56
Eriberto - out. 13 Análise de tráfego Análise de tráfego em redes TCP/IP em redes TCP/IP com tcpdump com tcpdump João Eriberto Mota Filho João Eriberto Mota Filho Foz do Iguaçu, PR, 16 out. 2013 Foz do Iguaçu, PR, 16 out. 2013

Análise Tráfego Redes - Slides - Eriberto

Embed Size (px)

Citation preview

  • Eribertoout.13

    Anlise de trfego Anlise de trfego em redes TCP/IP em redes TCP/IP

    com tcpdumpcom tcpdump

    JooEribertoMotaFilhoJooEribertoMotaFilho

    FozdoIguau,PR,16out.2013FozdoIguau,PR,16out.2013

  • Eribertoout.13

    SumrioSumrio

    AanlisedetrfegoAestruturadeumprotocoloOprotocoloIPOprotocoloTCPOprotocoloUDPOprotocoloICMPOmodeloOSITcnicadeusodotcpdumpnaanlisedetrfegoPayloadsquefalam...BridgesnaanlisedetrfegoConcluso

  • Eribertoout.13

    SumrioSumrio

    AanlisedetrfegoAestruturadeumprotocoloOprotocoloIPOprotocoloTCPOprotocoloUDPOprotocoloICMPOmodeloOSITcnicadeusodotcpdumpnaanlisedetrfegoPayloadsquefalam...BridgesnaanlisedetrfegoConcluso

  • Eribertoout.13

    A anlise de trfegoA anlise de trfego

    Auxiliarderedediz:Chefe,deupane!Paroutudo!

    Gerentederedediz:Trocaoswitch!Agoratrocaoroteador!Nodeu.Trocaoscabos.Deveserolinkdatele.Ligapral.

    Auxiliarderedediz:AimeuDeus...Tenhotrabalhonafaculdadehoje...

    Gerentederedediz:Nadadisso!Ejpedeapizza...

  • Eribertoout.13

    A anlise de trfegoA anlise de trfego

    Aanlisedetrfegopermite,dentreoutraspossibilidades:

    Encontrarpontosdebloqueionarede.Detectaranomaliasnarede.Descobrirequipamentosecabeamentodefeituosos.Observarimportantesmensagensdesistemanomostradas

    pelasaplicaes.

    Aanlisedepender,principalmente,doconhecimentoarespeitodeprotocolosderedeemodeloOSI.

    Paraentenderosprotocolos,necessrioestudarRFCs.

    RFCsregulamofuncionamentodaInternet!!!

  • Eribertoout.13

    AlgumasRFCsimportantesparaaanlisedetrfego:768,791,792,793,2460,5156,5735etodasasrespectivasatualizaes.

    Disponveisemhttp://www.rfceditor.orgeoutrossites.

    Aferramenta:tcpdump.

    Outrasformasdeauxlio:tshark,wireshark,mtr,ping,netcat,iptraf,packethetc.

    Auxlioparatesteseestudo:simuladorderedesCORE(#aptgetinstallcorenetworkemDebianSid,JessieeBackports).

    TCP/IPandtcpdumpPocketReferenceGuide:

    http://www.sans.org/securityresources/tcpip.pdf

    A anlise de trfegoA anlise de trfego

  • Eribertoout.13

    A anlise de trfegoA anlise de trfego

    SimuladorderedesCORE(#aptgetinstallcorenetwork).

    DisponvelparaDebianSid,JessieeWheezybackports,almdoUbuntuposterioranovembrode2013.

  • Eribertoout.13

    SumrioSumrio

    AanlisedetrfegoAestruturadeumprotocoloOprotocoloIPOprotocoloTCPOprotocoloUDPOprotocoloICMPOmodeloOSITcnicadeusodotcpdumpnaanlisedetrfegoPayloadsquefalam...BridgesnaanlisedetrfegoConcluso

  • Eribertoout.13

    A estrutura de um protocoloA estrutura de um protocolo

    Protocolosderedepossuemumaestruturabsica,formadaporumcabealho(ouheader)eumpayload(oureadedados).

