ELOGIOS A ANÁLISE DE PACOTES NA PRÁTICA “Uma riqueza de informações. Inteligente, embora muito legível, e honestamente me deixou empolgado para ler sobre análise de pacotes.” – T R ECH EPUBLIC “Recomendo este livro para analistas de rede iniciantes, desenvolvedores de software e aos recém-aprovados nos exames CSE/CISSP/etc. – pessoas que simplesmente precisam arregaçar as mangas e começar a resolver problemas de rede (e de segurança).” – G O , -C T O IOA UNTER LLMANN EX HIEF ECHNICAL FFICER DA CTIVE “Na próxima vez que investigar uma rede lenta, vou consultar o livro Análise de pacotes na prática. E esse talvez seja o melhor elogio que posso fazer a qualquer livro técnico.” – M W. L , A F BSD N F A ICHAEL UCAS AUTOR DE BSOLUTE REE E ETWORK LOW NALYSIS “Um livro essencial se você for responsável por administração de rede em qualquer nível.” – L P M INUX RO AGAZINE “Um guia maravilhoso, fácil de usar e bem organizado.” – A G . RS EEKCOM “Se você precisa conhecer profundamente o básico sobre análise de pacotes, este é um ótimo ponto de partida.” – S S . TATEOF ECURITYCOM “Muito informativo e fiel à expressão presente em seu título: na prática. Faz um ótimo trabalho em apresentar aos leitores o que eles precisam saber sobre análise de pacotes e, em seguida, mergulha prontamente em exemplos vívidos do mundo real sobre o que fazer com o Wireshark.” – L S . INUX ECURITYCOM “Há hosts desconhecidos conversando uns com os outros? Minha máquina está conversando com estranhos? Você precisa de um sniffer de pacotes para realmente encontrar as respostas a essas perguntas. O Wireshark é uma das melhores ferramentas para essa tarefa, e este livro é uma das melhores formas de conhecer essa ferramenta.” – F S M REE OFTWARE AGAZINE “Perfeito para o iniciante até o intermediário.” – D N AEMON EWS Chris Sanders Novatec Copyright © 2017 by Chris Sanders. Title of English-language original: Practical Packet Analysis, 3rd Edition: Using Wireshark to Solve Real-World Network Problems, ISBN 978-1-59327-802-1, published by No Starch Press. Portuguese-language edition copyright © 2017 by Novatec Editora Ltda. All rights reserved. Copyright © 2017 por Chris Sanders. Título original em Inglês: Practical Packet Analysis, 3rd Edition: Using Wireshark to Solve Real-World Network Problems, ISBN 978-1-59327-802-1, publicado pela No Starch Press. Edição em Português copyright © 2017 pela Novatec Editora Ltda. Todos os direitos reservados. © Novatec Editora Ltda. 2017. Todos os direitos reservados e protegidos pela Lei 9.610 de 19/02/1998. É proibida a reprodução desta obra, mesmo parcial, por qualquer processo, sem prévia autorização, por escrito, do autor e da Editora. Editor: Rubens Prates Tradução: Lúcia A. Kinoshita Revisão gramatical: Priscila A. Yoshimatsu Editoração eletrônica: Carolina Kuwabata ISBN: 978-85-7522-585-1 Histórico de edições impressas: Junho/2017 Primeira edição Novatec Editora Ltda. Rua Luís Antônio dos Santos 110 02460-000 – São Paulo, SP – Brasil Tel.: +55 11 2959-6529 E-mail: [email protected] Site: novatec.com.br Twitter: twitter.com/novateceditora Facebook: facebook.com/novatec LinkedIn: linkedin.com/in/novatec “Sublime graça, como é doce o som Que salvou um miserável como eu. Estava perdido, mas agora fui encontrado. Estava cego, mas agora posso ver.” SUMÁRIO Agradecimentos Introdução Por que escolher este livro? Conceitos e abordagem Como usar este livro Sobre os exemplos de arquivos de captura Rural Technology Fund (em inglês) Como entrar em contato comigo (em inglês) 1 Básico sobre análise de pacotes e redes