Análise de tráfego em redes TCP/IP - 1ª edição
by (C) João Eriberto Mota Filho <eriberto (a) eriberto pro br>
Artigo criado em: 24 de fevereiro de 2013.
Última atualização: veja o rodapé desta página.
Tiny URL ou bit.ly: http://bit.ly/tcpip-1ed
Parte I - Conceitos básicos
- Capítulo 1 • O que é a análise de tráfego? (W E O S F R)
- Capítulo 2 • Redes de computadores (W E O S F R)
- Capítulo 3 • Redes TCP/IP (W E O S F R)
- Capítulo 4 • Comandos para análise e auditoria de redes (W E O S F R)
W - Escrito / E - Revisado por Eriberto / O - Revisado pelo revisor ortográfico / S - Verificado o sumário / F - Verificadas as figuras / R - Revisão final detalhada ok
Parte II - Protocolos básicos em redes TCP/IP e a sua análise
- Capítulo 5 • Protocolo IPv4 (W E O S F R)
- Capítulo 6 • Protocolo TCP (W E O S F R)
- Capítulo 7 • Protocolo UDP (W E O S F R)
- Capítulo 8 • Protocolo ICMP (W E O S F R)
- Capítulo 9 • Protocolo IPv6 (W E O S F R)
- Capítulo 10 • Payloads que falam
W - Escrito / E - Revisado por Eriberto / O - Revisado pelo revisor ortográfico / S - Verificado o sumário / F - Verificadas as figuras / R - Revisão final detalhada ok
Parte III - Conhecimentos específicos em redes TCP/IP e sua análise
- Capítulo 11 • Protocolos Ethernet, ARP e NDP (W S F)
- Capítulo 12 • Modelo OSI
- Capítulo 13 • Roteamento em redes TCP/IP
- Capítulo 14 • Bridges e a sua utilidade na análise de tráfego
Parte IV - Tráfegos diversos e sistemas específicos
- Capítulo 15 • Tráfego DNS
- Capítulo 16 • Outros tráfegos comuns
- Capítulo 17 • Sistemas de firewall
W - Escrito / E - Revisado por Eriberto / O - Revisado pelo revisor ortográfico / S - Verificado o sumário / F - Verificadas as figuras / R - Revisão final detalhada ok
Parte V - Apêndices
- Apêndice A • Simulador de redes CORE
- Apêndice B • Casos esquemáticos de análise de tráfego
- Apêndice C • Configuração de fail2ban, samhain e portsentry
W - Escrito / E - Revisado por Eriberto / O - Revisado pelo revisor ortográfico / S - Verificado o sumário / F - Verificadas as figuras / R - Revisão final detalhada ok
Página exemplo
Página de exemplo para avaliação do método. Clique aqui.
Sumário detalhado
Capítulo 1 - O que é a análise de tráfego?
- 1.1 Conhecimentos sobre redes: um problema histórico
- 1.2 Análise de tráfego em redes TCP/IP
- 1.3 Exemplos dos trabalhos a serem realizados neste livro
- 1.4 Conclusão
Capítulo 2 - Redes de computadores
- 2.1 Conceito de rede de computadores
- 2.2 Definições de servidor de rede e de cliente de rede
- 2.3 É possível uma rede sem servidor?
- 2.4 Host e hostname
- 2.5 Famílias de protocolos de rede
- 2.5.1 Protocolo TCP/IP
- 2.5.2 Protocolo NetBIOS
- 2.5.3 Protocolo IPX/SPX
- 2.5.4 Outros protocolos
- 2.6 Modalidades básicas de transmissão de dados
- 2.6.1 Classificação quanto ao tipo de fluxo
- 2.6.2 Classificação quanto à difusão
- 2.7 Algumas classificações de redes
- 2.7.1 Classificação quanto à abrangência geográfica
- 2.7.2 Classificação quanto à forma de interligação
- 2.8 RFCs
- 2.9 IANA
- 2.10 IEEE
- 2.11 IETF
- 2.12 Conclusão
Capítulo 3 - Redes TCP/IP
- 3.1 IPv4 e IPv6
- 3.1.1 Considerações específicas sobre o IPv4
- 3.1.2 Considerações específicas sobre o IPv6
- 3.2 Noções básicas sobre o IPv4
- 3.2.1 Endereço IP
- 3.2.2 Máscara de rede
- 3.2.3 Importância da máscara de rede
- 3.2.4 Definição da máscara de rede
- 3.2.5 Comunicação entre redes diferentes
- 3.2.6 Segmento de rede
- 3.2.7 Máscaras de rede fragmentadas
- 3.2.8 Máscaras de rede possíveis
- 3.2.9 Por que fragmentar a máscara?
