Redes de Computadores - Aula 15

Prévia do material em texto

Redes de Computadores e Segurança da Informação para Concursos - Curso Regular
Professor: André Castro
Tecnologia da Informação – Redes de Computadores 
Curso de Teoria e Exercícios 
Prof. André Castro ʹ 
 
 
 
 
Prof. André Castr o www.estrategiaconcursos.com.br 
Pág. 1 de 45 
 
 
 
 
 
SUMÁRIO PÁGINA 
 CRONOGRAMA DO CURSO ................................................................... 2 
1. Análise de Tráfego ............................................................................ 3 
LISTA DE EXERCÍCIOS COMENTADOS ............................................... 12 
LISTA DE EXERCÍCIOS .......................................................................... 35 
GABARITO .............................................................................................. 45 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Tecnologia da Informação – Redes de Computadores 
Curso de Teoria e Exercícios 
Prof. André Castro ʹ 
 
 
 
 
Prof. André Castr o www.estrategiaconcursos.com.br 
Pág. 2 de 45 
 
 
 
 CRONOGRAMA DO CURSO 
 
AULA CONTEÚDO DATA 
Aula 0 
Demonstrativa 
Conceitos Básicos de Redes, Meios de 
Transmissão, Tipos de rede e conexão, Topologias 
de rede, Classificação das Redes; Transmissão de 
Sinais; Cabeamento Estruturado. 
17/03 
Aula 1 
Elementos de interconexão de redes de 
computadores (hubs, bridges, switches, roteadores, 
gateways). Arquitetura e protocolos de redes de 
comunicação: modelo de referência OSI e 
arquitetura TCP/IP; 
30/03 
Aula 2 Ethernet, ATM, X.25, Frame Relay, outros 
protocolo; Tecnologias de Redes de Acesso; 12/03 
Aula 3 STP e RSTP; 802.1.q (VLAN); 802.1p, 802.1x, 
EAP, Redes sem Fio e Aspectos de Segurança; 25/03 
Aula 4 IPv4 e IPv6; Endereçamento de Rede; ICMP; IGMP; NAT, ARP/RARP; Internet das Coisas; 
Troca de Tráfego - PTT 
10/04 
Aula 5 MPLS, TCP; UDP e SCTP; 20/04 
Aula 6 HTTP, HTTPS, DHCP, FTP, DNS, SMTP, POP, 
IMAP, NTP v4; SSH; TELNET; 30/04 
Aula 7 Gerenciamento de Redes: SNMP; Ferramentas de 
Gerenciamento; VPN 10/05 
Aula 8 Protocolos de Roteamento – Rip, OSPF, BGP, 
outros; Protocolos de Roteamento Multicast; VRRP; 20/05 
Aula 9 Análise de Tráfego; 30/05 
Aula 10 QoS – IntServ e DiffServ; Redes e Protocolos 
Multimídia; SIP; H.323; MGCP 10/06 
Aula 11 X.500 e LDAP; Serviços de Autenticação: Radius, TACACS, TACACS+, Kerberos; NFS, SAMBA e 
CIFS; 
20/06 
 Conceitos Básicos; Princípios de Segurança; Mecanismos de Segurança; Controle Físico e 
Lógico. Princípios Normativos. 
25/06 
 Firewall, Proxy, IpTables, IDS/IPS, SELinux, ICAP; 
SSL/TLS e IPSeC 30/06 
. Ataques em redes e aplicações corporativas: DDoS, DoS, IP spoofing, port scan, session 
hijacking, buffer overflow, SQL Injection, cross-site 
05/07 
Tecnologia da Informação – Redes de Computadores 
Curso de Teoria e Exercícios 
Prof. André Castro ʹ 
 
 
 
 
Prof. André Castr o www.estrategiaconcursos.com.br 
Pág. 3 de 45 
 
 
 
scripting, spear phishing; Malwares; 
 Sistemas de Criptografia: Criptografia simétrica e assimétrica. Certificação Digital e assinatura digital; 
Funções HASH; 
12/07 
 Cluster, GRID e Balanceamento de Carga; Cloud 
Computing: IaaS, PaaS, SaaS, outros; 19/07 
 Redes de Armazenamento: SAN, NAS, DAS. Tecnologias, estratégias e Ferramentas de Backup; 
Tipos de Armazenamento; Deduplicação; ILM 
25/07 
 
Olá pessoal, tudo bem? 
 
Vamos avançar!!! 
 
1. Análise de Tráfego 
 
Chegamos ao tópico mais interessante e prático, ainda que mais difícil do 
nosso conteúdo de redes. Para aprendermos bem o conhecimento aqui 
aplicado, dependeremos de um conhecimento um tanto sólido dos 
principais protocolos, como o Ethernet, IP e TCP. 
 
Antes disso, devemos mencionar o que é uma análise de tráfego 
propriamente dita. Basicamente, cada camada possui protocolos 
específicos com informações de cabeçalho específicas, além de outros 
fatores na rede. 
 
A cada pacote da camada 3 ou segmento da camada 4 do modelo OSI 
enviado ou recebido, pode-se extrair diversas informações a respeito do 
protocolo e outras características vinculadas a ele. 
 
Além disso, é importante mencionar que são usadas ferramentas 
conhecidas com sniffers capazes de extrair o tráfego em uma interface e 
apresentar o fluxo da informação naquela placa, principalmente com a 
demonstração dos cabeçalhos das camadas. 
 
