Baixe o app para aproveitar ainda mais
Prévia do material em texto
Livro Eletrônico Aula 12 Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital André Castro Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 1 48 Análise de Tráfego ............................................................................................................. 2 EXERCÍCIOS COMENTADOS .............................................................................................. 11 Análise de Tráfego ........................................................................................................................... 11 EXERCÍCIOS COMENTADOS COMPLEMENTARES .............................................................. 30 Análise de Tráfego ........................................................................................................................... 30 LISTA DE EXERCÍCIOS ....................................................................................................... 36 Análise de Tráfego ........................................................................................................................... 36 LISTA DE EXERCÍCIOS COMPLEMENTARES ........................................................................ 45 Análise de Tráfego ........................................................................................................................... 45 GABARITO ....................................................................................................................... 47 Gabarito – Questões CESPE ............................................................................................................. 47 Gabarito – Questões de Outras Bancas .......................................................................................... 48 André Castro Aula 12 Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital www.estrategiaconcursos.com.br 69360 Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 2 48 ANÁLISE DE TRÁFEGO Chegamos ao tópico mais interessante e prático, ainda que mais difícil do nosso conteúdo de redes. Para aprendermos bem o conhecimento aqui aplicado, dependeremos de um conhecimento um tanto sólido dos principais protocolos, como o Ethernet, IP e TCP. Antes disso, devemos mencionar o que é uma análise de tráfego propriamente dita. Basicamente, cada camada possui protocolos específicos com informações de cabeçalho específicas, além de outros fatores na rede. A cada pacote da camada 3 ou segmento da camada 4 do modelo OSI enviado ou recebido, pode-se extrair diversas informações a respeito do protocolo e outras características vinculadas a ele. Além disso, é importante mencionar que são usadas ferramentas conhecidas com sniffers capazes de extrair o tráfego em uma interface e apresentar o fluxo da informação naquela placa, principalmente com a demonstração dos cabeçalhos das camadas. As principais ferramentas são o WIRESHARK (Ferramenta Gráfica para Windows e Linux), TCPDUMP (Unix-like) e WinDump (Windows). Estudos mais detalhados sobre sniffers não fazem parte do nosso escopo, porém, ao longo das resoluções, teceremos alguns comentários a respeito. A seguir temos um exemplo de uma captura de pacotes com o TCPDUMP que é basicamente o que temos nos exercícios: André Castro Aula 12 Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital www.estrategiaconcursos.com.br 69360 Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 3 48 E a seguir, do WIRESHARK: André Castro Aula 12 Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital www.estrategiaconcursos.com.br 69360 Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 4 48 Um conceito que aparece em provas é a habilitação do modo promíscuo nas placas de rede para capturar os pacotes. Esse modo permite que a placa não mais capture somente os pacotes em unicast direcionados a ela e os broadcast, mas sim, todo e qualquer tráfego na rede ou segmento de rede a qual a interface está conectada. Nesse cenário, o posicionamento de um sniffer é fundamental, ou seja, busca-se “sniffar” segmentos de rede que agreguem todo o tráfego de todos os dispositivos, como uma entrada/saída de firewall, roteadores e switches. Essas duas ferramentas apresentam as informações com o registro de sequência de recebimento ou envio, além de um tempo de coleta, seguido das informações contidas em cada campo de um respectivo protocolo. Com as informações obtidas através dessas ferramentas pode-se realizar o troubleshooting, ou seja, a busca de origem de falhas e problemas na rede. Vale ressaltar que aspectos de desempenho e implementação de políticas de controle de tráfego pode ser visualizada diretamente na análise de tráfego. Outro ponto extremamente importante é a possibilidade de ser detectar ataques em determinados ambientes, seja no próprio firewall ou nos dispositivos internos. Como introdução, não há muito mais o que falar. Devemos ver na prática como essas informações aparecem em prova, como devemos interpretá-las à luz do conhecimento dos respectivos protocolos em análise e como responder à questão objetivamente. Há muita informação em questões desse tipo e devemos saber filtrar o que precisamos entender para responder às questões para não perdermos tempo de forma desnecessária. Buscarei guiá-los nesse sentido. Assim, faremos as primeiras questões com um pouco mais de detalhe no próprio conteúdo para respondermos objetivamente as questões na sessão de exercícios. Vamos verificar como a fragmentação de pacotes IP pode aparecer em uma prova (TRE-RJ/2012). Antes disso, devemos lembrar que a fragmentação depende de alguns campos do cabeçalho IP: André Castro Aula 12 Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital www.estrategiaconcursos.com.br 69360 Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 5 48 São eles: • Identifier (um mesmo identificador para todos os fragmentos); • FLAG MF – More Fragment (Se habilitada, indica que há mais fragmentos, se desabilitada, indica que é o último fragmento); e • FRAGMENT OFFSET (Indica o posicionamento de cada fragmento para remontagem do pacote de forma sequencial e correta). Dessa forma, vamos buscar identificar esses campos no fluxo abaixo: Analisando a mensagem 1 temos as seguintes informações: • 00.998952 – Um marcador de tempo. A partir dele conseguimos determinar a ordem de chegada dos pacotes. Essa informação não vai no cabeçalho, mas o sniffer utilizada para organizar a sequência. • IP – Essa informação indica que é um pacote utilizando o protocolo IP. • 10.1.1.1 > 10.1.1.2 – A seta indica o sentido da mensagem, ou seja, está partindo do host 10.1.1.1 para o host 10.1.1.2. Vale ressaltar que, nesse pacote, tem-se a origem como 10.1.1.1 e o destino como 10.1.1.2. Entretanto, no fluxo de troca de mensagens, os papéis se invertem. Devemos observar quem é origem e destino pacote a pacote. Mas caso a questão aborde de uma forma geral sobre quem é a origem e destino no sentido de quem seja cliente ou servidor, devemos observar o fluxo como um todo. Geralmente quem atua ativamente enviando a primeira mensagem de estabelecimento de conexão é o cliente. • ICMP: Vemos ainda que o tipo de serviço utilizado é o protocolo ICMP. André Castro Aula 12 Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital www.estrategiaconcursos.com.br 69360 Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadoreswww.estrategiaconcursos.com.br 6 48 • 1480 – Temos a informação do tamanho do conteúdo do pacote IP. Considerando que o IP utiliza o cabeçalho mínimo de 20 bytes como padrão, teríamos um MTU de 1500 