    Payload

    Cabealho

  • Eribertoout.13

    SumrioSumrio

    AanlisedetrfegoAestruturadeumprotocoloOprotocoloIPOprotocoloTCPOprotocoloUDPOprotocoloICMPOmodeloOSITcnicadeusodotcpdumpnaanlisedetrfegoPayloadsquefalam...BridgesnaanlisedetrfegoConcluso

  • Eribertoout.13

    O protocolo IPO protocolo IP

    IP,RFC791.OprotocolomaisimportantedafamliaTCP/IP.

    0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|Version| IHL |Type of Service| Total Length |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| Identification |Flags| Fragment Offset |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| Time to Live | Protocol | Header Checksum |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| Source Address |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| Destination Address |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| Options | Padding |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

  • Eribertoout.13

    OcampoTTLimportanteporquepermiteestimarosistemaoperacionalopostoeaquantidadederoteadoresentreohostopostoeolocal.

    Pordefault,sistemasoperacionaisutilizamvaloresiniciaisdeTTLquepodemseralterados.Unixederivadosdiretos=255,MSWindows=128eGNU/Linux=64.

    ProtocolosIP:soosprotocolosquesoencapsuladospeloIP.SolistadospelaIANAeumresumopoderserencontradoem/etc/protocols.Exemplos:ICMP,TCPeUDP.

    O protocolo IPO protocolo IP

  • Eribertoout.13

    OIPutilizadoparatransportaroutrosprotocolos.Ento,semprehaverumprotocoloIPnoseupayload.

    CabealhoIP

    O protocolo IPO protocolo IP

    Pay

    load

    IP

    PayloadTCP

    CabealhoTCP

  • Eribertoout.13

    OsprotocolosIPmaisimportantesparaaanlisedetrfegosooTCP,oUDPeoICMP.

    DentretodososprotocolosIP,somenteoTCPeoUDPutilizamportas.

    O protocolo IPO protocolo IP

  • Eribertoout.13

    SumrioSumrio

    AanlisedetrfegoAestruturadeumprotocoloOprotocoloIPOprotocoloTCPOprotocoloUDPOprotocoloICMPOmodeloOSITcnicadeusodotcpdumpnaanlisedetrfegoPayloadsquefalam...BridgesnaanlisedetrfegoConcluso

  • Eribertoout.13

    O protocolo TCPO protocolo TCP

    TCP,RFC793.OprotocolodetransportemaiscontroladoeconfiveldafamliaTCP/IP.

    0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| Source Port | Destination Port |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| Sequence Number |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| Acknowledgment Number |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| Data | |U|A|P|R|S|F| || Offset| Reserved |R|C|S|S|Y|I| Window || | |G|K|H|T|N|N| |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| Checksum | Urgent Pointer |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| Options | Padding |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

  • Eribertoout.13

    OTCP(etambmoUDP)utilizadoparatransportarprotocolosdeusoespecficodosusuriosedassuasaplicaes.Ex.:http,smtp,pop3,ftp,msn,ssh,telnet,ircetc.

    CabealhoIP

    O protocolo TCPO protocolo TCP

    Pay

    load

    IP

    CabealhoTCP

    Pay

    load

    TCP

    HTTP

  • Eribertoout.13

    OprotocoloTCPorientadoconexoeagaranteporintermdiodothreewayhandshake.

    umprotocolofullduplex.

    Emumarede,independentedoprotocolo,sempreoclientequeminiciaaconexo.

    Nohredesemservidor.

    O protocolo TCPO protocolo TCP

  • Eribertoout.13

    O protocolo TCP - flagsO protocolo TCP - flags

    FlagsTCP:

    Syn(synchronize):iniciaconexes.Fin(finish):finalizaconexes.Psh(push):enviadados.Ack(acknowledgment):confirmaodequeconhecidoo

    nmerodesequnciadoprximosegmentoaserenviadopeloladooposto.

    Rst(reset):noentendi.

    IMPORTANTE:asflagsTCPsodisparadascontraportasesomenteaflagpushpossuipayload.

