Arquivo do Autor
Olá meus amigos, eu de volta (Márcia Guimarães)!
Pode ser óbvio para alguns aqui, mas nem tanto para aqueles que estão iniciando na área. Então, para aqueles que já conhecem, ótimo. E para aqueles que estão “tateando no escuro”, para os auto-didatas, e para aqueles que só que fazer uma revisão, ai vai mais um artigo da série, ok?
Vamos lá ! 
COMANDOS IOS
Quais são os 2 modos EXEC suportados no Cisco IOS?
User EXEC mode (modo user)
Privileged EXEC mode (modo enable ou privilegiado)
No IOS, o que é o modo User EXEC ou usuário ?
O modo User EXEC é o primeiro modo que você entra quando você loga no IOS. Este modo é limitado e principalmente utilizado para visualizar estatísticas. Vc não pode alterar a configuração do router neste modo. Por default, o sinal maior-que (>) indica que você está no modo User. Aqui está como o prompt do router se parece no modo User:
Router>
No IOS, o que é o modo privileged EXEC ou enable ?
No modo EXEC privilegiado, você pode visualizar e alterar a configuração do router. Para entrar no modo privilegiado, entre com o comando “enable” enquanto dentro do modo User. O símbolo de libra (#) indica que você está no modo privilegiado. Este modo é normalmente protegido com uma senha. Vc também pode ver a saída de prompt como abaixo:
Router>enable
Password:
Router#
Quando você está no modo EXEC privilegiado, como você retorna para o modo user EXEC ?
Vc retorna para o modo user EXEC usando o comando IOS “disable”, “exit”, ou “end”. Aqui está um exemplo do uso do comando “disable”:
Router#disable
Router>
Quais os dois tipos de help “content-sensitive”/“sensitivo ao contexto” estão disponíveis no Cisco IOS ?
A palavra “help” e a sintaxe do comando help são 2 tipos de contexto sensitivo do help. A palavra help utiliza um sinal interrogação e identifica os comandos que iniciam com um caracter ou sequência de caracteres. Por exemplo, a seguinte saída do router mostra o uso da palavra “help” para qualquer comando do IOS que inicie com as letras “cl”:
Router#cl?
clear clock
A sintaxe do comando help é quando vc usa o ponto de interrogação depois de um comando de modo que vc possa ver como completar o comando.
Por exemplo :
Router#clock ?
set Set the time and date
Em um router Cisco, como você exibe a configuração running contida na RAM?
Vc exibe a configuração running que existe dentro da RAM usando o comando no modo privilegiado (enable) “show running-config”. Por exemplo:
Router#show running-config
Building configuration…
Current configuration:
!
version 12.0service timestamps debug uptimeservice timestamps log uptimeno service password-encryption
!
hostname Router
!
enable password cisco
!
–More—
Em um router Cisco, como você exibe a configuração armazanada na NVRAM ?
Vc visualiza a configuração armazenada na NVRAM usando o comando no modo privilegiado (enable) “show startup-config”.
Qual comando no router Cisco você deverá usar para visualizar uma lista dos comandos recentementes usados ?
O comando “show history”, por default, exibe os últimos 10 comandos utilizados. Vc pode usar a tecla de seta para cima (ou Ctrl-P) para exibir o último comando que vc entrou e a tecla de seta para baixo (ou Ctrl-N) para exibir os comandos anteriores que vc entrou. A seguir um exemplo do comando The “show history”:
Router#show history
en
show running-config
show running-config
show history
enable
show version
show time
show history
Router#
O histórico de comandos é habilitado por default e grava os últimos 10 comandos em seu buffer history para a sessão atual.
Como vc edita o número comandos que vc pode armazenar no buffer history?
Para editar o número de linhas de comando armazenadas na sessão atual, use o comando EXEC privilegiado “terminal history [size number-of-lines]”. Por exemplo, a seguir fazemos a mudança no tamanho do histórico para 20 linhas:
Router#terminal history size 20
Nota : O número máximo de linhas que vc pode configurar para a sessão atual é 256, porém fazer isso é desperdíçar a memória do router. Para desligar o histórico, use o comando privilegiado “terminal no history”. Se vc quiser configurar o tamanho do histórico maior do que a sessão atual, vá até o console e entre com o comando “history size [numero-de-linhas]” como um modo permanente de alterar o buffer do histórico. Este comando não está disponível no switch Catalyst 1900 switch.
Em um router Cisco, nomeie os comando de edição avançadas que estão sendo utilizados:
Mover o cursor para o início da linha Ctrl-A
Mover o cursor para o final da linha Ctrl-E
Mover o cursor um caracter a frente Ctrl-F
Mover o cursor um caracter para trás Ctrl-B
Mover o cursor uma palavra para trás Esc-B
Deleta todos os caracteres do cursor ao início da linha de comando Ctrl-U
Completa a linha Tab
Exibe linha a linha Enter
Exibe uma tela espaço
O que é um comando global em um router Cisco ?
Comandos emitidos no modo de configuração Global são comandos que afetam todo o router, ou seja, o router inteiro. Eles podem ser executados somente no modo de configuração global.
Como vc entra no modo de configuração global ?
Para entrar no modo de configuração global, vc entra com o comando “config terminal” no modo configuração privileged EXEC ou “enable”. Aqui está um exemplo deste comando:
Router#config terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#
Como vc configura o nome de um router Cisco ?
O comando de configuração global “hostname [name]” é usado para configurar um nome para um router Cisco. Por exemplo, o comando a seguir altera o nome do router para RouterA:
Router(config)#hostname RouterA
RouterA(config)#
Como vc adiciona um banner message-of-the-day (MOTD) em um router Cisco ?
