Análise de tráfego em redes TCP/IP com...

22
Eriberto - abr. 20 Análise de tráfego Análise de tráfego em redes TCP/IP em redes TCP/IP com tcpdump com tcpdump 2ª parte 2ª parte João Eriberto Mota Filho João Eriberto Mota Filho Brasília, DF, 25 abr. 2020 Brasília, DF, 25 abr. 2020

Transcript of Análise de tráfego em redes TCP/IP com...

Page 1: Análise de tráfego em redes TCP/IP com tcpdumperiberto.pro.br/palestras/analise_trafego_2a_parte.pdfEriberto - abr. 20 Conclusão Referências (usando tcpdump) para estudo: • MOTA

Eriberto - abr. 20

Análise de tráfego Análise de tráfego em redes TCP/IP em redes TCP/IP

com tcpdumpcom tcpdump

2ª parte2ª parteJoão Eriberto Mota FilhoJoão Eriberto Mota Filho

Brasília, DF, 25 abr. 2020Brasília, DF, 25 abr. 2020

Page 2: Análise de tráfego em redes TCP/IP com tcpdumperiberto.pro.br/palestras/analise_trafego_2a_parte.pdfEriberto - abr. 20 Conclusão Referências (usando tcpdump) para estudo: • MOTA

Eriberto - abr. 20

O livro...O livro...

Este minucurso está baseado em partes do livro Análise de Tráfego em Redes TCP/IP, da Novatec Editora.

Page 3: Análise de tráfego em redes TCP/IP com tcpdumperiberto.pro.br/palestras/analise_trafego_2a_parte.pdfEriberto - abr. 20 Conclusão Referências (usando tcpdump) para estudo: • MOTA

Eriberto - abr. 20

SumárioSumário

• CoreEmu em container Docker• Fluxo TCP• Protocolo ARP• Roteamento visto no Modelo OSI• Bridges• Endereço MAC em roteamento e em bridge• Conclusão

Page 4: Análise de tráfego em redes TCP/IP com tcpdumperiberto.pro.br/palestras/analise_trafego_2a_parte.pdfEriberto - abr. 20 Conclusão Referências (usando tcpdump) para estudo: • MOTA

Eriberto - abr. 20

SumárioSumário

• CoreEmu em container Docker• Fluxo TCP• Protocolo ARP• Roteamento visto no Modelo OSI• Bridges• Endereço MAC em roteamento e em bridge• Conclusão

Page 5: Análise de tráfego em redes TCP/IP com tcpdumperiberto.pro.br/palestras/analise_trafego_2a_parte.pdfEriberto - abr. 20 Conclusão Referências (usando tcpdump) para estudo: • MOTA

Eriberto - abr. 20

CoreEmu em container DockerCoreEmu em container Docker

• O CORE (Common Open Reserch Emulator) pode ser instalado diretamente no seu computador. No entanto, ele também pode ser ativado rapidamente via Docker.

• O código fonte para compilar e instalar está disponível em https://github.com/coreemu/core

• A versão (um pouco antiga mas funcional) para Docker está disponível em https://hub.docker.com/r/d3f0/coreemu_vnc

Page 6: Análise de tráfego em redes TCP/IP com tcpdumperiberto.pro.br/palestras/analise_trafego_2a_parte.pdfEriberto - abr. 20 Conclusão Referências (usando tcpdump) para estudo: • MOTA

Eriberto - abr. 20

CoreEmu em container DockerCoreEmu em container Docker

• CoreEmu em container Docker:

# apt-get install docker.io tigervnc-viewer

# docker run -d --cap-add=NET_ADMIN --cap-add=SYS_ADMIN -p 5900:5900 -p 8080:8080 d3f0/coreemu_vnc

- Execute o TigerVNC Viewer.

- Aponte para 127.0.0.1 e clique em conectar.

