Biblioteca 781260

Prévia do material em texto

1 de 6 
 
 
 
 
 
 
 
 
 
 
 
 
PLANO DE AULA – PA 
 ANÁLISE DE REDES 
DE COMPUTADORES 
CCT0041 
 
 
 
 
Uso da ferramenta WIRESHARK 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
2 de 6 
O Wireshark é uma ferramenta que captura pacotes em tempo real, mostrando informações detalhadas 
das PDUs – Protocol Data Units, salvando os pacotes em arquivos que podem ser armazenados para 
posterior inspeção. Os pacotes podem ser filtrados a partir de determinados critérios, como por exemplo o 
endereço IP de origem/destino, a porta TCP, endereço MAC, percorrendo da camada 2 a camada 7 do 
modelo OSI. O programa tem visual gráfico e iterativo permitindo “colorir” as informações pertinentes aos 
pacotes segundo os critérios determinados pelo usuário e reunir estatísticas dos pacotes coletados. 
 
 
• Instalando o Wireshark em máquinas com sistema operacional Windows: 
 
Vá até a página de “download” do Wireshark: http://www.wireshark.org/download.html 
 
É disponibilizado um arquivo do tipo wiresharkwinxx-1.4.x.exe, que deverá ser automaticamente instalado 
na máquina que possui o sistema operacional Windows. 
 
• Capturando pacotes com o Wireshark 
 
 
Na tela inicial de utilização do Wireshark, selecione a opção “capture” 
 
 
Fig.1 - Tela inicial do WireShark 
 
Indique qual interface de rede será feita a captura dos pacotes: 
 
 
Fig.2 - Escolhendo a interface 
 
 
 
 
 
 
3 de 6 
Escolha uma interface e clique no botão [Start] - se a interface estiver ativa, o rastreamento começa 
imediatamente e a janela principal do WireShark passa a mostrar a sequência de pacotes recebida. 
Como exemplo podemos no dispositivo que está sendo monitorado (um PC) acessando através do web 
browser a página www.google.com.br e obtivemos os pacotes mostrados: 
 
 
Fig.3 - Resultado de uma captura de pacotes 
 
 Para interromper a captura de pacotes clique no quarto botão da barra de ferramentas ou no item de 
menu [Capture / Stop]. Veja que diversos tipos de pacotes foram capturados - esta versão do WireShark 
reconhece 836 tipos de pacotes (protocolos) diferentes. 
 O primeiro deles (pacote 1) foi gerado pelo PC para enviar em broadcast uma mensagem ARP 
(Address Resolution Protocol - Protocolo de Resolução de Endereço). É que o browser está pedindo um 
domínio (no caso, google.com) que está fora da rede local, ou seja, o PC precisa fazer uma conexão com um 
servidor de páginas localizado numa outra rede, saindo pelo “gateway” padrão que é o roteador conectado à 
banda larga da Operadora e desta para a rede internet pública. O roteador gateway da rede tem endereço 
IP é 198.168.1.2. Para poder se comunicar com o roteador, a placa Ethernet do PC precisa do número (MAC) 
da placa Ethernet do roteador. Como a placa de rede do PC não tem esta informação,esta envia um 
“broadcast” solicitando o endereço IP 192.168.1.2? O Roteador que tem o endereço 192.168.1.1 pode ser 
 
 
 
 
 
4 de 6 
ouvido em toda a rede. Apesar de todas ouvirem, apenas a máquina com o endereço perguntado vai 
responder - e vai responder diretamente para o PC. 
0.000194 segundos depois, a resposta chegou no pacote número 2. Se a pergunta saiu em forma de ARP, a 
resposta também vem no mesmo protocolo informando que a máquina solicitada tem o endereço MAC 
00:40:26:a7:67:49. Agora as duas placas Ethernet têm como se comunicar e o PC pode receber o tráfego da 
rede pública. 
 Quando digitamos www.google.com.br o browser recebeu o nome de um domínio (google.com) e 
não tem idéia do endereço IP deste domínio, ou seja,o PC precisa de um serviço de tradução que transforme 
nomes de domínio em endereços IP. Existem máquinas especializadas em fazer estas traduções - são os 
chamados servidores de nomes ou DNS. 
O servidor de nomes no endereço IP 200.195.157.66, por isto envia um pacote DNS (pacote 3) solicitando a 
tradução desejada. O servidor de nomes aciona um outro servidor de nomes, o pt-br.start2.mozilla.com, que 
responde logo em seguida. 
O pacote 4 traz a tradução solicitada: google.com tem o endereço IP 72.14.209.99. , e então, o PC pode fazer 
contato com uma das máquinas servidoras de páginas da Google. É o que ela faz ao enviar o pacote 5. 
 