Para adicionar um banner “message-of-the-day” ou MOTD no router Cisco, entre com o comando no modo de configuração global “banner motd # text #”. O sinal de libra (#) são caracteres delimitadores. Podem ser qualquer caracter da sua escolha, porém eles deverão ser o mesmo e não podem aparecer dentro do texto da mensagem. Eles significam o começo e o fim do texto. A seguir veja um exemplo do comando “banner motd”:
RouterA(config)#banner motd #
Enter TEXT message. End with the character ‘#’.
Warning only authorized users many access this Router. #
RouterA(config)#
Nota: O banner MOTD é exibido para qualquer um que se conectar no router via via Telnet, porta console, ou porta auxiliar.
Em um router Cisco, como vc adiciona uma password ao terminal de console ?
Para adicionar uma senha ao terminal de console, use o comando “line console 0” no modo de configuração global, seguido pelos sub-comandos de linha “login” e “password [senha]”:
RouterA(config)#line console 0 —- Vc só tem UMA CONSOLE.
RouterA(config-line)#login
RouterA(config-line)#password CCNA
Neste exemplo, o sub-comando “login” força o router a chamar o prompt para a autenticação. Sem este comando, o router não irá autenticar uma senha. O comando “password CCNA” configura uma senha de console para “CCNA”. Importante notar qua a senha é case-sensitive.
Como adicionar uma senha para o acesso Telnet em um router Cisco ?
Para adicionar uma senha para o acesso Telnet, entre com o comando global “line vty 0 4”, o sub-comando de linha “login”, e finalmente a senha com o sub-comando “password [senha]”. A senha é case-sensitive. Neste exemplo, a senha Telnet password é configurada para CCNA:
RouterA(config)#line vty 0 4 —— Vc tem muitas linhas VTY´s. Utilize “line vty 0 ?” para saber quantas
RouterA(config-line)#login
RouterA(config-line)#password CCNA
Qual comando você deverá usar para adicionar uma senha a porta auxiliar em um router Cisco?
Para adicionar uma senha para interface auxiliar, entre com o comando global “line aux 0”. “0” é o número da porta auxiliar que vc quer adicionar a senha. Depois entre o sub-comando de linha “login”, e finalmente a senha com o sub-comando “password [senha]”. A senha é case-sensitive. Neste exemplo, a senha para a interface auxiliar é configurada para CCNA:
RouterA(config)#line aux 0
RouterA(config-line)#login
RouterA(config-line)#password CCNA
Em um router Cisco, como você configura uma senha para restringir o acesso ao modo privilegiado ?
Vc configura uma senha para restringir o acesso ao modo EXEC privilegiado usando o comando no modo de configuração global “enable password [senha] ”:
RouterA(config)#enable password CCNA
Por default, quando vc visualiza a configuração do router, a “enable password” não está encriptada. Qual comando vc pode entrar para usar uma senha encriptada ?
Para usar uma senha encriptada, use o comando global “enable secret [senha]”, onde a “senha” que vc designa é case-sensitive:
RouterA(config)#enable secret Cisco
Se vc tem uma senha “enable password” habilitada no seu router, o IOS permitirá que vc use a mesma senha na enable secret, porém não é o recomendado. Isto porque a “enable password” não é encriptada e qualquer um pode visualizá-la, tendo acesso ao nível privilegiado da CLI. Se vc tem ambas habilitadas no seu router, o router dará prioridade de uso da senha “enable secret” e não a “enable password”.
Quando vc visualiza a configuração nos routers Cisco, somente a senha “enable secret” está encriptada com encriptação nível 5, ou seja, MD5.
Existem diversos sites com aplicativos para desencriptar uma senha encriptada com o algorítmo tipo 7 texto puro da Cisco. Portanto, meu amigo, use o “enable secret”, por vias das dúvidas. Mas além disso, use controle de acesso ao seus equipamentos, use AAA, e assim vai.
Como você encripta as senhas do modo usuário e a enable password ?
Para encriptar todas as senhas exceto a senha “enable secret”, use o comando global ”service password-encryption” com algorítimo nível 7 (fraco) de propriedade da Cisco:
RouterA(config)#service password-encryption
Como vc configura as interfaces do router Cisco?
Para configurar uma interface no router Cisco, use o comando global “interface [tipo-da-interface número] “, onde tipo-da-interface [número] é o tipo da interface e o número que vc quer configurar. Por exemplo, se vc quiser configurar a segunda interface serial no seu router, vc entrará com o seguinte comando:
RouterA(config)#interface serial 1
RouterA(config-if)#
As interfaces Cisco iniciam com 0 ao invés de 1. Então, a primeira interface deverá ser a de número 0. O prompt também se altera para RouterA(config-if)# para dizer a vc que está dentro do modo de interface. Se vc tiver um router com slot no módulo, como o router Cisco 3600, vc entrará no modo de interface ao entrar com número de slot e porta no formato “slot/porta”. Por exemplo, se vc tiver um router Cisco 3600 com 2 interfaces seriais e vc quiser configurar a primeira interface serial no segundo módulo, vc entra “interface s1/0”.
Como vc desabilita administrativamente uma interface em um router Cisco ?
Vc desabilita administrativamente uma interface no router Cisco ao emitir o comando de configuração de interface “shutdown”. Neste exemplo, a interface serial 0 é desabilitada com o comando “shutdown”:
RouterA(config)#int s0
RouterA(config-if)#shutdown
00:27:14: %LINK-5-CHANGED: Interface Serial0, changed state to administratively down
Para habilitar administrativamente uma interface, use o comando de interface “no shutdown”.