  • Eribertoout.13

    cygnus:~# tcpdump -nSt host www.eriberto.pro.br

    IP 10.1.1.15.49012 > 74.55.41.178.80: Flags [S], seq 747415379, win 5840, options [mss 1460,sackOK,TS val 11081666 ecr 0,nop,wscale 6], length 0

    IP 74.55.41.178.80 > 10.1.1.15.49012: Flags [S.], seq 2372044971, ack 747415380, win 5840, options [mss 1460], length 0

    IP 10.1.1.15.49012 > 74.55.41.178.80: Flags [.], ack 2372044972, win 5840, length 0IP 10.1.1.15.49012 > 74.55.41.178.80: Flags [P.], seq 747415380:747415928, ack

    2372044972, win 5840, length 548IP 74.55.41.178.80 > 10.1.1.15.49012: Flags [.], ack 747415928, win 6576, length 0IP 74.55.41.178.80 > 10.1.1.15.49012: Flags [P.], seq 2372044972:2372045807, ack

    747415928, win 6576, length 835IP 10.1.1.15.49012 > 74.55.41.178.80: Flags [.], ack 2372045807, win 6680, length 0IP 74.55.41.178.80 > 10.1.1.15.49012: Flags [F.], seq 2372045807, ack 747415928,

    win 6576, length 0IP 10.1.1.15.49012 > 74.55.41.178.80: Flags [.], ack 2372045808, win 6680, length 0IP 10.1.1.15.49012 > 74.55.41.178.80: Flags [F.], seq 747415928, ack 2372045808,

    win 6680, length 0IP 74.55.41.178.80 > 10.1.1.15.49012: Flags [.], ack 747415929, win 6576, length 0

    O protocolo TCPO protocolo TCP

  • Eribertoout.13

    cygnus:~# tcpdump -nStA host www.eriberto.pro.br

    [...]IP 10.1.1.15.49012 > 74.55.41.178.80: Flags [P.], seq 747415380:747415928, ack

    2372044972, win 5840, length 548E..L..@.@. ...J7)..t.P,..T.b..P....Z..GET /teste.html HTTP/1.1Host: www.eriberto.pro.brUser-Agent: Mozilla/5.0 (X11; U; Linux i686; pt-BR; rv:1.9.1.10) Gecko/20100623

    Iceweasel/3.5.10 (like Firefox/3.5.10)Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Accept-Language: pt-br,pt;q=0.8,en-us;q=0.5,en;q=0.3Accept-Encoding: gzip,deflateAccept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7Keep-Alive: 300Connection: keep-alive[...]

    O protocolo TCPO protocolo TCP

  • Eribertoout.13

    cygnus:~# tcpdump -nSt port 81

    IP 10.1.1.15.47887 > 200.17.202.1.81: Flags [S], seq 2535659221, win 5840, options [mss 1460,sackOK,TS val 295864 ecr 0,nop,wscale 6], length 0

    IP 200.17.202.1.81 > 10.1.1.15.47887: Flags [R.], seq 0, ack 2535659222, win 0, length 0

    O protocolo TCPO protocolo TCP

  • Eribertoout.13

    2008-04-30 02:52:37.137288 IP 192.168.1.100.52075 > 161.148.185.130.3456: Flags [S], seq 3214674887, win 5840, options [mss 1460,sackOK,TS val 810225 ecr 0,nop,wscale 7], length 0

    2008-04-30 02:52:37.152227 IP 161.148.185.130.3456 > 192.168.1.100.52075: Flags [R.], seq 2748955468, ack 3214674888, win 62780, length 0

    O protocolo TCPO protocolo TCP

  • Eribertoout.13

    cygnus:~# tcpdump -nSt host hamurabi.acc.umu.se

    IP 10.1.1.15.36306 > 130.239.18.165.80: Flags [S], seq 1134470901, win 5840, options [mss 1460,sackOK,TS val 547187 ecr 0,nop,wscale 6], length 0

    IP 130.239.18.165.80 > 10.1.1.15.36306: Flags [S.], seq 1887642709, ack 1134470902, win 5792, options [mss 1460,sackOK,TS val 324228655 ecr 547187,nop,wscale 7], length 0

