Aula 12 (3)

Prévia do material em texto

Livro Eletrônico
Aula 12
Redes de Computadores p/ BRB (Analista TI) Com Videoaulas -
Pós-Edital
André Castro
 
 Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 12 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 1 
48 
Análise de Tráfego ............................................................................................................. 2 
EXERCÍCIOS COMENTADOS .............................................................................................. 11 
Análise de Tráfego ........................................................................................................................... 11 
EXERCÍCIOS COMENTADOS COMPLEMENTARES .............................................................. 30 
Análise de Tráfego ........................................................................................................................... 30 
LISTA DE EXERCÍCIOS ....................................................................................................... 36 
Análise de Tráfego ........................................................................................................................... 36 
LISTA DE EXERCÍCIOS COMPLEMENTARES ........................................................................ 45 
Análise de Tráfego ........................................................................................................................... 45 
GABARITO ....................................................................................................................... 47 
Gabarito – Questões CESPE ............................................................................................................. 47 
Gabarito – Questões de Outras Bancas .......................................................................................... 48 
 
 
André Castro
Aula 12
Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital
www.estrategiaconcursos.com.br
69360
 
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 12 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 2 
48 
 
 ANÁLISE DE TRÁFEGO 
Chegamos ao tópico mais interessante e prático, ainda que mais difícil do nosso conteúdo de redes. 
Para aprendermos bem o conhecimento aqui aplicado, dependeremos de um conhecimento um 
tanto sólido dos principais protocolos, como o Ethernet, IP e TCP. 
 
Antes disso, devemos mencionar o que é uma análise de tráfego propriamente dita. Basicamente, 
cada camada possui protocolos específicos com informações de cabeçalho específicas, além de 
outros fatores na rede. 
 
A cada pacote da camada 3 ou segmento da camada 4 do modelo OSI enviado ou recebido, pode-se 
extrair diversas informações a respeito do protocolo e outras características vinculadas a ele. 
 
Além disso, é importante mencionar que são usadas ferramentas conhecidas com sniffers capazes 
de extrair o tráfego em uma interface e apresentar o fluxo da informação naquela placa, 
principalmente com a demonstração dos cabeçalhos das camadas. 
 
As principais ferramentas são o WIRESHARK (Ferramenta Gráfica para Windows e Linux), TCPDUMP 
(Unix-like) e WinDump (Windows). Estudos mais detalhados sobre sniffers não fazem parte do nosso 
escopo, porém, ao longo das resoluções, teceremos alguns comentários a respeito. 
 
A seguir temos um exemplo de uma captura de pacotes com o TCPDUMP que é basicamente o que 
temos nos exercícios: 
André Castro
Aula 12
Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital
www.estrategiaconcursos.com.br
69360
 
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 12 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 3 
48 
 
 
E a seguir, do WIRESHARK: 
 
 
 
André Castro
Aula 12
Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital
www.estrategiaconcursos.com.br
69360
 
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 12 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 4 
48 
Um conceito que aparece em provas é a habilitação do modo promíscuo nas placas de rede 
para capturar os pacotes. Esse modo permite que a placa não mais capture somente os pacotes 
em unicast direcionados a ela e os broadcast, mas sim, todo e qualquer tráfego na rede ou 
segmento de rede a qual a interface está conectada. 
 
Nesse cenário, o posicionamento de um sniffer é fundamental, ou seja, busca-se “sniffar” 
segmentos de rede que agreguem todo o tráfego de todos os dispositivos, como uma 
entrada/saída de firewall, roteadores e switches. 
 
Essas duas ferramentas apresentam as informações com o registro de sequência de recebimento ou 
envio, além de um tempo de coleta, seguido das informações contidas em cada campo de um 
respectivo protocolo. 
 
Com as informações obtidas através dessas ferramentas pode-se realizar o troubleshooting, ou 
seja, a busca de origem de falhas e problemas na rede. Vale ressaltar que aspectos de 
desempenho e implementação de políticas de controle de tráfego pode ser visualizada 
diretamente na análise de tráfego. Outro ponto extremamente importante é a possibilidade de 
ser detectar ataques em determinados ambientes, seja no próprio firewall ou nos dispositivos 
internos. 
 
Como introdução, não há muito mais o que falar. Devemos ver na prática como essas informações 
aparecem em prova, como devemos interpretá-las à luz do conhecimento dos respectivos 
protocolos em análise e como responder à questão objetivamente. 
 
Há muita informação em questões desse tipo e devemos saber filtrar o que precisamos entender 
para responder às questões para não perdermos tempo de forma desnecessária. Buscarei guiá-los 
nesse sentido. Assim, faremos as primeiras questões com um pouco mais de detalhe no próprio 
conteúdo para respondermos objetivamente as questões na sessão de exercícios. 
 
Vamos verificar como a fragmentação de pacotes IP pode aparecer em uma prova (TRE-RJ/2012). 
Antes disso, devemos lembrar que a fragmentação depende de alguns campos do cabeçalho IP: 
André Castro
Aula 12
Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital
www.estrategiaconcursos.com.br
69360
 
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 12 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 5 
48 
 
 
São eles: 
• Identifier (um mesmo identificador para todos os fragmentos); 
• FLAG MF – More Fragment (Se habilitada, indica que há mais fragmentos, se desabilitada, 
indica que é o último fragmento); e 
• FRAGMENT OFFSET (Indica o posicionamento de cada fragmento para remontagem do 
pacote de forma sequencial e correta). 
 
Dessa forma, vamos buscar identificar esses campos no fluxo abaixo: 
 
 
Analisando a mensagem 1 temos as seguintes informações: 
• 00.998952 – Um marcador de tempo. A partir dele conseguimos determinar a ordem de 
chegada dos pacotes. Essa informação não vai no cabeçalho, mas o sniffer utilizada para 
organizar a sequência. 
• IP – Essa informação indica que é um pacote utilizando o protocolo IP. 
• 10.1.1.1 > 10.1.1.2 – A seta indica o sentido da mensagem, ou seja, está partindo do host 
10.1.1.1 para o host 10.1.1.2. Vale ressaltar que, nesse pacote, tem-se a origem como 10.1.1.1 
e o destino como 10.1.1.2. Entretanto, no fluxo de troca de mensagens, os papéis se invertem. 
Devemos observar quem é origem e destino pacote a pacote. 
 
Mas caso a questão aborde de uma forma geral sobre quem é a origem e destino no sentido 
de quem seja cliente ou servidor, devemos observar o fluxo como um todo. Geralmente quem 
atua ativamente enviando a primeira mensagem de estabelecimento de conexão é o cliente. 
• ICMP: Vemos ainda que o tipo de serviço utilizado é o protocolo ICMP. 
André Castro
Aula 12
Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital
www.estrategiaconcursos.com.br
69360
 
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 12 
 
 
 
 
Redes de Computadoreswww.estrategiaconcursos.com.br 
 6 
48 
• 1480 – Temos a informação do tamanho do conteúdo do pacote IP. Considerando que o IP 
utiliza o cabeçalho mínimo de 20 bytes como padrão, teríamos um MTU de 1500 bytes. 
• Echo request seq 4846 – Vemos que um tipo de mensagem ICMP echo request. O número de 
sequência informado é gerado utilizando como referência sequencias anteriores ou 
aleatoriamente. Esse número deve ser utilizado pelo destino com vistas a responder à 
requisição, como pode ser vista no pacote 4. Uma resposta ao mesmo número de sequência. 
• Frag 10550:1480@0+ - Aqui é a parte que nos interessa para essa análise. 
 
Primeiramente temos a identificação do pacote original para remontagem (10550), ou seja, 
todos os pacotes que tiverem essa identificação, serão fragmentos de um mesmo pacote. 
Verificamos tal condição nos fragmentos 1 a 3. 
 
Além disso, temos que o tamanho do payload do respectivo fragmento é de 1480 bytes. Essa 
informação pode aparecer também da seguinte forma: LEN 1480. 
 
Na terceira parte temos a informação do OFFSET (@0), ou seja, ele deve o primeiro fragmento 
deve ser posicionado como o primeiro da sequência, ou seja, sem nenhum deslocamento. 
 
E por último, o sinal “+” nos indica a FLAG MF (MORE FRAGMENTS) habilitada, o que indica 
que há mais fragmentos para compor o pacote. 
 
Fazendo agora uma análise rápida dos demais pacotes, temos: 
 
• PACOTE 2 – Faz parte do pacote 10550. Possui tamanho de 1480 bytes e sua posição começa 
a partir da posição 1480, com o indicativo de que há mais fragmentos. (Frag 
10550:1480@1480+). Concluímos que é o segundo pois o primeiro pacote possui 
tamanho de 1480, ou seja, vai da posição 0 até a posição 1479. O segundo pacote 
de tamanho 1480, iniciará na posição 1480 até a posição 2959. 
 
