PCF-3

Questões comentadas, artigos e notícias

«
»

TCU 2009: questões de captura de tráfego 144-147

Posted by papacharliefox3 em 25/07/2009

Um salve pro vardeci da pizzaria pôr do sol…ah um salve pra geral da XURUPITA!

Salve, concurseiros!

A temível prova do TCU deste ano deu o que falar, mais ainda pelas questões de Redes e Segurança. Nível altíssimo de dificuldade, realmente. Tentarei comentar as questões de Redes (análise de logs de tráfego) e Segurança. Começando pela primeira questão desses temas encontrados na prova.

tcu144-147144 Se utilizarem a mesma máscara de rede, qualquer que seja,
então os hosts envolvidos na captura de tráfego estarão na
mesma sub-rede.

145 A chegada fora de ordem dos pacotes de resposta deve-se à
retransmissão de alguns deles ao longo do percurso.

146 É consistente com a captura que há quatro nós intermediários
entre os hosts nela presentes.

147 É consistente com a captura que o processo de fragmentação
tenha sido aplicado mais de uma vez nos pacotes de resposta.

Comentários:

144 Precisa olhar pra figura? Sim! A informação de máscara é carregada nos pacotes e, por conseguinte, nos logs? Não! Dá para saber se estes caras estão no mesmo domínio de broadcast (sem roteadores entre eles) baseado na análise do tráfego? Sei lá eu…então como fazer?

Perceba que, existem apenas 2 endereços distintos, envolvidos no tráfego apresentado: 10.1.1.100 e 10.1.1.200. Agora imagine estes caras com uma mesma máscara (qualquer), digamos a famosa ‘/24’. Imaginamos isso:

Rede => 10.1.1.0 e Máscara =>255.255.255.0

Os IPs .100 e .200 estariam nesta faixa, sem dúvidas. Mas, e se atuarmos da forma contrária, ou seja, encontramos uma situação hipotética de exclusão? Imagine os 2 IPs pertencentes a uma rede ‘/30’. Como poderia ficar?

Rede 1 => 10.1.1.99  Máscara=> 255.255.255.252  Host 1 => 10.1.1.1.100

Rede 2 => 10.1.1.199  Máscara=> 255.255.255.252  Host 2 => 10.1.1.1.200

Teria que haver um roteador entre eles! Logo, não estariam na mesma sub-rede.

Mas, se o leitor estiver atento, basta enxergar o processo de Fragmentação. Como e quando esta ocorre? Em enlaces com diferentes valores de MTU! Se eles não estão no mesmo enlace, devem existir roteadores entre eles, logo, eles não podem estar na mesma (sub) rede! Pegadinha do malandro examinador…

145 Como checar a chegada fora de ordem? Pelo offset! Como identificar retransmissão? Identifique no payload a string ‘Houston, we have a problem!’ Brincadeira…caríssimos leitores, estamos falando de IP (ICMP), onde haverá retransmissão?

146 Ah, um salve pro pessoal do trabalho! Cabeça e Japa! Esta questão é a mais difícil, sem dúvida! Alguns pontos interessantes: ‘há quatro’ é diferente de ‘somente quatro’! O examinador não seria a mãe Diná para afirmar exatamente quantos hops existem entre os 2 hosts, baseado apenas nesses logs!

Pense da seguinte maneira. Se eles estão em redes diferentes (como mostrado acima), existem pelo menos 2 nós (roteadores, hops) entre eles! (Básico, hein?) Mas, é possível identificar 3 MTU’s diferentes (serve para próxima questão)! E agora? Lembre-se que, o MTU é estabelecido entre 2 nós, geralmente roteadores. Assim, dá para imaginar – suficiente para concordar com a afirmação da questão – a seguinte figura (fiz no Paint Visio!):

mtu

147 Sem dúvida, perceba os pacotes 5-8 com tamanhos (length) diferentes: 764 e 756.

Achou difícil? Não entendeu alguma mer explicação? Tem outra questão da prova que achou mais difícil? Mande nos comentários!

