Professional Documents
Culture Documents
Aluno:
1. Objetivo:
OobjetivodessaaulaapresentarosoftwareWiresharkeexploraralgumasfuncionalidadesbsicas
dessesoftware.
2. RevisotericaIntroduoaoWireshark
Oentendimentodaessnciadeprotocolosdecomunicaopodeseraprofundadocomavisualizao
desses protocolos em ao e tambm pela interao com os mesmos. Para tanto, podese observar a
seqncia de mensagens trocadas entre duas entidades de protocolos, estudar os detalhes de suas
operaes, alm da possibilidade de se enviar ordens para que eles realizem determinadas aes, e, a
partirdisso,analisartaisatosesuasconseqncias.Issopodeserfeitoatravsdecenriossimuladosou
de seu estudo em um ambiente real de rede, como a Internet. Alguns applets Java servem primeira
abordagem.Estaauladelaboratrio,seguirasegundaabordagemusandoosoftwareWireshark.
Seroutilizadasvriasaplicaesemrede,sobdiferentescenrios,atravsdousodecomputadores
conectados Internet. Sero observados como os protocolos de comunicao funcionam na prtica,
interagindoentresietrocandomensagenscomoutrasentidades.
A ferramenta bsica para a observao das mensagens trocadas entre entidades de protocolos em
execuochamadodecapturadordepacotes(emingls,packetsniffer).Comosugeridopeloprprio
nome, esse software captura (sniffs) mensagens sendo enviadas/recebidas de/para um computador;
alm disso, tipicamente, ele armazena e exibe o contedo de vrios campos dos protocolos nessas
mensagenscapturadas.Umcapturadordepacotes,porsis,passivo.Eleobservaasmensagenssendo
enviadas e recebidas pelas aplicaes e protocolos que esto sendo executados no computador.
Similarmente,ospacotesrecebidosnoforamendereadosaosoftwarecapturadordepacotes.Aoinvs
disso, esse aplicativo recebe uma cpia dos pacotes que esto sendo enviados/recebidos de/para uma
aplicaoeprotocolosqueestoexecutandoemsuamquina[1].
A Figura 1 mostra a estrutura de um capturador de pacotes. No lado direito dessa figura, esto os
protocolos (neste caso, protocolos de Internet) e aplicaes (como um navegador de Internet) que
normalmente rodam em seu computador. O capturador de pacotes, mostrado dentro do retngulo
pontilhadonessafigura,umsoftwareadicionalexecutandoemsuamquinae,consiste,basicamente,
deduaspartes.Abibliotecadecapturadepacotes(doingls,packetcapturelibrary)recebeumacpia
de cada quadro de comunicao que enviado ou recebido por seu computador em cada conexo.
Mensagenstrocadasporprotocolosdecamadassuperiores,comoHTTP,FTP,TCP,UDP,DNS,ouIPso
todosencapsuladosemquadrosquesotransmitidossobreummeiofsico,comoumcabodeEthernet.
NaFigura1,omeiofsicodecomunicaoaEthernet,etodososprotocolosdascamadassuperioresso
encapsulados em um quadro Ethernet. A captura dos quadros de todas as conexes fornece todas as
mensagensquesoenviadas/recebidasde/paratodososprotocoloseaplicaessendoexecutadosem
seucomputador.
Figura1:EstruturadeumCapturadordepacotes
Figura2:Hospedeiro,roteadoresecomutadoresdacamadadeenlace,cadaumcontmumconjuntodiferentede
camadas,refletindosuasdiferenasemfuncionalidade.
compreende a estrutura do segmento TCP, ento pode extrair a mensagem HTTP contida nesse
segmento.Finalmente,eleentendeoprotocoloHTTPeento,porexemplo,sabequeosprimeirosbytes
deumamensagemHTTPiroconteraspalavrasGET,POST,ouHEAD,comomostradonaFigura3.
Figura3:Formatogeraldeumamensagemderequisio.
3. InstalandooWireshark
Para se executar Wireshark necessrio o acesso a um computador que tenha instalado tanto esse
software(queumanalisadordepacotes)quantoumabibliotecadecapturadepacotescomoalibpcap
ouWinPCap.JuntoinstalaodoWiresharkfeitaainstalaoautomticadosoftwarelibpcap,casoa
mesmajnotenhasidoinstaladapreviamente.
