Análise de tráfego em redes TCP/IP - 1ª edição: mudanças entre as edições

De Eriberto Wiki
Ir para navegação Ir para pesquisar
Sem resumo de edição
 
(31 revisões intermediárias pelo mesmo usuário não estão sendo mostradas)
Linha 1: Linha 1:
{{cabeçalho|24 de fevereiro de 2013|http://bit.ly/tcpip-1ed}}
{{cabeçalho|24 de fevereiro de 2013|http://bit.ly/tcpip-1ed}}
{{exclamação1|'''Livro LANÇADO em 30 jul. 2013.''' Veja o sumário definitivo, o primeiro capítulo e uma amostra complementar do conteúdo em http://www.novatec.com.br/catalogo/7522375_atr.}}


==Parte I - Conceitos básicos==
==Parte I - Conceitos básicos==
Linha 18: Linha 20:
* Capítulo 8 • Protocolo ICMP '''(W E O S F R)'''
* Capítulo 8 • Protocolo ICMP '''(W E O S F R)'''
* Capítulo 9 • Protocolo IPv6 '''(W E O S F R)'''
* Capítulo 9 • Protocolo IPv6 '''(W E O S F R)'''
* Capítulo 10 • Payloads que falam
* Capítulo 10 • Payloads que falam '''(W E O S F R)'''


  '''W''' - Escrito / '''E''' - Revisado por Eriberto / '''O''' - Revisado pelo revisor ortográfico /
  '''W''' - Escrito / '''E''' - Revisado por Eriberto / '''O''' - Revisado pelo revisor ortográfico /
Linha 27: Linha 29:
* Capítulo 11 • Protocolos Ethernet, ARP e NDP '''(W E O S F R)'''
* Capítulo 11 • Protocolos Ethernet, ARP e NDP '''(W E O S F R)'''
* Capítulo 12 • Modelo OSI '''(W E O S F R)'''
* Capítulo 12 • Modelo OSI '''(W E O S F R)'''
* Capítulo 13 • Roteamento em redes TCP/IP '''(W)'''
* Capítulo 13 • Roteamento em redes TCP/IP '''(W E O S F R)'''
* Capítulo 14 • Bridges e a sua utilidade na análise de tráfego
* Capítulo 14 • Bridges e a sua utilidade na análise de tráfego '''(W E O S F R)'''


  '''W''' - Escrito / '''E''' - Revisado por Eriberto / '''O''' - Revisado pelo revisor ortográfico /
  '''W''' - Escrito / '''E''' - Revisado por Eriberto / '''O''' - Revisado pelo revisor ortográfico /
Linha 35: Linha 37:


==Parte IV - Tráfegos diversos e sistemas específicos ==
==Parte IV - Tráfegos diversos e sistemas específicos ==
* Capítulo 15 • Tráfego DNS
* Capítulo 15 • Tráfego DNS '''(W E O S F R)'''
* Capítulo 16 • Outros tráfegos comuns
* Capítulo 16 • Outros tráfegos comuns em redes '''(W E O S F R)'''
* Capítulo 17 • Sistemas de firewall
* Capítulo 17 • Sistemas de firewall '''(W E O S F R)'''




Linha 45: Linha 47:


==Parte V - Apêndices==
==Parte V - Apêndices==
* Apêndice A • Simulador de redes CORE
* Apêndice A • Simulador de redes CORE '''(W E O S F R)'''
* Apêndice B • Casos esquemáticos de análise de tráfego
* Apêndice B • Elementos básicos de segurança e administração em redes '''(W E O S F R)'''
* Apêndice C • Configuração de fail2ban, samhain e portsentry
* Apêndice C • Algumas ferramentas utilizadas neste livro e outras dicas '''(W E O S F R)'''
* Apêndice D • Portas TCP e UDP importantes '''(W E O S F R)'''
  '''W''' - Escrito / '''E''' - Revisado por Eriberto / '''O''' - Revisado pelo revisor ortográfico /
  '''W''' - Escrito / '''E''' - Revisado por Eriberto / '''O''' - Revisado pelo revisor ortográfico /
  '''S''' - Verificado o sumário / '''F''' - Verificadas as figuras / '''R''' - Revisão final detalhada ok
  '''S''' - Verificado o sumário / '''F''' - Verificadas as figuras / '''R''' - Revisão final detalhada ok
<br><br>
<br><br>
==Página exemplo==
'''Página de exemplo para avaliação do método. Clique [http://eriberto.pro.br/files/livros/tcpip/eriberto_redes_20130329_pagina_exemplo.pdf aqui].'''
<br><br>
== Sumário detalhado ==
'''Capítulo 1 - O que é a análise de tráfego?'''
*1.1 Conhecimentos sobre redes: um problema histórico
*1.2 Análise de tráfego em redes TCP/IP
*1.3 Exemplos dos trabalhos a serem realizados neste livro
*1.4 Conclusão
<br><br>
'''Capítulo 2 - Redes de computadores'''
*2.1 Conceito de rede de computadores
*2.2 Definições de servidor de rede e de cliente de rede
*2.3 É possível uma rede sem servidor?
*2.4 Host e hostname
*2.5 Famílias de protocolos de rede
**2.5.1 Protocolo TCP/IP
**2.5.2 Protocolo NetBIOS
**2.5.3 Protocolo IPX/SPX
**2.5.4 Outros protocolos
*2.6 Modalidades básicas de transmissão de dados
**2.6.1 Classificação quanto ao tipo de fluxo
**2.6.2 Classificação quanto à difusão
*2.7 Algumas classificações de redes
**2.7.1 Classificação quanto à abrangência geográfica
**2.7.2 Classificação quanto à forma de interligação
*2.8 RFCs
*2.9 IANA
*2.10 IEEE
*2.11 IETF
*2.12 Conclusão
<br><br>
'''Capítulo 3 - Redes TCP/IP'''
*3.1 IPv4 e IPv6
**3.1.1 Considerações específicas sobre o IPv4
**3.1.2 Considerações específicas sobre o IPv6
*3.2 Noções básicas sobre o IPv4
**3.2.1 Endereço IP
**3.2.2 Máscara de rede
**3.2.3 Importância da máscara de rede
**3.2.4 Definição da máscara de rede
**3.2.5 Comunicação entre redes diferentes
**3.2.6 Segmento de rede
**3.2.7 Máscaras de rede fragmentadas
**3.2.8 Máscaras de rede possíveis
**3.2.9 Por que fragmentar a máscara?
**3.2.10 CIDR
**3.2.11 Máscara não trafega na rede!!!
**3.2.12 Classes de endereços IP
**3.2.13 Classes das máscaras de rede
*3.3 Endereços IPv4 especiais
**3.3.1 Endereços de rede e de broadcast
**3.3.2 Esta rede e esta máquina
**3.3.3 Rede loopback
**3.3.4 Bloco de link local
**3.3.5 Classe D (multicast)
**3.3.6 Classe E (reservados para uso futuro)
**3.3.7 Inválidos ou privados
**3.3.8 Outras redes e endereços especiais
*3.4 Noções básicas sobre o IPv6
**3.4.1 Endereço IP e a simplificação dos zeros
**3.4.2 CIDR e prefixo em IPv6
**3.4.3 Unicast, multicast e anycast
*3.5 Endereços IPv6 especiais
*3.6 Distribuição de endereços IP válidos
*3.7 Portas
*3.8 Socket
