Captura de tráfego

Poste aqui suas dúvidas e sugestões sobre todas as tecnologias de redes e telefonia.
Nei
Membro Júnior
Membro Júnior
Mensagens:4
Registrado em:10 Abr 2007, 22:24
Captura de tráfego

Mensagem por Nei » 10 Abr 2007, 22:29

Olá,

Será que alguém poderia me ajudar a decifrar o seguinte trecho de uma captura de tráfego:
1 IP 10.0.1.1.45959 > 10.0.2.1.3964: udp
28 (frag 242:36@0+)
2 IP 10.0.2.1.3964 > 10.0.1.1.45959:
(frag 242:4@0+)
Ah, se puder, gostaria de saber se existe algum material didático que ensine a "ler" um tráfego de redes.

Abraços,
Nei

Nei
Membro Júnior
Membro Júnior
Mensagens:4
Registrado em:10 Abr 2007, 22:24

Mensagem por Nei » 10 Abr 2007, 22:53

Se não for abusar, este aqui tbm:

Código: Selecionar todos

1 IP 10.1.1.1.1047 > 10.1.1.2.25: S 1808759712:1808759712(0)
win 65535 <mss 1460,nop,nop,sackOK>
2 IP 10.1.1.2.25 > 10.1.1.1.1047: S 730816141:730816141(0) ack 1808759713
win 65535 <mss 1460,nop,nop,sackOK>
3 IP 10.1.1.1.1047 > 10.1.1.2.25: . ack 1 win 65535
4 IP 10.1.1.2.25 > 10.1.1.1.1047: P 1:19(18) ack 1 win 65535
5 IP 10.1.1.1.1047 > 10.1.1.2.25: . ack 19 win 65517
6 IP 10.1.1.1.1047 > 10.1.1.2.25: P 1:14(13) ack 19 win 65517
7 IP 10.1.1.2.25 > 10.1.1.1.1047: P 19:43(24) ack 14 win 65535
8 IP 10.1.1.1.1047 > 10.1.1.2.25: . ack 43 win 65493
9 IP 10.1.1.1.1047 > 10.1.1.2.25: P 14:27(13) ack 43 win 65493
10 IP 10.1.1.2.25 > 10.1.1.1.1047: . ack 27 win 65535
11 IP 10.1.1.2.25 > 10.1.1.1.1047: P 43:63(20) ack 27 win 65535
12 IP 10.1.1.1.1047 > 10.1.1.2.25: . ack 63 win 65473
13 IP 10.1.1.1.1047 > 10.1.1.2.25: P 27:33(6) ack 63 win 65473
14 IP 10.1.1.2.25 > 10.1.1.1.1047: P 63:91(28) ack 33 win 65535
15 IP 10.1.1.1.1047 > 10.1.1.2.25: F 33:33(0) ack 91 win 65445
16 IP 10.1.1.2.25 > 10.1.1.1.1047: F 91:91(0) ack 33 win 65535
17 IP 10.1.1.1.1047 > 10.1.1.2.25: . ack 92 win 65445
18 IP 10.1.1.2.25 > 10.1.1.1.1047: F 91:91(0) ack 34 win 65535

ronaldobf
Moderador
Moderador
Mensagens:328
Registrado em:28 Jan 2006, 03:34
Localização:Araras/Campinas - SP

Mensagem por ronaldobf » 11 Abr 2007, 00:04

Quando você utiliza um analisador de redes (sniffer), ele mostra exatamente o que está trafegando no dispositivo configurado.

Ack é característico do protocolo TCP...

Na verdade, se você quiser entender como funciona um sniffer, deve-se entender os protocolos de rede utilizados, pois o sniffer apenas mostra o que está passando naquele ponto analisado.

O TCP funciona da seguinte forma:

Olá, estou querendo falar com você (Origem falando para destino)
Ok, eu estou aqui (destino falando para origem)
Ok, então posso falar com você (Origem falando para destino)
ok eu falo com você. (destino falando para origem)

Essa comunicação é feita antes de uma transmissão. É utilizado o ACK e NACK representando essa comunicação acima. Cada qual gera um número diferente de identificação, que você vê no analisador.

Não posso falar mais sobre, pois posso confundi-lo. Por isso, aconselho você a pesquisar sobre o protocolo TCP e UDP (os mais utilizados).

Abraços
Ronaldo A. Bueno Filho

Nei
Membro Júnior
Membro Júnior
Mensagens:4
Registrado em:10 Abr 2007, 22:24

Mensagem por Nei » 11 Abr 2007, 15:47

Ronaldo,

Muito obrigado pela atenção em me ajudar!

Qual material você recomenda para um conhecimento mais profundo do TCP? A partir da semana que vem vou dar uma estudada séria sobre os protocolos da pilha TCP. Tô precisando.

Mas voltando um pouquinho, quanto a primeira situação: sei que na remontagem, os dados do fragmento na linha 2 se superpõem aos da linha 1, podendo causar negação de serviço em alguns sistemas operacionais. A situação a que me refiro é esta abaixo:

Código: Selecionar todos

1 IP 10.0.1.1.45959 > 10.0.2.1.3964: udp
28 (frag 242:36@0+)
2 IP 10.0.2.1.3964 > 10.0.1.1.45959:
(frag 242:4@0+)
Não fui eu quem chegou a essa conclusão, mas pergunto: isso se dá pelo uso das mesmas janelas (45959/3964)? Pq o código acima pode causar DoS? Outra coisa: as linhas 1 e 2 apresentam fragmentos de diferentes pacotes IP ou não?

