Análise de tráfego em redes TCP/IP - 1ª edição: mudanças entre as edições

De Eriberto Wiki
Ir para navegação Ir para pesquisar
Sem resumo de edição
 
Linha 1: Linha 1:
{{cabeçalho|24 de fevereiro de 2013|http://bit.ly/tcpip-1ed}}
{{cabeçalho|24 de fevereiro de 2013|http://bit.ly/tcpip-1ed}}
{{exclamação1|'''Livro LANÇADO em 30 jul. 2013.''' Veja o sumário definitivo, o primeiro capítulo e uma amostra complementar do conteúdo em http://www.novatec.com.br/catalogo/7522375_atr.}}


==Parte I - Conceitos básicos==
==Parte I - Conceitos básicos==
Linha 51: Linha 53:
  '''W''' - Escrito / '''E''' - Revisado por Eriberto / '''O''' - Revisado pelo revisor ortográfico /
  '''W''' - Escrito / '''E''' - Revisado por Eriberto / '''O''' - Revisado pelo revisor ortográfico /
  '''S''' - Verificado o sumário / '''F''' - Verificadas as figuras / '''R''' - Revisão final detalhada ok
  '''S''' - Verificado o sumário / '''F''' - Verificadas as figuras / '''R''' - Revisão final detalhada ok
<br><br>
==Página exemplo==
'''Página de exemplo para avaliação do método. Clique [http://eriberto.pro.br/files/livros/tcpip/eriberto_redes_20130329_pagina_exemplo.pdf aqui].'''
<br><br>
== Sumário detalhado ==
'''Capítulo 1 - O que é a análise de tráfego?'''
*1.1 Conhecimentos sobre redes: um problema histórico
*1.2 Análise de tráfego em redes TCP/IP
*1.3 Exemplos dos trabalhos a serem realizados neste livro
*1.4 Este livro é só para quem usa GNU/Linux?
*1.5 Conclusão
<br><br>
'''Capítulo 2 - Redes de computadores'''
*2.1 Conceito de rede de computadores
*2.2 Definições de servidor de rede e de cliente de rede
*2.3 É possível uma rede sem servidor?
*2.4 Host e hostname
*2.5 Famílias de protocolos de rede
**2.5.1 Protocolo TCP/IP
**2.5.2 Protocolo NetBIOS
**2.5.3 Protocolo IPX/SPX
**2.5.4 Outros protocolos
*2.6 Modalidades básicas de transmissão de dados
**2.6.1 Classificação quanto ao tipo de fluxo
**2.6.2 Classificação quanto à difusão
*2.7 Algumas classificações de redes
**2.7.1 Classificação quanto à abrangência geográfica
**2.7.2 Classificação quanto à forma de interligação
*2.8 Convenções quanto à velocidade do tráfego
*2.9 RFCs
*2.10 IANA
*2.11 IEEE
*2.12 IETF
*2.13 Conclusão
<br><br>
'''Capítulo 3 - Redes TCP/IP'''
*3.1 IPv4 e IPv6
**3.1.1 Considerações específicas sobre o IPv4
**3.1.2 Considerações específicas sobre o IPv6
*3.2 Noções básicas sobre o IPv4
**3.2.1 Endereço IP
**3.2.2 Máscara de rede
**3.2.3 Importância da máscara de rede
**3.2.4 Definição da máscara de rede
**3.2.5 Comunicação entre redes diferentes
**3.2.6 Segmento de rede
**3.2.7 Máscaras de rede fragmentadas
**3.2.8 Máscaras de rede possíveis
**3.2.9 Por que fragmentar a máscara?
**3.2.10 CIDR
**3.2.11 Máscara não trafega na rede!!!
**3.2.12 Classes de endereços IP
**3.2.13 Classes das máscaras de rede
*3.3 Endereços IPv4 especiais
**3.3.1 Endereços de rede e de broadcast
**3.3.2 Esta rede e esta máquina
**3.3.3 Rede loopback
**3.3.4 Bloco de link local
**3.3.5 Classe D (multicast)
**3.3.6 Classe E (reservados para uso futuro)
**3.3.7 Inválidos ou privados
**3.3.8 Outras redes e endereços especiais
*3.4 Noções básicas sobre o IPv6