**3.8.1 Socket IPv4
**3.8.2 Socket IPv6
*3.9 DNS e DHCP
**3.9.1 DNS
**3.9.2 DHCP
*3.10 NAT e PAT
**3.10.1 NAT
**3.10.2 PAT
*3.11 Conclusão
<br><br>
'''Capítulo 4 - Comandos para análise e auditoria de redes'''
*4.1 Comandos para auditoria local
**4.1.1 ifconfig
**4.1.2 mii-tool
**4.1.3 ethtool
**4.1.4 route
**4.1.5 netstat
*4.2 Comandos para o levantamento de dados
**4.2.1 ping
**4.2.2 traceroute
**4.2.3 mtr
**4.2.4 whois
**4.2.5 geoiplookup
**4.2.6 dig
*4.3 Comandos para a análise de tráfego
**4.3.1 tcpdump
**4.3.2 WinDump
**4.3.3 Wireshark
**4.3.4 Tshark
*4.4 Calculadoras IP
**4.4.1 ipcalc
**4.4.2 sipcalc
*4.5 Outras ferramentas baseadas na libpcap
*4.6 Conclusão
<br><br>
'''Capítulo 5 - Protocolo IPv4'''
*5.1 Composição de um protocolo de rede
*5.2 Protocolo IP versão 4 (IPv4)
**5.2.1 Campo Version
**5.2.2 Campo IHL (Internet Header Length)
**5.2.3 Campo Type of Service (ToS) ou Differentiated Services Field
**5.2.4 Campo Total Length
**5.2.5 Campo Identification
**5.2.6 Entendendo a fragmentação
**5.2.7 Campo Flags
**5.2.8 Campo Fragment Offset
**5.2.9 Análise de uma fragmentação IP
**5.2.10 Campo Time to Live (TTL)
**5.2.11 Como funcionam o mtr e o traceroute?
**5.2.12 Campo Protocol
**5.2.13 Campo Header Checksum
**5.2.14 Campo Source Address
**5.2.15 Campo Destination Address
**5.2.16 Campo Options
**5.2.17 Campo Padding
**5.2.18 Payload
**5.2.19 Onde está a máscara de rede? E o CIDR?
*5.3 Características do IPv4                                                                                                                               
*5.4 Considerações gerais sobre os protocolos IP                                                                                                           
*5.5 Tráfego do IP em bytes
*5.6 Observando, aprendendo e acreditando no tcpdump
*5.7 Conclusão
<br><br>
'''Capítulo 6 - Protocolo TCP'''
*6.1 Protocolo TCP
*6.2 Campos do TCP
**6.2.1 Campo Source Port
**6.2.2 Campo Destination Port
**6.2.3 Campo Sequence Number
**6.2.4 Campo Acknowledgment
**6.2.5 Campo Data Offset
**6.2.6 Flags TCP
**6.2.7 Análise de flags em uma conexão
**6.2.8 Tipos de finalização (fechamento)
**6.2.9 Ocorrência da flag RESET
**6.2.10 Bloqueios e retransmissão TCP
**6.2.11 Segmentos fora de ordem
**6.2.12 PUSH FIN, PUSH RST
**6.2.13 Descobrindo pontos de bloqueio com o tcpdump
**6.2.14 Relação entre as flags ACK e RST
**6.2.15 Finalmente, o payload...
**6.2.16 Campo Window (ou Window Size)
**6.2.17 Janelas deslizantes (Sliding Window)
**6.2.18 Campo Checksum
**6.2.19 Campo Urgent Pointer
**6.2.20 Campo Options
**6.2.21 Campo Padding
**6.2.22 Considerações extras sobre o payload TCP
*6.3 Características do TCP
*6.4 Conclusão
<br><br>
'''Capítulo 7 - Protocolo UDP'''
*7.1 Protocolo UDP
*7.2 Campos do UDP
**7.2.1 Campo Source Port
**7.2.2 Campo Destination Port
**7.2.3 Campo Length
**7.2.4 Campo Checksum
**7.2.5 Payload
*7.3 Tráfego UDP
*7.4 Considerações gerais sobre o TCP e o UDP
*7.5 Conclusão
<br><br>
'''Capítulo 8 - Protocolo ICMP'''
*8.1 O trabalho do ICMP
*8.2 Tipos e códigos ICMP
*8.3 Estrutura do ICMP
*8.4 Bloqueio de ICMP nas redes
*8.5 Conclusão
<br><br>