• PACOTE 3 – Faz parte do pacote 10550. Possui tamanho de 48 bytes, o que já nos leva à 
suspeita de que seja o último fragmento. Começa na posição 2960, indicando que é o terceiro 
fragmento e não possui a FLAG MF representada pelo sinal “+”. Logo, de fato, ele é o último 
fragmento. (frag 10550:48@2960) 
 
Os outros três pacotes de 4 a 6 estarão sujeitos à mesma analogia, porém com uma mensagem echo 
reply. 
 
 
André Castro
Aula 12
Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital
www.estrategiaconcursos.com.br
69360
 
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 12 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 7 
48 
 
Uma observação muito importante. Como nos três primeiros pacotes temos as parcelas de dados 
com tamanhos iguais a 1480, 1480 e 48, respectivamente, temos então um pacote original de 
tamanho 3008 bytes, que é o tamanho padrão do echo request. 
 
Quando esse pacote chega em uma rede de MTU de 1500 bytes, houve-se a necessidade de 
fragmentação. Reparem que o cálculo NÃO DEVE SER FEITO simplesmente dividindo 3008 
por 1500, o que levaria a 3 pacotes de 1500, 1500 e 8. ISSO ESTÁ ERRADO!!! 
 
O que deve ser feito é, sabendo que o MTU é 1500, deve-se descontar a parcela do 
cabeçalho IP que deverá estar presente em cada fragmento. Logo, resta apenas 1480 bytes 
para os dados do ECHO REQUEST. Assim, temos 3008 dividido por 1480, o que nos leva 
às parcelas, 1480, 1480 e 48, conforme análise do tráfego. 
 
 
Vamos estudar um tipo de tráfego cobrado na prova do MPU de 2013: 
10.0.0.1:80 > 10.0.0.2:52209 [PSH, ACK] Seq=1 Ack=1 Win=17376 Len=2 
10.0.0.1:80 > 10.0.0.2:52209 [PSH, ACK] Seq=3 Ack=1 Win=17376 Len=48 
10.0.0.1:80 > 10.0.0.2:52209 [PSH, ACK] Seq=51 Ack=1 Win=17376 Len=1 
10.0.0.1:80 > 10.0.0.2:52209 [PSH, ACK] Seq=52 Ack=1 Win=17376 Len=2 
10.0.0.1:80 > 10.0.0.2:52209 [PSH, ACK] Seq=54 Ack=1 Win=17376 Len=48 
10.0.0.2:52209 > 10.0.0.1:80 [ACK] Seq=1 Ack=1 Win=7896 Len=0 
10.0.0.2:52209 > 10.0.0.1:80 [ACK] Seq=1 Ack=3 Win=7896 Len=0 
10.0.0.2:52209 > 10.0.0.1:80 [ACK] Seq=1 Ack=3 Win=7896 Len=0 
10.0.0.2:52209 > 10.0.0.1:80 [ACK] Seq=1 Ack=3 Win=7896 Len=0 
10.0.0.2:52209 > 10.0.0.1:80 [ACK] Seq=1 Ack=3 Win=7896 Len=0 
10.0.0.1:80 > 10.0.0.2:52209 [ACK] Seq=3 Ack=1 Win=17376 Len=48 
 
Vamos analisar linha a linha para entendermos: 
10.0.0.1:80 > 10.0.0.2:52209 [PSH, ACK] Seq=1 Ack=1 Win=17376 Len=2 
Mensagem do host com IP 10.0.0.1 utilizando porta de origem 80 para o host 10.0.0.2 na 
porta de destino 52209. Estão habilitadas as FLAGS PSH e ACK. O número de SEQ é uma 
identificação do pacote. O ACK indica que o host que está enviando a mensagem, ou seja, 
10.0.0.1, está aguardando algum pacote de número de SEQ igual 1. Tem-se a informação 
da janela suportada, ou seja, quanto de informação pode ser enviado sem confirmação e 
por último o tamanho do pacote, igual a 2 bytes. Ou seja, se o número de SEQ é igual a 1, 
indica que será enviado o byte=1 e o byte =2. Logo, tem-se que o próximo pacote deverá 
iniciar com o número de SEQ = 3, ou seja, byte = 3. 
 
10.0.0.1:80 > 10.0.0.2:52209 [PSH, ACK] Seq=3 Ack=1 Win=17376 Len=48 
André Castro
Aula 12
Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital
www.estrategiaconcursos.com.br
69360
 
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 12 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 8 
48 
O mesmo host enviando mensagens. Observamos o número de SEQ igual a 3, dando 
continuidade ao pacote anterior. Como não houve recebimento de informação, o host 
10.0.0.1 continua aguardando um número de SEQ do destinatário igual a 1. Além disso, 
percebe-se que o tamanho desse pacote é igual a 48. Logo, começando em 3 e contando 
48 bytes, o próximo deverá iniciar em 53. 
 
10.0.0.1:80 > 10.0.0.2:52209 [PSH, ACK] Seq=51 Ack=1 Win=17376 Len=1 
O mesmo host enviando mensagens. Observamos o número de SEQ igual a 51, dando 
continuidade ao pacote anterior. Agora com tamanho igual a 1. 
 
10.0.0.1:80 > 10.0.0.2:52209 [PSH, ACK] Seq=52 Ack=1 Win=17376 Len=2 
Ainda no mesmo fluxo, começando com SEQ=52 indicando a continuação do pacote 
anterior, agora com tamanho 2. 
 
10.0.0.1:80 > 10.0.0.2:52209 [PSH, ACK] Seq=54 Ack=1 Win=17376 Len=48 
Ainda no mesmo fluxo, começando com SEQ=54 indicando a continuação do pacote 
anterior, agora com tamanho 48. Reparem que esse host gerou 5 pacotes de informação 
para o host 10.0.0.2. 
 
10.0.0.2:52209 > 10.0.0.1:80 [ACK] Seq=1 Ack=1 Win=7896 Len=0 
Neste momento percebemos a inversão do fluxo, ou seja, os papéis se inverteram. O host 
de origem agora é o 10.0.0.2, utilizando a mesma porta na qual ele recebeu as mensagens 
anteriores. Como resposta, utiliza-se a porta que o outro host estava utilizando, ou seja, 
a porta 80. Temos ainda que a FLAG ACK está habilitada. 
 
Como o host anterior aguardava a informação de SEQ=1, esse host inicia o seu fluxo 
correspondente ao esperado. Informando que recebeu a primeira mensagem do fluxo. 
 
Percebemos com a informação de ACK=1 que este host está aguardando também o 
pacote de SEQ=1. Ou seja, quando esse pacote foi enviado, o primeiro pacote do fluxo 
ainda não havia sido recebido. Observemos também o tamanho da janela diferente do 
primeiro host. O tamanho da informação desse pacote é 0, ou seja, não está sendo 
enviada informação, mas tão somente uma sinalização ACK indicando a informação 
esperada. 
 
10.0.0.2:52209 > 10.0.0.1:80 [ACK] Seq=1 Ack=3 Win=7896 Len=0 
André Castro
Aula 12
Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital
www.estrategiaconcursos.com.br
69360
 
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 12 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 9 
48 
Verificamos que o novo host envia um novo pacote sem dados, ou seja, solicitando mais 
uma vez o próximo byte da sequência. Mas neste caso, foi recebido o primeiro byte de 
tamanho igual a 2 correspondente à primeira mensagem do fluxo. Logo, o próximo byte 
que se espera, é o número 3. 
 
 
10.0.0.2:52209 > 10.0.0.1:80 [ACK] Seq=1 Ack=3 Win=7896 Len=0 
 
Verificamos que o host enviou o mesmo pacote que o anterior, indicandoque não 
recebeu o pacote com número de SEQ=3, ou seja, o segundo pacote enviado pelo host 
10.0.0.1 . Como vimos lá no TCP, provavelmente ele tenha recebido o terceiro pacote, 
porém com a falta do segundo, deve-se alertar a pendência. 
 
10.0.0.2:52209 > 10.0.0.1:80 [ACK] Seq=1 Ack=3 Win=7896 Len=0 
Mais uma vez requisita-se o pacote de SEQ=3, indicando que deve ter havido o 
recebimento do quarto pacote do fluxo, porém, ainda com a pendência do segundo 
pacote. 
 
10.0.0.2:52209 > 10.0.0.1:80 [ACK] Seq=1 Ack=3 Win=7896 Len=0 
 
Mais uma vez requisita-se o pacote de SEQ=3, indicando que deve ter havido o 
recebimento do quinto pacote do fluxo, porém, ainda com a pendência do segundo 
pacote. 
 