bytes. • Echo request seq 4846 – Vemos que um tipo de mensagem ICMP echo request. O número de sequência informado é gerado utilizando como referência sequencias anteriores ou aleatoriamente. Esse número deve ser utilizado pelo destino com vistas a responder à requisição, como pode ser vista no pacote 4. Uma resposta ao mesmo número de sequência. • Frag 10550:1480@0+ - Aqui é a parte que nos interessa para essa análise. Primeiramente temos a identificação do pacote original para remontagem (10550), ou seja, todos os pacotes que tiverem essa identificação, serão fragmentos de um mesmo pacote. Verificamos tal condição nos fragmentos 1 a 3. Além disso, temos que o tamanho do payload do respectivo fragmento é de 1480 bytes. Essa informação pode aparecer também da seguinte forma: LEN 1480. Na terceira parte temos a informação do OFFSET (@0), ou seja, ele deve o primeiro fragmento deve ser posicionado como o primeiro da sequência, ou seja, sem nenhum deslocamento. E por último, o sinal “+” nos indica a FLAG MF (MORE FRAGMENTS) habilitada, o que indica que há mais fragmentos para compor o pacote. Fazendo agora uma análise rápida dos demais pacotes, temos: • PACOTE 2 – Faz parte do pacote 10550. Possui tamanho de 1480 bytes e sua posição começa a partir da posição 1480, com o indicativo de que há mais fragmentos. (Frag 10550:1480@1480+). Concluímos que é o segundo pois o primeiro pacote possui tamanho de 1480, ou seja, vai da posição 0 até a posição 1479. O segundo pacote de tamanho 1480, iniciará na posição 1480 até a posição 2959. • PACOTE 3 – Faz parte do pacote 10550. Possui tamanho de 48 bytes, o que já nos leva à suspeita de que seja o último fragmento. Começa na posição 2960, indicando que é o terceiro fragmento e não possui a FLAG MF representada pelo sinal “+”. Logo, de fato, ele é o último fragmento. (frag 10550:48@2960) Os outros três pacotes de 4 a 6 estarão sujeitos à mesma analogia, porém com uma mensagem echo reply. André Castro Aula 12 Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital www.estrategiaconcursos.com.br 69360 Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 7 48 Uma observação muito importante. Como nos três primeiros pacotes temos as parcelas de dados com tamanhos iguais a 1480, 1480 e 48, respectivamente, temos então um pacote original de tamanho 3008 bytes, que é o tamanho padrão do echo request. Quando esse pacote chega em uma rede de MTU de 1500 bytes, houve-se a necessidade de fragmentação. Reparem que o cálculo NÃO DEVE SER FEITO simplesmente dividindo 3008 por 1500, o que levaria a 3 pacotes de 1500, 1500 e 8. ISSO ESTÁ ERRADO!!! O que deve ser feito é, sabendo que o MTU é 1500, deve-se descontar a parcela do cabeçalho IP que deverá estar presente em cada fragmento. Logo, resta apenas 1480 bytes para os dados do ECHO REQUEST. Assim, temos 3008 dividido por 1480, o que nos leva às parcelas, 1480, 1480 e 48, conforme análise do tráfego. Vamos estudar um tipo de tráfego cobrado na prova do MPU de 2013: 10.0.0.1:80 > 10.0.0.2:52209 [PSH, ACK] Seq=1 Ack=1 Win=17376 Len=2 10.0.0.1:80 > 10.0.0.2:52209 [PSH, ACK] Seq=3 Ack=1 Win=17376 Len=48 10.0.0.1:80 > 10.0.0.2:52209 [PSH, ACK] Seq=51 Ack=1 Win=17376 Len=1 10.0.0.1:80 > 10.0.0.2:52209 [PSH, ACK] Seq=52 Ack=1 Win=17376 Len=2 10.0.0.1:80 > 10.0.0.2:52209 [PSH, ACK] Seq=54 Ack=1 Win=17376 Len=48 10.0.0.2:52209 > 10.0.0.1:80 [ACK] Seq=1 Ack=1 Win=7896 Len=0 10.0.0.2:52209 > 10.0.0.1:80 [ACK] Seq=1 Ack=3 Win=7896 Len=0 10.0.0.2:52209 > 10.0.0.1:80 [ACK] Seq=1 Ack=3 Win=7896 Len=0 10.0.0.2:52209 > 10.0.0.1:80 [ACK] Seq=1 Ack=3 Win=7896 Len=0 10.0.0.2:52209 > 10.0.0.1:80 [ACK] Seq=1 Ack=3 Win=7896 Len=0 10.0.0.1:80 > 10.0.0.2:52209 [ACK] Seq=3 Ack=1 Win=17376 Len=48 Vamos analisar linha a linha para entendermos: 10.0.0.1:80 > 10.0.0.2:52209 [PSH, ACK] Seq=1 Ack=1 Win=17376 Len=2 Mensagem do host com IP 10.0.0.1 utilizando porta de origem 80 para o host 10.0.0.2 na porta de destino 52209. Estão habilitadas as FLAGS PSH e ACK. O número de SEQ é uma identificação do pacote. O ACK indica que o host que está enviando a mensagem, ou seja, 10.0.0.1, está aguardando algum pacote de número de SEQ igual 1. Tem-se a informação da janela suportada, ou seja, quanto de informação pode ser enviado sem confirmação e por último o tamanho do pacote, igual a 2 bytes. Ou seja, se o número de SEQ é igual a 1, indica que será enviado o byte=1 e o byte =2. Logo, tem-se que o próximo pacote deverá iniciar com o número de SEQ = 3, ou seja, byte = 3. 10.0.0.1:80 > 10.0.0.2:52209 [PSH, ACK] Seq=3 Ack=1 Win=17376 Len=48 André Castro Aula 12 Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital www.estrategiaconcursos.com.br 69360 Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 8 48 O mesmo host enviando mensagens. Observamos o número de SEQ igual a 3, dando continuidade ao pacote anterior. Como não houve recebimento de informação, o host 10.0.0.1 continua aguardando um número de SEQ do destinatário igual a 1. Além disso, percebe-se que o tamanho desse pacote é igual a 48. Logo, começando em 3 e contando 48 bytes, o próximo deverá iniciar em 53. 10.0.0.1:80 > 10.0.0.2:52209 [PSH, ACK] Seq=51 Ack=1 Win=17376 Len=1 O mesmo host enviando mensagens. Observamos o número de SEQ igual a 51, dando continuidade ao pacote anterior. Agora com tamanho igual a 1. 10.0.0.1:80 > 10.0.0.2:52209 [PSH, ACK] Seq=52 Ack=1 Win=17376 Len=2 Ainda no mesmo fluxo, começando com SEQ=52 indicando a continuação do pacote anterior, agora com tamanho 2. 10.0.0.1:80 > 10.0.0.2:52209 [PSH, ACK] Seq=54 Ack=1 Win=17376 Len=48 Ainda no mesmo fluxo, começando com SEQ=54 indicando a continuação do pacote anterior, agora com tamanho 48. Reparem que esse host gerou 5 pacotes de informação para o host 10.0.0.2. 10.0.0.2:52209 > 10.0.0.1:80 [ACK] Seq=1 Ack=1 Win=7896 Len=0 Neste momento percebemos a inversão do fluxo, ou seja, os papéis se inverteram. O host de origem agora é o 10.0.0.2, utilizando a mesma porta na qual ele recebeu as mensagens anteriores. Como resposta, utiliza-se a porta que o outro host estava utilizando, ou seja, a porta 80. Temos ainda que a FLAG ACK está habilitada. Como o host anterior aguardava a informação de SEQ=1, esse host inicia o seu fluxo correspondente ao esperado. Informando que recebeu a primeira mensagem do fluxo. Percebemos com a informação de ACK=1 que este host está aguardando também o pacote de SEQ=1. Ou seja, quando esse pacote foi enviado, o primeiro pacote do fluxo ainda não havia sido recebido. Observemos também o tamanho da janela diferente do primeiro host. O tamanho da informação desse pacote é 0, ou seja, não está sendo enviada informação, mas tão somente uma sinalização ACK indicando a informação esperada. 10.0.0.2:52209 > 10.0.0.1:80 [ACK] Seq=1 Ack=3 Win=7896 Len=0 André Castro Aula 12 Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital www.estrategiaconcursos.com.br 69360 Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 9 48 Verificamos que o novo host envia um novo pacote sem dados, ou seja, solicitando mais uma vez o próximo byte da sequência. Mas neste caso, foi recebido o primeiro byte de tamanho igual a 2 correspondente à primeira mensagem do fluxo. Logo, o próximo byte que se espera, é o número 3. 10.0.0.2:52209 > 10.0.0.1:80 [ACK] Seq=1 Ack=3 Win=7896 Len=0 Verificamos que o host enviou o mesmo pacote que o anterior, indicandoque não recebeu o pacote com número de SEQ=3, ou seja, o segundo pacote enviado pelo host 10.0.0.1 . Como vimos lá no TCP, provavelmente ele tenha recebido o terceiro pacote, porém com a falta do segundo, deve-se alertar a pendência. 