2. GNU/Linux desde 2003
Analista e Desenvolvedor de Sistemas
Administrador de Sistemas GNU/Linux
Consultor de TI
Membro do TchêLinux
Editor do blog botecodigital.info
Docente no Curso Técnico em Informática
3. Cronograma
Apresentação
Motivação
Conceitos e definições
Ferramentas
Captura e análise
Conclusão
4. Motivação
Encontrar pontos de bloqueio
Detectar anomalias na rede
Encontrar motivo de lentidão
Descobrir equipamentos com defeito
Analisar comportamento de aplicações
Levantar da sua cadeira sabendo onde está o
problema da rede.
5. O que é necessário?
Dedicação e estudo
Utilizar as ferramentas corretas
Conhecer os protocolos a serem analisados
Testes de laboratório até conseguir identificar o
processo de negociação de conexões (header)
e transferência (payload) de dados.
21. • Ferramenta tradicional de captura de tráfego
• Contempla a captura completa de um tráfego de
rede
• Aceita filtros por expressões
• Biblioteca padrão para captura de tráfego:
libpcap
Tcpdump - www.tcpdump.org
22. • Captura em tempo real
• Suporta vários formatos e fontes de captura
• Multi-platforma
• Análise de cabeçalhos em árvore (encapsulamento)
• Aplicação de regras e filtros
• Funcionalidades específicas para análise de
tráfego de VoIP
• Reconstrução de Sessão
Wireshark www.wireshark.org
23. Opção Descrição
-i Informa-se a interface que desejamos analisar, caso
deixado em branco, será utilizada a primeira da lista do
comando ifconfig, ou tcpdump -D
-v Aumenta a quantidade de informação do cabeçalho
-vvv O nível máximo de verbose
-t Mostra insformações de data e hora
-n Não faz a resolução de nomes, melhorando o
desempenho da captura
-s Informa o tamanho do snap length da captura
-e Mostra os dados referente a camada de enalace do modelo
OSI
-w Grava a saída da captura em um arquivo que deve ser
passado por parâmetro
Algumas opções
24. Filtro Descrição
host Especifica-se o nome ou ip da máquina a ser analisada
net Especifica a rede a ser analisada
port Especifica a porta a ser analisada
src Especifica o endereço de origem dos pacotes a serem
analisados
dst Especifica o endereço de destino dos pacotes a serem
analisados
and Operadores utilizados para combinar expressões, fazendo
com que os resultados sejam precisos.
or
not
Filtros básicos
25.
tcpdump -i eth0 -vvv -n -w captura.pcap
tcpdump -i eth0 -v -n host 10.1.1.2 -w captura.pcap
tcpdump -i eth0 -v -n host 10.1.1.2 and dst net
74.125.234.0
tcpdump -i eth0 -v -n host 10.1.1.2 and not port 22
Exemplos de uso
27. → A análise de tráfego é fundamental para
auxiliar o SysAdmin na resolução dos mais
diversos problemas de rede.
→ Sem utilizar a análise o SysAdmin será um mero
testador de possibilidades, sem saber ao certo onde
está o real problema.
Considerações finais