Oficina apresentada dia 27/07/2012 na 13ª edição do Fórum Internacional de Software Livre (FISL13) na PUC em Porto Alegre.

1. Oficina: Analise de Tráfego TCP/IP

2.  GNU/Linux desde 2003
 Analista e Desenvolvedor de Sistemas
 Administrador de Sistemas GNU/Linux
 Consultor de TI
 Membro do TchêLinux
 Editor do blog botecodigital.info
 Docente no Curso Técnico em Informática

3. Cronograma
 Apresentação
 Motivação
 Conceitos e definições
 Ferramentas
 Captura e análise
 Conclusão

4. Motivação

Encontrar pontos de bloqueio

Detectar anomalias na rede

Encontrar motivo de lentidão

Descobrir equipamentos com defeito

Analisar comportamento de aplicações

Levantar da sua cadeira sabendo onde está o
problema da rede.

5. O que é necessário?

Dedicação e estudo

Utilizar as ferramentas corretas

Conhecer os protocolos a serem analisados

Testes de laboratório até conseguir identificar o
processo de negociação de conexões (header)
e transferência (payload) de dados.

6. O modelo OSI

7. O modelo TCP

8. O modelo TCP

9. Cabeçalho TCP

10. O protocolo IP
Cabeçalho IP
Dados IP
Cabeçalho TCP
Dados TCP

11. Cabeçalho IP

12. Cabeçalho UDP

13. Conexões TCP

14. Protocolo ARP

15. Negociação TCP

16. Captura de tráfego (posicionamento)

17. Modo HUB

18. Port mirroring

19. Modo bridge

20. Captura
Análise
Ferramentas

21. • Ferramenta tradicional de captura de tráfego
• Contempla a captura completa de um tráfego de
rede
• Aceita filtros por expressões
• Biblioteca padrão para captura de tráfego:
libpcap
Tcpdump - www.tcpdump.org

22. • Captura em tempo real
• Suporta vários formatos e fontes de captura
• Multi-platforma
• Análise de cabeçalhos em árvore (encapsulamento)
• Aplicação de regras e filtros
• Funcionalidades específicas para análise de
tráfego de VoIP
• Reconstrução de Sessão
Wireshark www.wireshark.org

23. Opção Descrição
-i Informa-se a interface que desejamos analisar, caso
deixado em branco, será utilizada a primeira da lista do
comando ifconfig, ou tcpdump -D
-v Aumenta a quantidade de informação do cabeçalho
-vvv O nível máximo de verbose
-t Mostra insformações de data e hora
-n Não faz a resolução de nomes, melhorando o
desempenho da captura
-s Informa o tamanho do snap length da captura
-e Mostra os dados referente a camada de enalace do modelo
OSI
-w Grava a saída da captura em um arquivo que deve ser
passado por parâmetro
Algumas opções

24. Filtro Descrição
host Especifica-se o nome ou ip da máquina a ser analisada
net Especifica a rede a ser analisada
port Especifica a porta a ser analisada
src Especifica o endereço de origem dos pacotes a serem
analisados
dst Especifica o endereço de destino dos pacotes a serem
analisados
and Operadores utilizados para combinar expressões, fazendo
com que os resultados sejam precisos.
or
not
Filtros básicos

25. 
tcpdump -i eth0 -vvv -n -w captura.pcap

tcpdump -i eth0 -v -n host 10.1.1.2 -w captura.pcap

tcpdump -i eth0 -v -n host 10.1.1.2 and dst net
74.125.234.0

tcpdump -i eth0 -v -n host 10.1.1.2 and not port 22
Exemplos de uso

26. Chega de papo o/

27. → A análise de tráfego é fundamental para
auxiliar o SysAdmin na resolução dos mais
diversos problemas de rede.
→ Sem utilizar a análise o SysAdmin será um mero
testador de possibilidades, sem saber ao certo onde
está o real problema.
Considerações finais

28. Muito obrigado! =]

29. 
E-mail: tfinardi@gmail.com

Site: www.finardi.eti.br

Blog: www.botecodigital.info

Twitter: @tfinardi

Slides: www.slideshare.net/tfinardi