10.0.0.2:52209 > 10.0.0.1:80 [ACK] Seq=1 Ack=3 Win=7896 Len=0 Mais uma vez requisita-se o pacote de SEQ=3, indicando que deve ter havido o recebimento do quarto pacote do fluxo, porém, ainda com a pendência do segundo pacote. 10.0.0.2:52209 > 10.0.0.1:80 [ACK] Seq=1 Ack=3 Win=7896 Len=0 Mais uma vez requisita-se o pacote de SEQ=3, indicando que deve ter havido o recebimento do quinto pacote do fluxo, porém, ainda com a pendência do segundo pacote. 10.0.0.1:80 > 10.0.0.2:52209 [ACK] Seq=3 Ack=1 Win=17376 Len=48 Nesse momento, o host 10.0.0.1 deve ter recebido sucessivas requisições do pacote de número de SEQ=3, indicando, portanto, que houve perda. Logo, ele reenvia o segundo pacote novamente conforme requisitado. Reparem que o tráfego em questão representa um tipo de aplicação iterativa, envolvendo diversos pacotes pequenos em sequência com a FLAG PSH ativada e sem preencher o tamanho total da janela. Essa não é uma característica de tráfego em volume, ou seja, acumular em buffer para envio e recebimento. André Castro Aula 12 Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital www.estrategiaconcursos.com.br 69360 Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 10 48 Agora para aprofundarmos o assunto, vamos avançar nas questões e analisar os diversos cenários possíveis. André Castro Aula 12 Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital www.estrategiaconcursos.com.br 69360 Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 11 48 EXERCÍCIOS COMENTADOS ANÁLISE DE TRÁFEGO 1. CESPE - Ana (BACEN)/Área 2 - Suporte à Infraestrutura de Tecnologia da Informação/2013 Na interface de visualização dos dados capturados com o Wireshark, é possível criar um filtro para exibir somente o tipo de informação desejada; por exemplo, para se visualizar somente pacotes do tipo echo request, deve-se inserir no campo Filter a expressão de filtragem icmp.type == 5. Comentários: Pessoal, exatamente. No wireshark possuímos um campo “FILTER” que nos permite filtrar a visualização do tráfego recebido. Qual é a ideia? Temos diversos pacotes sendo capturados na rede, com diversos protocolos e endereços. Entretanto, quero verificar apenas o comportando de um comando ICMP do tipo ECHO request. Dessa forma, podemos dizer no campo o tipo de mensagem que queremos, seja através do código ou do texto. A questão nos apresenta o código. Porém pessoal, o erro da questão está em afirmar que o código do echo request é o número 5, quando deveria ser o número 8, conforme nosso quadrinho abaixo: André Castro Aula 12 Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital www.estrategiaconcursos.com.br 69360 Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 12 48 Gabarito: E 2. CESPE - Ana MPU/Tecnologia da Informação e Comunicação/Suporte e Infraestrutura/2013 10.0.0.1:80 > 10.0.0.2:52209 [PSH, ACK] Seq=1 Ack=1 Win=17376 Len=2 10.0.0.1:80 > 10.0.0.2:52209 [PSH, ACK] Seq=3 Ack=1 Win=17376 Len=48 10.0.0.1:80 > 10.0.0.2:52209 [PSH, ACK] Seq=51 Ack=1 Win=17376 Len=1 10.0.0.1:80 > 10.0.0.2:52209 [PSH, ACK] Seq=52 Ack=1 Win=17376 Len=2 10.0.0.1:80 > 10.0.0.2:52209 [PSH, ACK] Seq=54 Ack=1 Win=17376 Len=48 10.0.0.2:52209 > 10.0.0.1:80 [ACK] Seq=1 Ack=1 Win=7896 Len=0 10.0.0.2:52209 > 10.0.0.1:80 [ACK] Seq=1 Ack=3 Win=7896 Len=0 10.0.0.2:52209 > 10.0.0.1:80 [ACK] Seq=1 Ack=3 Win=7896 Len=0 10.0.0.2:52209 > 10.0.0.1:80 [ACK] Seq=1 Ack=3 Win=7896 Len=0 10.0.0.2:52209 > 10.0.0.1:80 [ACK] Seq=1 Ack=3 Win=7896 Len=0 10.0.0.1:80 > 10.0.0.2:52209 [ACK] Seq=3 Ack=1 Win=17376 Len=48 Considerando o trecho de captura acima apresentado, julgue o item a seguir. Os segmentos presentes caracterizam tráfego em volume. Comentários: Conforme vimos na teoria, é um tipo de tráfego interativo e não em volume. Gabarito: E André Castro Aula 12 Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital www.estrategiaconcursos.com.br 69360 Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 13 48 3. CESPE - Ana MPU/Tecnologia da Informação e Comunicação/Suporte e Infraestrutura/2013 Considerando o trecho de captura da questão anterior, julgue o item a seguir. O trecho de captura ilustra uma conexão TCP completa. Comentários: Para termos uma conexão completa, dependemos do estabelecimento através das FLAGS SYN e ACK e o encerramento com as FLAGS FIN e ACK. Não verificamos isso no trecho capturado. Gabarito: E 4. Considerando o trecho de captura da questão anterior, julgue o item a seguir. Apesar de a linha temporal não estar presente na captura, o trecho acima apresentado é consistente com a ocorrência de uma retransmissão rápida, não ocasionada por timeout. Comentários: A característica de recebimento de 3 ACKs consecutivos requisitando o mesmo pacote após o envio de um fluxo de pacotes independendo de confirmação e logo após, enviar imediatamente o pacote requisitado é uma característica da retransmissão rápida. Esse parâmetro de 3 ACK’s é padrão, porém configurável. Gabarito: C 5. Considerando o trecho de captura da questão anterior, julgue o item a seguir. É consistente com a captura afirmar que ela não foi realizada no host 10.0.0.2 ou no seu segmento. Comentários: André Castro Aula 12 Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital www.estrategiaconcursos.com.br 69360 Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 14 48 Vamos pensar um pouco. Se a captura estava sendo feita no host 10.0.0.2 ou no seu segmento e considerando que este foi capaz de detectar o recebimento dos 5 primeiros pacotes, ou seja, incluindo o pacote número 2, não faria sentido as sucessivas requisições de reenvio do pacote número 2. Ou seja, a captura aconteceu em algum ponto intermediário que possibilitou a captura do pacote número 2 e posteriormente, houve a perda desse pacote antes de chegar no host 10.0.0.2 ou no seu segmento. Entenderam pessoal? Questão muito interessante do CESPE nos levando a imaginar o cenário e o posicionamento dos elementos na rede. Gabarito: C 6. CESPE – TRE-RJ/Técnico Judiciário/2012 Os datagramas ICMP indicam indisponibilidade da porta 80 no host 3.3.3.3. Comentários: Pessoal, verificamos que as mensagens de número ímpares possuem a FLAG SYN ativada, indicando uma tentativa de estabelecimento de conexão a partir do host 1.1.1.1 no host 2.2.2.2, na porta 80, ou seja, provavelmente um acesso WEB. Entretanto, no meio do caminho, o host 3.3.3.3 responde ao host 1.1.1.1, conforme representado nas mensagens pares, através de uma mensagem ICMP do tipo TTL excedeed (ICMP type 11), ou seja, o TTL foi zerado, gerando o descarte do pacote no nó intermediário 3.3.3.3. Assim, a porta 80 é referente ao host 2.2.2.2 e não ao host 3.3.3.3. Ainda assim, como houve um descarte em nó intermediário, não se pode afirmar nada a respeito da disponibilidade da porta 80 do host 2.2.2.2. André Castro Aula 12 Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital www.estrategiaconcursos.com.br 69360 Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 15 48Gabarito: E 7. Considerando o trecho de captura da questão anterior, julgue o item a seguir. A captura mostra conexões TCP que se completaram. Comentários: Vimos que só acontece a primeira mensagem SYN do fluxo 3-way-handshake. Além disso, conexão TCP é caracterizada também pelo encerramento da conexão. Nesse caso não verificamos nenhum tipo de mensagem com a FLAG FIN sendo utilizada. Gabarito: E 8. Considerando o trecho de captura da questão anterior, julgue o item a seguir. O tamanho máximo de um datagrama, para que não ocorra fragmentação no host 1.1.1.1, é de 1.460 bytes. Comentários: Pessoal, o MSS se refere ao tamanho