- 3.2.10 CIDR
- 3.2.11 Máscara não trafega na rede!!!
- 3.2.12 Classes de endereços IP
- 3.2.13 Classes das máscaras de rede
- 3.3 Endereços IPv4 especiais
- 3.3.1 Endereços de rede e de broadcast
- 3.3.2 Esta rede e esta máquina
- 3.3.3 Rede loopback
- 3.3.4 Bloco de link local
- 3.3.5 Classe D (multicast)
- 3.3.6 Classe E (reservados para uso futuro)
- 3.3.7 Inválidos ou privados
- 3.3.8 Outras redes e endereços especiais
- 3.4 Noções básicas sobre o IPv6
- 3.4.1 Endereço IP e a simplificação dos zeros
- 3.4.2 CIDR e prefixo em IPv6
- 3.4.3 Unicast, multicast e anycast
- 3.5 Endereços IPv6 especiais
- 3.6 Distribuição de endereços IP válidos
- 3.7 Portas
- 3.8 Socket
- 3.8.1 Socket IPv4
- 3.8.2 Socket IPv6
- 3.9 DNS e DHCP
- 3.9.1 DNS
- 3.9.2 DHCP
- 3.10 NAT e PAT
- 3.10.1 NAT
- 3.10.2 PAT
- 3.11 Conclusão
Capítulo 4 - Comandos para análise e auditoria de redes
- 4.1 Comandos para auditoria local
- 4.1.1 ifconfig
- 4.1.2 mii-tool
- 4.1.3 ethtool
- 4.1.4 route
- 4.1.5 netstat
- 4.2 Comandos para o levantamento de dados
- 4.2.1 ping
- 4.2.2 traceroute
- 4.2.3 mtr
- 4.2.4 whois
- 4.2.5 geoiplookup
- 4.2.6 dig
- 4.3 Comandos para a análise de tráfego
- 4.3.1 tcpdump
- 4.3.2 WinDump
- 4.3.3 Wireshark
- 4.3.4 Tshark
- 4.4 Calculadoras IP
- 4.4.1 ipcalc
- 4.4.2 sipcalc
- 4.5 Outras ferramentas baseadas na libpcap
- 4.6 Conclusão
Capítulo 5 - Protocolo IPv4
- 5.1 Composição de um protocolo de rede
- 5.2 Protocolo IP versão 4 (IPv4)
- 5.2.1 Campo Version
- 5.2.2 Campo IHL (Internet Header Length)
- 5.2.3 Campo Type of Service (ToS) ou Differentiated Services Field
- 5.2.4 Campo Total Length
- 5.2.5 Campo Identification
- 5.2.6 Entendendo a fragmentação
- 5.2.7 Campo Flags
- 5.2.8 Campo Fragment Offset
- 5.2.9 Análise de uma fragmentação IP
- 5.2.10 Campo Time to Live (TTL)
- 5.2.11 Como funcionam o mtr e o traceroute?
- 5.2.12 Campo Protocol
- 5.2.13 Campo Header Checksum
- 5.2.14 Campo Source Address
- 5.2.15 Campo Destination Address
- 5.2.16 Campo Options
- 5.2.17 Campo Padding
- 5.2.18 Payload
- 5.2.19 Onde está a máscara de rede? E o CIDR?
- 5.3 Características do IPv4
- 5.4 Considerações gerais sobre os protocolos IP
- 5.5 Tráfego do IP em bytes
- 5.6 Observando, aprendendo e acreditando no tcpdump
- 5.7 Conclusão
Capítulo 6 - Protocolo TCP
- 6.1 Protocolo TCP
- 6.2 Campos do TCP
- 6.2.1 Campo Source Port
- 6.2.2 Campo Destination Port
- 6.2.3 Campo Sequence Number
- 6.2.4 Campo Acknowledgment
- 6.2.5 Campo Data Offset
- 6.2.6 Flags TCP
- 6.2.7 Análise de flags em uma conexão
- 6.2.8 Tipos de finalização (fechamento)
- 6.2.9 Ocorrência da flag RESET
- 6.2.10 Bloqueios e retransmissão TCP
- 6.2.11 Segmentos fora de ordem
- 6.2.12 PUSH FIN, PUSH RST
- 6.2.13 Descobrindo pontos de bloqueio com o tcpdump
- 6.2.14 Relação entre as flags ACK e RST
- 6.2.15 Finalmente, o payload...
