Análise de tráfego em redes TCP/IP - 1ª edição

De Eriberto Wiki
Ir para navegação Ir para pesquisar
Twitter.png

by (C) João Eriberto Mota Filho <eriberto (a) eriberto pro br>

Artigo criado em: 24 de fevereiro de 2013.

Última atualização: veja o rodapé desta página.

Tiny URL ou bit.ly: http://bit.ly/tcpip-1ed



Parte I - Conceitos básicos

  • Capítulo 1 • O que é a análise de tráfego? (W E O S F R)
  • Capítulo 2 • Redes de computadores (W E O S F R)
  • Capítulo 3 • Redes TCP/IP (W E O S F R)
  • Capítulo 4 • Comandos para análise e auditoria de redes (W E O S F R)
W - Escrito / E - Revisado por Eriberto / O - Revisado pelo revisor ortográfico /
S - Verificado o sumário / F - Verificadas as figuras / R - Revisão final detalhada ok



Parte II - Protocolos básicos em redes TCP/IP e a sua análise

  • Capítulo 5 • Protocolo IPv4 (W E O S F R)
  • Capítulo 6 • Protocolo TCP (W E O S F R)
  • Capítulo 7 • Protocolo UDP (W E O S F R)
  • Capítulo 8 • Protocolo ICMP (W E O S F R)
  • Capítulo 9 • Protocolo IPv6 (W E O S F R)
  • Capítulo 10 • Payloads que falam (W E O S F R)
W - Escrito / E - Revisado por Eriberto / O - Revisado pelo revisor ortográfico /
S - Verificado o sumário / F - Verificadas as figuras / R - Revisão final detalhada ok



Parte III - Conhecimentos específicos em redes TCP/IP e sua análise

  • Capítulo 11 • Protocolos Ethernet, ARP e NDP (W E O S F R)
  • Capítulo 12 • Modelo OSI (W E O S F R)
  • Capítulo 13 • Roteamento em redes TCP/IP (W E O S F R)
  • Capítulo 14 • Bridges e a sua utilidade na análise de tráfego (W E O S F R)
W - Escrito / E - Revisado por Eriberto / O - Revisado pelo revisor ortográfico /
S - Verificado o sumário / F - Verificadas as figuras / R - Revisão final detalhada ok



Parte IV - Tráfegos diversos e sistemas específicos

  • Capítulo 15 • Tráfego DNS (W E O S F R)
  • Capítulo 16 • Outros tráfegos comuns em redes (W E O S F R)
  • Capítulo 17 • Sistemas de firewall (W E O S F R)


W - Escrito / E - Revisado por Eriberto / O - Revisado pelo revisor ortográfico /
S - Verificado o sumário / F - Verificadas as figuras / R - Revisão final detalhada ok



Parte V - Apêndices

  • Apêndice A • Simulador de redes CORE (W E O S F R)
  • Apêndice B • Elementos básicos de segurança e administração em redes (W E O S F R)
  • Apêndice C • Algumas ferramentas utilizadas neste livro e outras dicas (W E O S F R)
  • Apêndice D • Portas TCP e UDP importantes (W E O S F R)
W - Escrito / E - Revisado por Eriberto / O - Revisado pelo revisor ortográfico /
S - Verificado o sumário / F - Verificadas as figuras / R - Revisão final detalhada ok



Página exemplo

Página de exemplo para avaliação do método. Clique aqui.

Sumário detalhado

Capítulo 1 - O que é a análise de tráfego?

  • 1.1 Conhecimentos sobre redes: um problema histórico
  • 1.2 Análise de tráfego em redes TCP/IP
  • 1.3 Exemplos dos trabalhos a serem realizados neste livro
  • 1.4 Este livro é só para quem usa GNU/Linux?
  • 1.5 Conclusão



