Aula 9 Ferramentas de diagnstico e anlise de rede em Linux

9.1 - Sniffers

Sniffers so programas cuja finalidade fazer a captura pacotes de rede, sejam essas capturas obtidas de maneiras legais (seguindo as regras dos protocolos) ou por meio de atividades no permitidas. A funo destas ferramentas, de um ponto de vista de uso bem intencionado, capturar todo o trfego de rede e com isso possibilitar uma anlise posterior que venha a identificar problemas ou comportamentos anmalos dentro da rede. Na ptica de uma utilizao m intencionada, o sniffer primordial porque permite ao hacker ou invasor realizar a leitura de todos dados que passam pelo meio fsico. Para estas situaes, a forma mais rpida e independente de se manter os dados protegidos, sempre fazer uso de protocolos ou canais que suportem criptografia. Os sniffers no possuem um padro de implementao, entretanto, cada um deles tem suas finalidades e capacidades ligadas ao modo de conduta da recepo dos quadros da rede. Em outras palavras, o sniffer precisa ser implementado com base no funcionamento da rede em que o mesmo vai funcionar. Em uma rede fisicamente ligada por um barramento central, como o caso da Ethernet clssica, fica fcil entender como possvel burlar o esquema de recebimento de quadros. Para tal, basta que uma interface de rede comece a operar em modo promscuo (aceitando todos quadros que chegam at essa interface). A partir deste momento, esta interface estar recebendo todos quadros que entram no barramento (HUB), inclusive os quadros entre duas mquinas distintas que no dizem respeito mesma (interface que se tornou promscua). De forma mais complexa, mas ainda possvel, existe um modo promscuo para redes comutadas Ethernet (switches). Isto feito atravs de algumas tcnicas que exploram as falhas intrnsecas dos protocolos de camadas inferiores (enlace por exemplo). No caso padro, a rede Ethernet conta com a ajuda do ARP, que at onde sabemos, apresenta uma simplicidade inerente sua eficincia. O efeito dessa simplicidade timo para um protocolo ser prtico e leve no uso de recursos, todavia isso compromete a questo da segurana e quesitos de controle. Aproveitando-se dessa simplicidade que surgem os ataques e brechas para que seja possvel realizar um sniffer em uma rede comutada Ethernet. O funcionamento do ARP basicamente pode ser descrito em dois passos: 1arp who has 192.166.99.55 tell 192.168.99.41 (ARP request operation 1) 2-arp reply 192.168.99.55 is-at 00:00:c7:fd:4b:12 (ARP reply operation 2) Como se nota, primeiramente, a estao de endereo IP 192.168.99.41 pergunta quem tem o endereo 192.166.99.55. Na sequncia, a estao de MAC address 00:00:c7:fd:4b:12 responde que ela detentora do endereo IP 192.166.99.55. Da em diante a estao 192.168.99.41 pode enviar quadros Ethernet para 192.168.99.55 pois ela j armazenou em sua base o endereo Ethernet (MAC) desse destino. Por outro lado, imagine que uma estao no tenha solicitado um arp

request, tenha, entretanto, recebido um arp reply. O que ocorre? Nessa situao a estao que recebe o arp reply, mesmo sem te-l solicitado, atualiza sua tabela ARP incluindo ou alterando aquela entrada recm chegada. Dessa forma pode-se imaginar como fazer um sniffer funcionar em redes comutadas Ethernet. Pode-se, com a tcnica do ARP poisoning (envenenamento da tabela ARP), explicada acima, alterar a tabela ARP de qualquer sistema na rede e com isso passar a escutar seu trfego. O ataque com envenenamento ARP pode ser usado para:a) Ataque de negao de servio: O atacante atualiza a tabela ARP das vtimas, alterando o endereo MAC do default gateway. Ele pode inserir um endereo inexistente e com isso a vtima vai montar quadros que supostamente deveriam ir para a Internet quando na verdade esto indo para /dev/null (vide figura 1).

