análise de tráfego em redes tcp/ip com tcpdump

Click here to load reader

Post on 10-Jan-2017

243 views

Category:

Documents

14 download

Embed Size (px)

TRANSCRIPT

  • Eriberto - out. 17

    Anlise de trfego Anlise de trfego em redes TCP/IP em redes TCP/IP

    com tcpdumpcom tcpdump

    Joo Eriberto Mota FilhoJoo Eriberto Mota Filho

    Foz do Iguau, PR, 18 out. 2017Foz do Iguau, PR, 18 out. 2017

  • Eriberto - out. 17

    SumrioSumrio

    A anlise de trfego A estrutura de um protocolo O protocolo IP O protocolo TCP O protocolo UDP O protocolo ICMP O modelo OSI Tcnica de uso do tcpdump na anlise de trfego Payloads que falam... Bridges na anlise de trfego Concluso

  • Eriberto - out. 17

    SumrioSumrio

    A anlise de trfego A estrutura de um protocolo O protocolo IP O protocolo TCP O protocolo UDP O protocolo ICMP O modelo OSI Tcnica de uso do tcpdump na anlise de trfego Payloads que falam... Bridges na anlise de trfego Concluso

  • Eriberto - out. 17

    A anlise de trfegoA anlise de trfego

    Auxiliar de rede diz: - Chefe, deu pane! Parou tudo!

    Gerente de rede diz: - Troca o switch! - Agora troca o roteador! - No deu. Troca os cabos. - Deve ser o link da tele. Liga pra l.

    Auxiliar de rede diz: - Ai meu Deus... Tenho trabalho na faculdade hoje...

    Gerente de rede diz: - Nada disso! E j pede a pizza...

  • Eriberto - out. 17

    A anlise de trfegoA anlise de trfego

    A anlise de trfego permite, entre outras possibilidades:

    - Encontrar pontos de bloqueio na rede. - Detectar anomalias na rede. - Descobrir equipamentos e cabeamento defeituosos. - Observar importantes mensagens de sistema no mostradas

    pelas aplicaes.

    A anlise depender, principalmente, do conhecimento a respeito de protocolos de rede e de modelo OSI.

    Para entender os protocolos, necessrio estudar RFCs.

    RFCs regulam o funcionamento da Internet!!!

  • Eriberto - out. 17

    Algumas RFCs importantes para a anlise de trfego: 768, 791, 792, 793, 2460, 6890 e todas as respectivas atualizaes.

    Disponveis em http://ietf.org/rfc.html e outros sites.

    A ferramenta: tcpdump.

    Outras formas de auxlio: tshark, wireshark, mtr, ping, netcat, iptraf, packit etc.

    Auxlio para testes e estudo: simulador de redes CORE (http://eriberto.pro.br/core).

    H diversas capturas de trfego, disponveis para estudo, em https://wiki.wireshark.org/SampleCaptures

    A anlise de trfegoA anlise de trfego

  • Eriberto - out. 17

    Alguns pockets que podem ser usados como referncia:

    > TCP/IP and tcpdump Pocket Reference Guide da SANS:

    http://www.sans.org/security-resources/tcpip.pdf (IPv4)

    http://www.sans.org/security-resources/ipv6_tcpip_pocketguide.pdf (IPv6)

    > Anlise de trfego em redes TCP/IP com tcpdump e windump:

    http://eriberto.pro.br/files/guia_tcpdump.pdf

    A anlise de trfegoA anlise de trfego

  • Eriberto - out. 17

    A anlise de trfegoA anlise de trfego

    Simulador de redes CORE (# apt-get install a partir de http://eriberto.pro.br/core).

    Ou...

    Mquina virtual dispon-vel no site oficial.

  • Eriberto - out. 17

    SumrioSumrio

    A anlise de trfego A estrutura de um protocolo O protocolo IP O protocolo TCP O protocolo UDP O protocolo ICMP O modelo OSI Tcnica de uso do tcpdump na anlise de trfego Payloads que falam... Bridges na anlise de trfego Concluso

  • Eriberto - out. 17

    A estrutura de um protocoloA estrutura de um protocolo

    Protocolos de rede so um conjunto de regras literais que estabelecem um padro de comunicao e comportamento.

    Protocolos de rede, quando implementados, possuem uma estrutura bsica, formada por um cabealho (ou header) e um payload (ou rea de dados). Payload

    Cabealho

  • Eriberto - out. 17

    SumrioSumrio

    A anlise de trfego A estrutura de um protocolo O protocolo IP O protocolo TCP O protocolo UDP O protocolo ICMP O modelo OSI Tcnica de uso do tcpdump na anlise de trfego Payloads que falam... Bridges na anlise de trfego Concluso

  • Eriberto - out. 17

    O protocolo IPO protocolo IP

    IP, RFC 791. O protocolo mais importante da famlia TCP/IP.

