Capture e, em seguida, Interfaces. Voc dever ver uma caixa de
dilogo listando as vrias interfaces que podem ser usados para captura de pacotes, juntamente com os
respectivos endereos IP. Escolha a interface que deseja usar e clique em Capture (como mostrado
abaixo).

3. Sua captura de pacotes deve comear e o Wireshark dever mostrar a janela de captura de pacotes. Esta
janela exibe um resumo breve do tipo de trfego que est sendo capturado, assim como a durao da
captura atual (como mostrado baixo).
26
 4. Espere cerca de mais ou menos um minuto, e quando voc estiver pronto para parar a captura e visualizar
os dados, clique em Parar.

Depois de ter concludo as etapas e terminado o processo de captura, a janela principal do Wireshark
aparecer com os dados. Por uma questo de fato, voc poder se assustar com quantidade de dados que aparece,
mas tudo vai comear a fazer sentido mais rapidamente, quando quebrarmos (analisarmos) a janela principal do
Wireshark uma pea de cada vez.

A Janela Principal
Voc vai passar a maior parte de seu tempo usando a janela principal do Wireshark. Este o lugar onde todos os
pacotes que voc capturou sero apresentados e divididos em um formato mais compreensvel. Usando o pacote
de captura que acabou de fazer, vamos dar uma olhada na janela principal do Wireshark (como mostrado
abaixo), que contm trs painis.
Os trs painis na janela principal dependem um do outro. Dispostos em ordem para visualizarmos os
detalhes de um pacote individualmente, devemos primeiro selecionar o pacote clicando nele no painel Packet
List. Depois de selecionar o pacote, poderemos ver os bytes que correspondem exatamente ao pacote
selecionado, no painel Packet Bytes quando clicarmos na parte desejada do pacote no painel Packet Details.

27
 Painel Packet List
O painel superior, conhecido como Packet List, exibe uma tabela contendo todos os pacotes do arquivo de
captura atual. Voc vai ver colunas contendo o nmero do pacote, o tempo relativo quando o pacote foi
capturado, a origem e o destino do pacote, o protocolo do pacote, e algumas informaes gerais encontrados em
no pacote.
Painel Packet Details
O painel central, conhecido como o Packet Details, contm uma exibio hierarquia de informaes sobre um
nico pacote. Esta exposio pode ser recolhida e expandida para mostrar todas as informaes coletadas sobre
um pacote individualmente.

Painel Packet Bytes

O painel inferior, e talvez o mais confuso, o Packet Bytes. Este painel apresenta o pacote em formato de bytes,
no transformado da forma que ele , ele mostra o pacote da forma que ele atravessa o fio. Esta a informao
em estado bruto, com nada quente ou frio para tornar mais fcil a sua compreenso.

Nota:
muito importante entender como funcionam esses painis diferentes entre si, pois voc estar gastando
mais do seu tempo trabalhando com eles na janela principal.

A caixa de Dilogo Preferncias

O Wireshark tem vrias preferncias que podem ser personalizados para atender s suas necessidades. Vejamos
algumas das mais importantes.
Para acessar as preferncias do Wireshark, selecione Edit do Menu drop-down principal e clique em
Preferences. Isso deve abrir a caixa de dilogo Preferences, que contm vrias opes personalizveis (como
mostrado abaixo).

Essas preferncias so divididas em cinco seces principais: interface com o usurio, captura, a
impresso de resoluo de nomes e protocolos.

28
 Interface do usurio
As preferncias da interface do usurio determinam como o Wireshark apresenta os dados. Voc pode alterar a
maioria das opes aqui de acordo com suas preferncias pessoais, incluindo ou no salvar as posies da janela,
o layout dos trs painis principais, a colocao da barra de rolagem, a colocao da lista de pacotes, as colunas
dos painis, as fontes usadas para exibir os dados capturados, e o fundo e as cores de primeiro plano.

Captura
As preferncias de captura permitem que voc especifique opes relacionadas forma como os pacotes so
capturados, incluindo a sua interface de captura de padro, ou no usar o modo promscuo por padro, e se deve
ou no atualizar o painel Packet List em tempo real.

Imprimindo
A seo de preferncias de impresso permite que voc especifique vrias opes relacionadas maneira como
o Wireshark imprimir seus dados.

Resoluo de Nomes
As preferncias na seo de resoluo de nomes permitem voc ativar recursos do Wireshark que lhe permitem
resolver endereos para nomes mais reconhecidos (Incluindo o MAC, rede e resoluo de nomes de transportes)
e especificar o nmero mximo de solicitaes simultneas de resoluo de nome.

Protocolos
As preferncias na seo de protocolos permitem que voc manipule as opes relacionadas com a captura e
exibio dos vrios protocolos que o Wireshark capaz de decodificar. No tem preferncias configurveis para
todos os protocolos, mas alguns tm vrias opes que podem ser alteradas. Estas opes so deixadas
inalteradas a menos que voc tenha um motivo especfico para faz-las.

Cdigo de Cores de um Pacote

Se voc se parece comigo, voc pode ter uma averso a objetos brilhantes e cores bonitas. Se for esse o caso, a
primeira coisa que voc deve ter notado quando voc abre o Wireshark, so as diferentes cores dos pacotes no
painel Packet List (como mostrada abaixo). Pode parecer que as cores sejam distribudas aleatoriamente para
cada pacote individualmente, mas este no o caso.
Nota:
Quando me refiro ao trfego, voc pode supor que eu estou me referindo a todos os pacotes apresentados
no painel Packet List. Mais especificamente, quando me refiro a ela, no contexto do trfego DNS, eu estou
falando de todos os pacotes do protocolo DNS no painel Packet List.
Cada pacote exibido com uma determinada cor, por uma razo. Por exemplo, voc pode perceber que
todo o trfego DNS azul e todo o trfego HTTP est verde. Estas cores refletem o protocolo do pacote. O
cdigo de cores permite que voc rapidamente diferencie entre os vrios protocolos de modo que voc no
precisa ler o campo protocolo no painel Packet List para cada pacote individualmente. Voc ir achar que isso
acelera muito o tempo que leva para percorrer grandes arquivos de captura.

O Wireshark torna fcil de ver as cores que so atribudas a cada protocolo atravs da janela Coloring
Rules. Para abrir essa janela, siga estes passos:

1. Abrir o Wireshark.
2. Selecione a opo View no menu drop-down principal.
3. Clique em Coloring Rules. A janela Coloring Rules aparecer (como mostrado abaixo), exibindo uma lista
completa de todas as regras definidas no Wireshark. Voc pode definir suas prprias regras de colorao e
modificar as existentes.

29
 Por exemplo, para alterar a cor usada como plano de fundo para o trfego HTTP a partir do padro verde
lavanda, siga estes passos:

1. Abra o Wireshark e acesse a caixa de dilogo Coloring Rules (View > Coloring Rules).
2. Encontre a regra de colorao do HTTP na lista Coloring Rules, e selecion-lo clicando uma vez.
3. Clique no boto Edit.
4. Clique no boto Background Color (Cor de fundo) como mostrado abaixo.

5. Escolha a cor que deseja usar na roda de cores e clique em OK.

6. Clique em OK mais duas vezes para aceitar as alteraes e voltar janela principal.
7. A janela principal dever ser atualizada para refletir a nova cor.

30
 TRABALHANDO COM PACOTES CAPTURADOS
4
Agora que voc j realizou a sua primeira captura de pacotes, vamos nos deter um pouco mais sobre
alguns conceitos bsicos que voc precisa saber sobre o trabalho com os pacotes capturados no Wireshark. Isto
inclui a verificao e marcao de pacotes, o salvamento dos arquivos de captura, anexando arquivos de captura,
imprimindo os pacotes, e alterando tempo dos formatos exibidos.

Encontrando e Marcando Pacotes

Uma vez que voc comea realmente a fazer a anlise de pacotes, voc acabar por encontrar cenrios que
envolvem um nmero muito grande de pacotes. Como o nmero desses pacotes cresce em milhares e mesmo
milhes, voc precisa ser capaz de navegar atravs destes pacotes de forma mais eficiente. Esta a razo do uso
do Wireshark, pois ele lhe permitir encontrar e marcar os pacotes que correspondam a um determinado critrio.

31
 Encontrando Pacotes
Para encontrar os pacotes que correspondam a critrios especficos, abra o pacote de dilogo Localizar
(Mostrado na abaixo) selecionando a opo Edit do Menu drop-down principal e clicando em Find Packets ou
pressionando as teclas CTRL-F.

Esta caixa de dilogo oferece trs opes para encontrar os pacotes: filtro de exibio, valor
hexadecimal ou uma string. A opo de filtro de visualizao permite que voc insira uma expresso que ser
usada para encontrar somente os pacotes que a satisfaam (que ser detalhada mais tarde). A busca por string ou
valor hexadecimal procurar por pacotes com a string ou o valor hexadecimal especificado, voc pode ver
exemplos de todos estes casos abaixo. Outras opes incluem a capacidade de selecionar a janela que voc
deseja pesquisar, o conjunto de caracteres a ser usado, e qual a direo que voc deseja pesquisar.

Uma vez que voc fez sua escolha, digite a seqncia de pesquisa na caixa de texto, e clique em Find
para encontrar o primeiro pacote que atenda aos seus critrios. Para encontrar a prxima correspondncia,
pressione CTRL-N, ou para encontrar a correspondncia anterior pressione CTRL-B.

Marcando Pacotes
Depois de ter encontrado os pacotes que combinam com seus critrios, voc pode marcar os
de interesse particular. Pacotes marcados destacam-se com um fundo preto e texto em branco, como mostrado
abaixo. (Voc tambm poder ordenar os pacotes marcados quando for salv-los). Existem vrias razes para
voc querer marca de um pacote, incluindo a possibilidade de salvar os pacotes separadamente, ou ser capaz de
encontr-los rapidamente com base na sua cor.

Para marcar um pacote, clique com o boto direito do mouse no painel Packet List e escolha Mark
Packet do Menu pop-up. Ou, simplesmente clique em um pacote no painel Packet List e pressione CTRL-M
para marc-lo. Para desmarcar um pacote, desfazer esta definio usando CTRL-M novamente. Voc pode
marcar os pacotes que desejar em uma captura. Voc pode saltar para frente e para trs entre os pacotes
marcados pressionando SHIFT-CTRL-N e SHIFT-CTRL-B, respectivamente.

Salvando e Exportando Arquivos Capturados

Quando estiver executando a anlise do pacote, voc vai achar que uma boa parte da anlise ir aparecer aps a
sua captura. Geralmente, voc ir realizar vrias capturas, e ir salv-las para analis-las todas de uma vez. Por
isso, o Wireshark permite que voc salve a captura de arquivos para serem analisados posteriormente.

32
Salvando Arquivos Capturados
Para salvar uma captura de pacotes, selecione File no menu drop-down e em seguida, clique em Save As, ou
pressione CTRL-SHIFT hfen. Voc dever ver a caixa de dialogo Save File como mostrado abaixo. Aqui
voc ser perguntado sobre o local para salvar a sua e captura de pacotes e o formato de arquivo que voc deseja
usar. Se voc no especificar um formato de arquivo, o Wireshark ir usar o formato de arquivo padro (.pcap).

Uma das caractersticas mais poderosas da caixa de dilogo Save File a capacidade de salvar uma
srie de pacotes especficos. Voc pode optar por salvar apenas pacotes em um intervalo especfico, pacotes
marcados, ou pacotes visveis como o resultado de um filtro de uma seleo. Esta uma tima maneira de
reduzir grandes arquivos de captura.

Exportando Dados Capturados

Voc pode exportar seus dados capturados pelo Wireshark em diversos formatos para exibio em outras mdias
ou importar para outra ferramenta de anlise de pacotes. Esses formatos incluem texto simples, Postscript,
valores separados por vrgula (CSV), e XML. Para exportar a captura de pacotes, escolha File > Export., e
depois selecione o formato que voc deseja exportar. Voc ser perguntado por uma caixa de dilogo Save As
sobre as opes relacionadas a esse formato especfico.

Mesclando Arquivos Capturados

Certos tipos de anlise requerem a capacidade de mesclar vrios arquivos de captura, e, felizmente o Wireshark
fornece dois mtodos diferentes para fazer isso.
Para mesclar um arquivo de captura, siga estes passos:

1. Abra um dos arquivos capturados que voc deseja mesclar.

2. Escolha File>Merge para fazer a mesclagem com a caixa de dialogo Capture File como mostrado abaixo.
3. Selecione o novo arquivo que voc deseja mesclar ao arquivo j aberto, e em seguida, selecione o mtodo
a utilizar para a mesclagem dos arquivos. Voc pode inserir o arquivo selecionado no inicio do aberto,
anex-lo, ou mescl-lo em ordem cronolgica com base na sua data e hora.

33
 Alternativamente, se voc desejar mesclar vrios arquivos rapidamente em ordem cronolgica,
considere o uso de arrastar e soltar. Para fazer isso, abra o arquivo com a primeira captura atravs do Windows
Explorer (ou qualquer que seja seu navegador de arquivos preferido). Em seguida v para o segundo arquivo,
clique nele e arraste-o para a janela principal do Wireshark.

Imprimindo Pacotes
Embora a maioria das anlises ter lugar na tela do computador, voc ainda poder encontrar a necessidade de
imprimir os dados capturados. Para imprimir pacotes capturados, abra a caixa de dialogo Print escolhendo File
> Print a partir do menu principal como mostrado abaixo.

Voc pode imprimir os dados selecionados como texto simples, PostScript ou para uma sada de
arquivo. Com a caixa de dialogo Save File As, voc pode especificar uma determinada faixa de pacotes para
impresso, apenas os pacotes marcados, ou os pacotes apresentados como o resultado de um filtro. Voc
tambm pode escolher qual dos trs painis principais do Wireshark ser impresso cada pacote. Depois de ter
selecionado as opes desejadas, simplesmente clique em Print.

34
Formatos de Exibio de Tempo e Referncias
O tempo essencial, especialmente na anlise de pacotes. Tudo o que acontece em uma rede sensvel ao
tempo, e voc ter de analisar as tendncias e a latncia da rede em praticamente todos os arquivos de captura. O
Wireshark reconhece a importncia do tempo e nos fornece vrias opes configurveis que lhe digam respeito.
Aqui vamos dar uma olhada em formatos de tempo de exibio e referncias.

Formato de Exibio de Tempo

Cada pacote que capturado pelo Wireshark dado um rtulo de tempo, que aplicada ao pacote pelo sistema
operacional. O Wireshark pode mostrar a hora absoluta, e a relao entre tempo em que o ltimo pacote foi
capturado e o incio e final da captura. As opes relacionadas com a exibio do tempo encontram-se atravs da
visualizao do menu principal. O Time Display Format (como mostrado abaixo) permite-lhe configurar o
formato de apresentao, assim como a preciso do tempo mostrado. A opo de formato de apresentao
permite-lhe escolher vrias opes para exibio da hora. As opes de preciso permitem que voc defina a
preciso de exibir o tempo automaticamente ou configurar manualmente, como segundos, milissegundos,
microssegundos, e assim por diante. Vamos alterar essas opes, muitas vezes no final do livro, assim voc deve
se familiarizar com elas agora.

Referncias de Tempo de um Pacote

A referncia de tempo de um pacote permite que voc o configure para que todos os clculos de tempo
subseqentes sejam feitos em relao a esse pacote especfico. Esta caracterstica particularmente til quando
voc est examinando vrias solicitaes de dados em um arquivo de captura e quer ver a referncia de tempo de
um pacote solicitado. Para definir uma referncia de tempo para um determinado pacote, escolha o pacote de
referncia no painel Packet List, em seguida escolha Edit > Set Time Reference do menu principal. Ou,
selecione o pacote de referncia e pressione CTRL-T. Para remover uma referncia de tempo a partir de um
determinado pacote, selecione o pacote e pressione novamente CTRL-T. Quando voc habilitar uma referncia
de tempo em um determinado pacote, na coluna de tempo no painel Packet List ser exibido *REF como
mostrado abaixo.

Nota: Definir uma referncia de tempo de um pacote s til quando o formato de exibio de tempo de uma
captura configurado para exibir o tempo em relao ao incio da captura. Qualquer outra configurao
no ir produzir resultados teis e ir criar um conjunto de referncias, muitas vezes confusa.

35
Filtros de Captura e Exibio
Anteriormente discutimos sobre o salvamento de pacotes atravs do uso de filtros. Os filtros permitem-nos
mostrar apenas determinados pacotes em uma captura. Ns podemos criar e usar uma expresso para encontrar
exatamente aquilo que queremos, mesmo em um enorme arquivo de captura. Uma expresso no mais que
uma seqncia de texto que diz ao Wireshark o que mostrar e o que no mostrar. O Wireshark oferece dois tipos
de filtros: os filtros de captura e filtros de exibio.

Filtros de Captura
Filtros de captura so utilizados durante o processo de captura de pacotes em tempo real e so aplicados pelo
WinPcap. O conhecimento de sua sintaxe pode ser tambm til em outros programas de anlise de rede. Voc
pode configur-los na caixa de dialogo Capture Option onde voc pode especificar o trfego que voc quer ou
no quer capturar. Uma boa maneira de usar um filtro de captura seria quando queremos capturar o trfego em
um servidor com mltiplas funes. Por exemplo, suponha que voc est solucionando um problema com um
servio sendo executado na porta 262. Se o servidor que voc est analisando est executando vrios servios
diferentes em varias portas, ento localizar e analisar apenas o trfego na porta 262 pode ser completamente
trabalhoso. Para capturar somente o trfego da porta 262, voc pode usar um filtro de captura. Basta seguir estes
passos:
1. Abra a caixa de dilogo Capture Options (como mostrado abaixo), selecione a interface que deseja
capturar os pacotes e escolha um filtro de captura.
2. Voc pode aplicar o filtro de captura, digitando uma expresso ao lado do boto Capture Filter ou
clicando no boto Capture Filter, que ir iniciar o construtor de expresso de captura que ir ajudar voc
a criar o seu filtro. Queremos que nosso filtro mostre apenas o trfego de entrada e sada da porta 262,
assim digite apenas port 262, como mostrado abaixo.
3. Depois de definir seu filtro, clique em Start para comear a captura. Aps a coleta de uma amostra
adequada, voc deve ver agora apenas o trfego da porta 262 e ser capaz de analisar de forma mais
eficiente esses dados em particular.

Filtros de Exibio
Pode utilizar um filtro para exibir dados em um arquivo de captura, uma vez que o mesmo foi criado, e desta
forma mostrar somente os pacotes que correspondam a esse filtro. Voc pode inserir um filtro que foi criado na
caixa de texto acima do painel Packet List. A utilizao de filtros mais comumente usada que a apresentao
de toda a captura. Dessa forma, se voc precisar voltar para a captura original, voc pode simplesmente
desmarcar a expresso de filtro. Voc pode usar um filtro para limpar o trfego de broadcast a partir de um
arquivo de captura, por exemplo, para limpar broadcasts de ARPs a partir do painel Packet List quando estes
pacotes no esto relacionados com o problema atual que est sendo analisado. No entanto, devido aos pacotes
de broadcasts ARPs poderem ser teis mais tarde, melhor filtr-los temporariamente do que elimin-los
completamente. Para filtrar todos os pacotes ARPs na janela de captura, siga estes passos:

36
 1. Navegue at a parte superior do painel Pakect List e coloque o cursor na caixa de texto Filter.
2. Digite !Arp e pressione ENTER para remover todos os pacotes ARP do painel Packet List como
mostrado abaixo. Para remover o filtro, desmarque a caixa de texto e pressione ENTER novamente.

O Construtor de Filtros (uma forma simples)

A caixa de dialogo de construo de filtros um recurso que torna mais fcil a utilizao do Wireshark pelos
usurios novatos, para capturar e criar filtros de exibio. Para acessar esta caixa de dilogo, clique no boto
Capture Filter na caixa de dilogo Capture Options e, em seguida, clique no boto Expression.

A primeira coisa que voc vai notar na caixa dilogo Filter Expression uma lista de todos os campos
possveis relacionadas ao protocolo no lado esquerdo da janela. Esses campos especificam todos os critrios de
filtro possveis. Para criar um filtro, siga estes passos:
1. Para ver os campos especficos dos critrios associados a um referido protocolo, expanda-o clicando no
smbolo mais (+) prximo a ele. Uma vez que voc encontrar os critrios que voc deseja basear o seu
filtro, selecione-o clicando sobre ele.
2. Selecione a relao que o campo selecionado ter com os valores dos critrios fornecidos por voc. Esta
relao especificada em termos de igual, maior que, menor que, e assim por diante.
3. Crie a sua expresso de filtro, especificando o valor dos critrios que dizem respeito ao o campo
selecionado. Voc pode definir esse valor ou selecione valores pr-programados do Wireshark.
4. Depois de ter feito isso, clique em OK para ver a verso completa do texto somente do filtro que voc
acabou de criar.

A Sintaxe de Construo de Filtros

O caixa de dilogo Filter Expression timo para os usurios novatos, mas quando voc comear a dominar a
criao de filtros, voc vai achar que digitar manualmente as expresses de filtro aumentar mais ainda a sua
eficincia.
A exibio da Filter expression sctruture muito simples, mas extremamente poderosa. Esta
linguagem especfica do Wireshark. Vejamos como a sintaxe desse filtro funciona e alguns exemplos do que
podemos fazer com ele.

Filtrando um Protocolo Especifico

Voc vai usar na maioria das vezes a captura ou exibio de uma captura filtrada com base em um protocolo
especfico. Por exemplo, digamos que voc est solucionando um problema de TCP e voc quer ver apenas o
trfego TCP em um arquivo de captura. Se assim for, basta usar um filtro de tcp quando quiser comear o
trabalho.

