«

»

fev 18 2014

Como começar a analisar dados de rede

Caros leitores e leitoras é com grande satisfação que aceitei o convite da equipe deste famoso blog para escrever alguns artigos sobre os temas relacionados à análise de tráfego de redes com o software Wireshark, atividades de monitoração e gerenciamento com base nos vários softwares livres disponíveis tais como o Nagios, Zabbix, MRTG, Cacti, Tacacs+, NTOP e outros mais e também sobre segurança de redes com IPTables, Squid e Snort.

Meu nome é Mario Marques e sou professor de disciplinas relacionadas a redes de computadores há 10 anos, tendo atuado em algumas faculdades e universidades e atualmente lecionando na FATEC Carapicuíba e também nos cursos WiresharkGerenciamento de Redes e Segurança de redes com IPTables, Snort e Squid da CloudCampusAtuo profissionalmente em redes de grande porte desde 1987 e consegui nesse tempo aprender bastante com atividades de configuração de redes e plataformas de gerenciamento. Apresento o meu primeiro artigo por aqui, e espero que gostem, pois será o primeiro de vários que pretendo escrever transmitindo conhecimentos e informações para todos.

Um exemplo de análise de dados de rede tipicamente inclui várias tarefas:

  • Capturar pacotes com a instalação do sniffer no local correto;
  • Aplicar filtros no tráfego de interesse para melhorar a seleção de dados;
  • Revisar e identificar anomalias no tráfego que você irá monitorar.

Vamos então efetuar uma análise de uma sessão de navegação na web ou podemos monitorar nosso próprio tráfego enquanto navegamos para www.wireshark.org/download.html para obter a cópia mais recente do software de captura Wireshark.

Isto é o que você veria no começo do seu tráfego:

  1. Seu sistema solicita o endereço IP de www.wireshark.org.
  2. Se seu sistema suporta IPv4 e IPv6, você verá dois pedidos DNS — um para o IPv4 (um registro tipo A) e outro para o IPv6 (registro tipo AAAA).
  3. Com sorte, o servidor DNS responde com as informações precisas e então você está em bom caminho!
  4. Seu cliente faz uma conexão TCP com www.wireshark.org e em seguida, envia uma solicitação HTTP GET, pedindo a página padrão.
  5. Se tudo correr bem, até este ponto, você verá o servidor HTTP responder com uma resposta 200 OK e começar o download da página.
  6. Você verá várias solicitações GET enviadas do seu sistema — as folhas de estilo para a página e gráficos e outros elementos necessários para construir a página que você está pedindo. Quando você clicar no botão de Download Wireshark, o sistema envia uma solicitação para /download.html. Novamente, você verá o tráfego relacionado à construção dessa página. Agora você clica no link para download da versão do Wireshark.
  7. O seu sistema pode efetuar queries DNS para encontrar o endereço IP do servidor de download antes de iniciar uma nova conexão TCP para aquele endereço IP e finalmente será enviado um novo HTTP GET request para o Wireshark.
  8. Você pode assistir o processo do arquivo sendo transferido para seu sistema local.

Tudo faz sentido. É tudo muito lógico. Mas algumas vezes você pode experimentar alguns problemas de comunicação, e o quê fazer nessa hora? Você pode sentar-se pacientemente à espera do término do download — bater seus dedos tão irritantemente na sua mesa. Seus olhos podem vaguear… à procura de alguma distração que fará o tempo passar mais rápido. Esperando… esperando… esperando… até que finalmente você decide analisar os dados e entender o que está acontecendo.

A análise de rede adiciona uma ferramenta indispensável para o administrador de redes — assim como um raio-x é uma ferramenta indispensável para a sala de emergência do hospital. A análise de rede nos dá a oportunidade de olhar para dentro do sistema de comunicação de rede. Poder puxar as cortinas e ver os pacotes viajando para cá e para lá. Podemos ver a consulta DNS sendo enviada para fora e pegar a resposta do servidor DNS. Podemos ver nosso sistema local enviar um pacote de conexão TCP para o site e aguardar a confirmação do servidor. Nós podemos, por exemplo, olhar e medir o tempo de resposta do RTT do TCP e verificar o funcionamento da janela deslizante (sliding window).

Finalmente, para saber o que se passa na rede temos que olhar os pacotes, fazer a análise do tráfego e identificar o que pode ser a causa do problema e tomar ações corretivas, tudo isso na ponta dos seus dedos! Estes e outros assuntos eu cubro em detalhes no meu curso Wireshark.

Boas coletas de dados e até o próximo artigo!

Mario Marques

PS: Já votou no blog para o prêmio TopBlog? Vote e nos ajude!!! É rápido, fácil e você contribui MUITO!  Se já votou, peça aos amigos que ajudem 🙂



Comente usando o Facebook!
0
0

6 comentários

Pular para o formulário de comentário

  1. Bem vindo Mario,

    Muito legal seu artigo e a iniciativa, com certeza será muito bom acompanhar seus artigos aqui pelo blog.

    Abraço,

    0

    0
  2. Felipe

    Muito legal mesmo a iniciativa, recomendo o livro Practical Packet Analysis: Using Wireshark to Solve Real-World Network Problems, baseado em Wireshark.

    0

    0
  3. Mario Marques

    Felipe e DehVital,

    Obrigado pela acolhida e brevemente incluirei novos artigos com abordagem prática de análise de pacotes aguardem.

    A sua sugestão de livro é muito boa mesmo e além desse eu sugiro também:

    Packtpub.Instant.Wireshark.Starter.Jan.2013

    Wireshark.Network.Analysis.Second.Edition

    Grande abraço,

    0

    0
  4. marcos_network

    Boa iniciativa, aguardando mais artigos!

    0

    0
  5. Edson

    Puxa que legal!

    Mario, seja bem vindo!

    Fico muito feliz em poder ler conteúdo de tão excelente qualidade!

    Obrigado por compartilhar seu conhecimento e dicas 🙂

    Abx

    0

    0
  6. Sérgio F.S

    Seja bem-vindo Mário.

    Gostei da sua apresentação inicial. Fico no aguardo de novos artigos.

    0

    0

Deixe uma resposta