«

»

out 23 2010

Usando um analisador de pacote para troubleshooting de rede – parte I

Olá, meus amigos !

Retorno hoje ao blog mais legal da Internet para mais uma série de artigos. Venho durante esse tempo que estive um “pouco” afastada, olhando, lendo, observando o blog. Pessoas que já conhecia fazendo suas certs, e eu de lá torcendo. “Pôxa, esse cara vai passar ! Ele é bom.” Dito e certo. Pass para ele. Mas… precisei estar em retiro independente da minha vontade. E percebi quanto esse blog estimula, avalanca e fornece vastíssimo material sobre Network que tornou-se quase uma Ciência. Se não for.

Acredito no poder da transformação e principalmente da união. Sabemos que o momento é esse. União em torno do objetivo de manter este blog 100% no ar e sempre atualizado. Internet é imensa ?? Sem dúvida. Internet tem vastíssimo material ?? Toneladas. Eu só não encontro na Internet, meus amigos, alguém que pensa, realiza, e organiza tudo isso com coerência para que você e eu possamos entender. E faz simplesmente porque gosta e o tempo todo diz a “você para andar para frente”. Marco Filippeti. Após um mal-entendido (acredito eu), podemos observar quantos se mobilizaram para dizer a ele… quanto precisamos, necessitamos, e somos sim carente de um profissional com sua capacidade de realização que nos dê um norte. E ele tem família, trabalho e outras atividades e problemas, como todos aqui. E com tudo isso ainda mantem o blog. Resumindo ? Quando acessei e li a msg “blog fora por tempo indeterminado” de Marco, fiquei sem saber bem que o pensar. Fiquei ali parada, olhando e querendo “digerir” a tal palavra “indeterminado”. Como ?!? Não. Parei, li novamente e não entendi. Mas imediatamente decidi : “Tá na hora de voltar.”

Era bem isso que eu queria dizer. 🙂

Vamos ao artigo !

 


Por que minha rede está lenta ?
Por que não posso acessar meu email ?
Por que não posso compartilhar um drive ?


Todas essas perguntas e muitas outras serão feitas quando algo estranho acontece na sua rede e um milhão de coisas diferentes podem dar errado em uma rede em um dado momento do dia – de uma simples infecção por um spyware, a um erro complexo de configuração no seu router – e é literalmente impossível resolver todos os problemas imediatamente. O melhor que podemos esperar fazer é estar totalmente preparados com o conhecimento e ferramentas que podem responder a esses tipos de casos. Resumindo : pró-ativos 24 horas.

Todos os problemas das redes resultam do nível de pacote, onde até mesmo aplicações que parecem estar rodando corretamente, podem revelar implementações horríveis e protocolos confiáveis podem se provar serem maliosos.

Para melhor entender e resolver problemas na rede, vamos olhar no nível de pacote onde nada está escondido, e onde nada está obscurecido por estruturas de menu mal feitas, olhos capturando gráficos ou funcionários não confiáveis. Aqui, não existem segredos, e quanto mais podemos fazer ao nível de pacote, mais podemos ter controle da nossa rede e resolver seus problemas. Então, prepare-se para entrar….

… no mundo dos analisadores de pacote ou sniffers.

Neste artigo, vou mostrar como vocês podem efetivamente usar um analisador de pacote, ou, um sniffer, para isolar e resolver problemas na sua rede.

Mas, antes, uma curiosidade:

Sniffer é diferente de sniffer. Sim, é diferente.

Sniffer, com a primeira letra maiúscula, é uma marca proprietária da NetScout (já foi da Network General). Já, sniffer é um termo genérico usado pela indústria para definir um programa que monitora e analisa o tráfego de rede, detectando gargalos na rede e outros problemas.

Aqui está o link da definição feita no Search Networking.

Bem, esse é o primeiro artigo de uma série 5 ou 6 . E não é nossa intenção esgotar o assunto. Não. Nem pensar. Apenas vamos “resvalar” no tema que convenhamos é vasto. ok?

 

I – Como os sniffers de pacote funcionam


Um analisador de pacote é um programa utilizado para capturar e analisar pacotes na sua rede. Estes pacotes são os blocos fundamentais de construção das comunicações de rede.

O processo de sniffing de pacote envolve três passos fundamentais : coleta, conversão e analisar.

No primeiro passo, o sniffer de pacote comuta a interface da placa de rede do seu computador onde está sendo executado para o modo promíscuo. Neste modo, uma placa de rede pode ouvir todo tráfego de rede neste segmento em particular. O sniffer utiliza este recurso para capturar dados binários brutos fluindo através deste hardware de rede, a placa. Uma vez que esteja completa, o processo de conversão se inicia e os dados binários capturados são convertidos em um formato legível.

Tudo que tem de ser feito agora neste ponto é a análise destes pacotes capturados. É agora que o sniffer captura o pacote e converte os dados e verifica qual protocolo está dentro dele. Os vários recursos destes protocolos são então avaliados pelo sniffer e exibido para o usuário em um formato que seja fácilmente lido.

Existem alguns sniffers de pacote disponíveis. Os mais populares incluem o Omnipeek, TCPDump e Wireshark (ex-Ethereal). Qual deles você vai usar, só vai depender da sua preferência pessoal. Eu prefiro o Wireshark, devido a grande comunidade de suporte e ao fácil uso da sua interface, de modo que é sobre ele que vamos usar por todo este artigo.

 

As 5 partes


Um analizador de rede é uma combinação de hardware e software. Embora existam diferenças em cada produto, um analizador de rede é composto de 5 partes básicas:

Hardware – A maioria dos analisadores de rede são baseados em software e funcionam com os SO’s padrão e placas de redes. Entretanto, alguns analisadores de rede oferecem benefícios adicionais tais como, análise de falhas de hardware (por exemplo, erros de CRC), problemas de voltagem, problemas de cabeamento, jitter, jabber, erros de negociação, e assim por diante. Alguns analisadores de rede somente suportam adaptadores Ethernet ou wireless, enquanto outros suportam adaptadores múltiplos e permite que usuários customizem suas configurações. Dependendo da situação, você pode também precisar de um hub ou de um cabo tap para conectar ao cabo existente.

Drive de captura – Esta é parte do analizador de rede que é responsável pela captura bruta do tráfego de rede do cabo. Ele filtra a saída do tráfego que você quer pegar e guardar para capturar o dado no buffer. Este é a “alma” de um analizador de rede – você não pode capturar dados sem ele.

Buffer – Este componente armazena os dados capturados. O dado pode então ser armazenado no buffer até ele estiver cheio, ou, dentro de um método de rotação (por exemplo, um “round robin”), onde o dado mais novo substitue o dado mais antigo. Buffers podem ser baseados em disco ou baseados em memória.

Análise real-time – Esta característica analisa o dado conforme ele chega no cabo. Alguns analisadores de rede utilizam-o para encontrar problemas na performance da rede, e IDS’s (Intrusion Detection Systems) utilizam-o para olhar os sinais de atividade de invasão.

Decodificação – Este componente exibe o conteúdo (com descrições) do tráfego de rede de modo a que ele seja legível. Decodificadores são específicos para cada protocolo, dessa forma os analisadores de protocolo variam em número de decodificadores que eles suportam atualmente. Entretanto, novos decodes são constantemente adicionados aos analisadores de rede.

 

Capturando pacotes com o Wireshark


O programa Wireshark é distribuído livremente e pode ser feito o download no site da Wireshark. Instalar o software é bastante fácil, então não vou falar sobre isso, embora seja importante observar que este soft conta com a instalação do driver WinPcap que já vem incluído no pacote.

Bom, uma vez que você instale o Wireshark com o driver WinPcap, você deverá estar pronto para mergulhar de cabeça nele. A primeira coisa que vamos fazer é simplesmente… adivinhe ? Capturar pacotes. Sim !! E para fazer isto, você primeiro precisa selecionar sobre qual interface de rede ele irá fazer a captura, ao clicar no botão “List available capture interfaces” do lado esquerdo da barra de ferramentas principal.

 wireshark02.jpg

Feito isso, você será presenteado com uma janela listando todas as suas interfaces de rede onde a captura está disponível. Clique no botão “Start” próximo a interface que você deseja utilizar para dar inicío a captura de pacotes desta conexão. Espere por alguns minutos até que uma quantidade significativa de pacotes tenha sido coletada e então clique no botão “Stop“.

Simples assim. 🙂

wireshark01.jpg

Você deverá então retornar a tela principal com um monte de dados novos e ….

Congratulations !!! 

Você acabou de completar sua primeira captura de pacotes com sucesso !

Agora, você pode começar a se perguntar: Como irei interpretar esta captura de dados ?!?

Mas ainda não estamos prontos para isso. Precisamos ver como o nosso sniffer funciona, mas isso é para o próximo artigo.

Se cuidem. Até lá ! 😉

Sds,
Márcia Guimarães



Comente usando o Facebook!
0
0

34 comentários

Pular para o formulário de comentário

  1. Marco Filippetti

    Márcia, antes de mais nada, bem-vinda de volta! Você tornou-se uma lenda, e quem não te conhece, agora vai saber porque…! Excelente artigo, muito bem escrito.