37
 Agora vamos olhar para as coisas do outro lado da cerca. Imagine que no curso de solucionar seu
problema TCP, voc tem usado bastante o ping, gerando uma grande quantidade de trfego ICMP. Voc pode
remover este trfego ICMP de seu arquivo de captura com a expresso de filtro !icmp.

Sinais de Comparao
Os sinais de comparao permitem comparar valores. Por exemplo, quando voc est resolvendo problemas em
redes TCP/IP, muitas vezes voc vai precisar ver todos os pacotes de um endereo IP em particular. Em um caso
como este o sinal de comparao de igual (==) permitir voc criar um filtro que mostre todos os pacotes com
um endereo IP 192.168.0.1 usando uma expresso de filtro como ip.addr == 192.168.0.1. Ou, considere o
exemplo mais avanado de um sinal de comparao. Imagine um cenrio em que s precisamos de visualizar os
pacotes de menos de 128 bytes de comprimento. Ns podemos usar o sinal menor ou igual a (<=) para realizar
este objetivo em uma expresso de filtro como <frame.pkt_len = 128.
Voc vai encontrar uma lista completa de sinais de comparao no Wireshark baixo:

Operadores Lgicos
Os operadores lgicos permitem combinar vrias expresses de filtro em um nica instruo. Voc pode usar
operadores lgicos para aumentar dramaticamente a eficcia de seus filtros.
Por exemplo, considere o nosso exemplo anterior de exibir apenas pacotes de um determinado endereo
IP e, agora, assumir que estamos interessados em dois endereos IP. Podemos usar o operador ou (or) para criar
uma expresso que mostre pacotes contendo um endereo IP. A sintaxe da expresso seria ip.addr ser ==
192.168.0.1 or 192.168.0.2 == ip.addr. Voc vai encontrar uma lista completa dos operadores lgicos do
Wireshark na tabela baixo:

Exemplos de Expresses de Filtro

Embora os conceitos relacionados criao de expresses de filtro sejam bastante simples, voc vai precisar
fazer referncia a diversas palavras-chave e operadores especficos ao criar novos filtros para resoluo dos
vrios problemas. Porque este livro no pretende ser um manual do usurio do Wireshark, no vamos cobrir
todas as palavras-chave e operadores, mas voc vai encontrar informaes sobre eles no site do Wireshark. A
tabela abaixo d uma idia de alguns exemplos de expresses de filtro.

38
Salvando Filtros
Uma vez que voc comeou a criar lotes de captura e filtros de exibio, voc certamente usar determinados
filtros com mais freqncia. Felizmente, voc no precisar digit-los toda vez que quiser us-los; O Wireshark
permite que voc salve seus filtros para uso posterior. Para salvar o filtro personalizado, siga estes passos:

1. Selecione Capture > Capture Filters para abrir a caixa de dilogo Display Filter.
2. Crie um novo filtro clicando no boto New no lado esquerdo da tela.
3. Digite um nome para o filtro na caixa ao lado das palavras Filter name.
4. Digite o filtro atual na caixa ao lado das palavras Filter string.
5. Assim que tiver terminado, clique no boto Save para salvar o seu filtro na lista.

O Wireshark tambm inclui vrios filtros construdos, mas estes so apenas para dar um exemplo de como um
filtro pode se parecer. Voc vai querer us-los quando voc estiver criando seus prprios filtros, porque eles so
timos para fins de referncia.

39
 CARACTERISTICAS AVANADAS DO WIRESHARK
5
Depois de dominar os conceitos fundamentais do Wireshark, voc provavelmente vai querer mergulhar ainda
mais em algumas de suas mais avanadas caractersticas. Neste captulo, vamos olhar para alguns desses
recursos poderosos, incluindo a resoluo de nomes, dissecao de protocolo e remontagem de pacotes.

Resoluo de Nomes
Os dados em rede so transportados atravs de vrios sistemas de endereamento alfanumricos que muitas
vezes so demasiado longos ou complicados de se lembrar, como o endereo fsico de hardware 00:16: CE:
6E: 8B: 24. A resoluo de nomes (tambm chamado de pesquisa de nome) o processo que utiliza um
protocolo para converter um endereo em outro. Por exemplo, quando um computador tem um endereo
fsico 00:16: CE: 6E: 8B: 24, o DNS e protocolos ARP nos permitem ver o seu nome como Marketing-2.
Atravs dessa associao poderemos lembrar com facilidade esse novo endereo.
Podemos usar vrias ferramentas de resoluo de nomes para tornar a nossa captura de pacotes mais
legvel. Por exemplo, ns poderemos usar a resoluo de DNS para ajudar a identificar facilmente o nome de
um computador que estamos tentando identificar como a origem de um pacote especfico.

40
 Tipos de Resoluo de Nomes do Wireshark
Existem trs tipos de resoluo de nomes disponveis no Wireshark: resoluo de endereos MAC
resoluo de nomes de rede e resoluo de nomes de transportes (portas).

Resoluo de Endereo MAC

A resoluo de endereo MAC utiliza o protocolo ARP para tentar converter endereos MAC da camada 2
como 00:09:05 B1:02:03, em endereos IP de camada 3, tais como 10.100.12.1. Se essas tentativas de
converses falharem, como ltimo recurso o Wireshark converter os trs primeiros bytes do endereo MAC
na especificao IEEE com o nome do fabricante do dispositivo, como Netgear_01: 02:03.
Resoluo do Nome da Rede
A resoluo de nomes de Rede tenta converter um endereo da Camada 3, como o IP endereo 192.168.1.50,
em um nome DNS fcil de leitura e de memorizao como MarketingPC1.
Resoluo de Nome de Transporte
A resoluo de nomes de Transporte (portas) tenta converter um nmero de porta a um nome do protocolo
associado a ela. Um exemplo disto seria mostrar a porta 80 como http.

Habilitando a Resoluo de Nome

Para habilitar a resoluo de nomes, abra a caixa de dilogo Capture
Options (como mostrado na figura ao lado), escolhendo Capture >
Options ou pressionando CTRL-K.

Desvantagens da Resoluo de Nomes

Tendo em conta os seus benefcios, utilizar a resoluo de nomes pode nos
trazer algumas desvantagens como as seguintes:

s vezes a resoluo de nomes falha. Isso simplesmente pode acontecer porque o nome desconhecido
pelo servidor de consulta.
A resoluo de Nomes deve ocorrer toda vez que voc abrir um arquivo de captura especfico. Porque
essa informao no salva no arquivo. Isto significa que se os servidores que a resoluo de nome
depende no esto disponveis a resoluo do nome ir falhar.
O DNS pode adicionar pacotes ao arquivo de captura, silenciosamente e sem aviso. O trfego resultante
de resolver todos os endereos baseados em DNS tornar o seu arquivo de captura mais volumoso.
A resoluo de Nomes exige uma sobrecarga de processamento adicional. Se voc est lidando com
uma captura muito grande de arquivos e com pouca memria, voc poder querer renunciar ao recurso
de resoluo de nomes, a fim de conseguir utilizar mais os recursos do sistema.

Dissecao de Protocolo
Um dissecador de protocolo permite ao Wireshark quebrar um protocolo (ICMP, por exemplo) em vrias
sees para que ele possa ser analisado. O dissecador do protocolo ICMP permite ao Wireshark pegar os
dados brutos e format-lo em um pacote ICMP. Voc pode pensar em um dissecador como um tradutor entre
os dados brutos que flui atravs dos fios e o programa Wireshark. Para que um protocolo seja suportado pelo
Wireshark, ele deve ter um dissecador incorporado.
O Wireshark utiliza vrios dissecadores em conjunto para interpretar cada pacote. Ele determina que
dissecador usar, usando sua lgica programada fazendo dessa forma uma busca bem sucedida.
Infelizmente, o Wireshark nem sempre faz as escolhas certas quando seleciona o dissecador correto
para uso em um pacote. Isto especialmente verdadeiro quando ele est usando um protocolo sobre a rede em
uma configurao no padro, como uma porta no-padro. Felizmente, ns podemos mudar a maneira como
Wireshark implementa certos dissecadores.
Por exemplo, abra o arquivo de rastreamento wrongdissector.dmp. Observe que esse arquivo contm
um monte de comunicao NetBIOS entre dois computadores. No entanto, h algo errado aqui. Se voc clicar
em alguns dos pacotes, voc vai notar que alguns dados no painel de Packet Bytes definitivamente no se
parece com o trfego NetBIOS. Na verdade, se voc olhar para pacotes 6 e 7, pode realmente ver um
username e uma senha que est sendo enviado de um computador para o outro.

41
 Aps uma pequena investigao, descobrimos que os computadores que estamos analisando esto se
comunicando vi FTP (note as palavras FTP Server do lado direito da figura abaixo).O Wireshark pensa que
este um trfego NetBIOS porque o servidor e o cliente esto configurados para usar o FTP na porta 137, a
porta padro de comunicao NetBIOS.

Para corrigir esse problema, temos que forar o Wireshark a usar o dissecador do protocolo FTP
nestes pacotes, um processo conhecido como decodificao forada. Para executar este processo, siga estes
passos:
1. Clique com o boto direito do mouse em um dos pacotes e selecione Decode As. Isso abrir uma janela
na qual voc poder selecionar o dissecador desejado a ser usado (figura abaixo).
2. Diga ao Wireshark para decodificar todo o trafego TCP originado na porta 137 usando o dissecador de
protocolo FTP, selecionando Source (137) a partir do menu drop-down e selecionando em seguida
FTP na guia Transport.
3. Depois de ter feito suas selees, clique em OK para ver as alteraes imediatamente aplicadas ao
processo de captura. Voc dever ver os dados decodificados de modo que voc possa analis-los do
painel PacketList sem ter que dissec-los profundamente atravs de seus bytes individualmente.

Nota:
As mudanas que voc faz quando criou uma decodificao forada no so salvas junto com o
arquivo de captura. Voc deve recriar sua decodificao forada toda vez que voc abrir o arquivo de captura.

Voc pode usar esta funcionalidade mltipla vezes no mesmo arquivo de

captura. Porque pode ser difcil manter uma decodificao forada quando voc
for usar mais de um arquivo de captura, o Wireshark pode fazer isso para voc.
A partir da caixa de dilogo Decode, voc pode clicar no boto Show Current
e mostrar todas as decodificaes foradas criadas at o momento. Voc pode
tambm limp-las clicando no boto Clear (figura ao lado).

42
Seguindo os fluxos TCP
Uma das caractersticas de anlise mais til do Wireshark sua capacidade para visualizar os fluxos do TCP
na camada de aplicao. Este recurso permite que voc combine todas as informaes relacionadas aos
pacotes e visualizar os dados das aplicaes que os pacotes carregam como os usurios finais os v. Mais que
a visualizao dos dados sendo enviado do cliente para o servidor em um grupo de pequenos pedaos, o fluxo
do TCP ordena os dados para torn-los facilmente visveis.
Voc pode usar esta ferramenta na tentativa de capturar e decifrar mensagens instantneas enviadas
por um funcionrio que suspeito de oferecer informaes corporativas. Para ver como isso iria funcionar,
abra o arquivo de exemplo suspectemployeechat.dmp. Neste arquivo voc ver uma grande quantidade de
trfego gerado pelo cliente IM popular MSN Messenger. (Voc pode identificar este como o trfego MSN
Messenger pela MSNMS que aparece no campo protocolo no painel Packet List).
Se voc examinar os detalhes de cada pacote, voc poder ver pequenos pedaos de texto sendo
transmitidos. Poderamos passar muito tempo escrevendo as informaes de cada pacote e ir combinando-as
at descobrir o que est sendo dito no chat, mas isso no muito prtico. Em vez disso, vamos usar a Janela
TCP Stream para obter uma melhor imagem do que est acontecendo.
Para seguir o fluxo TCP de dados, clique com o boto direito e selecione Follow TCP Stream.
Fazendo isso no arquivo de captura de exemplo obteremos alguns resultados positivo. A janela TCP Stream
agora mostra o bate-papo completo entre o nosso funcionrio suspeito e a pessoa que est se comunicando
com ele (figura abaixo).

Alm de visualizar os dados nesta janela, voc tambm poder salv-lo como um arquivo de texto,
imprimi-lo, ou optar por exibir os dados em ASCII, EBCDIC, Hex, matrizes, ou formato de dados original.

Janela Estatstica e Hierrquica de Protocolo

Ao lidar com arquivos de captura extremamente grande, s vezes precisamos determinar a distribuio dos
protocolos no arquivo, ou seja, que percentual da captura TCP, que percentual de IP, que percentual
DHCP, e assim por diante. Ao invs de contar cada pacote, totalizando os resultados, podemos usar a janela
Protocol Hierarchy Statistics do Wireshark. Esta uma tima maneira de confrontar o resultado de sua
rede. Por exemplo, se voc sabe que 10 por cento do trfego de sua rede geralmente composto de trfego
ARP, e um dia voc ter obtm uma captura que chega a 50 por cento, ento voc saber que algo de errado
est acontecendo.
Abra a janela de Protocol Hierarchy Statistics (como mostrado abaixo) escolhendo Statitics >
Protocol Hierarchy.
43
 Observe que nem todos os totais somam exatamente 100 por cento. Porque um monte de pacotes que
voc vai ver contm vrios protocolos de vrias camadas, a contagem de cada protocolo em relao a cada
pacote pode ser desligada. No entanto, voc ainda vai ter uma imagem precisa da distribuio de protocolos
nos arquivo de captura.

Visualizando os Dispositivos Finais

Um dispositivo final o local onde termina a comunicao em um determinado protocolo. Por exemplo,
existem dois pontos de comunicao TCP / IP: os endereos IP dos sistemas de envio e recepo de dados,
192.168.1.5 e 192.168.0.8. Um exemplo da Camada 2 seria a comunicao entre duas placas de rede (NIC) e
seus endereos MAC. As placas de envio e recepo de dados tem os endereos 01:00:5e:00:00:16 e
01:00:5e:01:01:06, tornando esses endereos os dispositivos finais da comunicao. Voc pode ver uma
representao grfica desse conceito na figura abaixo.

Ao analisar o trfego, voc pode descobrir que pode reduzir um problema em um determinado
dispositivo final em sua rede. A janela Endpoints do Wireshark (Statistics > Endpoints) mostra vrias
estatsticas teis para cada dispositivo final (figura abaixo), incluindo os endereos, bem como o nmero de
pacotes e bytes transmitidos e recebidos por cada um. A guia na janela superior mostra os dispositivos finais
suportados e reconhecidos no arquivo de captura. Clique na guia para visualizar a lista dos dispositivos finais
e os respectivos protocolos. Seleciona na prxima caixa a opo Name Resolution para visualizar a resoluo
de nomes na comunicao entre os dispositivos finais.

44
 Voc pode usar a caixa de dilogo Endpoints para filtrar pacotes especficos e exibi-los no painel Packet
List. Se voc clicar com o boto direito do mouse em um determinado dispositivo final, sero mostradas
vrias opes, incluindo a capacidade de criar um filtro para exibir apenas o trfego deste dispositivo ou todo
o trfego excluindo o do dispositivo selecionado. Como bnus, voc tambm poder exportar diretamente o
dispositivo final atravs de uma regra de colorizao.

Conversaes
A conversao em uma rede, parece uma conversa entre duas pessoas, descrever uma comunicao que
ocorre entre dois hosts (endpoints). Por exemplo, a conversa entre Jim e Sally pode consistir em "Ei, como
vai voc? "Estou timo! E voc? "Poderia estar melhor!". Uma conversa entre 192.168.1.5 e 192.168.0.8
poder parecer "SYN", "SYN / ACK", e "ACK". (Ns vamos olhar para o processo de comunicao TCP / IP
com mais detalhes no Captulo 6.)
O Wireshark fornece caixa de dilogo Conversations (Statstics > Conversations), mostrado na
figura abaixo. Voc vai ver os endereos dos dispositivos finais envolvidos na conversa listados como
endereo A e endereo B, sero exibidas colunas com os pacotes e bytes transmitidos de cada dispositivo.
As conversas constantes nesta janela so divididas atravs do protocolo em uso, e podem ser selecionadas
atravs das guias na parte superior da janela. Clicando com o boto direito do mouse em uma conversa
especfica lhe permitir criar filtros que podem ser teis, tais como mostrando todo o trfego transmitido pelo
dispositivo a, todo o trfego recebido pelo dispositivo B, ou todo o trfego de comunicao entre os
dispositivos A e B.

45
A Janela IO Graphs
Uma das melhores maneiras de visualizar tendncias visualiz-las graficamente. A janela IO Graphs do
Wireshark permite mostrar um grfico da taxa de transferncia de dados em uma rede. Voc pode usar esse
recurso para procurar pontos ou pausas na transferncia de um protocolo especifico durante todo um dia na
sua rede.
Vamos olhar um grfico de um IO atravs de um download de um arquivo na internet em um
computador especifico. Abra o arquivo de rastreamento FileDownload.dmp e, em seguida selecione Statistics
> IO Graphs. Aqui voc pode ver o nmero pequeno de bytes por segundo no incio da captura, at o grfico
mostrar os picos por um perodo maior de tempo, enquanto o arquivo est sendo baixado (figura abaixo).
Voc pode personalizar diversas caractersticas deste grfico. As duas coisas mais importantes que
voc poder modificar so as definies para o eixo-x e y do grfico, que permitir modificar os intervalos e
as unidades usadas para exibir as informaes de transferncia.

Observe que a maioria das opes configurveis composta por uma rea onde voc pode criar
filtros. Voc pode criar at cinco filtros originais (usando a mesma sintaxe tanto para visualizar ou capturar) e
especificar as cores de exibio para os filtros. Por exemplo, voc pode criar filtros para mostrar o trfego
ARP e DHCP e mostrar as linhas do grfico em vermelho e azul, para que possa mais facilmente diferenciar
as tendncias de transferncia entre estes dois tipos de protocolo.
Embora algumas dessas caractersticas nos paream serem teis em situaes obscuras, provavelmente voc
vai se deparar usando-as mais do que possa imaginar. importante que voc se familiarize com essas janelas
e opes, porque faremos referncias a elas em alguns dos prximos captulos.

46
 PROTOCOLOS MAIS COMUNS
6
Este captulo uma sntese de alguns dos protocolos mais comuns que aparecem no Wireshark. Vamos
olhar arquivos de exemplo contendo os vrios protocolos e em seguida discutir sobre a forma como cada um
funciona. Meu objetivo aqui ajudar voc a entender cada um desses protocolos e dar-lhe uma base para
comparao quando os tiver analisando, por suspeita de mau funcionamento . Este captulo contm algumas
informaes bsicas sobre esses protocolos.

Nota:
No vou entrar em grandes detalhes sobre o projeto de cada protocolo individualmente, em vez
disso, eu fornecerei o nmero da RFC associada a cada um deles. Uma RFC , ou pedido de comentrios, o
documento oficial que define as normas de execuo dos protocolos na Pilha TCP/IP. Voc pode procurar a
documentao RFC na home page do RFC Editor, http://www.rfc-editor.org.

47
Protocolo de Resoluo de Endereos ARP
Vamos comear com o Address Resolution Protocol (ARP), porque ele um dos protocolos mais simples,
necessitando apenas de alguns pacotes para completar a operao inteira. O ARP (RFC 826) usado para
traduzir endereos da camada 3 (IP) em endereos da camada 2 (MAC), permitindo assim que os dispositivos
(como switches e roteadores) determinem onde os outros dispositivos esto localizados em suas portas.
A coisa engraada sobre ARP que ele realmente presta servio a duas diferentes camadas do
modelo OSI: a camada de rede e a camada de enlace de dados.
Quando um computador quer transmitir dados para outro computador, ele deve primeiro saber onde
que o computador est. Isso feito com a ajuda do switch ou roteador que conecta os dois computadores e o
protocolo ARP. Agora, d uma olhada no nosso arquivo de captura, como mostrado na figura abaixo.
Note que o primeiro pacote enviado por nosso computador de origem (01:16: ce: 6e: 8b 24), um
pacote enviado a ff:ff:ff:ff:ff:ff perguntando: Quem 192.168.0.1?.

Como voc aprendeu anteriormente, a mudana s funciona na camada 2, no h conhecimento

sobre o endereo do computador da camada 3. O que o computador faz, ento? Bem, o que voc faz quando
voc no sabe o primeiro nome do Smith ao qual deseja se comunicar? Voc pega a lista telefnica e liga para
Smith que encontrar at chegar ao Smith desejado!
O ARP fornece a funcionalidade para localizar o endereo do cliente na camada 3 permitindo que o
computador de origem envie um broadcast ARP. Este broadcast enviado para o endereo da camada 2
ff:ff:ff:ff:ff:ff (padro de endereamento broadcast), o pacote ento enviado para todos os computadores que
se encontra no mesmo domnio de broadcast.
A funo desse pacote perguntar a cada computador que se encontra conectado se possui ou no o
endereo IP 192.168.0.1. Computadores com um endereo IP diferente simplesmente descartam o pacote,
enquanto o que tem o endereo IP, envia uma resposta contendo seu endereo de Camada 2 ao computador de
origem.
O segundo pacote (tambm mostrado na figura acima) mostra a resposta ARP ao computador que
enviou o primeiro pacote. A resposta muito simples um: 192.168.0.1 00:13:46:0b:22:ba. Deste ponto em
diante, o computador de origem saber o endereo da camada 2 do computador de destino e ser capaz de
enviar dados diretamente para ele.

Protocolo de Configurao Dinmica DHCP

O Dynamic Host Configuration Protocol (DHCP) outro protocolo bastante simples. O DHCP (RFC 2131)
fornece automaticamente aos clientes as informaes relacionadas s configuraes de rede, como um nome
de domnio, endereo do servidor NTP, ou um nico endereo de camada 3 (IP). O processo de comunicao
DHCP um tipo de comunicao cliente/servidor no qual o computador cliente solicita um endereo IP a um
servidor DHCP e o servidor reconhece-o dando-lhe um.
A funcionalidade bsica do servidor DHCP um processo simples de quatro etapas. O processo
comea com o pacote 1 quando o computador cliente envia um pacote DHCP Discover para o endereo de
broadcast IP 255.255.255.255 (como mostrado na figura abaixo).