Análise de pacotes e sniffers de pacotes Avaliando um sniffer de pacotes Como os sniffers de pacote funcionam Como os computadores se comunicam Protocolos O modelo OSI de sete camadas Hardware de rede Classificações do tráfego Tráfego de broadcast Tráfego multicast Tráfego unicast Considerações finais 2 Escutando uma transmissão Vivendo promiscuamente Sniffing nos hubs Sniffing em um ambiente com switches Espelhamento de porta Hubbing out Usando um tap Envenenamento de cache ARP Sniffing em um ambiente roteado Posicionamento do sniffer na prática 3 Introdução ao Wireshark Uma breve história do Wireshark As vantagens do Wireshark Instalando o Wireshark Instalando em sistemas Windows Instalando em sistemas Linux Instalando em sistemas OS X Básico sobre o Wireshark Sua primeira captura de pacotes A janela principal do Wireshark Preferências do Wireshark Código de cores para os pacotes Arquivos de configuração Perfis de configuração 4 Trabalhando com pacotes capturados Trabalhando com arquivos de captura Salvando e exportando arquivos de captura Combinando arquivos de captura Trabalhando com pacotes Encontrando pacotes Marcando pacotes Imprimindo pacotes Configurando formatos de exibição de horários e referências Formatos de exibição de horários Pacote como referência de tempo Deslocamento de tempo Configurando opções de captura A aba Input Aba Output Aba Options Usando filtros Filtros de captura Filtros de exibição Salvando filtros Adicionando filtros de exibição em uma barra de ferramentas 5 Recursos avançados do Wireshark Endpoints e conversas na rede Visualizando estatísticas dos endpoints Visualizando conversas na rede Identificando os top talkers com as janelas Endpoints e Conversations Estatísticas da hierarquia de protocolos Resolução de nomes Ativando a resolução de nomes Possíveis desvantagens da resolução de nomes Usando um arquivo hosts personalizado Resolução de nomes iniciada manualmente Dissecação de protocolos Alterando o dissecador Visualizando o código-fonte dos dissecadores Seguindo streams Seguindo streams SSL Tamanhos dos pacotes Gráficos Visualizando gráficos de ES Gráficos de tempos de ida e volta Gráfico de fluxos Informações especializadas 6 Análise de pacotes na linha de comando Instalando o TShark Instalando o tcpdump Capturando e salvando pacotes Manipulando a saída Resolução de nomes Aplicando filtros Formatos de exibição de horários no TShark Estatísticas resumidas no TShark Comparação entre o TShark e o tcpdump 7 Protocolos da camada de rede ARP (Address Resolution Protocol, ou Protocolo de Resolução de Endereços) Estrutura do pacote ARP Pacote 1: requisição ARP Pacote 2: resposta ARP ARP gratuito IP (Internet Protocol, ou Protocolo de Internet) IPv4 (Internet Protocol version 4, ou Protocolo de Internet versão 4) IPv6 (Internet Protocol version 6, ou Protocolo de Internet versão 6) ICMP (Internet Control Message Protocol, ou Protocolo de Mensagens de Controle da Internet) Estrutura do pacote ICMP Tipos e mensagens ICMP Requisições e respostas de eco traceroute ICMPv6 (ICMP version 6, ou ICMP versão 6) 8 Protocolos da camada de transporte TCP (Transmission Control Protocol, ou Protocolo de Controle de Transmissão) Estrutura do pacote TCP Portas TCP O handshake de três vias do TCP Desconexão TCP Resets TCP UDP (User Datagram Protocol, ou Protocolo de Datagrama de Usuários) Estrutura do pacote UDP 9 Protocolos comuns da camada superior DHCP (Dynamic Host Configuration Protocol, ou Protocolo de Configuração Dinâmica de Hosts) Estrutura do pacote DHCP Processo de inicialização do DHCP