'''Capítulo 9 - Protocolo IPv6'''                                                                                                                                           
*9.1 Tráfego IPv6
*9.2 Campos do IPv6
**9.2.1 Campo Version
**9.2.2 Campo Traffic Class
**9.2.3 Campo Flow Label
**9.2.4 Payload Length
**9.2.5 Next Header
**9.2.6 Hop Limit
**9.2.7 Source Address
**9.2.8 Destination Address
*9.3 Considerações específicas sobre o IPv6
**9.3.1 Upper-layer protocol
**9.3.2 Controle de fragmentação
**9.3.3 Checksum
**9.3.4 Cabeçalhos de extensão
**9.3.5 Detalhes em uma captura IPv6
**9.3.6 ICMPv6, o ICMP do IPv6
**9.3.7 ifconfig para IPv6
*9.4 Conclusão
<br><br>
'''Capítulo 11 - Protocolos Ethernet, ARP e NDP'''
*11.1 Protocolo Ethernet
**11.1.1 Frame Ethernet
**11.1.2 Campos do Ethernet tipo II
**11.1.3 Constituição do endereço MAC
**11.1.4 Tráfego Ethernet
**11.1.5 Preâmbulo
**11.1.6 Pacotes IP não visualizados
**11.1.7 Jumbo frames
**11.1.8 Segmento Ethernet
**11.1.9 Só há MAC no Ethernet?
*11.2 Protocolo ARP (IPv4)
**11.2.1 Funcionamento do ARP
**11.2.2 Visualização da tabela ARP
**11.2.3 Campos do ARP
**11.2.4 ARP encapsulado pelo Ethernet
**11.2.5 Levantamento de rede
**11.2.6 Levantamento de endereços MAC e IP em equipamentos
**11.2.7 MAC spoofing
**11.2.8 Gratuitous ARP request
**11.2.9 Gratuitous ARP reply
**11.2.10 ARP spoofing
**11.2.11 MAC flooding
**11.2.12 Filtragem pelo endereço MAC e debug DHCP
*11.3 Protocolo NDP (IPv6)
**11.3.1 Funcionamento do NDP
**11.3.2 Neighbor Solicitation
**11.3.3 Opções source link-layer address e target link-layer address
**11.3.4 Neighbor Advertisement
**11.3.5 Tráfego NDP
**11.3.6 Visualização da tabela NDP
**11.3.7 Detecção de endereço IPv6 duplicado
**11.3.8 Outras mensagens NDP
**11.3.9 Há NDP spoofing?
*11.4 Placas de rede com MACs clonados
*11.5 Conclusão
<br><br>
'''Capítulo 12 - Modelo OSI'''
*12.1 Finalidade do Modelo OSI
*12.2 Modelo OSI na prática
*12.3 As sete camadas do OSI
**12.3.1 Camada 1 - Física
**12.3.2 Camada 2 - Enlace
**12.3.3 Camada 3 - Rede
**12.3.4 Camada 4 - Transporte
**12.3.5 Camada 5 - Sessão
**12.3.6 Camada 6 - Apresentação
**12.3.7 Camada 7 - Aplicação
*12.4 Entendendo um pouco mais sobre o Modelo OSI
**12.4.1 Porção inferior ou de rede
**12.4.2 Porção superior ou de hosts
*12.5 MTU e MSS
*12.6 UDP e MTU
*12.7 Aplicações comandam o TCP e o UDP
*12.8 Path MTU Discovery
**12.8.1 PMTUD no IPv4
**12.8.2 PMTUD no IPv6
*12.9 Modelo TCP/IP
*12.10 Conclusão
<br><br>
'''Capítulo 13 - Roteamento em redes TCP/IP'''
*13.1 Limites de uma rede
*13.2 Comunicação com máquinas em outros segmentos
*13.3 Conceitos básicos em roteamento
**13.3.1 Segmento de rede
**13.3.2 Gateway
**13.3.3 Lei da proximidade
**13.3.4 Default gateway e lei do menor esforço
**13.3.5 Dispositivo roteador local
*13.4 Mecanismo de roteamento
*13.5 Consequências da falta de rotas em uma máquina
*13.6 Proxy ARP
*13.7 Roteamento estático e roteamento dinâmico
**13.7.1 Modalidade distance vector
**13.7.2 Modalidade link state
**13.7.3 Modalidade complementar
**13.7.4 Comparação entre modalidades de roteamento
*13.8 Roteamento no IPv6
*13.9 Conclusão
{{rodapé|http://www4.clustrmaps.com/user/4b1107d56|http://www4.clustrmaps.com/stats/maps-no_clusters/bit.ly-tcpip-1ed-thumb.jpg|24 fev. 13}}