Quando um cliente deseja obter um endereo IP em uma rede, ele deve primeiro localizar um
servidor de DHCP vlido. Isso feito atravs do envio de um pacote de broadcast tentando localizar um
servidor de DHCP vlido na rede. Quando um servidor DHCP vlido recebe um destes pacotes, ele envia uma
resposta ao cliente com um pacote DHCP Offer, como visto no pacote 2 (figura abaixo). Este pacote contm o
endereo IP que o servidor DHCP quer atribuir ao cliente e outras informaes que o servidor est
configurado para oferecer.

48
 Depois que o cliente recebe este pacote, ele solicita as informaes de endereamento a partir do
servidor DHCP, enviando um pacote de solicitao, que o nosso pacote 3 do nosso arquivo de exemplo.
Desde que o cliente ainda no tenha se configurado com o endereo IP fornecido, esse pacote novamente
enviado como um broadcast, o que diz ao servidor que o cliente aceitou a sua oferta e notifica a todos os
outros servidores DHCP na rede que o cliente no est mais aceitando outras ofertas. Depois que o servidor
recebe este pacote, ele atribui esse endereo IP para o cliente e envia um DHCP ACK de volta para o cliente,
como pode ser visto em pacote de 4 (figura abaixo), significando o final da transao DHCP.

Observe que cada transao DHCP tem um ID especifico da transao que podem ser visto atravs
do cabealho de informao no painel Packet List. Esse ID da transao permitir que o servidor DHCP possa
identificar e separar cada transao do cliente. Isto importante porque permite que voc mantenha cada
transao separada no processo de anlise.
Embora ns discutimos apenas quatro, voc pode encontrar at oito diferentes tipos de pacotes
DHCP em um arquivo de captura. (Para mais informaes sobre estas e outras funes DHCP, leia o RFC
DHCP).

TCP/IP e HTTP
O TCP / IP a base para quase toda a comunicao que discutiremos neste livro. Porque o protocolo de rede
mais amplamente utilizado, vamos nos concentrar nele.
O Hypertext Transfer Protocol (HTTP, RFC 2616) baseado na comunicao cliente/servidor,
usado para transferir pginas da web atravs de uma rede. Um HTTP transao simples um bom exemplo de
comunicao TCP / IP. Toda vez que voc pesquisar na Internet com o Google, verificar o tempo, ou mesmo
verificar a sua equipe de esporte favorita, voc estar transferindo dados via TCP / IP usando o HTTP.

TCP/IP
O protocolo TCP/IP realmente uma pilha de protocolos, composto por diferentes protocolos em ambas as
camadas 3 e 4 do modelo OSI. Estes protocolos incluem o TCP, IP, ARP, DHCP, ICMP, e muitos outros.
O Transmission Control Protocol (TCP, RFC 793) um protocolo da camada 4 que comumente
utilizado porque fornece um mtodo eficiente de transparncia, comunicao confivel e bidirecional entre os
dispositivos. A comunicao Bi-direcional permite que os dados possam ser transmitidos e recebidos
simultaneamente a partir de um nico servidor.
Todos os benefcios e as caractersticas do TCP so possveis atravs de diferentes tipos de pacotes
TCP. Nos prximos pargrafos vamos olhar para esses diferentes tipos de pacotes e o que eles fazem.
O Internet Protocol (IP, RFC 791) um protocolo de camada 3 que fornece o sistema de
endereamento que permite a comunicao em uma rede. O IP um protocolo sem conexo , o que significa
que requer a funcionalidade do pacote TCP, para garantir a confiabilidade dos dados transmitidos.
O trfego no arquivo de captura comea com a criao de uma sesso TCP/IP, seguida pelo pedido e
transmisso de dados HTTP e o encerramento da sesso. Passo a passo atravs desta simples comunicao
entre cliente e servidor nos ajudar a compreender como TCP e o IP trabalham.

Estabelecendo uma Sesso

Antes que voc possa transferir dados para outro computador, o remetente e o receptor precisam completar
um processo de handshake TCP. Um handshake TCP consiste em um processo de trs etapas pelo qual o
computador de origem (o cliente, neste exemplo) estabelece uma conexo com o computador de destino (o
servidor). Voc pode ver o processo de handshake nos primeiros trs pacotes de nosso arquivo de captura, e
detalhado visualmente na figura abaixo.
Agora um momento muito bom para ir em frente e estabelecer uma conexo entre os nossos
computadores cliente e servidor. O computador cliente mostrado no primeiro pacote com endereo IP
145.254.160.237. O computador servidor mostrado no primeiro pacote com Endereo IP 65.208.228.223.

49
O Pacote SYN
Para iniciar o processo de handshake, o cliente envia um pacote SYN para o servidor; este pacote usado
para estabelecer a sincronizao com o servidor, garantindo a ordem da comunicao entre o cliente e o
servidor. O pacote SYN carrega com ele um nmero de seqncia de 32 bits, localizado no cabealho de um
pacote TCP.
Para visualizar as informaes de um pacote TCP, incluindo o seu nmero de seqncia, expanda a
seo TCP no painel Packet Details do Wireshark. (Voc usar esta seo com freqncia, porque ela
contm uma variedade de informaes teis, incluindo a origem e o destino das portas utilizadas, o nmero de
seqncia, a tipo de pacote TCP, e outras opes de TCP especfica.) Observe no arquivo de captura que o
primeiro pacote SYN tem o nmero de seqncia 0, como mostrado na figura abaixo.

Nota:
No Wireshark, os nmeros da seqncia TCP so tratados como "parente" por padro. O Wireshark ajusta
o primeiro nmero da seqncia em um fluxo de comunicao a fim de que ele seja 0 independente do seu
verdadeiro valor. Isso feito para que os nmeros de seqncia sejam mais fceis de serem seguidos.

A resposta do Servidor SYN/ACK

O prximo passo no processo de handshake a resposta do servidor. Uma vez que o servidor recebe o pacote
SYN inicial do cliente, ele l o nmero de seqncia e usa esse nmero no pacote que ele retorna. A resposta
chamada SYN/ACK, e visto em dois pacotes do arquivo de exemplo.
Uma parte do pacote ACK reconhece o pacote SYN, em outras palavras, ele diz ao computador
cliente que o servidor recebeu o pacote SYN. Ele faz isso incrementando em um o nmero de seqncia
enviado no pacote SYN original e o usa como o nmero de confirmao do pacote ACK. Quando o cliente
recebe o nmero de confirmao contendo o nmero de seqncia original SYN , ele sabe que o servidor
pode receber sua comunicao, e vice-versa. O objetivo do SYN parte da SYN/ACK o mesmo do pacote
SYN original: Ele usado para transmitir um nmero de seqncia que o sistema cliente pode utilizar para
confirmar a recepo.

O Pacote ACK Final

Finalmente, o cliente envia um pacote ACK para o servidor. Este pacote informa ao servidor que o cliente
recebeu o SYN/ACK. Tal como acontece com as duas etapas do processo, o nmero de seqncia
incrementado em um e enviado como um nmero de confirmao para o servidor. Uma vez que esse ultimo
pacote ACK recebido, a comunicao pode comear.

Iniciando o Fluxo de Dados

Uma vez que o handshake foi estabelecido, todos os pacotes enviados nesta sesso particular entre o cliente e
o servidor sero usados os nmeros de seqncia para se certificar da ordem de seqncia do envio e
recebimento dos pacotes. No entanto, a partir de agora, esses pacotes sero incrementados pelo tamanho do

50
quadro de dados a serem transmitidos, ao invs de um. (Para saber mais sobre como os pacotes TCP mantm-
se organizados, olhar a RFC 793).

Pedido e Transmisso HTTP

Uma vez que a sesso de comunicao foi estabelecida, hora do pedido e transmisso da pgina da web que
voc est tentando exibir. Isto envolve HTTP e TCP.
O processo comea no pacote 4, o nosso primeiro pacote HTTP, pede ao servidor para transmitir a
pgina web para o cliente. V em frente e expanda a seo HTTP deste pacote no painel Packet Details para
ver as informaes especificas do protocolo relacionado a este pedido (conforme mostrado na figura abaixo).

Como voc pode ver, este pacote contm um comando GET (Request Mtodo: GET) para a pgina
web download.html no domnio www.ethereal.com domnio (Request URL: / download.html e Host:
www.ethereal.com). Voc vai notar tambm outras informaes que podem ser teis, tais como codificao
de caracteres (Accept-Charset:ISO-8859-1), e a localizao em referncia (Referrer:
http://www.ethereal.com/\ Development.html r \ n).
Depois do HTTP ter feito o pedido inicial atravs do GET request, o TCP assume o processo de
transferncia dos dados. Durante o resto do arquivo de captura voc vai ver este processo repetido: HTTP faz
o pedido de dados ao servidor, e o servidor ir usar TCP para o transporte dos dados de volta ao cliente. O
servidor permite que o cliente reconhea o pedido vlido enviando uma mensagem HTTP OK antes de
transmitir os dados. (Voc pode ver o GET correspondente e o pacote OK no arquivo de exemplo, nos
pacotes 4 e 38, mostrado na figura abaixo).

51
 Terminando uma Sesso
Quando no h mais dados para serem enviados atravs da conexo estabelecida, a conexo pode ser
terminada de uma maneira muito similar ao handshake TCP inicial . Ao invs de usar os pacotes SYN e ACK
no entanto, este processo utiliza e pacotes FIN ACK, conforme mostrado na figura abaixo.

Quando o servidor termina a transmisso de dados, ele envia um FIN/ACK para o cliente, como
mostrado na figura abaixo. O pacote FIN foi projetado para finalizar a conexo.

O cliente responde ao pacote FIN com um pacote ACK que usa os nmeros de seqncia e as regras de
incremento que ele encontra no pacote FIN. Isso finaliza a comunicao com o servidor. Embora o servidor
possa ainda receber dados do cliente, a partir desse momento ele no mais transmitir dados.

Para concluir o processo, o cliente deve iniciar o mesmo processo novamente com o servidor. O
processo FIN/ACK deve ser iniciado e reconhecido por ambos, cliente e servidor.
Por exemplo, no pacote de 40, o servidor envia um FIN/ACK para o cliente, e o cliente responde
com seu pacote ACK no pacote 41. Em seguida o cliente envia o seu prprio FIN/ACK para o servidor, e o
servidor fecha a conexo com um pacote ACK pacotes 43, como mostrado na figura abaixo.

Sistema de Nomes de Domnio DNS

O Domain Name System (DNS, RFC 1034) traduz uma forma de endereo em outra,
especificamente, traduz endereos de DNS, como www.google.com ou Marketing-PC1, em seus endereos IP
correspondentes. Alguma forma de traduo de endereos uma exigncia, uma vez camada 3 do modelo
OSI s pode localizar um computador se tiver o seu endereo IP.
A traduo DNS um processo muito simples, e ela consegue na maioria casos terminar o processo
utilizando apenas dois pacotes. O primeiro pacote um pedido para o servidor DNS de sua rede local que
pergunta: Qual o endereo IP do www.google.com? O segundo pacote a resposta do servidor DNS,
dizendo que www.google.com reside em um servidor com o endereo IP de XX.XX.XX.XXX.
Vamos dar uma olhada no DNS em ao (veja a figura abaixo). Observe que no primeiro pacote do
arquivo um pacote DNS da origem 192.168.0.114 est solicitando o endereo IP de
http://www.chrissanders.org do destino 205.152.37.23.
O endereo IP de destino recebe a consulta e responde com o pacote 2, que contm o endereo IP do
site solicitado, 208.113.140.24. Quando esse processo estiver concludo, a camada 3 assume o processo e
completa o seu handshake TCP para que a transferncia de dados possa comear.

52
 Nota:
Quando voc examinar o arquivo de captura, voc ver vrias consultas DNS diferentes. Muitas
vezes uma simples pgina web por necessitar de informao poder gerar uma srie de consultas em vrios
servidores. Tente criar um filtro de exibio para mostrar apenas o trfego DNS e veja se voc pode
determinar quantas diferentes consultas DNS se encontram neste arquivo.

Protocolo de Transferncia de Arquivos FTP

O File Transfer Protocol (FTP, RFC 959) um protocolo da camada 7 que utilizado para transferir
dados entre um servidor e um cliente. Utiliza as portas 20 e 21, o FTP um dos utilitrios de transferncia de
arquivos mais usados. Porque o FTP um protocolo cliente/servidor, todas as comunicaes presentes no
arquivo de captura mostra o trfego entre um computador cliente e um computador servidor. Tal como
acontece com todos os processos TCP, o FTP comea com um handshake TCP padro, como mostrado no
pacote 1 da figura abaixo.

Uma vez concludo o processo de handshake, o servidor envia uma mensagem de boas vindas para o
cliente. Esta mensagem identifica o servidor como um servidor FTP e diz ao cliente que o servidor est
pronto para aceitar suas credenciais de login, como mostrado na figura abaixo.

Atravs dos prximos pacotes, o cliente envia um username (csanders) e uma senha (echo) para o
servidor, e o servidor as reconhece (figura abaixo).

Esta comunicao est apresentada na coluna da Info do painel Packet List, mas essa janela s d
um breve resumo do contedo do pacote. Se voc quiser ir um pouco mais profundo, voc pode expandir a
seo FTP no painel Packet Details.
Note que a criptografia no usada no nosso exemplo, ento a senha de FTP pode ser vista
claramente no arquivo de captura no pacote 7 (figura abaixo).

Uma conexo cliente usa uma lista de comandos

para interagir com um servidor FTP. Eles podem exibir o
contedo de um diretrio, percorrer um diretrio, baixar ou
apagar um arquivo, e assim por diante. (Para uma lista
completa dos comandos disponveis visveis em um pacote FTP, consulte RFC 959). Vamos olhar um pouco
os comandos FTP usados no nosso arquivo de exemplo, comeando com o pacote 15, mostrado na figura ao
lado.

53
 Comando CWD
Como voc pode ver, o pacote 15 mostra um comando CWD enviado do cliente para o servidor. O
CWD est para mudar o diretrio de trabalho, e esse comando enviado toda vez que voc falar com um
cliente de FTP para mover para um diretrio diferente do servidor.
Observe neste exemplo que o comando CWD inclui os pedidos para alterar o diretrio de trabalho
para /, que o diretrio raiz FTP do servidor. Quando voc se loga pela primeira vez em um servidor FTP, o
comando CWD enviado para mudar para o diretrio raiz, /. Uma vez que o servidor recebe este comando
CWD, ele muda para o diretrio raiz e diz ao cliente que / agora o diretrio de trabalho atual.

Comando SIZE
O comando seguinte o SIZE, mostrado na figura ao lado.
Este comando informa o tamanho (Em bytes) de um arquivo
particular, e sempre enviado com um nome de arquivo.

Note que no pacote 25, o cliente envia o

comando SIZE para o servidor para solicitar o
tamanho do music.mp3 arquivo. O pacote 26
(figura ao lado) mostra a resposta do servidor,
cujo tamanho do arquivo 4.980.924 bytes.

Comando RETR
O comando RETR (recuperao), mostrado na
figura ao lado, usado pelo cliente para solicitar o download
de um arquivo ao servidor. No pacote 32, o cliente envia o
comando RETR para o servidor, solicitando o download do
arquivo music.mp3. Depois que o servidor recebe este
pedido, comea a enviar os dados para o cliente.

Nota:
Os pacotes rotulados como FTP-DATA so aqueles que contm um arquivo que est sendo baixado
ou carregado para um servidor.

Protocolo Telnet
O protocolo Telnet (RFC 854) no um protocolo seguro, utiliza uma comunicao baseada em texto entre o
cliente e servidor. Ele freqentemente usado para administrar remotamente servidores, switches, roteadores
e outros dispositivos de hardware de rede.

Nota:
Voc pode tornar a sua comunicao mais segura usando SSH ao invs do telnet.

Que tipo de comunicao est

ocorrendo no presente intercmbio entre o
servidor e o cliente? Comeando pelo
topo, poderemos obter vrias concluses.
O primeiro de vrios pacotes de
confirmao que estamos definitivamente
vendo no trfego telnet, por causa das
configuraes telnet especficas
envolvidas entre os dois dispositivos
como mostrado na figura ao lado.
Cada sesso telnet usa vrias opes exclusivas para especificar as taxas de comunicao e os modos
de transferncia de dados, que devem ser sincronizadas entre o cliente e o servidor antes da comunicao
iniciar. Estas opes fazem parte dos primeiros 30 pacotes no arquivo de captura de exemplo.
O primeiro pacote interessante o nmero 27, que identifica o servidor como um servidor
OpenBSD. O pacote 29 apresenta um prompt de login para o cliente, e no pacote 31 voc pode ver que o
nome de usurio "fake" enviado de volta para o servidor. No pacote 36 requisitada uma senha do cliente,
que respondida no pacote 38 com "user", como mostrado na figura abaixo. Agora voc pode ver o quanto o
telnet inseguro. Essa combinao de nome de usurio e senha poderia muito bem ser a senha administrativa

54
 para um dos servidores mais importantes em sua rede, e ainda seria apresentado em texto claro que lido por
qualquer um com um farejador de pacotes e um pouco de conhecimento.

O resto do arquivo de captura mostra o cliente usando a sesso telnet estabelecida sesso para pingar
vrios sites. Voc pode observar esses dados exatamente como so transferidos, olhando para a seo telnet
no painel Packet Details.

Servio de Mensagens MSN

Voc pode achar que precisa analisar o trfego de uma conversa de mensagem instantnea por vrias razes.
Ns exploramos um cenrio possvel no Captulo 5 quando se suspeita de um funcionrio da empresa oferecer
informaes financeiras atravs de um software de envio de mensagens. Existem vrias aplicaes de envio
de mensagens instantneas, e enquanto cada uma utiliza seu prprio protocolo, existem certas similaridades
em cada uma. Aqui vamos nos concentrar especificamente sobre o trfego do MSN Messenger Service
(MSNMS). Vamos ver se no podemos pegar alguns funcionrios no ato.
Nota:
Algumas organizaes tm polticas que impedem o uso de software de mensagens, e se esse for o
caso, mesmo vendo o protocolo MSNMS em um arquivo de captura alarmes podero ser disparados.

O arquivo de captura comea com uma comunicao TCP com um simples handshake entre dois
clientes, conforme mostrado na figura abaixo.

Na seqncia deste handshake, o primeiro pacote MSNMS enviado a partir do 192.168.0.114 para
um servidor que resida fora da sua rede local (figura abaixo).

Este pacote est sendo enviado de um computador em sua rede para um servidor remoto da
Microsoft a fim de estabelecer um handshake que prepara a comunicao. Estes pacotes iniciais so marcados
como pacotes USR, como visto na seo MSNMS do pacote no painel Packet Details. Voc pode ver o
endereo de e-mail da pessoa que inicia a conversa (Tesla_brian@hotmail.com) nestes pacotes iniciais (figura
abaixo).

Os prximos dois pacotes so marcados como pacotes CAL, como mostrado na figura abaixo. Os
pacotes CAL so enviados do computador dentro da rede para um servidor MSN, a fim de estabelecer a
comunicao com outro usurio MSNMS.

55
 Como voc pode ver no pacote 7, o usurio correspondente MSNMS tem o endereo de email
tesla_thomas@hotmail.com (figura abaixo).

O servidor reconhece agora que recebeu um pacote CAL no pacote 7 e 8 (figura abaixo).

O pacote 9 o ltimo pacote a ser enviado para estabelecer uma comunicao plena. Conforme
mostrado na figura abaixo, o packet 9 um pacote JOI enviado a partir do servidor MSN remoto, indicando
que o outro membro (tesla_thomas@hotmail.com, neste caso) tem xito e se juntou sesso e pode estabelecer
a comunicao.

O restante do arquivo de captura contm apenas pacotes MSG, que so simplesmente as mensagens
enviadas a partir de uma extremidade a outra, neste caso entre Brian e Thomas.
A primeira coisa que provavelmente vem mente quando voc pensa neste conceito , posso
realmente ver o que eles esto dizendo?! Bem, to assustador como , a resposta sim. Tudo. Por um simples
clique-direito nos pacotes MSG e selecionando Follow TCP Stream (como voc aprendeu a fazer no
captulo 5), voc pode ver a conversa completa entre Brian e Thomas (figura abaixo). Isso pode fazer voc ser
um pouco mais cuidadoso quando estiver usando enviadores de mensagens instantneas enquanto trabalha!

56
Protocolo Internet de Controle de Mensagens ICMP
O Internet Control Message Protocol (ICMP) uma parte do protocolo IP, eu gosto de cham-lo de protocolo
de utilidade, pois usado para solucionar problemas de outros protocolos. Se voc j usou a utilidade de ping,
voc usou o protocolo ICMP.
Vamos ver o que o trfego ICMP comum parece. A o arquivo de captura de arquivo includo apenas
contm oito pacotes. H dois pings separados para dois hosts separados. Vamos olhar os detalhes do pacote
um, mostrado na figura abaixo.
Se voc expandir a seo ICMP, voc vai
ver o pouco que existe em um pacote ICMP. O
primeiro pacote rotulado como tipo 8, um pedido
(ping). Cada pacote ICMP tem um tipo numrico
associado a ele, que determina como o pacote
manipulado pela mquina de destino. (RFC 792 lista
todos os diferentes tipos de pacotes ICMP).
O senso comum nos diz que se um
computador envia uma solicitao de eco, ele deve receber uma resposta de eco, e isso o que vemos no
arquivo de captura. O Pacote 2 transmitido de volta a partir do computador remoto e marcado como ICMP
tipo 0, uma resposta eco (ping).
Um padro de ping a partir de uma linha de comando do Windows pinga um host quatro vezes. Voc
pode ver o processo de ping no arquivo de captura e na figura abaixo tambm. O primeiro destino do ping:
192.168.0.1, recebe e responde a quatro pings. Depois disso, outro ping iniciado a 72.14.207.99 (http://
www.google.com), que tambm recebe e responde a quatro pings.