As principais ferramentas são o WIRESHARK (Ferramenta Gráfica para 
Windows e Linux), TCPDUMP (Unix-like) e WinDump (Windows). 
Estudos mais detalhados sobre sniffers não fazem parte do nosso 
escopo, porém, ao longo das resoluções, teceremos alguns comentários 
a respeito. 
 
Tecnologia da Informação – Redes de Computadores 
Curso de Teoria e Exercícios 
Prof. André Castro ʹ 
 
 
 
 
Prof. André Castr o www.estrategiaconcursos.com.br 
Pág. 4 de 45 
 
 
 
A seguir temos um exemplo de uma captura de pacotes com o 
TCPDUMP que é basicamente o que temos nos exercícios: 
 
 
E a seguir, do WIRESHARK: 
 
Tecnologia da Informação – Redes de Computadores 
Curso de Teoria e Exercícios 
Prof. André Castro ʹ 
 
 
 
 
Prof. André Castr o www.estrategiaconcursos.com.br 
Pág. 5 de 45 
 
 
 
 
 
Um conceito que aparece em provas é a habilitação do modo 
prom íscuo nas placas de rede para capturar os pacotes. Esse modo 
permite que a placa não mais capture somente os pacotes em unicast 
direcionados a ela e os broadcast, mas sim, todo e qualquer tráfego 
na rede ou segmento de rede a qual a interface est á con ectada. 
 
Nesse cenário, o posicionamento de um sniffer é fundamental, ou 
seja, busca-se “sniffar” segme ntos de rede que agreguem todo o 
tráfego de todos os dispositivos, como uma entrada/saída de 
firewall, roteadores e switches. 
 
Essas duas ferramentas apresentam as informações com o registro de 
sequência de recebimento ou envio, além de um tempo de coleta, 
seguido das informações contidas em cada campo de um respectivo 
protocolo. 
 
Com as informações obtidas através dessas ferramentas pode-se 
realizar o troubleshooting, ou seja, a busca de origem de falhas e 
proble mas na rede. Vale ressaltar que aspectos de desempenho e 
implementação de políticas de controle de tráfego pode ser 
visualizada diretamente na análise de tráfego. Outro ponto 
extremamente importante é a possibilidade de ser detectar ataques 
em determinados ambientes , seja no próprio firewall ou nos 
dispositivos internos. 
 
Tecnologia da Informação – Redes de Computadores 
Curso de Teoria e Exercícios 
Prof. André Castro ʹ 
 
 
 
 
Prof. André Castr o www.estrategiaconcursos.com.br 
Pág. 6 de 45 
 
 
 
Como introdução, não há muito mais o que falar. Devemos ver na prática 
como essas informações aparecem em prova, como devemos interpretá-
las à luz do conhecimento dos respectivos protocolos em análise e como 
responder à questão objetivamente. 
 
Há muita informação em questões desse tipo e devemos saber filtrar o 
que precisamos entender para responder às questões para não 
perdermos tempo de forma desnecessária. Buscarei guiá-los nesse 
sentido. Assim, faremos as primeiras questões com um pouco mais de 
detalhe no próprio conteúdo para respondermos objetivamente as 
questões na sessão de exercícios. 
 
Vamos verificar como a fragmentação de pacotes IP pode aparecer em 
uma prova (TRE-RJ/2012). Antes disso, devemos lembrar que a 
fragmentação depende de alguns campos do cabeçalho IP: 
 
 
São eles: 
 Identifier (um mesmo identificador para todos os fragmentos); 
 FLAG MF – More Fragment (Se habilitada, indica que há mais 
fragmentos, se desabilitada, indica que é o último fragmento); e 
 FRAGMENT OFFSET (Indica o posicionamento de cada fragmento 
para remontagem do pacote de forma sequencial e correta). 
 
Dessa forma, vamos buscar identificar esses campos no fluxo abaixo: 
 
 
Analisando a mensagem 1 temos as seguintes informações: 
Tecnologiada Informação – Redes de Computadores 
Curso de Teoria e Exercícios 
Prof. André Castro ʹ 
 
 
 
 
Prof. André Castr o www.estrategiaconcursos.com.br 
Pág. 7 de 45 
 
 
 
 00.998952 – Um marcador de tempo. A partir dele conseguimos 
determinar a ordem de chegada dos pacotes. Essa informação não 
vai no cabeçalho, mas o sniffer utilizada para organizar a 
sequência. 
 IP – Essa informação indica que é um pacote utilizando o protocolo 
IP. 
 10.1.1.1 > 10.1.1.2 – A seta indica o sentido da mensagem, ou 
seja, está partindo do host 10.1.1.1 para o host 10.1.1.2. Vale 
ressaltar que, nesse pacote, tem-se a origem como 10.1.1.1 e o 
destino como 10.1.1.2. Entretanto, no fluxo de troca de 
mensagens, os papéis se invertem. Devemos observar quem é 
origem e destino pacote a pacote. 
 
Mas caso a questão aborde de uma forma geral sobre quem é a 
origem e destino no sentido de quem seja cliente ou servidor, 
devemos observar o fluxo como um todo. Geralmente quem atua 
ativamente enviando a primeira mensagem de estabelecimento de 
conexão é o cliente. 
 ICMP: Vemos ainda que o tipo de serviço utilizado é o protocolo 
ICMP. 
 1480 – Temos a informação do tamanho do conteúdo do pacote 
IP. Considerando que o IP utiliza o cabeçalho mínimo de 20 bytes 
como padrão, teríamos um MTU de 1500 bytes. 
 Echo request seq 4846 – Vemos que um tipo de mensagem ICMP 
echo request. O número de sequência informado é gerado 
utilizando como referência sequencias anteriores ou 
aleatoriamente. Esse número deve ser utilizado pelo destino com 
vistas a responder à requisição, como pode ser vista no pacote 4. 
Uma resposta ao mesmo número de sequência. 
 Frag 10550:1480@0+ - Aqui é a parte que nos interessa para 
essa análise. 
 