Capítulo 2 - Redes de computadores

  • 2.1 Conceito de rede de computadores
  • 2.2 Definições de servidor de rede e de cliente de rede
  • 2.3 É possível uma rede sem servidor?
  • 2.4 Host e hostname
  • 2.5 Famílias de protocolos de rede
    • 2.5.1 Protocolo TCP/IP
    • 2.5.2 Protocolo NetBIOS
    • 2.5.3 Protocolo IPX/SPX
    • 2.5.4 Outros protocolos
  • 2.6 Modalidades básicas de transmissão de dados
    • 2.6.1 Classificação quanto ao tipo de fluxo
    • 2.6.2 Classificação quanto à difusão
  • 2.7 Algumas classificações de redes
    • 2.7.1 Classificação quanto à abrangência geográfica
    • 2.7.2 Classificação quanto à forma de interligação
  • 2.8 Convenções quanto à velocidade do tráfego
  • 2.9 RFCs
  • 2.10 IANA
  • 2.11 IEEE
  • 2.12 IETF
  • 2.13 Conclusão



Capítulo 3 - Redes TCP/IP

  • 3.1 IPv4 e IPv6
    • 3.1.1 Considerações específicas sobre o IPv4
    • 3.1.2 Considerações específicas sobre o IPv6
  • 3.2 Noções básicas sobre o IPv4
    • 3.2.1 Endereço IP
    • 3.2.2 Máscara de rede
    • 3.2.3 Importância da máscara de rede
    • 3.2.4 Definição da máscara de rede
    • 3.2.5 Comunicação entre redes diferentes
    • 3.2.6 Segmento de rede
    • 3.2.7 Máscaras de rede fragmentadas
    • 3.2.8 Máscaras de rede possíveis
    • 3.2.9 Por que fragmentar a máscara?
    • 3.2.10 CIDR
    • 3.2.11 Máscara não trafega na rede!!!
    • 3.2.12 Classes de endereços IP
    • 3.2.13 Classes das máscaras de rede
  • 3.3 Endereços IPv4 especiais
    • 3.3.1 Endereços de rede e de broadcast
    • 3.3.2 Esta rede e esta máquina
    • 3.3.3 Rede loopback
    • 3.3.4 Bloco de link local
    • 3.3.5 Classe D (multicast)
    • 3.3.6 Classe E (reservados para uso futuro)
    • 3.3.7 Inválidos ou privados
    • 3.3.8 Outras redes e endereços especiais
  • 3.4 Noções básicas sobre o IPv6
    • 3.4.1 Endereço IP e a simplificação dos zeros
    • 3.4.2 CIDR e prefixo em IPv6
    • 3.4.3 Unicast, multicast e anycast
  • 3.5 Endereços IPv6 especiais
  • 3.6 Distribuição de endereços IP válidos
  • 3.7 Portas
  • 3.8 Socket
    • 3.8.1 Socket IPv4
    • 3.8.2 Socket IPv6
  • 3.9 DNS e DHCP
    • 3.9.1 DNS
    • 3.9.2 DHCP
  • 3.10 NAT e PAT
    • 3.10.1 NAT
    • 3.10.2 PAT
  • 3.11 Conclusão



Capítulo 4 - Comandos para análise e auditoria de redes

  • 4.1 Comandos para auditoria local
    • 4.1.1 ifconfig
    • 4.1.2 mii-tool
    • 4.1.3 ethtool
    • 4.1.4 route
    • 4.1.5 netstat
  • 4.2 Comandos para o levantamento de dados
    • 4.2.1 ping
    • 4.2.2 traceroute
    • 4.2.3 mtr
    • 4.2.4 whois
    • 4.2.5 geoiplookup
    • 4.2.6 dig
  • 4.3 Comandos para a análise de tráfego
    • 4.3.1 tcpdump
    • 4.3.2 WinDump
    • 4.3.3 Wireshark
    • 4.3.4 Tshark
  • 4.4 Calculadoras IP
    • 4.4.1 ipcalc
    • 4.4.2 sipcalc
  • 4.5 Outras ferramentas baseadas na libpcap ou úteis em redes
  • 4.6 Conclusão