Consideraes Finais
O objetivo deste captulo foi apresentar a voc o Wireshark para analisar os arquivos de captura e usar esses
arquivos capturados para mostrar como alguns protocolos comuns trabalham. Embora tenhamos apenas
brevemente apresentado alguns protocolos mais avanados, eu recomendo a leitura das suas RFCs,
estudando-as com mais profundidade. Como o livro continua com vrios cenrios, os estaremos construindo
sobre os conceitos bsicos que voc aprendeu aqui.

57
 7
CENRIOS BSICOS

Agora chegamos na realidade na carne e ossos deste livro, estamos prontos para usar o Wireshark
e analisar de verdade os problemas de rede.
Vamos comear dando uma olhada em algumas situaes simples onde a nossa capacidade de
analisar os pacotes vo nos ajudar a entender melhor o que est acontecendo por trs das cenas. Ento, vamos
olhar para alguns simples cenrios de resoluo de problemas do mundo real que voc poderia possivelmente
encontrar no dia a dia. Vamos mergulhar a fundo.

Perda da Conexo TCP

Um dos problemas mais comuns que encontramos quando estamos resolvendo problemas em uma rede
perda de conectividade. Por enquanto, vamos ignorar os motivos para a perda de conectividade e olhar para o
que realmente ocasionou a perda a nvel de pacote, e assim poderemos identificar esse tipo de problema.

O pequeno arquivo de captura tcp-lost.pcap-con (figura abaixo) mostra uma perda de conectividade.
O arquivo comea com quatro pacotes padro TCP ACK enviados entre 10.3.71.7 e 10.3.30.1.

58
 O problema comea no pacote 5, onde vemos a primeira retransmisso TCP pacotes (figura abaixo).

Por desenho, quando o TCP envia um pacote para um destino e no tem resposta, ele espera um
determinado perodo de tempo e depois retransmite o pacote original. Se no receber a resposta, a fonte
(origem) do computador duplica a quantidade de tempo e aguarda por uma resposta antes de enviar outra
retransmisso. O conceito de retransmisso TCP ilustrado na figura abaixo.

Conforme mostrado na figura abaixo, o processo se repete at que as cinco tentativas de

retransmisso TCP sejam concludas, o que sempre leva aproximadamente 9,6 segundo em sua aplicao
Windows. Depois de cinco tentativas de retransmisso falhar, a conexo falha completamente e transmisso
de dados perdida.
Se voc definir o formato de exibio de tempo do Wireshark para mostrar o tempo que tem
decorrido desde o pacote capturado anteriormente (View > Time Display Format > Seconds Since
Beginning of Capture), voc poder visualizar o incremento do tempo entre os pacotes (figura abaixo).

Agora, d uma olhada nos pacotes retransmitidos na figura abaixo. Observe que o nmero de
seqncia (Seq = 5.840) corresponde ao nmero de ACK do pacote cinco mostrado na parte inferior da figura
acima (ACK = 5,840).
Como voc aprendeu no captulo 6, o TCP usa estes nmeros SEQ e ACK para manter um fluxo
TCP em ordem. Como o nmero SEQ mostrado na retransmisso corresponde ao nmero ACK do pacote,
voc sabe que o pacote 5 que foi perdido e agora est sendo retransmitido. A capacidade de localizar o
pacote exato em que uma tentativa de retransmisso TCP comea conduz muitas vezes voc a pistas que
ajudam a determinar exatamente por que essa perda de conectividade ocorreu.

59
Destinos e Cdigos ICMP no encontrados
Ao testar a conectividade da rede, uma das ferramentas mais utilizadas o utilitrio ICMP ping. Se voc tiver
sorte, o destino que voc est pingando vai responder, dizendo que seu ping foi bem sucedido. Infelizmente,
muitas vezes voc no vai receber uma resposta de ping para trs quando voc estiver resolvendo um
problema, voc receber uma mensagem Destination unreachable (destino inacessvel). Usando um farejado
de pacotes (sniffer) em conjunto com um utilitrio ICMP poder obter um pouco mais de informao que
apenas o ICMP sozinho faria. Vamos ver se no podemos usar essa mensagem de erro ICMP para isolar o
problema.

Destino Inacessvel (Unreachable Destination)

Quando voc abrir o arquivo destunreachable.pcap, voc notar que o primeiro pacote no arquivo de captura
o seu padro Echo (ping) pacote de solicitao (tambm conhecido como um pacote ICMP tipo 8) de
10.2.10.2 para 10.4.88.88, como mostrado na figura abaixo.
Para verificar isso, olhe para a seo ICMP do painel Packet Details, voc deve ver este pacote
identificado como tal. Normalmente, porm, que voc iria querer receber um Echo (ping) pacote de resposta
(tambm conhecido como um pacote ICMP tipo 0) em resposta ao seu ping.

Examinando o pacote 2 na figura abaixo, voc pode ver que ele tambm no um pacote tipo 0, mas
sim um pacote tipo 3, que retornado quando um destino que voc esto tentando ping est inacessvel.

Nota:
Se o ICMP apenas identifica o tipo de pacote, no temos ento muita informao til. Mas
felizmente, ele nos d um nmero de cdigo tambm, como o Cdigo: 1 (host unreachable). (Vrios tipos de
pacotes ICMP oferecem cdigos com um pouco de informao mais especfica sobre o pacote.) Observe que
o endereo IP de origem no pacote 2 no o computador que est sendo pingado. Este um sinal certo de que
sua solicitao de eco no veio do seu destino.

O cdigo de ICMP listado (1) nos diz que a solicitao de ping chegou ao roteador ou switch, mas
no ao host de destino. Quando um host est inacessvel, voc tambm vai ver muitas vezes um broadcast
ARP enviado a partir do roteador ou switch. A falta de resposta a este broadcast ARP significa que o
dispositivo de envio no pode encontrar o dispositivo de destino, ento ele envia um pacote de volta para o
computador de origem com um ICMP tipo 0, cdigo 1.

Porta no encontrada (Unreachable Port)

Outra tarefa comum quando estamos resolvendo um problema pingando um dispositivo em uma determinada
porta. Isso geralmente feito para garantir que as portas que so necessrias para a execuo de determinados
servios esto abertas e aceitam a comunicao de entrada.
Por exemplo, voc pode garantir que o FTP acessvel pingando um computador remoto na porta
21. Se por algum motivo o computador remoto no est aceitando a comunicao de entrada na porta 21, ele
ir retornar um pacote ICMP tipo 0, o cdigo 2, o que significa que a porta de destino est inacessvel.
Desde que voc utilize o ICMP com freqncia em sua rede no dia-a-dia em sua rotina de
manuteno, voc deve se familiarizar com ele e alguns dos seus tipos e cdigos mais comuns.

60
Pacotes Fragmentados
O Internet Protocol utilizado para uma volumosa transferncia de dados atravs de uma rede, mas ns
muitas vezes ignoramos o fato de que somente assim que uma grande quantidade de dados pode caber no
fio de uma vez. Com o intuito de solucionar as limitaes das camadas inferiores, O IP possui uma tecnologia
chamada de fragmentao. A fragmentao permite que o protocolo IP possa quebrar grandes quantidades de
dados em blocos que podem ser enviados atravs da camada fsica e remontados no sistema destino.
Nesta seo, vamos dar uma olhada neste fluxo de dados que tem sido fragmentado pelo IP.
O arquivo de traado ipfragments.pcap consiste em 24 pacotes que mostram um solicitao ping e
sua resposta. De nossa experincia anterior, sabemos que uma tpica Seqncia ICMP (ping) solicitao-e-
resposta s tm oito pacotes. Ento por que ns temos muitos mais aqui? Porque neste caso cada pedido e
cada resposta exigem trs pacotes em vez de apenas um, por isso h trs vezes mais pacotes do que o usual,
como voc pode ver na figura abaixo.

Estes so os pacotes que voc veria se capturasse um ping cujo tamanho dos dados fosse maior do
que o padro. Por padro, um ping envia apenas 32 bytes de dados para o seu destino no Windows. No
entanto, como voc pode ver, o ping neste traado est transmitindo 3072 bytes de dados para o cliente. Isso
representa um problema, porque o padro Ethernet s projetado para lidar com 1.500 bytes em um nico
pacote. Portanto, O IP deve fragmentar os pacotes em um fluxo de dados, que o que vemos neste arquivo de
rastreamento.

Determinando Quando um Pacote Fragmentado

Como podemos dizer se um pacote foi fragmentado? Felizmente, tudo o que precisamos fazer olhar para o
painel Packet Details no ipfragments.pcap. Aqui est como faz-lo:

1. No arquivo de captura, selecione o pacote 1, expanda a seo Internet Protocol na parte inferior
do painel Packet Details.
2. Voc dever ver uma seo chamada Flags. Expanda esta seo e voc dever ver trs campos de
dados, como mostrado na figura abaixo. O que mais nos interessa a seo More Fragments.
Observe que para este pacote, esta seco tem um valor de 1, isso significa que existe mais
fragmentos na seqncia.

3. Olhe para a mesma seo do pacote 2, voc ver que ele tem o mesmo valor no campo More
Fragments.
4. Olhe para o campo More Fragments do pacote 3, mostrado na figura abaixo. Ao contrrio dos
pacotes 1 e 2, este pacote tem um 0 no campo More Fragments. Um valor de 0 nos diz que este

61
 pacote o fim do fluxo de dados e que no h mais fragmentos na seqncia. Os possveis valores
para esse campo e s 1 e 0.

Mantendo as Coisas em Ordem

A prxima pergunta que surge como estes pacotes fragmentados mantm a ordem. Uma vez que um
dispositivo pode receber mltiplos fluxos de dados de uma s vez, o IP atribui um valor de seqncia para
que os sistemas receptores possam saber a ordem dos pacotes fragmentados.
Para ver o valor da seqncia de um pacote fragmentado, olhe na seo IP do painel Packet Details.
Por exemplo, se olhar a seo IP do pacote 1 um no arquivo de exemplo, voc ver um valor de seqncia 0.
Isto diz que este o primeiro pacote de uma srie de pacotes fragmentados.
Se for para o segundo pacote, voc vai ver uma mudana dramtica neste nmero (figura abaixo): ele
sobe para 1.480. A razo para esta mudana que o valor de seqncia de todos os fragmentos do pacote
seguinte determinado pelo tamanho (dados) do pacote anterior (menos o tamanho do cabealho IP, que de
20 bytes). No caso do pacote 2, esse pacote ter o nmero da seqncia anterior, que 0, e adicionado o
tamanho (em bytes) do mesmo, que 1480.

Como o pacote de 2, o pacote 3 tem a seqncia de 1480 acrescentado do tamanho do pacote anterior que
1480, resultando em uma nova seqncia de 2960. Este conceito ilustrado na figura abaixo.

62
 D uma olhada em alguns exemplos de trfego IP fragmentado para ver se voc pode seguir um fluxo de
dados at o fim e manter esse fluxo em ordem usando a seqncia de cada pacote. (Isto pode vir a ser um
desafio maior do que voc pensa em um arquivo de captura desordenada.)

Sem Conectividade
Agora vamos usar o Wireshark, pela primeira vez para analisar e solucionar problemas de um problema real
de rede. Neste cenrio temos dois usurios, Barry e Beth, que se sentam ao lado um do outro em um
escritrio. Depois de um aumento do oramento o departamento de TI acaba de adquirir dois novos
computadores para Barry e Beth. Voc est no comando da instalao destes novos computadores e
certificando-se que esto funcionando corretamente. Aps a instalao, conexo e configurao dos
computadores, voc comea a test-los para se certificar que tudo est funcionando. No entanto, voc se
depara rapidamente com um problema. O computador de Barry est funcionando perfeitamente, mas por
alguma razo o computador de Beth incapaz de acessar a Internet. Seu objetivo descobrir o porqu o
computador de Beth incapaz de se conectar Internet e, em seguida, resolver o problema.

O Que Sabemos
A primeira coisa que voc deve sempre fazer quanto a resoluo de um problema fazer uma lista do que
voc sabe sobre o assunto. Neste caso, sabemos que Barry e Beth ambos esto usando computadores
idnticos, novssimos. Sabemos tambm ambos os computadores tm ligao rede, pois voc lhes atribuiu
endereos IP e teve a certeza de que voc poderia ping-los de outro computador no mesmo segmento de
rede. Finalmente, sabemos que as configuraes em ambos os computadores devem ser exatamente as
mesmas, uma vez que voc os configurou um aps o outro.

Farejando Atravs dos Fios

Uma vez que ns estabelecemos o que sabemos sobre o assunto, hora de fazermos um plano para descobrir
o que no sabemos. Comeamos por descobrir que tipo de captura de trfego preciso ter e onde preciso
colocar o nosso analisador de da rede para obt-las.
O problema a resolver o do acesso a Internet, a escolha lgica capturar os pacotes quando o
computador de Beth est tentando acessar um site. A rede a qual o computador de Barry e Beth est
conectado, no muito familiar, assim para efeito de comparao, vamos capturar os pacotes do computador
de Barry. Ns vamos trabalhar com dois arquivos de captura: um que est ok e outro que no. Comparar os
dois nos ajudar a resolver o problema. Este processo conhecido como linha de base. Ns vamos instalar o
Wireshark diretamente em ambos as mquinas.

Anlise
Vamos comear por olhar o arquivo de rastreamento do computador de Barry est acessando a Internet com
sucesso (barryscomputer.pcap). Quando voc abre o arquivo de rastreamento, a primeira coisa que voc vai
ver uma transao HTTP.
Como voc pode ver na figura abaixo, voc primeiro tem broadcast ARP procurando um endereo de
camada 2 do gateway default 192.168.0.10. Depois do computador de Barry receber uma resposta a esta
solicitao, ele inicia um handshake TCP com o servidor remoto. Quando isso for concludo, a transferncia
de dados do servidor para o cliente comea.

Agora que sabemos como um pedido WEB bem sucedido deve nesta rede, vamos dar uma olhada no
arquivo de captura do computador de Beth (Bethscomputer.pcap) para ver se conseguimos encontrar o
problema. No devemos demorar muito tempo para percebermos que algo est definitivamente errado aqui.
Conforme mostrado na figura abaixo, o primeiro pacote um pedido ARP, no muito diferente daquele do
arquivo de Barry barryscomputer.pcap. No entanto, este pedido ARP no enviado para o mesmo endereo
IP como no ltimo. Aqui, o ARP est procurando por um dispositivo com um endereo IP de 192.168.0.11.

63
 Imediatamente aps esse pacote ARP, vemos um monte de trfego NetBIOS, como mostrado na figura
abaixo. Se outros endereos IP no sinal de que algo errado, ento tudo isso definitivamente o trfego
NetBIOS.

O NetBIOS um protocolo mais antigo que normalmente s usado como um backup quando o
TCP/IP no est funcionando. O aparecimento de trfego NetBIOS aqui significa que, o computador de Beth
foi incapaz de se conectar com xito Internet com o TCP/IP, e foi revertido para o NetBIOS como meio
alternativo de comunicao, mas que tambm falhou. (A qualquer momento que voc v o NetBIOS sua rede,
muitas vezes um bom sinal de que algo no est certo.)
Vamos nos concentrar na maior anomalia que visto at agora, ou seja, os diferentes endereos IP em
cada um dos pacotes ARP. O computador de Barry usa o ARP para encontrar o local do gateway default
192.168.0.10. O computador de Beth tentou fazer a mesma coisa, porm, tentou encontrar a localizao do
endereo IP 192.168.0.11 e falhou, como mostrado na figura abaixo. Os endereos do gateway default so
inconsistentes; algo est errado.
Computador de Barry

Computador de Beth

Uma verificao rpida das configuraes TCP/IP em ambos os computadores revela a resposta do nosso
problema: um erro de digitao. O computador de Barry est definido para ter um gateway default
192.168.0.10, e o computador de Beth est definido para 192.168.0.11, que o endereo errado.

Resumo
Os erros que voc vai encontrar muitas vezes devido a erros de configurao. Sempre que possvel, compare
uma mquina que funciona adequadamente com a que no para voc identificar o problema. No cenrio
anterior, pudemos localizar o pacote exato em que as coisas no se encaixavam corretamente. Uma vez
definida a causa do seu problema, voc ir resolv-lo mais facilmente.

Fantasma no Internet Explorer

Este cenrio comea com uma chamada perturbadora para o help desk de um usurio em sua rede chamado
Chad. De acordo com o Chad, o seu computador recentemente hospedeiro de uma possesso demonaca.
Apesar de seus melhores esforos, a home page inicial em seu navegador da Internet continua a mudar
sozinha apontando para outro site. Mesmo que ele mude manualmente de volta como deveria ser, suas
mudanas so revertidas depois que ele reinicia o seu computador. Seu objetivo aqui chegar ao fundo dessa
possesso e de realizar um exorcismo dos fantasmas que invadiram o computador do Chade.
64
O Que Sabemos
Chad foi da nossa empresa h muito tempo e sabemos que ele no tem uma grande competncia tcnica. Na
verdade, ele geralmente faz mau uso do que bom uso do seu computador. (Eu no suponho que voc conhea
usurios como ele?) Do ponto de vista tcnico, sabemos que o computador de Chad tem cerca de dois anos,
roda o sistema Windows XP, e usa Internet Explorer 6 como seu navegador.

Farejando Atravs dos Fios

Porque esse problema ocorre apenas como o computador do Chad, sabemos que a nica mquina que temos
para capturar pacotes a do Chad. Alm disso, parece que a pgina inicial do computador do Chad
redefinida toda vez seu computador reiniciado, vamos fazer a nossa captura no momento do boot.
Neste caso, no podemos instalar o Wireshark diretamente na mquina do Chad e capturar os pacotes
que precisamos, o modo hubbing um bom mtodo para usarmos. Se voc no lembra como esta tcnica
usada, consulte nosso a discusso sobre ela em "Hubbing" na pgina 19. A captura comear assim que o
computador for ligado e ser interrompida logo que ele for completamente reiniciado, sem a necessidade da
interao do usurio.

Anlise
Embora no haja nenhuma interao do usurio com o computador durante a captura, voc pode ficar um
pouco chocado quando voc abre o arquivo de rastreamento (hauntedbrowser.pcap) e ver os pacotes TCP e
HTTP bombardeando atravs dos fios, como mostrado na figura abaixo. Durante o processo de inicializao
normal, voc deve raramente, ou nunca, ver pacotes como estes sendo enviados.

Olhando mais de perto esses pacotes, podemos imediatamente tirar algumas concluses. Em primeiro
lugar, sabemos que todos esses pedidos HTTP esto sendo gerados pelo computador do Chade, porque o seu
endereo IP listado como a fonte de todos os pacotes TCP e HTTP. Alm disso, voc pode ver no pacote 5
(figura abaixo) que este computador est enviando pacotes HTTP para um sistema na Internet com o
comando GET, o que significa que ele est tentando fazer o download de dados.

Dada essa informao, podemos supor que algo est sendo executado no computador do Chad na
inicializao que no deveria ocorrer. Um olhar o painel de baixo do Packet List fornece-nos uma idia do
que pode ser a raiz do nosso problema. Os pacotes 11 e 12 fazem um pedido DNS ao servidor no domnio na
weatherbug.com, como mostrado na figura abaixo.

Considerando que a pgina inicial do Chad continua a mudar quando seu computador reiniciado, ns
provavelmente encontramos o nosso culpado. Aps uma investigao mais aprofundada do computador do
Chad, nossa hiptese se mostra correta, e vemos que o computador tem um programa desktop WeatherBug
sendo executado em segundo plano, configurado para transferir as informaes de tempo e exibi-las na home
page aps cada reinicializao. Aps a desinstalao deste software, o problema cessa.

65
 Resumo
Voc vai descobrir que muitos problemas em computadores e redes no so da responsabilidade de um
computador particular ou da prpria rede, mas sim o software que est rodando nele. Neste cenrio, um
programa de monitoramento do tempo, havia sido instalado no computador do Chade , causando-lhe o
pensamento que o mesmo estava "possudo" por seu navegador da web mudando a sua home page inicial
aps cada reinicializao. Ao capturar e analisar os pacotes com o Wireshark, fomos capazes de descobrir
este programa rodando silenciosamente em segundo plano.

Problemas com o FTP

Neste seguinte cenrio, vamos imaginar que voc acabou de configurar um novo servidor FTP para sua
companhia. Os clientes iro se conectar a esse servidor FTP tanto internamente e externamente para fazer
download e upload de grandes quantidades de dados. Voc definiu o software do servidor FTP e, criou um
nome de usurio e senha genrica para utilizao por todos os funcionrios. No entanto, por alguma razo
quando voc est tentando testar o servidor de um computador remoto, voc no consegue acess-lo atravs
software cliente de FTP.

O Que Sabemos
Sabemos que este servidor novo e acaba de ser criada utilizando o Windows Server 2003, com todas as
ltimas atualizaes e service packs instalados. Verificamos que o software de FTP est configurado
corretamente e est ativo. Verificamos tambm que o cliente que tenta se conectar ao servidor de FTP est
usando o endereo IP apropriado e as credenciais de login.

Farejando Atravs dos Fios

Porque esse problema envolve um servidor e uma mquina cliente, ns teremos um arquivo de captura de
ambos os computadores. A captura do cliente ser feita quando o software de cliente FTP tenta se conectar ao
servidor. A captura a partir do servidor ser feita no momento em que o cliente est tentando se conectar ao
software de FTP. Ao capturar os arquivos desta forma, seremos capazes de determinar se o problema tem
origem junto do cliente ou ao servidor, em seguida, poderemos prosseguir com uma investigao mais
aprofundada. Ns vamos instalar o Wireshark diretamente nestas duas mquinas para o propsito destas
capturas.