Figura 1: ARP spoof para causar DoS

b) Macaco no meio (man-in-the-middle ou monkey-in-the-middle): O mais prtico e famoso ataque de envenenamento ARP consiste em um atacante que previamente faz a leitura dos endereos MAC de suas vtimas. Em seguida ele atualiza as tabelas ARP de suas vtimas informando que os endereos IP dessas vtimas correspondem ao seu endereo MAC. Com isso toda vez que uma vtima for enviar um quadro para outra vtima, vai na verdade estar enviando um quadro para o atacante. Nessa situao o atacante pode trabalhar de forma silenciosa ou no. Ele recebe o quadro o analisa, altera e o remete ao destino ou ento somente analisa-o e o remete ao destino correto. Nesse cenrio, o atacante se torna um roteador em nvel 2 da rede. Tudo ocorrer de forma transparente, sem a percepo dos usurios finais como mostram as figuras 2 e 3.

Figura 2: ARP spoof envenena tabela das estaes vtimas

Figura 3: Atacante intercepta todo trfego entre estaes vtimasOutro ataque que no necessariamente utiliza ARP um ataque conhecido como MAC flooding. Nsse ataque de enxurrada de endereos MAC (MAC flooding), o atacante envia um turbilho de quadros, todos com endereos MAC e IP invlidos, ao switch da rede. Para alguns equipamentos, possvel ter-se a tabela ARP ou simplesmente uma tabela de encaminhamento entre porta e destino. Quando a memria utilizada por essa tabela se esgota, o equipamento tem duas opes Ele pode travar ou simplesmente trabalhar como um repedidor burro. A maioria dos fabricantes costuma utilizar a segunda alternativa, j que o travamento iria dar um trabalho enorme aos profissionais de marketing da companhia. Uma vez operando como um hub

sem inteligncia, fica fcil escutar todos quadros que chegam ao meio. Basta para isso, ativar a interface em modo promscuo com um sniffer convencional (vide figura 4).

Figura 4: Inundao da Tabela ARP do switch o faz trabalhar como um hub.

9.2 Sniffers na prtica

Para GNU/Linux, vamos destacar os seguintes sniffers: - Ettercap (redes comutadas) - Wireshark (redes em barramento/comutadas) - tcpdump (redes em barramento) Todas estas aplicaes dependem basicamente de uma mesma biblioteca em linux. a libpcap, que implementa funes de captura e tratamento de quadros da interface de rede. O tcpdump um sniffer executado em terminal e tem alguns parmetros interessantes a serem referenciados, como poderemos ver em exemplos logo abaixo. Ao se executar o comando:

#>tcpdumpSero mostrados na tela todos os pacotes recebidos na interface padro (eth0) e na medida do possvel sero identificados todos protocolos e endereos de rede dos pacotes em questo.

#>tcpdump

-i ppp0

22:10:12.870840 IP icecast2.knac.fastserv.com.www > 189-95-130-210.3g.claro.net.br.37405: P 57965:59313(1348) ack 0 win 3216 22:10:12.893849 IP icecast2.knac.fastserv.com.www > 189-95-130-210.3g.claro.net.br.37405: . 59313:60661(1348) ack 0 win 3216 22:10:12.915845 IP icecast2.knac.fastserv.com.www > 189-95-130-210.3g.claro.net.br.37405: . 60661:62009(1348) ack 0 win 3216

22:10:12.987621 IP 189-95-130-210.3g.claro.net.br.37405 > icecast2.knac.fastserv.com.www: . ack 62009 win 16 22:10:13.124429 IP 189-95-130-210.3g.claro.net.br.37405 > icecast2.knac.fastserv.com.www: . ack 62009 win 79 22:10:13.390871 IP icecast2.knac.fastserv.com.www > 189-95-130-210.3g.claro.net.br.37405: P 62009:63357(1348) ack 0 win 3216 22:10:13.412872 IP icecast2.knac.fastserv.com.www > 189-95-130-210.3g.claro.net.br.37405: . 63357:64705(1348) ack 0 win 3216 22:10:13.435875 IP icecast2.knac.fastserv.com.www > 189-95-130-210.3g.claro.net.br.37405: . 64705:66053(1348) ack 0 win 3216 22:10:13.507705 IP 189-95-130-210.3g.claro.net.br.37405 > icecast2.knac.fastserv.com.www: . ack 66053 win 16 22:10:13.744124 IP 189-95-130-210.3g.claro.net.br.37405 > icecast2.knac.fastserv.com.www: . ack 66053 win 79 22:10:14.011906 IP icecast2.knac.fastserv.com.www > 189-95-130-210.3g.claro.net.br.37405: P 66053:67401(1348) ack 0 win 3216

O resultado do sniffer retornou uma visualizao abreviada dos pacotes que foram recebidos e enviados na interface dentro do intervalo em que a captura ocorreu, indicado o tempo exato do processamento logo no incio da linha. Retirando uma linha da amostra acima podemos notar os significados dos dados exibidos:22:10:13.435875 IP icecast2.knac.fastserv.com.www > 189-95-130-210.3g.claro.net.br.37405: . 64705:66053(1348) ack 0 win 3216

O primeiro nmero indica o momento exato em que o pacote foi capturado com um timestamp de kernel no final (435875). O segundo campo indica a utilizao do protocolo IP. O terceiro campo, icecast2.knac.fastserv.com, indica que este host est enviando dados de sua porta 80 (www) para o host 189-95.139.210.3g.claro.net.br na porta 37405. O . indica que no h nenhum flag TCP ligado. Caso houvessem eles apareciam com um letra descrevendo esse flag. Ex: F(Fin), S(Syn), P(Push), R (Rst), etc. Os nmeros 64705:66053(1348) indicam o tamanho (1348) dos dados enviados com seu valor de nicio(64705) e fim(66053). Ack 0 indica que no h confirmao esperada. Win 3216 indica que a janela de recebimento indicada 3216 bytes. As entradas para nop,nop so definidas na RFC 1323 que so as extenses TCP de alta performance. Ocorre que o timestamp ser gerado em quatro bytes que so alinhados pelos delimitadores nop e nop. O timestamp serve para indicar qual o tempo de viagem de um pacote na rede e permite at encontrar pacotes perdidos. No intuito de analisar um tipo ou grupos de pacotes especficos, possvel utilizar a filtragem de pacotes a serem capturados. Para tal pode-se utilizar expresses que so entendidas pela biblioteca de captura libpcap. Os principais elementos de formao dessa gramtica so: - host # Com isto possvel filtrar pacotes para um endereo IP especfico. - proto ou -p # informar qual protocolo deseja-se filtrar (EX : http,telnet,arp). Para a lista completa, deve-se verificar o manual. - port # determinao para qual porta deve-se filtrar o trfego (em coerncia com o /etc/services). Se por exemplo o filtro for para porta 23 a expresso deve conter a seguinte construo :"port telnet". - and | or | not # utilizao de expresses lgicas. Como por exemplo, o filtro para o host pluto ou o host mickey deve ser construdo com: "host pluto or host mickey".

Mais alguns exemplos de filtragens:

