Análise de rede com Wireshark mostra troca dinâmica de pacotes
1. Análise de pacotes de uma rede com o uso da ferramenta
Wireshark
Denis José Rebelo das Neves1
1
Universidade Federal do Pará – Campus Santarém
Resumo. Este artigo procura mostrar o tráfego em uma rede em tempo real,
verificando toda a troca de pacotes, protocolos e comunicação entre origem e
destino se utilizando da ferramenta wireshark (antigo ethereal), a mais
adequada e usada para essa tarefa por sua facilidade de entendimento, além
de verificar como o trafego de uma rede é dinâmico e mutável com a situação
atual da rede.Também é uma excelente oportunidade para quem não sabe
mexer na ferramenta ou não sabe utilizála corretamente.
Palavras chave: rede de computadores, protocolos, wireshark
1 Introdução
A análise de uma rede de computadores se sabe que há uma série de
trocas de pacotes protocolos e regras a serem seguidas para ambos os lados se
entenderem, ficando muitos pontos às vezes incompreensíveis, se vendo somente
pelo lado teórico, e esse estudo com ferramentas e técnicas adequadas poderemos
ver ao vivo o tráfego numa rede para entender melhor a utilidade dos pacotes e
protocolos e onde e como são usados e para que servem e quais protocolos são os
mais usados em cada situação.
2 Motivação
Verificando a necessidade de se compreender em uma situação real o
tráfego de pacotes ,fora de modelos prontos e sistematizados, o que dá a impressão
de que a troca de pacotes é algo que se resuma a uma troca previsível e usando
somente um ou dois protocolos, tudo muito preciso, o que não condiz com a
realidade. Devido a esses fatores, essa análise de tráfego mais detalhada procura
corrigir esses equívocos e compreender que a rede tem um tráfego dinâmico e
constante.
3 Objetivos
O objetivo é compreender com o uso da ferramenta wireshark, saber
como usála (para quem não sabe usar) corretamente e a favor do estudo do trafego
da rede para o entendimento de todo os acontecimentos do acesso em uma origem
ao destino, além de conhecer na prática para que serve cada protocole e protocolo
que aparece durante o tempo em que ocorre a captura..
2. 4 Metodologia
Foram usados para a análise dos pacotes que estavam trafegando na rede
as seguintes ferramentas: o sistema operacional GNU/Linux Ubuntu versão
9.0, o browser Mozilla Firefox versão 3.0 e o sniffer (farejador de pacotes)
wireshark na sua versão 1.7. Primeiramente, o computador teve de ser
reiniciado para esvaziar os seus logs para fazer uma captura mais eficiente,
após isso, o endereço eletrônico solicitado é digitado, o número de matrícula é
inserido no campo correto e o wireshark é acionado, dando início ao
rastreamento dos pacotes para sua análise e cerca de um minuto depois de
ativação, ela é interrompida e a análise é iniciada. O computador tem de ser de
preferência um GNU/ Linux, pois o mesmo não faz atualizações ou correções
de sistema sem o consentimento do usuário, o que poderia interferir no
resultado final, ao contrário do que ocorre em uma plataforma proprietária,
como no Windows, onde atualizações do sistema e de antivírus, por exemplo,
muitas vezes ocorrem sem sequer o usuário ter conhecimento de que estão
ocorrendo.
5. resultados esperados
Houve a necessidade de fazer o procedimento por meio de aceso a um
servidor que teve de ser preparado para isso, pois no dia da experiência (1/10/2009)
a conexão de internet estava muito instável, mas após o problema ter sido resolvido
à tarefa pode se realizada. Depois de tomados os procedimentos descritos na
metodologia, é possível observar um intensa troca de pacotes TCP entre a máquina
onde eu estava (10.125.100.57) e o ip do servidor de destino (10.125.100.94), esse
protocolo é necessário por exigir uma conexão segura com garantias de entrega,
além de se tentar estabelecer uma conexão enquanto o protocolo ICMP procurava
fornecer a origem a situação da rede no momento. Também havia uma alternância
também com o protocolo UDP, um protocolo não orientado a conexão, uma
conexão insegura, não mantém um conexão muito longa entre cliente e servidor.
Também esse protocolo é responsável pela geração das mensagens de
broadcast(enviar uma requisição para vários destinos ao mesmo tempo) e
multicast(a entrega de informação para múltiplos destinatários simultaneamente
usando a estratégia mais eficiente onde as mensagens só passam por um link uma
única vez e somente são duplicadas quando o link para os destinatários se divide
em duas direções), fato que foi verificado várias vezes ao longo da captura de
pacotes e retratado no relatório.