10.0.0.1:80 > 10.0.0.2:52209 [ACK] Seq=3 Ack=1 Win=17376 Len=48 
 
Nesse momento, o host 10.0.0.1 deve ter recebido sucessivas requisições do pacote de 
número de SEQ=3, indicando, portanto, que houve perda. Logo, ele reenvia o segundo 
pacote novamente conforme requisitado. 
 
Reparem que o tráfego em questão representa um tipo de aplicação iterativa, envolvendo diversos 
pacotes pequenos em sequência com a FLAG PSH ativada e sem preencher o tamanho total da 
janela. Essa não é uma característica de tráfego em volume, ou seja, acumular em buffer para envio 
e recebimento. 
André Castro
Aula 12
Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital
www.estrategiaconcursos.com.br
69360
 
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 12 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 10 
48 
Agora para aprofundarmos o assunto, vamos avançar nas questões e analisar os 
diversos cenários possíveis. 
 
 
 
 
 
André Castro
Aula 12
Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital
www.estrategiaconcursos.com.br
69360
 
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 12 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 11 
48 
 
EXERCÍCIOS COMENTADOS 
ANÁLISE DE TRÁFEGO 
1. CESPE - Ana (BACEN)/Área 2 - Suporte à Infraestrutura de Tecnologia da 
Informação/2013 
Na interface de visualização dos dados capturados com o Wireshark, é possível criar um 
filtro para exibir somente o tipo de informação desejada; por exemplo, para se visualizar 
somente pacotes do tipo echo request, deve-se inserir no campo Filter a expressão de 
filtragem icmp.type == 5. 
 
Comentários: 
Pessoal, exatamente. No wireshark possuímos um campo “FILTER” que nos permite filtrar 
a visualização do tráfego recebido. Qual é a ideia? Temos diversos pacotes sendo 
capturados na rede, com diversos protocolos e endereços. Entretanto, quero verificar 
apenas o comportando de um comando ICMP do tipo ECHO request. Dessa forma, 
podemos dizer no campo o tipo de mensagem que queremos, seja através do código ou do 
texto. A questão nos apresenta o código. 
 
Porém pessoal, o erro da questão está em afirmar que o código do echo request é o 
número 5, quando deveria ser o número 8, conforme nosso quadrinho abaixo: 
 
André Castro
Aula 12
Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital
www.estrategiaconcursos.com.br
69360
 
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 12 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 12 
48 
 
 
Gabarito: E 
 
2. CESPE - Ana MPU/Tecnologia da Informação e Comunicação/Suporte e 
Infraestrutura/2013 
10.0.0.1:80 > 10.0.0.2:52209 [PSH, ACK] Seq=1 Ack=1 Win=17376 Len=2 
10.0.0.1:80 > 10.0.0.2:52209 [PSH, ACK] Seq=3 Ack=1 Win=17376 Len=48 
10.0.0.1:80 > 10.0.0.2:52209 [PSH, ACK] Seq=51 Ack=1 Win=17376 Len=1 
10.0.0.1:80 > 10.0.0.2:52209 [PSH, ACK] Seq=52 Ack=1 Win=17376 Len=2 
10.0.0.1:80 > 10.0.0.2:52209 [PSH, ACK] Seq=54 Ack=1 Win=17376 Len=48 
10.0.0.2:52209 > 10.0.0.1:80 [ACK] Seq=1 Ack=1 Win=7896 Len=0 
10.0.0.2:52209 > 10.0.0.1:80 [ACK] Seq=1 Ack=3 Win=7896 Len=0 
10.0.0.2:52209 > 10.0.0.1:80 [ACK] Seq=1 Ack=3 Win=7896 Len=0 
10.0.0.2:52209 > 10.0.0.1:80 [ACK] Seq=1 Ack=3 Win=7896 Len=0 
10.0.0.2:52209 > 10.0.0.1:80 [ACK] Seq=1 Ack=3 Win=7896 Len=0 
10.0.0.1:80 > 10.0.0.2:52209 [ACK] Seq=3 Ack=1 Win=17376 Len=48 
 
Considerando o trecho de captura acima apresentado, julgue o item a seguir. 
 
Os segmentos presentes caracterizam tráfego em volume. 
 
Comentários: 
Conforme vimos na teoria, é um tipo de tráfego interativo e não em volume. 
 
Gabarito: E 
André Castro
Aula 12
Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital
www.estrategiaconcursos.com.br
69360
 
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 12 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 13 
48 
 
3. CESPE - Ana MPU/Tecnologia da Informação e Comunicação/Suporte e 
Infraestrutura/2013 
 
Considerando o trecho de captura da questão anterior, julgue o item a seguir. 
 
O trecho de captura ilustra uma conexão TCP completa. 
 
Comentários: 
Para termos uma conexão completa, dependemos do estabelecimento através das FLAGS 
SYN e ACK e o encerramento com as FLAGS FIN e ACK. Não verificamos isso no trecho 
capturado. 
 
Gabarito: E 
 
4. Considerando o trecho de captura da questão anterior, julgue o item a seguir. 
 
Apesar de a linha temporal não estar presente na captura, o trecho acima apresentado é 
consistente com a ocorrência de uma retransmissão rápida, não ocasionada por timeout. 
 
Comentários: 
A característica de recebimento de 3 ACKs consecutivos requisitando o mesmo pacote 
após o envio de um fluxo de pacotes independendo de confirmação e logo após, enviar 
imediatamente o pacote requisitado é uma característica da retransmissão rápida. Esse 
parâmetro de 3 ACK’s é padrão, porém configurável. 
 
Gabarito: C 
 
5. Considerando o trecho de captura da questão anterior, julgue o item a seguir. 
É consistente com a captura afirmar que ela não foi realizada no host 10.0.0.2 ou no seu 
segmento. 
 
Comentários: 
André Castro
Aula 12
Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital
www.estrategiaconcursos.com.br
69360
 
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 12 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 14 
48 
Vamos pensar um pouco. Se a captura estava sendo feita no host 10.0.0.2 ou no seu 
segmento e considerando que este foi capaz de detectar o recebimento dos 5 primeiros 
pacotes, ou seja, incluindo o pacote número 2, não faria sentido as sucessivas requisições 
de reenvio do pacote número 2. Ou seja, a captura aconteceu em algum ponto 
intermediário que possibilitou a captura do pacote número 2 e posteriormente, houve a 
perda desse pacote antes de chegar no host 10.0.0.2 ou no seu segmento. 
 
Entenderam pessoal? Questão muito interessante do CESPE nos levando a imaginar o 
cenário e o posicionamento dos elementos na rede. 
 
Gabarito: C 
 
6. CESPE – TRE-RJ/Técnico Judiciário/2012 
 
 
Os datagramas ICMP indicam indisponibilidade da porta 80 no host 3.3.3.3. 
 
Comentários: 
Pessoal, verificamos que as mensagens de número ímpares possuem a FLAG SYN ativada, 
indicando uma tentativa de estabelecimento de conexão a partir do host 1.1.1.1 no host 
2.2.2.2, na porta 80, ou seja, provavelmente um acesso WEB. 
 
Entretanto, no meio do caminho, o host 3.3.3.3 responde ao host 1.1.1.1, conforme 
representado nas mensagens pares, através de uma mensagem ICMP do tipo TTL 
excedeed (ICMP type 11), ou seja, o TTL foi zerado, gerando o descarte do pacote no nó 
intermediário 3.3.3.3. 
 
Assim, a porta 80 é referente ao host 2.2.2.2 e não ao host 3.3.3.3. Ainda assim, como 
houve um descarte em nó intermediário, não se pode afirmar nada a respeito da 
disponibilidade da porta 80 do host 2.2.2.2. 
André Castro
Aula 12
Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital
www.estrategiaconcursos.com.br
69360
 
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 12 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 15 
48Gabarito: E 
 
7. Considerando o trecho de captura da questão anterior, julgue o item a seguir. 
 
A captura mostra conexões TCP que se completaram. 
 
Comentários: 
Vimos que só acontece a primeira mensagem SYN do fluxo 3-way-handshake. Além disso, 
conexão TCP é caracterizada também pelo encerramento da conexão. Nesse caso não 
verificamos nenhum tipo de mensagem com a FLAG FIN sendo utilizada. 
 
Gabarito: E 
 
8. Considerando o trecho de captura da questão anterior, julgue o item a seguir. 
 
O tamanho máximo de um datagrama, para que não ocorra fragmentação no host 1.1.1.1, 
é de 1.460 bytes. 
 
