PCF-3

Questões comentadas, artigos e notícias

Prova de 2002: Cenário Ethereal – Questão 46

Posted by papacharliefox3 em 09/02/2009

Mais uma questão de cenário, novamente, envolvendo redes e ferramentas analisadoras de tráfego, mais conhecidas como analisadores de protocolo.

A realização de análise de tráfego em uma rede TCP/IP é uma técnica importante para monitoração e auditoria da rede e de seus serviços.
As figuras I e II a seguir, obtidas com o uso da ferramenta Ethereal (www.ethereal.com), apresentam exemplos típicos de informações
extraídas com o uso de ferramentas analisadoras de rede, que são empregadas na realização de análise de tráfego.

Figura I

Figura I

Figura II

Figura II

Acerca das informações contidas nas figuras I e II e de suas interpretações, julgue os itens a seguir, relativos à rede mencionada acima.

  1. Todo o tráfego observado, de acordo com a figura I, utiliza o protocolo IP.
  2. De acordo com a figura I, o protocolo UDP não está implementado nessa rede, sendo o protocolo TCP o único protocolo de transporte disponível.
  3. O pacote de número 42, na figura II, é uma retransmissão do pacote de número 41.
  4. Os pacotes de números 41, 42, 45 e 46, mostrados na figura II, fazem parte de uma mesma conexão TCP no sentido da porta 1024 para a porta ftp. Por outro lado, os pacotes 43 e 44 fazem parte de outra conexão TCP simétrica, no sentido da porta ftp para a porta 1024. As duas conexões formam uma ligação TCP bidirecional.
  5. A primeira opção do pacote TCP de número 41, detalhado na parte inferior da figura II, aparece apenas em mensagens TCP de estabelecimento de conexão, isto é, que possuam o flag de SYN ativo.

Nota: O projeto Ethereal foi descontinuado por seu fundador (Gerald Combs) devido a problemas com o nome (patentes, etc.), todavia um fork do projeto existe e vai bem obrigado! Ele chama-se Wireshark, projeto pelo qual Combs e sua equipe são responsáveis (além de serem funcionários da empresa responsável pela biblioteca Winpcap).

Deixando a história de lado, vamos as questões:

1. Todo o tráfego observado, de acordo com a figura I, utiliza o protocolo IP.

De acordo com a Figura I, somente frames contendo os protocolos TCP e ICMP foram capturados, assim basta sabermos se ambos fazem uso do Internet Protocol – IP. O protocolo ICMP, utilizado para diagnóstico de conexões, utiliza o IP visto que mensagens desse protocolo são carregadas dentro de datagramas IP, conforme visto abaixo:

Datagrama IP com mensagem ICMP

Datagrama IP com mensagem ICMP

No caso do TCP, acontece da mesma forma, ele deve caber na carga útil do datagrama IP:

Datagrama IP contendo um segmento TCP

Datagrama IP contendo um segmento TCP

De maneira mais prática, podemos criticar o seguinte: olhando para o esquema do segmento TCP abaixo, onde estão os endereços IP de origem e destino? A resposta é: no datagrama IP.

Segmento TCP

Segmento TCP

Assim, pode-se concluir que ambos utilizam o protocolo IP. Para mais informações consultar os documentos RFC correspondentes.

2. De acordo com a figura I, o protocolo UDP não está implementado nessa rede, sendo o protocolo TCP o único protocolo de transporte disponível.

Questão típica “pegadinha”, explico. Ao ater-se a informação final “sendo o protocolo TCP o único protocolo de transporte disponível”, o candidato analisa se isto realmente é verdade, ou seja, se o TCP é um protocolo da camada citada – o que é verdade. Entretanto, a sacada é perceber que não obstante a Figura I mostrar 0% de frames detectados contendo o protocolo UDP, não pode-se concluir que a rede examinada (naquele período) não posssui serviços de rede disponíveiss através do protocolo UDP.

3. O pacote de número 42, na figura II, é uma retransmissão do pacote de número 41.

O que é seria uma retransmissão no contexto apresentado? Quando um host envia um segmento TCP, mas o destinatário não o recebe por algum motivo, e assim o remetente deve reenviar o segmento não recebido. Essa situação ocorre quando um timeout de confirmação de recebimento do segmento expira do lado do remetente (basicamente). Além disso, o TCP utiliza-se de algoritmos de retransmissão e temporização baseados em variáveis calculadas envolvendo o tempo de ida e volta de um segmento (round trip time – RTT). Na Figura II percebe-se que há resposta para ambos segmentos citados (41 e 42), suficiente para concluirmos que não houve retransmissão. Ademais, requisição e resposta acontecem no mesmo centésimo de segundo (14.25).

Vale notar que esta questão teve gabarito alterado (C->E), quem tiver acesso a resposta do recurso, mande pra nós. :) Além disso, há uma duplicação de todos os segmentos apresentados, isso pode ocorrer por diversos motivos.

4. Os pacotes de números 41, 42, 45 e 46, mostrados na figura II, fazem parte de uma mesma conexão TCP no sentido da porta 1024 para a porta ftp. Por outro lado, os pacotes 43 e 44 fazem parte de outra conexão TCP simétrica, no sentido da porta ftp para a porta 1024. As duas conexões formam uma ligação TCP bidirecional.

Os pacotes mencionados tratam da mesma conexão. Percebam que todos os segmentos a partir da linha de número 41, tratam do estabelecimento da conexão TCP (para efetuar uma conexão FTP, neste caso): SYN | SYNACK | ACK (duplicados).

5. A primeira opção do pacote TCP de número 41, detalhado na parte inferior da figura II, aparece apenas em mensagens TCP de estabelecimento de conexão, isto é, que possuam o flag de SYN ativo.

Corretíssimo, citando o RFC 793:

Maximum Segment Size Option Data:  16 bits

          If this option is present, then it communicates the maximum
          receive segment size at the TCP which sends this segment.
          This field must only be sent in the initial connection request
          (i.e., in segments with the SYN control bit set).  If this
          option is not used, any segment size is allowed.

Mandem suas dúvidas e sugestões. Até o próximo post!

Gabarito:

Questão 46: 1-C  2-E  3-E  4-E  5-C

Referências:

Redes de Computadores 4ed., Tanenbaum
RFC “Transmission Control Protocol” – http://www.faqs.org/rfcs/rfc793.html
RFC “Computing TCP’s Retransmission Timer” – http://tools.ietf.org/html/rfc2988

2 Respostas to “Prova de 2002: Cenário Ethereal – Questão 46”

  1. rhino said

    Muito bom, Alexandre!
    Com certeza é muito válido para os estudos!

  2. dmfaria said

    Questão 3. -> Também queria saber qual foi a justificativa de terem mudado o gabarito de C->E …
    Se aquele pacote não é uma retransmissão, o que seria então?

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

 
%d blogueiros gostam disto: