https://www.udemy.com/curso-profissional-sobre-wireshark/?instructorPreviewMode=guest
Adicionando
as capacidades do Wireshark para encontrar os principais operadores das conexões
(ou pacotes de multicast que também podem afetar a atividade da rede), o
seguinte pode ser feito:
1.
Configure um novo "filtro de captura" como tal:
Nome do
filtro: Broadcast e Multicast
Filtro
Cadeia ou string: broadcast and multicast
2.
Selecione o botão da barra de ferramentas "Mostrar as opções de
captura".
3.
Selecione o botão "Filtro de captura" e clique duas vezes no filtro
"Broadcast and Multicast".
4.
Selecione "Iniciar" e depois vá para "Estatísticas",
"Conversas" e selecione a aba "IPv4".
5.
Finalmente, classifique a lista por bytes e tente encontrar o Ip e Arp
responsavel pelo broadcast.
--
Procure
por um grande número ou pacotes RST (vermelho). Isso indica que os pacotes
devem ser reenviados. Pode indicar ruído em outras questões.
Transmissão
Qualquer pacote destinado a todas as estações
em um segmento de rede é considerado tráfego de transmissão (Broadcast Storm). Os endereços de
transmissão geralmente são usados por ARP, DHCP e outros protocolos que fazem
algum tipo de descoberta.
para
Ethernet (e outras redes 802.x)
Ethernet
designou o endereço all-ones (ff: ff: ff: ff: ff: ff) para o tráfego de
transmissão; Isso também é usado para outras redes 802.x.
para
IPv4
Da mesma
forma, o endereço IP de todos (255.255.255.255) é transmitido. Se a porção do
host de um endereço IP é 255 (por exemplo, se o endereço for 192.168.0.255 e a
máscara de rede for 255.255.255.0), esse endereço também é um endereço de
broadcast. Então você pode facilmente monitorar o destino do tráfego para ff:
ff: ff: ff: ff: ff ou 192.168.0.255
Outros pontos
a se considerar são:
Com uma tempestade de transmissão,
você veria o mesmo pacote ARP cerca de 500-10000 vezes por segundo, dependendo
da sua infra-estrutura. Isso é causado por um loop de comutação. O que voce pode fazer para
verificar isso é digitar broadcast storm em qualquer buscador e verificar as
imagens de preferencia vindas do site do wireshark, aí voce vai ter uma ideia
de como são muitos dados por segundos e que feitos também pelo packet tracer da
cisco mostram talvez em mais detalhes como funciona os layers quando recebemos
uma storm.
No comments:
Post a Comment