Até a próxima!

Gabarito Preliminar Oficial

144-E  145-E  146-C  147-C

This entry was posted on 25/07/2009 às 12:50 PM and is filed under Questões Cenário, Questões TCU, Redes. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, ou trackback from your own site.

6 Respostas to “TCU 2009: questões de captura de tráfego 144-147”

  1. Fabricio Uchoa said

    25/07/2009 às 2:36 PM

    Imagina ter todo esse raciocínio no calor da prova. Tem que estar calejado. Parabéns pelos comentários. Um dia chego lá.

  2. Felipeel said

    26/07/2009 às 2:07 AM

    Fabricio e Papa,

    Imagine vc ter quer fazer questões de governança, de eng. de software, de programação, de padrões de projeto, etc, etc, etc…complicado!

    Na 146 eu pensei do mesma maneira. Tinha até um pessoal nesses grupos de discussões falando que não era possível existir 4 hops no caminho, e sim 5. O fato do TTL=250 evidencia claramente que poderia existir os 4 hops, sem problema nenhum! Mesmo se o pacote saiu do host com TTL=255. É questão de lógica!

    Se passou por 5 hops…então por 4…por 3…por 2…
    O mundo é dos espertos? Quem passa no concurso são os espertos ou os inteligentes?

  3. papacharliefox3 said

    27/07/2009 às 12:19 AM

    Na hora da prova vai ser briga de foice! :P

    Vou tentar comentar todas de Segurança e Análise de tráfego daquela prova, realmente estava punk!

  4. João said

    10/08/2009 às 12:13 PM

    Salve senhores!
    Eu pensei exatamente no lance do TTL. Com isso você resolve o item, já que “pelo menos 4” é diferente de “exatamente 4).
    Mas mesmo assim, você pode setar o TTL da sua máquina (Linux) para o valor que quiser. Assim não temos como afirmar quantos hops existem, baseado apenas no TTL de retorno.
    Claro que, como o CESPE não disse nada, devemos partir do pressuposto que os sistemas estão default (windows com ttl 255 e linux com 64).

    Abraços!

  5. chrisguicar said

    07/10/2009 às 5:16 PM

    Olá,

    Dúvidas na questão 146:
    1- Na figura que você colocou, os roteadores R1 e R4 não seríam os próprios hosts .100 e .200 ? Desta forma, teríamos apenas 2 roteadores entre eles.

    2- Da forma que está a figura, não existiria 5 MTU’s (os 3 da figura e mais 2: um entre .100 e R1 e outro em .200 e R4) ?

    3- Não achei a frase a seguir básica… Não poderíamos ter vários roteadores dentro de uma mesma rede? Porque temos 2 roteadores em redes diferentes? “Pense da seguinte maneira. Se eles estão em redes diferentes (como mostrado acima), existem pelo menos 2 nós (roteadores, hops) entre eles! (Básico, hein?).

    Obrigado e parabéns pelos comentários !!!

  6. Rafael said

    11/04/2010 às 11:46 AM

    Ainda não consegui decifrar o mistério dos 4 roteadores, mas esse esquema que vc colocou p/ a questão 146 não é válido, pois temos 3 MTUs diferentes: 1492, 764 e 756. As duas últimas MTUs não poderiam estar no caminho de ida do pacote, porque, se assim fosse, também teriam sido fragmentados. Em resumo, a questão nos permite inferir o seguinte (Me corrijam se estiver errado):

    1) A análise não está ocorrendo em nenhum dos segmentos referentes aos protagonistas, já que os pacotes transmitidos e os recebidos estão fora de ordem. Se houvesse um Sniffer na origem, os pacotes de saída estariam em ordem. O mesmo acontece se o Sniffer estivesse no outro segmento.

    2) Na transmissão, os pacotes chegaram na ordem inversa. Isso permite concluir que existem pelo menos 3 rotas possíveis entra o host 100 e o 200.

Deixe um comentário

«
»