    IP 10.1.1.15.36306 > 130.239.18.165.80: Flags [.], ack 1887642710, win 92, options [nop,nop,TS val 547265 ecr 324228655], length 0

    IP 10.1.1.15.36306 > 130.239.18.165.80: Flags [P.], seq 1134470902:1134471443, ack 1887642710, win 92, options [nop,nop,TS val 547265 ecr 324228655], length 541

    IP 130.239.18.165.80 > 10.1.1.15.36306: Flags [.], ack 1134471443, win 54, options [nop,nop,TS val 324228688 ecr 547265], length 0

    [...] Ctrl cIP 10.1.1.15.36306 > 130.239.18.165.80: Flags [F.], seq 1134471443, ack 1888127990,

    win 3563, options [nop,nop,TS val 549148 ecr 324229384,nop,nop,sack 2 {1888135190:1888148150}{1888129430:1888130870}], length 0

    IP 130.239.18.165.80 > 10.1.1.15.36306: Flags [P.], seq 1888148150:1888149590, ack 1134471443, win 54, options [nop,nop,TS val 324229401 ecr 549051], length 1440

    IP 10.1.1.15.36306 > 130.239.18.165.80: Flags [R], seq 1134471443, win 0, length 0

    O protocolo TCPO protocolo TCP

  • Eribertoout.13

    IP6 2001::10.33467 > 2001:1::10.80: Flags [S], seq 4052414885, win 14400, options [mss 1440,sackOK,TS val 222843 ecr 0,nop,wscale 7], length 0

    IP6 2001:1::10.80 > 2001::10.33467: Flags [S.], seq 3060786677, ack 4052414886, win 14280, options [mss 1440,sackOK,TS val 222843 ecr 222843,nop,wscale 7], length 0

    IP6 2001::10.33467 > 2001:1::10.80: Flags [.], ack 1, win 113, options [nop,nop,TS val 222843 ecr 222843], length 0

    IP6 2001::10.33467 > 2001:1::10.80: Flags [P.], seq 1:237, ack 1, win 113, options [nop,nop,TS val 222844 ecr 222843], length 236

    IP6 2001:1::10.80 > 2001::10.33467: Flags [.], ack 237, win 120, options [nop,nop,TS val 222844 ecr 222844], length 0

    IP6 2001:1::10.80 > 2001::10.33467: Flags [P.], seq 1:725, ack 237, win 120, options [nop,nop,TS val 222845 ecr 222844], length 724

    IP6 2001::10.33467 > 2001:1::10.80: Flags [.], ack 725, win 124, options [nop,nop,TS val 222845 ecr 222845], length 0

    IP6 2001:1::10.80 > 2001::10.33467: Flags [F.], seq 725, ack 237, win 120, options [nop,nop,TS val 222845 ecr 222845], length 0

    IP6 2001::10.33467 > 2001:1::10.80: Flags [F.], seq 237, ack 726, win 124, options [nop,nop,TS val 222845 ecr 222845], length 0

    IP6 2001:1::10.80 > 2001::10.33467: Flags [.], ack 238, win 120, options [nop,nop,TS val 222845 ecr 222845], length 0

    O protocolo TCPO protocolo TCP

  • Eribertoout.13

    SumrioSumrio

    AanlisedetrfegoAestruturadeumprotocoloOprotocoloIPOprotocoloTCPOprotocoloUDPOprotocoloICMPOmodeloOSITcnicadeusodotcpdumpnaanlisedetrfegoPayloadsquefalam...BridgesnaanlisedetrfegoConcluso

  • Eribertoout.13

    O protocolo UDPO protocolo UDP

    UDP,RFC768.OprotocolodetransportemaisrpidodafamliaTCP/IP.

    0 7 8 15 16 23 24 31 +--------+--------+--------+--------+ | Source | Destination | | Port | Port | +--------+--------+--------+--------+ | | | | Length | Checksum | +--------+--------+--------+--------+

  • Eribertoout.13

    O protocolo UDPO protocolo UDP

    SomenteosprotocolosTCPeUDPpossuemportas.

    SemprequehouverumanovaconexoTCPouUDP,aportadoclientemudar.

