Guia Pratico Wireshark

8/10/2019 Guia Pratico Wireshark

1/20

Robert Shimonski

Novatec


2/20

Copyright 2013 Elsevier Inc. All rights reserved.

No part of this publication may be reproduced or transmitted in any form or by any means, elec-tronic or mechanical, including photocopying, recording, or any information storage and retrievalsystem, without permission in writing from the publisher. Details on how to seek permission, furtherinformation about the Publishers permissions policies and our arrangement with organizations such

as the Copyright Clearance Center and the Copyright Licensing Agency, can be found at our website:www.elsevier.com/permissions.

This book and the individual contributions contained in it are protected under copyright by thePublisher (other than as may be noted herein).

This edition of THE WIRESHARK FIELD GUIDE ANALYZING AND TROUBLESHOOTINGNETWORK TRAFFIC by Robert Shimonski is published by arrangement with ELSEVIER INC., aDelaware corporation having its principal place of business at 360 Park Avenue South, New York, NY10010, USA.

Nenhuma parte desta publicao pode ser reproduzida ou transmitida de qualquer forma ou porqualquer meio, eletrnico ou mecnico, incluindo fotocpia, gravao ou qualquer armazenamentode informao e sistema de recuperao, sem permisso por escrito da editora. Detalhes sobre comopedir permisso, mais informaes sobre as permisses de polticas da editora e o acordo com orga-nizaes como o Copyright Clearance Center e da Copyright Licensing Agency, podem ser encontra-das no site: www.elsevier.com/permissions.

Este livro e as contribuies individuais contidas nele so protegidos pelos Copyright da Editora(alm de outros que podero ser aqui encontrados).

Esta edio do livro THE WIRESHARK FIELD GUIDE ANALYZING AND TROUBLESHOOTINGNETWORK TRAFFIC de Robert Shimonski publicada por acordo com a Elsevier Inc., uma corpo-rao de Delaware estabelecida no endereo 360 Park Avenue South, New York, NY 10010, EUA.

Copyright 2014 Novatec Editora Ltda.Todos os direitos reservados e protegidos pela Lei 9.610 de 19/02/1998. proibida a reproduodesta obra, mesmo parcial, por qualquer processo, sem prvia autorizao, por escrito, do autor e daEditora.

Editor: Rubens PratesTraduo: Lcia Ayako KinoshitaReviso gramatical: Marta Almeida de SEditorao eletrnica: Carolina Kuwabata

ISBN: 978-85-7522-388-8

Histrico de impresses:

Dezembro/2013 Primeira edio

Novatec Editora Ltda.Rua Lus Antnio dos Santos 11002460-000 So Paulo, SP BrasilTel.: +55 11 2959-6529Fax: +55 11 2950-8869E-mail: [email protected]: www.novatec.com.brTwitter: twitter.com/novateceditora

Facebook: facebook.com/novatecLinkedIn: linkedin.com/in/novatecMP20131211


3/20

23

CAPTULO1

Sobre o Wireshark

1.1 IntroduoProfissionais da rea de redes, operadores e engenheiros experientes emtodo o mundo utilizam o Wireshark e erramentas semelhantes parasolucionar problemas, e abordaremos o como e o porqu disso. Nestaseo, discutiremos brevemente a histria do Wireshark, bem como ouso da captura e anlise de pacotes na rea de redes. Em primeiro lugar, necessrio compreender a histria do Wireshark e da captura e anlise

de pacotes para obter um entendimento slido a respeito do propsito douso dessa erramenta. Aps termos apresentado a histria do Wireshark,discutiremos sobre sua verso mais recente, como obt-la e o que ne-cessrio preparar para azer a instalao e a configurao do produto.Tambm discutiremos os aspectos bsicos relacionados captura e anlisede pacotes para que voc tenha conhecimento da finalidade para a qual aerramenta naturalmente usada.

Este livro pode ser utilizado por iniciantes e por aqueles que aindano tm experincia com redes, porm ter um conhecimento anteriore slido sobre o assunto acilitar bastante a leitura, a compreenso ea absoro das inormaes contidas neste livro.


