Trabalho redes 2

Prévia do material em texto

O Protocolo TCP
O TCP é um protocolo da camada de transporte confiável em que existe a garantia que os dados são integralmente transmitidos para os hosts de destino corretos na sequência pelo qual foram enviados. O TCP segmenta a informação proveniente da Camada Aplicação em pequenos blocos de informação (datagramas) inserindo-lhes um cabeçalho de forma a que seja possível no hoste de destino fazer a reassemblagem dos dados. Este cabeçalho contém um conjunto de bits (checksum) que permite tanto a validação dos dados como do próprio cabeçalho. A utilização do checksum permite muitas vezes no hoste de destino recuperar informação em caso de erros simples na transmissão (nos casos da rede corromper o pacote). Caso a informação seja impossível de recuperar ou o pacote TCP/IP se tenha perdido durante a transmissão, é tarefa do TCP voltar a transmitir o pacote. Para que o hoste de origem tenha a garantia que o pacote chegou isento de erros é necessário que o hoste de destino o informe através do envio de uma mensagem de "acknowledgement".
O TCP corresponde a um conjunto de rotinas instaladas nos hosts de origem e destino as quais são utilizadas pelas várias aplicações (e-mail, HTTP, FTP, telnet, etc.) quando necessitam de executar o transporte de dados entre hosts.
Para que seja possível identificar a que serviço um determinado datagrama pertence, o TCP utiliza o conceito de portas. A cada porta está associado um serviço. Após determinada a porta, toda a comunicação com a aplicação é realizada e endereçada através dela.
Características do protocolo TCP:
Transferência de dados: transmissão ponto-a-ponto de blocos de dados no modo full-duplex.
Transferência de dados com diferentes prioridades: transmite em primeiro lugar os datagramas que contenham sinalização de prioridade superior.
Estabelecimento e libertação de conexões 
Sequenciação: Ordenação dos pacotes recebidos.
Segmentação e reassemblagem: O TCP divide os dados a serem transmitidos em pequenos blocos de dados, identificando-os de forma a que no host de destino seja possível reagrupá-los.
Controle de fluxo: o TCP é capaz de adaptar a transmissão dos datagramas às condições de transmissões (velocidade, tráfego...) entre os diversos sistemas envolvidos. 
Controle de erros: A utilização de checksum permite verificar se os dados transmitidos estão livres de erros. É possível, para além da detecção a sua correção.
Multiplexagem de IP: Uma vez que é utilizado o conceito de portas, é possível enviar dados de diferentes tipos de serviços (portas diferentes) para o mesmo hoste de destino.
Funcionamento de uma Ligação TCP:
Uma comunicação utilizando o TCP é realizada em três fases: 
Estabelecimento da ligação
Troca de dados
Libertação da ligação
O Estabelecimento da ligação é realizado pelo envio de 3 mensagens de acordo com é descrito pelas figuras:
Um pacote TCP tem a seguinte estrutura:
Significado dos campos:
TCP SOURCE PORT: Porta origem da mensagem
TCP DESTINATION PORT: Porta destino da mensagem
SEQUENCE NUMBER: número de sequência dos dados sendo transmitidos face ao conjunto total de dados já transmitidos. Este número indica a posição do primeiro byte de dados sendo transmitido em relação ao total de bytes já transmitidos nesta conexão. O primeiro número de sequência utilizado não é zero ou um, mas começa de um valor aleatório. O sequence number num sentido da ligação (máquina A para B) é diferente do sequence number do sentido inverso, já que os dados transmitidos por um e outro lado são completamente distintos.
ACKNOWLEDGE NUMBER: número que significa o reconhecimento dos dados recebidos até então no sentido inverso. O ACK contém o número do próximo byte do fluxo de dados recebido, que a origem deste pacote espera receber da outra máquina. Este valor leva em consideração o SEQUENCE NUMBER inicial. O valor de ACK informa sempre o próximo byte ainda não recebido do conjunto contíguo de bytes recebidos do transmissor.
CODE BITS: São formados por seis bits, URG, ACK, PSH, RST, SYN e FIN, cuja sua utilização é a seguinte:
URG "bit de Urgência”: significa que o segmento sendo carregado contém dados urgentes que devem ser lidos com prioridade pela aplicação. A aplicação origem é responsável por ativado este bit e fornecer o valor do URGENT POINTER que indica o fim dos dados urgentes.
ACK "bit de Reconhecimento": indica que o valor do campo de reconhecimento está carregando um reconhecimento válido.
PSH "bit de PUSH": Este mecanismo pode ser ativado pela aplicação, informa ao TCP a origem e destino que a aplicação solicita a transmissão rápida dos dados enviados, mesmo que ela contenha um número baixo de bytes, não preenchendo o tamanho mínimo do buffer de transmissão.
RST "bit de RESET": Informa o destino que a ligação foi abortada neste sentido pela origem
SYN "bit de Sincronismo": É o bit que informa que este é um dos dois primeiros segmentos de estabelecimento da conexão.
FIN "bit de Terminação": Indica que este pacote é um dos pacotes de finalização da ligação.
WINDOW: Este campo informa o tamanho disponível em bytes na janela de recepção da origem deste pacote. Por meio deste valor, o TCP pode realizar um controle adequando de fluxo para evitar a sobrecarga do receptor. Quando este valor é igual à zero, o transmissor não envia dado, esperando receber um pacote com WINDOW maior que zero. O transmissor sempre vai tentar transmitir a quantidade de dados disponíveis na janela de recepção sem aguardar um ACK. Enquanto não for recebido um reconhecimento dos dados transmitidos e o correspondente valor de WINDOW > 0, o transmissor não enviará dados.
OPTIONS: O campo de opções só possui uma única opção válida que é a negociação do MSS (Maximum Segment Size) que o TCP pode transmitir. O MSS é calculado através do MTU ou através do protocolo ICMP Path MTU Discovery.
O Protocolo UDP
O protocolo UDP é um protocolo de camada 4 (de transporte) no modelo OSI, que se caracteriza por ser mais simples que o TCP o outro protocolo da camada 4. Enquanto o TCP se preocupa com a conexão e a chegada correta dos dados no destino, o UDP por ser mais simples não tem a mesma preocupação, portanto, ele não verifica o recebimento dos dados pelo destino (também não possui o serviço de reenvio), não ordena as mensagens, ou seja, elas vão sendo agrupadas conforme vão chegando, não controla o fluxo de informações e não verifica a integridade dos dados para o destino. As possibilidades de o destino não receber os dados são várias como, por exemplo: perder os dados, duplicar os dados ou agrupar de forma errada.
Essa simplicidade do UDP pode parecer, à primeira vista, um pouco estranha e provavelmente.
Um leigo diria: se existe um protocolo como o TCP, que garante a chegada correta dos dados no destino, para que usarmos o UDP? A resposta é fácil, por que se o protocolo é simples, ele também é menor, então devemos ver isto como ganho de velocidade na transmissão e recepção de dados, algo que nos dias atuais se torna cada vez mais importante. É claro que em muitas das vezes o pacote pode não chegar ao destino, mas também devemos avaliar que só valerá a pena enviar pacotes utilizando o UDP quando este for pequeno, neste caso menor que 512KB. Ou seja, não será em uma transferência de arquivos, como em um download usual, que será recomendado a utilização do UDP como “meio de transporte”.
Outra característica importante do UDP e neste ponto, semelhante ao TCP é que ele se baseia em portas para a troca de informações, desta forma, é atribuída uma porta ao destino e uma porta a origem.
Figura 1 – Formato do Datagrama UDP
O formato do UDP divide o pacote em campos como mostrado na figura 1.
Os campos porta de origem e porta de destino especificam que portas que serão utilizadas na
comunicação.
O campo tamanho descreve quantos bytes terá o pacote completo.
O campo checksum é opcional e faz uma soma verificadorapara garantir que os dados estarão
livres de erros.
Protocolos que Utilizam o UDP
Como dito anteriormente, o protocolo UDP é simples se comparado ao TCP, então somente alguns protocolos utilizam o UDP para transporte de dados que são: o TFTP (Trivial File Transfer Protocol), SNMP (Simple Network Management Protocol), DHCP (Dynamic Host Control Protocol), DNS (Domain Name Service).