Comentários: 
Pessoal, o MSS se refere ao tamanho máximo suportado de um payload em determinado 
segmento recebido pela camada de transporte da pilha de protocolos TCP/IP. Dessa 
forma, considerando 1460 bytes como MSS, deveremos acrescentar, em regra, para um 
cabeçalho TCP e IP, 20 bytes para cada, totalizando 1500 bytes de MTU de rede. Portanto, 
para não ocorrer fragmentação, deve-se ter datagramas de tamanho máximo de 1500 
bytes. 
 
Gabarito: E 
 
9. Considerando o trecho de captura da questão anterior, julgue o item a seguir. 
A captura é consistente com a presença de um loop de roteamento ao longo do percurso. 
 
Comentários: 
André Castro
Aula 12
Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital
www.estrategiaconcursos.com.br
69360
 
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 12 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 16 
48 
Pessoal, como vimos, o TTL padrão dos sistemas operacionais utilizados são mais que 
suficientes para alcançar quaisquer hosts em termos de quantidade de saltos na Internet. 
Se temos uma ocasião de TTL exceeded, duas são as possibilidades: houve alteração do 
TTL padrão dos SO’s, sendo este valor insuficiente ou há um loop na rede. Neste último 
caso, os pacotes ficam vagando pela rede, tendo seu TTL decrementado até ser zerado. 
 
 
Gabarito: C 
 
10. Considerando o trecho de captura da questão anterior, julgue o item a seguir. 
 
A determinação do percurso entre 1.1.1.1 e 2.2.2.2 normalmente seria conclusiva para se 
determinar a causa da geração das mensagens ICMP. 
 
Comentários: 
Se temos como principal suspeita a ocorrência de loop na rede, ao determinarmos a rota 
que o pacote está seguindo, poderíamos verificar se de fato, este pacote está percorrendo 
os mesmos nós ciclicamente ou não. Uma alternativa é o uso do TRACERT ou 
TRACEROUTE para tal. 
 
Gabarito: C 
 
11. CESPE – TRE-RJ/Técnico Judiciário/2012 
 
 
A chegada dos fragmentos aos hosts de destino ocorreu fora da ordem de envio. 
 
Comentários: 
Fizemos a análise detalhada dessa questão na nossa teoria. As mensagens 1 a 3 e 4 a 6 
são fragmentos de mensagens ICMP e estão devidamente ordenados. Basta olharmos 
para o OFFSET crescente e contínuo nos dois conjuntos. 
 
André Castro
Aula 12
Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital
www.estrategiaconcursos.com.br
69360
 
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 12 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 17 
48 
Gabarito: E 
 
12. CESPE – TRE-RJ/Técnico Judiciário/2012 
 
 
Se os hosts tiverem máscaras de rede /24, eles estão em redes diferentes. 
 
Comentários: 
Mais uma questão de rede do que análise de tráfego. Identificados os hosts 10.1.1.1 e 
10.1.1.2, assumindo a máscara /24, ou seja, um range CLASSE C, verificamos que ambos 
fazem parte da mesma rede, pois a parcela de rede será 10.1.1.H, sendo comum a ambos 
os hosts, e a parcela H seria utilizada para identificar os hosts da rede. Lembrando que 
devemos descontar os endereços de REDE e BROADCAST. 
 
Gabarito: E 
 
13. CESPE – TRE-RJ/Técnico Judiciário/2012 
 
 
O MTU dos enlaces em que se conectam os hosts é maior que 1.480. 
 
Comentários: 
Lembramos que o MTU contempla o cabeçalho da camada de rede e a parcela de dados 
das camadas superiores. Dessa forma, quando verificamos que os fragmentos possuem 
tamanho de 1480 bytes de dados, assumimos então que eles foram fragmentados para se 
adequar à MTU da rede. O pacote original 10550 possuía um tamanho de 3008 bytes 
(1480 + 1480 + 48), sendo o tamanho padrão de um echo request. 
 
Logo, como os 1480 bytes contempla apenas dados, deve-se acrescentar ainda o cabeçalho 
IP de tamanho mínimo 20 bytes, gerando um MTU de rede de 1500 bytes. 
 
André Castro
Aula 12
Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital
www.estrategiaconcursos.com.br
69360
 
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 12 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 18 
48 
Gabarito: C 
 
14. CESPE – TRE-RJ/Técnico Judiciário/2012 
 
 
O datagrama IP que foi fragmentado carregava 3.008 bytes. 
 
Comentários: 
Conforme comentário anterior. 
 
Gabarito: C 
 
15. CESPE – TRE-RJ/Técnico Judiciário/2012 
 
Trata-se de tráfego consistente com a execução do comando ping no host 10.1.1.1. 
 
Comentários: 
Vimos que as mensagens 1 a 3 correspondem a um echo request do host 10.1.1.1 ao host 
10.1.1.2. E as mensagens 4 a 6 um echo reply do host 10.1.1.2 ao host 10.1.1.1. A 
combinação dessas duas mensagens é o comando PING, partindo do host 10.1.1.1 ao host 
10.1.1.2. 
 
Gabarito: C 
 
16. CESPE – TCU/Auditor Federal de Controle Externo – TI/2010 
 
André Castro
Aula 12
Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital
www.estrategiaconcursos.com.br
69360
 
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 12 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 19 
48 
 
 
(Seguem-se 246 linhas semelhantes até o endereço 10.0.0.255 ser atingido.) 
 
Considerando o trecho de captura de tráfego acima, realizada em uma das 
portas ethernet de um switch camada 3 que interliga uma rede 
local a um backbone, julgue os itens que se seguem. 
 
O tráfego reportado na captura é consistente com a fase preparatória de vários ataques, 
entre os quais se encontra o de ARPspoofing. 
 
Comentários: 
Exemplo clássico de varredura de rede para mapeamento de dispositivos. Vamos analisar 
o primeiro da sequência: 
 
Neste caso, o host de endereço MAC 00:02:b3:af:36:96 está enviando uma mensagem em 
BROADCAST para todos os dispositivos da rede, ou seja, endereço de destino igual a 
FF:FF:FF:FF:FF:FF, tentando descobrir qual o endereço MAC do dispositivo que possui 
endereço IP igual a 10.0.0.1 (Who has 10.0.0.1?), informando que a resposta deve ser 
encaminhada ao host de endereço IP 10.0.0.36. 
 
Essa é uma consulta típica que ocorre rotineiramente nas redes para mapeamento dos 
dispositivos à medida que se necessita enviar um quadro e não se conhece o endereço 
MAC de destino. 
 
Entretanto, percebe-se que o dispositivo 10.0.0.36 está realizando a consulta para todos 
os endereços da rede, ou seja, com vistas a mapear todas as informações possíveis na 
rede. Percebam a informação abaixo da imagem: “(Seguem-se 246 linhas semelhantes até 
o endereço 10.0.0.255 ser atingido.)” 
 
De posse dessas informações, o atacante pode gerar uma série de ataques, inclusive o 
ARP SPOOFING, que nada mais é do que utilizar o endereço MAC de um outro dispositivo 
para enganar os demais dispositivos. Um roubo de identidade a partir do endereço MAC. 
André Castro
Aula 12
Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital
www.estrategiaconcursos.com.br
69360
 
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 12 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 20 
48 
 
Gabarito: C 
 
17. Considerando o tráfego da questão anterior 
O tráfego reportado na captura é consistente com a atividade de um vírus 
ou worm tentando se propagar a partir de outra rede ligada ao backbone. 
 
Comentários: 
Pessoal, aqui temos uma questão polêmica. Um worm é um malware que se propaga pela 
rede e pode sim ser utilizadopara realizar a varredura em questão. Logo, quando a 
questão diz que é consistente um WORM ou VIRUS, temos que é verdadeiro, pois, com o 
WORM é possível, já o VIRUS não se propaga pela rede. Como foi usado o termo “OU”, até 
aí não há problema. 
 
Entretanto, dizer que está tentando se propagar a partir de outra rede é um erro. Como 
vimos, o host 10.0.0.36 está dentro da mesma rede e de fato, consultas ARP só fazem 
sentido em uma mesma rede. Logo, é uma pena vermos o CESPE considerar uma questão 
dessa como correta. 
 
Gabarito: C (Gabarito do Professor: E) 
 
 
18. Considerando o tráfego da questão anterior 
No trecho de captura de tráfego, em tela, há indícios de que estava ocorrendo um ataque 
de MAC flooding. 
 
Comentários 
Questão mais voltada para a área de segurança, porém vamos comentá-la. Ataques que 
flooding dizem respeito a um alto volume de tráfego direcionado a um único dispositivo 
com vistas a consumir os seus recursos e prejudicar o fornecimento do serviço. 
Verificamos que o tráfego em tela, a nível da camada MAC, não está sendo direcionado a 
uma única máquina, mas sim uma varredura na rede. Vale lembrar que o endereço MAC 
FF:FF:FF:FF:FF:FF não é um endereço de um host específico, mas sim o endereço de 
Broadcast a nível da camada de enlace. 
 