máximo suportado de um payload em determinado segmento recebido pela camada de transporte da pilha de protocolos TCP/IP. Dessa forma, considerando 1460 bytes como MSS, deveremos acrescentar, em regra, para um cabeçalho TCP e IP, 20 bytes para cada, totalizando 1500 bytes de MTU de rede. Portanto, para não ocorrer fragmentação, deve-se ter datagramas de tamanho máximo de 1500 bytes. Gabarito: E 9. Considerando o trecho de captura da questão anterior, julgue o item a seguir. A captura é consistente com a presença de um loop de roteamento ao longo do percurso. Comentários: André Castro Aula 12 Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital www.estrategiaconcursos.com.br 69360 Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 16 48 Pessoal, como vimos, o TTL padrão dos sistemas operacionais utilizados são mais que suficientes para alcançar quaisquer hosts em termos de quantidade de saltos na Internet. Se temos uma ocasião de TTL exceeded, duas são as possibilidades: houve alteração do TTL padrão dos SO’s, sendo este valor insuficiente ou há um loop na rede. Neste último caso, os pacotes ficam vagando pela rede, tendo seu TTL decrementado até ser zerado. Gabarito: C 10. Considerando o trecho de captura da questão anterior, julgue o item a seguir. A determinação do percurso entre 1.1.1.1 e 2.2.2.2 normalmente seria conclusiva para se determinar a causa da geração das mensagens ICMP. Comentários: Se temos como principal suspeita a ocorrência de loop na rede, ao determinarmos a rota que o pacote está seguindo, poderíamos verificar se de fato, este pacote está percorrendo os mesmos nós ciclicamente ou não. Uma alternativa é o uso do TRACERT ou TRACEROUTE para tal. Gabarito: C 11. CESPE – TRE-RJ/Técnico Judiciário/2012 A chegada dos fragmentos aos hosts de destino ocorreu fora da ordem de envio. Comentários: Fizemos a análise detalhada dessa questão na nossa teoria. As mensagens 1 a 3 e 4 a 6 são fragmentos de mensagens ICMP e estão devidamente ordenados. Basta olharmos para o OFFSET crescente e contínuo nos dois conjuntos. André Castro Aula 12 Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital www.estrategiaconcursos.com.br 69360 Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 17 48 Gabarito: E 12. CESPE – TRE-RJ/Técnico Judiciário/2012 Se os hosts tiverem máscaras de rede /24, eles estão em redes diferentes. Comentários: Mais uma questão de rede do que análise de tráfego. Identificados os hosts 10.1.1.1 e 10.1.1.2, assumindo a máscara /24, ou seja, um range CLASSE C, verificamos que ambos fazem parte da mesma rede, pois a parcela de rede será 10.1.1.H, sendo comum a ambos os hosts, e a parcela H seria utilizada para identificar os hosts da rede. Lembrando que devemos descontar os endereços de REDE e BROADCAST. Gabarito: E 13. CESPE – TRE-RJ/Técnico Judiciário/2012 O MTU dos enlaces em que se conectam os hosts é maior que 1.480. Comentários: Lembramos que o MTU contempla o cabeçalho da camada de rede e a parcela de dados das camadas superiores. Dessa forma, quando verificamos que os fragmentos possuem tamanho de 1480 bytes de dados, assumimos então que eles foram fragmentados para se adequar à MTU da rede. O pacote original 10550 possuía um tamanho de 3008 bytes (1480 + 1480 + 48), sendo o tamanho padrão de um echo request. Logo, como os 1480 bytes contempla apenas dados, deve-se acrescentar ainda o cabeçalho IP de tamanho mínimo 20 bytes, gerando um MTU de rede de 1500 bytes. André Castro Aula 12 Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital www.estrategiaconcursos.com.br 69360 Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 18 48 Gabarito: C 14. CESPE – TRE-RJ/Técnico Judiciário/2012 O datagrama IP que foi fragmentado carregava 3.008 bytes. Comentários: Conforme comentário anterior. Gabarito: C 15. CESPE – TRE-RJ/Técnico Judiciário/2012 Trata-se de tráfego consistente com a execução do comando ping no host 10.1.1.1. Comentários: Vimos que as mensagens 1 a 3 correspondem a um echo request do host 10.1.1.1 ao host 10.1.1.2. E as mensagens 4 a 6 um echo reply do host 10.1.1.2 ao host 10.1.1.1. A combinação dessas duas mensagens é o comando PING, partindo do host 10.1.1.1 ao host 10.1.1.2. Gabarito: C 16. CESPE – TCU/Auditor Federal de Controle Externo – TI/2010 André Castro Aula 12 Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital www.estrategiaconcursos.com.br 69360 Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 19 48 (Seguem-se 246 linhas semelhantes até o endereço 10.0.0.255 ser atingido.) Considerando o trecho de captura de tráfego acima, realizada em uma das portas ethernet de um switch camada 3 que interliga uma rede local a um backbone, julgue os itens que se seguem. O tráfego reportado na captura é consistente com a fase preparatória de vários ataques, entre os quais se encontra o de ARPspoofing. Comentários: Exemplo clássico de varredura de rede para mapeamento de dispositivos. Vamos analisar o primeiro da sequência: Neste caso, o host de endereço MAC 00:02:b3:af:36:96 está enviando uma mensagem em BROADCAST para todos os dispositivos da rede, ou seja, endereço de destino igual a FF:FF:FF:FF:FF:FF, tentando descobrir qual o endereço MAC do dispositivo que possui endereço IP igual a 10.0.0.1 (Who has 10.0.0.1?), informando que a resposta deve ser encaminhada ao host de endereço IP 10.0.0.36. Essa é uma consulta típica que ocorre rotineiramente nas redes para mapeamento dos dispositivos à medida que se necessita enviar um quadro e não se conhece o endereço MAC de destino. Entretanto, percebe-se que o dispositivo 10.0.0.36 está realizando a consulta para todos os endereços da rede, ou seja, com vistas a mapear todas as informações possíveis na rede. Percebam a informação abaixo da imagem: “(Seguem-se 246 linhas semelhantes até o endereço 10.0.0.255 ser atingido.)” De posse dessas informações, o atacante pode gerar uma série de ataques, inclusive o ARP SPOOFING, que nada mais é do que utilizar o endereço MAC de um outro dispositivo para enganar os demais dispositivos. Um roubo de identidade a partir do endereço MAC. André Castro Aula 12 Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital www.estrategiaconcursos.com.br 69360 Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 20 48 Gabarito: C 17. Considerando o tráfego da questão anterior O tráfego reportado na captura é consistente com a atividade de um vírus ou worm tentando se propagar a partir de outra rede ligada ao backbone. Comentários: Pessoal, aqui temos uma questão polêmica. Um worm é um malware que se propaga pela rede e pode sim ser utilizadopara realizar a varredura em questão. Logo, quando a questão diz que é consistente um WORM ou VIRUS, temos que é verdadeiro, pois, com o WORM é possível, já o VIRUS não se propaga pela rede. Como foi usado o termo “OU”, até aí não há problema. Entretanto, dizer que está tentando se propagar a partir de outra rede é um erro. Como vimos, o host 10.0.0.36 está dentro da mesma rede e de fato, consultas ARP só fazem sentido em uma mesma rede. Logo, é uma pena vermos o CESPE considerar uma questão dessa como correta. Gabarito: C (Gabarito do Professor: E) 18. Considerando o tráfego da questão anterior No trecho de captura de tráfego, em tela, há indícios de que estava ocorrendo um ataque de MAC flooding. Comentários Questão mais voltada para a área de segurança, porém vamos comentá-la. Ataques que flooding dizem respeito a um alto volume de tráfego direcionado a um único dispositivo com vistas a consumir os seus recursos e prejudicar o fornecimento do serviço. Verificamos