ANÁLISE DE TRÁFEGO EM REDES TCP/IP NA DETECÇÃO DE INTRUSÃO

Prévia do material em texto

FATEC SÃO JOSE DOS CAMPOS 
 
 
 
 
 
 
FLAVIO LUCIO ARAYA MOREIRA 
 
 
 
 
 
ANÁLISE DE TRÁFEGO EM REDES TCP/IP NA DETECÇÃO DE INTRUSÃO 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
SÃO JOSÉ DOS CAMPOS 
2009
 
 
I 
FLAVIO LUCIO ARAYA MOREIRA 
 
 
 
 
 
 
 
 
 
 
 
 
ANÁLISE DE TRÁFEGO EM REDES TCP/IP NA DETECÇÃO DE INTRUSÃO 
 
 
 
 
 
 
Orientador: Esp. Renan França Gomes Nogueira 
 
 
 
 
 
 
 
 
 
 
SÃO JOSÉ DOS CAMPOS 
2009 
Trabalho de graduação apresentado à FATEC 
de São José dos Campos, como parte dos 
requisitos necessários para a obtenção do título 
de Tecnólogo. 
 
 
II 
FLAVIO LUCIO ARAYA MOREIRA 
 
 
 
 
 
 
 
 
 
ANÁLISE DE TRÁFEGO EM REDES TCP/IP NA DETECÇÃO DE INTRUSÃO 
 
 
 
 
 
_______________________________________________ 
Dr. José Carlos Lombardi 
 
 _______________________________________________ 
Me. Carlos Henrique Lourenço Feichas 
 
_______________________________________________ 
Esp. Renan França Gomes Nogueira 
 
 
 
___/___/___ 
DATA DE APROVAÇÃO 
 
 
Trabalho de graduação apresentado à FATEC 
de São José dos Campos, como parte dos 
requisitos necessários para a obtenção do título 
de Tecnólogo. 
 
 
III 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
A minha família, aos meus colegas e 
meus animais de estimação. 
 
 
IV 
Agradecimentos 
 
 
Agradeço ao professor e orientador Renan França Gomes Nogueira pelo apoio no 
desenvolvimento deste trabalho e ao demais professores pelo conhecimento compartilhado. 
 
Aos colegas da faculdade pela ajuda mútua ao longo desses anos na faculdade. 
 
A família pela força e incentivo em todos esses anos. 
 
E a Deus que me guiou durante estes anos de luta e dedicação. 
 
 
 
 
 
 
 
 
 
 
 
 
 
V 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
“Não existe um caminho para a felicidade. 
A felicidade é o caminho” 
Mahatma Gandhi 
 
 
VI 
RESUMO 
 
 
Conforme os meios de comunicações avançam, facilitando assim a vida do homem, surgem 
problemas com relação a sua má utilização ou simplesmente por falta de conhecimento destes 
sistemas. Visando prevenir e corrigir esses problemas é necessária a conscientização dos usuários 
e a utilização de ferramentas que protejam os sistemas informatizados assim como a informação 
propriamente dita. Essas ferramentas são conhecidas como firewalls, antivírus e IDS (Intrusion 
detection system). IDS ou sistemas de detecção de intrusão são projetados para detectar ataques a 
uma rede ou computador, comunicando o administrador da rede através de alertas a fim de evitar 
maiores prejuízos para a empresa ou para o utilizador do sistema. A cada dia que passa a 
quantidade de ataques se intensificam tornado assim, um IDS, uma ferramenta indispensável em 
uma rede. Para este trabalho optou-se pela ferramenta freeware Snort. Esta ferramenta foi 
submetida a uma seqüência de ataques, rodando em um ambiente virtual, projetado para este fim. 
Ao final dos testes, foram verificados os resultados obtidos, a fim de constatar a eficiência da 
ferramenta, demonstrando que através da análise de tráfego em redes TCP/IP é possível detectar 
comportamentos anômalos, tentativas de intrusão e ataques. 
 
 
 
 
 
 
VII 
ABSTRACT 
 
 
As mass media advances, making man's life easier, problems arrive concerning the miss 
utilization or simply the lack of knowledge about such systems. Aiming to prevent and correct 
those problems the critical consciousness of the users is needed, as well as the use of tools that 
protect the information systems and the information itself. Such tools are known as firewalls, 
antivirus, and IDS. IDS or intrusion detection systems are built to detect attacks towards a 
network or computer, alerting the network administrator through alarms in order to avoid bigger 
damages to the company or user. The quantity of attacks is intensified as time passes, making an 
IDS an indispensable tool on a network. For this work the freeware most worldwide used tool, 
Snort, was chosen. This tool was submitted to several attacks while operating on a virtual 
environment designed for the tests. At the end of the tests the obtained results were presented in 
order to give proof of the tool's efficiency, it was shown that with TCP/IP networks 
traffic analysis it is possible to detect abnormal behaviors, attempts to invade and attacks. 
 
 
VIII 
LISTA DE FIGURAS 
 
1.1 Novas assinaturas de códigos maliciosos.............................................................12 
2.1 Os 4 níveis conceituais da tecnologia TCP/IP e os objetos que trafegam 
entre níveis ............................................................................................................15 
2.2 Vários protocolos nas diferentes camadas da tecnologia TCP/IP ...................17 
2.3 Datagrama IP, mostrando os campos no cabeçalho IP ....................................19 
2.4 Formato da mensagem ICMP .............................................................................20 
2.5 Tipos e códigos de um Pacote ICMP ..................................................................21 
2.6 Formato da mensagem UDP ...............................................................................23 
2.7 Formato da mensagem TCP ................................................................................24 
2.8 Estabelecimento de uma conexão TCP ..............................................................25 
2.9 Encerramento de uma conexão TCP ..................................................................26 
3.1 Sistema de Detecção por Abuso ..........................................................................35 
3.2 Sistemas de Detecção de intrusão baseados em rede ........................................36 
3.3 Sistema de Detecção baseado em Hosts ..............................................................38 
3.4 Sistema de Detecção de Intrusão Distribuído ....................................................39 
3.5 Arquitetura do Snort ...........................................................................................41 
3.6 Esquema de funcionamento de um farejador de pacotes .................................41 
3.7 Pré-Processador do Snort ....................................................................................42 
3.8 Mecanismo de Detecção .......................................................................................43 
3.9 Cabeçalho de uma regra do Snort.......................................................................45 
4.1 Arquitetura cliente-servidor com servidor Windows .......................................51 
4.2 Inteface gráfica do NMAP – Zenmap.................................................................52 
4.3 Hydra e suas opções de uso..................................................................................53 
4.4 Interface gráfica do Mestasploit Framework.....................................................54 
4.5 Software Valhala Honeypot.................................................................................55 
4.6 Hping e suas opções de uso...................................................................................55 
4.7 Resultados obtidos com o Snort sendo demonstrados no Base.........................58 
 
 
IX 
LISTA DE TABELAS 
 
2.1 Exemplos de protocolos no nível de aplicação e suas respectivas portas.........28 
3.1 Opção de FlagsTCP no Snort..............................................................................47 
4.1 Resultados Obtidos...............................................................................................57 
4.2 Resultado da análise de geração de falsos positivos...........................................59
 
 
X 
LISTA DE SIGLAS E ABREVIATURAS 
 
ARP: Address Resolution Protocol 
CPU: Central Processor Unit 
DIDS: Distributed Intrusion Detection System 
DNS: Domain Name System 
FTP: File Transfer Protocol 
HIDS: Host Intrusion Detection System 
HTTP: Hyper Text Transfer Protocol 
IANA: Internet Assigned Numbers Authority 
ICMP: Internet Control Message Protocol 
IDS: Intrusion Detection System 
IMAP: Internet Message Access Protocol 
I/O: Input/Output 
IP: Internet Protocol 
MAC: Media Access Control 
NIC: Network Interface Card 
NIDS: Network Intrusion Detection System 
NFS: Network File System 
NTP: Network Time Protocol 
POP: Post Office Protocol 
RARP: Reverse Address Resolution Protocol 
RFC: Request for Comment 
RPC: Remote Procedure Call 
SMTP: Simple Mail Transfer Protocol 
SNMP: Simple Network Management Protocol 
SSH: Secure Shell 
TCP: Transmission Control Protocol 
UDP: User Datagram Protocol 
 
 
XI 
SUMÁRIO 
 
1 INTRODUÇÃO.....................................................................................................13 
1.1 Motivação...............................................................................................................13 
1.2 Objetivos................................................................................................................14 
1.2.1 Objetivo Geral.......................................................................................................14 
1.2.2 Objetivos Específicos............................................................................................14 
1.3 Metodologia...........................................................................................................14 
1.4 Organização do Trabalho.....................................................................................15 
2 TCP/IP....................................................................................................................16 
2.1 Camadas do Modelo TCP/IP...............................................................................16 
2.2 Protocolos de resolução de endereço ARP e RARP...........................................18 
2.3 Protocolo IP...........................................................................................................19 
2.4 Protocolo ICMP.....................................................................................................21 
2.5 Protocolo UDP.......................................................................................................23 
2.6 Protocolo TCP.......................................................................................................24 
2.6.1 Estabelecimento de uma conexão TCP...............................................................25 
2.6.2 Encerramento de uma conexão TCP...................................................................26 
2.7 Protocolos de Aplicação........................................................................................27 
2.8 Considerações Finais.............................................................................................30 
3 SEGURANÇA EM REDES E IDS......................................................................31 
3.1 Confidencialidade, Integridade e Disponibilidade.............................................31 
3.2 Ameaças.................................................................................................................32 
3.3 Objetivos da segurança.........................................................................................32 
3.4 IDS..........................................................................................................................33 
3.4.1 Detecção de intrusão por anomalia.....................................................................34 
3.4.1.1 Abordagem estatística...........................................................................................34 
3.4.1.2 Abordagem por prognósticos de padrões...........................................................35 
3.4.2 Detecção de intrusão por abuso...........................................................................35 
3.4.3 Classificação de Sistemas de Detecção de Intrusão por Funcionalidade........36 
3.4.3.1 Sistemas de Detecção baseados em rede.............................................................36 
 
 
XII 
3.4.3.2 Sistemas de Detecção baseados em Host.............................................................38 
3.4.3.3 Sistemas de Detecção Distribuídos......................................................................39 
3.4.4 Snort.......................................................................................................................41 
3.4.4.1 Farejador...............................................................................................................42 
3.4.4.2 Pré-Processador...................................................................................................43 
3.4.4.3 Mecanismo de detecção........................................................................................44 
3.4.4.4 Componente de Alerta\Registro..........................................................................45 
3.4.4.5 Regras no Snort.....................................................................................................45 
3.4.4.6 Ação da Regra.......................................................................................................46 
3.4.4.7 Protocolos...............................................................................................................47 
3.4.4.8 Opções de Regras..................................................................................................47 
3.5 Honeypots..............................................................................................................49 
3.5.1 Honeypots de baixa Interatividade......................................................................49 
3.5.2 Honeyposts de alta Interatividade.......................................................................50 
3.6 Considerações Finais.............................................................................................50 
4 ANÁLISE DE TRÁFEGO EM REDES TCP\IP................................................51 
4.1 Arquitetura de teste..............................................................................................51 
4.2 O ambiente de teste...............................................................................................52 
4.3 Casos de Teste........................................................................................................57 
4.4 Tipos de Ataques utilizados..................................................................................57 
4.5 Resultados obtidos.................................................................................................58 
4.6 Considerações Finais.............................................................................................60 
5 CONCLUSÃO.......................................................................................................62 
5.1 Experiências Obtidas............................................................................................62 
5.2 Trabalhos Futuros.................................................................................................63 
REFERÊNCIAS............................................................................................................................6413 
 
1 INTRODUÇÃO 
 
 
1.1. Motivação 
 
 
As redes de computadores representaram um grande avanço nos meios de comunicação, 
permitindo a troca de informações em frações de segundos seja em qualquer lugar do globo 
terrestre. Contudo surgem problemas com relação à segurança da informação que trafega pela 
rede e dos serviços disponíveis na rede. 
 
O Relatório Symantec de Ameaças à Segurança na Internet analisa e discute as atividades das 
ameaças ocorridas durante um período de um ano. Ele inclui atividades de ameaças na Internet, 
vulnerabilidades, códigos maliciosos, phishing, spams, riscos à segurança e futuras tendências. 
A figura 1.1 representa o relatório de ameaças de segurança da Internet da Symantec (publicado 
em 2008) e mostra o número de novas ameaças que surgiram desde 2002. 
 
 
Figura 1.1 – Novas assinaturas de códigos maliciosos 
Fonte: Symantec Corporation 
 
 
 
14 
 
 
1.2 Objetivos 
 
 
Nas sessões a seguir são apresentados os objetivos deste Trabalho. 
 
 
1.2.1. Objetivo Geral 
 
 
O objetivo desse trabalho é demonstrar que através da analise de tráfego em redes tcp/ip é 
possível detectar comportamentos anômalos, tentativas de intrusão e o ataque propriamente dito. 
 
 
1.2.2. Objetivos Específicos 
 
 
• Selecionar ferramentas, sendo estas freeware ou opensource, e utilizar as mais adequadas 
para simular ataques e a respectiva detecção de intrusão; 
• Com base nas ferramentas escolhidas, simular ataques em um ambiente de teste; 
• Após a simulação de ataques, analisar os dados obtidos com IDS e verificar a eficácia do 
sistema. 
 
 
1.3 Metodologia 
 
 
A metodologia utilizada nesta monografia foi baseada em livros de redes de computadores de 
renome, de segurança em redes assim como no acesso a sites reconhecidos mundialmente na área 
de segurança. Muitas destas referências foram recomendadas por profissionais da área de 
 
 
15 
segurança. As ferramentas utilizadas na execução prática dos testes foram baseadas nessas 
referências bibliográficas assim como indicadas por profissionais na área de redes e segurança. 
Para tanto, serão utilizados sistemas de detecção de Intrusão que automatizam o processo de 
análise de tráfego. 
 
 
 
1.4 Organização do Trabalho 
 
 
Este Trabalho está organizado como segue: 
 
a) O Capítulo 2 apresenta uma visão sobre TCP/IP e mais especificamente os 
protocolos que serão utilizados na realização dos ataques. 
b) No Capítulo 3 será feita uma apresentação sobre conceitos básicos de segurança 
em redes, Honeypots e também sistemas de detecção de intrusão, demonstrando 
os tipos de IDS e como é o funcionamento de cada um. 
c) O Capítulo 4 mostra a arquitetura de rede e a implementação do que virá a ser o 
ambiente de teste onde serão realizados os ataques e as ferramentas utilizadas, 
serão apresentados também os resultados obtidos, mediante a realização dos 
ataques, com IDS e breves comentários sobre seu comportamento. 
d) No Capítulo 5 apresenta a conclusão do trabalho, sendo composta das 
considerações finais, experiências obtidas e dos trabalhos futuros. 
 
 
16 
2 TCP/IP 
 
 
Este capítulo mostra uma revisão teórica sobre a tecnologia TCP/IP, assunto fundamental para o 
entendimento do funcionamento de sistemas de detecção de intrusão, assim como os ataques 
utilizados neste trabalho. É também apresentada a pilha de protocolos TCP/IP, com uma breve 
descrição sobre as camadas que a compõe assim como seus respectivos protocolos. Serão 
apresentados também alguns protocolos da camada de aplicação que merecem atenção quanto à 
segurança deles em redes de computadores. 
 
 
2.1 Camadas do Modelo TCP/IP 
 
 
Optou-se pela abordagem down-top, por ser a maneira evolutiva dos meios de telecomunicações, 
sendo assim, apresenta de uma maneira simples para complexa conforme vão subindo as camadas 
do modelo TCP/IP. 
 
Segundo (COMER, 2000), o modelo TCP/IP está dividido em quatro camadas construídas em 
cima de uma quinta camada de hardware. 
 
FIGURA 2.1 - Os 4 níveis conceituais da tecnologia TCP/IP e os objetos que trafegam entre 
níveis. 
FONTE: adaptada de Comer (2000, p. 184) 
 
 
17 
 
a) Camada de aplicativo: É o nível mais alto do modelo TCP/IP, é nele que os usuários 
rodam aplicativos e estes acessam serviços através das redes TCP/IP. Um aplicativo 
interage com um dos protocolos do nível de transporte para enviar ou receber dados, 
escolhendo assim o meio de transporte adequado podendo ser, uma seqüência 
individual de mensagens ou um fluxo contínuo de bytes. Nessa camada os dados são 
passados de forma adequada para a camada de transporte para que possam ser 
transmitidos. 
b) Camada de Transporte: A camada de transporte provê a comunicação entre 
programas aplicativos, também conhecida como comunicação fim-a-fim. Essa camada 
estabelece e regula o fluxo de informações e pode fornecer transporte confiável. 
c) Camada de Rede: A camada de rede trata das informações entre as maquinas. Esta 
camada recebe da camada de transporte um pedido para enviar um pacote junto com a 
identificação da maquina destino. O pacote é encapsulado em um datagrama IP e 
preenchido com endereços lógicos de origem e destino entre outros dados e usa um 
algoritmo para decidir se o datagrama será entregue diretamente ou enviado para um 
roteador. 
d) Camada de Enlace de Dados: A camada de Enlace recebe os datagramas IP e os 
encapsula em frames, preenchendo o cabeçalho de cada frame com os endereços 
físicos de origem e destino, entre outros dados. Esta camada é responsável também 
por transmitir os frames para uma rede especifica. Na camada de enlace de dados está 
o driver da placa de rede, por onde é feita a comunicação com a camada física. 
e) Camada Física: A camada Física corresponde ao hardware que tratará os sinais 
elétricos. Esta camada recebe os frames da camada de enlace e os converte em sinais 
elétricos que iram trafegar pelo meio físico até a próxima interface de rede que pode 
ser o host destino ou o roteador da rede. 
 
 
18 
 
FIGURA 2.2 - Vários protocolos nas diferentes camadas da tecnologia TCP/IP. 
FONTE: adaptada de Stevens (1994, p. 6). 
 
 
2.2 Protocolos de resolução de endereço ARP e RARP 
 
 
Os nós da rede possuem um ou mais endereços de IP, porém esses endereços não podem ser 
usados para transmitir pacotes, já que o hardware da camada de enlace não reconhece endereços 
da Internet. 
 
Então supondo que o host 1 queira se comunicar com o host 2 e saiba apenas o ip dele, um pacote 
de difusão será enviado para a Ethernet perguntando a quem pertence o endereço ip em questão, e 
o host 2 respondera com seu endereço Ethernet. É o protocolo ARP (Address Resolution Protocol) 
quem faz essa pergunta e recebe a resposta (TANENBAUM, 2003). 
 
O Protocolo RARP (Reverse Adress Resolution Protocol) realiza o contrário do protocolo ARP, 
ele encontra o endereço IP correspondente a um endereço Ethernet. Ele é muito utilizado em 
estações de trabalho sem disco, pois é necessário obter uma imagem do sistema operacional a 
 
 
19 
partir de um servidor de arquivos. Para tanto ele precisa de um endereço IP, sendo este solicitado 
como um pedido em broadcast pela rede, então o servidor RARP vê essa solicitação e procura o 
endereço Ethernet recebido em seus arquivos de configuração e envia o endereço IP 
correspondente. 
 
 
2.3 Protocolo IP 
 
 
O Protocolo IP (Internet Protocol) pode ser considerado como a base para toda comunicação em 
redes TCP/IP, já que todos os protocolos da pilha TCP/IP dependem dele (COMER, 2000). 
 
O Protocolo IP possui um mecanismo de transmissão sem conexão e não-confiavel já que essas 
funções são de protocolosde mais alto nível. O IP possui três definições. A Primeira, o protocolo 
IP define a unidade de transferência de dados, ou seja, ela especifica o formato exato dos dados 
(Datagrama IP). Segunda, o IP é responsável pelo roteamento, escolhendo o caminho por aonde 
os dados irão. Terceira, inclui regras baseadas na entrega não confiável de pacotes, dizendo assim 
aos hosts e gateways como deve ser processado o datagrama, como e quando mensagens de erro 
devem ser geradas e as condições em que pacotes devem ser descartados. 
 
Basicamente um datagrama é constituído de um cabeçalho mais a área de dados. 
 
A Figura 2.3 mostra o cabeçalho de um Datagrama e uma descrição de seus campos. 
 
 
20 
 
FIGURA 2.3 - Datagrama IP, mostrando os campos no cabeçalho IP. 
FONTE: adaptada de Stevens (1994, p. 34). 
 
O Campo IP Version contém a versão do protocolo IP utilizada para criar o Datagrama. Hdr 
Length contem o tamanho do cabeçalho do datagrama mais opções caso estas existam. Type of 
Service especifica como o datagrama deve ser tratado. Total Length fornece o comprimento do 
datagrama IP, ou seja, é o tamanho do cabeçalho mais os dados. Identification serve para 
identificar o datagrama enviado. O campo Flags é dividido em três partes: R, DF e MF, sendo R 
o bit reservado e que normalmente tem o valor 0, DF o bit responsável por dizer que o datagrama 
não deve ser fragmentado, e MF o bit responsável por informar que o datagrama esta 
fragmentado e existem mais fragmentos. Offset indica a posição do fragmento no datagrama. TTL 
é o contador que indica o numero Maximo de roteadores que o datagrama pode passar. Protocol 
indica qual o protocolo de transporte usado. Source IP Adress e Destination IP Adress possuem 
os endereços lógicos de origem e destino, respectivamente. 
 
O cabeçalho do datagrama pode ter de 20 bytes a 60 bytes dependendo das opções do Hrd Length. 
 
 
 
21 
2.4 Protocolo ICMP 
 
 
O protocolo ICMP (Internet Control Message Protocol) foi acrescentado à pilha de protocolos 
TCP/IP com a finalidade de que os roteadores forneçam erros ou informações sobre ocorrências 
inesperadas e também que os hosts testem a disponibilidade do destino. 
 
As mensagens ICMP trafegam pela rede através de datagramas IP. Contudo, o destino final desta 
mensagem não chega a nível de aplicativo ou do usuário, e sim do Software IP daquela maquina 
onde será tratado. O formato de uma mensagem ICMP é apresentado na figura 2.4. 
 
FIGURA 2.4 - Formato da mensagem ICMP. 
FONTE: adaptada de Stevens (1994, p. 70). 
 
Embora cada mensagem ICMP possua seu próprio formato, todas elas possuem os campos Type, 
Code, CheckSum em comum. Type identifica a mensagem. Code fornece informações adicionais 
sobre o tipo da mensagem e Checksum para tratamento de erros. 
 
O protocolo ICMP é utilizado para relatar erros e também solicitação de informação e resposta de 
informação, podendo, portanto, ser dividido em mensagens ICMP de erro e mensagens ICMP de 
informação. 
 
As condições para que um destino seja considerado alcançável, testado através de uma solicitação 
de eco e de resposta ao eco, é que primeiramente o software IP no host origem envie o datagrama, 
em seguida os roteadores intermediários devem rotear o datagrama corretamente, e por ultimo a 
 
 
22 
máquina destino deve estar ativa ou pelo menos respondendo a interrupções, e o trajeto de 
retorno deve ter rotas corretas. 
 
Sempre que houver um erro que impeça que o roteador roteie ou entregue o datagrama, o mesmo 
deve enviar uma mensagem de destinatário inacessível de volta a origem e em seguida descarta o 
datagrama recebido (COMER, 2000). 
 
Mensagens ICMP são identificadas pelo campo Type sendo que o valor do campo Code depende 
do Type podendo ter um ou mais valores diferentes, como mostra a figura 2.5. 
 
Figura 2.5: Tipos e códigos que um pacote ICMP pode ter 
FONTE: adaptada de Stevens (1994, p. 73). 
 
 
 
23 
2.5 Protocolo UDP 
 
 
O protocolo UDP (User Datagram Protocol) opera na camada de transporte logo acima da 
camada de rede e utiliza o IP para enviar e receber datagramas de uma aplicação para a outra. Ele 
assim como o IP, é um protocolo sem conexão e sem garantia de entrega, ou seja, não usa 
confirmação para garantir que as mensagens cheguem, não ordena as mensagens de entrada e não 
fornece um controle de velocidade das informações que fluem entre as máquinas. Contudo ele 
acrescenta a habilidade de distinguir múltiplos destinos em um único host através da utilização de 
portas. 
 
Uma mensagem UDP possui duas partes: um cabeçalho UDP e uma área de dados como na 
Figura 2.6. 
 
 
FIGURA 2.6 - Formato da mensagem UDP. 
FONTE: adaptada de Stevens (1994, p. 144). 
 
O campo Source port number contem o numero da porta utilizado pela aplicação na máquina 
origem. O campo Destination Port Number contem o numero da porta utilizado pela aplicação na 
maquina destino. A porta de origem é opcional, quando usada, especifica para qual porta devem 
ser enviadas as respostas. O campo UDP Length contém o tamanho do cabeçalho UDP mais o 
tamanho dos dados. O campo UDP Checksum é opcional e nem sempre é usado para diminuir o 
overhead, através de uma rede local altamente confiável. 
 
 
 
24 
 
2.6 Protocolo TCP 
 
 
O TCP (Transmission Control Protocol) é um protocolo de transporte que ao contrario do UDP, é 
orientado a conexão e oferece garantia de entrega. Uma conexão é como uma chamada telefônica, 
ou seja, é necessário que o outro lado da ponta aceite a comunicação, portanto é fechado um 
circuito virtual entre origem e destino. Quanto à garantia de entrega, significa que antes do host 
enviar os dados ele precisa de uma confirmação quanto à chegada dos dados, sem contar que os 
dados são seqüenciados de forma que os pacotes são identificados permitindo que os dados sejam 
reordenados caso cheguem fora de ordem e descartados caso haja pacotes duplicados. Outra 
funcionalidade do protocolo TCP é o controle de fluxo, em que um host informa ao outro quantos 
bytes ainda poderão ser aceitos, evitando sobrecarga de buffer. 
 
O formato de uma mensagem é mais complexo apresentando campos utilizados no controle da 
comunicação e transmissão de dados entre hosts como na figura 2.7. 
 
FIGURA 2.7 - Formato da mensagem TCP. 
FONTE: adaptada de Stevens (1994, p. 225). 
 
 
25 
 
Os campos Source Port Number e Destination Port Number, identificam as portas utilizadas para 
comunicação pelos aplicativos de origem e destino respectivamente. Quando combinados com o 
IP de origem e destino, identificam sem equivoco a conexão. Sequence Number identifica a 
posição no stream do segmento, sendo que o primeiro segmento recebe um valor atribuído pelo 
SO chamado de Initial Sequence Number (ISN). Acknowledgement Number identifica o numero 
de seqüência do próximo segmento. Hrd Length contem o tamanho do cabeçalho do segmento. 
Reserved é reservado para utilização futura. Bits de código identificam a finalidade e o conteúdo 
do segmento, eles definem como interpretar outros campos do cabeçalho. Window Size prove o 
controle de fluxo, informando o numero Maximo de bytes que podem ser recebidos por um host. 
Urgent Pointer informa que os dados a partir do byte por ele indicado têm maior prioridade. 
 
 
2.6.1 Estabelecimento de uma conexão TCP 
 
 
O protocolo TCP utiliza um processo conhecido como three-way handshake, para estabelecer 
uma conexão. No primeiro passo o host envia um segmento com a Flag SYN (synchronize) no 
campo de código, passando ao servidor o numero da seqüência inicial dos dados que serão 
enviados. No segundo passo a maquina destino responde com um segmento com ambas Flags 
SYN e ACK ativados, indicando que confirma o primeiro segmento SYN. No ultimo passoo host 
envia um segmento com a Flag ACK apenas confirmando o SYN enviado pelo servidor, 
conforme ilustrado na figura 2.8. 
 
 
 
 
26 
 
 
FIGURA 2.8 – Estabelecimento de uma conexão TCP. 
FONTE: adaptada de Comer (2000, p.238). 
 
 
2.6.2 Encerramento de uma conexão TCP 
 
 
Para o termino de uma conexão é utilizado um handshake de três vias modificado, que na 
verdade, são quatro mensagens. Quando não houver mais dados a serem enviados o aplicativo 
informa ao TCP, que, envia um segmento com a Flag FIN dizendo para encerrar a conexão 
naquele sentido, que é respondido com um segmento contendo um ACK. O outro lado da 
conexão pode continuar enviando dados, até que não haja mais dados a enviar, realizando o 
mesmo processo de envio de um segmento FIN, sendo respondido com um segmento ACK. 
 