4/20

Wireshark Guia Prtico24

1.2 O que o Wireshark?

A captura e a anlise de protocolos no so nenhuma novidade; elasexistem h dcadas. Com a disponibilizao de sistemas UNIX, muitas

erramentas contidas diretamente no sistema operacional permitiram acaptura e a anlise de dados no nvel de pacotes com o intuito de permi-tir a resoluo de problemas. Os dados que traegam por uma rede, declientes para servidores ou para impressoras ou que passam por pontos deacesso sem fio e pela Internet, movem-se na orma de sinais e requnciaseltricas. Uma erramenta para captura de pacotes (tambm chamada deanalisador de rede) pode ser utilizada para capturar esses dados para an-

lise. Um analisador de rede uma erramenta para soluo de problemasusada para identificar e resolver problemas de comunicao em redes,planejar capacidades e realizar otimizaes em redes. Os analisadores derede podem capturar todo o trego que passa pela rede e interpretar otrego capturado para decodificar e interpretar os dierentes protocolosutilizados. Os dados decodificados so mostrados em um ormato queacilita sua compreenso, por meio da remoo de camadas dos dadosencapsulados utilizados para identific-los ou para permitir que possam serusados na rede. Um analisador de rede tambm pode capturar somente otrego que corresponda a critrios de seleo definidos por um filtro. Issopermite que um profissional capture somente o trego que seja relevanteao problema em questo. Um analisador de rede tpico apresenta os dadosdecodificados em trs painis:

Summary (Resumo): apresenta um resumo de uma linha do pro-

tocolo da camada mais alta contido no rame, bem como o horrioda captura, alm dos endereos de origem e de destino.

Detail (Detalhes):Fornece detalhes sobre todas as camadas contidasno rame.

Hex (Hexa): Apresenta os dados puros capturados em ormatohexadecimal.

A figura 1.1 mostra a erramenta Wireshark com dados capturados eprontos para inspeo. Nessa figura, podemos ver os trs painis sendoutilizados. De cima para baixo, podemos observar os painis Summary


5/20

25Captulo 1 Sobre o Wireshark

(Resumo), Detail (Detalhes) e Hex (Hexa). O painel Summary mostraos detalhes de alto nvel como os nmeros de sequncia dos pacotescapturados, o horrio da captura, os endereos de origem e de destino, o

protocolo utilizado, o tamanho e outras inormaes. Se um pacote orselecionado no painel de resumo, inormaes mais detalhadas poderoser visualizadas no painel de detalhes. Ao se aproundar mais no nvel dedetalhes, possvel selecionar itens no painel Detail e observar, no painelHex, os dados hexa especficos que oram capturados.

medida que avanarmos neste guia, exploraremos cada um dospainis de orma mais detalhada e aprenderemos sobre as especificidades

de como utiliz-los, como interpretar as inormaes contidas em cadaum deles e como solucionar problemas. Os analisadores de rede tambmoerecem a possibilidade de criar filtros de apresentao para que umprofissional da rea de redes possa identificar rapidamente o que estiverprocurando.

Figura 1.1 Usando o Wireshark.


6/20


Analisadores de rede mais sofisticados oerecem a possibilidade deeetuar anlise de padres. Esse recurso permite que o analisador de redeverifique milhares de pacotes e identifique problemas. O analisador de

rede tambm pode inormar as possveis causas para esses problemas eoerecer dicas de como resolv-los.

1.3 O que anlise de rede e de protocolo?

A distribuio eletrnica de inormaes tem se tornado cada vez maisimportante e a complexidade dos dados trocados entre sistemas vemaumentando a passos largos. As redes de computadores atualmentetransportam todo tipo de trego contendo dados, voz e vdeos. As apli-caes de rede exigem total disponibilidade, sem que haja interrupesou congestionamento. medida que os sistemas de inormao em umaempresa se expandem e se desenvolvem, mais dispositivos de rede soimplantados, resultando em extensas reas sicas cobertas pelo sistemade redes. muito importante que esse sistema de redes opere do modomais eficiente possvel, pois um perodo de tempo inoperante, alm de

representar um custo alto, tambm resulta em um uso ineficiente dosrecursos disponveis. A anlise de rede e/ou de protocolo corresponde aum conjunto de tcnicas que engenheiros e profissionais da rea de redesutilizam para estudar as propriedades das redes, incluindo conectividade,capacidade e desempenho. As anlises de rede podem ser utilizadas paraestimar a capacidade de uma rede, observar caractersticas de desempenhoou planejar aplicaes e atualizaes uturas.