4. ExecutandooWireshark
QuandoseexecutaoWireshark,asuainterfacegrfica,semelhantedaFigura4.
DisponveltambmnoPortalDidtico(versoparaWindows32bits).
Figura4:InterfaceGrficadeinicializaodoWireshark
AinterfacegrficadoWiresharkpossuicincocomponentesprincipais,conformeFigura5:
Figura5:InterfaceGrficadoWiresharkapsoinciodecapturadepacotes
Osmenusdecomando(commandmenus)estolocalizadosnotopodajanela.deinteressenesse
momentosoosmenusdeArquivo(File)eCaptura(Capture).OmenudeArquivopermitesalvar
dados de pacotes capturados ou abrir um arquivo contendo dados de pacotes previamente
capturados,almdapossibilidade defecharoWireshark. OmenuCaptura, comosugeridopelo
nome, permite comear a captura de pacotes, alm de algumas opes de configurao para
essacaptura.
Ajaneladelistagemdepacotes(packetlistingwindow)mostraumresumoemtemporealpara
cadapacotecapturado,incluindoumnmerodepacote(atribudopeloWireshark;estenoum
nmerodepacotecontidoemqualquercabealhodeprotocolo),otemponoqualopacotefoi
capturado, a fonte do pacote e seu endereo de destino, o tipo de protocolo, e a informao
especficadecadaprotocolocontidanopacote.Essalistagempodeserorganizadadeacordocom
qualquer uma dessas categorias, atravs do click no nome da coluna de interesse. O campo de
tipodeprotocololistaoprotocolodemaiornvelhierrquicoqueenviaourecebeessepacote,
isto,oprotocoloqueafonteouodestinofinaldessepacote.
A janela de detalhamento dos cabealhos dos pacotes (packetheader details window) fornece
detalhessobreopacoteselecionado(emdestaqueouemfoco).Paraselecionarumpacotenessa
janela,coloqueocursorsobrealinhaderesumodopacoteepressioneomouse.Estesdetalhes
incluem informao sobre o quadro Ethernet (assumindo que o pacote foi enviado/recebido
sobre uma interface Ethernet) e o datagrama IP que contm esse pacote. Se o pacote foi
transportado sobre um protocolo TCP ou UDP, detalhes sobre esses protocolos tambm sero
apresentados.Finalmente,informaessobreoprotocolodemaiornvelqueenviouourecebeu
essepacotetambmfornecida.
Na direo do topo da janela de interface grfica est o campo de filtro de display de pacotes
(packet display filter field), no qual um nome de protocolo ou outra informao podem ser
digitadoscomoobjetivodefiltrarasinformaesapresentadasnajaneladelistagemdepacotes
(e tambm nas janelas de cabealhos e de contedos de pacotes). Em um exemplo da seo a
seguir,serutilizadoumfiltroparamostrarinformaessomentedepacotescorrespondentes
mensagensHTTP.
5. ExemplodesimulaousandooWireshark
A melhor maneira de aprender a trabalhar com um novo software utilizando o mesmo. Assumindo
queseucomputadorestconectadoInternetviaumainterfacecabeadaEthernet,faaoseguinte:
1. Inicializeseunavegadorpreferido.
2. inicializeoWireshark.AparecerumatelacomoaFigura4,umavezqueaindanoseiniciouacaptura
depacotes.
3. Parainiciaracapturadepacotes,selecioneomenuCaptureeescolhaaabaOptions.Issoirmostrara
janelaWireshark:CaptureOptions,Figura6.
Figura6:JaneladeopesdecapturadoWireshark
4. Podeseusaramaioriadosvalorespadro(default)destajanela,masretireaseleodaopoHide
captureinfodialog,naabaDisplayOptions.Asinterfacesderede(isto,asconexesfsicas)que
seu computador tem com a rede sero mostradas menu Interface no topo da janela de Capture
Options. No caso de seu computador possuir mais de uma conexo ativa de rede (ou seja, se seu
computador possui uma conexo Ethernet tanto sem fio quanto cabeada), voc dever selecionar a
interface que ser utilizada para enviar e receber pacotes. Aps a escolha da interface de rede (ou
utilizandoainterfacedefaultescolhidapeloWireshark),cliqueemStart.Acapturadepacotesdeveter
comeado, ou seja, todos os pacotes enviados/recebidos de/para seu computador esto sendo
capturadospeloWireshark.