Anlise
Vamos comear com o cliente para se certificar de que a comunicao est sendo iniciada como deve ser.
Olhando para o ftpclientdenied.pcap arquivo de captura (figura abaixo), e ver que ele est fazendo exatamente
o que deve fazer. Comea o processo handshake TCP atravs da emisso de um pacote SYN para o servidor
remoto, 192.168.0.182. No entanto, o servidor no responde, de modo que o cliente emite mais dois pacotes
SYN para tentar estabelecer uma comunicao.

Este processo continua por cerca de nove segundos antes que o cliente determine que incapaz de se conectar
ao servidor. O cliente est fazendo exatamente o que suposto fazer sobre o incio do handshake TCP, por
isso seguro assumir que o problema mais provvel no resida no cliente.
Agora vamos olhar para o rastreamento do ponto de vista do servidor no arquivo de captura
ftpserverdenied.pcap. Os dois arquivos de captura perecem-se similar, na verdade, a nica diferena entre os
dois arquivos que a fonte e os endereos de destino nos pacotes SYN esto sendo comutados (figura
abaixo). Isso nos diz que os pacotes enviados do cliente so realmente enviados ao servidor, mas que por
alguma razo desconhecida o servidor no os tem aceitados.

66
 Cliente

Servidor

H tipicamente trs razes principais para que o computador rejeite os pacotes que lhe foram
enviados.
O suposto servio que para aceitar esses pacotes no est funcionando. Porque sabemos que o software
do servidor FTP est funcionando e pronto para aceitar conexes, esse no pode ser o nosso problema.
O servidor est enfrentando uma quantidade muito elevada de trfego. Nestas situaes o buffer do
servidor pode estar muito cheio e ficando incapaz de se comunicar com alguns clientes. Mais uma vez,
isso no pode ser a causa do nosso problema, porque o servidor acaba de ser criado e est sem carga
alguma.
Os pacotes esto sendo intencionalmente bloqueados. O que intencionalmente pode bloquear os pacotes
recebidos por um computador? Algo est fazendo exatamente o que suposto fazer! Aps uma anlise
mais aprofundada do servidor, ns achamos que o firewall do Windows est ativado e ele est
bloqueando todo o trfego de entrada nas portas FTP.

Resumo
A anlise de pacotes nem sempre leva voc direto a causa do seu problema. De fato, neste cenrio nada
especfico na captura identificou o firewall como o problema. No entanto, esta anlise permitiu reduzir o
problema especificamente ao servidor.
s vezes, voc deve solucionar problemas que afetam dezenas ou mesmo centenas de sistemas. Se
voc pode usar a anlise de pacotes nestas situaes afim de diminuir o problema em um computador
especfico, ento voc ter que ter guardado uma enorme quantidade de tempo.

Falha no Servidor Remoto

Alguns usurios da rede so absolutamente inacreditveis. Alguma vez voc j teve um usurio que sempre
culpa o departamento de TI para cada pequeno problema que ele ou ela tem? Erin exatamente esse tipo de
usurio. A qualquer momento em que a rede esteja funcionando abaixo do estado ideal esperado, ela fica
contente que voc saiba.
Neste cenrio especfico, Erin est tentando enviar um pedido online de alguns produtos. O problema
que quando ela submete o formulrio para encomendar o produto, ele retorna um erro HTTP 403 (proibido).
Ns sabemos que este erro quase sempre causado por um problema no website remoto, mas Erin se queixou
o suficiente para que o seu patro lhe pedisse para provar-lhe que este verdadeiramente o caso. Temos que
mostrar que esse problema devido ao servidor remoto, e no algo no nvel de pacote.

O Que Sabemos
Sabemos que Erin no tem sido capaz de enviar dados atravs do formulrio web em questo, mas ela pode
submeter qualquer outro formulrio web que ela necessite alcanar. Olhando para o cdigo-fonte do site em
questo, vemos que ela est usando um formulrio HTML padro, sem nada diferente anexado a ele.

Farejando Atravs dos Fios

Instalar o Wireshark no computador de Erin a maneira mais fcil de obter a captura do arquivo de que
precisamos. Uma vez instalado, podemos comear o processo de captura e Erin pode ento tentar preencher e
enviar o seu formulrio, neste ponto que comearemos o processo de anlise.

67
Anlise
O arquivo de rastreamento (http-culpa post.pcap) comea com um handshake TCP padro entre o computador
de Erin, 24.4.97.251, e o servidor remoto,216.23.168.114, como mostrado na figura abaixo.

Pouco tempo depois, comea a comunicao HTTP entre o cliente e o servidor. Observe na coluna Info
(figura abaixo) que no demora muito para o cliente receber a mensagem HTTP 403 do servidor, que a
fonte da denncia.

O erro 403 acontece no pacote 9. Porque este realmente nico fluxo de dados na captura que estamos
preocupados, clique com o boto direito e escolha Follow TCP Stream para ler o texto com a remontagem
da transao HTTP, como mostrado na figura abaixo.

Olhando para este fluxo TCP, vemos primeiro os dados do formulrio sendo enviados a partir de nosso
cliente para o servidor. Neste ponto, devemos ver uma resposta do servidor com algo dizendo que os dados do
formulrio foram aceitos, mas em vez disso, vemos a resposta de 403. Isso suficiente para provar que o
problema encontra-se no servidor remoto e no na sua rede.

68
 Resumo
A anlise de pacotes geralmente uma grande ferramenta para usar quando voc tem de provar o que voc
realmente est fazendo. No s s vezes voc tem que provar suas convices ao seu gerente, mas s vezes
provar a voc mesmo.
Neste caso, a interpretao simples do texto do fluxo TCP pode ser mostrada ao seu supervisor para
pr fim ao discurso de Erin contra o departamento de TI.

Um Programa Mal Intencionado

Este cenrio muito parecido com a situao do computador assombrado do Chad. Neste caso, porm, temos
um pouco mais a passar. Mandy outro usurio em nossa rede que est se queixando de coisas estranhas
acontecendo em seu navegador. O navegador continua a mudar a sua home page para uma de um site de
segurana falso em momentos aleatrios ao longo do dia. No s isso, ele v um punhado de pop-ups e seu
computador geralmente lento.
Se voc tem alguma experincia de reparo em computador, provavelmente voc est muito certo que
este um problema de spyware. No entanto, ao invs de apenas usar uma ferramenta de remoo de spyware,
ns vamos fazer um rastreamento do computador, de modo que possamos ver exatamente o que este spyware
est fazendo para o computador de Mandy ter tantos problemas.

O Que Sabemos
Ns no precisamos saber muito para resolver este problema particular. Sabemos que o computador de
Mandy est funcionando lentamente e que o seu browser est sendo invadido constantemente. Seu
computador est executando um software antivrus, de modo que o vrus no seja uma preocupao para ns.

Farejando Atravs dos Fios

Ao solucionar um problema relacionado a spyware, sempre uma boa idia comear o seu arquivo de
rastreamento quando o computador reiniciado. A maioria das aplicaes spyware tendem a verificar por
atualizaes e infecta o computador na reinicializao.
Vamos comear nosso arquivo de captura, logo que o computador for ligado e continuar a capturar
os pacotes at um minuto ou mais aps o processo de inicializao ter sido concludo. Neste caso, o hubbing
ou envenenamento de cache ARP so os melhores mtodos a utilizar para interceptar os pacotes desta
mquina. H muito trfego fluindo em nossa rede, vamos criar o arquivo de captura usando um filtro que s
pega o trfego de/para o computador de Mandy.

Anlise
Este um arquivo de captura muito grande, ento vamos comear pelo comeo. Os dois primeiros pacotes
(mostrado na figura abaixo) so bastante comuns quando um computador inicia-se e comea a inicializar sua
pilha TCP/IP.

O primeiro pacote mostra que o computador faz uma solicitao de IP ao servidor DHCP. Normalmente,
h uma resposta para este pacote a partir do servidor DHCP, mas uma vez que este um pacote broadcast, o
nosso filtro de captura no permitir que ele seja mostrado.
O segundo pacote um pacote ARP que chamamos de ARP gratuito. O ARP gratuito um pacote
broadcast ARP que usado para garantir que nenhuma outra mquina na rede tem o mesmo endereo IP que
mquina de origem. Voc s deve ver os pedidos ARP gratuito saindo, se voc v uma resposta ARP gratuito,
o que significa que outro computador na rede tem o seu endereo IP. Nesta captura vemos apenas os pedidos,
ento estamos em boa forma.
O terceiro pacote da captura o que ns nos preocuparemos. Neste momento do processo de
inicializao do computador, o TCP/IP ainda no foi totalmente inicializado: Voc pode ver que ele ainda
envia os seus pacotes ARP gratuito, como mostrado na figura abaixo. Mas o pacote 3 mostra que um
dispositivo fora da nossa rede est tentando se comunicar com o computador de Mandy na porta 5554.

69
 Neste ponto, do processo de inicializao, nenhuma mquina deve estar tentando se comunicar com
o computador de Mandy, uma vez que a mesma ainda no est pronta a se comunicar. Portanto, o computador
de Mandy simplesmente descarta o pacote e continua com seu processo de inicializao. Outro pacote como
este aparece no pacote 5 do arquivo de captura, porm desta vez, o pacote alterou a porta que ele est usando
e tenta se conectar a porta 9898, como mostrado na figura abaixo. Muito complicado.

Mais uma vez, o computador de Mandy no est pronto para a comunicao e simplesmente descarta
o pacote.
Depois do computador de Mandy estar pronto para finalmente aceitar a comunicao, ele recebe
mais um desses pacotes no pacote 10. O computador de Mandy no tem qualquer servio sendo executado na
porta requisitada para poder aceitar o handshake TCP, assim que seu computador responde para o computador
remoto com um pacote TCP RST, encerra a comunicao, como mostrado na figura abaixo.

Esse processo se repete ao longo da prxima srie de vrios pacotes. O computador de Mandy est
fazendo exatamente o que suposto ser feito para recusar esta comunicao.

Filtrando o Que Bom

Se voc continuar a rolar at o pacote 68, voc ver a primeira comunicao legtima, como mostrado na
figura abaixo.

Aqui o computador de Mandy comea a se comunicar com o seu software antivrus e comea o download
de suas atualizaes. Estes pacotes so vlidos, e j que estamos olhando apenas para os pacotes suspeitos,
vamos filtrar esses por filtragem de todo o trfego de/para o endereo IP da McAfee indicado no pacote 68
(figura abaixo).

Nota:
Esperamos que voc se lembre de como criar filtros da nossa discusso anterior. O filtro que voc
deseja criar para esconder qualquer tipo de trfego de/par o servidor da McAfee !ip.addr == 216.49.88.118.

Tentativas de Conexo Remota

Uma vez que voc tem esse filtro configurado, o prximo pacote de nosso interesse o pacote 147, mostrado
na figura abaixo.

70
 Este um pacote mensageiro enviado a partir de um dispositivo na Internet. Voc pode ler o
contedo da mensagem, exibindo os pacotes atravs do painel Packet Bytes, como mostrado na figura
abaixo.

Felizmente, o servio de mensagens est desabilitado em nossa rede, de modo que Mandy nunca
ver esta mensagem. Voc pode verificar que esta mensagem nunca ser entregue vendo o pacote ICMP
Destination unreachable enviado pelo nosso computador ao computador remoto logo aps a tentativa de
conexo inicial, como mostrado na figura abaixo.

No pacote 210 (figura abaixo), comeamos a ver uma coisa muito preocupante.

Assim como antes, temos um computador remoto tentando estabelecer uma comunicao com o
computador de Mandy, iniciando um handshake TCP. No entanto, ao contrrio de antes, seu computador
realmente responde desta vez, via porta 1025. Isso significa que existe um servio em execuo nesta porta
que est aguardando por uma conexo a partir do exterior. Isso nunca uma coisa boa!

Aproximando-se do Problema
Neste ponto, voc pode ir vendo mais o nosso arquivo de captura e continuar a vendo as mesmas coisas.
Vrias tentativas de conexo so feitas para o computador de Mandy, algumas das quais so bem sucedidas e
algumas das quais no so. No obstante, at agora, essas tentativas de conexo realmente no resultou em
muito mais interesse por nossa parte, isto , at o nmero de pacotes 357, mostrado na figura abaixo.

No pacote 357 um DCEPRC, ou um pacote Remote Procedure Call (RPC). O RPC um protocolo
usado para executar programas remotamente no sistema. Vamos ver, aqui temos um computador fora da
nossa rede tentando Iniciar um programa remotamente em um computador dentro de nossa rede. No temos
um PhD em cincia da computao para descobrir que isto no deveria acontecer.
Agora, vamos querer ver bem de perto o computador de Mandy para ver exatamente a comunicao de volta
para o sistema remoto. Ao monitorar essa comunicao, voc acabar por chegar ao pacote 381, no qual o
nosso cliente faz um pedido DNS para updates.virtumonde.com, como mostrado na figura abaixo.

71
 Se algo como isso acontecer e voc no estiver familiarizado com o site sendo consultado, faa uma
pesquisa na Internet. Se voc procurar a palavra-chave virtumonde, voc vai encontrar um monte de
resultados relacionados ao spyware e o servidor de hospedagem.
Vamos dar uma olhada na comunicao entre o computador de Mandy e o servidor remoto
virtumonde. Para fazer isso, abra a janela Conversations e filtre todo o trfego entre o nosso anfitrio,
24.6.125.19, e o servidor virtumonde, 208.48.15.13 (veja a figura abaixo). Uma vez que voc fizer isso, voc
ter apenas alguns pacotes para olhar, o que torna as coisas muito mais fceis.

Continuando a lista de pacotes, que vemos no pacote de 386 que o nosso cliente vai para o servidor
virtumonde e pede o download de um arquivo chamado bkinst.exe (figura abaixo).

Se voc fizer uma pesquisa na Internet para este arquivo, voc ver que ele est associado com o spyware,
invasor do navegador, e praticamente qualquer outra coisa ruim que voc possa pensar. Voc encontrou com
sucesso o problema que afeta o computador de Mandy.

Resumo
Neste cenrio, aprendemos que a razo pelo qual o computador de Mandy estava fazendo coisas estranhas foi
relacionada a uma aplicao spyware que estava sendo descarregada em seu computador atravs de um
servio RPC em segundo plano. Mas qual foi o ponto positivo para passarmos por tudo isso apenas para
descobrir algo que j sabamos?
Passamos por este processo de anlise para que pudssemos entender melhor o que estava
acontecendo na rede. Se o computador de Mandy era capaz de ser infectado com este spyware, as chances so
grandes acontecer com o computador de outra pessoa. Aprender as portas e os servios utilizados neste
72
 processo de comunicao nos permitir bloque-los no nvel do firewall para evitar problemas no futuro.
Mesmo que um problema possa parecer de simples correo, ir a at no final da anlise para descobrir
exatamente o porqu isso est acontecendo pode ser muito til no futuro.

Consideraes Finais
Os cenrios previstos neste captulo so muito simples, mas so tambm muito importantes para ajudar voc a
se familiarizar com o Wireshark, a anlise de pacotes, e soluo de problemas de rede em geral. O resto do
livro est escrito em grande parte no mesmo formato, mas com foco nas diferentes reas de anlise de pacotes
do mundo real.

73
 8
LUTANDO CONTRA A LENTIDO DA REDE

Como um administrador de rede, muito do seu tempo ser gasto corrigindo os computadores e servios
que esto sendo executados mais devagar do que o esperado. A queixa mais comum ouvida pelo pessoal de
TI que a rede est lenta. No entanto, s porque algum diz que a rede est funcionando lentamente, no
significa que um problema de rede seja a culpa.
Portanto, antes de comear a resolver um problema de rede lenta, primeiro voc tem que determinar
como a rede realmente est, de fato, com lentido. Neste captulo, vamos olhar para vrias situaes
diferentes em que um usurio est reclamando que a rede est lenta.

74
Anatomia do Download Lento
Vamos olhar para a anatomia de um download lento a nvel de pacote. Percorrer todos os pacotes (como
mostrado na figura abaixo), voc vai ver um monte de padro HTTP e trfego TCP, e isso mostra o
download, tendo lugar. Como aprendemos em nossa discusso sobre HTTP no captulo 6, o HTTP usado
para solicitar os dados de um servidor web e, em seguida o TCP usado para fazer o download desses dados
do servidor remoto.

A fim de filtrar o trfego anormal que est tornando o nosso download lento, usaremos a janela Expert
Infos. Para abrir essa janela, clique em Analize na barra de menu e selecione Expert Infos. Voc deve ver
algo como a figura abaixo.

Por default, a janela Expert Infos mostra todos os avisos, erros, notas, e trfego de conversao (bate-
papo) do nosso arquivo de captura. O trfego de conversao (bate-papo) em geral no suspeito (pelo menos
para essa finalidade), vamos modificar a configurao default selecionando Error+Warn+Note na caixa
suspensa prxima as palavras Severity filter. Nossa nova janela Expert Infos ser semelhante a da figura
abaixo.

75
 Observe na figura acima que a abundncia dos pacotes em nosso arquivo de captura so os pacotes
TCP Window update. A taxa de transmisso de dados atravs de uma rede determinado pelo tamanho da
janela de recepo TCP. Quando os clientes esto transferindo dados, eles vo enviar constantemente a
atualizao da janela TCP para os outros com a sua capacidade de receber dados aumentando ou diminuindo
essa janela. Estes pacotes so usados para notificar um cliente que ele precisa aumentar ou diminuir o
tamanho dos dados a serem transmitidos. Voc pode pensar nisso como algum pressionando o boto em uma
fonte de gua para voc. Se o boto for pressionado demais, voc no ser capaz de capturar toda a gua na
boca, ento voc deve instruir a pessoa a diminuir a presso sobre o boto. Por outro lado, se a pessoa no
est pressionando o boto o suficiente, voc no beber gua tanto quanto voc poderia beber.
Em seguida, vemos o nosso primeiro pacote problemtico. medida que o download comea, ns
comeamos a ver o segmento TCP anterior sendo perdido, como mostrado na figura abaixo.

76
 Estes pacotes dizem-nos que durante o curso da transferncia de dados, um pacote subitamente foi
descartado. Em resposta, o cliente envia os pacotes Duplicate ACK para o servidor, solicitando que o pacote
perdido seja enviado novamente. O cliente continua a enviar Duplicate ACKs at que recebe o pacote
solicitado. Vemos ento a retransmisso do pacote descartado como um TCP Retransmission na janela
Expert Infos, como mostrado na figura abaixo.

No incio do nosso download, vemos apenas um ou dois ACKs Duplicate em uma linha, mas como o
download progride, comeamos a ver mais e mais. Isto diz-nos que estamos a experimentar mais latncia. Se
voc continuar a percorrer o resto da captura, voc vai ver que ele est cheio de segmentos perdidos e
Duplicate ACKs - o indicador de download lento no processo.
Convenientemente, o Wireshark permite que o grfico do fluxo de TCP para o download, como
mostrado na figura abaixo. Voc pode acessar o grfico, clicando em um pacote relacionado com o fluxo que
deseja analisar (eu selecionei o pacote de nmero 1023) e escolhendo Statistics > TCP Stream Graph >
Round Trip Time Graph. O TCP Stream Graph recurso do Wireshark uma tima maneira de visualizar o
throughput de dados quando se trata de um fluxo TCP.

77
 Embora este grfico possa no ser esteticamente agradvel, uma tima maneira de comparar o tempo de
ida e volta (RTT) ao longo de uma captura de pacotes. Repare, por exemplo, que perto do comeo do grfico
desta captura, vemos o RTT com mais de um segundo. Isto completamente inaceitvel para o download um
arquivo. Mesmo quando fazemos um download de um arquivo da Internet, vemos tempo no superior a 0,1
segundos, com tempo ideal de no mais de 0,04 segundo (40 milissegundos). Este grfico mostra-nos logo
que temos um grande problema.

Uma Rota Lenta

O primeiro passo para resolver qualquer problema de rede lenta determinar a origem do problema. No
cenrio seguinte, o help desk acabou de receber um telefonema de Owen, que est reclamando que sua
conexo Internet est extremamente lenta.

O Que Sabemos
No h muito que ns precisamos saber antes de podermos comear a enderear esta queixa bastante simples.
Verificamos que a questo da Internet lenta persiste independentemente do site visitado. E, aps uma
investigao aprofundada, ns sabemos que cada mquina que se encontra na mesma rede do Owen esto
enfrentando o mesmo problema.

Farejando Atravs dos Fios

Uma vez que Owen foi o primeiro a reclamar sobre este problema, vamos realizar a anlise de seu
computador (embora provavelmente qualquer computador na rede seja suficiente). Vamos instalar o
Wireshark diretamente em sua mquina para obter a captura de pacotes que precisamos.
Desde que o problema esteja afetando vrios computadores, sabemos que no um problema com o
computador de Owen especificamente, uma captura apenas de seu computador que tenta acessar a Internet
no vai nos dar as informaes que necessitamos. Em vez disso, vamos usar o utilitrio ICMP traceroute para
obter uma melhor idia de onde reside o problema.
O traceroute uma ferramenta de diagnstico baseado no ICMP (UDP baseados em Unix) que envia
pacotes para cada roteador ao longo de um caminho, progredindo at atingir um destino especificado. O
traceroute ir relatar algumas informaes bsicas sobre quaisquer atrasos que enfrentamos (como mostrado
na sada na figura abaixo), mas para obter uma compreenso real sobre onde est o gargalo, vamos capturar
os resultados do traceroute com o Wireshark.
Eu inclu uma imagem de uma tela de sada de traceroute como amostra na figura abaixo. Cada linha
representa o tempo que leva para atravessar uma rede em uma rota at o destino.