Uma das melhores erramentas para realizar anlises de rede umanalisador de rede como o Wireshark. Um analisador de rede um dispo-sitivo que oerece uma ideia muito boa do que est acontecendo em umarede ao permitir que seja possvel dar uma olhada nos dados que traegampor ela, pacote a pacote. Um analisador de rede tpico entende diversosprotocolos, o que permite apresentar conversaes que ocorram entre oshosts de uma rede. O Wireshark pode ser utilizado com essa capacidade.

Os analisadores de rede geralmente oerecem os seguintes recursos:


7/20


capturar e decodicar dados em uma rede;

analisar atividades de rede que envolvam protocolos especcos;

gerar e apresentar estatsticas sobre a atividade da rede;

realizar anlise de padres da atividade da rede.

A captura de pacotes e a decodificao de protocolos s vezes sochamadas de sniffing. Esse termo surgiu em virtude da natureza dosanalisadores de rede, que possuem a habilidade de arejar (sniff, emingls) o trego de rede e captur-lo.

As figuras 1.1 e 1.2 mostram a erramenta Wireshark com dados cap-turados, com um problema tpico que pode ser atualmente visto em redes um ARP (Address Resolution Protocol, ou Protocolo de Resoluo deEndereos) storm. A figura 1.2 mostra como verificar os dados com maisdetalhes a fim de solucionar o problema. Embora iremos nos envolvermais na inspeo detalhada do trego em captulos posteriores, aqui vocpode ver como um analisador de rede realiza uma anlise de protocolo.

Figura 1.2 Realizando uma anlise de protocolo.

Ao decodificar a captura de pacotes ARP, podemos nos aproundar nonvel de detalhes da erramenta (e dos pacotes) para descobrir os endereosde origem e de destino do storm. Porm o Wireshark no pode solucionar

todos os problemas sem ter alguma ajuda! Em primeiro lugar, necessrioque voc, o profissional com a mente curiosa, primeiro entenda em que


8/20


local o Wireshark deve ser colocado para capturar esses dados. Em seguida, necessrio algum trabalho de inspeo e de anlise dos dados capturadose, no mnimo, um entendimento bsico sobre como os dados uncionam

em uma rede. Tambm necessrio um trabalho de detetive de sua parte:ser preciso saber como relacionar esse problema de ARP (na orma deum endereo MAC) com o cliente oensor que est provocando o storm.Ento voc dever saber como solucionar o problema em questo. Comopodemos notar, a captura e a anlise de protocolos com uma erramentade anlise de redes como o Wireshark somente ajudam a ter uma ideiainicial do problema; nem sempre elas a resolvem diretamente para voc.

Esteja atento aos alsos positivos. O que isso quer dizer que vocpode ver um problema quando, na realidade, no um problema,mas um comportamento normal. Voc pode obter uma captura ouum relatrio de um analisador de rede instruindo-o a respeito daexistncia de um problema quando, na verdade, isso no acontece. Usarum analisador de rede e realizar anlises so unes de uma mentecientfica. No s devemos questionar o que virmos, mas tambm pode

ser necessrio realizar testes e anlises adicionais para descobrirmosa causa raiz de um problema. No tire concluses precipitadamente;organize cientificamente os dados, analise, realize pesquisas e discutapossibilidades com seus pares e colegas se no estiver certo a respeitode suas descobertas.

1.4 A histria do WiresharkO Wireshark (http://www.wireshark.org/) um aplicativo de sofware usadopara capturar e inspecionar dados no nvel de protocolo. medida queos dados traegam por uma rede, de clientes para servidores (por exem-plo), eles so enviados, e, embora haja muitas erramentas semelhantes,o Wireshark pode ser baixado gratuitamente da Internet. A histria doWireshark apresenta muitas reviravoltas. Apesar de a erramenta sempre

ter sido muito confivel e incrivelmente til na maior parte do tempo, elateve o nome alterado e mudou de mos vrias vezes.