• Depurando pacotes com o Wireshark 
 
Vamos observar o pacote 5 recebido do site da google : 
 
 
Fig.4 - Os painéis de resultado 
 
O painel superior contém a lista dos pacotes capturados, onde o pacote 5 está destacado. Os outros dois 
painéis contém informações sobre este pacote. 
 
 
 
 
 
5 de 6 
No painel do centro aparecem quatro barras com um botão [+] no lado esquerdo. Clicando neste botão, as 
informações sob este título são mostradas. 
 O protocolo TCP (Transmission Control Protocol - Protocolo de Controle de Transmissão) é acionado 
pelo aplicativo que, no nosso exemplo, é o browser. O browser fornece algumas informações para que o TCP 
possa montar seu pacote. Este primeiro pacote é passado para o protocolo IP (Internet Protocol) - 
responsável pelo roteamento, isto é, precisa definir a origem e o destino do pacote para que ele possa ser 
direcionado corretamente. O IP adiciona as informações que são da sua competência e encapsula o pacote 
recebido junto com o que ele produziu, tendo como resultado a PDU de camada 3, e na sequência o IP 
transfere este pacote para a placa Ethernet que, , faz um novo encapsulamento adicionando seu endereço 
MAC e o MAC do destino – a PDU de camada 2, mais conhecido como frame Ethernet. 
 Observe no painel inferior o Transmission Control Protocol e, onde o pacote é mostrado na sua forma 
hexadecimal, o final do pacote em destaque: esta é a parte criada pelo TCP. Clique no título Internet 
Protocol e observe no painel inferior que o miolo do pacote é destacada. Finalmente, clique no título 
Ethernet II para ver o início do pacote destacado. Se clicarmos no título Frame, a PDU de camada 2 será 
destacada. 
 Continuando com a depuração do pacote seguindo o roteiro comentado acima. A primeira conversa é 
entre o aplicativo e o TCP. O browser "explica" que a porta TCP de origem é a 3172 e que a porta TCP do 
destino deve ser a 80 (reservada para o HTTP). A porta de origem vai servir para direcionar a resposta e a 
porta do destino vai servir de informação para que o TCP da outra ponta saiba o que fazer. Se o botão [+] do 
título Transmission Control Protocol for clicado, vamos obter o seguinte: 
 
 
Fig.5 - O pedaço do pacote criado pelo TCP 
 
 
 
 
 
6 de 6 
Como este pacote vai ser enviado com um pedido de sincronização, a flag SYN precisa estar ligada. Clique na 
linha ".... ..1. = Syn: set" para identificar onde este bit se encontra dentro do pacote. Além das portas e do bit 
SYN, o resto pode esperar um pouco. 
Observando o pacote IP, clique numa outra flag a que não permite fragmentações. 
 
Fig.6 - O pedaço do pacote criado pelo IP 
Como foi dito anteriormente, o IP é o responsável pela rota que o pacote deve tomar, ou seja, precisa 
indicar endereços IP de origem e de destino. Se você clicar em Source e Destination, a porção do pacote que 
contém estas informações será destacada no painel inferior e você verá os endereços na sua forma 
hexadecimal. 
Como o protocolo TCP faz um “handshake” em três etapas, então também é aconselhável dar verificar este 
processo. É enviado um sinal SYN, aí se espera uma resposta SYN-ACK (a máquina contactada envia um 
"ACKnowledgment" - conhecimento). 
 
 
Para maiores informações e exemplos de probelams em redes como ARP poisoning e MAC flooding: 
http://www.guiadohardware.net/tutoriais/wireshark/