Análise de tráfego em redes TCP/IP - 1ª edição: mudanças entre as edições
Linha 348: | Linha 348: | ||
*14.6 Curiosidade | *14.6 Curiosidade | ||
*14.7 Conclusão | *14.7 Conclusão | ||
<br><br> | |||
'''Capítulo 15 - Tráfego DNS''' | '''Capítulo 15 - Tráfego DNS''' | ||
*15.1 Sistema DNS | *15.1 Sistema DNS | ||
Linha 361: | Linha 362: | ||
*15.6 Caso real | *15.6 Caso real | ||
*15.7 Conclusão | *15.7 Conclusão | ||
<br><br> | |||
'''Capítulo 16 - Outros tráfegos comuns em redes''' | '''Capítulo 16 - Outros tráfegos comuns em redes''' | ||
*16.1 Tráfego VLAN | *16.1 Tráfego VLAN |
Edição das 18h04min de 16 de junho de 2013
by (C) João Eriberto Mota Filho <eriberto (a) eriberto pro br>
Artigo criado em: 24 de fevereiro de 2013.
Última atualização: veja o rodapé desta página.
Tiny URL ou bit.ly: http://bit.ly/tcpip-1ed
Parte I - Conceitos básicos
- Capítulo 1 • O que é a análise de tráfego? (W E O S F R)
- Capítulo 2 • Redes de computadores (W E O S F R)
- Capítulo 3 • Redes TCP/IP (W E O S F R)
- Capítulo 4 • Comandos para análise e auditoria de redes (W E O S F R)
W - Escrito / E - Revisado por Eriberto / O - Revisado pelo revisor ortográfico / S - Verificado o sumário / F - Verificadas as figuras / R - Revisão final detalhada ok
Parte II - Protocolos básicos em redes TCP/IP e a sua análise
- Capítulo 5 • Protocolo IPv4 (W E O S F R)
- Capítulo 6 • Protocolo TCP (W E O S F R)
- Capítulo 7 • Protocolo UDP (W E O S F R)
- Capítulo 8 • Protocolo ICMP (W E O S F R)
- Capítulo 9 • Protocolo IPv6 (W E O S F R)
- Capítulo 10 • Payloads que falam (W E O S F R)
W - Escrito / E - Revisado por Eriberto / O - Revisado pelo revisor ortográfico / S - Verificado o sumário / F - Verificadas as figuras / R - Revisão final detalhada ok
Parte III - Conhecimentos específicos em redes TCP/IP e sua análise
- Capítulo 11 • Protocolos Ethernet, ARP e NDP (W E O S F R)
- Capítulo 12 • Modelo OSI (W E O S F R)
- Capítulo 13 • Roteamento em redes TCP/IP (W E O S F R)
- Capítulo 14 • Bridges e a sua utilidade na análise de tráfego (W E O S F R)
W - Escrito / E - Revisado por Eriberto / O - Revisado pelo revisor ortográfico / S - Verificado o sumário / F - Verificadas as figuras / R - Revisão final detalhada ok
Parte IV - Tráfegos diversos e sistemas específicos
- Capítulo 15 • Tráfego DNS (W E O S F R)
- Capítulo 16 • Outros tráfegos comuns em redes (W E O S F R)
- Capítulo 17 • Sistemas de firewall (W E O S F R)
W - Escrito / E - Revisado por Eriberto / O - Revisado pelo revisor ortográfico / S - Verificado o sumário / F - Verificadas as figuras / R - Revisão final detalhada ok
Parte V - Apêndices
- Apêndice A • Simulador de redes CORE (W E O S F R)
- Apêndice B • Elementos básicos de segurança e administração em redes (W E O S F R)
- Apêndice C • Algumas ferramentas utilizadas neste livro e outras dicas (W E O S F R)
- Apêndice D • Portas TCP e UDP importantes (W E O S F R)
W - Escrito / E - Revisado por Eriberto / O - Revisado pelo revisor ortográfico / S - Verificado o sumário / F - Verificadas as figuras / R - Revisão final detalhada ok
Página exemplo
Página de exemplo para avaliação do método. Clique aqui.