- Utilize a senha coreemu

Page 7: Análise de tráfego em redes TCP/IP com tcpdumperiberto.pro.br/palestras/analise_trafego_2a_parte.pdfEriberto - abr. 20 Conclusão Referências (usando tcpdump) para estudo: • MOTA

Eriberto - abr. 20

SumárioSumário

• CoreEmu em container Docker• Fluxo TCP• Protocolo ARP• Roteamento visto no Modelo OSI• Bridges• Endereço MAC em roteamento e em bridge• Conclusão

Page 8: Análise de tráfego em redes TCP/IP com tcpdumperiberto.pro.br/palestras/analise_trafego_2a_parte.pdfEriberto - abr. 20 Conclusão Referências (usando tcpdump) para estudo: • MOTA

Eriberto - abr. 20

• Demonstração de situação de bloqueio de porta.

• Demonstração de fluxo simples.

• Demonstração de fluxo em tráfego anômalo.

Fluxo TCPFluxo TCP

Page 9: Análise de tráfego em redes TCP/IP com tcpdumperiberto.pro.br/palestras/analise_trafego_2a_parte.pdfEriberto - abr. 20 Conclusão Referências (usando tcpdump) para estudo: • MOTA

Eriberto - abr. 20

SumárioSumário

• CoreEmu em container Docker• Fluxo TCP• Protocolo ARP• Roteamento visto no Modelo OSI• Bridges• Endereço MAC em roteamento e em bridge• Conclusão

Page 10: Análise de tráfego em redes TCP/IP com tcpdumperiberto.pro.br/palestras/analise_trafego_2a_parte.pdfEriberto - abr. 20 Conclusão Referências (usando tcpdump) para estudo: • MOTA

Eriberto - abr. 20

• O protocolo ARP serve para...

• Demonstração.

• Possíveis ataques.

Protocolo ARPProtocolo ARP

Page 11: Análise de tráfego em redes TCP/IP com tcpdumperiberto.pro.br/palestras/analise_trafego_2a_parte.pdfEriberto - abr. 20 Conclusão Referências (usando tcpdump) para estudo: • MOTA

Eriberto - abr. 20

SumárioSumário

• CoreEmu em container Docker• Fluxo TCP• Protocolo ARP• Roteamento visto no Modelo OSI• Bridges• Endereço MAC em roteamento e em bridge• Conclusão

Page 12: Análise de tráfego em redes TCP/IP com tcpdumperiberto.pro.br/palestras/analise_trafego_2a_parte.pdfEriberto - abr. 20 Conclusão Referências (usando tcpdump) para estudo: • MOTA

Eriberto - abr. 20

• A interpretação de dados inseridos pelo usuário:

Fonte: livro Análise de tráfego em redes TCP/IP, Novatec Editora, figuras 13.1 e 13.2.

Roteamento visto no Modelo OSIRoteamento visto no Modelo OSI

Page 13: Análise de tráfego em redes TCP/IP com tcpdumperiberto.pro.br/palestras/analise_trafego_2a_parte.pdfEriberto - abr. 20 Conclusão Referências (usando tcpdump) para estudo: • MOTA

Eriberto - abr. 20

• O roteamento entre dois segmentos de rede:

Fonte: livro Análise de tráfego em redes TCP/IP, Novatec Editora, figura 13.3.

Roteamento visto no Modelo OSIRoteamento visto no Modelo OSI

Page 14: Análise de tráfego em redes TCP/IP com tcpdumperiberto.pro.br/palestras/analise_trafego_2a_parte.pdfEriberto - abr. 20 Conclusão Referências (usando tcpdump) para estudo: • MOTA

Eriberto - abr. 20

• O roteamento entre dois segmentos de rede:

Fonte: livro Análise de tráfego em redes TCP/IP, Novatec Editora, figura 13.3.

Roteamento visto no Modelo OSIRoteamento visto no Modelo OSI

Page 15: Análise de tráfego em redes TCP/IP com tcpdumperiberto.pro.br/palestras/analise_trafego_2a_parte.pdfEriberto - abr. 20 Conclusão Referências (usando tcpdump) para estudo: • MOTA

Eriberto - abr. 20

• O roteamento visto a partir do Modelo OSI:

Fonte: livro Análise de tráfego em redes TCP/IP, Novatec Editora, figura 13.9.