que o tráfego em tela, a nível da camada MAC, não está sendo direcionado a uma única máquina, mas sim uma varredura na rede. Vale lembrar que o endereço MAC FF:FF:FF:FF:FF:FF não é um endereço de um host específico, mas sim o endereço de Broadcast a nível da camada de enlace. Gabarito: E André Castro Aula 12 Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital www.estrategiaconcursos.com.br 69360 Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 21 48 19. CESPE – Banco da Amazônia/Técnico Científico/2010 A captura apresenta apenas uma conexão TCP, estabelecida nos segmentos de I a III e encerrada nos segmentos VI e de XI a XIII. Comentários: Pessoal, devemos sempre tentar encontrar o fluxo em 3 vias para o estabelecimento da conexão. Ele deve ocorrer de forma sequencial da seguinte forma: SYN; SYN + ACK; e ACK. Um detalhe importante é que esses pacotes não carregam dados de informação, por esse motivo, apresentam tamanhos zerados de dados (LENGTH = 0). Podemos identificar essas características nos segmentos I a III. Além disso, o encerramento pode ocorrer em 3 ou 4 vias. Para começar, devemos buscar os dois segmentos que contenham a FLAG FIN. Verificamos ambos nos segmentos VI e XII. Para confirmar o encerramento, deve-se ter o ACK para cada um deles. Assim, buscamos nos números de sequência as mensagens seguintes. Para o segmento VI, sentido do host 2 para o 1, temos o id = 20041 e a mensagem terminando na posição 2068. Logo a mensagem deve ser no sentido 1 para 2, com ACK igual 2069. Verificamos tal ocorrência no segmento de número XI, com número de sequência igual a 46023. Não se esqueçam que o número de sequência é incrementado em cada dispositivo. André Castro Aula 12 Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital www.estrategiaconcursos.com.br 69360 ==10ef0== Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 22 48 Já no segmento XII, temos a requisição de encerramento no sentido do host 1 para o 2, com número de sequência igual a 46024, ou seja, logo após a confirmação de encerramento da primeira via da conexão que vimos anteriormente. Para esse segmento, a informação termina no byte 8. Logo, espera-se uma resposta no sentido contrário, ou seja, do host 2 para o 1, com ACK = 9, por ser a próxima da sequência. Temos tal ocorrência no segmento XIII. Reparem que essa é a última mensagem do host 2, com número se sequência igual 20042, ou seja, após o seu pedido FIN ocorrido no segmento VI. Assim temos que o gabarito está correto. Talvez a dúvida tenha surgido por causa do segmento VI, que está totalmente fora de ordem. Pessoal, na Internet isso é normal. Devemos buscar montar os quebra cabeças dos pacotes identificando a sequência e o fluxo das informações. Gabarito: C 20. Considerando a captura de tráfego da questão anterior: O segmento XII consiste em uma retransmissão do segmento XI. Comentários: Retransmissão implica em reenvio do pacote, ou seja, o mesmo pacote sendo enviado mais de uma vez. Basta olhar para o número de sequência e verificamos que os pacotes são distintos. Gabarito: E 21. Considerando a captura de tráfego da questão anterior: Não é consistente a afirmativa de que a captura foi realizada no host 1.1.1.1. Comentários: Muito pelo contrário. Para tal análise, vamos reparar no campo TTL. Vimos que o LINUX possui TTL padrão de 64. Logo, podemos considerar que o host 1.1.1.1 está enviado informação a partir de um ambiente Linux e que a captura está sendo feita diretamente no host, uma vez que não houve nenhum decremento do TTL original. André Castro Aula 12 Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital www.estrategiaconcursos.com.br 69360 Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 23 48 Além disso, observamos que a resposta que vem do host 2.2.2.2 possui TTL com valor 50. Podemos considerar ainda este pacote passou por 14 roteadores até chegar no host 1.1.1.1. Não devemos ficar caçando problemas nas questões. Os principais sistemas utilizados são LINUX com TTL 64 e Windows com TTL 128. Não faz sentido o host 2.2.2.2 ser Windows, pois na Internet, com 30 a 35 saltos, é possível atingir qualquer dispositivo. Logo, falar que o host 2 era Windows e realizou 78 saltos é um pouco fora da realidade. Gabarito: E 22. Considerando a captura de tráfego da questão anterior: É consistente a afirmativa de que houve perda de segmentos na captura. Comentários: Se houve perda, devemos identificar retransmissões ou lacunas na sequência dos pacotes em cada host. Primeiramente verificamos que não há nenhum pacote igual ao outro nos segmentos apresentados. Analisando os pacotes enviados pelo host 1.1.1.1, temos os números de sequência: 46018 (I), 46019 (III), 46020 (IV), 46021 (VII), 46022 (IX), 46023 (XI) e 46024 (XII). Já para o host 2.2.2.2, temos: 20037 (II), 20038 (V), 20039 (X), 20040 (VIII), 20041(VI) e 20042 (XIII). Dessa forma, não verificamos nenhuma lacuna nos números de sequência analisados, indicando que não houve perda. Gabarito: E 23. CESPE – TCU/Analista de Controle Externo – TI/2009 André Castro Aula 12 Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital www.estrategiaconcursos.com.br 69360 Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 24 48 Considerando o trecho de captura de tráfego acima apresentado, julgue os itens que seguem. Se utilizarem a mesma máscara de rede, qualquer que seja, então os hosts envolvidos na captura de tráfego estarão na mesma sub-rede. Comentários: Pessoal, primeiramente devemos identificar os hosts. São eles 10.1.1.200 e 10.1.1.100. Afirmar que, qualquer que seja a máscara de rede, os hosts estarão na mesma rede é um erro. Primeiro que essa generalização é sempre muito perigosa, como os termos “sempre”, “nunca”, entre outros. Segundo, que refutamos essa tese simplesmente supondo uma máscara /25. Nesse sentido, as faixas de endereços das subredes seriam: André Castro Aula 12 Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital www.estrategiaconcursos.com.br 69360 Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 25 48 10.1.1.1 a 10.1.1.127 – Contemplando o primeiro host 10.1.1.100 10.1.1.128 a 10.1.1.255 – Contemplando o segundo host 10.1.1.200 Gabarito: E 24. Considerando o tráfego da questão anterior A chegada fora de ordem dos pacotes de resposta deve-se à retransmissão de alguns deles ao longo do percurso.Comentários: Pessoal, sem analisar o tráfego, tendemos a marcar errado pois o desordenamento dos pacotes se dá, na maioria das vezes, aos diferentes percursos que cada um utiliza na rede. Analisando o fluxo, temos que os três primeiros pacotes são do host 10.1.1.100 para o host 10.1.1.200. Reparando sempre no campo OFFSET, pois ele que trata a sequência dos fragmentos, verificamos que a ordem foi totalmente invertida dos 3 primeiros pacotes. O pacote número 3 com OFFSET = 0 deveria ser o primeiro fragmento para remontagem. Sabendo que o tamanho de cada pacote é 1492, o segundo deve possuir OFFSET = 1492, e de fato, o segundo possui essa característica. E o pacote número 1 é o terceiro fragmento da sequência. Percebam que se tivesse ocorrido uma perda de pacote, por exemplo, do primeiro pacote da sequência, deveríamos então receber na ordem o fragmento número 2 e 3, o que não aconteceu, conforme vimos anteriormente. Além disso, nos fragmentos de resposta, de número 4 a 8, verificamos MTU’s diferente, confirmando que estes percorreram caminhos diferentes na rede, gerando assim o desordenamento. Para completarmos mais ainda a nossa análise, temos que o protocolo utilizado é o ICMP. Este protocolo atua a nível da camada de