9/20


Uma das primeiras verses bem conhecidas do Wireshark surgiu naorma do Ethereal. Em virtude de problemas legais e de direitos autorais, onome oi alterado para Wireshark. No entanto podemos iniciar a histria

dessa erramenta na poca em que ela se chamava Ethereal. O Ethereal(e sua nova orma, o Wireshark) um analisador de rede reeware decdigo aberto que pode ser baixado gratuitamente e usado em diversasplataormas de sistemas computacionais. Durante sua inncia, erramen-tas como o Sniffer Pro eram mais robustas e um tanto quanto mais caras.Outras erramentas como aquelas vendidas pela Fluke Networks no seram mais caras, como tambm eram distribudas com um hardware,elevando seus custos. Quando oi disponibilizado, o Ethereal no era to

robusto e oerecia recursos para decodificao de protocolos, porm notinha vrios dos recursos que outras erramentas disponveis oereciam,como a capacidade de monitorao de aplicativos, anlises inteligentes,erramentas sofisticadas para gerao de relatrios e a capacidade de cap-turar rames corrompidos. O Wireshark corresponde verso atual daerramenta Ethereal, que atualmente inclui anlises inteligentes e muitosoutros recursos que estavam ausentes em verses anteriores.

O WinPcap (http://www.winpcap.org/) a outra aplicao que deve serusada com o Wireshark. O WinPcap nada mais do que uma bibliotecaque o Wireshark acessa a partir do sistema Windows. Sistemas que no sobaseados em Windows podem utilizar a libcap. Qualquer que seja a biblio-teca usada, ela ornecer um driver que possibilita a captura de pacotes nonvel de sistema e de hardware. No prximo captulo, aprenderemos quesua placa de interace de rede (NIC, ou Network Interace Card) deve ser

utilizada em modo promscuo para capturar pacotes e que o Wiresharkutiliza essas bibliotecas para ter essa uncionalidade acilitada. Ao azerdownload e usar o Wireshark, esse conjunto de bibliotecas acompanha aerramenta e deve ser instalado junto com ela para que possa ser utiliza-do. Esse conjunto de bibliotecas gerado e distribudo por uma empresachamada CACE (http://www.cacetech.com/).

H alguns anos, a CACE oi comprada por uma empresa chamada

Riverbed (http://www.riverbed.com/), que tambm ornecedora de erramen-tas, sofware e hardware para anlise de redes e gerao de relatrios. Coma Riverbed por trs da CACE e dando suporte ao Wireshark, provvel


10/20


que esse trio poderoso de grupos no s possa conduzir a anlise de redesa um novo patamar, mas tambm possa dar um impulso ao Wiresharkpara que ele se desenvolva e se torne um aplicativo mais robusto do que

atualmente.

Usando o tcpdump

O tcpdump (http://www.tcpdump.org/) um analisador de captura/pacote deprotocolos usado na linha de comando. De modo muito semelhante aoWireshark [que utiliza uma interace grfica de usurio (GUI)], o tcpdumpcaptura pacotes e mostra detalhes especficos sobre eles, os quais podemser utilizados para anlises mais minuciosas a respeito de um problema.

Ele tambm unciona com a libcap e coloca a NIC em modo promscuopossibilitando a captura de pacotes. O tcpdump mostra detalhes na linhade comando e pode ser personalizado por meio de opes que permitemmostrar mais ou menos detalhes especficos. extremamente til quandoh necessidade de capturar dados no momento em que o problema ocorrer,pois normalmente est sempre instalado e pronto para ser usado namaioria dos sistemas, principalmente aqueles baseados em UNIX. Almdisso, est disponvel gratuitamente com o sistema operacional que voc

instalar.A figura 1.3 mostra o uso do tcpdump em um sistema UNIX. Nesse caso,podemos ver a conversao entre dois hosts, aquele no qual o tcpdumpest instalado (a origem) e o endereo de destino com o qual ele est secomunicando.