Contudo além do encerramento normal de uma conexão, existem situações em que é necessário 
um termino forçado da conexão. Para tanto se utiliza a Flag RST, em que a outra extremidade 
responde a esse segmento com essa Flag, abortando a conexão. O TCP se encarrega de informar 
ao aplicativo que ocorreu um reset. Quando um reset é utilizado, a transferência em ambas às 
direções cessa imediatamente e recursos como buffers passam a ser liberados (COMER, 2000). 
Este processo é ilustrado na figura 2.9. 
 
 
27 
 
FIGURA 2.9 – Encerramento de uma conexão TCP. 
FONTE: adaptada de Comer (2000, p.240). 
 
 
2.7 Protocolos de Aplicação 
 
 
As aplicações, também chamadas de serviços, operam na camada mais alta do modelo TCP/IP 
que é a camada de Aplicação. Estes protocolos estão associados a parâmetros como (Número da 
porta, identificadores, entre outros), que são nomeados pela IANA (Internet Assigned Numbers 
Authority), que é um órgão responsável por atribuir valores únicos para os parâmetros destes 
protocolos. 
 
O número das portas pode ser dividido em três categorias: 
 
a) Portas privilegiadas (0 – 1023): São portas reservadas para serviços e processos do 
sistema, ou por aplicações executadas por usuários privilegiados. 
b) Portas registradas (1024 – 49151): São portas usadas na maioria dos sistemas, por 
processos de usuários não privilegiados ou por aplicações executadas por usuários 
sem privilégios. 
 
 
28 
c) Portas dinâmicas ou privadas (49152 – 65535): São portas que não sofrem nenhum 
controle por parte da IANA. 
 
A seguir alguns protocolos do nível de aplicação: 
 
a) FTP (File Transfer Protocol): Este protocolo permite o compartilhamento de arquivo 
entre hosts. Contudo, o FTP oferece algumas vantagens alem da função de transferência 
de arquivo como por exemplo: 
a. Acesso interativo: Permite que as pessoas interajam facilmente com servidores 
remotos. 
b. Especificação de formato: Permite que o cliente especifique o tipo e o formato 
dos dados armazenados, como por exemplo, o usuário pode determinar se um 
arquivo contém texto ou números binários e se os arquivos de textos usam os 
conjuntos de caracteres ASCII ou EBCDIC. 
c. Controle de autenticação: Requer que os clientes efetuem um login no servidor 
para poder requisitar a transferência de arquivos. 
b) SMTP (Simple Mail Transfer Protocol): Protocolo responsável pelo envio de correio 
eletrônico. Por se tratar de um serviço simples, ele não especifica como a mensagem é 
armazenada ou a freqüência com que o sistema de correio eletrônico tenta enviar 
mensagens. A comunicação entre o cliente e um servidor consiste em um texto ASCII 
legível (COMER, 2000). 
c) Telnet: É um protocolo simples de terminal, que permite que um usuário estabeleça uma 
conexãoTCP com um servidor de terminal remoto mediante uma autenticação. O Telnet 
oferece três serviços básicos. Primeiro, define um terminal virtual de rede, fornecendo 
uma interface padrão para sistemas remotos. Segundo, o Telnet fornece um conjunto de 
opções ao cliente como por exemplo, negociar o tipo de dados passados pela conexão. E 
por ultimo, não obriga a entrada do cliente via teclado nem a saída indicada na tela. 
d) DNS (Domain Name System): Protocolo de nomes de domínio que implementa uma 
hierarquia de nome de máquinas. Um nome de domínio consiste em uma seqüência de 
subnomes separados por um ponto indo de maneira hierárquica da direita para a esquerda. 
 
 
29 
e) HTTP (Hyper Text Transfer Protocol): Protocolo responsável pela transferência de 
hipertexto e multimídia é também conhecido como WWW (World Wide Web). 
f) POP (Post Office Protocol): Protocolo que permite que um cliente obtenha mensagens de 
correio eletrônico, armazenadas em um servidor POP3. 
g) SNMP (Simple Network Management Protocol): É um protocolo utilizado no 
gerenciamento de redes TCP/IP. Este protocolo coleta informações da rede provindas de 
hosts, gateways ou equipamentos de transmissão. Essas informações são utilizadas para 
detectar a presença de falhas no funcionamento desses componentes da rede. 
 
Tabela 2.1: Exemplos de protocolos no nível de aplicação e suas respectivas portas 
 
Aplicação\Serviço Porta 
FTP 21 
SSH 22 
TELNET 23 
SMTP 25 
DNS 53 
FINGER 79 
HTTP 80 
POP3 110 
Sun RPC 111 
NTP 123 
IMAP 143 
SNMP 161 
NFS 2049 
 
 
 
 
30 
2.8 Considerações Finais 
 
 
Este capítulo fez uma abordagem sobre as camadas do modelo TCP/IP assim como alguns 
protocolos em suas respectivas camadas, que serão abordados nos tópicos a seguir, sendo de 
fundamental importância 
 
O próximo capítulo irá abordar a questão de segurança em redes, dando uma visão sobre 
conceitos de segurança em redes, políticas, ataques além de abordar as ferramentas que são o 
foco deste trabalho, os IDS´s, e também Honeypots para simular os serviços. 
 
 
 
 
31 
3 SEGURANÇA EM REDES E IDS 
 
 
Segurança em redes se baseia em três princípios: confidencialidade, integridade e disponibilidade. 
A interpretação desses três aspectos varia de acordo com o contexto. A interpretação de um 
aspecto em um dado ambiente depende das necessidades individuais, customizadas e leis de uma 
organização particular. 
 
A seguir serão apresentados conceitos básicos sobre segurança e em seguida IDS e Honeypots. 
 
3.1 Confidencialidade, Integridade e Disponibilidade 
 
a) Confidencialidade é o acesso da informação apenas a pessoas autorizadas. Mecanismos 
de controle de acesso auxiliam a confidencialidade, como por exemplo, a criptografia que 
modifica a maneira como se vêem os dados tornando a informação incompreensível. 
b) Integridade diz respeito ao estado da informação, ela garante que a informação não é 
destruída ou corrompida, garantindo assim a prevenção de mudanças impróprias ou não 
autorizadas. Mecanismos de integridade podem ser divididos em mecanismos de 
prevenção e mecanismos de detecção. Mecanismos de prevenção são baseados em 
autenticação adequada e controles de acesso. Mecanismos de detecção não previnem 
violações de integridade, eles simplesmente reportam que a integridade do dado não é 
mais confiável, analisando eventos do sistema ou o próprio dado. 
c) Disponibilidade se refere à capacidade de usar a informação ou recurso quando desejado. 
Os sistemas normalmente são desenvolvidos com base em modelos estatísticos de uso, 
com um padrão de uso esperado. 
 
 
 
 
 
32 
3.2 Ameaças 
 
 
Uma ameaça é uma potencial violação da segurança (Bishop, 2002). A violação não 
necessariamente precisa acontecer para ser considerada uma ameaça. O fato de que uma violação 
possa ocorrer significa que aquelas ações que poderiam causar isso devem ser protegidas ou 
preparadas contra. Estas ações são conhecidas como ataques e as pessoas que realizam são 
chamados de atacantes. 
 
Os três princípios de segurança de um sistema – confidencialidade, integridade e disponibilidadecontra atacam ameaças a segurança de um sistema. Shirey (1994) divide as ameaças em quatro 
grandes grupos: disclosure (acesso não autorizado); deception (aceitação de dados falsos); 
disruption (interrupção ou prevenção correta da operação); e usurpation (controle não autorizado 
de alguma parte do sistema). 
 
 
3.3 Objetivos da segurança 
 
 
Uma Política de segurança é um estado que define o que é e o que não é permitido. 
 
Um Mecanismo de segurança é um método, ferramenta ou procedimento que fortalece a política 
de segurança. Dada uma especificação de política de segurança de ações seguras ou não seguras, 
estes mecanismos de segurança podem: prevenir, detectar ou recuperar-se do ataque. As 
estratégias podem ser usadas juntas ou separadas. 
 
Prevenção significa que um ataque irá falhar. Um exemplo simples de prevenção são as senhas 
que visam prevenir o acesso de usuários não autorizados. Teoricamente uma vez implementado 
um mecanismo de prevenção, o recurso protegido não precisa ser monitorado. 
 
 
 
33 
Detecção é muito utilizado quando um ataque não pode ser prevenido. Mecanismos de detecção 
aceitam que um ataque irá ocorrer, e determinam quando o ataque esta sendo realizado ou quando 
já tenha ocorrido reportando o mesmo. O ataque pode ser monitorado a fim de prover dados a 
respeito de sua natureza, gravidade e resultados. Típicos sistemas de detecção monitoram vários 
aspectos do sistema procurando informações ou ações que indiquem um ataque. 
 
Recuperação são mecanismos que primeiramente param um ataque e tentam reparar o dano 
ocorrido. Por exemplo se um atacante apaga um arquivo, o mecanismo de recuperação deveria 
restaurar o arquivo de fitas de backup. Mais do que isso um mecanismo de recuperação envolve a 
identificação e reparo da vulnerabilidade usada pelo atacante já que o mesmo pode retornar. Em 
alguns casos é função desse mecanismo realizar uma retaliação, fazendo um contra ataque no 
atacante. 
 
 
3.4 IDS 
 
 
Intrusion Detection System ou Sistemas de Detecção de Intrusão são tecnologias de software e 
hardware desenvolvidas para detectar comportamento anômalo na rede ou em um computador. 
 
Uma intrusão pode ser vista como uma tentativa ou a ocorrência em si de maneira não autorizada 
de acesso a informação, manipulação da informação ou tornar um sistema não confiável ou 
indisponível. 
 
As técnicas para detecção de intrusão podem ser divididas em duas categorias: detecção de 
intrusão por anomalia e detecção por abuso. 
 
