Este documento descreve o uso da ferramenta Wireshark para analisar o tráfego em uma rede. Ele explica como o Wireshark pode capturar pacotes para caracterizar os protocolos de comunicação, como TCP e HTTP, entre um cliente e um servidor web. Também discute protocolos como ARP e UDP e como eles funcionam para mapear endereços e transmitir dados na rede.
1. Utilizando o Wireshark para analisar o tráfego em uma rede
Douglas Ribeiro de Aguiar¹
¹Universidade Federal do Pará – Campus de Santarém
douglaribeiro_10@yahoo.com.br
Resumo: Este artigo visa caracterizar o tráfego em uma rede de computadores, através da captura
de pacotes utilizando a ferramenta Wireshark, demonstrando os protocolos presentes nesse tráfego
e a função que cada um exerce para a transferência de informação entre os computadores.
Palavraschave: tráfego, captura de pacotes, transferência de dados.
1.Introdução
A área de gerência de redes foi inicialmente impulsionada pela necessidade de monitoração e
controle do universo de dispositivos que compõem as redes de comunicação. Entretanto, a medida
que as redes crescem e tornamse integradas às organizações, o compartilhamento dos dispositivos
toma aspecto secundário em comparação as outras vantagens oferecidas. As redes passaram a fazer
parte do cotidiano dos usuários como uma ferramenta que oferece recursos e serviços que permitem
a interação e o aumento de produtividade. Considerando este quadro, tornase cada vez mais
necessário a Gerência do ambiente de redes de computadores para manter todo este ambiente
funcionando de forma suave.[1]
O objetivo da Gerência de Redes é monitorar e controlar os elementos da rede (sejam eles
físicos ou lógicos), assegurando um certo nível de qualidade de serviço. Para realizar esta tarefa, os
gerentes de redes podem ser auxiliados por ferramentas, utilizadas para a monitoração e controle da
rede como o Wireshark.[2]. Através dessa ferramenta é possível que o administrador possa ter o
controle geral sobre todo o tráfego da rede prevenindo e solucionando possíveis erros que possam
acontecer.
Esse artigo visa caracterizar o tráfego gerado por uma aplicação Web após a captura de
pacotes na rede através da ferramenta Wireshark, observando os objetos e todos os protocolos
presentes nessa transmissão de informação, demonstrando as ações que cada um assume na
comunicação e caracterizando cada passo realizado para a realização desta tarefa.
Nas próximas seções serão apresentadas as ferramentas utilizadas na atividade, alguns
protocolos presentes na comunicação entre agente e cliente, os passos necessários para executálas e
a caracterização do tráfego na rede através da captura de pacotes utilizando o Wireshark.
2.Wireshark
A gerência está associada ao controle de atividades e ao monitoramento do uso de recursos da rede.
As tarefas básicas da gerência em redes, simplificadamente, são obter informações da rede, tratar
estas informações, possibilitando um diagnóstico, e encaminhar as soluções dos problemas.[1]
A ferramenta utilizada foi o Wireshark (antigo Ethereal), um programa que analisa o tráfego
de rede, e o organiza por protocolos. As funcionalidades do Wireshark são parecidas com o
tcpdump mas com uma interface GUI, com mais informação e com a possibilidade da utilização de
filtros.[3]
É então possível controlar o tráfego de uma rede e saber tudo o que entra e sai do
2. computador, em diferentes protocolos.Também é possível controlar o tráfego de um determinado
dispositivo de rede numa máquina que pode ter um ou mais desses dispositivos. Se você estiver
numa rede local, com micros ligados através de um hub ou switch, outro usuário pode usar o
Wireshark para capturar todas as suas transmissões.[3]
3.Protocolos
3.1 TCP (Transmission Control Protocol)
Um protocolo é um conjunto de regras que governam como computadores conversam a cada outro.
TCP/IP é um protocolo extensamente usado e muito popular. Com TCP/IP, sistemas de computador
diferentes podem trocar dados de maneira confiável em uma rede interconectada. As configurações
desses protocolos tem como função controlar como a informação é passada de uma rede a outra, e
como manipular o endereçamento contido nos pacotes, a fragmentação dos dados e a checagem de
erros. Também provê um conjunto consistente de interfaces de programação de aplicativos(API)
sustentando desenvolvimento de aplicativos. Isto significa que programas de software podem usar
TCP/IP para trocar dados. Um exemplo disto é servidores de rede e browsers de rede, software de
aplicativos que usam TCP/IP para trocar dados. [4]
3.2.UDP (User Datagram Protocol)
O UDP é um protocolo mais rápido do que o TCP, pelo fato de não verificar o reconhecimento das
mensagens enviadas. Por este mesmo motivo, não é confiável como o TCP.[5]
O protocolo é nãoorientado à conexão, e não provê muitas funções: não controla o fluxo
podendo os datagramas chegarem fora de seqüência ou até mesmo não chegarem ao destinatário.