Capítulo 5 - Protocolo IPv4

  • 5.1 Composição de um protocolo de rede
  • 5.2 Protocolo IP versão 4 (IPv4)
    • 5.2.1 Campo Version
    • 5.2.2 Campo IHL (Internet Header Length)
    • 5.2.3 Campo Type of Service (ToS) ou Differentiated Services Field
    • 5.2.4 Campo Total Length
    • 5.2.5 Campo Identification
    • 5.2.6 Entendendo a fragmentação
    • 5.2.7 Campo Flags
    • 5.2.8 Campo Fragment Offset
    • 5.2.9 Análise de uma fragmentação IP
    • 5.2.10 Campo Time to Live (TTL)
    • 5.2.11 Como funcionam o mtr e o traceroute?
    • 5.2.12 Campo Protocol
    • 5.2.13 Campo Header Checksum
    • 5.2.14 Campo Source Address
    • 5.2.15 Campo Destination Address
    • 5.2.16 Campo Options
    • 5.2.17 Campo Padding
    • 5.2.18 Payload
    • 5.2.19 Onde está a máscara de rede? E o CIDR?
  • 5.3 Características do IPv4
  • 5.4 Considerações gerais sobre os protocolos IP
  • 5.5 Tráfego do IP em bytes
  • 5.6 Observando, aprendendo e acreditando no tcpdump
  • 5.7 Conclusão



Capítulo 6 - Protocolo TCP

  • 6.1 Protocolo TCP
  • 6.2 Campos do TCP
    • 6.2.1 Campo Source Port
    • 6.2.2 Campo Destination Port
    • 6.2.3 Campo Sequence Number
    • 6.2.4 Campo Acknowledgment
    • 6.2.5 Campo Data Offset
    • 6.2.6 Flags TCP
    • 6.2.7 Análise de flags em uma conexão
    • 6.2.8 Tipos de finalização (fechamento)
    • 6.2.9 Ocorrência da flag RESET
    • 6.2.10 Bloqueios e retransmissão TCP
    • 6.2.11 Segmentos fora de ordem
    • 6.2.12 PUSH FIN, PUSH RST
    • 6.2.13 Descobrindo pontos de bloqueio com o tcpdump
    • 6.2.14 Relação entre as flags ACK e RST
    • 6.2.15 Finalmente, o payload...
    • 6.2.16 Campo Window (ou Window Size)
    • 6.2.17 Janelas deslizantes (Sliding Window)
    • 6.2.18 Campo Checksum
    • 6.2.19 Campo Urgent Pointer
    • 6.2.20 Campo Options
    • 6.2.21 Campo Padding
    • 6.2.22 Considerações extras sobre o payload TCP
  • 6.3 Características do TCP
  • 6.4 Conclusão



Capítulo 7 - Protocolo UDP

  • 7.1 Protocolo UDP
  • 7.2 Campos do UDP
    • 7.2.1 Campo Source Port
    • 7.2.2 Campo Destination Port
    • 7.2.3 Campo Length
    • 7.2.4 Campo Checksum
    • 7.2.5 Payload
  • 7.3 Tráfego UDP
  • 7.4 Considerações gerais sobre o TCP e o UDP
  • 7.5 Conclusão



Capítulo 8 - Protocolo ICMP

  • 8.1 O trabalho do ICMP
  • 8.2 Tipos e códigos ICMP
  • 8.3 Estrutura do ICMP
  • 8.4 Bloqueio de ICMP nas redes
  • 8.5 Conclusão



Capítulo 9 - Protocolo IPv6

  • 9.1 Tráfego IPv6
  • 9.2 Campos do IPv6
    • 9.2.1 Campo Version
    • 9.2.2 Campo Traffic Class
    • 9.2.3 Campo Flow Label
    • 9.2.4 Payload Length
    • 9.2.5 Next Header
    • 9.2.6 Hop Limit
    • 9.2.7 Source Address
    • 9.2.8 Destination Address
  • 9.3 Considerações específicas sobre o IPv6
    • 9.3.1 Upper-layer protocol
    • 9.3.2 Controle de fragmentação
    • 9.3.3 Checksum
    • 9.3.4 Cabeçalhos de extensão
    • 9.3.5 Detalhes em uma captura IPv6
    • 9.3.6 ICMPv6, o ICMP do IPv6
    • 9.3.7 ifconfig para IPv6
  • 9.4 Conclusão