 
 
34 
3.4.1 Detecção de intrusão por anomalia 
 
 
Essa técnica de detecção de intrusão é baseada na idéia de que todo evento intrusivo gera um 
comportamento anômalo, já que um intruso ao invadir um sistema gera um comportamento 
anômalo pois ele não conhece exatamente o padrão de recursos de uma máquina. Contudo essa 
idéia é uma teoria de como deveria ser uma invasão, mas na prática isso nem sempre acontece 
gerando eventos que são conhecidos como: 
 
a) Intrusivo e não anômalo: Chamado de falso-negativo, é uma atividade intrusiva porém 
não representa um comportamento anômalo. 
b) Não Intrusivo e anômalo: Chamado de falso-positivo, é uma atividade não intrusiva, mas 
por representar um comportamento anômalo é considerado um ataque. 
c) Não intrusivo e não anômalo: É considerada uma atividade normal 
d) Intrusivo e anômalo: Considerado uma intrusão, pois representa uma atividade intrusiva e 
anômala ao mesmo tempo. 
 
IDS por anomalia são baseados em perfis de sistema, portanto eles analisam o comportamento do 
sistema que ele esta instalado. Esses sistemas são baseados em alguns tipos de abordagens. 
 
 
3.4.1.1 Abordagem estatística 
 
 
Neste tipo de abordagem, o sistema analisa as atividades do usuário e processos do sistema e gera 
perfis de comportamento destes. Periodicamente é gerado um valor indicativo de anormalidade 
baseado em medidas de anormalidades relacionadas ao perfil do usuário. Essas medidas de 
atividades, relacionadas a um perfil podem ser, tempo de uso da CPU, número de conexões na 
rede em um certo período, acesso a arquivos,utilização de processos envolvendo I/O, freqüência 
de login a partir de um determinado local, utilização de servidor de e-mail, compiladores, shells, 
editores do sistema, etc. O perfil do usuário é armazenado em um perfil corrente que em 
 
 
35 
intervalos regulares é comparado com o perfil armazenado, a fim de detectar comportamento 
anômalo. Alguns sistemas utilizam um modelo estático, e não altera o perfil armazenado uma vez 
definido. 
 
 
3.4.1.2 Abordagem por prognósticos de padrões 
 
 
Neste tipo de abordagem, tenta-se prever eventos futuros, baseando-se em evento ocorridos. 
Geralmente esses eventos não são aleatórios e sim previsíveis, pois normalmente seguem um 
padrão. Uma anomalia é detectada caso a seqüência de eventos a seguir sejam iguais ao padrão 
previsto. Uma desvantagem deste modelo é que nem todos os comportamentos são conhecidos. 
 
 
3.4.2 Detecção de intrusão por abuso 
 
 
Este tipo de detecção de intrusão se baseia na idéia de que ataques podem ser representados na 
forma de padrões e assinaturas (seqüência de eventos que levam a uma intrusão). Na maioria dos 
IDS há um módulo de detecção por abuso, já que técnicas estatísticas isoladas são limitadas na 
detecção de intrusão de todos os eventos de segurança, conforme ilustrado na figura 3.1 
 
Uma desvantagem ou limitação deste tipo de detecção é que são utilizadas vulnerabilidades 
conhecidas, sendo que novas vulnerabilidades não são reconhecidas. Um aspecto relacionado aos 
IDS que utilizam este método é como desenvolver uma assinatura de modo a esta englobar todas 
as possíveis variações e que esta assinatura não se encaixe em atividades não intrusivas. 
 
 
 
 
 
 
 
36 
 
 
 
 
 
Figura 3.1: Sistema de Detecção por Abuso 
FONTE: Sundaram (2000, p. 4). 
 
 
3.4.3 Classificação de Sistemas de Detecção de Intrusão por Funcionalidade 
 
 
Sistemas de Detecção de Intrusão podem ser divididos em três categorias quanto ao tipo de 
análise. 
 
a) Sistemas de Detecção baseados em rede (NIDS) 
b) Sistemas de Detecção baseados em host (HIDS) 
c) Sistemas de Detecção distribuídos (DIDS) 
 
 
3.4.3.1 Sistemas de Detecção baseados em rede 
 
 
Este tipo de sistema (Network Intrusion Detection System) deriva seu nome através do fato de que 
ele monitora um segmento de rede ou sub-rede. Isto é feito mudando o modo de operação da 
placa de rede (NIC – Network Interface Card). Normalmente uma NIC opera em modo não 
promiscuo, ouvindo apenas pacotes destinados ao seu próprio endereço de controle de acesso a 
media (MAC). Para monitorar todo trafego da sub-rede, a placa de rede deve aceitar não somente 
pacotes endereçados a ela como também os que não são endereçados a ela (modo promíscuo). 
 
 
 
37 
Para que isto ocorra não apenas a placa deve estar em modo promiscuo, caso os dispositivos que 
interligam as maquinas na rede seja um hub, todas as portas receberam os pacotes já que um hub 
envia os pacotes a todas as portas. Caso seja um switch a porta onde este conectado o NIDS, deve 
estar em modo monitoramento recebendo assim o trafego das outras máquinas. 
 
A figura 3.2 mostra uma rede usando três NIDS. As unidades foram colocadas em segmentos de 
rede estratégicos monitorando assim o trafego de todos dispositivos em seus segmentos. 
 
 
Figura 3.2: Sistemas de Detecção de intrusão baseados em rede 
FONTE: Bayle (2002, p.12) 
 
 
38 
3.4.3.2 Sistemas de Detecção baseados em Host 
 
 
Sistemas de Detecção baseados em Host (HIDS – Host Intrusion Detection System) diferem de 
NIDS em dois pontos. Primeiro, um HIDS protege somente o sistemaonde esta instalado e não 
toda a sub-rede. Segundo, a interface de rede do sistema normalmente opera em modo não 
promiscuo, o que representa uma vantagem em alguns casos – nem todas NICs são capazes de 
operar em modo promiscuo, apesar das placas modernas poderem. Além de que o modo 
promiscuo pode forçar muito a CPU em maquinas lentas. 
 
Outra vantagem dos HIDS é a habilidade de montar uma regra bem especifica em um sistema em 
particular. Por exemplo, não há necessidade de configurar regras múltiplas destinadas a detectar 
Network File System (NFS) exploits em um host que não utiliza NFS. Podendo aperfeiçoar as 
regras, haverá uma melhora no desempenho e diminuição de falsos positivos. Mas a maior 
vantagem dos HIDS é a capacidade de detectar mudanças especificas nos arquivos e no sistema 
operacional do host. É possível monitorar tamanho de arquivos e checksum a fim de garantir que 
arquivos do sistema não foram maliciosamente modificados. Também é possível interceptar 
rogue call system (chamadas de sistemas não autorizadas executadas por um atacante) que podem 
ser uma tentativa de explorar uma vulnerabilidade local. E por ultimo um HIDS pode visualizar 
trafego que chega somente a um host, o que significa que um NIDS não capturaria. 
 
Desvantagens de HIDS são relacionadas à escolha do IDS de acordo com seu sistema operacional. 
Um IDS age como um serviço adicionando assim carga ao host o que irá gerar consumo de 
recursos. Outra desvantagem é com relação ao gerenciamento, pois em redes com muitos nós, 
esta será uma tarefa complexa. 
 
A figura 3.3 mostra uma rede usando HIDS em alguns servidores específicos assim como 
algumas máquinas clientes. Como mencionadas anteriormente as regras para um servidor de e-
mail, por exemplo, são configuradas para proteger o servidor, de exploits de servidores de e-mail, 
enquanto o servidor web de Web exploits. Máquinas individuais podem ser configuradas com 
regras padrões. Novas regras podem ser adicionadas periodicamente. 
 
 
39 
 
Figura 3.3: Sistema de Detecção baseado em Hosts 
FONTE: Bayle (2002, p.14) 
 
 
3.4.3.3 Sistemas de Detecção Distribuídos 
 
 
Um Sistema de Detecção Distribuído ou DIDS (Distributed Intrusion Detection System) é uma 
combinação de sensores NIDS e sensores HIDS, distribuídos ao longo de uma rede, e todos eles 
reportando a um sistema central. Logs de ataques são gerados nos sensores e enviados 
(periodicamente ou continuamente) para a estação central, onde eles serão armazenados em um 
banco de dados central. Novas assinaturas são criadas ou adquiridas da Internet para a estação de 
gerenciamento assim que disponíveis, e essas assinaturas podem ser enviadas para os sensores de 
acordo com suas necessidades bases. 
 
 
 
40 
Diferentes tipos de sensores podem ou não ser gerenciados pelo mesmo servidor. Alertas podem 
ser enviados para um sistema de mensagens usado para comunicar o administrador de IDS. 
 
A figura 3.4, mostra um sistema DIDS formado por quatro sensores e uma estação de 
gerenciamento central. Sensores NIDS 1 e NIDS 2 estão operando em modo promiscuo stealth1 e 
estão protegendo os servidores públicos. Os sensores NIDS 3 e NIDS 4 estão protegendo os 
sistemas baseados em host. 
 
Figura 3.4 Sistema de Detecção de Intrusão Distribuído. 
FONTE: Bayle (2002, p.15) 
 
 
 
 
 
1
 Um NIDS em modo stealth significa que ele não esta visível à rede onde esta monitorando. Normalmente isto é 
feito não fornecendo um endereço IP para o NIC que esta monitorando, é usado um dispositivo conhecido como 
“Tap” que somente permite a recepção do tráfego. Este método de observar o tráfego da rede é a chave para prevenir 
que atacantes descubram algo sobre seu NIDS. 
 