**3.4.1 Endereço IP e a simplificação dos zeros
**3.4.2 CIDR e prefixo em IPv6
**3.4.3 Unicast, multicast e anycast
*3.5 Endereços IPv6 especiais
*3.6 Distribuição de endereços IP válidos
*3.7 Portas
*3.8 Socket
**3.8.1 Socket IPv4
**3.8.2 Socket IPv6
*3.9 DNS e DHCP
**3.9.1 DNS
**3.9.2 DHCP
*3.10 NAT e PAT
**3.10.1 NAT
**3.10.2 PAT
*3.11 Conclusão
<br><br>
'''Capítulo 4 - Comandos para análise e auditoria de redes'''
*4.1 Comandos para auditoria local
**4.1.1 ifconfig
**4.1.2 mii-tool
**4.1.3 ethtool
**4.1.4 route
**4.1.5 netstat
*4.2 Comandos para o levantamento de dados
**4.2.1 ping
**4.2.2 traceroute
**4.2.3 mtr
**4.2.4 whois
**4.2.5 geoiplookup
**4.2.6 dig
*4.3 Comandos para a análise de tráfego
**4.3.1 tcpdump
**4.3.2 WinDump
**4.3.3 Wireshark
**4.3.4 Tshark
*4.4 Calculadoras IP
**4.4.1 ipcalc
**4.4.2 sipcalc
*4.5 Outras ferramentas baseadas na libpcap ou úteis em redes
*4.6 Conclusão
<br><br>
'''Capítulo 5 - Protocolo IPv4'''
*5.1 Composição de um protocolo de rede
*5.2 Protocolo IP versão 4 (IPv4)
**5.2.1 Campo Version
**5.2.2 Campo IHL (Internet Header Length)
**5.2.3 Campo Type of Service (ToS) ou Differentiated Services Field
**5.2.4 Campo Total Length
**5.2.5 Campo Identification
**5.2.6 Entendendo a fragmentação
**5.2.7 Campo Flags
**5.2.8 Campo Fragment Offset
**5.2.9 Análise de uma fragmentação IP
**5.2.10 Campo Time to Live (TTL)
**5.2.11 Como funcionam o mtr e o traceroute?
**5.2.12 Campo Protocol
**5.2.13 Campo Header Checksum
**5.2.14 Campo Source Address
**5.2.15 Campo Destination Address
**5.2.16 Campo Options
**5.2.17 Campo Padding
**5.2.18 Payload
**5.2.19 Onde está a máscara de rede? E o CIDR?
*5.3 Características do IPv4                                                                                                                               
*5.4 Considerações gerais sobre os protocolos IP                                                                                                           
*5.5 Tráfego do IP em bytes
*5.6 Observando, aprendendo e acreditando no tcpdump
*5.7 Conclusão
<br><br>
'''Capítulo 6 - Protocolo TCP'''
*6.1 Protocolo TCP
*6.2 Campos do TCP
**6.2.1 Campo Source Port
**6.2.2 Campo Destination Port
**6.2.3 Campo Sequence Number
**6.2.4 Campo Acknowledgment
**6.2.5 Campo Data Offset
**6.2.6 Flags TCP
**6.2.7 Análise de flags em uma conexão
**6.2.8 Tipos de finalização (fechamento)
**6.2.9 Ocorrência da flag RESET
**6.2.10 Bloqueios e retransmissão TCP
**6.2.11 Segmentos fora de ordem
**6.2.12 PUSH FIN, PUSH RST
**6.2.13 Descobrindo pontos de bloqueio com o tcpdump
**6.2.14 Relação entre as flags ACK e RST
**6.2.15 Finalmente, o payload...
**6.2.16 Campo Window (ou Window Size)
**6.2.17 Janelas deslizantes (Sliding Window)
**6.2.18 Campo Checksum
**6.2.19 Campo Urgent Pointer
**6.2.20 Campo Options
**6.2.21 Campo Padding
**6.2.22 Considerações extras sobre o payload TCP
*6.3 Características do TCP
*6.4 Conclusão
<br><br>
'''Capítulo 7 - Protocolo UDP'''
*7.1 Protocolo UDP
*7.2 Campos do UDP
**7.2.1 Campo Source Port
**7.2.2 Campo Destination Port
**7.2.3 Campo Length
**7.2.4 Campo Checksum
**7.2.5 Payload
*7.3 Tráfego UDP