Gabarito: E 
André Castro
Aula 12
Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital
www.estrategiaconcursos.com.br
69360
 
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 12 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 21 
48 
 
19. CESPE – Banco da Amazônia/Técnico Científico/2010 
 
 
A captura apresenta apenas uma conexão TCP, estabelecida nos segmentos de I a III e 
encerrada nos segmentos VI e de XI a XIII. 
 
Comentários: 
Pessoal, devemos sempre tentar encontrar o fluxo em 3 vias para o estabelecimento da 
conexão. Ele deve ocorrer de forma sequencial da seguinte forma: SYN; SYN + ACK; e ACK. 
Um detalhe importante é que esses pacotes não carregam dados de informação, por esse 
motivo, apresentam tamanhos zerados de dados (LENGTH = 0). Podemos identificar 
essas características nos segmentos I a III. 
 
Além disso, o encerramento pode ocorrer em 3 ou 4 vias. Para começar, devemos buscar 
os dois segmentos que contenham a FLAG FIN. Verificamos ambos nos segmentos VI e 
XII. Para confirmar o encerramento, deve-se ter o ACK para cada um deles. Assim, 
buscamos nos números de sequência as mensagens seguintes. Para o segmento VI, 
sentido do host 2 para o 1, temos o id = 20041 e a mensagem terminando na posição 
2068. Logo a mensagem deve ser no sentido 1 para 2, com ACK igual 2069. Verificamos 
tal ocorrência no segmento de número XI, com número de sequência igual a 46023. Não 
se esqueçam que o número de sequência é incrementado em cada dispositivo. 
André Castro
Aula 12
Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital
www.estrategiaconcursos.com.br
69360
 
==10ef0==
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 12 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 22 
48 
 
Já no segmento XII, temos a requisição de encerramento no sentido do host 1 para o 2, 
com número de sequência igual a 46024, ou seja, logo após a confirmação de 
encerramento da primeira via da conexão que vimos anteriormente. Para esse segmento, 
a informação termina no byte 8. Logo, espera-se uma resposta no sentido contrário, ou 
seja, do host 2 para o 1, com ACK = 9, por ser a próxima da sequência. 
 
Temos tal ocorrência no segmento XIII. Reparem que essa é a última mensagem do host 
2, com número se sequência igual 20042, ou seja, após o seu pedido FIN ocorrido no 
segmento VI. 
 
Assim temos que o gabarito está correto. Talvez a dúvida tenha surgido por causa do 
segmento VI, que está totalmente fora de ordem. Pessoal, na Internet isso é normal. 
Devemos buscar montar os quebra cabeças dos pacotes identificando a sequência e o 
fluxo das informações. 
 
Gabarito: C 
 
20. Considerando a captura de tráfego da questão anterior: 
O segmento XII consiste em uma retransmissão do segmento XI. 
 
Comentários: 
Retransmissão implica em reenvio do pacote, ou seja, o mesmo pacote sendo enviado mais 
de uma vez. Basta olhar para o número de sequência e verificamos que os pacotes são 
distintos. 
 
Gabarito: E 
 
21. Considerando a captura de tráfego da questão anterior: 
Não é consistente a afirmativa de que a captura foi realizada no host 1.1.1.1. 
 
Comentários: 
Muito pelo contrário. Para tal análise, vamos reparar no campo TTL. Vimos que o LINUX 
possui TTL padrão de 64. Logo, podemos considerar que o host 1.1.1.1 está enviado 
informação a partir de um ambiente Linux e que a captura está sendo feita diretamente 
no host, uma vez que não houve nenhum decremento do TTL original. 
André Castro
Aula 12
Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital
www.estrategiaconcursos.com.br
69360
 
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 12 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 23 
48 
 
Além disso, observamos que a resposta que vem do host 2.2.2.2 possui TTL com valor 50. 
Podemos considerar ainda este pacote passou por 14 roteadores até chegar no host 
1.1.1.1. Não devemos ficar caçando problemas nas questões. Os principais sistemas 
utilizados são LINUX com TTL 64 e Windows com TTL 128. Não faz sentido o host 2.2.2.2 
ser Windows, pois na Internet, com 30 a 35 saltos, é possível atingir qualquer dispositivo. 
Logo, falar que o host 2 era Windows e realizou 78 saltos é um pouco fora da realidade. 
 
Gabarito: E 
 
22. Considerando a captura de tráfego da questão anterior: 
É consistente a afirmativa de que houve perda de segmentos na captura. 
 
Comentários: 
Se houve perda, devemos identificar retransmissões ou lacunas na sequência dos pacotes 
em cada host. Primeiramente verificamos que não há nenhum pacote igual ao outro nos 
segmentos apresentados. Analisando os pacotes enviados pelo host 1.1.1.1, temos os 
números de sequência: 46018 (I), 46019 (III), 46020 (IV), 46021 (VII), 46022 (IX), 46023 
(XI) e 46024 (XII). Já para o host 2.2.2.2, temos: 20037 (II), 20038 (V), 20039 (X), 20040 
(VIII), 20041(VI) e 20042 (XIII). 
 
Dessa forma, não verificamos nenhuma lacuna nos números de sequência analisados, 
indicando que não houve perda. 
 
Gabarito: E 
 
23. CESPE – TCU/Analista de Controle Externo – TI/2009 
André Castro
Aula 12
Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital
www.estrategiaconcursos.com.br
69360
 
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 12 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 24 
48 
 
Considerando o trecho de captura de tráfego acima apresentado, julgue os itens que 
seguem. 
 
Se utilizarem a mesma máscara de rede, qualquer que seja, então os hosts envolvidos na 
captura de tráfego estarão na mesma sub-rede. 
 
Comentários: 
Pessoal, primeiramente devemos identificar os hosts. São eles 10.1.1.200 e 10.1.1.100. 
Afirmar que, qualquer que seja a máscara de rede, os hosts estarão na mesma rede é um 
erro. Primeiro que essa generalização é sempre muito perigosa, como os termos “sempre”, 
“nunca”, entre outros. Segundo, que refutamos essa tese simplesmente supondo uma 
máscara /25. Nesse sentido, as faixas de endereços das subredes seriam: 
André Castro
Aula 12
Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital
www.estrategiaconcursos.com.br
69360
 
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 12 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 25 
48 
10.1.1.1 a 10.1.1.127 – Contemplando o primeiro host 10.1.1.100 
10.1.1.128 a 10.1.1.255 – Contemplando o segundo host 10.1.1.200 
 
Gabarito: E 
 
24. Considerando o tráfego da questão anterior 
A chegada fora de ordem dos pacotes de resposta deve-se à retransmissão de alguns deles 
ao longo do percurso.Comentários: 
Pessoal, sem analisar o tráfego, tendemos a marcar errado pois o desordenamento dos 
pacotes se dá, na maioria das vezes, aos diferentes percursos que cada um utiliza na rede. 
Analisando o fluxo, temos que os três primeiros pacotes são do host 10.1.1.100 para o host 
10.1.1.200. 
 
Reparando sempre no campo OFFSET, pois ele que trata a sequência dos fragmentos, 
verificamos que a ordem foi totalmente invertida dos 3 primeiros pacotes. O pacote 
número 3 com OFFSET = 0 deveria ser o primeiro fragmento para remontagem. Sabendo 
que o tamanho de cada pacote é 1492, o segundo deve possuir OFFSET = 1492, e de fato, o 
segundo possui essa característica. E o pacote número 1 é o terceiro fragmento da 
sequência. 
 
Percebam que se tivesse ocorrido uma perda de pacote, por exemplo, do primeiro pacote 
da sequência, deveríamos então receber na ordem o fragmento número 2 e 3, o que não 
aconteceu, conforme vimos anteriormente. 
 
Além disso, nos fragmentos de resposta, de número 4 a 8, verificamos MTU’s diferente, 
confirmando que estes percorreram caminhos diferentes na rede, gerando assim o 
desordenamento. 
 
Para completarmos mais ainda a nossa análise, temos que o protocolo utilizado é o ICMP. 
Este protocolo atua a nível da camada de rede, sendo encapsulado diretamente no 
protocolo IP. Portanto, não há implementação de controle de recebimento dos pacotes, 
recurso este implementado pelo TCP. 
 