Quais são as informações exibidas com o comando “show interface interface-type number”?
-
Se a interface está administrativamente down
-
O endereço MAC da interface
-
Descrição da interface
-
Um IP (se este estiver configurado)
-
MTU , bandwidth, delay, confiabilidade, carga tx e rx
-
Estatísticas de tráfego na interface
-
O tipo de encapsulamento da interface
ROUTER#sh interfaces fastEthernet 0/0
FastEthernet0/0 is up, line protocol is up
Hardware is MV96340 Ethernet, address is 0018.1234.0f3a (bia 0018.1234.0f3a)
Description: INTERFACE INTERNA
Internet address is 192.168.10.1/24
MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,
reliability 255/255, txload 69/255, rxload 9/255
Encapsulation ARPA, loopback not set
Keepalive set (10 sec)
Full-duplex, 100Mb/s, 100BaseTX/FX
ARP type: ARPA, ARP Timeout 04:00:00
Last input 00:00:06, output 00:00:00, output hang never
Last clearing of “show interface” counters 13w6d
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue: 0/40 (size/max)
5 minute input rate 3770000 bits/sec, 2617 packets/sec —> rxload
5 minute output rate 27186000 bits/sec, 3573 packets/sec —> txload
708255303 packets input, 3808351956 bytes
Received 438649 broadcasts, 65 runts, 0 giants, 0 throttles
730499 input errors, 228512 CRC, 471340 frame, 0 overrun, 30582 ignored <- erros na camada física
0 watchdog
0 input packets with dribble condition detected
3639780608 packets output, 492056295 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 babbles, 0 late collision, 0 deferred
0 lost carrier, 0 no carrier
0 output buffer failures, 0 output buffers swapped out
Observe que a interface está transmitindo (69/255) mais do que recebendo (9/255). Mas que cálculo é esse que o IOS faz ? É percentual. Veja. O denominador 255 está para 100, ou seja, uma regra de 3 simples, assim:
69______ x
255_____100%
x= 69 x 100/255 = 27 % de tráfego na saída da sua interface Fas0/0 - transmissão
9______ x
255_____100%
x= 9 x 100/255 = 3,6 % de tráfego na entrada da sua interface Fas0/0 - recepção
Resumindo: Sua interface Fas0/0 está transmitindo mais do que recebendo.
Isso pode ser crítico quando a relação largura de banda e o tráfego da sua rede estiver sem consenso. Como assim, vc pergunta. Quando vc precisa de mais largura de banda e não tem para atender seu tráfego. Ou quando vc tem tanta largura de banda, que sua interface é sub-utilizada. Isso vai depender do que sua empresa pensa e quer em relação ao uso da sua rede. Cada cabeça um mundo, digo, cada empresa. (rs)
r2#show interfaces serial 0
Serial0 is down, line protocol is down
Hardware is HD64570
Description: r2 s0 DCE to r1 s0 DTE
Internet address is 192.168.2.2/24
MTU 1500 bytes, BW 64 Kbit, DLY 20000 usec, rely 255/255, load 1/255
Encapsulation HDLC, loopback not set, keepalive set (10 sec)
Last input 00:03:31, output 00:03:35, output hang never
Last clearing of “show interface” counters never
Input queue: 0/75/0 (size/max/drops); Total output drops: 0
Queueing strategy: weighted fair
Output queue: 0/1000/64/0 (size/max total/threshold/drops)
Conversations 0/2/256 (active/max active/max total)
Reserved Conversations 0/0 (allocated/max allocated)
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
390 packets input, 22659 bytes, 0 no buffer
Received 367 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
389 packets output, 23296 bytes, 0 underruns
0 output errors, 0 collisions, 26 interface resets
0 output buffer failures, 0 output buffers swapped out
7 carrier transitions
DCD=down DSR=down DTR=down RTS=down CTS=down — sinais do modem em down
r2#
Observe que você não tem sinais de modem em interfaces Ethernet. Somente em interfaces Seriais.
Em um router Cisco, você entra o comando “show interface s0” e observa que a porta está “administratively down”. O que isso significa e como você pode corrigir isso?
Quando uma interface está administrativamente down, ela foi desligada manualmente. Para remediar isto, entre com o comando de interface “no shut”.
Quais os dois comandos que você usa para exibir o clock rate de uma interface serial ?
Para visualizar o clock rate de uma interface serial, vc pode usar os comandos modo usuário “show running-config” e “show controllers”.
Assuma que você está usando um CSU/DSU e cabos seriais back-to-back DTE/DCE. Qual comando você deverá usar para configurar a interface serial no router e fornecer o clocking para o outro router a 64 Kbps?
O comando para configurar a interface serial em um router para que este forneça o clocking para outro router a 64 Kbps é “clock rate 64000”. Configurar o clock rate em uma interface, faz dele um router DCE.
Qual comando no IOS do router você deverá usar para saber se a interface serial é DCE ou DTE (fornece o clocking)?
Para ver se uma interface serial está fornecendo o clocking, use o comando privilegiado “show controllers tipo-interface-serial número-serial”. O seguinte exemplo mostra que a interface serial 0 está fornecendo o clock rate a 56 Kbps:
r1>show controllers serial 0
HD unit 0, idb = 0xFC1A8, driver structure at 0×101628
buffer size 1524 HD unit 0, V.35 DTE cable — cabo DTE conectado
cpb = 0xE2, eda = 0×4064, cda = 0×4078
RX ring with 16 entries at 0xE24000
00 bd_ptr=0×4000 pak=0×104A60 ds=0xE2F240 status=80 pak_size=45
01 bd_ptr=0×4014 pak=0×103E60 ds=0xE2C9D8 status=80 pak_size=45
r1>
r2#show controllers s 0
HD unit 0, idb = 0xCCE04, driver structure at 0xD2298
buffer size 1524 HD unit 0, V.35 DCE cable, clockrate 56000 — cabo DCE conectado e o clocking
cpb = 0×81, eda = 0×4940, cda = 0×4800
RX ring with 16 entries at 0×814800
É isso, galera. Espero que seja útil para todos. Poderia colocar mais e mais informação, mas não cabe, além de ser massificante.