*7.4 Considerações gerais sobre o TCP e o UDP
*7.5 Conclusão
<br><br>
'''Capítulo 8 - Protocolo ICMP'''
*8.1 O trabalho do ICMP
*8.2 Tipos e códigos ICMP
*8.3 Estrutura do ICMP
*8.4 Bloqueio de ICMP nas redes
*8.5 Conclusão
<br><br>
'''Capítulo 9 - Protocolo IPv6'''                                                                                                                                           
*9.1 Tráfego IPv6
*9.2 Campos do IPv6
**9.2.1 Campo Version
**9.2.2 Campo Traffic Class
**9.2.3 Campo Flow Label
**9.2.4 Payload Length
**9.2.5 Next Header
**9.2.6 Hop Limit
**9.2.7 Source Address
**9.2.8 Destination Address
*9.3 Considerações específicas sobre o IPv6
**9.3.1 Upper-layer protocol
**9.3.2 Controle de fragmentação
**9.3.3 Checksum
**9.3.4 Cabeçalhos de extensão
**9.3.5 Detalhes em uma captura IPv6
**9.3.6 ICMPv6, o ICMP do IPv6
**9.3.7 ifconfig para IPv6
*9.4 Conclusão
<br><br>
'''Capítulo 10 - Payloads que falam'''
*10.1 Servidores falantes, clientes calados
*10.2 Quando devo analisar o payload?
*10.3 Conclusão
<br><br>
'''Capítulo 11 - Protocolos Ethernet, ARP e NDP'''
*11.1 Protocolo Ethernet
**11.1.1 Frame Ethernet
**11.1.2 Campos do Ethernet tipo II
**11.1.3 Constituição do endereço MAC
**11.1.4 Tráfego Ethernet
**11.1.5 Preâmbulo
**11.1.6 Pacotes IP não visualizados
**11.1.7 Jumbo frames
**11.1.8 Segmento Ethernet
**11.1.9 Só há MAC no Ethernet?
*11.2 Protocolo ARP (IPv4)
**11.2.1 Funcionamento do ARP
**11.2.2 Visualização da tabela ARP
**11.2.3 Campos do ARP
**11.2.4 ARP encapsulado pelo Ethernet
**11.2.5 Levantamento de rede
**11.2.6 Levantamento de endereços MAC e IP em equipamentos
**11.2.7 MAC spoofing
**11.2.8 Gratuitous ARP request
**11.2.9 Gratuitous ARP reply
**11.2.10 ARP spoofing
**11.2.11 MAC flooding
**11.2.12 Filtragem pelo endereço MAC e debug DHCP
*11.3 Protocolo NDP (IPv6)
**11.3.1 Funcionamento do NDP
**11.3.2 Neighbor Solicitation
**11.3.3 Opções source link-layer address e targe
**11.3.4 Neighbor Advertisement
**11.3.5 Tráfego NDP
**11.3.6 Visualização da tabela NDP
**11.3.7 Detecção de endereço IPv6 duplicado
**11.3.8 Outras mensagens NDP
**11.3.9 Há NDP spoofing?
*11.4 Placas de rede com MACs clonados
*11.5 Conclusão
<br><br>
'''Capítulo 12 - Modelo OSI'''
*12.1 Finalidade do Modelo OSI
*12.2 Modelo OSI na prática
*12.3 As sete camadas do OSI
**12.3.1 Camada 1 - Física
**12.3.2 Camada 2 - Enlace
**12.3.3 Camada 3 - Rede
**12.3.4 Camada 4 - Transporte
**12.3.5 Camada 5 - Sessão
**12.3.6 Camada 6 - Apresentação
**12.3.7 Camada 7 - Aplicação
*12.4 Entendendo um pouco mais sobre o Modelo OSI
**12.4.1 Porção inferior ou de rede
**12.4.2 Porção superior ou de hosts
*12.5 MTU e MSS
*12.6 UDP e MTU
*12.7 Aplicações comandam o TCP e o UDP
*12.8 Path MTU Discovery
**12.8.1 PMTUD no IPv4
**12.8.2 PMTUD no IPv6
*12.9 Modelo TCP/IP
*12.10 Conclusão
<br><br>
'''Capítulo 13 - Roteamento em redes TCP/IP'''
*13.1 Limites de uma rede
*13.2 Comunicação com máquinas em outros segmentos
*13.3 Conceitos básicos em roteamento
**13.3.1 Segmento de rede
**13.3.2 Gateway
**13.3.3 Lei da proximidade
**13.3.4 Default gateway e lei do menor esforço
**13.3.5 Dispositivo roteador local
*13.4 Mecanismo de roteamento