Logo após o número de matrícula ter sido inserido no espaço adequado e ter
sido validado, começa um novo bloco de trocas de pacotes com outro protocolo, o
HTTP, que é usado para a comunicação de hipermídia distribuídos e colaborativos,
usa a porta padrão número 80. É claramente possível ver o navegador utilizando o
método GET para fazer uma requisição ao servidor dos objetos que compõem a
página, nesse caso, as imagens aleatórias, o título do site e analisando um pouco
mais a fundo esses pacotes, o browser informa alguns dados do método GET como
nome do navegador, o objeto a ser requisitado, tipo de conexão, idioma do mesmo,
a versão do protocolo usada, no caso a 1.1, atualmente o padrão usado para o
HTTP, entre outros dados.
3. Devido aos problemas de internet ocorrido no dia o protocolo ICMP era
constantemente gerado, pois o sinal ora funcionava e ora não, como resultado, muitas
tentativas de conexão pelo protocolo DNS, protocolo responsável pelo gerenciamento
de nomes distribuído operando segundo duas definições, o exame e atualização de seus
banco de dados e resolver os nomes de domínio.Este tipo de servidor usa como porta
padrão a 53.
Vários endereços de ip tentavam entrar em contato com a internet pelo ip
10.1.1.00, mas não localizava nenhum servidor web,até tentavam usar o protocolo
DNS, registrase tentativas gerando a mensagem host destination unreachable
(host de destino inacessível).
Pelo observado, continua uma grande troca de pacotes TCP, (e em
algumas vezes, UDP e HTTP) e uma alternância entre os protocolos ARP e DNS, o
ARP que encontra um endereço da camada de enlace de rede a partir do endereço
da camada de rede, como um IP, também com alternância de outros protocolos
como o NBNS e o IGMP. Este último costuma ser usado para um melhor
aproveitamento dos recursos de uma rede, pois “informa” ao roteador da rede que a
mensagem de broadcast deve ficar restrito aquela rede, poupando tempo e banda
em procurar outra rede para tentar repassar essa mensagem broadcast. O segundo
protocolo, o NetBIOS Name Service, também chamados de servidores WINS, um
tipo de servidor DNS.Este serviço coleta nomes e números IP e disponibiliza esta
informação para quem desejar. Os clientes enviam seus nomes de NetBIOS e
números IP para o servidor NBNS, que por sua vez armazena estes dados em um
banco de dados. Quando um cliente desejar se comunicar com um outro cliente, ele
envia o nome do outro cliente para o servidor NBNS. Se o nome constar de seu
banco de dados, o servidor NBNS retorna ao solicitante o número IP. Ao contrário
do broadcast, que age em apenas uma rede local, esse protocolo permite que outras
redes se conectem em um servidor NBNS. Tal mecanismo de resolução de nomes
não se restringe a uma rede local
Às vezes uma mensagem de broadcast era enviada para toda a rede que
perguntava de quem era um determinado ip e à medida que não era respondida, a
mensagem se repetia até o “dono” do ip ser encontrado, tanto que certas máquinas
tinham seu ip localizado devido ao endereço físico, o que aparecem em certas
ocasiões. Também costumavam aparecer determinados números de interface de
rede.
Quando a conexão voltava, era perceptível os pacotes DNS e HTTP,
fazendo a “tradução” de endereços de ip para nomes de domínio e as requisições de
browser de objetos de um site qualquer, onde se via dados do objeto (uma figura no
formato .gif, .jpeg, texto, hiperlinks,etc.), conexões de entrada de email e, etc., até
que alguns minutos depois, a conexão voltava a cair, continuando com essa
instabilidade, encerado a análise dos pacotes.
6.Conclusão
4. Terminando a análise dos pacotes com o uso da ferramenta Wireshark, e
usando os procedimentos descritas no item 3, podese fazer uma experiência
bastante precisa, pois vemos como os protocolos, pacotes e como os objetos de um
site ,de uma rede, de uma conexão qualquer são referenciados, facilitando a
compreensão de uma rede de computadores, facilitando de sobremaneira o
aprendizado como um todo, além de incentivar o estudo, principalmente, daqueles
protocolos que não são conhecidos e reforçar o estudo dos que já são conhecidos,
mas cujo funcionamento não são muito bem esclarecidos.
5. Referencias
1 Kurose, James F. Redes de computadores e a internet: uma abordagem
topdown / James F. Kurose e Keith W. Ross ,terceira edição, São Paulo: Pearson,
2006
2 <http://www.dicasl.com.br/artigos/.shtm>l, acessado em 3/10/2009
3<http://www.gta.ufrj.br/grad/01_2/samba/umaredesmbcifs.htm>, acessado
em 3/10/09