É isso.
Até o próximo artigo.
Sds,
Márcia Guimarães
Popularity: 3% [?] Share
 23 Comentários »
Olá a todos !
Percebi que não podia dividir esse artigo desse ponto em diante, então preferi publicar tudo de uma vez.
Faz mais sentido, portanto, vamos lá !
IV - Procurando algum tipo de tráfego na rede
Antes que você possa identificar um tráfego problemático, você deve primeiro entender como o que é um tráfego normal e quaç a “cara” dele. Vamos dar uma rápida olhada no tráfego ARP para ficar um pouquinho mais confortável com a exibição deste no nível de pacote.
As entranhas do ARP
A idéia básica por trás do ARP é para a máquina um broadcast de seu endereço IP e endereço MAC para todos os clientes dentro do seu domínio de broadcast a fim de encontrar o endereço IP associado com um endereço MAC específico para o qual ele deseja transmitir. Digamos que a máquina A queira conversar com a máquina B, mas máquina A não sabe o endereço MAC da máquina B, mas sabe o endereço IP. Então, ele basicamente se parece com isso :
Computador A – “Oi a todos ! Meu endereço IP é xx.xx.xx.xx, e o meu endereço MAC é XX:XX:XX:XX:XX:XX. Eu preciso enviar uma informação para alguém com o endereço IP xx.xx.xx.yy, porém eu não sei qual é o seu endereço MAC. Quem tiver este endereço IP, por favor, responda com seu endereço MAC ?”
Todas as máquinas no segmento, no domínio de broadcast, irão receber esse broadcast ARP, e somente uma máquina irá responder: aquela que tiver o endereço IP requisitado pelo computador A. Com esta informação na mão, a troca de dados se inicia entre as máquinas.
Computador B – “Oi computador A ! Sou quem você procura. Tenho o endereço IP xx.xx.xx.yy. E meu endereço MAC é XX:XX:XX:XX:XX:YY.”
Bem… já conhecemos o processo do protocolo ARP a fundo. Apenas fiz aqui um refresh da informação para que todos fiquem espertos. 
ARP no nível de pacote
Entendendo o conceito básico do ARP, podemos dar uma olhada em alguns pacotes para ver como ele atualmente funciona.
Agora, vamos passo-a-passo por todo o processo ARP, do início ao fim. Ok? Neste cenário o computador A precisa se comunicar com o computador B.
O Wireshark permite que você salve sua captura, gerando assim arquivos com a extensão .pcap. Você pode baixar o arquivo desta captura ARP aqui. Veja. Optei por usar uma captura que vocês possam carregar no aplicativo, para que você possa acompanhar o passo-a-passo da análise do tráfego. E mais. Observem que o intuito aqui não é esgotar o assunto que é extenso. Aqui é somente o ponta-a-pé inicial para que você mesmo trilhe seu caminho no uso da ferramenta.
Na janela detalhes do pacote do primeiro pacote do arquivo de captura é direto. O computador 192.168.0.114 precisa se comunicar com o computador 192.168.0.1, porém ele não conhece o endereço MAC do destino (Who has 192.168.0.1? Tell 192.168.0.114). Observe que o endereço MAC alvo aqui é 00:00:00:00:00:00. E nesse caso, ele envia o pacote com o endereço MAC ff:ff:ff:ff:ff:ff, fazendo um broadcast deste pacote por todo o segmento de rede. Este é o pacote básico ARP Request, conforme visto no campo Opcode na sinalizado abaixo.
O segundo pacote é o nosso REPLY vindo da máquina 192.168.0.1. Este dispositivo recebeu o ARP Request no primeiro passo, e gerou este reply endereçado a 192.168.0.114. Observe que este reply contem a informação que a máquina 192.168.0.114 precisa para se comunicar efetivamente com a máquina 192.168.0.1, que é o endereço MAC 00:13:46:0b:22:ba. O endereço MAC desta última está neste pacote. Vc pode dizer imediatamente que este é um ARP reply só olhando o campo Opcode.
Resumindo e importante saber :
Quando o campo Opcode tem 0×0001 é request.
Quando o campo Opcode tem 0×0002 é reply.
Uma vez que o dispositivo 192.168.0.114 recebeu o reply, este então pode pegar o endereço MAC de 192.168.0.1 e colocá-lo no cache ARP para uso futuro. Com esta nova informação, o ARP pode com sucesso traduzir a camada 2 e a camada 3, de modo que a comunicação possa se mover pelo meio físico.
V - Troubleshooting de um problema real na sua rede
Chegou a hora “H”. Vamos mergulhar fundo na comunicação feita na sua rede, dando uma olhada em um cenário real com um problema real e compreendê-lo no nível de pacote com a ajuda do Whireshark.
Neste cenário, uma empresa tem um servidor FTP que é utilizado para manter todos os seus releases de software. Recentemente, um técnico responsável pela manutenção recebeu diversos relatos dos desenvolvedores da empresa reportando que na ocasião quando trabalhavam até mais tarde na empresa, a performance do upload/download fica bastante degradada. Neste servidor FTP está rodando uma aplicação simples de FTP que tem features de logging, fornecendo toda informação necessária. ok. Este é o cenário perfeito para o uso do sniffer de pacote.