    Abraço!!!

    Marco.

    0

    0
  2. ferrugem

    Muito bom Márcia! Muito bom por te ver novamente por aqui e muito bom pela excelente qualidade que torneia todos os textos e artigos já publicou por aqui. Este artigo é apenas mais um deles e esta série de artigos que ainda estão por vir, explicando e desmitificando o assunto sobre Análise de pacotes será de grande ajuda para muitos!

    Como sempre, um texto muito bem escrito, com uma sensibilidade ímpar, que só você sabe dar à estas 23 (26?) letras do nosso alfabeto! 😉

    Parabéns pelo artigo e pelo retorno!

    Forte abraço,
    Felipe Ferrugem!!!

    “Juntos somos ainda melhores!!!”

    0

    0
  3. Edson

    Muito obrigado Marcia, vezes por outras ficamos perdidos com o desempenho ou trafego de nossa rede 😉

    0

    0
  4. ArcanjoV8

    Fantástico Marcia! Muito obrigado por contribuir para o fórum com este artigo.
    Estou na espectativa do próximo ;D

    0

    0
  5. andre.osaki

    Excelente post!

    Analisadores de pacotes são excelentes ferramentas de troubleshooting.

    Apenas para compartilhar e complementar o conhecimento, recentemente descobri uma feature muito interessante de captura de pacotes nos próprios Roteadores e Firewalls cisco.

    É mais limitado porém poderá te economizar bastante tempo.

    no ASA existe o comando “Capture”:
    http://www.cisco.com/en/US/products/ps6120/products_tech_note09186a0080a9edd6.shtml

    e nos Roteadores ISR a feature é chamada de Embedded Packet Capture (EPC):
    http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6555/ps9913/datasheet_c78-502727.html

    []’s

    0

    0
  6. Diogo Mendes

    Muito bom Marcia!

    Como já dito, seus artigos sempre muito bem escritos são sempre ótimas referências, completos e de fácil entendimento.

    O assunto é muito bom! Já resolvi centenas de problemas de rede utilizando principalmente tcpdump e wireshark.

    Obrigado!

    Abraços!

    0

    0
  7. Cledir Justo

    Quem quer se aprofundar nessa ferramenta, recomendo o livro Wireshark Network Analysis da Laura Chappell.

    e Márcia, welcome back!

    0

    0
  8. agmatheus

    Muito bom.
    Até hoje, ainda indico o seu artico sobre ACL para alguns amigos.
    Abraço e que venham novos artigos.

    0

    0
  9. Guilherme Almeida

    Márcia,

    Parabéns pelo post, você tocou num ponto muito importante para profissionais de rede, estou ansioso para ver a continuação de como funciona e interpretar a captura de dados.

    Abraços,

    Guilherme.

    0

    0
  10. charlesrocha

    Valeu marcia bem vinda de volta!

    0

    0
  11. Minu

    Bem vinda de volta Márcia!!! =D Excelente artigo! Se tiver um tempo, dê uma olhada no Colasoft Capsa, na minha opinião, um dos melhores sniffers que existem.

    0

    0
  12. wanderp

    muito bom Marcia. Estou esperando conhecer melhor a analise(principalmente o wireshark) da saida na ferramenta e dicas de analise dos pacotes.

    0

    0
  13. brunoazevedo100

    Sou novato aqui!!! Adorei seu post, estou estudanto pra chegar no CCNA, esse blog me inspira, pois aqui encontro muitas pessoas que passaram pelo o que estou passando: Busca de conhecimento…

    Continue com seus post pois você tem qualidade…

    Até mais!!!

    0

    0
  14. brunoazevedo100

    Não demora não, to doido pra ler o resto …

    Abraço

    T mais…

    0

    0
  15. KimRondon

    Maravilhoso Márcia, são artigos assim que enriquecem aspirantes a CCIE como nós aqui do blog. Tenho até um tópico pedindo um help para o pessoal http://blog.ccna.com.br/forum/comments.php?DiscussionID=4035&page=1#Item_5. Ainda não fui na empresa do meu primo checar os problemas do link pois nao tive tempo, mas devo ir essa semana. Ja tenho o wireshark e devo utilizar essa semana nessa mini consultoria que irei fazer, mas graças a esse post seu ja irei mais decidido e direto ao ponto.
    Obrigado pelo post, ele foi demais…
    Pessoal, desanimar jamais.
    abs

    0

    0
  16. Marcia Guimaraes

    Olá pessoal,

    Obrigada a todos pela acolhida. 🙂

    E aguardem a continuação dessa série.