Gabarito: E 
 
25. Considerando o tráfego da questão anterior 
É consistente com a captura que o processo de fragmentação tenha sido aplicado mais de 
uma vez nos pacotes de resposta. 
André Castro
Aula 12
Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital
www.estrategiaconcursos.com.br
69360
 
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 12 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 26 
48 
 
Comentários: 
Perfeitamente consistente, uma vez que se tem tamanhos e OFFSETS diferenciados. 
Realizando uma análise mais precisa, verificamos que o ocorreu o seguinte fato: 
 
Houve uma primeira fragmentação com MTU igual a 1500, gerando 3 fragmentos. 
Lembrando que os dois primeiros utilizam o tamanho total de 1500 e o último é o tamanho 
restante para completar o quadro. Não devemos esquecer de descontar os 20 bytes de 
cabeçalho, ou seja, de informação útil, tivemos 1480 nos dois primeiros. 
 
Esses dois primeiros fragmentos de 1500, sofreram uma nova fragmentação, gerando 
agora 4 pacotes. Percebam que o fragmento original de 1500 chegou em um MTU de 764. 
Logo, preenche-se a primeira parcela completa com 764 e o restante fica em um segundo 
fragmento de 756. Ao descontarmos os cabeçalhos dos dois novos fragmentos, teremos 
então 744 + 736, totalizando os 1480 de informação útil do primeiro e segundo fragmento 
da primeira etapa de fragmentação. 
 
Gabarito: C 
 
26. CESPE – TCU/Analista de Controle Externo – TI/2009 
André Castro
Aula 12
Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital
www.estrategiaconcursos.com.br
69360
 
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 12 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 27 
48 
 
André Castro
Aula 12
Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital
www.estrategiaconcursos.com.br
69360
 
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 12 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 28 
48 
A captura em apreço apresenta uma conexão TCP completa, com todos os segmentos 
envolvidos no estabelecimento e encerramento da conexão. 
 
Comentários: 
De forma mais objetiva, se é conexão TCP completa, buscaremos o estabelecimento e 
encerramento da conexão através das FLAGS SYN e FIN. 
 
Nas pacotes 1 a 3, temos a sequência de estabelecimento: SYN , SYN + ACK , ACK (3-way-
handshake). 
 
E nos pacotes de número 6 e 12, temos o envio da FLAG FIN de cada um dos hosts, com 
as respectivas respostas de acordo com o número ACK nos pacotes 11 e 13. 
 
Gabarito: C 
 
27. Considerando o tráfego da questão anterior 
Há elementos característicos de tráfego interativo, em que a janela deslizante não é 
completamente preenchida. Entretanto, há segmentos com o tamanho máximo possível. 
 
Comentários: 
Primeiramente verificamos que de fato o tamanho máximo da janela (WINDOW) é bem 
maior do que o efetivamente utilizado no fluxo das mensagens (Length). 
 
Entretanto pessoal, no estabelecimento da conexão, verificamos que o MSS é igual a 1460, 
ou seja, o máximo de carga útil da camada de transporte é igual a 1460. Logo, após 
acrescentar os cabeçalhos TCP e IP, tem-se um MTU de rede igual a 1500. 
 
Olhando para o segmento de número 10, verificamos que este possui um tamanho igual 
a 1500, logo, toda a carga útil do segmento foi preenchida. 
 
Gabarito: C 
 
28. Considerando o tráfego da questão anterior 
Na captura em questão, a recepção de segmentos fora de ordem deve-se à ocorrência de 
retransmissão por perda de pacotes. 
 
André Castro
Aula 12
Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital
www.estrategiaconcursos.com.br
69360
 
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 12 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 29 
48 
Comentários: 
Já fizemos essa análise e vimos que a perda de pacotes não altera a ordem de chegada, 
mas tão somente gera uma lacuna na sequência do pacote perdido. No tráfego 
apresentado, verificamos que há uma grande desordem indicando que diferentes rotas 
foram utilizadas. 
 
Gabarito: E 
 
 
 
 
André Castro
Aula 12
Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital
www.estrategiaconcursos.com.br
69360
 
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 12 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 30 
48 
 
EXERCÍCIOS COMENTADOS COMPLEMENTARES 
ANÁLISE DE TRÁFEGO 
1. IADES – EBSERH/Analista de Tecnologia da Informação/2013 
 
IP 192.168.1.180.46338 > 8.8.8.8.53: 17359+ A? foo.bar. (25) 
IP 192.168.1.180.46338 > 8.8.8.8.53: 42306+ AAAA? foo.bar. (25) 
IP 8.8.8.8.53 > 192.168.1.180.46338: 17359 NXdomain 0/1/0 (100) 
 
Assinale a alternativa correta. 
a) Um cliente está realizando 3 conexões diferentes com o servidor 8.8.8.8. 
b) É possível ver um cliente solicitando os endereços, IPv4 e IPv6 de foo.bar, a um servidor 
DNS. 
c) Com certeza, está sendo estabelecida uma conexão TCP. 
d) Há, pelo menos, 2 servidores de rede, envolvidos na captura mostrada. 
e) A máquina cliente 8.8.8.8 não consegue conexão com 192.168.1.180. 
 
Comentários: 
Pessoal, na prática, o endereço público 8.8.8.8 e 8.8.8.4 são servidores DNS do google de 
domínio público, ou seja, qualquer um poder realizar consultas a esses endereços. Vemos 
que os dois primeiros pacotes são destinados a esse host com o registro A e AAAA, que 
são exatamente consultas DNS de endereços IPv4 e IPv6 para o nome de domínio 
“foo.bar”. Além disso, podemos perceber a utilização da porta 53 do destinatário, que é a 
porta padrão do servidor DNS. 
 
Verificamos ainda que a identificação do pacote nos permite visualizar que o servidor, no 
terceiro pacote, respondeu à primeira requisição por possuir o mesmo número de 
identificação. 
 
Gabarito: B 
 
2. IADES – EBSERH/Analista de Tecnologia da Informação/2013 
André Castro
Aula 12
Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital
www.estrategiaconcursos.com.br
69360
 
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 12 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 31 
48 
 
IP 192.168.1.91.33632 > 192.168.1.90.80: Flags [s], seq 2738002527, win 14600, options 
[mss 1460,sackoK,Ts val 10493310 ecr 0,nop,wscale 7], length 0 
IP 192.168.1.90.80 > 192.168.1.91.33632: Flags [s.], seq 589427923, ack 2738002528, win 
5840, options [mss 1460,nop,nop,sackoK,nop,wscale 9], length 0 
IP 192.168.1.91.33632 > 192.168.1.90.80:Flags [.], ack 589427924, win 115, length 0 
IP 192.168.1.91.33632 > 192.168.1.90.80: Flags [p .], seq 2738002528:2738002959, ack 
589427924, win 115, length 431 
IP 192.168.1.90.80 > 192.168.1.91.33632: Flags [.], ack 2738002959, win 14, length 0 
 
Assinale a alternativa correta. 
a) Está ocorrendo uma atividade FTP. 
b) Está ocorrendo uma atividade HTTP. 
c) Não é possível afirmar, com precisão, qual tipo de atividade está ocorrendo, no nível de 
aplicação. 
d) Está ocorrendo uma atividade SSH. 
e) A porta 33632 está retornando pacotes. 
 
Comentários: 
Pessoal, apesar de sabermos que a porta 80 é utilizada como padrão para os serviços 
HTTP, não há informações suficientes que possamos garantir tal afirmação. Pode-se 
customizar determinada aplicação para utilizar a porta 80, ainda que isto não seja 
recomendado. 
 
Gabarito: B 
 
3. CESGRANRIO – BACEN/Analista do BACEN – Area 1/2010 
O computador portátil de um usuário doméstico é conectado, por meio de uma rede sem 
fio 802.11n, a um roteador que dispõe de um link com a Internet. Em dado momento, o 
usuário não consegue acessar um site de um órgão público e utiliza o comando "ping" 
para verificar sua conectividade. Todos os sites testados pelo usuário responderam ao 
comando "ping", com exceção desse órgão. Com base nesse relato, afirma-se que o(a) 
 a) site do órgão público está fora do ar. 
 b) tráfego ICMP pode ter sido filtrado pelo órgão público. 
 c) roteador de borda do órgão público está congestionado. 
 d) rede sem fio do usuário está limitada a 54 Mbps. 
 e) ferramenta Wireshark não poderia capturar o tráfego da rede do usuário. 
 