Sumário detalhado
Capítulo 1 - O que é a análise de tráfego?
- 1.1 Conhecimentos sobre redes: um problema histórico
- 1.2 Análise de tráfego em redes TCP/IP
- 1.3 Exemplos dos trabalhos a serem realizados neste livro
- 1.4 Este livro é só para quem usa GNU/Linux?
- 1.5 Conclusão
Capítulo 2 - Redes de computadores
- 2.1 Conceito de rede de computadores
- 2.2 Definições de servidor de rede e de cliente de rede
- 2.3 É possível uma rede sem servidor?
- 2.4 Host e hostname
- 2.5 Famílias de protocolos de rede
- 2.5.1 Protocolo TCP/IP
- 2.5.2 Protocolo NetBIOS
- 2.5.3 Protocolo IPX/SPX
- 2.5.4 Outros protocolos
- 2.6 Modalidades básicas de transmissão de dados
- 2.6.1 Classificação quanto ao tipo de fluxo
- 2.6.2 Classificação quanto à difusão
- 2.7 Algumas classificações de redes
- 2.7.1 Classificação quanto à abrangência geográfica
- 2.7.2 Classificação quanto à forma de interligação
- 2.8 RFCs
- 2.9 IANA
- 2.10 IEEE
- 2.11 IETF
- 2.12 Conclusão
Capítulo 3 - Redes TCP/IP
- 3.1 IPv4 e IPv6
- 3.1.1 Considerações específicas sobre o IPv4
- 3.1.2 Considerações específicas sobre o IPv6
- 3.2 Noções básicas sobre o IPv4
- 3.2.1 Endereço IP
- 3.2.2 Máscara de rede
- 3.2.3 Importância da máscara de rede
- 3.2.4 Definição da máscara de rede
- 3.2.5 Comunicação entre redes diferentes
- 3.2.6 Segmento de rede
- 3.2.7 Máscaras de rede fragmentadas
- 3.2.8 Máscaras de rede possíveis
- 3.2.9 Por que fragmentar a máscara?
- 3.2.10 CIDR
- 3.2.11 Máscara não trafega na rede!!!
- 3.2.12 Classes de endereços IP
- 3.2.13 Classes das máscaras de rede
- 3.3 Endereços IPv4 especiais
- 3.3.1 Endereços de rede e de broadcast
- 3.3.2 Esta rede e esta máquina
- 3.3.3 Rede loopback
- 3.3.4 Bloco de link local
- 3.3.5 Classe D (multicast)
- 3.3.6 Classe E (reservados para uso futuro)
- 3.3.7 Inválidos ou privados
- 3.3.8 Outras redes e endereços especiais
- 3.4 Noções básicas sobre o IPv6
- 3.4.1 Endereço IP e a simplificação dos zeros
- 3.4.2 CIDR e prefixo em IPv6
- 3.4.3 Unicast, multicast e anycast
- 3.5 Endereços IPv6 especiais
- 3.6 Distribuição de endereços IP válidos
- 3.7 Portas
- 3.8 Socket
- 3.8.1 Socket IPv4
- 3.8.2 Socket IPv6
- 3.9 DNS e DHCP
- 3.9.1 DNS
- 3.9.2 DHCP
- 3.10 NAT e PAT
- 3.10.1 NAT
- 3.10.2 PAT
- 3.11 Conclusão
Capítulo 4 - Comandos para análise e auditoria de redes
- 4.1 Comandos para auditoria local
- 4.1.1 ifconfig
- 4.1.2 mii-tool
- 4.1.3 ethtool
- 4.1.4 route
- 4.1.5 netstat
- 4.2 Comandos para o levantamento de dados
- 4.2.1 ping
- 4.2.2 traceroute
- 4.2.3 mtr
- 4.2.4 whois
- 4.2.5 geoiplookup
- 4.2.6 dig
- 4.3 Comandos para a análise de tráfego
- 4.3.1 tcpdump
- 4.3.2 WinDump
- 4.3.3 Wireshark
- 4.3.4 Tshark
- 4.4 Calculadoras IP
- 4.4.1 ipcalc
- 4.4.2 sipcalc
- 4.5 Outras ferramentas baseadas na libpcap ou úteis em redes
- 4.6 Conclusão
Capítulo 5 - Protocolo IPv4
- 5.1 Composição de um protocolo de rede
- 5.2 Protocolo IP versão 4 (IPv4)
- 5.2.1 Campo Version
- 5.2.2 Campo IHL (Internet Header Length)
- 5.2.3 Campo Type of Service (ToS) ou Differentiated Services Field
- 5.2.4 Campo Total Length
- 5.2.5 Campo Identification
- 5.2.6 Entendendo a fragmentação
- 5.2.7 Campo Flags
- 5.2.8 Campo Fragment Offset
- 5.2.9 Análise de uma fragmentação IP
- 5.2.10 Campo Time to Live (TTL)
- 5.2.11 Como funcionam o mtr e o traceroute?