5. Umavezcomeadaacapturadepacotes,umajanelacomoresumodessacapturairaparecer,como
mostra a Figura 7. Essa figura sumariza a quantidade de pacotes de diversos tipos que esto sendo
capturados,e(importante!)contmumbotodeStopquepermiteavocparaessacaptura.Mas,no
faaissoainda!
Figura7:JaneladecapturadepacotesdoWireshark
8. Digitehttpsemasaspas,eemletrasminsculas(todososnomesdeprotocolosnoWiresharkesto
emletrasminsculas)nocampodeespecificaodefiltros.EntoselecioneApply(adireitadeonde
sedigitouhttp).IstoirfazercomquesomentemensagensHTTPsejammostrasnajaneladelistagem
depacotes.
9. Selecioneaprimeiramensagemmostradanajaneladelistagemdepacotes.Essadeveseramensgem
deGETdoprotocoloHTTPquefoienviadadoseucomputadorparaoservidorHTTPgaia.cs.umass.edu.
QuandoseselecionouamensagemdeGETdoHTTP,oquadroEthernet,odatagaramaIP,osegmento
TCPeainformaodocabealhodamensagemHTTPforammostradosnajaneladedetalhamentodos
cabealhosdospacotes.
10. AFigura8mostra,emdetalhe,asinformaesdamensagemHTTP,enquantoasinformaesdoquadro
Ethernet,dodatagramaIP,dosegmentoTCPforamminimizadas.
11. FecheesaiadoWireshark.
Figura8:JaneladeinterfacedoWiresharkapsopasso9.
6. PartePrticaemaulaexperinciaproposta
1. ListeosdiferentesprotocolosqueaparecemnacolunaProtocolnajaneladelistagemdepacotes
nopasso7.(testeosendereos:www.google.com.brewww.ufsj.edu.br).
2. QuantotempolevouapartirdomomentoemqueamensagemGETdoHTTPfoienviadaatser
recebidooOK?Pordefault,ovalordacolunaTimenajaneladelistagemdepacotesserefere
quantidadedetempo,emsegundo,desdeomomentoqueorastreamentodepacotescomea.
Para mostrar o campo de tempo no formato de horaminutosegundo em que ocorreram essas
trocasdemensagem,selecioneaabaViewnomenudecomandos,depoisescolhaTimeDisplay
Format,eentoTimeofday.
3. Qual o endereo de Internet de gaia.cs.umass.edu? Qual o endereo de Internet do seu
computador?Respondaomesmoparaosoutrosendereostestados.
4. ImprimaasduasmensagensHTTPmostradasnopasso9.Paratanto,selecionePrintnomenude
comandoFile,escolhaSelectedPacketOnly,emseguida,Printasdisplayedeento,cliqueOK
(escolhaumaimpressoradotipoPDF).
7. Bibliografia
[1]KUROSE,J.F.;ROSS,K.W.RedesdeComputadoreseaInternet,1.ed.,Ed.AddisonWesley,
2003.
TrabalhoPrtico:
Ethernet:
SelecioneopacoteEthernetquecontmamensagemHTTPGET.LembrequeamensagemHTTP
estdentrodeumsegmentoTCP,queporsuavezestdentrodeumdatagramaIP,queestdentrode
umpacoteEthernet.
Responda s questes seguintes baseado no contedo desse pacote Ethernet (que contm a
mensagemHTTPGET).
1. Qualoendereo(MAC)dedestinodessepacote?QualoendereoEthernettestado?Ento
qualdispositivotemesseendereo?
2. QualovalordoendereoEthernetdefonte?Esteendereodoseucomputadoroudeum
endereodaweb?Entoqualdispositivotemesseendereo?