Puxa, quantas perguntas. Agradeço se puder respondê-las.

Grande abraço.

ronaldobf
Moderador
Moderador
Mensagens:328
Registrado em:28 Jan 2006, 03:34
Localização:Araras/Campinas - SP

Mensagem por ronaldobf » 25 Abr 2007, 21:25

1 IP 10.0.1.1.45959 > 10.0.2.1.3964: udp
28 (frag 242:36@0+)
2 IP 10.0.2.1.3964 > 10.0.1.1.45959:
(frag 242:4@0+)

---------------

Quando falamos em protocolos TCP/IP, geralmente utilizamos UDP ou TCP (camada 4 do modelo OSI).
Independente de qual dos dois, uma forma genérica do TCP/IP é dada da seguinte forma:

Imagine que você possua três diferentes aplicações abertas em seu computador, todas voltadas à internet. Como os dados solicitados chegam ao seu computador sem que se confundam? Tipo uma página da Web, um jogo, etc... simples, eles utilizam três informações básicas: IP, porta e protocolo utilizado (ex: IP 10.0.1.1, porta 45959, protocolo UDP). Isso identifica unicamente cada pacote que entra ou que sai de seu computador. Então, quando você se comunica com alguém, o UDP não faz qualquer controle (conection-less), portanto, estas informações bastam.

Lembrando que as portas de 0 a 1023 são de serviços fixos e o restante, variável.

Pelo que vejo em seu caso, o IP 10.0.1.1 enviou dados pela porta 45959 (porta de origem) para 10.0.2.1 na porta 3964 (porta de destino) e o protocolo utilizado é o UDP.

Este envio foi respondido com outro envio, desta vez o destino enviando para a origem: o IP 10.0.2.1 na porta 3964 (origem) enviou para 10.0.1.1 na porta 45959 (destino) pacotes pelo protocolo UDP. (esta foi a resposta da solicitação).

Note que como o IP de origem (que fez o primeiro envio) definiu a porta de origem sendo a 45959, então, quando ele for respondido pelo destino, quem respondeu, tem que selecionar a mesma porta como o destino e a porta de origem de quem respondeu sendo a que foi solicitada pela porta de destino da origem. Isso se chama multiplexação utilizando portas (multiplexing).

Em suma:
1 IP 10.0.1.1.45959 > 10.0.2.1.3964: udp (10.0.1.1 porta 45959 com protocolo UDP enviou para o IP 10.0.2.1 na porta 3964 um dado)
28 (frag 242:36@0+) -
2 IP 10.0.2.1.3964 > 10.0.1.1.45959: (10.0.2.1 na porta 3964 respondeu para 10.0.1.1 na porta de destino 45959 utilizando UDP)
(frag 242:4@0+)

Os frags são fragmentações de pacotes para ser enviado... mas a numeração não sei dizer exatamente. Acredito que o 242 significa a identificação do pacote e :4 e :36 a identificação de segmentos.

Segmentos são a divisão de um pacote em partes para serem enviados.

UDP não utiliza a técnica de windowing como auto-sense. Ele envia e se o destino recebeu, beleza, se não recebeu, perdeu!

Sobre o DOS, não sei ao certo, mas qualquer solicitação que fuja das aplicações utilizadas por uma empresa ou pessoa, deve ser entendido como uma tentativa de roubar dados, etc... principalmente quanto a porta está acima de 1023, onde não se tem serviços definidos para cada porta.

---------------

Recomendações de livros e documentos para estudo:

Eu, geralmente, utilizo livros da Cisco, comprados nos EUA, pois por conta quero montar minha mini-biblioteca pessoal. Os livros originais são melhores pois estão mais atualizados e sem erros de tradução, mas existem os mesmos em português. Se você for procurar, por exemplo, da Cisco - CCNA official certification library, encontrará em português apenas a versão 1. A segunda versão (mais nova) existe apenas nos EUA.

Você pode procurar na internet estes livros.

Eu particularmente gostei do "Test-out" também. Um software com video-aulas e prática em LAB (inglês)
Tem o Pass-for-sure, entre outros.

No próprio site da cisco tem alguns cursos free e online (lado direito inferior):
http://www.cisco.com/web/learning/netacad/index.html

Infelizmente, a maioria dos livros são em inglês. Se souber ou tiver facilidade no inglês, vale a pena, pois aprenderá o inglês, muito importante para as grandes empresas que trabalham com tecnologia e sistemas distribuídos. Se você investir na área, inglês é crucial, pois por ser sistemas distribuídos, como o nome sugere, está em todos os lugares (grandes empresas, em vários locais do mundo). Por exemplo, eu tenho que conversar todos os dias com gringos de todo o lugar do mundo.

Abraços
Ronaldo A. Bueno Filho

Nei
Membro Júnior
Membro Júnior
Mensagens:4
Registrado em:10 Abr 2007, 22:24

Mensagem por Nei » 27 Abr 2007, 17:43

Ronaldo, muuuuuuuuuuuito obrigado.

Muito didática sua explicação (devias pensar em lecionar) e as dicas então, uma beleza.

Grande abraço.
Nei

Responder