Roteamento visto no Modelo OSIRoteamento visto no Modelo OSI

Page 16: Análise de tráfego em redes TCP/IP com tcpdumperiberto.pro.br/palestras/analise_trafego_2a_parte.pdfEriberto - abr. 20 Conclusão Referências (usando tcpdump) para estudo: • MOTA

Eriberto - abr. 20

SumárioSumário

• CoreEmu em container Docker• Fluxo TCP• Protocolo ARP• Roteamento visto no Modelo OSI• Bridges• Endereço MAC em roteamento e em bridge• Conclusão

Page 17: Análise de tráfego em redes TCP/IP com tcpdumperiberto.pro.br/palestras/analise_trafego_2a_parte.pdfEriberto - abr. 20 Conclusão Referências (usando tcpdump) para estudo: • MOTA

Eriberto - abr. 20

BridgesBridges

• Interligação de duas porções de rede via camada 2.

• Similar ao switch.

• Principais usos:

- Interligação de duas porções do mesmo segmento de rede.

- Conversão de protocolos de camada 2.

- Elemento de auditoria e análise de tráfego.

- Base para elementos de firewall.

• Como criar -> http://bit.ly/bridge_debian

Page 18: Análise de tráfego em redes TCP/IP com tcpdumperiberto.pro.br/palestras/analise_trafego_2a_parte.pdfEriberto - abr. 20 Conclusão Referências (usando tcpdump) para estudo: • MOTA

Eriberto - abr. 20

SumárioSumário

• CoreEmu em container Docker• Fluxo TCP• Protocolo ARP• Roteamento visto no Modelo OSI• Bridges• Endereço MAC em roteamento e em bridge• Conclusão

Page 19: Análise de tráfego em redes TCP/IP com tcpdumperiberto.pro.br/palestras/analise_trafego_2a_parte.pdfEriberto - abr. 20 Conclusão Referências (usando tcpdump) para estudo: • MOTA

Eriberto - abr. 20

BridgesBridges

• Demonstração.

Page 20: Análise de tráfego em redes TCP/IP com tcpdumperiberto.pro.br/palestras/analise_trafego_2a_parte.pdfEriberto - abr. 20 Conclusão Referências (usando tcpdump) para estudo: • MOTA

Eriberto - abr. 20

SumárioSumário

• CoreEmu em container Docker• Fluxo TCP• Protocolo ARP• Roteamento visto no Modelo OSI• Bridges• Endereço MAC em roteamento e em bridge• Conclusão

Page 21: Análise de tráfego em redes TCP/IP com tcpdumperiberto.pro.br/palestras/analise_trafego_2a_parte.pdfEriberto - abr. 20 Conclusão Referências (usando tcpdump) para estudo: • MOTA

Eriberto - abr. 20

ConclusãoConclusão

• O Core Emulator é um elemento muito útil para o estudo de redes TCP/IP.

• O protocolo ARP serve para várias tecnologias!

• Para entender roteamento de redes é necessário conhecer Modelo OSI.

• As bridges são nossas aliadas na análise de tráfego e em sistemas de firewall.

continua...

Page 22: Análise de tráfego em redes TCP/IP com tcpdumperiberto.pro.br/palestras/analise_trafego_2a_parte.pdfEriberto - abr. 20 Conclusão Referências (usando tcpdump) para estudo: • MOTA

Eriberto - abr. 20

ConclusãoConclusão

Referências (usando tcpdump) para estudo:

• MOTA FILHO, João Eriberto. Análise de tráfego em redes TCP/IP. Editora Novatec, 2013.

• STEVENS, W. Richard; FALL, Kevin R. TCP/IP Illustrated, Volume I, 2ª edição. Editora Addison-Wesley, 2011.

• WIRESHARK.ORG. Seção de capturas no site, em http://wiki.wireshark.org/SampleCaptures.