#> tcpdump -i eth0 host 192.168.0.1 Filtrar todos pacotes de todos protocolos que envolvam tanto como na origem como no destino o host 192.168.0.1 e estejam passando pela interface eth0. #> tcpdump - i eth0 host 192.168.0.2 and host 192.168.0.3 and port http Neste comando sero capturados todos pacotes em eth0 que contiverem tanto como na origem quanto no destino os hosts 192.168.0.2 e 192.168.0.3 e a porta destino ou origem seja a de nmero 80 (http). #> tcpdump -i ppp0 -p arp and not src host 10.1.1.10 Neste exemplo, o sniffer vai exibir todos pacotes capturados referentes ao protocolo ARP desde que no incluam pacotes cujo endereo IP de origem seja 10.1.1.10 .#> tcpdump -i eth1 'icmp[icmptype]==8' Neste caso o filtro ser para protocolo ICMP cujo tipo do pacote seja igual a 8 (echo request). Outra ferramenta sniffer de uso bastante fcil e vasto o ettercap. Esta ferramenta capaz de realizar o envenenamento da tabela arp do switch e pode ainda utilizar algumas facilidades. Dentre as mais interessantes encontram-se o armazenamento de sees, senhas, e visualizao em tempo real dos dados decodificados. O envenenamento da tabela ARP basicamente permite que uma estao passe a encaminhar todos quadros de uma rede local como se fosse um elemento de roteamento em nvel de enlace. Atualmente muitos switches e equipamentos de rede podem fazer o bloqueio de envenenamentos de tabela ARP para banir esta tcnica. Entretanto existem maneiras mais triviais, como solues em software que alguns sistemas operacionais podem fazer uso. Por exemplo, fazer a verificao frequentemente dos valores da tabela ARP e identificar se houveram muitas alteraes ou se existem muitos endereos IP atribudos a um nico endereo MAC. Este cenrio geralmente caracteriza a suspeita de tabelas ARP envenenadas e uma das aplicaes mais famosas que protegem a tabela o arpwatch. Voltando ainda ao ettercap, utilizando-o mm modo texto, deve-se ressaltar que existem dois modos de ativao do sniffer: - Sniffer de IP, ativado com a tecla s. - Sniffer com envenenamento ARP, ativado com a tecla a. interessante notar que esta ferramenta, alm de outras funes, capaz de utilizar plugins e descriptografar SSH verso 1. O uso dessa ferramenta pode ser bem til quando se deseja monitorar sees de usurio em sua rede em tempo real. Por ltimo, deve-se lembrar de outro sniffer que utiliza-se da vantagem de ser uma ferramenta grfica baseada em GTK: O wireshark que bastante utilizado como auditor de rede. Nesta ferramenta possvel verificar de maneira amigvel todos os pacotes, seus cabealhos e contedos. O relatrio gerado por essa ferramenta pode ser de grande valia, pois com ele possvel indicar causas de possveis problemas que ocorreram em uma rede. Por fim, vale citarmos o sniffer mais popular e de uso mais fcil: O wireshrk/ethereal que tambm trabalha com as mesmas regras de filtragens do tcpdump, que na verdade so implementadas pela biblioteca comum a estes dois aplicativos, a libpcap. Esse ltimo dispensa explicaes e detalhamentos. Algumas imagens da ferramenta wireshark em execuo pode ser vista a seguir:

Figura 5: Wireshark executando captura na interface padro

Figura 6: Wireshark analisando os dados de dentro de um pacote capturado.

Percebemos que com o wireshark possvel verificar todos pacotes que passam pela interface em questo, utilizando filtros ou no. Alm disso, possvel abrir individualmente os pacotes e analisar os cabealhos e contedos, dando poder e confiabilidade na anlise do comportamento da rede.

9.3 - Scanners

A palavra scan do ingls pode ser traduzida como vasculhar, procurar, sondar, examinar, explorar, etc. E como a palavra j mostra, uma ferramenta scanner pode ser definida, grosso modo, como um vasculhador da rede que procura identificar quais servios esto ativos e quais os estados de componentes da rede. O processo de scan consiste em uma varredura em busca de sockets em estado LISTEN. Esta ao deve ser coordenada utilizando a natureza do protocolo em questo. No caso do TCP/IP possvel utilizar a caracterstica do estabelecimento de conexo para se colher informaes importantes. Como sabemos, um socket fica em estado de escuta esperando que alguma requisio seja recebida para que o estabelecimento da conexo TCP ocorra. Sendo assim, o scanner pode utilizar como tcnica mais simples a tentativa de conexo nos diversos sockets provveis. Este na verdade um programa que vai montar pacotes com pedidos de conexes contra o IP destino (IP a ser vasculhado) de forma automtica e sequencial. Ou seja, emite um pacote pedindo conexo na porta 1, em seguida envia outro pedido conexo na porta 2, mais outro na porta 3 e assim sucessivamente. Todos esses pacotes so recebidos no IP destino, que naturalmente vai responder aos pedidos de conexo somente para as portas que de fato tenham sockets ativos. Depois disso, o sistema gerador (scanner) vai receber as repostas aos pedidos de conexo e pode assim armazenar essas informaes em seus dados de pesquisa para que seja emitido um relatrio final. Nota-se que nesse mtodo mais simples, a estao scanner gera pacotes com o bit SYN ligado e recebe respostas SYN,ACK. A partir da o scanner pode continuar mais alguns passos para tentar descobrir outras informaes ou ento simplesmente encerrar a conexo. J para casos mais especficos, o scanner pode utilizar outras tcnicas, como por exemplo enviar pedidos de desconexo para o destino. Este supostamente deve responder de uma forma previsvel quando h um socket operando na porta que recebeu o pedido de encerramento (FIN). Com essas respostas ao pedido de desconexo o scanner consegue tambm colher informaes importantes.