Primeiramente temos a identificação do pacote original para 
remontagem (10550), ou seja, todos os pacotes que tiverem essa 
identificação, serão fragmentos de um mesmo pacote. Verificamos 
tal condição nos fragmentos 1 a 3. 
 
Além disso, temos que o tamanho do payload do respectivo 
fragmento é de 1480 bytes. Essa informação pode aparecer 
também da seguinte forma: LEN 1480. 
 
Tecnologia da Informação – Redes de Computadores 
Curso de Teoria e Exercícios 
Prof. André Castro ʹ 
 
 
 
 
Prof. André Castr o www.estrategiaconcursos.com.br 
Pág. 8 de 45 
 
 
 
Na terceira parte temos a informação do OFFSET (@0), ou seja, 
ele deve o primeiro fragmento deve ser posicionado como o 
primeiro da sequência, ou seja, sem nenhum deslocamento. 
 
E por último, o sinal “+” nos indica a FLAG MF (MORE 
FRAGMENTS) habilitada, o que indica que há mais fragmentos 
para compor o pacote. 
 
Fazendo agora uma análise rápida dos demais pacotes, temos: 
 
 PACOTE 2 – Faz parte do pacote 10550. Possui tamanho de 1480 
bytes e sua posição começa a partir da posição 1480, com o 
indicativo de que há mais fragmentos. (frag 10550:1480@1480+). 
 
Concluímos que é o segundo pois o primeiro pacote possui 
tamanho de 1480, ou seja, vai da posição 0 até a posição 1479. O 
segundo pacote de tamanho 1480, iniciará na posição 1480 até a 
posição 2959. 
 
 PACOTE 3 – Faz parte do pacote 10550. Possui tamanho de 48 
bytes, o que já nos leva à suspeita de que seja o último fragmento. 
Começa na posição 2960, indicando que é o terceiro fragmento e 
não possui a FLAG MF representada pelo sinal “+”. Logo, de fato, 
ele é o último fragmento. (frag 10550:48@2960) 
 
Os outros três pacotes de 4 a 6 estarão sujeitos à mesma analogia, 
porém com uma mensagem echo reply. 
 
Uma observação muito importante. Como nos três primeiros pacotes 
temos as parcelas de dados com tamanhos iguais a 1480, 1480 e 48, 
respectivamente, temos então um pacote original de tamanho 3008 
bytes, que é o tamanho padrão do echo request. 
 
Quando esse pacote chega em uma rede de MTU de 1500 bytes, houve-
se a necessidade de fragmentação. Reparem que o cálculo NÃO DEVE 
SER FEITO simplesmente dividindo 3008 por 1500, o que levaria a 3 
pacotes de 1500, 1500 e 8. ISSO ESTÁ ERRADO!!! 
 
Tecnologia da Informação – Redes de Computadores 
Curso de Teoria e Exercícios 
Prof. André Castro ʹ 
 
 
 
 
Prof. André Castr o www.estrategiaconcursos.com.br 
Pág. 9 de 45 
 
 
 
O que deve ser feito é, sabendo que o MTU é 1500, deve-se 
descontar a parcela do cabeçalho IP que deverá estar presente em 
cada fragmento. Logo, resta apenas 1480 bytes para os dados do 
ECHO REQUEST. Assim, temos 3008 dividido por 1480, o que nos 
leva às parcelas, 1480, 1480 e 48, conforme análise do tráfego. 
 
 
Vamos estudar um tipo de tráfego cobrado na prova do MPU de 2013: 
10.0.0.1:80 > 10.0.0.2:52209 [PSH, ACK] Seq=1 Ack=1 Win=17376 Len=2 
10.0.0.1:80 > 10.0.0.2:52209 [PSH, ACK] Seq=3 Ack=1 Win=17376 Len=48 
10.0.0.1:80 > 10.0.0.2:52209 [PSH, ACK] Seq=51 Ack=1 Win=17376 Len=1 
10.0.0.1:80 > 10.0.0.2:52209 [PSH, ACK] Seq=52 Ack=1 Win=17376 Len=2 
10.0.0.1:80 > 10.0.0.2:52209 [PSH, ACK] Seq=54 Ack=1 Win=17376 Len=48 
10.0.0.2:52209 > 10.0.0.1:80 [ACK] Seq=1 Ack=1 Win=7896 Len=0 
10.0.0.2:52209 > 10.0.0.1:80 [ACK] Seq=1 Ack=3 Win=7896 Len=0 
10.0.0.2:52209 > 10.0.0.1:80 [ACK] Seq=1 Ack=3 Win=7896 Len=0 
10.0.0.2:52209 > 10.0.0.1:80 [ACK] Seq=1 Ack=3 Win=7896 Len=0 
10.0.0.2:52209 > 10.0.0.1:80 [ACK] Seq=1 Ack=3 Win=7896 Len=0 
10.0.0.1:80 > 10.0.0.2:52209 [ACK] Seq=3 Ack=1 Win=17376 Len=48 
 
Vamos analisar linha a linha para entendermos: 
10.0.0.1:80 > 10.0.0.2:52209 [PSH, ACK] Seq=1 Ack=1 Win=17376 
Len=2 
Mensagem do host com IP 10.0.0.1 utilizando porta de origem 80 para o 
host 10.0.0.2 na porta de destino 52209. Estão habilitadas as FLAGS 
PSH e ACK. O número de SEQ é uma identificação do pacote. O ACK 
indica que o host que está enviando a mensagem, ou seja, 10.0.0.1, está 
aguardando algum pacote de número de SEQ igual 1. Tem-se a 
informação da janela suportada, ou seja, quanto de informação pode ser 
enviado sem confirmação e por último o tamanho do pacote, igual a 2 
bytes. Ou seja, se o número de SEQ é igual a 1, indica que será enviado 
o byte=1 e o byte =2. Logo, tem-se que o próximo pacote deverá iniciar 
com o número de SEQ = 3, ou seja, byte = 3. 
 