Um arquivo de captura pode ser melhor obtido ao usar a técnica de espelhamento de porta para obter do fio a captura apropriada do dado. Mas algo melhor pode ser feito, se você instalar o Wireshark diretamente na máquina em questão, porém se performance é um problema, então isso gera um risco, e poderia fazer com que pacotes fossem dropados, reduzindo assim a validade de nossa captura. Aqui também usaremos o arquivo .pcap. Para isso, faça download da captura de tráfego FTP aqui. Carregue o arquivo e continue a ler.
Quando você abriu seu arquivo de captura, viu que muita coisa está acontecendo dentro de um curto espaço de tempo. Observe a coluna “time” dentro da janela lista de pacote onde é exibido os primeiros 200 pacotes cruzando o fio em menos de 1 segundo.
Este número não significa muito, visto que não podemos usar isso também eficazmente para ver a taxa de dados fluindo através do fio, mas não há outra maneira de fazer isso. Selecione Statistics do menu principal e então escolha Summary. Irá abrir uma tela de resumo que dará um overview de algumas estatísticas para todo o processo de captura.
Se você olhar o último pedaço de dado exibido na tela, você verá que a taxa média Mbit/segundo é de 0.233. Não é MUITO dado capturado, porém é significante o bastante para você se preocupar.
Olhando novamente a janela lista de pacotes, existe muito dado para ser compreendido e digerido; aproximadamente 20.000 pacotes. Quando procurando neste pacotes, é uma boa idéia iniciar como nós podemos limitar o campo de pesquisa. E o melhor meio de fazer isto é usando a janela Conversations.
Uma conversa na rede, é exatamente como uma conversa entre duas pessoas (opaaaaaa … com duas mulheres precisamos de uma largura de banda maior… :)) ), descreve a comunicação que acontece entre 2 hosts (também conhecido como pontos-finais). Vc pode acessar janela de Conversations ao selecionar Statistics no topo da tela e escolher Conversations. Fazendo isto, você irá exibir uma lista de todas as conversas dentro da captura com alguma informação sobre cada conversa.
Nesta captura entretanto, somente uma conversação é listada. Isto significa que todos os 20.000 pacotes exibidos estão sendo transmitidos entre o servidor FTP e o mesmo host.
Assim, verificamos que somos incapazes de delimitar nossa pesquisa usando a janela Conversations. “O que fazer ?”, você pensa. Calma. Vamos para o próximo passo que é utilizar um filtro para efetuar essa tarefa. Sabemos que este é um servidor FTP, e olhando o painel lista de pacotes, temos uma mistura de pacotes de tráfego TCP e FTP. Uma boa estratégia é isolar o tráfego FTP. E isto pode ser feito ao se criar um filtro de exibição.
Um filtro de exibição é um filtro que diz ao Wireshark para somente exibir pacotes que batem com certos critérios. Podemos criar um filtro ao digitar o critério que queremos na caixa Filter que fica imediatamente acima do painel lista de pacotes. Se você digitar “ftp” (por favor… sem as aspas) dentro desta caixa e der enter, e somente o tráfego FTP será exibido no painel lista de pacotes.
Agora, o painel detalhes do pacote pode ser verificado para se ter uma idéia do que cada pacote FTP está fazendo. Para fazer isto, selecione um pacote no painel lista de pacote e então expanda a seção FTP no painel lista de pacotes. Se você fizer isto para o primeiro pacote FTP, você verá uma resposta sendo enviada do servidor (10.121.70.151) para o cliente (10.234.125.254), declarando que uma tentativa de login falhou :
Response arg : Login incorrect.
Se você continuar com esta investigação, olhando os detalhes de cada pacote FTP, você começará a compreender e ver a tendência do seu tráfego. Bem, a captura inteira consiste de um host remoto tentando e falhando ao logar no servidor FTP. E não somente você pode ver estas tentativas de login, e visto que todo tráfego está desencriptado, você pode também ver as senhas FTP que foram sendo tentadas ao logar.
Agora, olhe os pacotes 11, 17, 21 e 47, e você poderá ver que o cliente remoto tentou o login com as senhas merlin, mercury, mets e mgr, respectivamente. E não somente isso, mas se você olhar na coluna “time“, todas estas tentativas de login aconteceram em 2 décimos de segundo. Muito rápido esse cara, não é ?!? O que você acha ? Será que é ele mesmo que está digitando essas senhas?!?! Eu tenho certeza que não.
Apenas para verificar mais um pouquinho sobre isso, podemos usar um filtro mais avançado para exibir todas as tentativas de login para este servidor FTP. Usando o seguiten filtro de exibição…
ftp.request.comand == PASS
… e ai você irá exibir todas as senhas que o cliente remoto usou para tentar logar no seu servidor FTP.
Hum…. o que temos aqui ?!? Tentativas rápidas e múltiplas de login usando senhas alfabéticas sequenciais?!? SIM !
É um sinal claro de que alguém está tentando violar a segurança do seu servidor FTP usando um ataque de força bruta !
Ok. Tivemos sucesso ao usar o Wireshark não somente para rastrear que o podia estar causando a degradação de performance do seu servidor FTP durante o horário de maior movimento, além de também identificar um potencial intruso.
É isso. Você está pronto para “ouvir” e capturar seu tráfego de rede.