Figura 7 Scanner tradicional

O problema todo que a ao do scanner caracterizada como uma atividade de pr-ataque. Isso dito, pois para se efetuar uma invaso, primeiramente necessrio conhecer os servios disponveis, e dentro destes, encontrar as possveis falhas. Por isso, grande parte das vezes, difcil conseguir efetuar um scanner contra uma rede bem administrada. A verdade que praticamente todos dispositivos de rede modernos esto preparados para se defenderem de atividades que so caracterizadas como scanners. Grande maioria dos firewalls sempre consideram essas aes e supostamente devem bloquear pacotes com dessa natureza. Alm de serem bloqueadas, as atividades do scanner podem ser muito bem identificadas por um administrador da rede que olha atentamente aos relatrios do sistema de log do firewall ou servidor vasculhado. Da surge a necessidade de se implementar outras tcnicas para que o scanner possa ser realizado com sucesso. Algumas dessas sero descritas nos exemplos da ferramenta mais a frente. As tentativas de ludibriar o sistema de firewall ou o adminstrador so tantas e vo desde executar conexes com nmeros de portas aleatrios at pedidos de confirmao ou solicitaes de retransmisso de pacotes por exemplo. Deixando de lado o fato do scanner ser considerada uma ferramenta para uso malicioso, ela na verdade bastante importante para um administrador de uma rede local. Com esto o mesmo pode, por exemplo, descobrir dentro de sua rede se existem servidores de email ativos que no sejam aqueles propriamente reconhecidos oficialmente. Portanto a rotina de execuo de um scanner na rede local pode ajudar aos administradores a descobrirem a existncia de equipamentos executando atividades no permitidas bem como manter controlado o uso de servios nessa rede.

Figura 8 Scanner executado em rede

Existem diversos tipos tipos de varreduras, entretanto com a inteno de praticarmos e entendermos melhor, sero mostrados alguns exemplos de utilizao do nmap. O nmap e o nessus so os scanners mais utilizados em GNU/Linux. Nesta aula ser mostrada o nmap, cuja sintaxe de fcil aplicao e pode ser consultada atravs de seu manual (man nmap).

#> nmap -p 80 192.168.0.0/26 Neste comando so procurados hosts de 192.168.0.0 at 192.168.0.64 que estejam servindo http(porta). #> nmap -sF 192.168.0.1 Neste comando so listadas as portas em estado listen do host 192.168.0.1 atravs do mtodo de "half-open". #> nmap -sV 192.168.0.1 O mesmo que exemplo anterior, entretanto a conexo TCP realizada na ntegra e os nomes dos protocolos so resolvidos.Em 2009, surgiu um worm nomeado de conficker que deu muita dor de cabea aos administradores de rede. A dificuldade de conter o worm foi grande. Porm, uma vez em execuo, esse worm pode ser facilmente encontrado com um scanner executado diretamente nas portas 139 e 445. A verso 4.75 do nmap permite que seja identificado se um sistema est infectado com o conficker. Para tanto deve-se compilar o nmap com suporte a este mdulo e execut-lo com o seguinte parmetro:

#> nmap -p139,445 --script p2p-conficker,smb-os-discovery,smb-check-vulns --script-args checkconficker=1,safe=1 -T4 192.168.0.0/24O exemplo do confiker s mais um no meio de tantos outros que tornam o scanner muito til no dia a dia dos administradores de rede. Outros casos, no menos comuns, consistem nas execues dos scanners aplicando bugs conhecidos contra determinadas aplicaes de rede. Caso algum desses sistemas alvos estejam vulnerveis, cabe ao administrador atualiz-los ou tomar as devidas tratativas.