10.0.0.1:80 > 10.0.0.2:52209 [PSH, ACK] Seq=3 Ack=1 Win=17376 
Len=48 
O mesmo host enviando mensagens. Observamos o número de SEQ 
igual a 3, dando continuidade ao pacote anterior. Como não houve 
recebimento de informação, o host 10.0.0.1 continua aguardando um 
número de SEQ do destinatário igual a 1. Além disso, percebe-se que o 
tamanho desse pacote é igual a 48. Logo, começando em 3 e contando 
48 bytes, o próximo deverá iniciar em 53. 
 
10.0.0.1:80 > 10.0.0.2:52209 [PSH, ACK] Seq=51 Ack=1 Win=17376 
Len=1 
Tecnologia da Informação – Redes de Computadores 
Curso de Teoria e Exercícios 
Prof. André Castro ʹ 
 
 
 
 
Prof. André Castr o www.estrategiaconcursos.com.br 
Pág. 10 de 45 
 
 
 
O mesmo host enviando mensagens. Observamos o número de SEQ 
igual a 51, dando continuidade ao pacote anterior. Agora com tamanho 
igual a 1. 
 
10.0.0.1:80 > 10.0.0.2:52209 [PSH, ACK] Seq=52 Ack=1 Win=17376 
Len=2 
Ainda no mesmo fluxo, começando com SEQ=52 indicando a 
continuação do pacote anterior, agora com tamanho 2. 
 
10.0.0.1:80 > 10.0.0.2:52209 [PSH, ACK] Seq=54 Ack=1 Win=17376 
Len=48 
Ainda no mesmo fluxo, começando com SEQ=54 indicando a 
continuação do pacote anterior, agora com tamanho 48. Reparem que 
esse host gerou 5 pacotes de informação para o host 10.0.0.2. 
 
10.0.0.2:52209 > 10.0.0.1:80 [ACK] Seq=1 Ack=1 Win=7896 Len=0 
Neste momento percebemos a inversão do fluxo, ou seja, os papéis se 
inverteram. O host de origem agora é o 10.0.0.2, utilizando a mesma 
porta na qual ele recebeu as mensagens anteriores. Como resposta, 
utiliza-se a porta que o outro host estava utilizando, ou seja, a porta 80. 
Temos ainda que o FLAG ACK está habilitada. 
 
Como o host anterior aguardava a informação de SEQ=1, esse host 
inicia o seu fluxo correspondente ao esperado. Informandoque recebeu 
a primeira mensagem do fluxo. 
 
Percebemos com a informação de ACK=1 que este host está aguardando 
também o pacote de SEQ=1. Ou seja, quando esse pacote foi enviado, o 
primeiro pacote do fluxo ainda não havia sido recebido. Observemos também o 
tamanho da janela diferente do primeiro host. O tamanho da informação desse 
pacote é 0, ou seja, não está sendo enviada informação, mas tão somente uma 
sinalização ACK indicando a informação esperada. 
 
10.0.0.2:52209 > 10.0.0.1:80 [ACK] Seq=1 Ack=3 Win=7896 Len=0 
Verificamos que o novo host envia um novo pacote sem dados, ou seja, 
solicitando mais uma vez o próximo byts da sequência. Mas neste caso, foi 
recebido o primeiro byte de tamanho igual a 2 correspondente à primeira 
mensagem do fluxo. Logo, o próximo byte que se espera, é o número 3. 
 
 
10.0.0.2:52209 > 10.0.0.1:80 [ACK] Seq=1 Ack=3 Win=7896 Len=0 
Verificamos que o host enviou o mesmo pacote que o anterior, indicando que 
Tecnologia da Informação – Redes de Computadores 
Curso de Teoria e Exercícios 
Prof. André Castro ʹ 
 
 
 
 
Prof. André Castr o www.estrategiaconcursos.com.br 
Pág. 11 de 45 
 
 
 
não recebeu o pacote com número de SEQ=3, ou seja, o segundo pacote 
enviado pelo host 10.0.0.1 . Como vimos lá no TCP, provavelmente ele tenha 
recebido o terceiro pacote, porém com a falta do segundo, deve-se alertar a 
pendência. 
 
10.0.0.2:52209 > 10.0.0.1:80 [ACK] Seq=1 Ack=3 Win=7896 Len=0 
Mais uma vez requisita-se o pacote de SEQ=3, indicando que deve ter havido o 
recebimento do quarto pacote do fluxo, porém, ainda com a pendência do 
segundo pacote. 
 
10.0.0.2:52209 > 10.0.0.1:80 [ACK] Seq=1 Ack=3 Win=7896 Len=0 
Mais uma vez requisita-se o pacote de SEQ=3, indicando que deve ter havido o 
recebimento do quinto pacote do fluxo, porém, ainda com a pendência do 
segundo pacote. 
 