Opcionalmente pode conter um campo checksum, sendo que os datagramas que não conferem este
campo ao chegarem no destino, são descartados, cabendo à aplicação recuperálo.[5]
3.ARP (Address Resolution Protocol)
São utilizados para o mapeamento dinâmico do endereço IP. Quando inicializadas, as estações não
possuem uma tabela de endereços IP/físico armazenada. Em vez disso, para cada endereço IP que
não esteja na tabela da estação, o protocolo ARP manda uma solicitação via broadcast do endereço
físico para o endereço IP determinado. O destinatário que tiver o endereço IP informado responde (à
máquina solicitante) seu endereço físico. Nessa ocasião, tanto a tabela da máquina origem quanto a
da máquina destinatária são atualizadas com os endereços.[6]
4.Execução da atividade
O primeiro passo a ser executado é reiniciar o Sistema Operacional para que todos os elementos de
cache sejam eliminados. Feito isso o Wireshark é preparado para a captura em modo não promíscuo.
Logo em seguida o site http://cassio.orgfree.com/disciplinas/gredes/atividade1/atividade.htm é
acessado, então é digitado o número de matrícula do acadêmico, clicando após em vai.Observar, no
Wireshark, o resultado esperando pelos pacotes de encerramento da conexão; parar a captura e
proceder a caracterização do tráfego.
3. 5. Caracterização do tráfego
Executada a atividade, o Wireshark irá mostrar os pacotes e os protocolos envolvidos para que essa
transmissão possa ser concluída. Para ajudar no entendimento, o Wireshark fornece algumas
informações como o remetente, destinatário dos pacotes, o tipo de protocolo, tempo e informações
sobre a transmissão desses pacotes.
O Protocolo ARP realizará o mapeamento do endereço lógico (IP) para o endereço físico da
máquina. A máquina origem 0a:00:3e:d0:b5:21 envia pacotes para todos os destinos através do
protocolo LLDP. Em seguida é estabelecida uma conexão entre cliente e servidor, essa conexão é
feita através do envio e reconhecimento do pedido de conexão entre as duas máquinas, e então é
efetuado a transmissão de dados confiável através do protocolo TCP. O protocolo HTTP é executado
e um GET é enviado pelo browser e informações são trocadas entre cliente e servidor. A captura
prossegue com conexões TCP e requisições HTTP até a captura ser encerrada.
4. 6.Conclusão
Atualmente as redes de computadores e os seus recursos associados, além das aplicações
distribuídas, tem se tornado fundamental e de tal importância para uma organização, que elas
basicamente "não podem falhar".
Isto significa que o nível de falhas e de degradação de desempenho considerados aceitáveis
esta cada vez mais diminuindo, sendo este nível igual ate a zero, dependendo da importância da rede
para uma instituição.
A ferramenta Wireshark mostrouse de suma importância para a Gerência de Redes,
ajudando no controle e no monitoramento da rede, assegurando um certo nível de qualidade de
serviço, garantindo assim menor nível de falhas e de degradação de desempenho como citado
anteriormente. Isso é possível graças aos serviços oferecidos por essa ferramenta, que dispõe
informações essenciais para a análise do tráfego em uma rede.
5. 7.Referências
[1] SZTAJNBERG, A. “Gerência em Redes de Computadores”. Disponível em
www.gta.ufrj.br/~alexszt/ger/gerencia.html . Acesso em 05 out 2009.
[2] Melhores práticas em gerência de redes Raquel V. Lopes.
[3] Wireshark . Disponível em www.vivaolinux.com.br/artigo/WiresharkArtigo/. Acesso em 05 out
2009.
[4] Comunicação de Dados Luiz Alves Makron Books, 1994
[5] Alecrin, E. “Portas TCP e UDP”. Disponível www.infowester.com/portastcpudp.phpem . Acesso
em 05 out 2009.
[6] Rezende, J. “Protocolo ARP (Address Resolution Protocol)”. Disponível em
www.gta.ufrj.br/~rezende/cursos/.../index.htm – Acesso em 05 out 2009.