78
Anlise
Olhando para o arquivo de captura (icmp-tracert slow.pcap, figura abaixo), a primeira coisa que vemos so os
pacotes Echo (ping) a serem enviados a partir do computador de Owen para um host remoto.

Estes pacotes diferentes dos pacotes ping regular uma importante maneira, como voc ver se olhar
na seo IP do painel Packet Details. A diferena que o valor de TTL destes pacotes est definido como
um, como mostrado na figura abaixo.

O valor Time-To-Live (TTL) um valor numrico que determina quantas vezes um pacote saltar de
um roteador at outro atravs de uma rede at chegar ao seu destino final. Um valor de 1 significa que um
traceroute ir enviar um pacote para o dispositivo de destino, mas que o pacote termina quando ele atinge o
primeiro roteador ao longo do percurso, neste mesmo tempo, um pacote ICMP TTL expirado ser enviado de
volta. Depois de recebido este ICMP TTL expired packet, o traceroute ir enviar outro pacote com um valor
TTL de 2, o que causar um ICMP TTL expired packet a ser enviado de volta uma vez que o pacote atinge o
segundo roteador ao longo do percurso. Esse processo continua at que um pacote tenha o valor de TTL que
apenas o suficiente para chegar ao destino, como ilustrado na figura abaixo.

TTL 1

TTL 2
TTL 3

Aplicando o nosso conhecimento recente sobre TTL em nossa situao atual, podemos ver
imediatamente um problema com o primeiro pacote enviado. Este pacote tem um TTL de valor de 1, por isso
imediatamente atinge o roteador interno da nossa rede que deveria nos responder, mas isso no acontece.
Uma vez que o computador de Owen no recebeu uma resposta imediata de volta ao primeiro pacote
TTL de valor 1, ele espera cerca de trs segundos (como mostrado no campo Time do Wireshark na figura
abaixo) e ento envia outra solicitao.

79
 Quando o computador de Owen no recebe nenhuma resposta para esta segunda tentativa, ele
aguarda aproximadamente trs segundos e envia um ltimo pacote para o roteador, que tambm no obtm
xito, como mostrado na figura abaixo.

Neste ponto, o traceroute obtm uma resposta do primeiro roteador, assim que seu prximo pacote
(pacote 4) que tem um valor TTL de 2. Este pacote chega ao segundo roteador com xito, e o computador de
Owen recebe o esperado ICMP tipo 11, cdigo 0, que tem a mensagem Time-To-Live exceeded, mostrado na
figura abaixo.

Esse processo continua at o resto da captura, o valor de TTL continuamente incrementado at que
o destino seja alcanado.
O que podemos determinar a partir desta anlise traceroute? Primeiro de tudo, sabemos que nosso
problema reside no roteador interno da nossa rede, porque nunca conseguimos receber uma resposta ICMP
dele. Roteadores so dispositivos muito complicados, por isso no nos aprofundaremos na semntica do que
exatamente est errado com o nosso roteador. O ponto chave que ns obtemos xito determinando onde
reside o problema: no roteador interno da nossa rede.

Resumo
Mais uma vez, o Wireshark nos salvou inmeras horas de resoluo de problemas nos permitindo
rapidamente localizar a fonte do nosso problema. Enquanto o Wireshark no vai nos dizer o que h de errado
com o nosso roteador ou como corrigi-lo, sabemos agora o suficiente para virar a nossa ateno para a
configurao do roteador para saber mais sobre o problema.
Ns tambm aprendemos algumas coisas novas sobre o ICMP, bem como a forma de trabalho com o
utilitrio traceroute. (o traceroute tem vrias outras opes configurveis e de uso, voc pode descobrir mais
sobre eles, fazendo uma busca rpida pela Internet.)

Viso Dupla
Neste cenrio, voc ter instalado e configurado um novo computador para o Jeff, o empregado mais novo da
empresa. Normalmente, quando voc instala um novo computador, voc espera que ele seja mais rpido que o
resto dos dispositivos em sua rede. No entanto, depois de pouco tempo, os relatrios de Jeff passa por
perodos de pico de utilizao, o seu computador est com lentido grave a ponto de que determinados
servios de rede tornam-se indisponveis.

O Que Sabemos
Primeiro de tudo, sabemos que o computador de Jeff novo, assim deve funcionar com um desempenho
ideal. Fora isso, no h outros relatos de lentido rede, durante o pico ou no de utilizao . Sabemos tambm
que Jeff um usurio que usa muito da largura de banda. A maioria das suas tarefas est relacionada com a
utilizao da rede, e muitas vezes ele executa mltiplas aplicaes net-centric de uma vez. Estas aplicaes,
juntamente com a Internet e clientes de email, criam uma carga acima da mdia do trfego, mas que a nossa
rede deve ser capaz de lidar facilmente.

Farejando Atravs dos Fios

Porque esse problema est relacionado apenas ao computador de Jeff, vamos instalar o Wireshark diretamente
nele. A melhor poca para analisar este problema quando ele est acontecendo, que durante o tempo de
pico de uso. Queremos que Jeff possa executar sua rotina diria, por isso vamos iniciar a captura do arquivo,
deixe-o funcionar por alguns minutos, enquanto Jeff faz as suas tarefas, e termine-as para que possamos olhar
os dados coletados.

80
Anlise
O ttulo deste cenrio realmente se torna claro quando voc abre o arquivo de rastreamento, double-
vision.pcap. Imediatamente, voc vai notar tudo duplicado, todos os pacotes no arquivo de captura so
repetidos, como voc pode ver no incio da captura na figura abaixo. Isto definitivamente no normal.

Nota:
Por razes de simplicidade, vamos apenas olhar para seis pacotes, uma vez que realmente tudo o que
necessrio para nossos propsitos. Basta lembrar que todos os pacotes so duplicados para todas as
comunicaes a partir do computador de Jeff.

Existem duas causas comuns para pacotes duplicados em um arquivo de captura: inconsistncias no
encaminhamento e configurao incorreta do espelhamento de porta. Antes de chegarmos at essa nossa
concluso e tentar determinar a causa disso tudo, vamos ter certeza que os pacotes que estamos olhando so
verdadeiras duplicatas um do outro.
Uma maneira de determinar se os dois pacotes so idnticos olhar para o nmero de identificao IP de
cada um em seu cabealho IP. Voc vai encontrar esse ID na seo IP de um pacote no painel Packet Details.
Voc ver que o primeiro e segundo pacotes tm o mesmo nmero de identificao, 0xc509, como mostrado
na figura abaixo.

O mesmo verdade para os terceiro e quarto pacotes, ambos tm um ID da transao 0xaca7, como
mostrado na figura abaixo. Continuando a lista, ns achamos que o mesmo verdadeiro para cada par de
pacotes no arquivo de captura.

Agora que sabemos que todos os pacotes so duplicatas exatas tanto quanto a carga em uso, podemos
comear a tentar determinar qual das duas solues possveis mais provvel que seja correta, roteamento
inconsistente ou erro de espelhamento de porta. Para esse fim, vamos olhar para os valores TTL dos pacotes.

81
 Se esses valores diferem, sinaliza um problema de roteamento interno; se so iguais, ento temos
provavelmente um problema de espelhamento de porta.
Conforme mostrado na figura abaixo, vemos que o valor TTL do pacote 1 47, e o valor do pacote 2
46. Isso nos diz que definitivamente temos um problema de roteamento interno. O fato que o segundo pacote
foi diminudo de 1 mostra que o mesmo passou por um roteador em algum lugar e depois foi devolvido de
volta nossa mquina.

Porque este problema est apenas ocorrendo com o computador de Jeff,

conclumos que deve ser isolado nele, mais do que em um roteador na rede. Aps
uma investigao mais aprofundada, achamos que o seu novo computador foi
configurado com uma mscara de subrede errada.

Resumo
Se uma mquina est configurada com uma mscara de subrede errada, o resultado pode ser uma
multiplicidade de problemas, incluindo a preveno da comunicao dele com os outros computadores. Neste
caso, todos os pacotes enviados a partir do computador de Jeff so devolvidos, essencialmente duplicando a
quantidade de trfego que o computador tem que lidar diminuindo a comunicao diminuindo tremendamente
durante os horrios de pico.

Ser que o Servidor Emperrou?

Surpresa! Outro usurio est se queixando de uma conexo de Internet lenta. Desta vez, Eric reclama que ele
no pode acessar uma parte do site da Novell para o download de alguns softwares necessrios. Cada vez que
ele visita o site, o seu browser carrega e carrega, mas nada acontece. Deve ser um problema com a rede,
certo?

O Que Sabemos
Aps uma verificao completa da rede, determinamos que o acesso Internet normal para todas as
mquinas exceto para a mquina de Eric. Portanto, o problema deve ser especfico da estao de trabalho de
Eric. Seu computador est executando o Windows, e est completamente atualizado com todos os service
packs mais recentes e patches. Aps mais investigao, descobrimos que o nico problema com uma seo
especial do site da Novell.

Farejando Atravs dos Fios

Porque o problema aqui apenas com o computador do Eric, podemos instalar o Wireshark em seu sistema e
capturar os pacotes que precisamos. O problema ocorre quando ele visita uma seo especial do site da
Novell, por isso vamos obter este arquivo de rastreamento, enquanto este problema especfico est ocorrendo.

Anlise
Quando voc abre o http-client refuse.pcap (mostrado na figura abaixo) deve ser capaz de identificar
imediatamente a comunicao HTTP, j que h um pedido HTTP aps o handshake TCP inicial. Na verdade,
esse pedido HTTP parece normal at os pacotes 28 e 29, como voc ver abaixo. Vamos pular at eles e ver
se podemos localizar o problema.

Fique de olho na coluna Tempo nesta captura. Todos os pacotes so recebidos sem atraso at o pacote 28.
Estamos no meio de uma transao HTTP quando de repente h uma defasagem de 9 segundos entre os
pacotes de 27 e 28.
82
 No mundo das comunicaes de rede, um atraso de 9 segundos entre pacotes completamente
inaceitvel, a menos que voc esteja esperando por alguma forma de entrada de dados do usurio. Depois de
passar 9 segundos, o servidor no pode mais transmitir os dados de volta que ele precisa ao cliente, por isso
envia um pacote RST para terminar a conexo. Nosso cliente no desistiu ainda, e ele espera um adicional de
55 segundos (como mostrado na figura abaixo) antes de reconhecer o reset.

O servidor deixou de se comunicar com o cliente, e temos de encontrar o porqu. Poderamos passar o
passo a passo em toda a captura e analisar cada pacote, mas seria um processo extremamente longo e tedioso.
Em vez disso, ns vamos tomar o caminho mais fcil.
Uma vez que estamos lidando com uma transao HTTP, o fluxo TCP deve ser de fcil leitura,
enquanto ns podemos seguir o arquivo de rastreamento. Depois de abrir o fluxo TCP, observe que as cores
diferentes so usadas para mostrar a comunicao: O vermelho utilizado para transferncia de dados de
nossos clientes, e o azul usado para mostrar os dados transferidos do servidor remoto.
Olhando para esse trfego, voc no consegue ver nada alm do que o normal do HTML sendo
transferido? Se voc navegar at a segunda parte do trfego que vem do nosso cliente, voc ver um pedido
para obter um applet Flash a partir do servidor Novell, como mostrado na figura abaixo. Isto onde reside o
problema. A pgina web Owen est tentando visualizar uma solicitao de um objeto Flash, este tipo de
pedido pode ser facilmente bloqueado por um bloqueador de pop-up. Isso apenas o que est acontecendo
aqui.

Resumo
Aps um pouco de investigao sobre os dados Flash sendo chamado a partir do site da Novell, voc aprende
que o site tenta abrir o seu contedo principal em uma nova janela flash, que o bloqueador de pop-up do
Internet Explorer do Eric est bloqueando. Enquanto o navegador no for capaz de nos dar alguma
informao til sobre o problema (exceto uma mensagem de tempo limite de conexo), usamos o Wireshark,
alguns conceitos bsicos de anlise de pacotes, e um pouco de pacincia para localizar o ponto exato onde o
processo de comunicao estava sendo prejudicado.

83
Uma falha de Anlise
Neste cenrio seguinte, um dos usurios da nossa rede tem chamado no help desk reclamando que a rede est
funcionando muito lentamente. Ele no pode acessar a Internet ou qualquer rede-centric aplicaes a uma
velocidade razovel, e ele realmente ficando para trs em seu trabalho. O que est tornando as coisas to
lentas?

O Que Sabemos
Depois de examinar outros usurios da rede, aprendemos que o problema da Internet generalizado. Todos os
usurios relatam que a Internet to lenta que quase inutilizvel. O roteador de borda de sua rede tambm
indica alta utilizao do processador, mostrando que ele est lidando com um trfego muito substancial, tanto
de sada como de entrada.

Nota:
O roteador de borda descreve a localizao de um roteador em uma rede. Um roteador de borda est
na extremidade de uma rede e a conecta ao mundo exterior.

Farejando Atravs dos Fios

Porque o roteador de borda manipula todo o trfego entre a rede local e a Internet, e mostra uma carga de
processamento alta, o roteador de borda o melhor ponto de anlise aqui.

Anlise
Vamos usar espelhamento de porta para enfrentar este cenrio, porque obviamente no podemos instalar o
Wireshark em um roteador.
Os pacotes includos na captura slowness.pcap-torrenciais oferece apenas uma breve amostragem das
muitas conexes acontecendo em nossa rede, como mostrado na figura abaixo.

Um sistema dentro da nossa rede (192.168.0.193) aparece repetidamente nesta captura, fazendo e
recebendo ligaes de um monte de sistemas fora da nossa rede. Mais preocupante ainda, a maior parte do
trfego que est sendo enviado com a bandeira do TCP PSH, o que obriga um computador receptor a ignorar
o seu buffer e repassar todo o trfego diretamente, frente de qualquer outro trfego. Isso quase sempre um
mau sinal.
Ainda pior, a maioria dessas conexes j passou a fase do handshake TCP, o que significa que existe
transferncia de dados de/para o nosso cliente. Voc pode ter uma noo de quantas dessas conexes esto
ocorrendo, observando os dilogos das conversaes mostrados na figura abaixo.

84
 Em apenas um segundo de captura, existem 27 diferentes conversaes TCP acontecendo!
A maneira mais simples para aliviar este problema seria ir para ao computador ofensor e dar uma
vasculhada, mas o que pode ser divertido nisso? Ns vamos fazer a forma de analisar os pacotes.
Olhando para os pacotes, o primeiro curso de ao pode ser rastrear os endereos IP remotos e ver
onde eles esto localizados, geralmente atravs da realizao de uma pesquisa WHOIS em cada endereo IP.
No entanto, neste caso voc encontrar rapidamente que a maioria desses endereos IP no aponta para
qualquer empresa ou mesmo para a mesma rea, mas sim em locais diferentes em torno do mundo.
Para melhor avaliar os pacotes, voc poderia ver se o fluxo TCP detm todas as informaes
valiosas. Neste caso, seguindo as provas inteis do fluxo TCP, os dados apresentados no nos levam a nada,
como voc pode ver na figura abaixo.

O Servidor POP de Email

Em termos de importncia, aos olhos dos empregados o e-mail est no mesmo nvel da Internet . Sendo esse o
caso, quando no est trabalhando, voc estar ouvindo sobre isso.
Neste cenrio, todos os usurios da rede esto reclamando que seu e-mail est tomando um tempo
extremamente longo para chegar ao seu destino. Tanto para o caso do e-mail enviado a outros domnios,
mesmo o caso do e-mail enviado para os colegas de trabalho dentro da mesma organizao. Vamos chegar a
fundo nisto.

O Que Sabemos
Todo o e-mail da nossa empresa gerenciado atravs de um servidor de email. Depois de fazer algumas
pesquisas, ns confirmamos que este problema existe para todos os clientes de e-mail em nossa rede.
Considerando que um e-mail tpico do escritrio, normalmente entregue instantaneamente, a entrega est
agora a tomar de 10 a 15 minutos. A demora a mesma para o recebimento de e-mail externo.

Farejando Atravs dos Fios

Porque o nosso problema est relacionado a um servio que est hospedado em um servidor de email, vamos
colocar o nosso analisador de l. O problema tem sido consistente durante todo o dia de trabalho, portanto,
qualquer hora boa para capturar os pacotes.

Anlise
Quando voc olhar para os resultados da captura (e-mail troubles.pcap) voc ver exatamente o que voc
deve ver em um servidor de e-mail: pacotes de e-mail. H um monte de Post Office Protocol (POP) pacotes
85
 que entram em nosso servidor de e-mail (veja a figura abaixo), mas apenas quantos e em que velocidade?
Talvez o nosso servidor de e-mail esteja sendo sobrecarregado.

Para determinar a taxa em que ns estamos recebendo os pacotes POP, altere o formato de exibio
Seconds Since Begenning or Capture e olhe para o ltimo pacote no arquivo. Este resultado diz-nos que
estamos vendo dois minutos de trfego intenso, como mostrado na coluna Time na figura abaixo.

Agora podemos comear a olhar para cada fluxo de comunicao para ver se alguma coisa anormal
est acontecendo.
A grande coisa sobre um pacote POP que se voc quiser ver o contedo da mensagem de email,
tudo que voc tem a fazer ler o TCP stream associado a ele. Por exemplo, se voc fizer isso para o pacote 1,
voc ver que este e-mail inclui o texto, bem como um anexo, document_9446.pif, como mostrado na figura
abaixo.

Olhando ainda mais por este fluxo, vemos outra mensagem de outro endereo de e-mail com
aparncia suspeita, mas tambm tem um arquivo PIF anexado a ela.
Uma busca rpida por arquivos PIF ir dizer-lhe que se trata de Arquivos de Informao de
Programa, no algo que voc v normalmente atravs de e-mail. No s isso, esses arquivos tendem a ser
executveis muito grandes. Durante o decurso deste arquivo de captura, estes arquivos chegam a partir de
mltiplas fontes.
O que temos aqui um influxo de spam (e, possivelmente, vrus ou wormcontaining) e-mail que est
sobrecarregando o nosso servidor e tornando o trfego de email muito lento atravs da rede.

Resumo
Nosso servidor de e-mail est sendo esmagado por um alto volume de spam com grandes anexos. Esta
condio muito comum de ver quando monitoramos o desempenho de um servidor de email. Como uma
organizao cresce, a quantidade de spam recebido cresce com ele. No caso da nossa rede, os usurios podem
ser pacientes e cair fora da lentido, ou a organizao pode investir em algum tipo de soluo de filtragem de
spam.

86
Acessando o Gnutella
Este cenrio ao longo das mesmas linhas o nosso cenrio BitTorrent. Tina, uma usuria em nossa rede,
chama e reclama que seu computador est incrivelmente executando devagar, se ela est fazendo algo
localmente, sobre a rede local, ou atravs da Internet.

O Que Sabemos
Este cenrio apresenta o mesmo caso como nosso exemplo anterior BitTorrent. Como tal, sabemos que este
problema generalizado e atinge outros usurios tambm. No entanto, os outros usurios so apenas relatam
sobre velocidades lentas quando tratam com a Internet e aplicaes net-centric. O roteador de borda da nossa
rede de comunicao est com processamento alto e uma grande quantidade de trfego de entrada e de sada.

Farejando Atravs dos Fios

Neste caso, todos os sintomas de computadores infectados so consistentes com o nosso exemplo do
BitTorrent, com a exceo do computador de Tina. No so apenas seus pedidos net-centric lento, mas seu
computador que est em geral se arrastando.
Porque seu computador est apresentando sintomas nicos, vamos supor que o problema est
relacionado ao seu computador, de modo que por onde vamos comear a nossa anlise. No entanto, como o
computador de Tina est to lento, instalar o Wireshark diretamente nele no poderia ser melhor a idia, j
que a lentido pode causar a perda de pacotes durante o processo de captura. Ns vamos usar o espelhamento
de porta em seu lugar.

Anlise
Este arquivo de captura (gnutella.pcap) longo, mas se parece muito com a captura do BitTorrent, em sua
maior parte. Como voc pode ver na figura abaixo, O computador de Tina, 10.1.4.176, parece estar tentando
se comunicar com vrios hospedeiros diferentes fora da nossa rede. As maiorias dessas tentativas voltam sem
resposta aps o SYN inicial ou so negadas pelo cliente com um pacote RST.

Vrios fatores podem estar causando essas falhas de conexes, mas antes de investigar mais
profundamente, vamos ver exatamente a quantidade de trfego que so confrontadas para que possamos
determinar a extenso do nosso problema. Uma boa maneira de fazer isto olhar para os dilogos das
transaes para ver quantas conversas TCP e IP esto acontecendo, como mostrado na figura abaixo.
A janela Conversations mostra que esse arquivo de rastreamento contm 81 transaes IP e 243
TCP, como voc pode ver nas abas na parte superior da figura abaixo. Esse grande nmero de transaes
normalmente aceitvel se voc est vendo o trfego capturado a partir de um servidor, mas esta uma estao
de trabalho, no normal ver estas transaes sobre um curto perodo de tempo.

87
 Se voc olhar para algumas destas transaes TCP, voc vai ver que cada uma envolve um host
remoto. Voc pode dizer que a maioria dessas transaes no foi bem sucedida, uma vez que o nmero de
pacotes para cada uma muito baixo.
A fim de obter as informaes que realmente precisamos para avaliar a comunicao acontecendo
aqui, precisamos ver uma transao bem-sucedida. A melhor forma de faz-lo a partir da janela
Conversations que j temos em aberto. Com a guia IPv4:81 selecionada nessa janela, clique em Packets para
classificar todos as transaes pelo nmero de pacotes que contm, como mostrado na figura abaixo.

Voc deve ver a comunicao entre o computador de Tina e o host remoto, 65.34.1.56, no topo da lista,
como mostrado na figura abaixo.

88
 Agora, veja s esses pacotes clicando nesta conversa, selecionando Aplly as Selected, selecionando
Apply a Filter, e depois escolhendo A<->B. O resultado que voc ver somente os pacotes mostrados na
figura abaixo.

Os pacotes mostrados na figura acima oferecem algumas informaes adicionais que nos leva
diretamente ao problema. Especificamente, os pacotes 431, 433 e 434 so identificados como pacotes Gnutel.
Estes pacotes so caractersticos do trfego Gnutel enviados ou recebidos atravs da rede Gnutella de
compartilhamento de arquivos. Clicando neles obtermos um pouco mais de detalhes, como mostrado na
figura abaixo.

O painel Packet Details do pacote 431 (na figura acima) realmente no nos d todas as informaes teis,
a no ser de que este pacote um download/upload que atravessa a rede Gnutella. Se olharmos para o painel
Packet Bytes (figura abaixo), porm, vemos algo um pouco alarmante.

Este fluxo de dados em particular mostra um comando GET de um download de um arquivo com um
nome que contm as palavras sorority sex kitten. Encontramos o nosso trfego suspeito.
Como um breve aparte, aqui est outra maneira de dizer que este o trfego Gnutella. Se voc olhar
para todas as tentativas de transaes tendo lugar, voc vai notar que as informaes de cabealho do painel
Packet List mostram toda esta comunicao acontecendo na porta 6346, como mostrado na figura abaixo.

89
 Uma busca rpida por esse nmero de porta em http://www.iana.org ir listar os servios
relacionados a esta porta.

Resumo
A rede Gnutella comumente usada para a descarga e distribuio de vrios tipos de arquivo. Esta idia pode
parecer grande no incio, mas, infelizmente resultou em uma grande rede peer-to-peer de pornografia, bem
como de software pirata, filmes e msica.
Neste cenrio, parece que a Tina, ou algum usando o computador da Tina, tem instalado algum tipo
de cliente Gnutella para baixar material pornogrfico.

Consideraes Finais
Se voc olhar como cada um destes cenrios foi resolvido, voc notar que a maioria dos problemas no
estavam realmente relacionados a rede . Isso muito comum quando se trata de denncias sobre uma rede
lenta. Normalmente, no a rede que est lenta, mas problemas com computadores individuais ou aplicaes
que os usurios executam que a tornam desse jeito.

90
 9
ANLISE BASEADA EM SEGURANA

Neste captulo, vamos mergulhar em vrios cenrios relacionados com a segurana de rede e trabalhar
atravs deles com o Wireshark. Com o aparecimento de ameaas de hackers, ladres de identidade, e roubo
de dados das empresas, voc no pode deixar de ser capaz de analisar a segurana de sua rede no nvel do
pacote.

Sistema Operacional Fingerprinting

O Sistema Operacional (OS) fingerprinting uma tcnica usada por hackers para identificar o sistema
operacional de um computador remoto, a fim de obter informaes que possa invadi-lo. O OS fingerprinting
trabalha usando uma mquina remota para enviar vrios comandos a um computador de destino. Quando a
mquina remota recebe as respostas a esses comandos, ele pode interpretar essas respostas para tentar
adivinhar o sistema operacional que o computador de destino est usando. Conhecer o sistema operacional de
um computador permitir encontrar rapidamente as falhas de funcionamento deste sistema.

91
 Quando voc abrir o osfingerprinting.pcap, voc ver vrios tipos diferentes de trfego ICMP, como
mostrado na figura abaixo. Alguns desses trfegos, como pedido Echo (ping), e resposta Echo (ping), so
comuns e no devem ser motivo de alarme. No entanto, o trfego como Timestamp request/reply, Address
mask request, e Information request so incomuns.

O trfego ICMP no usual que vemos na figura acima, sugere que nosso sistema o alvo de um ataque
usando o ICMP atravs de varreduras OS fingerprinting. A mquina que faz o ataque envia esses pedidos e
usa a resposta do sistema alvo (se houver) para determinar o sistema operacional em execuo na maquina
alvo.

Nota:
Como nunca veremos o trfego ICMP tipos 13, 15 ou 17 em circunstncias normais, ns podemos criar
um filtro mostrando somente esse tipo de trfego rapidamente. Esse filtro icmp.type==13 || icmp.type==15
|| icmp.type==17.

Um Simples Escaneamento (varredura) de Porta

Hackers podem usar varreduras de portas para obter informaes importantes sobre uma rede. Usando um
software especializado em varredura de porta , um hacker pode tentar se conectar a um dispositivo atravs de
uma porta especifica, como a 21 (FTP) e 80 (HTTP). Com as informaes recebidas a partir desses exames, o
hacker pode encontrar portas abertas que podem permitir o acesso a sua rede. Pense em uma porta aberta
como um tnel secreto em um castelo bem guardado. Uma vez que o hacker conhece esse tnel, ele pode
muito bem ser capaz de entrar sem usar nenhum outro truque. A figura abaixo, com base no arquivo de
captura portscan.pcap, mostra como um software de varredura de portas trabalha.

Como voc pode ver na figura acima, existem muito poucos pacotes sendo enviados entre 10.100.25.14 (a
mquina local) e 10.100.18.12 (um computador remoto). Quando voc der uma olhada nesses pacotes, voc
vai ver exatamente porque eles so to suspeitos.
Nosso arquivo de rastreamento mostra que todos os pacotes enviados a partir do computador remoto esto
sendo enviados para um nmero de porta diferente na mquina local (por exemplo, 21 e 1028).
Mas o mais importante, que estas portas podem ser exploradas comumente, por um telnet, microsoft-ds,
FTP e SMTP. Quando voc v um computador remoto enviando vrios pacotes para estas portas exploradas,
voc pode tipicamente assumir que uma varredura de porta est ocorrendo.

92
Uma Impressora Abarrotada de Impresso
Mesmo as menores organizaes podem ter vrias impressoras em sua rede. O custo do papel, da tinta, da
manuteno, da propriedade, pode levar ao interesse de uma impressora de baixo volume conectada a rede.
Neste cenrio uma da impressora na nossa rede comeou a imprimir lixo por completo, e ningum sabe a
fonte do mesmo. Nosso objetivo encontrar a fonte de tais documentos misteriosos e pr fim a impresso
eles.

O Que Sabemos
Nossa impressora uma impressora de alto volume conectada a rede atravs de um servidor. No tem
nenhuma permisso especial atribuda a ela, nem qualquer capacidade extra de registro. O problema
constante. Mesmo quando limpamos sua fila de impresso, ela enche imediatamente e comea a imprimir
novamente.

Farejando Atravs dos Fios

Porque a impressora problemtica est instalada em um servidor, haver muito trfego fluindo na rede, e ns
vamos ter um monte de dados para classificar atravs dela. Independente disso, o instalar o Wireshark
diretamente no servidor o melhor caminho a ser seguido. Como o problema parece ser uma constante,
podemos capturar pacotes a qualquer momento.

Anlise
O arquivo de captura printerproblem.pcap um exemplo muito bom do trfego para uma impressora. Como
voc pode ver na figura abaixo, o nosso servidor, 10.100.16.15, est recebendo um fluxo macio de pacotes
de SPOOLS de um cliente dentro de nossa rede, 10.100.17.47.

bastante fcil de identificar a fonte de impresso neste caso, mas ns ainda no resolvemos o problema.
Para saber mais sobre o que est acontecendo, vamos visualizar o fluxo de dados TCP a ser enviado para a
impressora. Voc ver que os dados esto sendo impressos a partir do Microsoft Word e que o username da
pessoa que est imprimindo csanders (figura abaixo).

93
 Resumo
Embora no tenhamos parado o fluxo de pacotes SPOOLS neste cenrio, usamos o Wireshark para encontrar
rapidamente a fonte do problema misterioso de impresso. Tendo identificado a origem, podemos descobrir o
porqu esta informao est sendo enviada para a impressora. (Muito provavelmente, o cliente 10.100.17.47
em nossa rede est comprometido de alguma forma.)

Um FTP Interrompido
O FTP um dos meios mais utilizados para transferncia de grandes quantidades de dados. A empresa que
estaremos olhando tem um servidor de FTP interno que ela usa para manter todo o seu software de pr-
lanamento. Ultimamente, o tcnico de TI encarregado da manuteno e acompanhamento deste servidor tem
notado uma grande quantidade de trfego no servidor depois de algumas horas. Infelizmente, o software
servidor de FTP no tem a funcionalidade de registro, por isso a nica maneira de obter uma boa
compreenso do que est acontecendo obter uma captura de pacotes. Queremos identificar a razo do
aumento do uso da largura de banda pelo servidor e eliminar a fonte.

O Que Sabemos
O servidor FTP est executando um software muito antigo com nenhuma funcionalidade de registro. Todos os
grandes desenvolvedores da empresa ter usernames e contas que lhes permitem pleno acesso a todos os
arquivos no servidor. Este servidor tambm configurado para que ele possa ser acessado de fora da rede, de
modo que os desenvolvedores possam trabalhar de casa.

Farejando Atravs dos Fios

Uma vez que este servidor est em nossa rede, instalar o Wireshark sobre ele possa parecer o melhor mtodo
a utilizar. No entanto, j que o servidor est passando por um nvel muito elevado de carga de trfego, os
pacotes podero ser descartados se acabar entupindo muito o servidor, por isso vamos usar o espelhamento de
porta em seu lugar.

Anlise
Quando voc abre a captura crack.pcap ftp, voc vai ver um monte de coisas acontecendo em um perodo
muito curto de tempo. De nossa discusso sobre FTP no captulo 6, voc dever estar familiarizado com a
forma como o processo de autenticao FTP acontece.
Aps o handshake TCP inicial, um processo de login normalmente ocorre de modo que o usurio pode
comear a interagir com o servidor. Nesta captura, saltamos direito para o processo de autenticao de
username e password, e como voc pode ver no pacote 4 (figura abaixo), esta tentativa de autenticao falha.

Podemos supor que o usurio que est tentando fazer login tenha digitado incorretamente sua senha, mas
essa suposio rapidamente deixada de lado nos prximos pacotes. Como mostrado na figura abaixo, vemos
muitas falhas de autenticao.

94
 Imediatamente aps a tentativa de autenticao no vemos outra tentativa de login para o servidor
(10.121.70.151) de um cliente dentro da nossa prpria rede (10.234.125.254). O curioso sobre esta solicitao
que o usurio est tentando se logar usando a conta de administrador, como visto no pacote 10 na figura
abaixo.

Esta uma grande oportunidade de usar um filtro de visualizao para mostrar apenas os pacotes que
representam uma tentativa de login FTP, assim como:

Agora, se olharmos na coluna Info de cada tentativa de login, podemos ver que as passwords esto sendo
usadas em ordem alfabtica, ou seja, o atacante est percorrendo cada letra do alfabeto em sucesso. Este
um sinal indicador de que algum est tentando adivinhar a senha de uma conta usando um ataque estilo
dicionrio. O ataque estilo dicionrio aquele em que as senhas so adivinhadas com base em um usurio ou
em uma mquina criando dicionrio de palavras. Se voc olhar para o tempo entre cada tentativa, voc
tambm pode ver que essas tentativas de adivinhar a password esto acontecendo rpido demais para ser feita
por um ser humano, elas provavelmente esto sendo feitas por uma ferramenta de um hacker. Encontramos
com sucesso a fonte da utilizao de nosso aumento de banda.

Resumo
Temos confirmado que um computador dentro da nossa rede est sendo atacado por um programa hacker
projetado para executar um ataque de dicionrio sobre o servidor FTP. Mas nosso trabalho no est feito
ainda. Neste ponto, precisamos determinar se o empregado cuja mquina est a lanar o ataque responsvel
por faz-lo ou se o seu computador foi comprometido a partir de outro computador remotamente.

95
O Vrus (Worm) Blaster
A crescente ameaa de vrus e worms que se espalham pela Internet assusta os administradores de sistema e
usurios finais. Neste cenrio, Eddy faz uma chamada no help desk com a preocupao de que seu
computador foi infectado com um vrus. Toda vez que ele inicia seu computador ele recebe uma mensagem
que o mesmo ser desligado em 60 segundos. Uma vez que este timer expira, o computador desligado como
indicado. Este processo continua se repetindo continuamente e ele no acessa seu computador por mais de 60
segundos de cada vez.

O Que Sabemos
Sabemos que Eddy tende a ser cuidadoso com a segurana, de modo que um spyware no uma preocupao
imediata. Nossa empresa utiliza um software antivrus, no entanto descentralizado e na maior parte
gerenciado pelo usurio.

Farejando Atravs dos Fios

Toda vez que voc suspeitar que um vrus ou worm pode ser a causa de um computador com problema ,
normalmente no uma idia sensata instalar um sniffer diretamente nessa mquina. Programas mal-
intencionados muitas vezes podem funcionar contra farejadores de pacotes no lhes permitindo executar
corretamente. Nossa melhor estratgia aqui usar o espelhamento de porta. A captura comear logo que o
computador ligado e terminar quando o computador se desligar aps o temporizador de 60 segundos
expirar.

Anlise
O arquivo de captura blaster.pcap, mostrado na figura abaixo, registra alguns pacotes TCP sendo transmitidos
de nosso computador para outro computador suspeito na rede local via portas 1793 e 4444. Estes pacotes so
capturados em um momento quando nada est ativo na mquina que no seja no perodo de 60 segundos,
dessa atividade suspeita.

Uma das melhores maneiras de identificar o trfego de um vrus ou worm olhar para os dados sendo
enviados atravs da rede. Vamos olhar para cada pacote em nossa captura no painel Packet Bytes na parte
inferior da janela principal do Wireshark. Os dados do primeiro pacote parecem inocentes o suficiente, isso
no uma informao muito usual, como voc pode ver na figura abaixo.

Movendo-se para o segundo pacote, no entanto (figura abaixo), vemos uma referncia para o C:\ WINNT\
System32. Este um dos mais importantes diretrios do sistema Windows 2000, pois contm muitos arquivos
de sistema usados para carregar e executar o Windows. Vendo um pacote de rede referenciando esse local,
um sinal de problemas.

96
 Mais uma vez, o terceiro pacote no fornece nenhuma informao til, mas o quarto mostra algo que
pode ser motivo de preocupao, como mostrado na figura abaixo.

O painel Packet Bytes do quarto pacote mostra uma referncia direta ao arquivo msblast.exe. Se voc
esteve envolvido com TI at a ltima parte de 2003, este nome deve saltar para fora em voc imediatamente.
Entretanto, se voc no esteve, no se preocupe o Google nosso amigo. A busca por este nome trar muita
informao sobre o worm Blaster origem do problema no computador de Eddy.

Resumo
Neste cenrio, fomos confrontados com um computador com software anti-vrus que no estava funcionando
corretamente, o problema acabou por ser o worm Blaster.
Quando voc suspeitar que voc pode estar lidando com um vrus ou worm, voc pode geralmente descobrir
tudo o que voc precisa saber sobre a ameaa de executar uma Pesquisa na Internet para os sintomas. Depois
de identificar o vrus ou worm voc poder trat-lo, voc pode pesquis-lo e aprender a combat-lo.

Informaes Confidenciais
Neste cenrio voc o agente de segurana de rede em uma grande empresa multinacional corporao. Voc
acaba de ser alertado pelo seu superior que um empregado ouviu outros dois funcionrios discutindo a
possibilidade de vender informaes da empresa. Sua tarefa neste cenrio para monitorar os computadores
dos dois funcionrios suspeitos para ver se voc pode descobrir seus planos.

O Que Sabemos
Este cenrio baseado na especulao de outro funcionrio. Enquanto ns ainda no podemos verificar se o
que foi ouvido verdadeiro ou se foi apenas retirado do contexto, sabemos que os dois funcionrios em
questo so muito esclarecidos em relao ao uso do computador , ento nossas observaes devem ser
realizadas com o mximo de cuidado.

Farejando Atravs dos Fios

Porque no queremos que os nossos colaboradores com experincia em tecnologia saibam iremos monitor-
los, queremos ter absoluta certeza que os computadores que sero monitorados no mostrem sinais de estarem
sendo observados. Por este motivo, vamos usar o espelhamento de porta, apesar de estarmos dentro da nossa
prpria rede. Definiremos um espelhamento separado e uma captura para cada computador a ser monitorado.

Anlise
Ao longo do dia de trabalho destes dois trabalhadores, um monte de pacotes gerado. Na maioria dos casos,
esses pacotes so legtimos, portanto, o primeiro passo procurar por trfego que possa ser suspeito. Utilizar
filtros tornam fcil a busca do trfego, tais como DCEPRC, NetBIOS, ou ICMP, que no deveramos ver, em
circunstncias normais. Eu apliquei esse filtro para a captura covertinfo.pcap, o resultado so dois pacotes a
partir de um computador do empregado, conforme mostrado na figura abaixo.

Estes pacotes podem parecer com os pacotes ICMP padro, mas a origem e endereo de destino
pertencem aos computadores dos nossos dois funcionrios suspeitos. Por que eles estariam pingando-se
durante o meio do dia?

97
 Em seguida, como no cenrio anterior vamos dar uma olhada no painel Packet Bytes para ver se
conseguimos encontrar alguma coisa interessante neste pacote de ping. Ao faz-lo, vemos algo um pouco
alarmante, como mostrado na figura abaixo.

Esse pacote ping est longe de ser normal. Por uma questo de fato, ele est carregando uma carga secreta
com detalhes que os nossos funcionrios cuidam para que no saibamos!

Resumo
A tecnologia utilizada neste cenrio conhecida como Loki, um meio de envio de informaes pela rede
atravs de mtodos ocultos. O termo Loki vem do primeiro projeto que incorpora dados em pacotes ICMP.
Na nossa situao, o ICMP foi usado como veculo para transmitir mensagens entre nossos dois funcionrios
com inteno maliciosa.
A utilizao de canais secretos de comunicao no uma nova tecnologia, mas est evoluindo
constantemente. No incomum encontrar dados escondidos em outros tipos de pacotes, bem como os
cabealhos TCP e pacotes ARP. Lembre-se sempre do painel Packet Bytes , mesmo que voc no o use
freqentemente, s vezes ser a nica forma de ver os segredos do contedo de um pacote.

O Ponto de Vista de um Hacker

Ao longo deste livro, ns olhamos as coisas do ponto de vista de um administrador de rede. Mas o que
acontece quando um hacker com algum conhecimento de anlise de pacotes decide dar uma espiada no que
est trafegando em nossa rede? Neste cenrio, assumimos a identidade de um hacker que tenta acessar
informaes sensveis sobre a nossa rede local em nossa empresa.

O Que Sabemos
Mesmo que voc seja um funcionrio da empresa voc est tentando violar o acesso a rede, voc tem um
acesso limitado aos recursos de rede. uma rede padro Ethernet, utilizando-se de alguns switchs e
routeadores. Todos os computadores da rede rodando vrias verses do Windows com privilgios de acesso
definidos em uma base por usurio.

Farejando Atravs dos Fios

Alguns hackers desejam capturar as senhas de administradores de rede para pode acess-la com privilgios.
Outros simplesmente querem quebrar a segurana da mesma. Neste caso, queremos acessar um roteador na
rede e depois fazer alguns danos srios. Os administradores de rede esto sempre se deparando com essas
coisas, por isso o processo deve ser simples o suficiente para monitorar a comunicao entre um
administrador de rede e um roteador para interceptar uma senha.
Felizmente, tanto o administrador da rede e o roteador de destino esto na mesma sub-rede do computador
que faremos o nosso ataque. Ns usaremos o Cain & Abel para criar o envenenamento de cache ARP entre o
administrador de rede computador, 10.100.18.5, e o roteador de rede, 10.100.16.1, assim como que fizemos
no Captulo 2.

Anlise
Depois de um tempo, conseguimos obter um ficheiro de captura que contm o trfego telnet do administrador
da rede o login no roteador. Para fins do presente cenrio, a figura abaixo mostra apenas o trfego relativo a
esta sesso telnet.

98
 Quando discutimos sobre o telnet no captulo 6, notamos que ele normalmente usa texto em sua
transmisso de dados. Telnet geralmente usado remotamente para administrar switches, servidores e
roteadores, como aqui. A maioria desses dispositivos tem caractersticas que permitem a voc fazer o login
de forma segura, normalmente via SSH, mas isto algo que os administradores de sistemas freqentemente
negligenciam. Uma vez que a comunicao est a passar visvel, devemos ser capazes de encontrar as
credenciais de login para este roteador com um pouco de pacincia.
Telnet um protocolo seqencial, o que significa que tudo acontece em uma srie definida. Portanto, a
melhor maneira de localizar o processo de login atravs de visualizarmos os dados dos pacotes Telnet um a
um. Vemos o incio do processo de autenticao claramente no pacote 8, conforme mostrado na figura
abaixo.

Se voc olhar no painel Packet Details no campo Telnet, voc ver que os dados que esto sendo
passadas a partir do servidor o pedido de um username. Os prximos pacotes de resposta ao servidor deve
conter o nome, mas um pouco mais complicado do que isso.
Como voc pode ver na figura abaixo, o pacote 10 contm apenas a letra a. Isto no se parece com um nome
de usurio tpico, e no .

O prximo pacote enviado pelo cliente para o servidor nos d outra parte do quebra-cabea, a letra d,
conforme mostrado na figura abaixo. Ns estamos vendo a resposta do administrador sendo enviada ao
servidor em um pacote de cada vez. Este processo prossegue por algum tempo at que possamos finalmente
ver a palavra admin. No muito original, n? provavelmente o padro.

No pacote de 24 vemos um pedido de senha, como mostrado na figura abaixo.

99
 Mais uma vez, vemos pacotes que vo atravs do fio que nos do a senha uma letra de cada vez (figura
abaixo).

Continuamos farejando esses pacotes at que tenhamos a senha completa, barrymanilow. No s

conseguimos capturar a senha do roteador, mas tambm aprendemos que o administrador da rede tem bom
gosto musical!