    E pretendo continuar a série “Perguntas Básicas, Respostas Básicas”, que fala sobre conceitos primários mas que é de uma ajuda enorme para quem está querendo fazer a cert CCNA. E nada como reforçar conceitos para aqueles que estão em certs como CCNP, etc.

    É isso.. se cuidem. 😉

    Sds,
    Márcia Guimarães

    0

    0
  17. KimRondon

    Claro, e conhecimento nunca e demais ne. Estou mega ansioso para o segundo post hehehe
    absss

    0

    0
  18. Alexandre Avelar

    Aproveitando o assunto, esta semana me deparei com um problema utilizando o Wireshark no windows 7.
    O problema é que ao snifar um interface espelhada, eu só pego tráfego de ida. A volta não é capturada. Ainda não sei o que aconteceu, se alguém tiver algum histórico parecido peço ajuda.

    Testei 3 versões diferentes do wireshark.

    Detalhe. No windows XP funcionou 100%

    0

    0
  19. Deco

    Excelente post Marcia, congrats!

    Eu utilizo na faculdade o wireshark e estamos analisando protocolos da camada 7 do modelo osi … mas pelo
    que eu ja vi, o wireshark é uma ferramenta essencial para todo profissional da área de network.

    Estarei aguardando as demais partes do seu artigo!

    Abs!

    Obs.: Avelar, eu uso o wireshark no win7 e não tenho problemas…eu uso o básico só, pois
    estamos aprendendo ainda.

    0

    0
  20. Plinio Monteiro

    Grande Márcia,

    Saudades hein garota… Sumiu mesmo… Precisamos conversar….

    Excelente post.

    Um bjo. Até breve..

    0

    0
  21. Richard

    Haa, muito bom.

    Para os amantes de linux (como eu) existe tbm o tcpdump.

    O sniffer é realmente o melhor amigo do adm de redes.

    0

    0
  22. Fernando Avelino

    Que boa surpresa ver a Márcia de volta que além de escrever bem possui uma excelente didática.
    Gostei do Post Márcia, usei varias dicas suas postadas aqui pra passar no exame, valeu msm abs. Fernando

    0

    0
  23. boliveira

    artigo de ótima qualidade Márcia!! (como sempre =P)
    estamos aguardando a continuação ..

    Ei Marco, o que acha de fazer um Tet a Tet com a Márcia e com outros que escrevem para o blog?

    flw \o/

    0

    0
  24. jonas

    Artigo novo da Marcia … OBAAAAA!!!

    0

    0
  25. luroinjr

    Ótimo artigo Márcia !!!

    Estou no aguardo pela continuação \o/

    Muito Obrigaduuuuuu

    0

    0
  26. Fábio R. Hernandes

    Parabéns pelo pontapé inicial Márcia.

    0

    0
  27. wagner

    Agora sim…

    Voltou de onde nao deveria ter saido, Márcia…

    Haja o que houver, aconteça o que acontecer… nao se afaste do blog.

    Quando nao é enviando posts, é respondendo os mesmos.

    Obrigado e seja bem vinda de novo. 😀

    0

    0
  28. Tiago Pereira

    Márcia bem vinda de volta !!!

    Parabéns pelo artigo !!!

    Estou ansioso pela 2ª parte !

    0

    0
  29. Cleber

    É Marcia, vc voltou com tudo mesmo, apenas adoçou nossa boca com esse primeiro artigo, estamos no ansiosos pelo post do segundo artigo

    Abs

    0

    0
  30. fernand0

    Otimo post Marcia. Seja bem vinda novamente.

    Aguardando o proximo pois é de grande valor de conhecimento.

    Abraços…

    0

    0
  31. Edgard

    Excelente post Marcia.
    Já utilizei o Wireshark para resolver problemas em uma rede wireless!!! Utilizei o AirPcap+Wireshark.
    Recomendadissimo software.

    Abs…

    0

    0
  32. santos_ligeiro

    Bacana Marcia,

    Ja estou aguardando o proximo post.

    abs.

    0

    0
  33. Waldemar Jr.

    Obrigado Márcia,
    Seja bem vinda. O assunto é ótimo e não vejo a hora de ler os próximos posts. Tenho certeza que irá a mim e muitos outros aqui no Blog.

    0

    0
  34. lyon

    Marcia, seja bem vinda novamente!!!

    Excelente artigo, como sempre está de parabéns

    Abs

    0

    0

Deixe uma resposta