1.1. TFTP
Este protocolo é semelhante ao FTP, porém sem confirmação de recebimento pelo destino ou
reenvio. É comumente usado por administradores de rede ao se fazer o download do IOS (Internetwork Operational System) de um roteador ou do arquivo de inicialização.
1.2. SNMP
É utilizado para configurar dispositivos como switches ou roteadores e permite que estes enviem o seu status. O problema é que os hackers, utilizam este protocolo para obter informações sobre o sistema, como as tabelas de roteamento. As últimas versões do SNMP podem fazer criptografia md5, porém a maioria ainda usa versões antigas que passa o password em formato de texto.
1.3. DHCP
É utilizado em redes que sofrem constantes alterações na topologia e o administrador não pode verificar o IP (Internet Protocol) de cada máquina devido a enorme quantidade, então o roteador distribui IPs automaticamente para as estações. Como esta atribuição é feita com a utilização do UDP, caso haja algum problema o usuário terá que pedir o reenvio ou reiniciar a máquina. O único problema técnico deste protocolo é que como os IPs são atribuídos aleatoriamente, fica mais difícil para o administrador ter controle sobre o que cada host está fazendo.
1.4. DNS
Um tradutor dos nomes na rede, na qual cada IP pode ser correspondido com um nome. Neste caso, imaginemos que um usuário esteja acessando a internet e deseja ir para outra página. Ele digita o endereço no campo apropriado e entra. Se a página, por acaso, não abrir por não ter reconhecido o endereço, o problema poderá ter sido no envio ou resposta do servidor de nomes utilizando o UDP, e então o usuário tentará de novo acessar a página e provavelmente conseguirá. Agora, imagine que isto fosse feito com o TCP, provavelmente esta falha não ocorreria, porém o tempo gasto para o computador saber qual IP se refere àquele nome seria inimaginável para as necessidades atuais.
Significado dos diferentes campos
Porta Fonte : trata-se do número de porta que corresponde à aplicação emissora do segmento UDP. Este campo representa um endereço de resposta para o destinatário. Assim, este campo é opcional, isto significa que se não se precisar a porta fonte, as 16 bits deste campo serão postas a zero, neste caso o destinatário não poderá responder (isto não é necessariamente necessário, nomeadamente para mensagens unidirecionais). 
Porta Destino : Este campo contém a porta que corresponde à aplicação da máquina destinatário à qual nos dirigimos. 
Comprimento : Este campo precisa o comprimento total do segmento, incluindo o cabeçalho, ora o cabeçalho tem um comprimento de 4 x 16 bits (são 8 x 8 bits), então o campo comprimento é necessariamente superior ou igual a 8 bytes. 
Soma de controlo : Trata-se de uma soma de controlo realizada de maneira a poder controlar a integridade do segmento.
Protocolo IP
O papel do protocolo IP
O protocolo IP faz parte da camada Internet da sequência de protocolos TCP/IP. É um dos protocolos mais importantes da Internet, porque permite a elaboração e o transporte dos datagramas IP (os pacotes de dados), sem contudo assegurar a “entrega”. Na realidade, o protocolo IP trata os datagramas IP independentemente uns dos outro, definindo a sua representação, o seu encaminhamento e a sua expedição. 
O protocolo IP determina o destinatário da mensagem graças a 3 campos:
O campo dirige IP : endereço da máquina
O campo máscara de subrede: uma máscara de subrede permite ao protocolo IP determinar a parte do endereço IP que se refere à rede
O campo ponte estreita por defeito: Permite ao protocolo Internet saber a que máquina entregar o datagrama, se por acaso a máquina de destino não está na rede local
Os datagramas
Os dados circulam na Internet sob a forma de datagramas (fala-se também de pacotes). Os datagramas são dados encapsulados, isto é, são dados aos quais se acrescentaram cabeçalhos que correspondem a informações sobre o seu transporte (como o endereço IP de destino). 
Os dados contidos nos datagramas são analisados (e eventualmente alterados) pelos switches que permitem o seu trânsito. 
Eis o aspecto de um datagrama: 
	