- 5.2.12 Campo Protocol
- 5.2.13 Campo Header Checksum
- 5.2.14 Campo Source Address
- 5.2.15 Campo Destination Address
- 5.2.16 Campo Options
- 5.2.17 Campo Padding
- 5.2.18 Payload
- 5.2.19 Onde está a máscara de rede? E o CIDR?
- 5.3 Características do IPv4
- 5.4 Considerações gerais sobre os protocolos IP
- 5.5 Tráfego do IP em bytes
- 5.6 Observando, aprendendo e acreditando no tcpdump
- 5.7 Conclusão
Capítulo 6 - Protocolo TCP
- 6.1 Protocolo TCP
- 6.2 Campos do TCP
- 6.2.1 Campo Source Port
- 6.2.2 Campo Destination Port
- 6.2.3 Campo Sequence Number
- 6.2.4 Campo Acknowledgment
- 6.2.5 Campo Data Offset
- 6.2.6 Flags TCP
- 6.2.7 Análise de flags em uma conexão
- 6.2.8 Tipos de finalização (fechamento)
- 6.2.9 Ocorrência da flag RESET
- 6.2.10 Bloqueios e retransmissão TCP
- 6.2.11 Segmentos fora de ordem
- 6.2.12 PUSH FIN, PUSH RST
- 6.2.13 Descobrindo pontos de bloqueio com o tcpdump
- 6.2.14 Relação entre as flags ACK e RST
- 6.2.15 Finalmente, o payload...
- 6.2.16 Campo Window (ou Window Size)
- 6.2.17 Janelas deslizantes (Sliding Window)
- 6.2.18 Campo Checksum
- 6.2.19 Campo Urgent Pointer
- 6.2.20 Campo Options
- 6.2.21 Campo Padding
- 6.2.22 Considerações extras sobre o payload TCP
- 6.3 Características do TCP
- 6.4 Conclusão
Capítulo 7 - Protocolo UDP
- 7.1 Protocolo UDP
- 7.2 Campos do UDP
- 7.2.1 Campo Source Port
- 7.2.2 Campo Destination Port
- 7.2.3 Campo Length
- 7.2.4 Campo Checksum
- 7.2.5 Payload
- 7.3 Tráfego UDP
- 7.4 Considerações gerais sobre o TCP e o UDP
- 7.5 Conclusão
Capítulo 8 - Protocolo ICMP
- 8.1 O trabalho do ICMP
- 8.2 Tipos e códigos ICMP
- 8.3 Estrutura do ICMP
- 8.4 Bloqueio de ICMP nas redes
- 8.5 Conclusão
Capítulo 9 - Protocolo IPv6
- 9.1 Tráfego IPv6
- 9.2 Campos do IPv6
- 9.2.1 Campo Version
- 9.2.2 Campo Traffic Class
- 9.2.3 Campo Flow Label
- 9.2.4 Payload Length
- 9.2.5 Next Header
- 9.2.6 Hop Limit
- 9.2.7 Source Address
- 9.2.8 Destination Address
- 9.3 Considerações específicas sobre o IPv6
- 9.3.1 Upper-layer protocol
- 9.3.2 Controle de fragmentação
- 9.3.3 Checksum
- 9.3.4 Cabeçalhos de extensão
- 9.3.5 Detalhes em uma captura IPv6
- 9.3.6 ICMPv6, o ICMP do IPv6
- 9.3.7 ifconfig para IPv6
- 9.4 Conclusão
Capítulo 10 - Payloads que falam
- 10.1 Servidores falantes, clientes calados
- 10.2 Quando devo analisar o payload?