rede, sendo encapsulado diretamente no protocolo IP. Portanto, não há implementação de controle de recebimento dos pacotes, recurso este implementado pelo TCP. Gabarito: E 25. Considerando o tráfego da questão anterior É consistente com a captura que o processo de fragmentação tenha sido aplicado mais de uma vez nos pacotes de resposta. André Castro Aula 12 Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital www.estrategiaconcursos.com.br 69360 Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 26 48 Comentários: Perfeitamente consistente, uma vez que se tem tamanhos e OFFSETS diferenciados. Realizando uma análise mais precisa, verificamos que o ocorreu o seguinte fato: Houve uma primeira fragmentação com MTU igual a 1500, gerando 3 fragmentos. Lembrando que os dois primeiros utilizam o tamanho total de 1500 e o último é o tamanho restante para completar o quadro. Não devemos esquecer de descontar os 20 bytes de cabeçalho, ou seja, de informação útil, tivemos 1480 nos dois primeiros. Esses dois primeiros fragmentos de 1500, sofreram uma nova fragmentação, gerando agora 4 pacotes. Percebam que o fragmento original de 1500 chegou em um MTU de 764. Logo, preenche-se a primeira parcela completa com 764 e o restante fica em um segundo fragmento de 756. Ao descontarmos os cabeçalhos dos dois novos fragmentos, teremos então 744 + 736, totalizando os 1480 de informação útil do primeiro e segundo fragmento da primeira etapa de fragmentação. Gabarito: C 26. CESPE – TCU/Analista de Controle Externo – TI/2009 André Castro Aula 12 Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital www.estrategiaconcursos.com.br 69360 Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 27 48 André Castro Aula 12 Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital www.estrategiaconcursos.com.br 69360 Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 28 48 A captura em apreço apresenta uma conexão TCP completa, com todos os segmentos envolvidos no estabelecimento e encerramento da conexão. Comentários: De forma mais objetiva, se é conexão TCP completa, buscaremos o estabelecimento e encerramento da conexão através das FLAGS SYN e FIN. Nas pacotes 1 a 3, temos a sequência de estabelecimento: SYN , SYN + ACK , ACK (3-way- handshake). E nos pacotes de número 6 e 12, temos o envio da FLAG FIN de cada um dos hosts, com as respectivas respostas de acordo com o número ACK nos pacotes 11 e 13. Gabarito: C 27. Considerando o tráfego da questão anterior Há elementos característicos de tráfego interativo, em que a janela deslizante não é completamente preenchida. Entretanto, há segmentos com o tamanho máximo possível. Comentários: Primeiramente verificamos que de fato o tamanho máximo da janela (WINDOW) é bem maior do que o efetivamente utilizado no fluxo das mensagens (Length). Entretanto pessoal, no estabelecimento da conexão, verificamos que o MSS é igual a 1460, ou seja, o máximo de carga útil da camada de transporte é igual a 1460. Logo, após acrescentar os cabeçalhos TCP e IP, tem-se um MTU de rede igual a 1500. Olhando para o segmento de número 10, verificamos que este possui um tamanho igual a 1500, logo, toda a carga útil do segmento foi preenchida. Gabarito: C 28. Considerando o tráfego da questão anterior Na captura em questão, a recepção de segmentos fora de ordem deve-se à ocorrência de retransmissão por perda de pacotes. André Castro Aula 12 Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital www.estrategiaconcursos.com.br 69360 Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 29 48 Comentários: Já fizemos essa análise e vimos que a perda de pacotes não altera a ordem de chegada, mas tão somente gera uma lacuna na sequência do pacote perdido. No tráfego apresentado, verificamos que há uma grande desordem indicando que diferentes rotas foram utilizadas. Gabarito: E André Castro Aula 12 Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital www.estrategiaconcursos.com.br 69360 Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 30 48 EXERCÍCIOS COMENTADOS COMPLEMENTARES ANÁLISE DE TRÁFEGO 1. IADES – EBSERH/Analista de Tecnologia da Informação/2013 IP 192.168.1.180.46338 > 8.8.8.8.53: 17359+ A? foo.bar. (25) IP 192.168.1.180.46338 > 8.8.8.8.53: 42306+ AAAA? foo.bar. (25) IP 8.8.8.8.53 > 192.168.1.180.46338: 17359 NXdomain 0/1/0 (100) Assinale a alternativa correta. a) Um cliente está realizando 3 conexões diferentes com o servidor 8.8.8.8. b) É possível ver um cliente solicitando os endereços, IPv4 e IPv6 de foo.bar, a um servidor DNS. c) Com certeza, está sendo estabelecida uma conexão TCP. d) Há, pelo menos, 2 servidores de rede, envolvidos na captura mostrada. e) A máquina cliente 8.8.8.8 não consegue conexão com 192.168.1.180. Comentários: Pessoal, na prática, o endereço público 8.8.8.8 e 8.8.8.4 são servidores DNS do google de domínio público, ou seja, qualquer um poder realizar consultas a esses endereços. Vemos que os dois primeiros pacotes são destinados a esse host com o registro A e AAAA, que são exatamente consultas DNS de endereços IPv4 e IPv6 para o nome de domínio “foo.bar”. Além disso, podemos perceber a utilização da porta 53 do destinatário, que é a porta padrão do servidor DNS. Verificamos ainda que a identificação do pacote nos permite visualizar que o servidor, no terceiro pacote, respondeu à primeira requisição por possuir o mesmo número de identificação. Gabarito: B 2. IADES – EBSERH/Analista de Tecnologia da Informação/2013 André Castro Aula 12 Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital www.estrategiaconcursos.com.br 69360 Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 31 48 IP 192.168.1.91.33632 > 192.168.1.90.80: Flags [s], seq 2738002527, win 14600, options [mss 1460,sackoK,Ts val 10493310 ecr 0,nop,wscale 7], length 0 IP 192.168.1.90.80 > 192.168.1.91.33632: Flags [s.], seq 589427923, ack 2738002528, win 5840, options [mss 1460,nop,nop,sackoK,nop,wscale 9], length 0 IP 192.168.1.91.33632 > 192.168.1.90.80:Flags [.], ack 589427924, win 115, length 0 IP 192.168.1.91.33632 > 192.168.1.90.80: Flags [p .], seq 2738002528:2738002959, ack 589427924, win 115, length 431 IP 192.168.1.90.80 > 192.168.1.91.33632: Flags [.], ack 2738002959, win 14, length 0 Assinale a alternativa correta. a) Está ocorrendo uma atividade FTP. b) Está ocorrendo uma atividade HTTP. c) Não é possível afirmar, com precisão, qual tipo de atividade está ocorrendo, no nível de aplicação. d) Está ocorrendo uma atividade SSH. e) A porta 33632 está retornando pacotes. Comentários: Pessoal, apesar de sabermos que a porta 80 é utilizada como padrão para os serviços HTTP, não há informações suficientes que possamos garantir tal afirmação. Pode-se customizar determinada aplicação para utilizar a porta 80, ainda que isto não seja recomendado. Gabarito: B 3. CESGRANRIO – BACEN/Analista do BACEN – Area 1/2010 O computador portátil de um usuário doméstico é conectado, por meio de uma rede sem fio 802.11n, a um roteador que dispõe de um link com a Internet. Em dado momento, o usuário não consegue acessar um site de um órgão público e utiliza o comando "ping" para verificar sua conectividade. Todos os sites testados pelo usuário responderam ao comando "ping", com exceção desse órgão. Com base nesse relato, afirma-se que o(a) a) site do órgão público está fora do ar. b) tráfego ICMP pode ter sido filtrado pelo órgão público. c) roteador de borda do órgão público está congestionado. d) rede sem fio do usuário está limitada a 54 Mbps. e) ferramenta Wireshark não poderia capturar o tráfego da rede do usuário. Comentários: André