*13.5 Consequências da falta de rotas em uma máquina
*13.6 Proxy ARP
*13.7 Roteamento estático e roteamento dinâmico
**13.7.1 Modalidade distance vector
**13.7.2 Modalidade link state
**13.7.3 Modalidade complementar
**13.7.4 Comparação entre modalidades de roteamento
*13.8 Roteamento no IPv6
*13.9 Conclusão
<br><br>
'''Capítulo 14 - Bridges e a sua utilidade na análise de tráfego'''
*14.1 Utilização da bridge
*14.2 Bridges na análise de tráfego
*14.3 Um notebook, duas placas de rede
*14.4 Habilitação da bridge em GNU/Linux
**14.4.1 Considerações iniciais
**14.4.2 Método volátil
**14.4.3 Método permanente
*14.5 Gravação de tráfego
*14.6 Curiosidade
*14.7 Conclusão
<br><br>
'''Capítulo 15 - Tráfego DNS'''
*15.1 Sistema DNS
*15.2 Exemplo de configuração de DNS
**15.2.1 Resolução direta
**15.2.2 Resolução reversa
*15.3 Consulta DNS
*15.4 Outros registros DNS
*15.5 Análise de tráfego em DNS
**15.5.1 Resolução com sucesso
**15.5.2 Insucesso na resolução
**15.5.3 Transferência de zona
*15.6 Caso real
*15.7 Conclusão
<br><br>
'''Capítulo 16 - Outros tráfegos comuns em redes'''
*16.1 Tráfego VLAN
*16.2 Tráfego STP
*16.3 Tráfego IGMP
*16.4 Tráfego de redes Microsoft
**16.4.1 Browseamento
**16.4.2 Protocolos SMB/CIFS e NBT
**16.4.3 Portas 137, 138, 139 e 445
**16.4.4 Sufixos NetBIOS
*16.5 Tráfego mDNS
*16.6 Tráfego DHCP
*16.7 Tráfego UPnP
*16.8 Tráfego SNMP
*16.9 Outros tráfegos
*16.10 Conclusão
<br><br>
'''Capítulo 17 - Sistemas de firewall'''
*17.1 Conceitos básicos em sistemas de firewall
**17.1.1 Hosts in-line ou em nível de circuito
**17.1.2 DMZ
**17.1.3 Desagrupamento de serviços em máquinas
*17.2 Sistemas de firewall
*17.3 Defesa em profundidade
*17.4 Elementos de firewall
**17.4.1. Filtros de pacotes
**17.4.2 Filtros de estados
**17.4.3 Filtros de enlace
**17.4.4 Proxies
**17.4.5 IDS
**17.4.6 IPS
**17.4.7 Detectores de varredura de portas
**17.4.8 Antivírus de rede
**17.4.9 Verificadores de integridade de arquivos e diretórios
**17.4.10 Outros elementos
*17.5 Exemplo de topologia de sistemas firewall
*17.6 Influência da criptografia em sistemas de firewall
*17.7 SSL inspection
*17.8 Honeypots e honeynets
*17.9 Conclusão
<br><br>
'''Apêndice A - Simulador de redes CORE'''
*A.1 O que vem a ser o CORE?
*A.2 Instalação do CORE
**A.2.1 Instalação no Ubuntu e no Debian
**A.2.2 Instalação via VirtualBox
*A.3 Execução do CORE
<br><br>
'''Apêndice B - Elementos básicos de segurança e administração em redes'''
*B.1 Objetivo deste apêndice
*B.2 Mensageiros
**B.2.1 sendmail
**B.2.2 sendxmpp
*B.3 Elementos de firewall
**B.3.1 fail2ban
**B.3.2 fail2ban combinado com sendxmpp
**B.3.3 samhain
**B.3.4 iwatch
**B.3.5 Portsentry
<br><br>
'''Apêndice C - Algumas ferramentas utilizadas neste livro e outras dicas'''
*C.1 telnet
**C.1.1 Instalação
**C.1.2 Utilização
**C.1.3 Exemplo da vida prática
*C.2 netcat
**C.2.1 Instalação
**C.2.2 Utilização como cliente
**C.2.3 Utilização como servidor
*C.3 packit
*C.4 iperf
**C.4.1 Instalação
**C.4.2 Utilização
*C.5 Arquivo teste
*C.6 dstat
*C.7 iptraf
<br><br>
'''Apêndice D - Portas TCP e UDP importantes'''
<br><br>
<br><br>