- 10.3 Conclusão
Capítulo 11 - Protocolos Ethernet, ARP e NDP
- 11.1 Protocolo Ethernet
- 11.1.1 Frame Ethernet
- 11.1.2 Campos do Ethernet tipo II
- 11.1.3 Constituição do endereço MAC
- 11.1.4 Tráfego Ethernet
- 11.1.5 Preâmbulo
- 11.1.6 Pacotes IP não visualizados
- 11.1.7 Jumbo frames
- 11.1.8 Segmento Ethernet
- 11.1.9 Só há MAC no Ethernet?
- 11.2 Protocolo ARP (IPv4)
- 11.2.1 Funcionamento do ARP
- 11.2.2 Visualização da tabela ARP
- 11.2.3 Campos do ARP
- 11.2.4 ARP encapsulado pelo Ethernet
- 11.2.5 Levantamento de rede
- 11.2.6 Levantamento de endereços MAC e IP em equipamentos
- 11.2.7 MAC spoofing
- 11.2.8 Gratuitous ARP request
- 11.2.9 Gratuitous ARP reply
- 11.2.10 ARP spoofing
- 11.2.11 MAC flooding
- 11.2.12 Filtragem pelo endereço MAC e debug DHCP
- 11.3 Protocolo NDP (IPv6)
- 11.3.1 Funcionamento do NDP
- 11.3.2 Neighbor Solicitation
- 11.3.3 Opções source link-layer address e targe
- 11.3.4 Neighbor Advertisement
- 11.3.5 Tráfego NDP
- 11.3.6 Visualização da tabela NDP
- 11.3.7 Detecção de endereço IPv6 duplicado
- 11.3.8 Outras mensagens NDP
- 11.3.9 Há NDP spoofing?
- 11.4 Placas de rede com MACs clonados
- 11.5 Conclusão
Capítulo 12 - Modelo OSI
- 12.1 Finalidade do Modelo OSI
- 12.2 Modelo OSI na prática
- 12.3 As sete camadas do OSI
- 12.3.1 Camada 1 - Física
- 12.3.2 Camada 2 - Enlace
- 12.3.3 Camada 3 - Rede
- 12.3.4 Camada 4 - Transporte
- 12.3.5 Camada 5 - Sessão
- 12.3.6 Camada 6 - Apresentação
- 12.3.7 Camada 7 - Aplicação
- 12.4 Entendendo um pouco mais sobre o Modelo OSI
- 12.4.1 Porção inferior ou de rede
- 12.4.2 Porção superior ou de hosts
- 12.5 MTU e MSS
- 12.6 UDP e MTU
- 12.7 Aplicações comandam o TCP e o UDP
- 12.8 Path MTU Discovery
- 12.8.1 PMTUD no IPv4
- 12.8.2 PMTUD no IPv6
- 12.9 Modelo TCP/IP
- 12.10 Conclusão
Capítulo 13 - Roteamento em redes TCP/IP
- 13.1 Limites de uma rede
- 13.2 Comunicação com máquinas em outros segmentos
- 13.3 Conceitos básicos em roteamento
- 13.3.1 Segmento de rede
- 13.3.2 Gateway
- 13.3.3 Lei da proximidade
- 13.3.4 Default gateway e lei do menor esforço
- 13.3.5 Dispositivo roteador local
- 13.4 Mecanismo de roteamento
- 13.5 Consequências da falta de rotas em uma máquina
- 13.6 Proxy ARP
- 13.7 Roteamento estático e roteamento dinâmico
- 13.7.1 Modalidade distance vector
- 13.7.2 Modalidade link state
- 13.7.3 Modalidade complementar
- 13.7.4 Comparação entre modalidades de roteamento
- 13.8 Roteamento no IPv6
- 13.9 Conclusão
Capítulo 14 - Bridges e a sua utilidade na análise de tráfego
- 14.1 Utilização da bridge
- 14.2 Bridges na análise de tráfego