  • Eribertoout.13

    SumrioSumrio

    AanlisedetrfegoAestruturadeumprotocoloOprotocoloIPOprotocoloTCPOprotocoloUDPOprotocoloICMPOmodeloOSITcnicadeusodotcpdumpnaanlisedetrfegoPayloadsquefalam...BridgesnaanlisedetrfegoConcluso

  • Eribertoout.13

    O protocolo ICMPO protocolo ICMP

    ICMP,RFC792.OprotocolodecontroledaredeTCP/IP.

    0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| Type | Code | Checksum |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| ICMP... |

    Exemplos:

    Tipo8:echorequest.Tipo0:echoreply.Tipo3,cdigo3:portadedestinoinacessvel.Tipo11,cdigo0:TTLexpiradoemtrnsito.

  • Eribertoout.13

    O protocolo ICMPO protocolo ICMP

    OICMPutilizadoparacontrolarasatividadesderede.

    Deummodogeral,somenteoTCPnoassessoradopeloICMP.

    HvriostiposecdigosICMP.

    NosebloqueiaICMPemredes!!!Issonocriaseguranaesimdescontrole.Seforocaso,controlealgunstiposdeICMP.

    Usefiltrosdepacotes,comooNetfilter,paracontrolaraquantidademximadeechorequestspermitidos.Exemplo:

    # iptables -A FORWARD -p icmp --icmp-type 8 -m limit --limit 10/s -j ACCEPT # iptables -A FORWARD -p icmp --icmp-type 8 -j DROP

  • Eribertoout.13

    cygnus:~# tcpdump -nSt port 54 or icmp

    IP 10.1.1.15.47014 > 10.1.1.1.54: UDP, length 6

    IP 10.1.1.1 > 10.1.1.15: ICMP 10.1.1.1 udp port 54 unreachable, length 42

    O protocolo ICMPO protocolo ICMP

  • Eribertoout.13

    21:03:42.745064 IP 201.22.137.119 > 10.1.4.25: ICMP 65.54.179.248 unreachable - need to frag (mtu 1492), length 556

    O protocolo ICMPO protocolo ICMP

  • Eribertoout.13

    SumrioSumrio

    AanlisedetrfegoAestruturadeumprotocoloOprotocoloIPOprotocoloTCPOprotocoloUDPOprotocoloICMPOmodeloOSITcnicadeusodotcpdumpnaanlisedetrfegoPayloadsquefalam...BridgesnaanlisedetrfegoConcluso

  • Eribertoout.13

    ModelocriadopelaISOparaquefabricantesdehardwarederedepossamdesenvolverequipamentoscompatveisentresi.

    Dados

    Dados

    Dados

    Segmentos

    Pacotes[1]

    Quadros[2]

    Bits

    [1]pacotesoudatagramas[2]quadrosouframes

    Apresentao

    Sesso

    Transporte

    Enlace

    Aplicao

    Rede

    Fsica

    Usurio, http, ftp, smtp, pop3, chat etc

    SSL, converso de padres, des/compresso

    Sesso de aplicaes

    TCP, UDP

    IP e protocolos IP (exceto TCP e UDP) / roteador

    Ethernet, ATM, PPP, frame relay / switch, bridge

    Hub, cabos, placa de rede, ondas wireless etc

    O modelo OSIO modelo OSI

  • Eribertoout.13

    OmodeloOSI,naprtica,umarefernciaaoencapsulamentodedadoseprotocolos,comnveisdepreparaoecontrole.

    Umexemplo,utilizandooprotocoloHTTPcomoaplicao:

    Apresentao

    Sesso

    Transporte

    Enlace

    Aplicao

    Rede

    Fsica

    Preparao

    Controle

    Encap./Controle

    Encap./Controle

    Encapsulamento

    Encap./Controle

    Despacho

    HTTP

    TCP

    Ethernet

    IP(v4ev6)

    Header

    Header

    Header

    O modelo OSIO modelo OSI

  • Eribertoout.13

    importanteressaltarqueosprotocolosdetransporte(TCPeUDP)servemparatransportardadosreferentesausurios.Senohouverusurios,nohaverascamadas4a7.