Esta palestra está disponível em:

http://eriberto.pro.brSiga-me no Twitter @eribertomotaSiga-me no Twitter @eribertomota


ANÁLISE DE ESTADO DE TRÁFEGO DE REDES TCP/IP ......1.Redes TCP/IP. 2.Segurança de Rede. 3.Sistemas de detecção de intrusão. I.Título. \Se voc^e e respons avel pela seguran˘ca

ANÁLISE DE ESTADO DE TRÁFEGO DE REDES TCP/IP ......1.Redes TCP/IP. 2.Segurança de Rede. 3.Sistemas de detecção de intrusão. I.Título. \Se voc^e e respons avel pela seguran˘ca

Serviços TCP

Serviços TCP

Segurança TCP/IP

Segurança TCP/IP

ANÁLISE DE TRÁFEGO TCP/IP · Dentro do pacote TCP/IP temos os headers (cabeçalhos), que contém o endereço IP de origem, endereço IP de destino, porta de origem, porta de destino,

ANÁLISE DE TRÁFEGO TCP/IP · Dentro do pacote TCP/IP temos os headers (cabeçalhos), que contém o endereço IP de origem, endereço IP de destino, porta de origem, porta de destino,

Informações sobre direitos autoraismy.okidata.com/mandown.nsf... · INSTALAÇÃO DO PROTOCOLO TCP/IP. . . . . . . . . 5 CONFIGURAÇÃO COMO UMA IMPRESSORA ... PROTOCOLO TCP/IP TCP/IP

Informações sobre direitos autoraismy.okidata.com/mandown.nsf... · INSTALAÇÃO DO PROTOCOLO TCP/IP. . . . . . . . . 5 CONFIGURAÇÃO COMO UMA IMPRESSORA ... PROTOCOLO TCP/IP TCP/IP

ANÁLISE DE TRÁFEGO QUALITATIVO (TCP/IP)Análise de Tráfego qualitativo (TCP/IP) CBPF-NT-006/02 CAT - Informática 3 1. Introdução A característica favorável da abordagem por

ANÁLISE DE TRÁFEGO QUALITATIVO (TCP/IP)Análise de Tráfego qualitativo (TCP/IP) CBPF-NT-006/02 CAT - Informática 3 1. Introdução A característica favorável da abordagem por

Modelo TCP/IP

Modelo TCP/IP

Protocolo TCP/IP

Protocolo TCP/IP

UFSJ Relatorio TCP

UFSJ Relatorio TCP

Folha de rosto ST - lbd.dcc.ufmg.br · TCP BIC, TCP CUBIC e DCCP CCID2. Os autores buscaram medir a propriedade justic¸a ... CCID2, TCP SACK, TCP NewReno e TCP RENO e conclu´ıram

Folha de rosto ST - lbd.dcc.ufmg.br · TCP BIC, TCP CUBIC e DCCP CCID2. Os autores buscaram medir a propriedade justic¸a ... CCID2, TCP SACK, TCP NewReno e TCP RENO e conclu´ıram

 · Análise de Tráfego em Redes TCP/IP Capítulo 3 Redes TCP/IP 50 IPv4 e IPv6 50 3.2 Noções básicas sobre o IPv4 52 33 Endereços IPv4 especiais

 · Análise de Tráfego em Redes TCP/IP Capítulo 3 Redes TCP/IP 50 IPv4 e IPv6 50 3.2 Noções básicas sobre o IPv4 52 33 Endereços IPv4 especiais

O Protocolo TCP

O Protocolo TCP

Protocolos TCP/IP

Protocolos TCP/IP

Análise de tráfego em redes TCP/IP com tcpdump...Análise de tráfego em redes TCP/IP com tcpdump João Eriberto Mota Filho Campinas, SP, 17 abr. 2013

Análise de tráfego em redes TCP/IP com tcpdump...Análise de tráfego em redes TCP/IP com tcpdump João Eriberto Mota Filho Campinas, SP, 17 abr. 2013

Portas TCP _ IP.pdf

Portas TCP _ IP.pdf

Capítulo – Noções sobre TCP/IP Noções sobre TCP/IP.

Capítulo – Noções sobre TCP/IP Noções sobre TCP/IP.

guto tcp ip

guto tcp ip

Análise de tráfego em redes TCP/IP com tcpdump

Análise de tráfego em redes TCP/IP com tcpdump

Análise de tráfego em redes TCP/IP com tcpdump · Liga pra lá. • Auxiliar de ... Time to Live | Protocol ... • O campo TTL é importante porque permite estimar o sistema ...

Análise de tráfego em redes TCP/IP com tcpdump · Liga pra lá. • Auxiliar de ... Time to Live | Protocol ... • O campo TTL é importante porque permite estimar o sistema ...

Arquitetura TCP IP

Arquitetura TCP IP