Como voc pode observar aqui, bem cil us-lo e manipul-lo. Vocpode obter praticamente os mesmos dados obtidos com o Wireshark aousar o tcpdump, porm o Wireshark ornece mais complementos, por

exemplo, uma GUI cil de usar, uma erramenta de anlise inteligente eerramentas para gerao de relatrios.

O tcpdump tambm pode ser encontrado em muitos dos irewallsbaseados em UNIX instalados hoje em dia. Os firewalls, como aqueles daMcAee e da Juniper, possuem o tcpdump integrado em seus conjuntos deerramentas para que possa ser acilmente acionado a fim de solucionarou inormar sobre um problema.


11/20


Figura 1.3 Usando o tcpdump.

Para as pessoas que utilizam sistemas baseados em Windows, possvelazer o download e instalar o WinDump, que a verso Windowspara o tcpdump. Assim como o tcpdump utiliza a libcap, o WinDumputiliza o WinPcap, da mesma orma que o Wireshark no Windows.No Windows 7, Windows 8 e no Server 2008 SP2, o comando netshtrace start capture=yes uma boa alternativa ao tcpdump. Nenhumainstalao necessria para capturar pacotes.

1.5. Resolvendo problemas

Agora que aprendemos sobre captura e anlise de protocolos e como o

Wireshark se enquadra nesse contexto, vamos continuar a expandir seuuso discutindo como ele pode ser utilizado para analisar dados. Vamosdetalhar mais medida que avanarmos neste livro, apesar disso, vale apena introduzir o assunto para que possamos prosseguir a partir da.

Ao trabalhar com uma rede ou se voc or diretamente responsvelpor ela, com requncia, voc ir ouvir alar que ela apresenta problemas.Alguns desses problemas so solicitaes comuns ao help desk, provenien-

tes de usurios que no conseguem se lembrar de suas senhas de sistema,enquanto outros so requisies de usurios que no conseguem azer login


12/20


porque seus cabos de rede oram desconectados novamente. Embora sejamproblemas comuns, e ocasionalmente irritantes, eles podem ser acilmentecorrigidos por meio de uma rpida sucesso de passos destinados a solu-

cionar o problema e, geralmente, exigem uma soluo simples.Em seguida na lista de reclamaes esto as solicitaes de usurios que

dizem que a rede est muito lenta. uma reclamao comum, mas o queacontece quando quase todos os usurios de sua rede fizerem solicitaesem massa reclamando da velocidade de seus logins, de aplicativos quetravam ou de sesses que expiram? Obviamente, pode haver um proble-ma com o desempenho da rede se a maioria dos usurios estiver azendo

reclamaes. Para onde voc deve olhar para comear a procurar a causado problema? Com as redes corporativas se expandindo e se conectandoa redes de outras empresas cada vez mais rapidamente, monitorar o de-sempenho da rede pode se tornar uma tarea complicada.

Para investigar os problemas e tentar descobrir a causa raiz, inicial-mente necessrio isol-los, monitorar o desempenho da rede usando oWireshark e ento trabalhar a fim de corrigi-los. Se o desempenho or o

problema, quais so os vrios aspectos que podemos observar no mapa paradescobrir em que local os problemas esto ocorrendo e como diagnostic--los corretamente? As perguntas que devem ser eitas imediatamente aoiniciar a anlise de desempenho so:

O desempenho precrio da rede est afetando um usurio, diversos

usurios ou toda a rede?

O desempenho precrio est centrado em um local em particular

ou est presente em toda a rede? Quando, exatamente, voc comeou a perceber que o desempenho

est precrio? Ou sempre oi ruim?

Houve alguma alterao recente no importa se foi grande ou

pequena?

Todos os aplicativos de um local em particular esto tendo problemas

ou eles esto localizados em um aplicativo especfico?

Voc tem alguma documentao da rede ou mapas da topologia?


13/20


Isso apenas uma amostra das perguntas que podem ser eitas, pormessas so as perguntas mais comuns. Em ltima instncia, queremos usaro Wireshark para identificar e resolver problemas, contudo ele deve ser

manipulado por algum como voc, que saiba como detect-los. Descobrir,em detalhes, a causa raiz de um problema o que podemos azer ao usaressa erramenta, caso seu trabalho de detetive seja executado corretamente.Voc vai querer capturar dados da rede, analis-los e usar modelos comunsde rede, conhecimentos sobre protocolos e metodologias especficas paraauxiliar na anlise do problema e dos dados capturados.

