Como começar a analisar dados de rede

Caros leitores e leitoras é com grande satisfação que aceitei o convite da equipe deste famoso blog para escrever alguns artigos sobre os temas relacionados à análise de tráfego de redes com o software Wireshark, atividades de monitoração e gerenciamento com base nos vários softwares livres disponíveis tais como o Nagios, Zabbix, MRTG, Cacti, Tacacs+, NTOP e outros mais e também sobre segurança de redes com IPTables, Squid e Snort.

Meu nome é Mario Marques e sou professor de disciplinas relacionadas a redes de computadores há 10 anos, tendo atuado em algumas faculdades e universidades e atualmente lecionando na FATEC Carapicuíba e também nos cursos WiresharkGerenciamento de Redes e Segurança de redes com IPTables, Snort e Squid da CloudCampusAtuo profissionalmente em redes de grande porte desde 1987 e consegui nesse tempo aprender bastante com atividades de configuração de redes e plataformas de gerenciamento. Apresento o meu primeiro artigo por aqui, e espero que gostem, pois será o primeiro de vários que pretendo escrever transmitindo conhecimentos e informações para todos.

Um exemplo de análise de dados de rede tipicamente inclui várias tarefas:

  • Capturar pacotes com a instalação do sniffer no local correto;
  • Aplicar filtros no tráfego de interesse para melhorar a seleção de dados;
  • Revisar e identificar anomalias no tráfego que você irá monitorar.

Vamos então efetuar uma análise de uma sessão de navegação na web ou podemos monitorar nosso próprio tráfego enquanto navegamos para www.wireshark.org/download.html para obter a cópia mais recente do software de captura Wireshark.

Isto é o que você veria no começo do seu tráfego:

  1. Seu sistema solicita o endereço IP de www.wireshark.org.
  2. Se seu sistema suporta IPv4 e IPv6, você verá dois pedidos DNS — um para o IPv4 (um registro tipo A) e outro para o IPv6 (registro tipo AAAA).
  3. Com sorte, o servidor DNS responde com as informações precisas e então você está em bom caminho!
  4. Seu cliente faz uma conexão TCP com www.wireshark.org e em seguida, envia uma solicitação HTTP GET, pedindo a página padrão.
  5. Se tudo correr bem, até este ponto, você verá o servidor HTTP responder com uma resposta 200 OK e começar o download da página.
  6. Você verá várias solicitações GET enviadas do seu sistema — as folhas de estilo para a página e gráficos e outros elementos necessários para construir a página que você está pedindo. Quando você clicar no botão de Download Wireshark, o sistema envia uma solicitação para /download.html. Novamente, você verá o tráfego relacionado à construção dessa página. Agora você clica no link para download da versão do Wireshark.
  7. O seu sistema pode efetuar queries DNS para encontrar o endereço IP do servidor de download antes de iniciar uma nova conexão TCP para aquele endereço IP e finalmente será enviado um novo HTTP GET request para o Wireshark.
  8. Você pode assistir o processo do arquivo sendo transferido para seu sistema local.

Tudo faz sentido. É tudo muito lógico. Mas algumas vezes você pode experimentar alguns problemas de comunicação, e o quê fazer nessa hora? Você pode sentar-se pacientemente à espera do término do download — bater seus dedos tão irritantemente na sua mesa. Seus olhos podem vaguear… à procura de alguma distração que fará o tempo passar mais rápido. Esperando… esperando… esperando… até que finalmente você decide analisar os dados e entender o que está acontecendo.

A análise de rede adiciona uma ferramenta indispensável para o administrador de redes — assim como um raio-x é uma ferramenta indispensável para a sala de emergência do hospital. A análise de rede nos dá a oportunidade de olhar para dentro do sistema de comunicação de rede. Poder puxar as cortinas e ver os pacotes viajando para cá e para lá. Podemos ver a consulta DNS sendo enviada para fora e pegar a resposta do servidor DNS. Podemos ver nosso sistema local enviar um pacote de conexão TCP para o site e aguardar a confirmação do servidor. Nós podemos, por exemplo, olhar e medir o tempo de resposta do RTT do TCP e verificar o funcionamento da janela deslizante (sliding window).

Finalmente, para saber o que se passa na rede temos que olhar os pacotes, fazer a análise do tráfego e identificar o que pode ser a causa do problema e tomar ações corretivas, tudo isso na ponta dos seus dedos! Estes e outros assuntos eu cubro em detalhes no meu curso Wireshark.

Boas coletas de dados e até o próximo artigo!

Mario Marques

PS: Já votou no blog para o prêmio TopBlog? Vote e nos ajude!!! É rápido, fácil e você contribui MUITO!  Se já votou, peça aos amigos que ajudem 🙂



Comente usando o Facebook!

6 comentários

Pular para o formulário de comentário

  1. Bem vindo Mario,

    Muito legal seu artigo e a iniciativa, com certeza será muito bom acompanhar seus artigos aqui pelo blog.

    Abraço,

  2. Muito legal mesmo a iniciativa, recomendo o livro Practical Packet Analysis: Using Wireshark to Solve Real-World Network Problems, baseado em Wireshark.

  3. Felipe e DehVital,

    Obrigado pela acolhida e brevemente incluirei novos artigos com abordagem prática de análise de pacotes aguardem.

    A sua sugestão de livro é muito boa mesmo e além desse eu sugiro também:

    Packtpub.Instant.Wireshark.Starter.Jan.2013

    Wireshark.Network.Analysis.Second.Edition

    Grande abraço,

  4. Boa iniciativa, aguardando mais artigos!

  5. Puxa que legal!

    Mario, seja bem vindo!

    Fico muito feliz em poder ler conteúdo de tão excelente qualidade!

    Obrigado por compartilhar seu conhecimento e dicas 🙂

    Abx

  6. Seja bem-vindo Mário.

    Gostei da sua apresentação inicial. Fico no aguardo de novos artigos.

Deixe uma resposta