Castro Aula 12 Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital www.estrategiaconcursos.com.br 69360 Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 32 48 Vamos analisar os itens: a) Não se pode garantir que o site esteja fora pois o ping por si só não verificar a funcionalidade do serviço a nível da camada de aplicação. INCORRETO b) Como sabemos, o PING é composto pelas mensagens echo request e echo reply. Desse modo, caso haja um bloqueio por qualquer equipamento na rede de destino do tráfego ICMP, as mensagens acima não passarão. Então, de fato, o filtro desse protocolo pode ser uma justificativa para o ocorrido. CORRETO c) Mais uma vez, o simples envio do comando PING não é suficiente para atestar que o roteador do destino está congestionado. Na prática, quando isso ocorre, recebe-se uma mensagem ICMP de resposta. INCORRETO d) A banda nesse caso não tem nada a ver com a incapacidade de acesso. O que poderia ser influenciado pela banda seria em termos da qualidade do tráfego, acarretando latência e ocasionalmente, uma indisponibilidade. INCORRETO e) Como vimos, o Wireshark é simplesmente um sniffer de rede, não impactando no funcionamento conforme enunciado da questão. INCORRETO Gabarito: B 4. FGV – DPE-MT/Analista de Sistemas/2015 Sniffers são programas que permitem capturar/inspecionar os dados trafegados em redes de computadores. Em redes ethernet, para que seja possível capturar pacotes que não sejam endereçados à própria máquina, Sniffers devem configurar a interface de rede, para trabalhar em modo a) promíscuo. b) broadcast. c) inspect. d) multi-user. e) admin. Comentários: Vimos que a característica de colocar a placa no modo promíscuo é pré-requisito para o funcionamento de um sniffer. Dessa forma, ao se colocar a placa nesse modo, ela passará a coletar todos os quadros no segmento de rede em questão, ainda que os quadros não sejam direcionados à própria placa. Gabarito: A André Castro Aula 12 Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital www.estrategiaconcursos.com.br 69360 Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 33 48 5. ESAF - APO (MPOG)/Tecnologia da Informação /Gestão de Infraestrutura de TI/2015 Duas ferramentas bastante utilizadas para análise de pacotes e monitoramento de tráfego de redes são: a) Gephi e TableNet. b) NetBeans e Jenkis. c) NetTrafi c e NetVizz. d) NetWorx e OpenNet. e) Tcpdump e Wireshark. Comentários: Questão bem básica a respeito dos dois principais sniffers utilizados, conforme vimos na teoria: TCPDump e Wireshark. Gabarito: E André Castro Aula 12 Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital www.estrategiaconcursos.com.br 69360 Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 34 48 Chegamos ao término de mais uma aula e consequentemente do nosso curso! Espero que tenham gostado da nossa jornada até aqui e, principalmente, que o curso tenha sido útil e suficiente para você ter um bom desempenho na hora da prova. Agora é focar nos exercícios e revisões para manter o conteúdo vivo em sua memória até o momento do Edital. Se você chegou até aqui previamente ao seu Edital, saiba que você está a frente de muitos candidatos que só estudarão após o edital. Já você, precisará apenas de ajustes finos! Um grande abraço! E se você ainda não nos acompanha no Instagram, reforço o pedido nessa última aula: @ProfAndreCastro André Castro Aula 12 Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital www.estrategiaconcursos.com.br 69360 Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 35 48 André Castro Aula 12 Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital www.estrategiaconcursos.com.br 69360 Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 36 48 LISTA DE EXERCÍCIOS ANÁLISE DE TRÁFEGO 1. CESPE - Ana (BACEN)/Área 2 - Suporte à Infraestrutura de Tecnologia da Informação/2013 Na interface de visualização dos dados capturados com o Wireshark, é possível criar um filtro para exibir somente o tipo de informação desejada; por exemplo, para se visualizar somente pacotes do tipo echo request, deve-se inserir no campo Filter a expressão de filtragem icmp.type == 5. 2. CESPE - Ana MPU/Tecnologia da Informação e Comunicação/Suporte e Infraestrutura/2013 10.0.0.1:80 > 10.0.0.2:52209 [PSH, ACK] Seq=1 Ack=1 Win=17376 Len=2 10.0.0.1:80 > 10.0.0.2:52209 [PSH, ACK] Seq=3 Ack=1 Win=17376 Len=48 10.0.0.1:80 > 10.0.0.2:52209 [PSH, ACK] Seq=51 Ack=1 Win=17376 Len=1 10.0.0.1:80 > 10.0.0.2:52209 [PSH, ACK] Seq=52 Ack=1 Win=17376 Len=2 10.0.0.1:80 > 10.0.0.2:52209 [PSH, ACK] Seq=54 Ack=1 Win=17376 Len=48 10.0.0.2:52209 > 10.0.0.1:80 [ACK] Seq=1 Ack=1 Win=7896 Len=0 10.0.0.2:52209 > 10.0.0.1:80 [ACK] Seq=1 Ack=3 Win=7896 Len=0 10.0.0.2:52209 > 10.0.0.1:80 [ACK] Seq=1 Ack=3 Win=7896 Len=0 10.0.0.2:52209 > 10.0.0.1:80 [ACK] Seq=1 Ack=3 Win=7896 Len=0 10.0.0.2:52209 > 10.0.0.1:80 [ACK] Seq=1 Ack=3 Win=7896 Len=0 10.0.0.1:80 > 10.0.0.2:52209 [ACK] Seq=3 Ack=1 Win=17376 Len=48 Considerando o trecho de captura acima apresentado, julgue o item a seguir. Os segmentos presentes caracterizam tráfego em volume. 3. CESPE - Ana MPU/Tecnologia da Informação e Comunicação/Suporte e Infraestrutura/2013 André Castro Aula 12 Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital www.estrategiaconcursos.com.br 69360 Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 37 48 Considerando o trecho de captura da questão anterior, julgue o item a seguir. O trecho de captura ilustra uma conexão TCP completa. 4. Considerando o trecho de captura da questão anterior, julgue o item a seguir. Apesarde a linha temporal não estar presente na captura, o trecho acima apresentado é consistente com a ocorrência de uma retransmissão rápida, não ocasionada por timeout. 5. Considerando o trecho de captura da questão anterior, julgue o item a seguir. É consistente com a captura afirmar que ela não foi realizada no host 10.0.0.2 ou no seu segmento. 6. CESPE – TRE-RJ/Técnico Judiciário/2012 Os datagramas ICMP indicam indisponibilidade da porta 80 no host 3.3.3.3. 7. Considerando o trecho de captura da questão anterior, julgue o item a seguir. A captura mostra conexões TCP que se completaram. 8. Considerando o trecho de captura da questão anterior, julgue o item a seguir. O tamanho máximo de um datagrama, para que não ocorra fragmentação no host 1.1.1.1, é de 1.460 bytes. 9. Considerando o trecho de captura da questão anterior, julgue o item a seguir. André Castro Aula 12 Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital www.estrategiaconcursos.com.br 69360 Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 38 48 A captura é consistente com a presença de um loop de roteamento ao longo do percurso. 10. Considerando o trecho de captura da questão anterior, julgue o item a seguir. A determinação do percurso entre 1.1.1.1 e 2.2.2.2 normalmente seria conclusiva para se determinar a causa da geração das mensagens ICMP. 11. CESPE – TRE-RJ/Técnico Judiciário/2012 A chegada dos fragmentos aos hosts de destino ocorreu fora da ordem de envio. 12. CESPE – TRE-RJ/Técnico Judiciário/2012 Se os hosts tiverem máscaras de rede /24, eles estão em redes diferentes. 13. CESPE – TRE-RJ/Técnico Judiciário/2012 O MTU dos enlaces em que se conectam os hosts é maior que 1.480. 14. CESPE – TRE-RJ/Técnico Judiciário/2012 André Castro Aula 12 Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital www.estrategiaconcursos.com.br 69360 Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 39 48 O datagrama IP que foi fragmentado carregava 3.008 bytes. 