<--
	32 bits
	-->
	
Versão 
 (4 bits)
	
Comprimento de cabeçalho
 (4 bits)
	
Tipo de serviço 
 (8 bits)
	
Comprimento total 
 (16 bits)
	
Identificação 
 (16 bits)
	
Bandeira 
 (3 bits)
	
Desfasamento fragmento 
 (13 bits)
	
Duração de vida 
 (8 bits)
	
Protocolo 
 (8 bits)
	
Soma de controlo cabeçalho 
 (16 bits)
	
Endereço IP fonte (32 bits) 
	
Endereço IP destino (32 bits) 
	
Dados 
Eis o significado dos diferentes campos:
Versão (4bits): trata-se da versão do protocolo IP que se utiliza (atualmente utiliza-se a versão 4 IPv4) para verificar a validade do datagrama. É codificada em 4 bits.
Comprimento de cabeçalho, ou IHL para Internet Header Length (4 bits): trata-se do número de palavras de 32 bits que constituem o cabeçalho (nota: o valor mínimo é 5). Este campo é codificado em 4 bits.
Tipo de serviço (8 bits): indica a maneira segundo a qual o datagrama deve ser tratado.
Comprimento total (16 bits) : indica a dimensão total do datagrama em bytes. A dimensão deste campo de 2 bytes, a dimensão total da datagrama não pode exceder 65536 bytes. Utilizado conjuntamente com a dimensão do cabeçalho, este campo permite determinar onde estão situados os dados.
Identificação, bandeiras (flags) e deslocação de fragmento são campos que permitem a fragmentação dos datagramas, e que serão explicados abaixo.
Duração de vida chamada também TTL, para Time To Live (8 bits): este campo indica o número máximo de switches através dos quais o datagrama pode passar. Assim este campo é reduzido a cada passagem em switch, quando este atinge o valor crítico de 0, o switch destrói o datagrama. Isto evita o congestionamento da rede pelos datagramas perdidos.
Protocolo (8 bits): este campo, em notação decimal, permite saber de que protocolo procede ao datagrama
ICMP : 1
IGMP : 2
TCP : 6
UDP : 17
Soma de controlo do cabeçalho ou, em inglês, header checksum (16 bits) : este campo contém um valor codificado de 16 bits, que permite controlar a integridade do cabeçalho a fim de determinar se este não foi alterado durante a transmissão. A soma de controlo é o complemento de todas as palavras de 16 bits do cabeçalho (campo soma de controlo excluído). Isto se faz para que, quando se faz a soma dos campos do cabeçalho (soma de controlo incluída), se obtenha um número com todos os bits posicionados a 1.
Endereço IP fonte (32 bits) : Este campo representa o endereço IP da máquina emissora, permite ao destinatário responder
Endereço IP destino (32 bits) : endereço IP do destinatário da mensagem
A fragmentação dos datagramas IP
Como vimos anteriormente, a dimensão máxima de um datagrama é de 65536 bytes. Contudo, este valor nunca é atingido porque as redes não têm uma capacidade suficiente para enviar pacotes assim tão grandes. Além disso, as redes na Internet utilizam diferentes tecnologias, de modo que a dimensão máxima de um datagrama varia de acordo com o tipo de rede. 
A dimensão máxima de uma trama chama-se MTU (Maximum Transfer unit), que provocará a fragmentação do datagrama se este tiver uma dimensão maior do que a MTU da rede. 
	Tipo de rede
	MTU (em bytes)
	Arpanet
	1000
	Ethernet
	1500
	FDDI
	4470
A fragmentação de um datagrama faz-se a nível dos switches, ou seja, durante a transição de uma rede cuja MTU é considerável para uma rede cuja MTU é mais fraca. Se o datagrama for demasiado grande para passar na rede, o switch vai fragmentá-lo, quer dizer, recortá-loem fragmentos de dimensões inferiores ao MTU da rede e de modo a que a dimensão do fragmento seja um múltiplo de 8 bytes. 
O switch vai seguidamente enviar estes fragmentos de maneira independente e reencapsulá-los (acrescentar um cabeçalho a cada fragmento) de maneira a ter em conta a nova dimensão do fragmento. Além disso, o switch acrescenta informações para que a máquina de destino possa remontar os fragmentos na boa correta. Nada nos diz, contudo, que os fragmentos chegarão pela boa ordem, já que são encaminhados independentemente uns dos outro. 
Para ter em conta a fragmentação, cada datagrama possui vários campos que permitem a sua remontagem :
campo deslocação de fragmento (de 13 bits): campo permitindo conhecer a posição do início do fragmento no datagrama inicial. A unidade de medida deste campo é de 8 bytes (o primeiro fragmento que tem um valor de zero).
campo identificação (16 bits) : número atribuído a cada fragmento a fim de permitir a sua remontagem.
campo comprimento total (16 bits): é calculado novamente para cada fragmento.
campo bandeira (3 bits): é composto de três bits :
O primeiro não é utilizado.
O segundo (chamado DF: Don' t Fragment) indica se o datagrama pode ser fragmentado ou não. Se por acaso um datagrama tem este bit posicionado em 1 e o switch não pode encaminhá-lo sem o fragmentar, então o datagrama é rejeitado com uma mensagem de erro
O último (designado MF : More Fragments, em português Mais fragmentos) indica se o datagrama for um fragmento de dado (1). Se o indicador estiver à zero, isso indica que o fragmento é o último (por conseguinte , que o switch deveria estar na posse dos fragmentos precedentes) ou que o datagrama não foi alvo de uma fragmentação.
O encaminhamento IP
O encaminhamento IP faz parte integrante da camada IP da sequência TCP/IP. O encaminhamento consiste em assegurar o encaminhamento de um datagrama IP através de uma rede tomando o caminho mais curto. Este papel é assegurado por máquinas chamadas switches, quer dizer máquinas ligadas (que ligam) pelo menos duas redes.
Wireshark
Wireshark é um analisador de protocolo que permite que você capture e navegue interativamente no tráfego de uma rede de computadores em tempo de execução usando a interface de rede do computador.
Este tipo de software, também chamado de Sniffer (ou farejador, em português), é bastante usado por administradores de rede para detectar problemas ou conexões suspeitas, testar se as senhas usadas na rede estão realmente sendo criptografadas e realizar uma série de outras atividades relacionadas a segurança.
Mesmo sendo uma ferramenta altamente técnica, o Wireshark não é tão complicado de usar. Apenas os conceitos envolvidos no processo são voltados para pessoas com conhecimentos profundos de redes. 
Escolhendo a interface
Passo 1. Instalado o Wireshark em seu computador;
Passo 2. Clique na opção “Interface List” , disponível na janela principal do programa ou no menu “Capture” em “Interfaces…”;
Acessando a lista de interfaces (Foto: Reprodução/Edivaldo Brito)
Passo 3. Dentro da janela de interfaces, marque a interface de rede que deseja utilizar na captura;
Selecionando a interface que será usada para capturar pacotes (Foto: Reprodução/Edivaldo Brito)
Definindo as opções de captura
Passo 4. Ainda na janela de interfaces, clique no botão “Options”;
Passo 5. Na janela de opções, clique na placa que será usada para fazer a captura (caso ela não esteja selecionada) e depois marque a opção “Capture all in promiscuous mode”. Isso fará o programa capturar todos os pacotes da rede atual;
Modificando as opções da interface (Foto: Reprodução/Edivaldo Brito)
Passo 6. Na área “Capture file(s)”, clique no botão “Browse…”;
Passo 7. Na janela que aparece, vá para a pasta onde está o arquivo (no formato TXT) que será usado para guardar a captura (se o arquivo ainda não tiver sido criado, digite um nome no campo “Name”). Para finalizar, clique no botão “OK”;
Selecionado ou criando o arquivo que guardará as capturas da interface (Foto: Reprodução/Edivaldo Brito)
Capturando pacotes
Passo 8. Ainda na janela de opções de captura, clique no botão “Start”. O programa começará a capturar pacotes e exibir no primeiro quadro de sua janela;
Filtrando a captura
Passo 9. Como é possível ver, a quantidade de pacotes é imensa, para simplificar a pesquisa, clique no botão “Expression…”;
Acessando a janela de criação de filtros de pacotes (Foto: Reprodução/Edivaldo Brito)
Passo 10. Procure pelo item “IPv4 – Internet Protocol version 4″ no quadro “Field name” que fica do lado esquerdo da janela de “Filter Expression”. Depois clique no sinal de “+” ao lado do nome ” IPv4 – Internet Protocol version 4″ e selecione a opção “ip.dst”. Clique na opção “==” no campo “Relation”, no centro da tela.  No campo “Value” digite o endereço IP de seu computador. Clique em “OK” para confirmar;
Filtrando para mostrar apenas pacotes destinados ao seu computador (Foto: Reprodução/Edivaldo Brito)
Passo 11. Depois de aplicado o filtro, apenas os pacotes destinados à sua máquina aparecerão na listagem. Mas ainda aparecem muitos pacotes. Vamos restringir isso a apenas solicitações de Ping. Para fazer isso,  digite ” and ” (sem as aspas mas como os espaços) depois da expressão que foi criada depois do nome “Filter” na janela do programa. Agora clique novamente no botão “Expression…”;
Adicionando mais um filtro (Foto: Reprodução/Edivaldo Brito)
Passo 12. Procure pelo item “ICMP – Internet Control Message Protocol” no quadro “Field name”. Depois clique no sinal de “+” ao lado do nome “ICMP – Internet Control Message Protocol” e selecione a opção “icmp.type”. Clique na opção “==” no campo “Relation” e no campo “Value” digite o número 8 (que corresponde a solicitações ping). Clique em “OK” para confirmar. A expressão completa ficará “ip.dst == 192.168.1.5 and icmp.type == 8″ e será exibida no campo “Filter”;
Configurando para mostrar apenas requisições de ping (Foto: Reprodução/Edivaldo Brito)
Passo 13. Agora só aparecerão os pacotes destinados ao seu computador que sejam solicitações do comando ping, com isso você saberá qual ou quais máquinas estão pingando na sua.
Wireshark mostrando apenas solicitações de ping destinadas ao seu computador (Foto: Reprodução/Edivaldo Brito)
Este foi um exemplo básico do uso do Wireshark. Ele pode ir muito além disso se for usado por um administrador experiente e que tenha um bom conhecimento das características de cada protocolo de rede, para poder usar o recurso de filtros adequadamente.