Conclusão
Gosto de frequentemente comparar o trabalho de um Analista de Rede, ao trabalho de um médico com seu paciente. Apesar do médico ser um especialista, cardiologista, neurologista ou ortopedista, todos, sem exceção, iniciam com medições básicas para ver seu bem estar geral. Onde um médico pode fazer uma cultura sanguínea, um Analista de Rede visualizará a hierarquia de um protocolo; onde um médico tem histórico completo médico, uma anammese para obter um padrão de comparação da saúde de seus pacientes, um Analista de Rede irá executar algumas capturas de pacotes para obter um padrão de comparação da saúde de sua rede.
A idéia aqui é que você tem de saber o que fazer quando certos sintomas são observados na sua rede antes de focar no problema específico, que é a causa do sintoma. Visualizar um problema na rede não é tão fácil como capturar alguns pacotes e olhar para a palavra “ERROR” bem grande na sua frente. Vc tem que saber que “coisas” são essas e quando elas parecem estar funcionando corretamente, para que em contrapartida você possa encontrar as sutilezas que fazem a diferença entre uma rede com a saúde perfeita e outra que se arrasta lentamente e se nada for feito, chega a um estado terminal. O único modo de fazer isto efetivamente é ser capaz de interceptar os pacotes que estão fluindo através do cabo.
Este artigo foi idealizado para a você dar apenas uma direção do que se pode fazer com um sniffer de pacote e quão essencial ele é para a análise dos pacotes fluindo pela sua rede.
Existem muitos sites na Internet sobre o assunto, mas recomendo que você aprenda mais sobre análise e sniffing nos “caras” oficiais:
Site oficial do Wireshark, onde você encontra os downloads e os links de suporte.
OpenPacket é um site que fornece um repositório centralizado de traces de tráfego de rede para pesquisadores, analistas e outros membros da comunidade de segurança digital. Aqui você cria um login e senha para baixar os arquivos .pcap do Wireshark que podem estar em 3 categorias : Normal, Suspicious e Malicious.
Este é o site de Laura Chappell´s. Existe muito material free que você pode utilizar para seu estudo.
Este é o site de Richard Bejtlich. Ótimo site sobre Segurança de rede.
Fonte: Chris Sanders
Bem, poderíamos ficar aqui o dia todo falando sobre sniffers, captura, e etc, e conversando sobre como, onde, e o que capturar na sua rede quando ela está dando sinais de decriptude. (rs). Mas aqui termina a série. Agora cabe a vocês explorarem o Wireshark e tirar o máximo que puderem dele.
É importante salientar que o conhecimento sobre os campos do frame (L2), pacote (L3), segmento (L4), e com especial foco sobre a camada 4, Transporte, TCP e UDP, será essencial para que você saiba o que está capturando. E para isso, vem ai uma nova série de artigos falando sobre os Protocolos TCP e UDP. Aguardem.
É isso, meus amigos. Espero que seja útil a todos.
Obrigada por tudo, e até o próximo artigo.
Sds,
Márcia Guimarães
Popularity: 6% [?] Share
19 Comentários »
Olá meus amigos,
Antes de dar continuidade a série sobre sniffer de pacote, agradeço as boas-vindas no site mais legal Internet.
Vamos lá ?!?
II - Espremendo o fio
Agora que você sabe como fazer uma captura básica de pacote no Wireshark, é importante aprender como capturar o tráfego certo.
Assumindo que você esteja numa rede comutada Ethernet (que todo mundo usa hoje em dia), e todo o tráfego que você captura será seu. Isto é, todo tráfego que estiver entrando e saindo do seu computador do qual você iniciou a captura de pacote. Isso é basicamente como funciona uma rede comutada (todos aqui no blog sabem como funciona… ). O switch somente envia dados para a porta para o qual ele foi destinado. Então, isto nos deixa uma pergunta : Como você captura o tráfego de um computador que tem um sniffer de pacote instalado ?
Existem alguns métodos que podem ser usados em situações como esta. Três das técnicas mais comuns são espelhamento de porta, hubbing out e envenenamento do cache arp.
Port mirroring é provávelmente um dos meios mais fáceis de capturar o tráfego que você está procurando. Também chamado de “port spanning”, este é um recurso disponível na maioria das redes comutadas gerenciadas. É configurável ao acessar a linha de comando ou uma “gui” de gerenciamento do switch alvo e sistemas de sniffers são plugados nele e comandos entrados que irão espelhar o tráfego de uma porta para outra. Por exemplo, a captura de tráfego poderia ser feita de um dispositivo plugado na porta 3 do switch, enquanto você poderia plugar seu sniffer no porta 6 e entrar um comando específico de espelhamento que iria refletir o tráfego da porta 3 para a porta 6.
Hubbing out é uma técnica na qual você tem localizado o dispositivo alvo e seu sistema analisador no mesmo segmento de rede ao plugá-lo diretamente em um hub. Para fazer isto, tudo que você precisa é daquele velho hub empoeirado e alguns poucos cabos de rede. Simplesmente vá até o switch no qual o computador-alvo reside e desplugue-o da rede. Plugue o cabo de rede alvo, junto com cabo do sniffer no hub, e então plug o hub no switch. Isto colocará o sniffer e a máquina-alvo no mesmo domínio de broadcast e permitindo assim que você veja todos os pacotes para e da máquina-alvo, como também o seu tráfego.
Desde que isto envolva uma breve perda de conectividade, recomendo enfáticamente que permita que o usuário do sistema-alvo saiba que haverá uma interrupção de conectividade, especialmente se este usuário faz parte do equipe de gerenciamento da sua rede. Ética.
A última e derradeira técnica é a mais avançada de todas : ARP Cache Poisoning. Esta técnica exige que você use ferramentas de terceiros e um conhecimento profundo do protocolo ARP. Mas isso todos aqui já sabem. Vc pode ler uma explicação e tutorial desta técnica aqui .