- 14.3 Um notebook, duas placas de rede
- 14.4 Habilitação da bridge em GNU/Linux
- 14.4.1 Considerações iniciais
- 14.4.2 Método volátil
- 14.4.3 Método permanente
- 14.5 Gravação de tráfego
- 14.6 Curiosidade
- 14.7 Conclusão
Capítulo 15 - Tráfego DNS
- 15.1 Sistema DNS
- 15.2 Exemplo de configuração de DNS
- 15.2.1 Resolução direta
- 15.2.2 Resolução reversa
- 15.3 Consulta DNS
- 15.4 Outros registros DNS
- 15.5 Análise de tráfego em DNS
- 15.5.1 Resolução com sucesso
- 15.5.2 Insucesso na resolução
- 15.5.3 Transferência de zona
- 15.6 Caso real
- 15.7 Conclusão
Capítulo 16 - Outros tráfegos comuns em redes
- 16.1 Tráfego VLAN
- 16.2 Tráfego STP
- 16.3 Tráfego IGMP
- 16.4 Tráfego de redes Microsoft
- 16.4.1 Browseamento
- 16.4.2 Protocolos SMB/CIFS e NBT
- 16.4.3 Portas 137, 138, 139 e 445
- 16.4.4 Sufixos NetBIOS
- 16.5 Tráfego mDNS
- 16.6 Tráfego DHCP
- 16.7 Tráfego UPnP
- 16.8 Tráfego SNMP
- 16.9 Outros tráfegos
- 16.10 Conclusão
Capítulo 17 - Sistemas de firewall
- 17.1 Conceitos básicos em sistemas de firewall
- 17.1.1 Hosts in-line ou em nível de circuito
- 17.1.2 DMZ
- 17.1.3 Desagrupamento de serviços em máquinas
- 17.2 Sistemas de firewall
- 17.3 Defesa em profundidade
- 17.4 Elementos de firewall
- 17.4.1. Filtros de pacotes
- 17.4.2 Filtros de estados
- 17.4.3 Filtros de enlace
- 17.4.4 Proxies
- 17.4.5 IDS
- 17.4.6 IPS
- 17.4.7 Detectores de varredura de portas
- 17.4.8 Antivírus de rede
- 17.4.9 Verificadores de integridade de arquivos e diretórios
- 17.4.10 Outros elementos
- 17.5 Exemplo de topologia de sistemas firewall
- 17.6 Influência da criptografia em sistemas de firewall
- 17.7 SSL inspection
- 17.8 Honeypots e honeynets
- 17.9 Conclusão
Apêndice A - Simulador de redes CORE
- A.1 O que vem a ser o CORE?
- A.2 Instalação do CORE
- A.2.1 Instalação no Ubuntu e no Debian
- A.2.2 Instalação via VirtualBox
- A.3 Execução do CORE
Apêndice B - Elementos básicos de segurança e administração em redes
- B.1 Objetivo deste apêndice
- B.2 Mensageiros
- B.2.1 sendmail
- B.2.2 sendxmpp
- B.3 Elementos de firewall
- B.3.1 fail2ban
- B.3.2 fail2ban combinado com sendxmpp
- B.3.3 samhain
- B.3.4 iwatch
- B.3.5 Portsentry
Apêndice C - Algumas ferramentas utilizadas neste livro e outras dicas
- C.1 telnet
- C.1.1 Instalação
- C.1.2 Utilização
- C.1.3 Exemplo da vida prática
- C.2 netcat
- C.2.1 Instalação
- C.2.2 Utilização como cliente
- C.2.3 Utilização como servidor
- C.3 packit
- C.4 iperf
- C.4.1 Instalação
- C.4.2 Utilização
- C.5 Arquivo teste
- C.6 dstat
- C.7 iptraf
Apêndice D - Portas TCP e UDP importantes