1.6 Usando o Wireshark para analisar dadosO segredo para solucionar problemas de orma bem-sucedida saber comoa rede unciona em condies normais. Esse conhecimento permite queum engenheiro de rede reconhea operaes anormais rapidamente. Aousar uma estratgia para solucionar problemas de rede, o problema podeser abordado de modo sistemtico e pode ser resolvido com o mnimo deintererncia nos usurios. Inelizmente, muitos profissionais da rea de

redes, com anos de experincia, ainda no dominaram o conceito bsico desolucionar problemas; alguns minutos dedicados avaliao dos sintomaspodem economizar horas perdidas atrs do problema errado.

Uma boa abordagem para a resoluo de problemas envolve os passosa seguir:

reconhecer os sintomas e denir o problema;

isolar e compreender o problema; identicar e testar a causa do problema;

resolver o problema;

vericar se o problema foi resolvido;

se o problema no for identicado, repetir os passos at resolv-lo

ou encontrar mais dados a serem analisados.


14/20


O primeiro passo na tentativa de solucionar um problema de rede reconhecer os sintomas. Voc pode ouvir alar do problema de vriasmaneiras: um usurio final pode ter reclamado que est tendo problemas

de desempenho ou de conectividade ou uma estao para gerenciamentode rede pode ter inormado voc a respeito do problema. Compare oproblema com a operao normal. Determine se algo oi alterado na redeimediatamente antes de o problema ter comeado a ocorrer. Alm disso,verifique se voc no est resolvendo algo que nunca havia uncionadoantes. Redija uma definio clara do problema.

Aps o problema ter sido confirmado e os sintomas terem sido iden-

tificados, o prximo passo consiste em isolar e compreender o problema.Quando os sintomas ocorrerem, sua responsabilidade coletar os dadospara anlise e identificar o local em que o problema ocorre. A melhorabordagem para reduzir o escopo do problema por meio de mtodosque utilizem o conceito de dividir para conquistar. Procure descobrir se oproblema est relacionado com um segmento da rede ou com uma nicaestao. Determine se o problema pode estar duplicado em algum outroponto da rede.

O terceiro passo na resoluo do problema consiste em identificare testar a causa do problema. Voc pode utilizar analisadores de rede eoutras erramentas para analisar o trego. Aps desenvolver uma teoriaa respeito da causa do problema, voc deve test-la.

Depois que uma soluo para o problema tiver sido determinada, preciso coloc-la em prtica. A soluo pode envolver a atualizao de

hardware ou de sofware. Pode exigir o aumento de segmentao da LANou a atualizao de hardware para aumento de capacidade.

O ltimo passo consiste em garantir que todo o problema tenha sidosolucionado azendo o usurio final testar a soluo. s vezes, uma corre-o de um problema pode criar um novo problema. Em outras ocasies,o problema que voc corrigiu pode ser um sintoma de um problema sub-jacente mais srio. Se o problema or realmente resolvido, documente ospassos executados para solucion-lo. No entanto, se o problema persistir,o processo de resoluo de problemas deve ser repetido a partir do incio.


15/20


Para entender a anlise de rede, muito importante aprender a teoriapor trs do uncionamento das redes. Para que uma rede uncione, os com-putadores nela presentes devem concordar com um conjunto de regras. Um

conjunto de regras como esse conhecido como protocolo. Um protocoloem termos de rede bem similar a um idioma em termos humanos. Doiscomputadores usando dierentes protocolos para conversar um com o ou-tro seria como uma pessoa tentando se comunicar em japons com outrapessoa que no entendesse esse idioma. Isso simplesmente no d certo!

H muitos protocolos atualmente no mundo das comunicaes em rede.No incio da poca das redes, cada ornecedor de rede criava seu prprio

protocolo. Posteriormente, oram desenvolvidos padres para que os dis-positivos provenientes de vrios ornecedores pudessem se comunicar unscom os outros usando um protocolo comum. O protocolo mais comumenteutilizado o TCP/IP (Transmission Control Protocol/Internet Protocol,ou Protocolo de Controle de Transmisso/Protocolo de Internet).