 
10.0.0.1:80 > 10.0.0.2:52209 [ACK] Seq=3 Ack=1 Win=17376 Len=48 
Nesse momento, o host 10.0.0.1 deve ter recebido suscessivas requisições do 
pacote de número de SEQ=3, indicando, portanto, que houve perda. Logo, ele 
reenvia o segundo pacote novamente conforme requisitado. 
 
Reparem que o tráfego a seguir representa um tipo de aplicação iterativa, 
envolvendo diversos pacotes pequenos em sequência com a FLAG PSH 
ativada e sem preencher o tamanho total da janela. Essa não é uma 
característica de tráfego em volume, ou seja, acumular em buffer para 
envio e recebimento. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Tecnologia da Informação – Redes de Computadores 
Curso de Teoria e Exercícios 
Prof. André Castro ʹ 
 
 
 
 
Prof. André Castr o www.estrategiaconcursos.com.br 
Pág. 12 de 45 
 
 
 
 
LISTA DE EXERCÍCIOS COMENTADOS 
 
1. CESPE - Ana (BACEN)/Área 2 - Suporte à Infraestrutura de 
Tecnologia da Informação/2013 
Na interface de visualização dos dados capturados com o Wireshark, é 
possível criar um filtro para exibir somente o tipo de informação desejada; 
por exemplo, para se visualizar somente pacotes do tipo echo request, 
deve-se inserir no campo Filter a expressão de filtragem icmp.type == 5. 
 
Comentários: 
Pessoal, exatamente. No wireshark possuímﾗゲ ┌ﾏ I;ﾏヮﾗ さFILTERざ ケ┌W ﾐﾗゲ 
permite filtrar a visualização do tráfego recebido. Qual é a ideia? Temos 
diversos pacotes sendo capturados na rede, com diversos protocolos e 
endereços. Entretanto, quero verificar apenas o comportando de um 
comando ICMP do tipo ECHO request. Dessa forma, podemos dizer no 
campo o tipo de mensagem que queremos, seja através do código ou do 
texto. A questão nos apresenta o código. 
 
Porém pessoal, o erro da questão está em afirmar que o código do echo 
request é o número 5, quando deveria ser o número 8, conforme nosso 
quadrinho abaixo: 
 
Tecnologia da Informação – Redes de Computadores 
Curso de Teoria e Exercícios 
Prof. André Castro ʹ 
 
 
 
 
Prof. André Castr o www.estrategiaconcursos.com.br 
Pág. 13 de 45 
 
 
 
 
 
Gabarito: E 
 
2. CESPE - Ana MPU/Tecnologia da Informação e 
Comunicação/Suporte e Infraestrutura/2013 
10.0.0.1:80 > 10.0.0.2:52209 [PSH, ACK] Seq=1 Ack=1 Win=17376 Len=2 
10.0.0.1:80 > 10.0.0.2:52209 [PSH, ACK] Seq=3 Ack=1 Win=17376 Len=48 
10.0.0.1:80 > 10.0.0.2:52209 [PSH, ACK] Seq=51 Ack=1 Win=17376 Len=1 
10.0.0.1:80 > 10.0.0.2:52209 [PSH, ACK] Seq=52 Ack=1 Win=17376 Len=2 
10.0.0.1:80 > 10.0.0.2:52209 [PSH, ACK] Seq=54 Ack=1 Win=17376 Len=48 
10.0.0.2:52209 > 10.0.0.1:80 [ACK] Seq=1 Ack=1 Win=7896 Len=0 
10.0.0.2:52209 > 10.0.0.1:80 [ACK] Seq=1 Ack=3 Win=7896 Len=0 
10.0.0.2:52209 > 10.0.0.1:80 [ACK] Seq=1 Ack=3 Win=7896 Len=0 
10.0.0.2:52209 > 10.0.0.1:80 [ACK] Seq=1 Ack=3 Win=7896 Len=0 
10.0.0.2:52209 > 10.0.0.1:80 [ACK] Seq=1 Ack=3 Win=7896 Len=0 
10.0.0.1:80 > 10.0.0.2:52209 [ACK] Seq=3 Ack=1 Win=17376 Len=48 
 
Considerando o trecho de captura acima apresentado, julgue o item a 
seguir. 
 
Os segmentos presentes caracterizam tráfego em volume. 
 
Comentários: 
Conforme vimos na teoria, é um tipo de tráfego interativo e não em 
volume. 
Tecnologia da Informação – Redes de Computadores 
Curso de Teoria e Exercícios 
Prof. André Castro ʹ 
 
 
 
 
Prof. André Castr o www.estrategiaconcursos.com.br 
Pág. 14 de 45 
 
 
 
 
Gabarito: E 
 
3. CESPE - Ana MPU/Tecnologia da Informação e 
Comunicação/Suporte e Infraestrutura/2013 
 
Considerando o trecho de captura da questão anterior, julgue o item a 
seguir. 
 
O trecho de captura ilustra uma conexão TCP completa. 
 
Comentários: 
Para termos uma conexão completa, dependemos do estabelecimento 
através das FLAGS SYN e ACK e o encerramento com as FLAGS FIN e ACK. 
Não verificamos isso no trecho capturado. 
 
Gabarito: E 
 
4. Considerando o trecho de captura da questão anterior, julgue o 
item a seguir. 
 
Apesar de a linha temporal não estar presente na captura, o trecho acima 
apresentado é consistente com a ocorrência de uma retransmissão rápida, 
não ocasionada por timeout. 
 