    Apresentao

    Sesso

    Transporte

    Enlace

    Aplicao

    Rede

    Fsica

    Preparao

    Controle

    Encap./Controle

    Encap./Controle

    Encapsulamento

    Encap./Controle

    Despacho

    HTTP

    TCP

    Ethernet

    IP

    Header

    Header

    Header

    O modelo OSIO modelo OSI

  • Eribertoout.13

    SumrioSumrio

    AanlisedetrfegoAestruturadeumprotocoloOprotocoloIPOprotocoloTCPOprotocoloUDPOprotocoloICMPOmodeloOSITcnicadeusodotcpdumpnaanlisedetrfegoPayloadsquefalam...BridgesnaanlisedetrfegoConcluso

  • Eribertoout.13

    Tcnica de uso do tcpdump na anlise de trfegoTcnica de uso do tcpdump na anlise de trfego

    Caso1:bloqueiodotrfegoemumelementointermedirioderede(regrasdefiltragemmalfeitas,erronoroteamentoetc).

    S e n t i d o d o t r f e g o

  • Eribertoout.13

    Tcnica de uso do tcpdump na anlise de trfegoTcnica de uso do tcpdump na anlise de trfego

    Aplicarotcpdumpaolongodatopologiaparadescobriropontodebloqueio.

    S e n t i d o d o t r f e g o

  • Eribertoout.13

    Tcnica de uso do tcpdump na anlise de trfegoTcnica de uso do tcpdump na anlise de trfego

    Aplicarotcpdumpaolongodatopologiaparadescobriropontodebloqueio.

    S e n t i d o d o t r f e g o

    SynSynSynSynNada

  • Eribertoout.13

    Tcnica de uso do tcpdump na anlise de trfegoTcnica de uso do tcpdump na anlise de trfego

    Caso2:bloqueiodotrfegoporfalhafsicanatopologia.

    S e n t i d o d o t r f e g o

  • Eribertoout.13

    Tcnica de uso do tcpdump na anlise de trfegoTcnica de uso do tcpdump na anlise de trfego

    Aplicarotcpdumpaolongodatopologiaparadescobriropontodefalha.

    S e n t i d o d o t r f e g o

  • Eribertoout.13

    Tcnica de uso do tcpdump na anlise de trfegoTcnica de uso do tcpdump na anlise de trfego

    Aplicarotcpdumpaolongodatopologiaparadescobriropontodefalha.

    S e n t i d o d o t r f e g o

    SynSynSynNada

  • Eribertoout.13

    SumrioSumrio

    AanlisedetrfegoAestruturadeumprotocoloOprotocoloIPOprotocoloTCPOprotocoloUDPOprotocoloICMPOmodeloOSITcnicadeusodotcpdumpnaanlisedetrfegoPayloadsquefalam...BridgesnaanlisedetrfegoConcluso

  • Eribertoout.13

    Payloads que falam...Payloads que falam...

    Emcasosdefalhasdeconexoemservios,analiseopayloaddotrfegocomotcpdump.

    Muitosservidoresdizemascausasdosproblemasmasasaplicaesnoofazem.Exemplos:jabber,bancosdedadosetc.

    UtilizeaopoAparaveropayload.

  • Eribertoout.13

    Payloads que falam...Payloads que falam...

    Payload:00:12:03.499715 IP 192.168.1.104.3306 > 192.168.1.101.34941: Flags [P.], seq 1:75,

    ack 1, win 33, options [nop,nop,TS val 23718975 ecr 5218436], length 74E..~..@[email protected]...}.(..@1&....!........i.?.O..F....j.Host '192.168.1.101' is not allowed to connect to this MySQL server

  • Eribertoout.13

    Payloads que falam...Payloads que falam...

    Payload:16:48:26.120296 IP 172.16.10.49.3306 > 172.16.10.42.39903: Flags [P.], seq 79:162,

    ack 80, win 181, options [nop,nop,TS val 3773032 ecr 3202030], length 83E....E@[email protected]...*......bx........Z.......9.h.0..O......#42000Access denied for user 'alpha31'@'172.16.10.42' to database

    'wikinet3'

  • Eribertoout.13

    Payloads que falam...Payloads que falam...