 
41 
Uma das maiores vantagens de NIDS é a capacidade de observar sistemas geograficamente 
distribuídos. 
 
As transações entre sensores e gerentes devem ser encriptadas. Pois se enviadas em modo de 
texto plano pode ser interceptadas e lidas facilmente por atacantes. Outra desvantagem é quanto 
ao congestionamento da rede, o que pode fazer com que as mensagens enviadas entre sensores e 
gerentes não sejam recebidas e processadas. 
 
 
3.4.4 Snort 
 
 
O Snort é um IDS freeware muito popular e utilizado pela comunidade e empresas. É um NIDS 
baseado em assinaturas, sendo que elas podem ser criadas ou adquiridas no site oficial do 
fornecedor < www.snort.org/>. 
 
A arquitetura do Snort é composta basicamente por quatro componentes: 
• Farejador 
• Pré-processador 
• Mecanismo de detecção 
• Alerta/Registro 
 
 
A figura 3.5 mostra a arquitetura do Snort: 
 
 
42 
 
Figura 3.5 – Arquitetura do Snort 
Fonte: CASWELL et AL., 2003, p.26. 
 
 
3.4.4.1 Farejador 
 
 
Os farejadores de tráfego são dispositivos de hardware ou software desenvolvidos para capturar 
os pacotes que trafegam na rede, alguns deles são capazes de analisar diferentes protocolos para 
transformar os dados de maneira legível. A figura 3.6 mostra o funcionamento do farejador. 
 
Figura 3.6: Esquema de funcionamento de um farejador de pacotes. 
Fonte: CASWELL et AL., 2003, p.27. 
 
Para que seja possível capturar tráfego em uma rede, o snort utiliza no Windows a biblioteca 
Winpcap, permitindo capturar os dados que chegam no host e os que são destinados a outras 
máquinas também. 
 
 
43 
3.4.4.2 Pré-Processador 
 
 
Este componente é responsável pela classificação dos dados capturados pelo farejador. 
CASWELL et AL(2003) diz que os pacotes capturados são verificados em relação a certos plug-
ins, como por exemplo um plug-in de portscan, determinando assim o comportamento do mesmo. 
Quando detectado o comportamento do pacote, ele é enviado para o mecanismo de detecção. 
Uma vantagem de se utilizarem plug-ins, é a possibilidade de desativar os mesmos de acordo 
com o perfil da rede onde o IDS é instalado. A figura 3.7 mostra o esquema do Pré-Processador. 
 
 
 
 
 
 
 
 
 
 
 
Figura 3.7: Pré-Processador do Snort 
Fonte: CASWELL et AL., 2003, p.28. 
 
 
 
 
 
 
 
 
44 
3.4.4.3 Mecanismo de detecção 
 
 
Considerado a parte mais importante de qualquer IDS, é neste mecanismo que os dados vindos do 
pré-processador serão comparados com as regras definidas de ataques definidos. Quando um 
pacote corresponde com a informação de alguma regra, ele é enviado para o sistema de alerta. 
 
As regras podem ser criadas pelo próprio usuário assim como podem ser baixadas do site oficial 
do Snort, onde é desenvolvido pela equipe Snort. A figura 3.8 mostra o esquema do Mecanismo 
de Detecção. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Figura 3.8 Mecanismo de Detecção 
Fonte: CASWELL et AL., 2003, p.29. 
 
 
 
45 
3.4.4.4 Componente de Alerta\Registro 
 
 
Os dados que chegam ao mecanismo de detecção e correspondem com alguma regra, geram um 
registro ou alerta, que é disparado por um plug-in de saída. 
 
Os plug-ins fornecem a capacidade de configurar logs e alerta de maneira fácil e amigável de ler 
e entender. 
 
Muitos plug-ins são utilizados como banco de dados para armazenar os dados de saída, assim 
como servidores web para demonstrar os dados processados de maneira bem legível. 
 
 
3.4.4.5 Regras no Snort 
 
 
As assinaturas no Snort são compostas de regras que podem ser divididas basicamente em 
cabeçalho e corpo, assim como em um pacote TCP/IP. Os cabeçalhos identificam a ação a ser 
tomada, qual protocolo está em uso, porta, endereço IP e rede de origem e destino. O cabeçalho 
pode ser dividido em quatro categorias: 
 
a) Ação da Regra 
b) Protocolo 
c) Informação de Origemd) Informação de Destino 
 
A figura 3.9 mostra os campos de uma regra Snort. 
 
 
46 
 
Figura 3.9: Cabeçalho de uma regra do Snort 
Fonte: FONTE: Bayle (2002, p.196) 
 
O Snort trabalha com variáveis de rede. As mais utilizadas são as variáveis $EXTERNAL_NET 
que declara um valor para a rede externa e $HOME_NET para a rede a ser protegida. 
A declaração de regras no Snort obedece o modelo: 
<tipo_de_alerta> <protocolo> <rede_origem> <porta_origem> -> 
<rede_destino> <porta_destino> (Cabeçalho da Regra; Opções; sid:X;...); 
Ex: alert tcp any any -> any 12345 (msg:" Test Message";) 
 
 
3.4.4.6 Ação da Regra 
 
 
Uma ação define o que fazer com a informação que vem do pré-processador. O Snort possui 
cinco ações a serem tomadas: 
 
a) Alert – Gera um alerta usando um método selecionado e então loga o pacote; 
b) Log – Loga o pacote; 
c) Pass – Ignora o pacote; 
 
 
47 
d) Activate – Alerta e então ativa outra regra dinâmica; 
e) Dynamic – Permanece inativa até ser ativado por uma regra activate, então atua como 
uma regra de log; 
 
 
3.4.4.7 Protocolos 
 
 
Para Protocolos, o Snort suporta atualmente: 
 
a) TCP; 
b) UDP; 
c) ICMP; 
 
 
3.4.4.8 Opções de Regra 
 
 
O Snort não precisa do campo corpo para criar uma regra, porém as opções utilizadas no corpo da 
regra aprofundam a análise da informação, identificando assim ataques mais complexos. 
 
Existem quatro categorias para analisar a carga útil do pacotes, sendo que em cima dessas 
categorias temos diversas opções. As categorias são: 
 
a) Meta-data -> Essas opções provêem informação sobre a regra, mas não tem qualquer 
efeito durante a detecção; 
b) Payload -> Todas essas opções procuram por dados dentro do payload(seção DATA) do 
pacote e podem ser inter-relacionadas; 
c) Non-payload -> Essas opções procuram por dados fora do payload; 
d) Post-detection -> Essas opções são regras específicas que acontecem após uma regra ter 
sido detectada. 
 
 
48 
Em cada categorias, temos opções que são utilizadas no corpo da regra, a seguir serão citadas 
algumas das opções utilizadas, para uma lista completa e detalhada, consulte o manual do Snort: 
 
a) Msg: Quando gerado um alerta, imprime uma mensagem escrita na forma de String 
A opção msg informa a ferramenta de log e alerta qual a mensagem que deve ser impressa 
quando o alerta for dado. 
Formato: msg ”mensagem texto aqui”; 
b) Reference: Permite as regras incluírem URL´s de referência ao ataque. Isto categoriza e 
provê informação relevante sobre o ataque. 
Formato: reference: <id system>,<id>; [reference: <id system>,<id>;] 
Ex: log tcp any any -> any 12345 (reference:CVE, CAN-2002-1010; reference:URL, 
www.poc2.com; msg:" NetBus";) 
c) Sid: Utilizado para categorizar, distinguir e identificar ID de regras únicas no Snort. 
A numeração segue um padrão que precisa ser obedecido da seguinte maneira: 
a. < 100 – Reservada para uso Futuro; 
b. 100 – 1000000 – Regras incluídas com a distribuição do Snort; 
c. > 1000000 – Regras usadas localmente; 
d) Priority: Emite um nível de alerta para a regra. Essa opção é importante na definição de 
alertas críticos. 
Formato: priority: <PRIORITY_VALUE>; 
Ex: alert udp any any -> $INTERNAL 21974 (priority:1; msg: "Bad Worm Backdoor";) 
e) Flag: Esta opção permite determinar se cada Flag potencial esta marcada, desmarcada ou 
usada em combinação com outra Flag. 
Formato: flags: <TCP_VALUE(s)>; 
 
A tabela 3.1 mostra as opções de flags usadas no snort com a opção Flag. 
 
 
 
 
 
 
 
49 
Tabela 3.1 Opção de Flags TCP no Snort 
TCP Flags Descrição da Flag 
A Checa se a Flag ACK esta ativa 
F Checa se a Flag FIN esta ativa 
P Checa se a Flag Push esta ativa 
R Checa se a Flag RST esta ativa 
S Checa se a Flag SYN esta ativa 
U Checa se a Flag URG esta ativa 
0 Checa se nenhuma Flag esta ativa 
+ 
Determina se uma flag esta ativa e seguida de outra flag 
qualquer 
* Determina se um conjunto de flags esta ativo 
 
a) Content: Analisa a carga útil do pacote a fim de localizar determinada string. 
Formato: content: “STRING” 
Exemplo: alert tcp any any -> any 23 (content: "administrator"; nocase;) 
 
 
3.5 Honeypots 
 
 
Honeypots são sistemas computacionais de segurança cuja finalidade é ser sondado, atacado ou 
comprometido. Podem ser divididos em Honeypots de baixa interatividade e alta interatividade. 
 
 
3.5.1 Honeypots de baixa Interatividade 
 
 
Honeypots de baixa interatividade emulam sistemas e serviços, os quais serão expostos a ataques. 
São mais fáceis de instalar, configurar e capturam quantidade menor de informações se 
comparado com honeypots de alta interatividade e oferecem menos riscos, pois a emulação dos 
serviços permite controlar o que pode ser feito ou não. 
Exemplos de honeypots de baixa interatividade são o software Valhala e o Honeyd. 
 