9.4 Exerccios

1 - O que fazem os comandos a seguir : a) traceroute www.uol.com.br b) ping -c 1500 200.144.145.41 c) nmap -sF 200.144.145.41 d) nmap -sP 192.168.0.1/24

2 O que significa este resultado abaixo de uma execuo do comando ping?: ... round-trip min/avg/max/stddev = 9.702/9.702/9.702/0.000 ms ...

3 Fornea os comandos do tcpdump que provavelmente geraram as seguintes sadas:

a) 17:21:14.904651 IP nucc10.pucsp.br > serveweb.pucsp.br: ICMP echo request, id 44121, seq 0, length 64 17:21:14.904796 IP serveweb.pucsp.br > nucc10.pucsp.br: ICMP echo reply, id 44121, seq 0, length 64 17:21:15.895770 IP nucc10.pucsp.br > serveweb.pucsp.br: ICMP echo request, id 44121, seq 256, length 64 17:21:15.895913 IP serveweb.pucsp.br > nucc10.pucsp.br: ICMP echo reply, id 44121, seq 256, length 64 17:21:16.895789 IP nucc10.pucsp.br > serveweb.pucsp.br: ICMP echo request, id 44121, seq 512, length 64 17:21:16.895935 IP serveweb.pucsp.br > nucc10.pucsp.br: ICMP echo reply, id 44121, seq 512, length 64 17:21:17.895754 IP nucc10.pucsp.br > serveweb.pucsp.br: ICMP echo request, id 44121, seq 768, length 64 17:21:17.895890 IP serveweb.pucsp.br > nucc10.pucsp.br: ICMP echo reply, id 44121, seq 768, length 64 17:21:02.757922 IP nucc10.pucsp.br.48171 > serveweb.pucsp.br.www: S 993644447:993644447(0) win 5840 17:21:02.758071 IP serveweb.pucsp.br.www > nucc10.pucsp.br.48171: S 2603485611:2603485611(0) ack 993644448 win 5792

17:21:02.758136 IP nucc10.pucsp.br.48171 > serveweb.pucsp.br.www: . ack 1 win 5840 17:21:05.363236 IP nucc10.pucsp.br.48171 > serveweb.pucsp.br.www: P 1:8(7) ack 1 win 5840 17:21:05.363366 IP serveweb.pucsp.br.www > nucc10.pucsp.br.48171: . ack 8 win 46 17:21:05.363540 IP serveweb.pucsp.br.www > nucc10.pucsp.br.48171: P 1:289(288) ack 8 win 46 17:21:05.363590 IP nucc10.pucsp.br.48171 > serveweb.pucsp.br.www: . ack 289 win 6432 17:21:05.363543 IP serveweb.pucsp.br.www > nucc10.pucsp.br.48171: F 289:289(0) ack 8 win 46 17:21:05.363999 IP nucc10.pucsp.br.48171 > serveweb.pucsp.br.www: F 8:8(0) ack 290 win 6432 17:21:05.364120 IP serveweb.pucsp.br.www > nucc10.pucsp.br.48171: . ack 9 win 46

b) 17:22:33.615044 IP nyx.pucsp.br.63979 > nucc10.pucsp.br.ssh: . ack 360608 win 33128 17:22:33.615185 IP nucc10.pucsp.br.ssh > nyx.pucsp.br.63979: P 366272:366448(176) ack 433 win 8272 17:22:33.615315 IP nucc10.pucsp.br.ssh > nyx.pucsp.br.63979: P 366448:366752(304) ack 433 win 8272 17:22:33.615928 IP nyx.pucsp.br.63979 > nucc10.pucsp.br.ssh: . ack 361072 win 33152 17:22:33.615968 IP nucc10.pucsp.br.ssh > nyx.pucsp.br.63979: P 366752:367104(352) ack 433 win 8272 17:22:33.616118 IP nucc10.pucsp.br.ssh > nyx.pucsp.br.63979: P