Capítulo 10 - Payloads que falam

  • 10.1 Servidores falantes, clientes calados
  • 10.2 Quando devo analisar o payload?
  • 10.3 Conclusão



Capítulo 11 - Protocolos Ethernet, ARP e NDP

  • 11.1 Protocolo Ethernet
    • 11.1.1 Frame Ethernet
    • 11.1.2 Campos do Ethernet tipo II
    • 11.1.3 Constituição do endereço MAC
    • 11.1.4 Tráfego Ethernet
    • 11.1.5 Preâmbulo
    • 11.1.6 Pacotes IP não visualizados
    • 11.1.7 Jumbo frames
    • 11.1.8 Segmento Ethernet
    • 11.1.9 Só há MAC no Ethernet?
  • 11.2 Protocolo ARP (IPv4)
    • 11.2.1 Funcionamento do ARP
    • 11.2.2 Visualização da tabela ARP
    • 11.2.3 Campos do ARP
    • 11.2.4 ARP encapsulado pelo Ethernet
    • 11.2.5 Levantamento de rede
    • 11.2.6 Levantamento de endereços MAC e IP em equipamentos
    • 11.2.7 MAC spoofing
    • 11.2.8 Gratuitous ARP request
    • 11.2.9 Gratuitous ARP reply
    • 11.2.10 ARP spoofing
    • 11.2.11 MAC flooding
    • 11.2.12 Filtragem pelo endereço MAC e debug DHCP
  • 11.3 Protocolo NDP (IPv6)
    • 11.3.1 Funcionamento do NDP
    • 11.3.2 Neighbor Solicitation
    • 11.3.3 Opções source link-layer address e targe
    • 11.3.4 Neighbor Advertisement
    • 11.3.5 Tráfego NDP
    • 11.3.6 Visualização da tabela NDP
    • 11.3.7 Detecção de endereço IPv6 duplicado
    • 11.3.8 Outras mensagens NDP
    • 11.3.9 Há NDP spoofing?
  • 11.4 Placas de rede com MACs clonados
  • 11.5 Conclusão



Capítulo 12 - Modelo OSI

  • 12.1 Finalidade do Modelo OSI
  • 12.2 Modelo OSI na prática
  • 12.3 As sete camadas do OSI
    • 12.3.1 Camada 1 - Física
    • 12.3.2 Camada 2 - Enlace
    • 12.3.3 Camada 3 - Rede
    • 12.3.4 Camada 4 - Transporte
    • 12.3.5 Camada 5 - Sessão
    • 12.3.6 Camada 6 - Apresentação
    • 12.3.7 Camada 7 - Aplicação
  • 12.4 Entendendo um pouco mais sobre o Modelo OSI
    • 12.4.1 Porção inferior ou de rede
    • 12.4.2 Porção superior ou de hosts
  • 12.5 MTU e MSS
  • 12.6 UDP e MTU
  • 12.7 Aplicações comandam o TCP e o UDP
  • 12.8 Path MTU Discovery
    • 12.8.1 PMTUD no IPv4
    • 12.8.2 PMTUD no IPv6
  • 12.9 Modelo TCP/IP
  • 12.10 Conclusão



Capítulo 13 - Roteamento em redes TCP/IP

  • 13.1 Limites de uma rede
  • 13.2 Comunicação com máquinas em outros segmentos
  • 13.3 Conceitos básicos em roteamento
    • 13.3.1 Segmento de rede
    • 13.3.2 Gateway
    • 13.3.3 Lei da proximidade
    • 13.3.4 Default gateway e lei do menor esforço
    • 13.3.5 Dispositivo roteador local
  • 13.4 Mecanismo de roteamento
  • 13.5 Consequências da falta de rotas em uma máquina
  • 13.6 Proxy ARP
  • 13.7 Roteamento estático e roteamento dinâmico
    • 13.7.1 Modalidade distance vector
    • 13.7.2 Modalidade link state
    • 13.7.3 Modalidade complementar
    • 13.7.4 Comparação entre modalidades de roteamento
  • 13.8 Roteamento no IPv6
  • 13.9 Conclusão