3. QualoendereoEthernetdedestino?Esteendereodoseucomputador?
ARP:
LembresequeoprotocoloARPmantmumatabeladecorrelaoentreendereosIPeEthernet
(MAC) no seu computador. Para manipular e visualizar o contedo dessa tabela (memria) usado o
comandoarpdiretamentenoDOS.Responda:
1. EscrevaocontedodamemriaARPdoseucomputador.Qualosignificadodecadacoluna?
ParaobservaroseucomputadormandandoerecebendomensagensARP,necessriolimpara
memriaARP.DigitenoDOSarpd*,odindicaaoperaodedeletareo*indicaaescolhadetodasas
entradas.
LimpeamemriaARPcomodescritoacima.
Certifiquese que o cache do seu navegador est vazio. Para o Internet Explorer selecione
Ferramentas> Opes da Internet>Excluir histrico de navegao ao sair>excluir limpando
assimamemria(histrico).
ComeceacapturaatravsdoWireshark.
EntrecomaURL:http://gaia.cs.umass.edu/wiresharklabs/INTROwiresharkfile1.html
Pare a captura. O foco o protocolo ARP, logo no estamos interessados em protocolos
superioresaoIP.EntonocampofilterdigitearpeserolistadosapenaspacotesARP.
2. QuaissoosvaloreshexadecimaisdosendereosdefonteedestinodopacoteEthernetque
contmamensagemARPdepergunta?
3. QualovalorhexadecimaldocampoType?Oquesignifica?
4. AmensagemARPcontmoendereoIPdoremetente?
5. AgoraencontreamensagemARPderesposta.OndenopacoteARPestaresposta?
6. QualovalorhexadecimaldosendereosdefonteedestinonopacoteEthernetquecontma
respostaARP?
ICMP
Vamos examinar as mensagens ICMP geradas pelo Ping e Traceroute. Atravs da captura dos
pacotesexaminaremosocontedoeformatodasmensagensICMP.
O ping mostra se um host remoto est ativo ou no, dizendo se a comunicao entre o seu
comutadoreoremotoestOK(atonvelderede).
AbraoPromptdoWindows(DOS).
Comeceacaptura.
Digitenoprompt:pingn10hostname.
Quandoopingterminar,interrompaacaptura.
UsandooWireshark,nocampofilter,digiteicmp.Notequesolistadospacotescomperguntas
pingerespostasping.
Aseguirrespondasquestes:
7. QualoendereoIPdoseucomputador?QualoendereoIPdedestino?
8. PorqueopacoteICMPnotemnmerosdeportadedestinoefonte?
9. Examineumadasperguntaspingenviadasdoseucomputador.Qualonmerodecdigodo
protocolo ICMP? Quais os outros campos que o pacote ICMP tem? Quantos bytes tem os
campos:checksum,sequencenumbereidentifier?
10.Examinearespostadaperguntapinganterior.QualonmerodecdigodoprotocoloICMP?
Quais os outros campos que o pacote ICMP tem? Quantos bytes tem os campos: checksum,
sequencenumbereidentifier?
Otraceroute,noWindows,mandaumasriedepacotesICMPdeumafonteatumdestino.O
programamandaoprimeiropacotecomTTL=1,osegundocomTTL=2,eassimpordiante.Essespacotes
podero ser descartados no primeiro, segundo, ..., roteadores respectivamente, e ser mandado uma
mensagem ICMP de erro ao emissor, ou seja: seu computador, permitindo que ele consiga recompor a
rota.Logosigaospassosaseguir:
AbraoPromptdoWindows(DOS).
Comeceacaptura.
Digitenoprompt:tracerthostname.
Quandootracertterminar,interrompaacaptura.
11.QualoendereoIPdoseucomputador?QualoendereoIPdohostdedestino?
12.Examineumpacote.Ele(ICMPerrorpacket)diferentedopacoteobtidonacapturadoping
(echopacket)?Emqueaspectos?Quaisosnovoscampospresentes?
13.Seoseuhostdedestinoestemoutrocontinente,existeumpacotequetemumdelaymuito
maissignificativoqueoanterior.Qualseriaumapossvellocalizaodoroteadorqueretornou
essepacoteequalseriaumapossvellocalizaodoroteadorqueretornouopacoteanterior?
10