III – Dissecando o Wireshark
Agora que você já sabe onde colocar o seu sniffer, você pode voltar para o Wireshark e usá-lo para analisar “seus” pacotes. Se você ainda está com a sua primeira captura aberta, ótimo. Senão, mãos-a-obra e faça uma nova captura para coletar dados da sua rede. Existem 3 seções principais no programa Wireshark. São elas :
painel lista de pacotes
painel detalhes do pacotes
painel bytes do pacote
O painel lista de pacotes, é aquele no topo da janela e exibe uma tabela contendo todos os pacotes dentro do arquivo de captura atual. Esta seção está dividida em várias colunas incluindo o número do pacote, a hora em que ele foi capturado, o endereço ip de origem e de destino do pacote, o procotolo, e algumas informações sobre gerais sobre o pacote baseado no seu protocolo.
O painel detalhes do pacotes, está exatamente abaixo do painel lista de pacotes, e contem uma exibição hierárquica de toda informação capturada sobre um único pacote. Os itens nesta seção podem ser expandidos ou fechados para facilitar a visualização.
A última seção é o painel bytes do pacote. Este painel, na parte inferior da janela, exibe a informação sobre uma seleção individual do pacote no seu formato bruto, não processado. É basicamente o mesmo dado que é exibido no painel detalhes do pacote, porém sem toda aquela separação que torna mais fácil a interpretação do pacote. É muito importante entender como esses diferentes painéis se relacionam. Ok?
Se você é como eu, que gosta daqueles objetos cheios de cores, que às vezes mais atrapalham que ajudam (rs), então a primeira coisa que você provávelmente deve ter observado quando capturou seus primeiros pacotes foram as diferentes cores exibidas nos pacotes dentro do painel detalhes do pacote. Cada pacote é exibido como uma cor por uma razão. Por exemplo, você pode ter notado que todo tráfego ARP é azul e todo tráfego HTTP é verde. Estas cores refletem o protocolo do pacote.
A codificação de cores permitem que você rápidamente diferencie entre os vários protocolos de modo que você não tenha que ler o campo PROTOCOL dentro do painel lista de pacote para cada pacote individual. Você vai achar que isto aumenta muito a velocidade ao navegar pelo browser através de grandes capturas.
É isso, galera. Até o próximo artigo. E…
..se cuidem.
Sds.
Márcia Guimarães
Popularity: 7% [?] Share
16 Comentários »
Olá, meus amigos !
Retorno hoje ao blog mais legal da Internet para mais uma série de artigos. Venho durante esse tempo que estive um “pouco” afastada, olhando, lendo, observando o blog. Pessoas que já conhecia fazendo suas certs, e eu de lá torcendo. “Pôxa, esse cara vai passar ! Ele é bom.” Dito e certo. Pass para ele. Mas… precisei estar em retiro independente da minha vontade. E percebi quanto esse blog estimula, avalanca e fornece vastíssimo material sobre Network que tornou-se quase uma Ciência. Se não for.
Acredito no poder da transformação e principalmente da união. Sabemos que o momento é esse. União em torno do objetivo de manter este blog 100% no ar e sempre atualizado. Internet é imensa ?? Sem dúvida. Internet tem vastíssimo material ?? Toneladas. Eu só não encontro na Internet, meus amigos, alguém que pensa, realiza, e organiza tudo isso com coerência para que você e eu possamos entender. E faz simplesmente porque gosta e o tempo todo diz a “você para andar para frente”. Marco Filippeti. Após um mal-entendido (acredito eu), podemos observar quantos se mobilizaram para dizer a ele… quanto precisamos, necessitamos, e somos sim carente de um profissional com sua capacidade de realização que nos dê um norte. E ele tem família, trabalho e outras atividades e problemas, como todos aqui. E com tudo isso ainda mantem o blog. Resumindo ? Quando acessei e li a msg “blog fora por tempo indeterminado” de Marco, fiquei sem saber bem que o pensar. Fiquei ali parada, olhando e querendo “digerir” a tal palavra “indeterminado”. Como ?!? Não. Parei, li novamente e não entendi. Mas imediatamente decidi : “Tá na hora de voltar.”
Era bem isso que eu queria dizer.
Vamos ao artigo !
Por que minha rede está lenta ?
Por que não posso acessar meu email ?
Por que não posso compartilhar um drive ?
Todas essas perguntas e muitas outras serão feitas quando algo estranho acontece na sua rede e um milhão de coisas diferentes podem dar errado em uma rede em um dado momento do dia - de uma simples infecção por um spyware, a um erro complexo de configuração no seu router - e é literalmente impossível resolver todos os problemas imediatamente. O melhor que podemos esperar fazer é estar totalmente preparados com o conhecimento e ferramentas que podem responder a esses tipos de casos. Resumindo : pró-ativos 24 horas.
Todos os problemas das redes resultam do nível de pacote, onde até mesmo aplicações que parecem estar rodando corretamente, podem revelar implementações horríveis e protocolos confiáveis podem se provar serem maliosos.
Para melhor entender e resolver problemas na rede, vamos olhar no nível de pacote onde nada está escondido, e onde nada está obscurecido por estruturas de menu mal feitas, olhos capturando gráficos ou funcionários não confiáveis. Aqui, não existem segredos, e quanto mais podemos fazer ao nível de pacote, mais podemos ter controle da nossa rede e resolver seus problemas. Então, prepare-se para entrar….
… no mundo dos analisadores de pacote ou sniffers.
Neste artigo, vou mostrar como vocês podem efetivamente usar um analisador de pacote, ou, um sniffer, para isolar e resolver problemas na sua rede.