Resumo
Neste ponto, ns temos tudo que precisamos para derrubar esta rede. Uma vez dentro da configurao do
roteador, podemos eliminar sub-redes, trocar ips das interfaces, e fazer todas as sortes de outras coisas
perniciosas que far com que o administrador de rede tenha dores de cabea severas.
O ponto deste cenrio no mostrar o que se pode fazer em um momento de raiva, mas sim demonstrar o
poder que algum com um pouco de conhecimento e um farejador de pacotes pode ter. Com o Wireshark e
algumas outras ferramentas simples, ns efetivamente encontramos uma maneira de parar completamente
todas as funes nesta rede.

100
 10
FAREJANDO PELO AR
O mundo das redes sem fio (wireless) completamente diferente da tradicional rede (com fio).
Quando consideramos a rede wireless precisamos levar em conta questes como freqncias, padres e
questes de segurana. Dadas estas consideraes extras, voc pode apostar que o processo de farejamento
(sniffing) muda completamente.
Este captulo dedicado a explicar o processo de farejamento em redes sem fio no Windows.
Enquanto discutimos o que faz o farejamento wireless original, veremos alguns exemplos do mesmo.

Farejando um Canal de Cada Vez

A primeira coisa a entender sobre o farejamento de trfego em redes sem fio que voc s pode farejar um
canal sem fio por vez. As redes sem fio nos Estados Unidos podem operar em um dos onze canais diferentes
(mais informaes esto disponveis a nvel internacional). Portanto, antes de capturar o trfego de uma rede
sem fio do cliente ou do ponto de acesso (WAP), voc deve primeiro identificar qual o canal est
transmitindo (figura abaixo).

101
 A melhor maneira de descobrir qual o canal est sendo utilizado utilizar o salto de canal. Quando voc
utiliza o salto de canais voc simplesmente inicia uma captura de pacotes e alterna rapidamente de canal para
canal at que voc veja os dados relacionados ao que voc est procurando. Embora o salto de canal no seja
a melhor tcnica ele funciona.

Interferncia do Sinal em uma Rede Sem Fio

Infelizmente, s vezes no podemos confiar na integridade da comunicao sem fio. Porque os dados so
enviados atravs do ar, muito provvel que alguma coisa vai interferir no sinal. As redes sem fio incluem
recursos para lidar com interferncias, mas eles no trabalham sempre. Portanto, estiver capturando pacotes
sobre uma rede sem fio, preste muita ateno no seu ambiente para garantir que no existam fontes de
interferncia, como as grandes superfcies reflexivas, grandes objetos rgidos, microondas, aparelhos de 2,4
GHz sem fio, paredes grossas e superfcies de alta densidade.
Nessa mesma linha, tente chegar o mais perto possvel do dispositivo que voc est analisando.
Voc no pode esperar capturar todos os pacotes enviados por um dispositivo se voc estiver em um andar
acima dele.

Modos de Funcionamento de uma Placa de Rede Sem Fio

Antes do farejamento de pacotes em uma rede sem fio, uma boa idia se familiarizar com os diferentes
modos em que uma placa de rede sem fio pode operar.
A maioria dos usurios utiliza cartes de rede sem fios gerenciados ou em modo ad-hoc, mas outros
modos incluem o modo mestre e o modo monitor. Falarei sobre cada modalidade, uma representao grfica
da forma como cada um funciona mostrado na figura abaixo.

102
 Modo Gerenciado
O modo gerenciado utilizado quando o cliente sem fio se conecta diretamente a um ponto de acesso
sem fio (WAP). Nestes casos, o driver associado com a placa de rede sem fio depende do WAP para
gerenciar as entradas do processo de comunicao.
Modo Ad-Hoc
O modo Ad-hoc usado quando voc tem uma configurao de rede sem fio em que dispositivos se
conectam diretamente uns aos outros. Neste modo, dois clientes sem fio que desejam se comunicar um
com o outro compartilham as responsabilidades da comunicao, coisas que um WAP normalmente
lida.
Modo Master
Algumas placas de rede sem fio de ponta tambm suportam o modo Master. O modo Master permite
que a placa de rede sem fio trabalha em conjunto com o software driver de modo a permitir que o
computador funcione como um WAP para outros dispositivos.
Modo Monitor
Este o modo mais importante para nossos propsitos. O modo Monitor usado quando voc quer
que seu cliente sem fio no pare de transmitir e receber dados e s escutar os pacotes a ele destinados
pelo ar. Para que o Wireshark possa capturar os pacotes em uma rede sem fio, sua placa de rede e o
driver da mesma deve suportar o modo Monitor. Se voc compra uma placa de rede sem fio para fins
de anlise, no se esquea de verificar se ela suporta o modo Monitor (tambm conhecido como modo
RFMON).

Farejando via Rede Sem Fios no Windows

Mesmo que voc tenha uma placa de rede sem fio que suporta o modo Monitor, muitos driver dessas placas
baseados no windows podem no permitir que voc mude para este modo. Voc precisa de um hardware
extra para comear o trabalho a ser feito.

Configurando o AirPcap
AirPcap (da CACE Technologies http://www.cacetech.com) projetado para superar as limitaes que
coloca Windows na anlise de pacotes wireless. O AirPcap um pequeno dispositivo USB (figura abaixo)
que lembra um flash drive que foi concebido para capturar o trfego sem fio. O AirPcap usa o driver
WinPcap discutido no captulo 3 e um utilitrio de configurao especial no cliente.

O programa de configurao AirPcap simples de usar, tem poucas opes configurveis. Conforme
mostrado na figura abaixo, o painel de controle do AirPcap oferece as seguintes opes:

103
 Interface
Voc pode selecionar o dispositivo que voc est usando para a sua captura aqui. Algumas anlise de
cenrios avanados podem exigir que voc use mais de um dispositivo AirPcap para farejar
simultaneamente em vrios canais.
Blink Led
Clicando neste boto far com que as luzes LED no dispositivo AirPcap pisquem. Isto usado
principalmente para identificao do adaptador especfico que voc est utilizando, se voc estiver
usando vrios dispositivos AirPcap.
Channel
Neste campo, voc seleciona o canal no AirPcap que deseja escutar.
Include 802.11 FCS in Frames
Por padro, alguns sistemas reservam os ltimos quatro bits de verificao dos pacotes wireless. Este
check, conhecido como Frame Check Sequence (FCS), usado para garantir que os pacotes no foram
corrompidos durante a transmisso. A menos que voc tenha um motivo especfico para fazer o
contrrio, marque essa caixa para incluir o checksums FCS.
Capture Type
As duas opes aqui so 802,11 e 802,11 + Radio. Somente a opo 802.11 inclui o cabealho padro
802.11 em todos os pacotes de captura. A opo 802,11 + Radio inclui este cabealho e tambm
apresenta um cabealho radiotap, que contm informaes adicionais sobre o pacote, como a taxa de
dados, a freqncia, o nvel do sinal e o nvel de rudo. Escolha 802.11 + Radio para ver todas as
informaes de pacotes disponveis.
FCS Filter
Mesmo que voc desmarque a caixa ao lado das palavras Include 802.11 FCS in Frames, esta opo
permite filtrar pacotes que o FCS determinou como corrompidos. Use a opo Valid Frames para
mostrar apenas os pacotes que o FCS acha que foi recebido com xito.
WEP Configuration
Esta rea (acessvel na guia Keys) permite que voc insira as chaves de decriptografia WEP para as
redes que voc est farejando. Para ser capaz de interpretar os dados criptografados por WEP, voc
ter que inserir as chaves WEP correta para este campo.

Capturando Trfego com o AirPcap

Uma vez que voc instalou e configurou o AirPcap, o processo de captura dever ser familiar para voc.
Basta seguir estes passos:
1. No Wireshark, selecione Capture > Options.
2. Selecione o dispositivo AirPcap na caixa de seleo da interface, como mostrado na figura abaixo.

104
 Tudo na tela deve ser familiar a voc, exceto o boto de Wireless Settings. Clicando neste boto
voc obter as mesmas opes que o utilitrio AirPcap lhe deu, como mostrado na figura abaixo. Porque o
Wireshark totalmente integrado com o AirPcap, qualquer coisa configurada no utilitrio cliente tambm
pode ser configurado a partir do Wireshark.

3. Depois de ter tudo configurado ao seu gosto, comece a capturar os pacotes clicando no boto
Iniciar.

Pacotes Extras 802.11

A principal diferena entre a estrutura do pacote de uma rede sem fio e de um pacote-padro com fio a
adio de um cabealho 802,11. Este cabealho contm informaes adicionais sobre o pacote e o meio
utilizado para transmiti-lo, como mostrado na figura abaixo.

105
 Para examinar o pacote mostrado na figura acima mais de perto, abra o arquivo de exemplo
80211traffic.pcap. Vejamos alguns dos itens interessantes este cabealho:

Type/Subtype Especifica o tipo ou subtipo do pacote 802,11 mostrado. O tipo pode ser de gesto, dados ou
controle. Cada tipo pode ter um subtipo. Por exemplo, o subtipo de pacotes de gesto pode ser indicao de
frame, solicitao de autenticao, ou aviso de encerramento.
Destination Address, Source Address, and BSS Id Esses campos contm a origem, destino e endereos
BSS do pacote.
Fragment Number and Sequence Number Esses nmeros so usados para colocar os pacotes da rede sem
fio em devida ordem, semelhante maneira como o TCP organiza o fluxos de dados.

802.11 Flags
O cabealho do pacote de 802,11 tambm contm uma seo de Flags com ainda mais informaes
especficas, como mostrado na figura abaixo.

A seo Flags inclui estes campos:

DS Status O campo Distibution Status (DS) utilizado para determinar as forma que o pacote est sendo
enviado. Se From DS 1 e To DS 0, ento o pacote est sendo enviado do WAP para o cliente sem fio. Se
os valores so o inverso, o pacote est viajando a partir do cliente sem fio para o WAP. Se ambos os nmeros
so 0, geralmente significa que o pacote est sendo difundido via broadcast do WAP.
More Fragments Este campo utilizado quando os pacotes adicionais so necessrios para ler o pacote que
est sendo enviado.
Retry A opo Repetir indica ou no se o pacote que est sendo transmitido a partir da tentativa original
de transmisso (0) ou uma retransmisso (1).
PWR MGT Este campo indica se um cliente est entrando ou no em um estado de economia de energia.
More Data Este campo utilizado por um WAP para informar o cliente que mais pacotes esto esperando
para serem enviados a ele.
Protected Flag Este campo usado para mostrar ou no se um pacote est utilizando criptografia de dados.
Order Flag O campo Ordem usado para informar ao destinatrio que o pacote deve ser mantido em uma
determinada ordem, que impede o receptor de reorganizar os pacotes a fim de aumentar o desempenho de
transferncia.

106
 O Quadro Beacon
O quadro (frame) Beacon um dos pacotes mais informativos em uma transmisso de uma rede sem fio . Um
quadro Beacon enviado como um pacote de difuso WAP atravs de um canal da rede sem fio notificando a
todos os clientes sem fio que est a escutar informando que o WAP est disponvel e definir os parmetros a
serem definidos quando se conectar a ele. Portanto, esse tipo de pacote de transmisso contm uma grande
quantidade de informaes teis, como mostrado na figura abaixo.

Algumas informaes que voc v em um quadro beacon inclui o seguinte:

SSID parameter set Este o SSID que o WAP est transmitindo.

Supported rates Este lista as taxas de throughput de dados suportados fornecidas pelo WAP e
especifica se o protocolo utilizado 802.11b ou 802.11g.
DS parameter set Este mostra o canal que o WAP est transmitindo.
Extended supported rates Este mostra outras taxas de throughput suportadas pelo WAP.
Vendor-specific information Esta seo mostra as informaes especficas do fornecedor sobre o
WAP, incluindo o fabricante do chipset, nmero da etiqueta,e o comprimento tag. (note que o
fabricante do chipset no sempre o mesmo que o fabricante WAP).

Colunas Wireless Especificas

O Wireshark tipicamente mostra seis colunas individuais no painel Packet List, todas devem ser familiares a
voc. No entanto, devido sobrecarga adicionada ao analisar e interpretar os pacotes de uma rede sem fio, o
Wireshark mostra as duas colunas mais teis: RSSI e TX Rate. A coluna Received Signal Strenght
Indication (RSSI) mostra a freqncia de rdio (RF) a fora do sinal de um pacote capturado, enquanto a
coluna TX Rate mostra a taxa de dados de um pacote capturado, como mostrado na figura abaixo. Ambos os
indicadores podem ser de grande ajuda quando voc est solucionando problemas de conexes sem fio. De
fato, mesmo se o seu software cliente wireless diz que voc tem a fora de sinal excelente, fazendo uma
captao com essas colunas habilitadas os nmeros mostrados podem no corresponder com essa informao.

Para adicionar essas colunas no painel Packet List, siga estes passos:
1. Escolha Edit > Preferences.
2. Navegue at a seo Columns e clique em New.
3. Digite RSSI no campo de Title, e selecione IEEE 802.11 RSSI no formato drop-down box.
4. Repita esse processo novamente para a coluna TX Rate, intitulando-a adequadamente e
selecionando IEEE 802.11 TX Rate na seo Format. A figura abaixo mostra uma janela semelhante
depois de voc ter adicionado as informaes para ambas as colunas.
5. Clique em OK na janela de Preferences para salvar suas alteraes.
6. Reinicie o Wireshark para mostrar as novas colunas.

107
Filtros Wireless Especficos
Discutimos os benefcios dos filtros de captura no Captulo 4. Em uma infra-estrutura com fio muito mais
fcil filtrar o trfego que voc deseja capturar, pois cada dispositivo tem o seu prprio cabo dedicado. Em
uma rede sem fios, no entanto, todo o trfego gerado por clientes sem fios coexiste em canais
compartilhados, o que significa que uma captura de qualquer canal pode conter o trfego de dezenas de
clientes. Esta seo dedicada a alguns filtros de pacotes que podem ser usados para ajudar a encontrar o
trfego que voc deseja.

Filtrando o Trfego de um Especifico BSS Id

Cada WAP em uma rede tem um nome de identificao exclusivo, denominado Basic Service Set Identifier
(BSS Id). Este nome enviado em cada quadro de gerenciamento e dados quando o ponto de acesso
transmite. (Veja "Pacotes Extras 802,11 Packet").
Depois que voc souber o nome do BSS Id que pretende examinar, tudo o que voc realmente tem a
fazer encontrar um pacote que tenha sido enviado a partir desse WAP particular. O Wireshark mostra a
transmisso WAP na coluna Info do painel Packet List, para encontrar esta informao normalmente
muito fcil.
Uma vez que voc tem um pacote de um WAP em particular que voc quer, encontre o campo do
seu BSS Id no cabealho do 802.11, como mostrado anteriormente. Este o endereo que o seu filtro se
basear.
Depois de ter encontrado o BSS Id MAC endereo (listados no painel Packet Details), voc pode
usar o filtro wlan.bssid.eq 00:11:23:44:55:66 para mostrar apenas o trfego que flui atravs desse WAP
particular.

Filtrando Tipos de Pacotes Wireless Especficos

No incio deste captulo, discutimos sobre diversos tipos de pacotes sem fio que voc pode ver em uma rede.
Voc muitas vezes precisar fazer filtros com base nesses tipos e subtipos. Use a Tabela abaixo como
referncia para ajudar a construir os filtros que voc precisa.

108
Filtrando Tipos Especficos de Dados
Embora os pacotes de gerenciamento sem fio sejam muito importantes para alguns tipos de anlise, a nossa
anlise exige que somente olhemos para os dados que so transmitidos atravs do ar, por exemplo, se
precisamos rastrear os clientes sem fio desonestos ou identificar a possibilidade de divulgao de
informaes indesejveis sobre a rede sem fios. Portanto, precisamos saber como filtrar esses pacotes de
dados.
Para filtrar todos os pacotes de dados em uma captura de arquivo, use a captura filtro wlan.fc.type eq
2. (Se voc faz referncia a tabela abaixo, voc ver que um quadro tipo 2 ir mostrar-nos de todos os dados
relativos aos quadros de dados.)
A nica desvantagem de usar esse filtro que ele ainda permite a exibio de pacotes de dados
nulos. Estes pacotes so usados pelo WAP em determinadas placas de rede sem fios para alertar a rede que
eles esto prestes a mudar de canal. Se voc no tem a necessidade de ver esses pacotes nulos, filtre-os
atravs da expanso do filtro, criado anteriormente e eliminando o subtipo pacote NULL. O filtro ficar
parecido com o mostrado abaixo:

Diferenciar os dados no criptografados/criptografados uma tima maneira de identificar pacotes

WAP clandestino em uma rede ou determinar se as informaes sensveis esto sendo enviadas em texto
legvel.

Lembre-se do Flag protegido da seo "802,11 Flags", visto anteriormente, que o Flag usado para
identificar um pacote como sendo criptografados ou no criptografados. Ns basearemos nosso filtro neste
flag.
Lembre-se que o bit de flag protegido est definido para 0 quando no est sendo usada criptografia
e definido como 1 se o pacote criptografado com um protocolo como o WEP, WPA, TKIP, e assim por
diante. Portanto, o uso de um filtro

109
 mostrar-nos todos os pacotes que no so criptografadas. Da mesma forma, um filtro

mostrar apenas o trfego criptografado.

H centenas de formas de filtrar o trfego capturado sem fio. Voc pode ver vrios desses filtros de
captura de uma rede sem fios no wiki Wireshark na http://wiki.wireshark.org.

Uma Tentativa Ruim de Conexo

Agora vamos dar uma olhada em um cenrio especfico relacionado anlise de pacotes em uma rede sem
fios. Neste cenrio, Justin est tentando configurar o seu laptop para acessar a rede sem fios em seu
escritrio. Infelizmente, ela no est funcionando.

O Que Sabemos
A rede que Justin est tentando se conectar usa o mtodo de autenticao compartilhada com criptografia
WEP de canal. Justin simplesmente deve ser capaz de inserir essas configuraes em seu cliente sem fio para
se conectar, mas quando o faz, a conexo falha.

Farejando Atravs dos Fios

Nesta situao, capturando os pacotes do ar exige o mesmo pensamento do processo de captura de pacotes
em uma conexo com fio. Como o processo parece falhar quando Justin tenta se conectar rede sem fios,
vamos capturar os pacotes neste momento. A melhor maneira de fazer isso usando o dispositivo AirPcap,
configurado para um canal.

Anlise
Uma vez que temos de olhar para uma captura em uma rede sem fios, no sabemos o que uma autenticao
bem-sucedida e como se parece essa seqncia. Vamos olhar para um arquivo de captura deste processo
quando ele est funcionando corretamente, abra o exemplo de arquivo SuccessfulWEPAuth.pcap, que
mostra uma seqncia bem-sucedida na rede de Justin.
A rede sem fio de Justin est configurada utilizando a chave WEP compartilhada de segurana. A
chave Wired Equivalent Privacy (WEP) um cdigo alfanumrico ou hexadecimal que serve como um tipo
de senha usada para criptografar a comunicao entre um WAP e um cliente sem fio (ou seja, o usurio que
est tentando se conectar ao wireless de rede). Para se conectar a um WAP, o cliente sem fio deve primeiro
completar o processo de descoberta e resposta com o WAP, a fim de verificar a correta chave WEP que est
sendo usada. Esta tentativa de descoberta e resposta comea no pacote 4 do arquivo de captura, como
mostrado na figura abaixo.

O WAP responde tentativa de conexo atravs do envio de uma chave de descoberta para o cliente.
Esta chave uma string encriptada de texto que deve ser decifrada pelo cliente (com a chave WEP adequada)
e, em seguida enviada de volta para o WAP, como mostrada na figura abaixo.

No pacote de 6 o cliente sem fio envia de volta a chave desencriptada, e o WAP responde com uma
mensagem indicando que o processo de autenticao foi bem-sucedido, como mostrado na figura abaixo.

110
 Finalmente, aps uma autenticao bem-sucedida, o cliente pode transmitir um pedido de
associao, receber um aviso, e se conectar, como mostrado na figura abaixo.

Agora que sabemos como uma conexo WAP se parece, vamos olhar para o arquivo de captura da
tentativa de conexo de Justin. Como podemos ver no pacote 3 (mostrado na figura abaixo), o WAP envia a
chave de descoberta para o computador de Justin, assim sabemos que os dois dispositivos podem ver um ao
outro.

O Pacote 5 (figura abaixo) mostra o cliente sem fio enviando a sua resposta ao servidor, o que nos
mostra que estes dispositivos esto tentando se comunicar.

Neste ponto de progresso, deveramos ver uma resposta do WAP, confirmando que o processo de
autenticao foi bem sucedido. Mas em vez disso, vemos outra coisa, como mostrado na figura abaixo. A
autenticao falha.

A mensagem enviada a partir do WAP para computador de Justin nos diz exatamente o que est
acontecendo: os nmeros de seqncia esto fora de ordem. Isso significa que a resposta da chave de
descoberta que o computador de Justin forneceu no foi correta - portanto, a chave WEP usada para
decriptografar a chave de descoberta no foi enviada ou no foi digitada corretamente.

111
 Resumo
A triste verdade sobre como solucionar problemas de rede sem fio que o software wireless cliente
normalmente no relata problemas especficos: quando o cliente conecta ou no. Felizmente, as tcnicas de
anlise de pacotes em redes sem fios permitem-nos ver exatamente o que est acontecendo e solucionar esses
problemas de forma mais eficiente em redes sem fio.

Consideraes Finais
As redes sem fio esto se tornando um marco no ambiente corporativo. Como o foco est mudando para as
redes sem fio, devemos ser capazes de solucionar problemas em redes com fios e sem fios. As competncias
e os conceitos ensinados neste captulo devem ajudar voc a entender as complexidades da resoluo de
problemas em uma rede sem fio atravs da anlise de pacotes.

112