Comentários: 
A característica de recebimento de 3 ACKs consecutivos requisitando o 
mesmo pacote após o envio de um fluxo de pacotes independendo de 
confirmação e logo após, enviar imediatamente o pacote requisitado é 
┌ﾏ; I;ヴ;IデWヴｹゲデｷI; S; ヴWデヴ;ﾐゲﾏｷゲゲ?ﾗ ヴ=ヮｷS;く EゲゲW ヮ;ヴ>ﾏWデヴﾗ SW ン áCKげゲ Y 
padrão, porém configurável. 
 
Gabarito: C 
 
5. Considerando o trecho de captura da questão anterior, julgue o 
item a seguir. 
Tecnologia da Informação – Redes de Computadores 
Curso de Teoria e Exercícios 
Prof. André Castro ʹ 
 
 
 
 
Prof. André Castr o www.estrategiaconcursos.com.br 
Pág. 15 de 45 
 
 
 
É consistente com a captura afirmar que ela não foi realizada 
no host 10.0.0.2 ou no seu segmento. 
 
Comentários: 
Vamos pensar um pouco. Se a captura estava sendo feita no host 10.0.0.2 
ou no seu segmento e considerando que este foi capaz de detectar o 
recebimento dos 5 primeiros pacotes, ou seja, incluindo o pacote número 
2, não faria sentido as sucessivas requisições de reenvio do pacote 
número 2. Ou seja, a captura aconteceu em algum ponto intermediário 
que possibilitou a captura do pacote número 2 e posteriormente, houve a 
perda desse pacote antes de chegar no host 10.0.0.2 ou no seu segmento. 
 
Entenderam pessoal? Questão muito interessante do CESPE nos levando a 
imaginar o cenário e o posicionamento dos elementos na rede. 
 
Gabarito: C 
 
6. CESPE – TRE-RJ/Técnico Judiciário/2012 
 
 
Os datagramas ICMP indicam indisponibilidade da porta 80 
no host 3.3.3.3. 
 
Comentários: 
Pessoal, verificamos que as mensagens de número ímpares possuem a 
FLAG SYN ativada, indicando uma tentativa de estabelecimento de 
conexão a partir do host 1.1.1.1 no host 2.2.2.2, na porta 80, ou seja, 
provavelmente um acesso WEB. 
 
Entretanto, no meio do caminho, o host 3.3.3.3 responde ao host 1.1.1.1, 
conforme representado nas mensagens pares, através de uma mensagem 
Tecnologia da Informação – Redes de Computadores 
Cursode Teoria e Exercícios 
Prof. André Castro ʹ 
 
 
 
 
Prof. André Castr o www.estrategiaconcursos.com.br 
Pág. 16 de 45 
 
 
 
ICMP do tipo TTL excedeed (ICMP type 11), ou seja, o TTL foi zerado, 
gerando o descarte do pacote no nó intermediário 3.3.3.3. 
 
Assim, a porta 80 é referente ao host 2.2.2.2 e não ao host 3.3.3.3. Ainda 
assim, como houve um descarte em nó intermediário, não se pode afirmar 
nada a respeito da disponibilidade da porta 80 do host 2.2.2.2. 
 
Gabarito: E 
 
7. Considerando o trecho de captura da questão anterior, julgue o 
item a seguir. 
 
A captura mostra conexões TCP que se completaram. 
 
Comentários: 
Vimos que só acontece a primeira mensagem SYN do fluxo 3-way-
handshake. Além disso, conexão TCP é caracterizada também pelo 
encerramento da conexão. Nesse caso não verificamos nenhum tipo de 
mensagem com a FLAG FIN sendo utilizada. 
 
Gabarito: E 
 
8. Considerando o trecho de captura da questão anterior, julgue o 
item a seguir. 
 
O tamanho máximo de um datagrama, para que não ocorra fragmentação 
no host 1.1.1.1, é de 1.460 bytes. 
 
Comentários: 
Pessoal, o MSS se refere ao tamanho máximo suportado de um payload 
em determinado segmento recebido pela camada de transporte da pilha 
de protocolos TCP/IP. Dessa forma, considerando 1460 bytes como MSS, 
deveremos acrescentar, em regra, para um cabeçalho TCP e IP, 20 bytes 
para cada, totalizando 1500 bytes de MTU de rede. Portanto, para não 
ocorrer fragmentação, deve-se ter datagramas de tamanho máximo de 
1500 bytes. 
 
Tecnologia da Informação – Redes de Computadores 
Curso de Teoria e Exercícios 
Prof. André Castro ʹ 
 
 
 
 
Prof. André Castr o www.estrategiaconcursos.com.br 
Pág. 17 de 45 
 
 
 
Gabarito: E 
 
9. Considerando o trecho de captura da questão anterior, julgue o 
item a seguir. 
A captura é consistente com a presença de um loop de roteamento ao 
longo do percurso. 
 
Comentários: 
Pessoal, como vimos, o TTL padrão dos sistemas operacionais utilizados 
são mais que suficientes para alcançar quaisquer hosts em termos de 
quantidade de saltos na Internet. Se temos uma ocasião de TTL exceeded, 
duas são as possibilidades: houve alteração dﾗ TTL ヮ;Sヴ?ﾗ Sﾗゲ “Oげゲが ゲWﾐSﾗ 
este valor insuficiente ou há um loop na rede. Neste último caso, os 
pacotes ficam vagando pela rede, tendo seu TTL decrementado até ser 
zerado. 
 
 
Gabarito: C 
 
10. Considerando o trecho de captura da questão anterior, julgue o 
item a seguir. 
 
A determinação do percurso entre 1.1.1.1 e 2.2.2.2 normalmente seria 
conclusiva para se determinar a causa da geração das mensagens ICMP. 
 
