PCF-3

Questões comentadas, artigos e notícias

Posts Tagged ‘tcpdump’

Serpro 2008: Análise de Tráfego 76-80

Posted by papacharliefox3 em 30/07/2009

Salve! Mais uma de análise de log de tcpdump! Imagine a emoção de se deparar com a figura abaixo na sua prova – mais de meia página de logs! :)

ser2

ser21

Comentários:

76 O que impede a captura ter sido feita – também – no host 10.10.100.101 ou no segmento no qual ele se encontrava?

77 Percebe-se que o mesmo segmento é requisitado várias vezes pelo host 10.10.100.101, inclusive enquanto segmentos posteriores são recebidos. Sendo que esse segmento requisitado várias vezes é enviado ao final do diálogo apresentado. Logo, houve chegada fora de ordem, entretanto, devido a falta ou perda de tal segmento. O que gerou a perda? Sei lá eu!

78 Eu não vi, você viu? Aliás, na hora da prova todas as linhas parecem iguais, não?

79 Sinceramente, não entendi o gabarito ser C. A opção sack indica exatamente o contrário: segmentos que não foram perdidos, mas armazenados pelo receptor, mesmo se tratando de segmentos posteriores ao último requisitado.

80 Verdade. No trecho 24, identifica-se o segmento 48181, ou a existência dele; este ainda não foi enviado ou processado pelo host 10.10.100.101 (receptor), de acordo com os logs apresentados.

Gabarito Oficial

76-E  77-E  78-E  79-C  80-C

Anúncios

Posted in Questões Cenário, Questões Serpro, Redes | Etiquetado: | 3 Comments »

Serpro 2008: Análise de Tráfego 71-75

Posted by papacharliefox3 em 30/07/2009

Salve, concurseiros de TI! (aka nerds wanna go public service)

Desta vez comentarei mais uma das temíveis questões de análise de tráfego do CESPE. A questão foi retirada da prova de 2008 – Analista de Redes. Quem me enviou esta questão foi o colega Alan Ricardo (demorou, mas foi!). Se tiverem mais alguma aí do mesmo nível ou pior, mandem nos comentários que a gente discute mais!

ser1

Comentários:

71 O que é payload? Neste contexto, basicamente, retirando-se o cabeçalho (header) de um pacote IP, tem-se a carga de dados do pacote – payload. Do host 1 para o host 2, foi enviado apenas um pacote Ping (ICMP Echo Request), o que compreende os pacotes de 1 a 3 do log. Assim, basta identificar o último pacote e somar o offset com o tamanho dos dados contidos naquele, menos o tamanho dos cabeçalhos (IP e ICMP): (2944 + 84) – (20 + 8) = 3000. Existem outra maneiras de ‘enxergar’ a questão, fica aí minha sugestão.

72 Dizem por aí que esta questão poderia ser anulada por não ser possível identificar o pacote 4 no texto da questão (não dá mesmo?). Enfim, o 4 está entre o 3 e o 5 (eu sou um gênio!), e nesse é possível perceber o sinal ‘[ ]’ que o diferencia de alguns outros pacotes. Isso indica que a flag More Fragments não está setada, logo, ele é o último fragmento e não o primeiro.

73 Fragmentos de resposta = pacotes 4-8. Fica aí o desafio: existem duas informações no trecho que indicam que os pacotes – possivelmente – passaram por rotas diferentes, quais são elas? :) Nem adianta apelar pro TTL porque todos contêm o mesmo número… ah, um salve aí pros mano da pizzaria Pôr do Sol!

74 Neste caso, o processo de remontagem (reassembly) procede normalmente. No IP, se um fragmento se perde, o pacote inteiro é descartado, o que leva a perda do buffer recém armazenado. Isso pode ocorrer, por exemplo, após o timer de recepção expirar.

75 Não enxergo uma maneira de determinar esta informação com o trecho mostrado. Se alguém souber esta, manda aí! Eu arriscaria 764.

Gabarito Definitivo

71-C  72-E  73-C  74-E  75-C

Posted in Questões Cenário, Questões Serpro, Redes | Etiquetado: | 3 Comments »

Desafio de Forense I: CSI

Posted by papacharliefox3 em 11/04/2009

home_forensics3Salve!

Nosso colega Mr. Cometa já se declarou fã do Grissom e da turma do CSI. Em homenagem a ele publico agora uma imagem contendo as famosas faixas de isolamento utilizadas na cena do crime.

O problema é que dentro desta imagem existe uma senha, esta protege o post anterior, que possui acesso protegido, contendo comentários da questão 45 da prova de 2002. Quem sabe não passamos a fazer isso (desafios) mais vezes, o que pode servir como incentivo à busca de conhecimento e elevação do nível técnico dos candidatos ao concurso e dos leitores do blog. Autores ativos do blog terão acesso irrestrito.

Conselho aos que irão tentar, excetuando-se os profissionais de Forense Computacional que estão lendo o blog (sei que existem!): não causem DoS no WordPress, não há necessidade de brute-forcers na autenticação do post. Como dica, lembrem-se do caso do traficante Abadia. Mais detalhes abaixo:

O que Abadía e Hello Kitty têm em comum ?

Em alta, perícia digital vira negócio

Na questão, cobra-se conhecimento de redes e análise de logs da ferramenta tcpdump. Segue abaixo a questão:

45

Posted in Forense | Etiquetado: , | 2 Comments »

Protegido: Prova de 2002: Cenário TCPdump – Questão 45 (senha está no Desafio de Forense I)

Posted by papacharliefox3 em 11/04/2009

Este conteúdo está protegido por senha. Para vê-lo, digite sua senha abaixo:

Posted in Prova 2002, Questões Cenário, Redes | Etiquetado: , | Digite sua senha para ver os comentários.

SANS Pocket Reference

Posted by papacharliefox3 em 01/04/2009

1Não é brincadeira de 1o de Abril, o conteúdo deste PDF é muito bom! :)

Façam bom uso nas questões de redes, sobretudo nos cenários ‘carvernosos’! Abraços e bons estudos!

http://www.sans.org/resources/tcpip.pdf?ref=3871

Posted in Redes | Etiquetado: | 2 Comments »

Protegido: Prova 2004 Regional: Cenário TCPDump – Questões 118-120

Posted by papacharliefox3 em 01/04/2009

Este conteúdo está protegido por senha. Para vê-lo, digite sua senha abaixo:

Posted in Prova 2004 REG, Questões Cenário, Redes, Segurança | Etiquetado: | Digite sua senha para ver os comentários.

Protegido: Prova de 2004 Regional: Cenário Redes/TCPdump – Questões 82-85

Posted by papacharliefox3 em 24/02/2009

Este conteúdo está protegido por senha. Para vê-lo, digite sua senha abaixo:

Posted in Prova 2004 REG, Questões Cenário, Redes | Etiquetado: | Digite sua senha para ver os comentários.