Comentários: 
André Castro
Aula 12
Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital
www.estrategiaconcursos.com.br
69360
 
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 12 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 32 
48 
Vamos analisar os itens: 
 
a) Não se pode garantir que o site esteja fora pois o ping por si só não verificar a funcionalidade do 
serviço a nível da camada de aplicação. INCORRETO 
b) Como sabemos, o PING é composto pelas mensagens echo request e echo reply. Desse modo, 
caso haja um bloqueio por qualquer equipamento na rede de destino do tráfego ICMP, as mensagens 
acima não passarão. Então, de fato, o filtro desse protocolo pode ser uma justificativa para o 
ocorrido. CORRETO 
c) Mais uma vez, o simples envio do comando PING não é suficiente para atestar que o roteador do 
destino está congestionado. Na prática, quando isso ocorre, recebe-se uma mensagem ICMP de 
resposta. INCORRETO 
d) A banda nesse caso não tem nada a ver com a incapacidade de acesso. O que poderia ser 
influenciado pela banda seria em termos da qualidade do tráfego, acarretando latência e 
ocasionalmente, uma indisponibilidade. INCORRETO 
e) Como vimos, o Wireshark é simplesmente um sniffer de rede, não impactando no funcionamento 
conforme enunciado da questão. INCORRETO 
Gabarito: B 
 
4. FGV – DPE-MT/Analista de Sistemas/2015 
Sniffers são programas que permitem capturar/inspecionar os dados trafegados em redes 
de computadores. 
Em redes ethernet, para que seja possível capturar pacotes que não sejam endereçados à 
própria máquina, Sniffers devem configurar a interface de rede, para trabalhar em modo 
 a) promíscuo. 
 b) broadcast. 
 c) inspect. 
 d) multi-user. 
 e) admin. 
 
Comentários: 
Vimos que a característica de colocar a placa no modo promíscuo é pré-requisito para o 
funcionamento de um sniffer. Dessa forma, ao se colocar a placa nesse modo, ela passará 
a coletar todos os quadros no segmento de rede em questão, ainda que os quadros não 
sejam direcionados à própria placa. 
 
Gabarito: A 
 
André Castro
Aula 12
Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital
www.estrategiaconcursos.com.br
69360
 
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 12 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 33 
48 
5. ESAF - APO (MPOG)/Tecnologia da Informação /Gestão de Infraestrutura de TI/2015 
Duas ferramentas bastante utilizadas para análise de pacotes e monitoramento de 
tráfego de redes são: 
a) Gephi e TableNet. 
b) NetBeans e Jenkis. 
c) NetTrafi c e NetVizz. 
d) NetWorx e OpenNet. 
e) Tcpdump e Wireshark. 
 
Comentários: 
Questão bem básica a respeito dos dois principais sniffers utilizados, conforme vimos na 
teoria: TCPDump e Wireshark. 
 
Gabarito: E 
 
 
 
 
André Castro
Aula 12
Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital
www.estrategiaconcursos.com.br
69360
 
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 12 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 34 
48 
 
 
 
 
Chegamos ao término de mais uma aula e consequentemente do 
nosso curso! 
 
Espero que tenham gostado da nossa jornada até aqui e, 
principalmente, que o curso tenha sido útil e suficiente para você ter 
um bom desempenho na hora da prova. 
 
Agora é focar nos exercícios e revisões para manter o conteúdo vivo 
em sua memória até o momento do Edital. 
Se você chegou até aqui previamente ao seu Edital, saiba que você 
está a frente de muitos candidatos que só estudarão após o edital. 
 
Já você, precisará apenas de ajustes finos! 
 
Um grande abraço! 
 
E se você ainda não nos acompanha no Instagram, reforço o pedido 
nessa última aula: 
 
@ProfAndreCastro 
 
André Castro
Aula 12
Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital
www.estrategiaconcursos.com.br
69360
 
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 12 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 35 
48 
 
André Castro
Aula 12
Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital
www.estrategiaconcursos.com.br
69360
 
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 12 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 36 
48 
 
 
LISTA DE EXERCÍCIOS 
ANÁLISE DE TRÁFEGO 
1. CESPE - Ana (BACEN)/Área 2 - Suporte à Infraestrutura de Tecnologia da 
Informação/2013 
Na interface de visualização dos dados capturados com o Wireshark, é possível criar um 
filtro para exibir somente o tipo de informação desejada; por exemplo, para se visualizar 
somente pacotes do tipo echo request, deve-se inserir no campo Filter a expressão de 
filtragem icmp.type == 5. 
 
 
2. CESPE - Ana MPU/Tecnologia da Informação e Comunicação/Suporte e 
Infraestrutura/2013 
10.0.0.1:80 > 10.0.0.2:52209 [PSH, ACK] Seq=1 Ack=1 Win=17376 Len=2 
10.0.0.1:80 > 10.0.0.2:52209 [PSH, ACK] Seq=3 Ack=1 Win=17376 Len=48 
10.0.0.1:80 > 10.0.0.2:52209 [PSH, ACK] Seq=51 Ack=1 Win=17376 Len=1 
10.0.0.1:80 > 10.0.0.2:52209 [PSH, ACK] Seq=52 Ack=1 Win=17376 Len=2 
10.0.0.1:80 > 10.0.0.2:52209 [PSH, ACK] Seq=54 Ack=1 Win=17376 Len=48 
10.0.0.2:52209 > 10.0.0.1:80 [ACK] Seq=1 Ack=1 Win=7896 Len=0 
10.0.0.2:52209 > 10.0.0.1:80 [ACK] Seq=1 Ack=3 Win=7896 Len=0 
10.0.0.2:52209 > 10.0.0.1:80 [ACK] Seq=1 Ack=3 Win=7896 Len=0 
10.0.0.2:52209 > 10.0.0.1:80 [ACK] Seq=1 Ack=3 Win=7896 Len=0 
10.0.0.2:52209 > 10.0.0.1:80 [ACK] Seq=1 Ack=3 Win=7896 Len=0 
10.0.0.1:80 > 10.0.0.2:52209 [ACK] Seq=3 Ack=1 Win=17376 Len=48 
 
Considerando o trecho de captura acima apresentado, julgue o item a seguir. 
 
Os segmentos presentes caracterizam tráfego em volume. 
 
3. CESPE - Ana MPU/Tecnologia da Informação e Comunicação/Suporte e 
Infraestrutura/2013 
 
André Castro
Aula 12
Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital
www.estrategiaconcursos.com.br
69360
 
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 12 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 37 
48 
Considerando o trecho de captura da questão anterior, julgue o item a seguir. 
 
O trecho de captura ilustra uma conexão TCP completa. 
 
4. Considerando o trecho de captura da questão anterior, julgue o item a seguir. 
 
Apesarde a linha temporal não estar presente na captura, o trecho acima apresentado é 
consistente com a ocorrência de uma retransmissão rápida, não ocasionada por timeout. 
 
5. Considerando o trecho de captura da questão anterior, julgue o item a seguir. 
É consistente com a captura afirmar que ela não foi realizada no host 10.0.0.2 ou no seu 
segmento. 
 
6. CESPE – TRE-RJ/Técnico Judiciário/2012 
 
 
Os datagramas ICMP indicam indisponibilidade da porta 80 no host 3.3.3.3. 
 
7. Considerando o trecho de captura da questão anterior, julgue o item a seguir. 
 
A captura mostra conexões TCP que se completaram. 
 
8. Considerando o trecho de captura da questão anterior, julgue o item a seguir. 
 
O tamanho máximo de um datagrama, para que não ocorra fragmentação no host 1.1.1.1, 
é de 1.460 bytes. 
 
9. Considerando o trecho de captura da questão anterior, julgue o item a seguir. 
André Castro
Aula 12
Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital
www.estrategiaconcursos.com.br
69360
 
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 12 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 38 
48 
A captura é consistente com a presença de um loop de roteamento ao longo do percurso. 
 
10. Considerando o trecho de captura da questão anterior, julgue o item a seguir. 
 
A determinação do percurso entre 1.1.1.1 e 2.2.2.2 normalmente seria conclusiva para se 
determinar a causa da geração das mensagens ICMP. 
 
11. CESPE – TRE-RJ/Técnico Judiciário/2012 
 
 
A chegada dos fragmentos aos hosts de destino ocorreu fora da ordem de envio. 
 
12. CESPE – TRE-RJ/Técnico Judiciário/2012 
 
 
Se os hosts tiverem máscaras de rede /24, eles estão em redes diferentes. 
 
13. CESPE – TRE-RJ/Técnico Judiciário/2012 
 
 
O MTU dos enlaces em que se conectam os hosts é maior que 1.480. 
 
14. CESPE – TRE-RJ/Técnico Judiciário/2012 
 
André Castro
Aula 12
Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital
www.estrategiaconcursos.com.br
69360
 
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 12 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 39 
48 
 
O datagrama IP que foi fragmentado carregava 3.008 bytes. 
 
15. CESPE – TRE-RJ/Técnico Judiciário/2012 
 
Trata-se de tráfego consistente com a execução do comando ping no host 10.1.1.1. 
 
16. CESPE – TCU/Auditor Federal de Controle Externo – TI/2010 
 
 
 
(Seguem-se 246 linhas semelhantes até o endereço 10.0.0.255 ser atingido.) 
 