Comentários: 
Se temos como principal suspeita a ocorrência de loop na rede, ao 
determinarmos a rota que o pacote está seguindo, poderíamos verificar se 
de fato, este pacote está percorrendo os mesmos nós ciclicamente ou 
não. Uma alternativa é o uso do TRACERT ou TRACEROUTE para tal. 
 
Gabarito: C 
 
11. CESPE – TRE-RJ/Técnico Judiciário/2012 
 
Tecnologia da Informação – Redes de Computadores 
Curso de Teoria e Exercícios 
Prof. André Castro ʹ 
 
 
 
 
Prof. André Castr o www.estrategiaconcursos.com.br 
Pág. 18 de 45 
 
 
 
 
A chegada dos fragmentos aos hosts de destino ocorreu fora da ordem de 
envio. 
 
Comentários: 
Fizemos a análise detalhada dessa questão na nossa teoria. As mensagens 
1 a 3 e 4 a 6 são fragmentos de mensagens ICMP e estão devidamente 
ordenados. Basta olharmos para o OFFSET crescente e contínuo nos dois 
conjuntos. 
 
Gabarito: E 
 
12. CESPE – TRE-RJ/Técnico Judiciário/2012 
 
 
Se os hosts tiverem máscaras de rede /24, eles estão em redes diferentes. 
 
Comentários: 
Mais uma questão de rede do que análise de tráfego. Identificados os 
hosts 10.1.1.1 e 10.1.1.2, assumindo a máscara /24, ou seja, um range 
CLASSE C, verificamos que ambos fazem parte da mesma rede, pois a 
parcela de rede será 10.1.1.H, sendo comum a ambos os hosts, e a parcela 
H seria utilizada para identificar os hosts da rede. Lembrando que 
devemos descontar os endereços de REDE e BROADCAST. 
 
Gabarito: E 
 
13. CESPE – TRE-RJ/Técnico Judiciário/2012 
 
 
O MTU dos enlaces em que se conectam os hosts é maior que 1.480. 
 
Tecnologia da Informação – Redes de Computadores 
Curso de Teoria e Exercícios 
Prof. André Castro ʹ 
 
 
 
 
Prof. André Castr o www.estrategiaconcursos.com.br 
Pág. 19 de 45 
 
 
 
Comentários: 
Lembramos que o MTU contempla o cabeçalho da camada de rede e a 
parcela de dados das camadas superiores. Dessa forma, quando 
verificamos que os fragmentos possuem tamanho de 1480 bytes de dados, 
assumimos então que eles foram fragmentados para se adequar à MTU da 
rede. O pacote original 10550 possuía um tamanho de 3008 bytes (1480 + 
1480 + 48), sendo o tamanho padrão de um echo request. 
 
Logo, como os 1480 bytes contempla apenas dados, deve-se acrescentar 
ainda o cabeçalho IP de tamanho mínimo 20 bytes, gerando um MTU de 
rede de 1500 bytes. 
 
Gabarito: C 
 
14. CESPE – TRE-RJ/Técnico Judiciário/2012 
 
 
O datagrama IP que foi fragmentado carregava 3.008 bytes. 
 
Comentários: 
Conforme comentário anterior. 
 
Gabarito: C 
 
15. CESPE – TRE-RJ/Técnico Judiciário/2012 
 
Trata-se de tráfego consistente com a execução do comando ping 
no host 10.1.1.1. 
 
Comentários: 
Vimos que as mensagens 1 a 3 correspondem a um echo request do host 
10.1.1.1 ao host 10.1.1.2. E as mensagens 4 a 6 um echo reply do host 
Tecnologia da Informação – Redes de Computadores 
Curso de Teoria e Exercícios 
Prof. André Castro ʹ 
 
 
 
 
Prof. André Castr o www.estrategiaconcursos.com.br 
Pág. 20 de 45 
 
 
 
10.1.1.2 ao host 10.1.1.1. A combinação dessas duas mensagens é o 
comando PING, partindo do host 10.1.1.1 ao host 10.1.1.2. 
 
Gabarito: C 
 
16. CESPE – TCU/Auditor Federal de Controle Externo – TI/2010 
 
 
 
(Seguem-se 246 linhas semelhantes até o endereço 10.0.0.255 ser 
atingido.) 
 
Considerando o trecho de captura de tráfego acima, realizada em uma das 
portas ethernet de um switch camada 3 que interliga uma rede 
local a um backbone, julgue os itens que se seguem. 
 
O tráfego reportado na captura é consistente com a fase preparatória de 
vários ataques, entre os quais se encontra o de ARPspoofing. 
 
Comentários: 
Exemplo clássico de varredura de rede para mapeamento de dispositivos. 
Vamos analisar o primeiro da sequência: 
 
Neste caso, o host de endereço MAC 00:02:b3:af:36:96 está enviando uma 
mensagem em BROADCAST para todos os dispositivos da rede, ou seja, 
endereço de destino igual a FF:FF:FF:FF:FF:FF, tentando descobrir qual o 
endereço MAC do dispositivo que possui endereço IP igual a 10.0.0.1 
(Who has 10.0.0.1?), informando que a resposta deve ser encaminhada ao 
host de endereço IP 10.0.0.36. 
 
Tecnologia da Informação – Redes de Computadores 
Curso de Teoria e Exercícios 
Prof. André Castro ʹ 
 
 
 
 
Prof. André Castr o www.estrategiaconcursos.com.br 
Pág. 21 de 45 
 
 
 
Essa é uma consulta típica que ocorre rotineiramente nas redes para 
mapeamento dos dispositivos à medida que se necessita enviar um 
quadro e não se conhece o endereço MAC de destino. 
 