- 6.2.16 Campo Window (ou Window Size)
- 6.2.17 Janelas deslizantes (Sliding Window)
- 6.2.18 Campo Checksum
- 6.2.19 Campo Urgent Pointer
- 6.2.20 Campo Options
- 6.2.21 Campo Padding
- 6.2.22 Considerações extras sobre o payload TCP
- 6.3 Características do TCP
- 6.4 Conclusão
Capítulo 7 - Protocolo UDP
- 7.1 Protocolo UDP
- 7.2 Campos do UDP
- 7.2.1 Campo Source Port
- 7.2.2 Campo Destination Port
- 7.2.3 Campo Length
- 7.2.4 Campo Checksum
- 7.2.5 Payload
- 7.3 Tráfego UDP
- 7.4 Considerações gerais sobre o TCP e o UDP
- 7.5 Conclusão
Capítulo 8 - Protocolo ICMP
- 8.1 O trabalho do ICMP
- 8.2 Tipos e códigos ICMP
- 8.3 Estrutura do ICMP
- 8.4 Bloqueio de ICMP nas redes
- 8.5 Conclusão
Capítulo 9 - Protocolo IPv6
- 9.1 Tráfego IPv6
- 9.2 Campos do IPv6
- 9.2.1 Campo Version
- 9.2.2 Campo Traffic Class
- 9.2.3 Campo Flow Label
- 9.2.4 Payload Length
- 9.2.5 Next Header
- 9.2.6 Hop Limit
- 9.2.7 Source Address
- 9.2.8 Destination Address
- 9.3 Considerações específicas sobre o IPv6
- 9.3.1 Upper-layer protocol
- 9.3.2 Controle de fragmentação
- 9.3.3 Checksum
- 9.3.4 Cabeçalhos de extensão
- 9.3.5 Detalhes em uma captura IPv6
- 9.3.6 ICMPv6, o ICMP do IPv6
- 9.3.7 ifconfig para IPv6
- 9.4 Conclusão
Capítulo 11 - Protocolos Ethernet, ARP e NDP
- 11.1 Protocolo Ethernet
- 11.1.1 Frame Ethernet
- 11.1.2 Campos do Ethernet tipo II
- 11.1.3 Constituição do endereço MAC
- 11.1.4 Tráfego Ethernet
- 11.1.5 Preâmbulo
- 11.1.6 Pacotes IP não visualizados
- 11.1.7 Jumbo frames
- 11.1.8 Segmento Ethernet
- 11.1.9 Só há MAC no Ethernet?
- 11.2 Protocolo ARP (IPv4)
- 11.2.1 Funcionamento do ARP
- 11.2.2 Visualização da tabela ARP
- 11.2.3 Campos do ARP
- 11.2.4 ARP encapsulado pelo Ethernet
- 11.2.5 Levantamento de rede
- 11.2.6 Levantamento de endereços MAC e IP em equipamentos
- 11.2.7 MAC spoofing
- 11.2.8 Gratuitous ARP request
- 11.2.9 Gratuitous ARP reply
- 11.2.10 Arp spoofing
- 11.2.11 MAC flooding
- 11.2.12 Filtragem pelo endereço MAC e debug DHCP
- 11.3 Protocolo NDP (IPv6)
- 11.3.1 Funcionamento do NDP
- 11.3.2 Neighbor Solicitation
- 11.3.3 Opções source link-layer address e target link-layer address
- 11.3.4 Neighbor Advertisement
- 11.3.5 Tráfego NDP
- 11.3.6 Visualização da tabela NDP
- 11.3.7 Detecção de endereço IPv6 duplicado
- 11.3.8 Outras mensagens NDP
- 11.3.9 Há NDP spoofing?
- 11.4 Conclusão
Redes sociais
- Twitter: Para novidades sobre artigos, livros e palestras, siga-me em eribertomota.