Edição atual tal como às 05h44min de 22 de julho de 2013

by (C) João Eriberto Mota Filho <eriberto (a) eriberto pro br>

Artigo criado em: 24 de fevereiro de 2013.

Última atualização: veja o rodapé desta página.

Tiny URL ou bit.ly: http://bit.ly/tcpip-1ed



Livro LANÇADO em 30 jul. 2013. Veja o sumário definitivo, o primeiro capítulo e uma amostra complementar do conteúdo em http://www.novatec.com.br/catalogo/7522375_atr.

Parte I - Conceitos básicos

  • Capítulo 1 • O que é a análise de tráfego? (W E O S F R)
  • Capítulo 2 • Redes de computadores (W E O S F R)
  • Capítulo 3 • Redes TCP/IP (W E O S F R)
  • Capítulo 4 • Comandos para análise e auditoria de redes (W E O S F R)
W - Escrito / E - Revisado por Eriberto / O - Revisado pelo revisor ortográfico /
S - Verificado o sumário / F - Verificadas as figuras / R - Revisão final detalhada ok



Parte II - Protocolos básicos em redes TCP/IP e a sua análise

  • Capítulo 5 • Protocolo IPv4 (W E O S F R)
  • Capítulo 6 • Protocolo TCP (W E O S F R)
  • Capítulo 7 • Protocolo UDP (W E O S F R)
  • Capítulo 8 • Protocolo ICMP (W E O S F R)
  • Capítulo 9 • Protocolo IPv6 (W E O S F R)
  • Capítulo 10 • Payloads que falam (W E O S F R)
W - Escrito / E - Revisado por Eriberto / O - Revisado pelo revisor ortográfico /
S - Verificado o sumário / F - Verificadas as figuras / R - Revisão final detalhada ok



Parte III - Conhecimentos específicos em redes TCP/IP e sua análise

  • Capítulo 11 • Protocolos Ethernet, ARP e NDP (W E O S F R)
  • Capítulo 12 • Modelo OSI (W E O S F R)
  • Capítulo 13 • Roteamento em redes TCP/IP (W E O S F R)
  • Capítulo 14 • Bridges e a sua utilidade na análise de tráfego (W E O S F R)
W - Escrito / E - Revisado por Eriberto / O - Revisado pelo revisor ortográfico /
S - Verificado o sumário / F - Verificadas as figuras / R - Revisão final detalhada ok



Parte IV - Tráfegos diversos e sistemas específicos

  • Capítulo 15 • Tráfego DNS (W E O S F R)
  • Capítulo 16 • Outros tráfegos comuns em redes (W E O S F R)
  • Capítulo 17 • Sistemas de firewall (W E O S F R)


W - Escrito / E - Revisado por Eriberto / O - Revisado pelo revisor ortográfico /
S - Verificado o sumário / F - Verificadas as figuras / R - Revisão final detalhada ok



Parte V - Apêndices

  • Apêndice A • Simulador de redes CORE (W E O S F R)
  • Apêndice B • Elementos básicos de segurança e administração em redes (W E O S F R)
  • Apêndice C • Algumas ferramentas utilizadas neste livro e outras dicas (W E O S F R)
  • Apêndice D • Portas TCP e UDP importantes (W E O S F R)
W - Escrito / E - Revisado por Eriberto / O - Revisado pelo revisor ortográfico /
S - Verificado o sumário / F - Verificadas as figuras / R - Revisão final detalhada ok