    0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|Version| IHL |Type of Service| Total Length |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| Identification |Flags| Fragment Offset |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| Time to Live | Protocol | Header Checksum |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| Source Address |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| Destination Address |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| Options | Padding |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

  • Eriberto - out. 17

    O campo TTL importante porque permite estimar o sistema operacional oposto e a quantidade de roteadores entre o host oposto e o local.

    Por default, sistemas operacionais utilizam valores iniciais de TTL que podem ser alterados. Unix e derivados diretos = 255, MS Windows = 128 e GNU/Linux = 64.

    Protocolos IP: so os protocolos que so encapsulados pelo IP. So listados pela IANA e um resumo poder ser encontrado em /etc/protocols. Exemplos: ICMP, TCP e UDP.

    O protocolo IPO protocolo IP

  • Eriberto - out. 17

    O IP utilizado para transportar outros protocolos. Ento, sempre haver um protocolo IP no seu payload.

    Cabealho IP

    O protocolo IPO protocolo IP

    Pay

    load

    IP

    Payload TCP

    Cabealho TCP

  • Eriberto - out. 17

    Os protocolos IP mais importantes para a anlise de trfego so o TCP, o UDP e o ICMP.

    Entre todos os protocolos IP, somente o TCP e o UDP utilizam portas.

    O protocolo IPO protocolo IP

  • Eriberto - out. 17

    SumrioSumrio

    A anlise de trfego A estrutura de um protocolo O protocolo IP O protocolo TCP O protocolo UDP O protocolo ICMP O modelo OSI Tcnica de uso do tcpdump na anlise de trfego Payloads que falam... Bridges na anlise de trfego Concluso

  • Eriberto - out. 17

    O protocolo TCPO protocolo TCP

    TCP, RFC 793. O protocolo de transporte mais controlado, confivel e complexo da famlia TCP/IP.

    0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| Source Port | Destination Port |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| Sequence Number |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| Acknowledgment Number |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| Data | |U|A|P|R|S|F| || Offset| Reserved |R|C|S|S|Y|I| Window || | |G|K|H|T|N|N| |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| Checksum | Urgent Pointer |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| Options | Padding |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

  • Eriberto - out. 17

    O protocolo TCP - flagsO protocolo TCP - flags

    Flags TCP:

    - Syn (synchronize): inicia conexes. - Fin (finish): finaliza conexes. - Psh (push): envia dados. - Ack (acknowledgment): confirmao de que conhecido o

    nmero de sequncia do prximo segmento a ser enviado pelo lado oposto.

    - Rst (reset): no entendi.

    IMPORTANTE: as flags TCP so disparadas contra portas e somente a flag push possui payload.

  • Eriberto - out. 17

    O TCP (e tambm o UDP) utilizado para transportar protocolos de uso especfico dos usurios e das suas aplicaes. Ex.: http, smtp, pop-3, ftp, msn, ssh, telnet, irc etc.

    Cabealho IP

    O protocolo TCPO protocolo TCP

    Pay

    load

    IP

    Cabealho TCP

    Pay

    load

    TC

    P

    HTTP

  • Eriberto - out. 17

    O protocolo TCP orientado conexo e a garante por intermdio do three-way handshake.

    um protocolo full duplex.

    Em uma rede, independente do protocolo, sempre o cliente quem inicia a conexo.

    No h rede sem servidor ou servio.

    O protocolo TCPO protocolo TCP

  • Eriberto - out. 17

    cygnus:~# tcpdump -nSt host www.eriberto.pro.br

    IP 10.1.1.15.49012 > 203.0.113.4.80: Flags [S], seq 747415379, win 5840, options [mss 1460,sackOK,TS val 11081666 ecr 0,nop,wscale 6], length 0

    IP 203.0.113.4.80 > 10.1.1.15.49012: Flags [S.], seq 2372044971, ack 747415380, win 5840, options [mss 1460], length 0

    IP 10.1.1.15.49012 > 203.0.113.4.80: Flags [.], ack 2372044972, win 5840, length 0IP 10.1.1.15.49012 > 203.0.113.4.80: Flags [P.], seq 747415380:747415928, ack

    2372044972, win 5840, length 548IP 203.0.113.4.80 > 10.1.1.15.49012: Flags [.], ack 747415928, win 6576, length 0IP 203.0.113.4.80 > 10.1.1.15.49012: Flags [P.], seq 2372044972:2372045807, ack

    747415928, win 6576, length 835IP 10.1.1.15.49012 > 203.0.113.4.80: Flags [.], ack 2372045807, win 6680, length 0IP 203.0.113.4.80 > 10.1.1.15.49012: Flags [F.], seq 2372045807, ack 747415928, win

    6576, l