Mas, antes, uma curiosidade:
Sniffer é diferente de sniffer. Sim, é diferente.
Sniffer, com a primeira letra maiúscula, é uma marca proprietária da NetScout (já foi da Network General). Já, sniffer é um termo genérico usado pela indústria para definir um programa que monitora e analisa o tráfego de rede, detectando gargalos na rede e outros problemas.
Aqui está o link da definição feita no Search Networking.
Bem, esse é o primeiro artigo de uma série 5 ou 6 . E não é nossa intenção esgotar o assunto. Não. Nem pensar. Apenas vamos “resvalar” no tema que convenhamos é vasto. ok?
I - Como os sniffers de pacote funcionam
Um analisador de pacote é um programa utilizado para capturar e analisar pacotes na sua rede. Estes pacotes são os blocos fundamentais de construção das comunicações de rede.
O processo de sniffing de pacote envolve três passos fundamentais : coleta, conversão e analisar.
No primeiro passo, o sniffer de pacote comuta a interface da placa de rede do seu computador onde está sendo executado para o modo promíscuo. Neste modo, uma placa de rede pode ouvir todo tráfego de rede neste segmento em particular. O sniffer utiliza este recurso para capturar dados binários brutos fluindo através deste hardware de rede, a placa. Uma vez que esteja completa, o processo de conversão se inicia e os dados binários capturados são convertidos em um formato legível.
Tudo que tem de ser feito agora neste ponto é a análise destes pacotes capturados. É agora que o sniffer captura o pacote e converte os dados e verifica qual protocolo está dentro dele. Os vários recursos destes protocolos são então avaliados pelo sniffer e exibido para o usuário em um formato que seja fácilmente lido.
Existem alguns sniffers de pacote disponíveis. Os mais populares incluem o Omnipeek, TCPDump e Wireshark (ex-Ethereal). Qual deles você vai usar, só vai depender da sua preferência pessoal. Eu prefiro o Wireshark, devido a grande comunidade de suporte e ao fácil uso da sua interface, de modo que é sobre ele que vamos usar por todo este artigo.
As 5 partes
Um analizador de rede é uma combinação de hardware e software. Embora existam diferenças em cada produto, um analizador de rede é composto de 5 partes básicas:
Hardware – A maioria dos analisadores de rede são baseados em software e funcionam com os SO’s padrão e placas de redes. Entretanto, alguns analisadores de rede oferecem benefícios adicionais tais como, análise de falhas de hardware (por exemplo, erros de CRC), problemas de voltagem, problemas de cabeamento, jitter, jabber, erros de negociação, e assim por diante. Alguns analisadores de rede somente suportam adaptadores Ethernet ou wireless, enquanto outros suportam adaptadores múltiplos e permite que usuários customizem suas configurações. Dependendo da situação, você pode também precisar de um hub ou de um cabo tap para conectar ao cabo existente.
Drive de captura – Esta é parte do analizador de rede que é responsável pela captura bruta do tráfego de rede do cabo. Ele filtra a saída do tráfego que você quer pegar e guardar para capturar o dado no buffer. Este é a “alma” de um analizador de rede – você não pode capturar dados sem ele.
Buffer – Este componente armazena os dados capturados. O dado pode então ser armazenado no buffer até ele estiver cheio, ou, dentro de um método de rotação (por exemplo, um “round robin”), onde o dado mais novo substitue o dado mais antigo. Buffers podem ser baseados em disco ou baseados em memória.
Análise real-time – Esta característica analisa o dado conforme ele chega no cabo. Alguns analisadores de rede utilizam-o para encontrar problemas na performance da rede, e IDS’s (Intrusion Detection Systems) utilizam-o para olhar os sinais de atividade de invasão.
Decodificação – Este componente exibe o conteúdo (com descrições) do tráfego de rede de modo a que ele seja legível. Decodificadores são específicos para cada protocolo, dessa forma os analisadores de protocolo variam em número de decodificadores que eles suportam atualmente. Entretanto, novos decodes são constantemente adicionados aos analisadores de rede.
Capturando pacotes com o Wireshark
O programa Wireshark é distribuído livremente e pode ser feito o download no site da Wireshark. Instalar o software é bastante fácil, então não vou falar sobre isso, embora seja importante observar que este soft conta com a instalação do driver WinPcap que já vem incluído no pacote.
Bom, uma vez que você instale o Wireshark com o driver WinPcap, você deverá estar pronto para mergulhar de cabeça nele. A primeira coisa que vamos fazer é simplesmente… adivinhe ? Capturar pacotes. Sim !! E para fazer isto, você primeiro precisa selecionar sobre qual interface de rede ele irá fazer a captura, ao clicar no botão “List available capture interfaces” do lado esquerdo da barra de ferramentas principal.
Feito isso, você será presenteado com uma janela listando todas as suas interfaces de rede onde a captura está disponível. Clique no botão “Start” próximo a interface que você deseja utilizar para dar inicío a captura de pacotes desta conexão. Espere por alguns minutos até que uma quantidade significativa de pacotes tenha sido coletada e então clique no botão “Stop“.
Simples assim.
Você deverá então retornar a tela principal com um monte de dados novos e ….
Congratulations !!!
Você acabou de completar sua primeira captura de pacotes com sucesso !
Agora, você pode começar a se perguntar: Como irei interpretar esta captura de dados ?!?
Mas ainda não estamos prontos para isso. Precisamos ver como o nosso sniffer funciona, mas isso é para o próximo artigo.
Se cuidem. Até lá !
Sds,
Márcia Guimarães
Popularity: 9% [?] Share
34 Comentários »
|
Posts
Loading ...