367104:367264(160) ack 433 win 8272 17:22:33.618567 IP nyx.pucsp.br.63979 > nucc10.pucsp.br.ssh: P 433:481(48) ack 361248 win 33304 17:22:33.618608 IP nucc10.pucsp.br.ssh > nyx.pucsp.br.63979: P 367264:367616(352) ack 481 win 8272 c) 17:23:10.405576 17:23:10.405599 Unknown) 17:23:10.896137 17:23:11.036244 17:23:11.356092 17:23:11.896082 17:23:12.036045 17:23:12.356079 17:23:13.036113 17:23:13.386119 17:23:14.386094 17:23:15.036267 17:23:18.386013 17:23:18.925977 17:23:19.038892 17:23:19.129724 17:23:19.742062 arp who-has arp who-has arp who-has arp who-has arp who-has vai.embora.pucsp.br tell test.pucsp.br swnucc.pucsp.br tell test.pucsp.br vai.embora.pucsp.br tell test.pucsp.br vai.embora.pucsp.br tell test.pucsp.br swnucc.pucsp.br tell test.pucsp.br arp who-has nucc10.pucsp.br tell zeus.pucsp.br arp reply nucc10.pucsp.br is-at 00:01:03:d0:ce:d7 (oui

arp who-has vai.embora.pucsp.br tell test.pucsp.br arp who-has swnucc.pucsp.br tell test.pucsp.br arp who-has vai.embora.pucsp.br tell test.pucsp.br arp who-has vai.embora.pucsp.br tell test.pucsp.br arp who-has swnucc.pucsp.br tell test.pucsp.br arp who-has vai.embora.pucsp.br tell test.pucsp.br arp who-has vai.embora.pucsp.br tell test.pucsp.br arp who-has swnucc.pucsp.br tell test.pucsp.br arp who-has tifon.pucsp.br tell vai.embora.pucsp.br arp who-has vai.embora.pucsp.br tell mqrouter2.pucsp.br

d) 17:27:51.877315 IP nyx.pucsp.br 55623, seq 0, length 64 17:27:52.880297 IP nyx.pucsp.br 55623, seq 1, length 64 > nucc10.pucsp.br: ICMP echo request, id > nucc10.pucsp.br: ICMP echo request, id

17:27:53.896617 IP nyx.pucsp.br 55623, seq 2, length 64 17:27:54.918462 IP nyx.pucsp.br 55623, seq 3, length 64 17:27:55.929932 IP nyx.pucsp.br 55623, seq 4, length 64 17:27:56.947108 IP nyx.pucsp.br 55623, seq 5, length 64 17:27:57.963759 IP nyx.pucsp.br 55623, seq 6, length 64 17:27:58.985009 IP nyx.pucsp.br 55623, seq 7, length 64 17:27:59.997741 IP nyx.pucsp.br 55623, seq 8, length 64 17:28:01.013606 IP nyx.pucsp.br 55623, seq 9, length 64 17:28:02.030123 IP nyx.pucsp.br 55623, seq 10, length 64 17:28:03.048295 IP nyx.pucsp.br 55623, seq 11, length 64

> nucc10.pucsp.br: ICMP echo request, id

> nucc10.pucsp.br: ICMP echo request, id

> nucc10.pucsp.br: ICMP echo request, id

> nucc10.pucsp.br: ICMP echo request, id

> nucc10.pucsp.br: ICMP echo request, id

> nucc10.pucsp.br: ICMP echo request, id

> nucc10.pucsp.br: ICMP echo request, id

> nucc10.pucsp.br: ICMP echo request, id

> nucc10.pucsp.br: ICMP echo request, id

> nucc10.pucsp.br: ICMP echo request, id

4) Execute um sniffer que voc tenha maior familiaridade. Solicite ao professor para execute a atividade 4. Faa a leitura e anlise e tente entender qual a atividade de ou servio executado pela estao do professor.