15. CESPE – TRE-RJ/Técnico Judiciário/2012 Trata-se de tráfego consistente com a execução do comando ping no host 10.1.1.1. 16. CESPE – TCU/Auditor Federal de Controle Externo – TI/2010 (Seguem-se 246 linhas semelhantes até o endereço 10.0.0.255 ser atingido.) Considerando o trecho de captura de tráfego acima, realizada em uma das portas ethernet de um switch camada 3 que interliga uma rede local a um backbone, julgue os itens que se seguem. O tráfego reportado na captura é consistente com a fase preparatória de vários ataques, entre os quais se encontra o de ARPspoofing. 17. Considerando o tráfego da questão anterior O tráfego reportado na captura é consistente com a atividade de um vírus ou worm tentando se propagar a partir de outra rede ligada ao backbone. 18. Considerando o tráfego da questão anterior No trecho de captura de tráfego, em tela, há indícios de que estava ocorrendo um ataque de MAC flooding. 19. CESPE – Banco da Amazônia/Técnico Científico/2010 André Castro Aula 12 Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital www.estrategiaconcursos.com.br 69360 Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 40 48 A captura apresenta apenas uma conexão TCP, estabelecida nos segmentos 20. Considerando a captura de tráfego da questão anterior: O segmento XII consiste em uma retransmissão do segmento XI. 21. Considerando a captura de tráfego da questão anterior: Não é consistente a afirmativa de que a captura foi realizada no host 1.1.1.1. 22. Considerando a captura de tráfego da questão anterior: É consistente a afirmativa de que houve perda de segmentos na captura. 23. CESPE – TCU/Analista de Controle Externo – TI/2009 André Castro Aula 12 Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital www.estrategiaconcursos.com.br 69360 Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 41 48 Considerando o trecho de captura de tráfego acima apresentado, julgue os itens que seguem. Se utilizarem a mesma máscara de rede, qualquer que seja, então os hosts envolvidos na captura de tráfego estarão na mesma sub-rede. 24. Considerando o tráfego da questão anterior A chegada fora de ordem dos pacotes de resposta deve-se à retransmissão de alguns deles ao longo do percurso. 25. Considerando o tráfego da questão anterior André Castro Aula 12 Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital www.estrategiaconcursos.com.br 69360 Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 42 48 É consistente com a captura que o processo de fragmentação tenha sido aplicado mais de uma vez nos pacotes de resposta. 26. CESPE – TCU/Analista de Controle Externo – TI/2009 André Castro Aula 12 Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital www.estrategiaconcursos.com.br 69360 Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 43 48 André Castro Aula 12 Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital www.estrategiaconcursos.com.br 69360 Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 44 48 A captura em apreço apresenta uma conexão TCP completa, com todos os segmentos envolvidos no estabelecimento e encerramento da conexão. 27. Considerando o tráfego da questão anterior Há elementos característicos de tráfego interativo, em que a janela deslizante não é completamente preenchida. Entretanto, há segmentos com o tamanho máximo possível. 28. Considerando o tráfego da questão anterior Na captura em questão, a recepção de segmentos fora de ordem deve-se à ocorrência de retransmissão por perda de pacotes. André Castro Aula 12 Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital www.estrategiaconcursos.com.br 69360 Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 45 48 LISTA DE EXERCÍCIOS COMPLEMENTARES ANÁLISE DE TRÁFEGO 1. IADES – EBSERH/Analista de Tecnologia da Informação/2013 IP 192.168.1.180.46338 > 8.8.8.8.53: 17359+ A? foo.bar. (25) IP 192.168.1.180.46338 > 8.8.8.8.53: 42306+ AAAA? foo.bar. (25) IP 8.8.8.8.53 > 192.168.1.180.46338: 17359 NXdomain 0/1/0 (100) Assinale a alternativa correta. a) Um cliente está realizando 3 conexões diferentes com o servidor 8.8.8.8. b) É possível ver um cliente solicitando os endereços, IPv4 e IPv6 de foo.bar, a um servidor DNS. c) Com certeza, está sendo estabelecida uma conexão TCP. d) Há, pelo menos, 2 servidores de rede, envolvidos na captura mostrada. e) A máquina cliente 8.8.8.8 não consegue conexão com 192.168.1.180. 2. IADES – EBSERH/Analista de Tecnologia da Informação/2013 IP 192.168.1.91.33632 > 192.168.1.90.80: Flags [s], seq 2738002527, win 14600, options [mss 1460,sackoK,Ts val 10493310 ecr 0,nop,wscale 7], length 0 IP 192.168.1.90.80 > 192.168.1.91.33632: Flags [s.], seq 589427923, ack 2738002528, win 5840, options [mss 1460,nop,nop,sackoK,nop,wscale 9], length 0 IP 192.168.1.91.33632 > 192.168.1.90.80: Flags [.], ack 589427924, win 115, length 0 IP 192.168.1.91.33632 > 192.168.1.90.80: Flags [p .], seq 2738002528:2738002959, ack 589427924, win 115, length 431 IP 192.168.1.90.80 > 192.168.1.91.33632:Flags [.], ack 2738002959, win 14, length 0 Assinale a alternativa correta. a) Está ocorrendo uma atividade FTP. b) Está ocorrendo uma atividade HTTP. c) Não é possível afirmar, com precisão, qual tipo de atividade está ocorrendo, no nível de aplicação. d) Está ocorrendo uma atividade SSH. André Castro Aula 12 Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital www.estrategiaconcursos.com.br 69360 Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 46 48 e) A porta 33632 está retornando pacotes. 3. CESGRANRIO – BACEN/Analista do BACEN – Area 1/2010 O computador portátil de um usuário doméstico é conectado, por meio de uma rede sem fio 802.11n, a um roteador que dispõe de um link com a Internet. Em dado momento, o usuário não consegue acessar um site de um órgão público e utiliza o comando "ping" para verificar sua conectividade. Todos os sites testados pelo usuário responderam ao comando "ping", com exceção desse órgão. Com base nesse relato, afirma-se que o(a) a) site do órgão público está fora do ar. b) tráfego ICMP pode ter sido filtrado pelo órgão público. c) roteador de borda do órgão público está congestionado. d) rede sem fio do usuário está limitada a 54 Mbps. e) ferramenta Wireshark não poderia capturar o tráfego da rede do usuário. 4. FGV – DPE-MT/Analista de Sistemas/2015 Sniffers são programas que permitem capturar/inspecionar os dados trafegados em redes de computadores. Em redes ethernet, para que seja possível capturar pacotes que não sejam endereçados à própria máquina, Sniffers devem configurar a interface de rede, para trabalhar em modo a) promíscuo. b) broadcast. c) inspect. d) multi-user. e) admin. 5. ESAF - APO (MPOG)/Tecnologia da Informação /Gestão de Infraestrutura de TI/2015 Duas ferramentas bastante utilizadas para análise de pacotes e monitoramento de tráfego de redes são: a) Gephi e TableNet. b) NetBeans e Jenkis. c) NetTrafi c e NetVizz. d) NetWorx e OpenNet. e) Tcpdump e Wireshark. André Castro Aula 12 Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital www.estrategiaconcursos.com.br 69360 Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 47 48 GABARITO GABARITO – QUESTÕES CESPE 1 E 2 E 3 E 4 C 5 C 6 E 7 E 8 E 9 C 10 C 11 E 12 E 13 C 14 C 15 C 16 C 17 C 18 E 19 C André Castro Aula 12 Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital www.estrategiaconcursos.com.br 69360 Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 48 48 20 E 21 E 22 E 23 E 24 E 25 C 26 C 27 C 28 E GABARITO – QUESTÕES DE OUTRAS BANCAS 1 B 2 B 3 B 4 A 5 E 6 André Castro Aula 12 Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital www.estrategiaconcursos.com.br 69360
Compartilhar