Edição atual tal como às 05h44min de 22 de julho de 2013

by (C) João Eriberto Mota Filho <eriberto (a) eriberto pro br>

Artigo criado em: 24 de fevereiro de 2013.

Última atualização: veja o rodapé desta página.

Tiny URL ou bit.ly: http://bit.ly/tcpip-1ed



Livro LANÇADO em 30 jul. 2013. Veja o sumário definitivo, o primeiro capítulo e uma amostra complementar do conteúdo em http://www.novatec.com.br/catalogo/7522375_atr.

Parte I - Conceitos básicos

  • Capítulo 1 • O que é a análise de tráfego? (W E O S F R)
  • Capítulo 2 • Redes de computadores (W E O S F R)
  • Capítulo 3 • Redes TCP/IP (W E O S F R)
  • Capítulo 4 • Comandos para análise e auditoria de redes (W E O S F R)
W - Escrito / E - Revisado por Eriberto / O - Revisado pelo revisor ortográfico /
S - Verificado o sumário / F - Verificadas as figuras / R - Revisão final detalhada ok



Parte II - Protocolos básicos em redes TCP/IP e a sua análise

  • Capítulo 5 • Protocolo IPv4 (W E O S F R)
  • Capítulo 6 • Protocolo TCP (W E O S F R)
  • Capítulo 7 • Protocolo UDP (W E O S F R)
  • Capítulo 8 • Protocolo ICMP (W E O S F R)
  • Capítulo 9 • Protocolo IPv6 (W E O S F R)
  • Capítulo 10 • Payloads que falam (W E O S F R)
W - Escrito / E - Revisado por Eriberto / O - Revisado pelo revisor ortográfico /
S - Verificado o sumário / F - Verificadas as figuras / R - Revisão final detalhada ok



Parte III - Conhecimentos específicos em redes TCP/IP e sua análise

  • Capítulo 11 • Protocolos Ethernet, ARP e NDP (W E O S F R)
  • Capítulo 12 • Modelo OSI (W E O S F R)
  • Capítulo 13 • Roteamento em redes TCP/IP (W E O S F R)
  • Capítulo 14 • Bridges e a sua utilidade na análise de tráfego (W E O S F R)
W - Escrito / E - Revisado por Eriberto / O - Revisado pelo revisor ortográfico /
S - Verificado o sumário / F - Verificadas as figuras / R - Revisão final detalhada ok



Parte IV - Tráfegos diversos e sistemas específicos

  • Capítulo 15 • Tráfego DNS (W E O S F R)
  • Capítulo 16 • Outros tráfegos comuns em redes (W E O S F R)
  • Capítulo 17 • Sistemas de firewall (W E O S F R)


W - Escrito / E - Revisado por Eriberto / O - Revisado pelo revisor ortográfico /
S - Verificado o sumário / F - Verificadas as figuras / R - Revisão final detalhada ok



Parte V - Apêndices

  • Apêndice A • Simulador de redes CORE (W E O S F R)
  • Apêndice B • Elementos básicos de segurança e administração em redes (W E O S F R)
  • Apêndice C • Algumas ferramentas utilizadas neste livro e outras dicas (W E O S F R)
  • Apêndice D • Portas TCP e UDP importantes (W E O S F R)
W - Escrito / E - Revisado por Eriberto / O - Revisado pelo revisor ortográfico /
S - Verificado o sumário / F - Verificadas as figuras / R - Revisão final detalhada ok