Discutiremos os detalhes mais especficos do TCP/IP em captulosposteriores, quando comearmos a explorar os pacotes capturados.

Para usar o Wireshark na resoluo de problemas, voc deve capturardados de pontos estratgicos especficos que incluam a rea em que oproblema se encontra e deve analisar esses dados. Como exemplo, vocpode ver detalhes especficos no resumo do Wireshark conorme mostradona figura 1.4. Nessa figura, voc pode ver dados especficos relacionadosao horrio da captura. O motivo de isso ser relevante porque voc deve

capturar os dados relacionados ao momento em que o problema ocorrerpara descobrir qual o problema. Dados capturados ora desse intervalode tempo podem ser utilizados como base de reerncia da rede e de seudesempenho durante o uso normal, porm voc ter de esperar que oproblema tenha ocorrido nesse perodo e/ou filtrar os dados para identific--lo caso, realmente, o problema tenha ocorrido.

Na figura 1.4, podemos ver quantos pacotes oram capturados (sem

filtragem), por quanto tempo, alm de outros dados especficos comumenteutilizados para identificar a captura.


16/20


Figura 1.4 Resumo de captura efetuada pelo Wireshark.

A figura 1.5 mostra outra erramenta que pode ser utilizada no pro-grama Wireshark. Por exemplo, suponha que voc tenha um problemae queira a opinio do Wireshark sobre o que ele acha que poderia ser

esse problema. Voc pode perguntar ao Expert e descobrir. Embora essainormao nem sempre seja precisa em virtude dos alsos positivos, possvel comear a obter pistas. Dados que traegam pela rede podem seridentificados como problemticos, porm pode ser o modo como os dadosuncionam normalmente, portanto podem no indicar um problema nemapontar para o problema especfico sendo inormado.

Figura 1.5 Usando as guias de anlise inteligente do Wireshark.


17/20


A figura 1.6 mostra dados mais detalhados, que podem ser obtidos apartir do Expert do Wireshark. Nesse local, podemos analisar mais pis-tas, porm, acima de tudo, podemos azer exploraes mais detalhadas

partindo dessa erramenta e retornando ao painel Summary do Wiresharkpara acessar diretamente o pacote que oi sinalizado de modo a gerar umamensagem ou um alerta no Expert.

Figura 1.6 Visualizando problemas com o Expert do Wireshark.

Na figura 1.6, podemos observar problemas especficos que podemestar ocorrendo no sequenciamento. Outra dica til consiste em expandir

os dados de sequncia que oram sinalizados e dar um clique duplo nopacote sinalizado para inspecionar esse pacote em particular nos painisSummary, Detail e Hex.

Nem sempre confie no que o Wireshark diz a voc. Falsos positivos podemser enganosos. Podem conduzir voc na direo errada. Entretanto umaboa maneira de comear a usar a erramenta para compreender melhorsua rede, os dados que traegam por ela e a pilha TCP/IP.

1.7 O modelo OSI

O modelo OSI (Open Systems Interconnection, ou Interconexo deSistemas Abertos) usado para proporcionar uma maneira metdica deabordar o modo como os dados traegam por redes e sistemas e como eles

uncionam com as aplicaes utilizadas nesses computadores e nessas re-des. uma erramenta til que parece ser atemporal, pois continuamente


18/20


reerenciada e utilizada atualmente desde sua concepo h muitos anos.Baseada no modelo de quatro camadas do Departamento de Deesa (DoD)na poca em que a Internet (ARPAnet) oi inicialmente concebida, ela

serve como uma maneira de ajudar no s na descrio do modo comoos dados traegam por sistemas e redes, mas tambm uma erramentaexcelente na resoluo de problemas.