Capítulo 14 - Bridges e a sua utilidade na análise de tráfego

  • 14.1 Utilização da bridge
  • 14.2 Bridges na análise de tráfego
  • 14.3 Um notebook, duas placas de rede
  • 14.4 Habilitação da bridge em GNU/Linux
    • 14.4.1 Considerações iniciais
    • 14.4.2 Método volátil
    • 14.4.3 Método permanente
  • 14.5 Gravação de tráfego
  • 14.6 Curiosidade
  • 14.7 Conclusão



Capítulo 15 - Tráfego DNS

  • 15.1 Sistema DNS
  • 15.2 Exemplo de configuração de DNS
    • 15.2.1 Resolução direta
    • 15.2.2 Resolução reversa
  • 15.3 Consulta DNS
  • 15.4 Outros registros DNS
  • 15.5 Análise de tráfego em DNS
    • 15.5.1 Resolução com sucesso
    • 15.5.2 Insucesso na resolução
    • 15.5.3 Transferência de zona
  • 15.6 Caso real
  • 15.7 Conclusão



Capítulo 16 - Outros tráfegos comuns em redes

  • 16.1 Tráfego VLAN
  • 16.2 Tráfego STP
  • 16.3 Tráfego IGMP
  • 16.4 Tráfego de redes Microsoft
    • 16.4.1 Browseamento
    • 16.4.2 Protocolos SMB/CIFS e NBT
    • 16.4.3 Portas 137, 138, 139 e 445
    • 16.4.4 Sufixos NetBIOS
  • 16.5 Tráfego mDNS
  • 16.6 Tráfego DHCP
  • 16.7 Tráfego UPnP
  • 16.8 Tráfego SNMP
  • 16.9 Outros tráfegos
  • 16.10 Conclusão



Capítulo 17 - Sistemas de firewall

  • 17.1 Conceitos básicos em sistemas de firewall
    • 17.1.1 Hosts in-line ou em nível de circuito
    • 17.1.2 DMZ
    • 17.1.3 Desagrupamento de serviços em máquinas
  • 17.2 Sistemas de firewall
  • 17.3 Defesa em profundidade
  • 17.4 Elementos de firewall
    • 17.4.1. Filtros de pacotes
    • 17.4.2 Filtros de estados
    • 17.4.3 Filtros de enlace
    • 17.4.4 Proxies
    • 17.4.5 IDS
    • 17.4.6 IPS
    • 17.4.7 Detectores de varredura de portas
    • 17.4.8 Antivírus de rede
    • 17.4.9 Verificadores de integridade de arquivos e diretórios
    • 17.4.10 Outros elementos
  • 17.5 Exemplo de topologia de sistemas firewall
  • 17.6 Influência da criptografia em sistemas de firewall
  • 17.7 SSL inspection
  • 17.8 Honeypots e honeynets
  • 17.9 Conclusão



Apêndice A - Simulador de redes CORE

  • A.1 O que vem a ser o CORE?
  • A.2 Instalação do CORE
    • A.2.1 Instalação no Ubuntu e no Debian
    • A.2.2 Instalação via VirtualBox
  • A.3 Execução do CORE



Apêndice B - Elementos básicos de segurança e administração em redes

  • B.1 Objetivo deste apêndice
  • B.2 Mensageiros
    • B.2.1 sendmail
    • B.2.2 sendxmpp
  • B.3 Elementos de firewall
    • B.3.1 fail2ban
    • B.3.2 fail2ban combinado com sendxmpp
    • B.3.3 samhain
    • B.3.4 iwatch
    • B.3.5 Portsentry



Apêndice C - Algumas ferramentas utilizadas neste livro e outras dicas

  • C.1 telnet
    • C.1.1 Instalação
    • C.1.2 Utilização
    • C.1.3 Exemplo da vida prática
  • C.2 netcat
    • C.2.1 Instalação
    • C.2.2 Utilização como cliente
    • C.2.3 Utilização como servidor
  • C.3 packit
  • C.4 iperf
    • C.4.1 Instalação
    • C.4.2 Utilização
  • C.5 Arquivo teste
  • C.6 dstat
  • C.7 iptraf



Apêndice D - Portas TCP e UDP importantes