  • Eribertoout.13

    Payloads que falam...Payloads que falam...

    Payload:11:22:42.833577 IP 208.68.163.220.5222 > 172.16.0.1.57148: Flags [P.], seq 1:355, ack

    126, win 46, options [nop,nop,TS val 1913276961 ecr 20144826], length [email protected].

  • Eribertoout.13

    SumrioSumrio

    AanlisedetrfegoAestruturadeumprotocoloOprotocoloIPOprotocoloTCPOprotocoloUDPOprotocoloICMPOmodeloOSITcnicadeusodotcpdumpnaanlisedetrfegoPayloadsquefalam...BridgesnaanlisedetrfegoConcluso

  • Eribertoout.13

    Bridges na anlise de trfegoBridges na anlise de trfego

    Bridgessoelementosqueatuamnacamada2domodeloOSIesocomoswitches(esoinvisveis!).

    Casoosativosderedenopermitamousodetcpdump(roteadoresproprietriosetc),utilizeumnotebook,comduasplacasderedeconfiguradascomobridge,parafazeraanlise.

    Aopoenotcpdumpmostraacamadadeenlacenotrfego.

    AsegundaplacaderedepoderserumadaptadorUSBEthernet.

    BridgesnoDebian:http://bit.ly/bridge_debian

  • Eribertoout.13

    Bridges na anlise de trfegoBridges na anlise de trfego

    Ousodebridgenaanlisedetrfego.

    AdaptadorUSBEthernet(vendaemlojas,MercadoLivreeeBay).CustaUS$3,50noeBay,jincludaaentreganoBrasil!

    BRIDGE

  • Eribertoout.13

    SumrioSumrio

    AanlisedetrfegoAestruturadeumprotocoloOprotocoloIPOprotocoloTCPOprotocoloUDPOprotocoloICMPOmodeloOSITcnicadeusodotcpdumpnaanlisedetrfegoPayloadsquefalam...BridgesnaanlisedetrfegoConcluso

  • Eribertoout.13

    ConclusoConcluso

    Aanlisedetrfegoumconhecimentofundamentalparaquemtrabalhacomredesdecomputadores.Semela,emmomentosdepaneseproblemasemredes,oadministradorserummerotestadordepossibilidadesinfundadas.

    Aferramentatcpdumpamelhoraliadanaanlisedetrfego.Noentanto,outrasferramentascomoowiresharkeomtrpoderoserteis,principalmenteparaoestudoeaprendizado.

    Payloadsfalamcoisasimportantes...ouaos!

    NosebloqueiaICMPemredes!Semelehaverumaperdadecontrole.continua...

  • Eribertoout.13

    ConclusoConcluso

    Referncias(usandotcpdump)paraestudo:

    MOTAFILHO,JooEriberto.AnlisedetrfegoemredesTCP/IP.EditoraNovatec,2013.

    STEVENS,W.Richard;FALL,KevinR.TCP/IPIllustrated,VolumeI,2edio.EditoraAddisonWesley,2011.

    WIRESHARK.ORG.Seodecapturasnosite,emhttp://wiki.wireshark.org/SampleCaptures.

    Estapalestraestdisponvelem:

    http://eriberto.pro.brSigamenoTwitter@eribertomotaSigamenoTwitter@eribertomota

    Slide 1Slide 2Slide 3Slide 4Slide 5Slide 6Slide 7Slide 8Slide 9Slide 10Slide 11Slide 12Slide 13Slide 14Slide 15Slide 16Slide 17Slide 18Slide 19Slide 20Slide 21Slide 22Slide 23Slide 24Slide 25Slide 26Slide 27Slide 28Slide 29Slide 30Slide 31Slide 32Slide 33Slide 34Slide 35Slide 36Slide 37Slide 38Slide 39Slide 40Slide 41Slide 42Slide 43Slide 44Slide 45Slide 46Slide 47Slide 48Slide 49Slide 50Slide 51Slide 52Slide 53Slide 54Slide 55Slide 56