 
50 
3.5.2 Honeypots de alta Interatividade 
 
 
Utilizam os serviços, sistemas e aplicações reais da máquina. São mais complexos, oferecem 
maior risco devido ao contato direto com o atacante e capturam maior quantidade de dados. 
Exemplos de honeypots de alta interatividade são as honeynets e as honeynets virtuais. 
 
Uma Honeynet é uma ferramenta de pesquisa, que consiste de uma rede projetada 
especificamente para ser comprometida, e que contém mecanismos de controle para prevenir que 
seja utilizada como base de ataques contra outras redes. Podem ser físicas ou virtuais, sendo esta 
ultima por exemplo um software de virtualização como oVMware. 
 
 
3.6 Considerações Finais 
 
 
Este capítulo explicou a questão das políticas de seguranças, focando a parte de IDS, mais 
precisamente o Snort, além de dar um breve enunciado sobre Honeypots para melhor 
entendimento do ambiente simulado. 
 
O capítulo a seguir apresentará a proposta deste trabalho, propriamente dita, onde serão 
executados os testes, para testar a eficácia do Snort, através de diversas ferramentas usadas em 
auditoria de segurança. 
 
 
51 
4 ANÁLISE DE TRÁFEGO EM REDES TCP\IP 
 
 
Para verificar a eficiência e observar o funcionamento do Snort, foi montado um ambiente de 
teste com máquinas virtuais isoladas. Para tanto foram utilizadas as regras disponibilizadas no 
site do Snort, utilizando assim suas configurações padrão. 
 
Este capítulo apresenta a arquitetura de rede e a especificação dos softwares e hardware para o 
estudo de caso que será realizado. 
 
A organização deste capítulo segue da seguinte maneira: 
 
a) 4.1 Arquitetura de teste: A arquitetura da rede utilizada nos testes realizados, sendo esta 
reproduzida através de máquinas virtuais. 
b) 4.2 O ambiente de teste: Provê as configurações físicas e lógicas dos elementos ativos 
utilizados no ambiente de teste. 
c) 4.3 Ferramentas: Aqui serão apresentadas as configurações dos programas utilizados na 
realização dos ataques. 
d) 4.4 Tipos de Ataques utilizados: Descrição dos ataques utilizados. 
e) 4.5 Resultados obtidos: Demonstração dos resultados obtidos com o Snort. 
 
 
4.1 Arquitetura de teste 
 
 
A rede que será utilizada para desenvolver o ambiente de teste será composta por três maquinas 
clientes e uma servidora além de uma máquina invasora. 
 
Ambiente de Teste: Um servidor Windows Server 2003, três máquinas clientes Windows xp 
Professional, uma maquina intrusa rodando Windows xp Professional. A figura 4.1 mostra o 
ambiente de teste. 
 
 
52 
 
Figura 4.1: Arquitetura cliente-servidor com servidor Windows Server 2003 
 
 
4.2 O ambiente de teste 
 
 
A configuração das máquinas utilizadas para reproduzir o cenário de teste é apresentada a seguir: 
 
a) Servidor Windows: Nestamáquina foi instalado no Virtual Pc (Disponível em < 
www.microsoft.com/windows/virtual-pc/>) o Windows Server 2003 com 1 GB RAM, 
rodando o Snort 2.8.4.1, Valhala 1.7, Winpcap 4.0.2 (Disponível em <www.winpcap.org/>), 
o banco de dados MySql 5.1 ( Disponivel em < www.mysql.com/>) para armazenamento 
do histórico dos ataques, a ferramenta BASE 1.4.4 (Basic Analysis and Security Engine. 
Disponivel em < http://base.secureideas.net/>) que foi usada para exibição dos relatórios 
de ataques através do servidor web Apache 2.2.14 configurado com o módulo de acesso a 
linguagem PHP 5.3.0 (Disponível em < php.net/index.php>). 
b) Máquina Atacante: Virtual Pc com Windows XP SP3 com instalação default e 256 MB 
RAM. 
 
 
53 
c) Máquinas Clientes: Virtual Pc com Windows XP SP3 com instalação default 256 MB 
RAM. 
 
A seguir serão apresentadas algumas ferramentas usadas em segurança em rede e auditoria que 
serão utilizadas nesse trabalho: 
 
a) Nmap 4.76 (Lyon 2008): É uma ferramenta livre e de código aberto usada em auditoria de 
segurança e exploração de vulnerabilidades em redes. Nmap determina quais hosts estão 
disponíveis na rede, quais serviços estes hosts estão oferecendo, quais SO´s eles estão 
executando além de identificar quais filtros de pacotes e firewall estão em uso, sem contar 
muitas outras características. Sua interface gráfica é mostrada na figura 4.2 
a. Vantagens: Flexível – Suporta dezenas de técnicas avançadas de mapeamento. 
Poderoso – Usado para scannear redes com milhares de computadores. Portável – 
Roda em diversas plataformas como Linux, Windows, Mac OS, etc. Popular – 
Muito utilizado por pessoas de todo o mundo além de vir incluso em muitas 
Distribuições Linux como RedHat, Debian, Gentoo, FreeBSD, etc. Aclamado – 
Vencedor de vários prêmios incluindo Produto de Segurança da Informação do 
ano pelo Linux Journal. 
 
 
 
 
 
 
 
 
 
 
 
Figura 4.2: Inteface gráfica do NMAP – Zenmap 
 
 
 
54 
b) Hydra 5.4 (Hauser, 2006): É uma ferramenta freeware, usada para quebrar autenticações 
de rede de maneira rápida, que suporta muitos serviços diferentes, entre eles: Telnet, FTP, 
HTTP, HTTPS, smb, entre outros. Hydra realiza ataques do tipo dicionário contra mais de 
30 protocolos. A figura 4.3 mostra as opções do software. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Figura 4.3: Hydra e suas opções de uso 
 
c) Metasploit 3.2 (Haper et al, 2008) : Metasploit é uma ferramenta gratuita, que torna muito 
fácil a aquisição, desenvolvimento e execução de exploits para vulnerabilidades de 
softwares de computadores. Ele vem com milhares de exploits para vulnerabilidades de 
softwares conhecidas. Metasploit roda em plataformas Linux, BSD, Mac OS X e 
Windows. Disponível em <www.metasploit.com/>. A figura 4.4 mostra a interface 
gráfica do software. 
 
 
 
 
55 
 
Figura 4.4: Interface gráfica do Mestasploit Framework 
 
d) Valhala (Marcos, 2008): O Valhala é o único honeypot totalmente em português para o 
sistema Windows e é opensource. Ele é um honeypot de baixa interatividade, o que 
significa que possui um risco menor de comprometimento do que honeypots baseados em 
sistemas operacionais reais. Disponível em <valhalahoneypot.sourceforge.net/>. A figura 
4.5 mostra a interface do software. 
 
 
56 
 
Figura 4.5: Software Valhala Honeypot 
 
e) Hping2 rc3: Ferramenta para ataques do tipo DoS (negação de serviço). Disponível tanto 
para Linux quanto para Windows. A figura 4.6 mostra as opções do software. 
 
 
Figura 4.6: Hping e suas opções 
 
 
57 
 
f) TcpReplay32: Ferramenta usada para gerar tráfego de rede baseado em um arquivo criado 
no formato tcpdump. Foi usado o comando: tcpreplay –i(Interface) –r(rate Mbps) 100 
–v(verbose) –l=100(Loop) <nome do arquivo tcpdump>. Disponível em 
<http://sourceforge.net/projects/tcpreplay/>. 
 
 
4.3 Casos de Teste 
 
 
Os testes executados testaram a capacidade de o IDS detectar ataques. Os testes foram executados 
a fim de verificar a eficácia da ferramenta Snort usando suas regras padrões, disponíveis no site 
do fabricante, diante dos diferentes tipos de ataques realizados com a presença de tráfego de rede. 
 
 
4.4 Tipos de Ataques utilizados 
 
 
a) Portscan: Scaneamento de portas, afim de detectar quais portas estão abertas e quais 
serviços estão rodando nelas; 
Comando utilizado: nmap –sS (TCP SYN) <ip destino>; nmap –sT(TCP Connect) <ip 
destino>; nmap –sN(TCP NULL) <ip destino>. Disponível em <nmap.org/>. 
b) Ataque de dicionário: tentativa de acesso aos serviços através de uma lista com senhas 
para um determinado login; 
Comando utilizado: hydra –L(Nome do usuário) login –p(carrega um txt com senhas) file 
<ip> FTP\telnet. Disponível em <www.thc.org/thc-hydra/>. 
c) Denial of Service: Ataque que visa saturar uma máquina para que ela não consiga 
responder requisições dos serviços oferecidos por ela; 
Foi utilizado o seguinte comando para gerar o ataque: hping –c( packet count) 100 
<host destino> ; hping -i(intervalo) m1(1 milisegundo) –c 100 <host destino>; hping -
8(scan mode) –c 100 <host destino>. Disponível em <www.hping.org/> 
 
 
58 
d) Exploits: programas que exploram vulnerabilidades de softwares geralmente a fim de 
obter acesso a máquina alvo ou executar código arbitrário; 
 
Esses ataques foram realizados nessa ordem, utilizando as ferramentas citadas na seção de 
ferramentas. Depois de realizado um ataque, os resultados obtidos com o IDS foram 
documentados e apresentados na tabela 4.1. 
 
 
 
4.5 Resultados obtidos 
 
 
Os resultados a seguir demonstram a quantidade de ataques gerados, detecção e os tipos de 
ataques utilizados. 
 
A tabela 4.1 foi utilizada para melhor representar os resultados obtidos. 
 