Considerando o trecho de captura de tráfego acima, realizada em uma das 
portas ethernet de um switch camada 3 que interliga uma rede 
local a um backbone, julgue os itens que se seguem. 
 
O tráfego reportado na captura é consistente com a fase preparatória de vários ataques, 
entre os quais se encontra o de ARPspoofing. 
 
17. Considerando o tráfego da questão anterior 
O tráfego reportado na captura é consistente com a atividade de um vírus 
ou worm tentando se propagar a partir de outra rede ligada ao backbone. 
 
18. Considerando o tráfego da questão anterior 
No trecho de captura de tráfego, em tela, há indícios de que estava ocorrendo um ataque 
de MAC flooding. 
 
19. CESPE – Banco da Amazônia/Técnico Científico/2010 
André Castro
Aula 12
Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital
www.estrategiaconcursos.com.br
69360
 
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 12 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 40 
48 
 
 
A captura apresenta apenas uma conexão TCP, estabelecida nos segmentos 
 
20. Considerando a captura de tráfego da questão anterior: 
O segmento XII consiste em uma retransmissão do segmento XI. 
 
 
21. Considerando a captura de tráfego da questão anterior: 
Não é consistente a afirmativa de que a captura foi realizada no host 1.1.1.1. 
 
22. Considerando a captura de tráfego da questão anterior: 
É consistente a afirmativa de que houve perda de segmentos na captura. 
 
23. CESPE – TCU/Analista de Controle Externo – TI/2009 
André Castro
Aula 12
Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital
www.estrategiaconcursos.com.br
69360
 
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 12 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 41 
48 
 
Considerando o trecho de captura de tráfego acima apresentado, julgue os itens que 
seguem. 
 
Se utilizarem a mesma máscara de rede, qualquer que seja, então os hosts envolvidos na 
captura de tráfego estarão na mesma sub-rede. 
 
 
24. Considerando o tráfego da questão anterior 
A chegada fora de ordem dos pacotes de resposta deve-se à retransmissão de alguns deles 
ao longo do percurso. 
 
25. Considerando o tráfego da questão anterior 
André Castro
Aula 12
Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital
www.estrategiaconcursos.com.br
69360
 
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 12 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 42 
48 
É consistente com a captura que o processo de fragmentação tenha sido aplicado mais de 
uma vez nos pacotes de resposta. 
 
26. CESPE – TCU/Analista de Controle Externo – TI/2009 
André Castro
Aula 12
Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital
www.estrategiaconcursos.com.br
69360
 
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 12 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 43 
48 
 
André Castro
Aula 12
Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital
www.estrategiaconcursos.com.br
69360
 
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 12 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 44 
48 
A captura em apreço apresenta uma conexão TCP completa, com todos os segmentos 
envolvidos no estabelecimento e encerramento da conexão. 
 
27. Considerando o tráfego da questão anterior 
Há elementos característicos de tráfego interativo, em que a janela deslizante não é 
completamente preenchida. Entretanto, há segmentos com o tamanho máximo possível. 
 
28. Considerando o tráfego da questão anterior 
Na captura em questão, a recepção de segmentos fora de ordem deve-se à ocorrência de 
retransmissão por perda de pacotes. 
 
 
 
 
André Castro
Aula 12
Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital
www.estrategiaconcursos.com.br
69360
 
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 12 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 45 
48 
 
LISTA DE EXERCÍCIOS COMPLEMENTARES 
ANÁLISE DE TRÁFEGO 
1. IADES – EBSERH/Analista de Tecnologia da Informação/2013 
 
IP 192.168.1.180.46338 > 8.8.8.8.53: 17359+ A? foo.bar. (25) 
IP 192.168.1.180.46338 > 8.8.8.8.53: 42306+ AAAA? foo.bar. (25) 
IP 8.8.8.8.53 > 192.168.1.180.46338: 17359 NXdomain 0/1/0 (100) 
 
Assinale a alternativa correta. 
a) Um cliente está realizando 3 conexões diferentes com o servidor 8.8.8.8. 
b) É possível ver um cliente solicitando os endereços, IPv4 e IPv6 de foo.bar, a um servidor 
DNS. 
c) Com certeza, está sendo estabelecida uma conexão TCP. 
d) Há, pelo menos, 2 servidores de rede, envolvidos na captura mostrada. 
e) A máquina cliente 8.8.8.8 não consegue conexão com 192.168.1.180. 
 
2. IADES – EBSERH/Analista de Tecnologia da Informação/2013 
 
IP 192.168.1.91.33632 > 192.168.1.90.80: Flags [s], seq 2738002527, win 14600, options 
[mss 1460,sackoK,Ts val 10493310 ecr 0,nop,wscale 7], length 0 
IP 192.168.1.90.80 > 192.168.1.91.33632: Flags [s.], seq 589427923, ack 2738002528, win 
5840, options [mss 1460,nop,nop,sackoK,nop,wscale 9], length 0 
IP 192.168.1.91.33632 > 192.168.1.90.80: Flags [.], ack 589427924, win 115, length 0 
IP 192.168.1.91.33632 > 192.168.1.90.80: Flags [p .], seq 2738002528:2738002959, ack 
589427924, win 115, length 431 
IP 192.168.1.90.80 > 192.168.1.91.33632:Flags [.], ack 2738002959, win 14, length 0 
 
Assinale a alternativa correta. 
a) Está ocorrendo uma atividade FTP. 
b) Está ocorrendo uma atividade HTTP. 
c) Não é possível afirmar, com precisão, qual tipo de atividade está ocorrendo, no nível de 
aplicação. 
d) Está ocorrendo uma atividade SSH. 
André Castro
Aula 12
Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital
www.estrategiaconcursos.com.br
69360
 
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 12 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 46 
48 
e) A porta 33632 está retornando pacotes. 
 
3. CESGRANRIO – BACEN/Analista do BACEN – Area 1/2010 
O computador portátil de um usuário doméstico é conectado, por meio de uma rede sem 
fio 802.11n, a um roteador que dispõe de um link com a Internet. Em dado momento, o 
usuário não consegue acessar um site de um órgão público e utiliza o comando "ping" 
para verificar sua conectividade. Todos os sites testados pelo usuário responderam ao 
comando "ping", com exceção desse órgão. Com base nesse relato, afirma-se que o(a) 
 a) site do órgão público está fora do ar. 
 b) tráfego ICMP pode ter sido filtrado pelo órgão público. 
 c) roteador de borda do órgão público está congestionado. 
 d) rede sem fio do usuário está limitada a 54 Mbps. 
 e) ferramenta Wireshark não poderia capturar o tráfego da rede do usuário. 
 
 
4. FGV – DPE-MT/Analista de Sistemas/2015 
Sniffers são programas que permitem capturar/inspecionar os dados trafegados em redes 
de computadores. 
Em redes ethernet, para que seja possível capturar pacotes que não sejam endereçados à 
própria máquina, Sniffers devem configurar a interface de rede, para trabalhar em modo 
 a) promíscuo. 
 b) broadcast. 
 c) inspect. 
 d) multi-user. 
 e) admin. 
 
5. ESAF - APO (MPOG)/Tecnologia da Informação /Gestão de Infraestrutura de TI/2015 
Duas ferramentas bastante utilizadas para análise de pacotes e monitoramento de 
tráfego de redes são: 
a) Gephi e TableNet. 
b) NetBeans e Jenkis. 
c) NetTrafi c e NetVizz. 
d) NetWorx e OpenNet. 
e) Tcpdump e Wireshark. 
 
 
 
 
André Castro
Aula 12
Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital
www.estrategiaconcursos.com.br
69360
 
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 12 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 47 
48 
 
GABARITO 
GABARITO – QUESTÕES CESPE 
1 E 
2 E 
3 E 
4 C 
5 C 
6 E 
7 E 
8 E 
9 C 
10 C 
11 E 
12 E 
13 C 
14 C 
15 C 
16 C 
17 C 
18 E 
19 C 
André Castro
Aula 12
Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital
www.estrategiaconcursos.com.br
69360
 
Prof. André Castro / Instagram: @ProfAndreCastro 
Aula 12 
 
 
 
 
Redes de Computadores 
www.estrategiaconcursos.com.br 
 48 
48 
20 E 
21 E 
22 E 
23 E 
24 E 
25 C 
26 C 
27 C 
28 E 
 
 
GABARITO – QUESTÕES DE OUTRAS BANCAS 
1 B 
2 B 
3 B 
4 A 
5 E 
6 
 
 
 
 
 
 
André Castro
Aula 12
Redes de Computadores p/ BRB (Analista TI) Com Videoaulas - Pós-Edital
www.estrategiaconcursos.com.br
69360