Wireshark

Redes de Computadores

Prof. Alencar Melo Jr. / 1º Semestre 2015

 Tecnologia em Análise e Desenvolvimento de Sistemas

 IFSP – campus Campinas CTI Renato Archer

Trabalho Wireshark

Objetivo:  Aprofundar conhecimentos relacionados ao analisador de protocolos Wireshark.

Instruções (atenção!):

• Responda as questões na ordem proposta.
• Esta lista será uma das atividades consideradas para compor a nota de trabalho do segundo bimestre.
• Trabalho deverá ser feito obrigatoriamente em grupo de 2 componentes.
• Um dos critérios de avaliação será a análise e a reflexão dos autores ao produzir as respostas. Leia, entenda e escreva com suas palavras – não utilize copiar/colar.
• Responda no próprio arquivo e imprima ou faça a mão (neste caso, as perguntas também deverão ser copiadas).
• A lista deverá ser entregue impressa.
• Data de entrega: 11/06/2015. Após a data estipulada será descontado 1,0 ponto por dia de atraso.
• Capricho faz parte da nota!

O Wireshark (antigo Ethereal) possui dois componentes principais: o analisador de pacotes, que roda no nível de aplicação e possibilita exibir o conteúdo dos campos das mensagens, permitindo entender o comportamento dos protocolos e o capturador de pacotes (driver libpcap para Unix ou Winpcap para Windows), que atua junto à interface de rede Ethernet ou PPP. O Wireshark é um componente passivo: não envia pacotes e recebe apenas cópias dos pacotes capturados. Site oficial: www.wireshark.org. O Wireshark é muito poderoso e pode analisar mais de 500 protocolos. Em Windows pode não capturar tráfego local-local.

1. O funcionamento de um Analisador de Pacotes passa por colocar a interface de rede no modo promíscuo - explique o que é isso.

1. Suponha que uma determinada empresa não permita a utilização de analisadores de pacotes em seu ambiente. Explique o que um administrador de redes pode fazer para evitar e também descobrir o uso não autorizado de analisadores de pacotes.

1. O uso de um analisador de pacotes como o Ethereal/Wireshark requer dos profissionais de TI uma conduta pautada pela ética e pela responsabilidade; os objetivos deverão ser unicamente a investigação e a análise do comportamento dos protocolos. Busque no Código de Ética da ACM (www.acm.org/constitution/code.html) dois ou mais princípios que podem ser feridos com o uso indevido de um analisador de pacotes. Depois, detalhe a situação real em que o princípio pode ser violado e proponha formas de proteção (considere que você é o administrador da rede e quer evitar a violação dos princípios).

1. Inicie o Wireshark e dispare a captura de pacotes. Após esta etapa, acesse algum site, e baixe algum arquivo. Depois disso, interrompa a captura de pacotes. Analise os resultados da captura. Clique na coluna Protocol, fazendo com que os pacotes capturados sejam ordenados por ordem de protocolo. A seguir, liste os protocolos capturados e descreva a funcionalidade de cada um (escolha os mais relevantes, no mínimo de 8 protocolos).

1. Considerando o seu computador, responda os itens abaixo e explique para cada um como os mesmos puderam ser obtidos com o Wireshark (as informações devem ser obtidas, sempre que possível, usando o Wireshark):

1. O endereço MAC (em hexadecimal)
2. Qual a marca da placa de rede (NIC)?
3. O endereço IP
4. A classe do endereço IP
5. A máscara de rede
6. O endereço IP do gateway default
7. O endereço IP do servidor DNS (dica: experimente limpar o cachê do navegador, limpar o cachê DNS com ipconfig /flushdns e acessar algum site)
8. Qual a versão HTTP do browser (1.0 ou 1.1)? Qual a versão HTTP do Web server (1.0 ou 1.1)?

1. Limpe o cachê de seu browser. Escolha um site (algum pouco conhecido!) e faça um acesso ao mesmo. Calcule o RTT (Round-Trip Time) até este referido site (é a diferença entre o tempo de captura das mensagens HTTP GET e HTTP OK; na coluna Time, o tempo é computado em segundos). Limpe o cachê novamente e repita o procedimento mais duas vezes, calculando o RTT de cada um dos acessos. Faça:

1. Mencione o site acessado
2. Qual o endereço IP do site acessado?
3. O protocolo HTTP utiliza qual protocolo na camada de transporte? Explique como você pode confirmar isso utilizando o Wireshark.
4. Calcule o RTT do 1º acesso
5. Calcule o RTT do 2º acesso
6. Calcule o RTT do 3º acesso
7. Calcule a média dos três RTTs.
8. Analise a variação dos RTTs individuais para o valor médio dos três RTTs. Justifique.

1. A rede utiliza um Web Proxy? Por quê? Se sim, qual seu endereço IP?

1. Cite e explique detalhadamente pelo menos duas maneiras de capturar todos os pacotes que trafegam por um switch.

1. Exiba a tabela ARP de seu host (use arp –a). Explique o significado de cada uma das colunas apresentadas. Caso o protocolo ARP não tenha sido descrito na questão 2) faça-o aqui.

1. Apague todas as entradas da tabela ARP de seu host (use o comando arp –d *; pode ser requerido privilégio especial para a execução). Dê um ping para um host qualquer, externo ao IFSP. Exiba novamente a tabela ARP. Explique quais entradas apareceram na tabela ARP.

1. Explique a funcionalidade e formas de utilização do comando ipconfig (escreva com suas palavras, de modo resumido!).

1. Explique a funcionalidade e formas de utilização do comando tracert. Escolha um site (mencione qual), dê tracert para ele e analise os resultados obtidos.

1. Explique a funcionalidade e formas de utilização do comando nslookup.

1. Explique o que é e a utilidade do modo “reverso” do DNS.

1. Abra o Wireshark na rede do Laboratório IFSP e exiba a janela que mostra o percentual de tráfego dos principais protocolos sendo capturados; deixe a janela ficar exibindo os percentuais por um tempo, sem usar gerar tráfego do usuário (só observe, sem clicar em nada…). Exiba os percentuais capturados de cada protocolo e identifique os protocolos (seus nomes e funções, caso não tenha sido descrito em algum item anterior). Existe algum tráfego em broadcast excessivo?

1. Analise detalhadamente duas características ou possíveis aplicações do Wireshark, que sejam diferentes das mencionadas nos itens anteriores deste trabalho.

...