Tabela 4.1 Resultados Obtidos 
Snort: Quantidade de ataques reconhecidos 
Ataques Gerados Detectados % 
Portscan 3 3 100% 
Dic.Ataque 2 2 100% 
DoS 3 1 33% 
Exploit 5 3 60% 
 
 
Como pode ser verificado na Tabela1, nem todos os ataques puderam ser detectados. O Snort 
mostrou-se muito eficaz na detecção de portscan, que representa sempre o inicio de um ataque. 
As falhas na detecção podem ser atribuídas a dois fatores: 
 
a) Falta de atualização das assinaturas: Como qualquer outro programa usado na segurança 
de sistemas que precisa de uma base de dados para detectar uma ameaça, como por 
 
 
59 
exemplo, um antivírus, um IDS que não possui uma assinatura em seu conjunto de regras, 
não é capaz de detectar um ataque. 
 
b) Falha na configuração do IDS: Como dito anteriormente, as regras foram utilizadas com 
suas configurações padrões e o ambiente virtual rodado em máquinas virtuais, sem a 
utilização de mídias e interfaces de redes físicas. 
 
Tal resultado deve-se ao fato, também, de que o equipamento onde o IDS estava instalado tinha 
um poder de processamento limitado, sendo assim seu desempenho depende da capacidade da 
máquina onde esta instalado, para processar mais informações que chegam à rede. Ainda com 
relação à configuração do IDS, o mesmo foi utilizado com várias regras de serviços que não 
estavam sendo utilizados, limitando o IDS apenas para os serviços a serem utilizados, a 
quantidade de testes a serem realizados diminui, permitindo assim que o mesmo analise um maior 
número de informações em um período de tempo menor. 
A figura 4.7 mostra o resultado do ataque , nmap –sT, no Base através do navegador. 
 
Figura 4.7: Resultados obtidos com o Snort sendo demonstrados no Base. 
 
 
60 
Tabela 4.2 – Resultado da análise de geração de falsos positivos. 
Ataque Tipo Detectado Falso Positivo 
nmap -sT <ip> Sim 1 
nmap-sS <ip> Sim 2 Portscan 
nmap -sN <ip> Sim 1 
Dic.Ataque hydra –L login –p file <ip> FTP\telnet Sim 1 
hping –c 100 <host destino> Sim 2 
hping -1 –c 100 <host destino> Não 1 DoS 
hping -8 –c 100 <host destino> Não 3 
IIS Unicode Remote Command Execution Sim 4 
Web Server Transversal Sim 7 
Microsoft RPC DCOM interface Overflow Sim 3 
Microsoft IIS 5.0 IDQ Path Não 2 
Exploits 
Microsoft SQL Server Resolution Overflow Não 1 
 
Como pode ser verificado pela tabela 4.2, o Snort demonstrou eficácia na detecção de muitos 
ataques, porém ocorreram muitos falsos positivos, devido à utilização de todas as regras ao 
mesmo tempo, o que fez com que ele detectasse ataques inexistentes, totalmente diferentes 
daqueles que realmente estavam sendo realizados. 
 
O próximo capítulo irá apresentar a conclusão da proposta oferecida neste trabalho. 
 
 
4.6 Considerações Finais 
 
 
Este capítulo descreveu o ambiente de teste, onde foram realizados os ataques, que testaram a 
eficiência do Snort como IDS, além da descrição dos ataques realizados contra ele, e os softwares 
utilizados no ambiente de teste. Foram descritos os resultados obtidos, além de comentários sobre 
a eficiência do mesmo. 
 
 
 
61 
O próximo capítulo apresentará as conclusões finais deste trabalho, mediante a proposta e os 
resultados obtidos. 
 
 
 
62 
5 CONCLUSÃO 
 
 
Este trabalho apresentou a eficácia dos sistemas de detecção de intrusão baseados em rede e 
assinaturas, que através da análise do tráfego, são capazes de identificar ataques destinados a 
máquinas da rede alvo. Foi efetuada uma bateria de testes a fim de testar a eficiência do IDS e 
comprovar que o mesmo é capaz de identificar ataques e alertar o administrador da rede. 
 
 
5.1 Experiências obtidas 
 
 
Diferente dos softwares utilizados no dia a dia, um IDS não pode ser configurado de maneira 
eficaz por uma pessoa inexperiente, pois é necessário conhecimento avançado em redes (tipos de 
protocolos, funcionamento interno, meios de comunicação, criptografia, roteamento), normas de 
segurança (política de segurança, conhecimento de vulnerabilidade de softwares, tipos de ataques 
que podem ser realizados) e atualizações das regras do fabricante assim como novas 
vulnerabilidades que são descobertas todos os dias por hackers e especialistas em segurança. 
 
O uso das configurações padrões do Snort, como utilizado neste trabalho, mostrou certa margem 
de erros, o que deve ser evitado por um administrador de rede que pretende garantir a segurança 
de sua rede com um IDS como o Snort. 
 
A configuração do Snort é considerada complexa, pois seu arquivo de configuração padrão 
possui muitas linhas e não possui interface gráfica para configuração do mesmo. Qualquer 
alteração em seu funcionamento deve ser feita em seu arquivo “.conf” através dos parâmetros de 
configuração. Outro ponto quanto a configuração manual, diz respeito a sintaxe, pois qualquer 
parâmetro errado pode interferir no funcionamento do sistema. 
 
 
 
63 
Portanto, para implantar com eficiência o Snort, deve-se entender bem a configuração, assim 
como, saber as vulnerabilidades da rede que pode ser atacada, para não comprometer assim sua 
eficácia. 
 
 
5.2 Trabalhos Futuros 
 
 
Como sugestão para outros trabalhos sobre este assunto, pode ser abordada a análise minuciosa 
das regras específicas para determinados tipos de serviços ou ataques assim como o 
desenvolvimento de novas regras, com base em testes realizados em ambientes de testes ou casos 
de usos. Uma questão levantada com a utilização do Snort é a utilização de outros sistemas para 
funcionar em conjunto com ele, no caso um banco de dados, um servidor web e um front end 
para visualizar os dados, sendo assim a pesquisa e desenvolvimento de uma solução que torne 
menos complexa a configuração e funcionamento do Snort, talvez seja um trabalho a ser 
continuado. 
 
Outra sugestão sobre a continuidade deste trabalho seria a análise de outras soluções para IDS a 
fim de verificar a eficiência das mesmas, pois em alguns casos, soluções pagas são de qualidade 
equivalente ou superior há softwares freeware e open source. 
 
 
64 
 
REFERÊNCIAS 
 
Bayle. J. Snort 2.1 Intrusion Detection. 2 ed. Massachusetts: Syngress, 2002. 
 
Bishop, M. Computer Security: Art and Science. Addison – Wesley, 2002. 
 
Burns et al. Security Power Tools. 1 ed. California: O’Reilly Media, 2007. 
 
Campos, G. Criando Regras para o Snort. Disponível em 
< www.intruders.com.br/artigos/snoc_criando_regras_snort_v02.pdf>. Acesso em: 01 Out. 2009. 
 
CASWELL, Brian et al. Snort 2: Sistema de detecção de intrusão. Rio de Janeiro: Alta 
Books, 2003. 
 
Chaves, M. Análise de Estado de Tráfego de Redes TCP/IP para Aplicação em Detecção de 
Intrusão. Disponível em 
<http://mtc-m05.sid.inpe.br/col/sid.inpe.br/jeferson/2003/06.30.09.23/doc/publicacao.pdf> 
Acesso em: 15 set. 2009. 
 
Comer, D. E. Interligação em Rede com TCP/IP . 4. ed. New Jersey: Prentice Hall, 
2000. v. 1 princípios, protocolos e arquiteturas. 
 
Even, Loras. Intrusion Detection FAQ: Running Snort under Windows. Disponível em 
< http://www.sans.org/security-resources/idfaq/snort.php>. Acesso em 06 set. 2009. 
 
Internet protocol: DARPA Internet program, protocol specification. Request for Comments 
RFC 791. Disponivel em <http://www.rfc-editor.org/rfc/rfc791.txt>. Acesso em: 31 mar. 2009. 
 
Lyon, Gordon, Software NMap. Disponível em <http://nmap.org/download.html>. Acesso em: 
09 jul. 2009. 
 
 
65 
Postel, J.; Reynolds, J. File transfer protocol (FTP). Request for Comments RFC 
959. Disponível em <http://www.rfc-editor.org/rfc/rfc959.txt>. Acesso em: 01 abr. 2009. 
 
Roech, M. Snort Manual 2.8.3. SourceFire, Inc, 2008. 
 
Simple mail transfer protocol: Request for Comments RFC 821. Disponível em 
<http://www.rfc-editor.org/rfc/rfc821.txt>. Acesso em: 01 abr. 2009. 
 
Shiry, R. Security Architecture for Internet Protocols: A Guide for Protocol Designs and 
Standards. Disponível em <www.ietf.org/id-info/draft-irtf-psrg-secarch-sect1-00.txt>. Acesso 
em 05 abr. 2009. 
 
Sundaram, A. An introduction to intrusion detection. Disponível em 
< http://www.acm.org/crossroads/xrds2-4/intrus.html >. Acesso em: 29 jul. 2009. 
 
TANENBAUM, Andrew Stuart. Redes de computadores. 4. ed. Rio de Janeiro: Campus, 
2003. 
 
TELNET protocol specification. Request for Comments RFC 854. Disponível em 
<http://www.rfc-editor.org/rfc/rfc854.txt>. Acesso em: 01 abr. 2009. 
 
Transmission control protocol: DARPA Internet program, protocol specification. Request for 
Comments RFC 793. Disponível em <http://www.rfc-editor.org/rfc/rfc793.txt>. Acesso em: 30 
Mar 2009. 
 
User datagram protocol: Request for Comments RFC 768. Disponível em 
<http://www.rfc-editor.org/rfc/rfc768.txt>. Acesso em: 30 mar. 2009.