Quando os dados chegam a seus destinos, a camada sica da estaoreceptora obtm esses dados e realiza o processo inverso (tambm conhe-cido como desempacotamento). A camada sica converte os bits de voltapara rames a fim de pass-los camada de enlace de dados. A camada

de enlace de dados remove o cabealho e o trailer e passa os dados paraa camada de rede. Novamente, esse processo se repete at que os dadoscheguem at a camada de aplicao. Na figura 1.7, podemos observar ascamadas do modelo OSI.

Modelo OSI

Camada 1

Fsica

Camada 2

Enlace de dados

Camada 3

Rede

Camada 4

Transporte

Camada 5

Sesso

Camada 6

Apresentao

Camada 7

Aplicao

Figura 1.7 O modelo OSI.

As camadas do modelo OSI esto descritas a seguir:

Camada de aplicao: a camada mais alta do modelo OSI eresponsvel pelo gerenciamento de comunicaes entre aplicaes

de rede. Essa camada no a aplicao propriamente dita, emboraalgumas delas possam realizar unes da camada de aplicao.


19/20


Exemplos de protocolos da camada de aplicao incluem o FTP (FileTranser Protocol, ou Protocolo de Transerncia de Arquivos), oHTTP (HyperText Transer Protocol, ou Protocolo de Transerncia

de Hipertexto), o SMTP (Simple Mail Transer Protocol, ou Proto-colo Simples para Transerncia de Correio) e o Telnet.

Camada de apresentao: essa camada responsvel pela apresen-tao, criptografia e compresso dos dados.

Camada de sesso: a camada de sesso responsvel pela criao e pelogerenciamento de sesses entre sistemas finais. O protocolo da camadade sesso geralmente no usado em diversos protocolos. Exemplos de

protocolos da camada de sesso incluem o NetBIOS e o RPC (RemoteProcedure Call, ou Chamada de Procedimento Remoto).

Camada de transporte: essa camada responsvel pela comunica-o entre programas ou processos. Nmeros de porta ou de socketsso usados para identificar unicamente esses processos. Exemplosde protocolos da camada de transporte incluem TCP, UDP (UserDatagram Protocol) e SPX.

Camada de rede: essa camada responsvel pelo endereamento epela entrega de pacotes do n de origem ao n de destino. A camadade rede recebe dados da camada de transporte e os encapsula emum pacote ou datagrama. Endereos lgicos de rede geralmente soatribudos aos ns nessa camada. Exemplos de protocolos da camadade rede incluem IP e IPX.

Camada de enlace de dados: essa camada responsvel pela en-

trega de rames entre as NICs no mesmo segmento sico. Ela estsubdividida na camada MAC (Media Access Control, ou Controlede Acesso ao Meio) e na camada LLC (Logical Link Control, ouControle de Enlace Lgico). A comunicao na camada de enlace dedados geralmente baseada em endereos de hardware. A camadade enlace de dados encapsula dados da camada de rede em um ra-me. Exemplos de protocolos da camada de enlace de dados incluemEthernet, o token ring, atualmente quase extinto, e o protocolo PPP(point-to-point, ou ponto a ponto). Dispositivos que operam nessacamada incluem bridges e switches.


20/20


Camada fsica: essa camada define conectores, fiaes e as especi-ficaes de como a voltagem e os bits passam por meios ligados porfios (ou sem fios). Os dispositivos dessa camada incluem repetidores,

concentradores e hubs. Os dispositivos que operam na camada sicano tm conhecimento sobre caminhos.

Ao usar o Wireshark, voc deve considerar as metodologias usadas naresoluo de problemas, bem como o modo como os dados uncionamnas redes e nos sistemas. Saber como disparar e executar a erramentano suficiente! preciso saber especificamente o local em que ela deveser colocada, quando deve ser executada e o que voc ir capturar. Ento

voc ter de azer anlises, as quais testaro seu conhecimento sobre redes,computadores, aplicativos e sistemas.

1.8 Resumo

Neste captulo, aprendemos sobre a captura e a anlise de protocolos, osundamentos sobre o Wireshark, bem como o bsico sobre como resol-

ver problemas com ele. No prximo captulo, aprenderemos a instalar econfigurar o Wireshark para que possamos comear a us-lo e a trabalharcom ele.

Guia Pratico Wireshark

Documents

Transcript of Guia Pratico Wireshark