Entretanto, percebe-se que o dispositivo 10.0.0.36 está realizando a 
consulta para todos os endereços da rede, ou seja, com vistas a mapear 
todas as informações possíveis na rede. Percebam a informação abaixo da 
imagem: “(Seguem-se 246 linhas semelhantes até o endereço 
10.0.0.255 ser atingido.)” 
 
De posse dessas informações, o atacante pode gerar uma série de 
ataques, inclusive o ARP SPOOFING, que nada mais é do que utilizar o 
endereço MAC de um outro dispositivo para enganar os demais 
dispositivos. Um roubo de identidade a partir do endereço MAC. 
 
Gabarito: C 
 
17. Considerando o tráfego da questão anterior 
O tráfego reportadona captura é consistente com a atividade de um vírus 
ou worm tentando se propagar a partir de outra rede ligada ao backbone. 
 
Comentários: 
Pessoal, aqui temos uma questão polêmica. Um worm é um malware que 
se propaga pela rede e pode sim ser utilizado para realizar a varredura em 
questão. Logo, quando a questão diz que é consistente um WORM ou 
VIRUS, temos que é verdadeiro, pois, com o WORM é possível, já o VIRUS 
ﾐ?ﾗ ゲW ヮヴﾗヮ;ｪ; ヮWﾉ; ヴWSWく Cﾗﾏﾗ aﾗｷ ┌ゲ;Sﾗ ﾗ デWヴﾏﾗ さOUざが ;デY ;ｹ ﾐ?ﾗ ｴ= 
problema. 
 
Entretanto, dizer que está tentando se propagar a partir de outra rede é 
um erro. Como vimos, o host 10.0.0.36 está dentro da mesma rede e de 
fato, consultas ARP só fazem sentido em uma mesma rede. Logo, é uma 
pena vermos o CESPE considerar uma questão dessa como correta. 
 
Gabarito: C (Gabarito do Professor: E) 
 
 
Tecnologia da Informação – Redes de Computadores 
Curso de Teoria e Exercícios 
Prof. André Castro ʹ 
 
 
 
 
Prof. André Castr o www.estrategiaconcursos.com.br 
Pág. 22 de 45 
 
 
 
18. Considerando o tráfego da questão anterior 
No trecho de captura de tráfego, em tela, há indícios de que estava 
ocorrendo um ataque de MAC flooding. 
 
Comentários 
Questão mais voltada para a área de segurança, porém vamos comentá-la. 
Ataques que flooding dizem respeito a um alto volume de tráfego 
direcionado a um único dispositivo com vistas a consumir os seus recursos 
e prejudicar o fornecimento do serviço. Verificamos que o tráfego em tela, 
a nível da camada MAC, não está sendo direcionado a uma única máquina, 
mas sim uma varredura na rede. Vale lembrar que o endereço MAC 
FF:FF:FF:FF:FF:FF não é um endereço de um host específico, mas sim o 
endereço de Broadcast a nível da camada de enlace. 
 
Gabarito: E 
 
19. CESPE – Banco da Amazônia/Técnico Científico/2010 
 
 
A captura apresenta apenas uma conexão TCP, estabelecida nos 
segmentos de I a III e encerrada nos segmentos VI e de XI a XIII. 
Tecnologia da Informação – Redes de Computadores 
Curso de Teoria e Exercícios 
Prof. André Castro ʹ 
 
 
 
 
Prof. André Castr o www.estrategiaconcursos.com.br 
Pág. 23 de 45 
 
 
 
 
Comentários: 
Pessoal, devemos sempre tentar encontrar o fluxo em 3 vias para o 
estabelecimento da conexão. Ele deve ocorrer de forma sequencial da 
seguinte forma: SYN; SYN + ACK; e ACK. Um detalhe importante é que 
esses pacotes não carregam dados de informação, por esse motivo, 
apresentam tamanhos zerados de dados (LENGTH = 0). Podemos 
identificar essas características nos segmentos I a III. 
 
Além disso, o encerramento pode ocorrer em 3 ou 4 vias. Para começar, 
devemos buscar os dois segmentos que contenham a FLAG FIN. 
Verificamos ambos nos segmentos VI e XII. Para confirmar o 
encerramento, deve-se ter o ACK para cada um deles. Assim, buscamos 
nos números de sequência as mensagens seguintes. Para o segmento VI, 
sentido do host 2 para o 1, temos o id = 20041 e a mensagem terminando 
na posição 2068. Logo a mensagem deve ser no sentido 1 para 2, com ACK 
igual 2069. Verificamos tal ocorrência no segmento de número XI, com 
número de sequência igual a 46023. Não se esqueçam que o número de 
sequência é incrementado em cada dispositivo. 
 
Já no segmento XII, temos a requisição de encerramento no sentido do 
host 1 para o 2, com número de sequência igual a 46024, ou seja, logo 
após a confirmação de encerramento da primeira via da conexão que 
vimos anteriormente. Para esse segmento, a informação termina no byte 
8. Logo, espera-se uma resposta no sentido contrário, ou seja, do host 2 
para o 1, com ACK = 9, por ser a próxima da sequência. 
 
Temos tal ocorrência no segmento XIII. Reparem que essa é a última 
mensagem do host 2, com número se sequência igual 20042, ou seja, após 
o seu pedido FIN ocorrido no segmento VI. 
 
Assim temos que o gabarito está correto. Talvez a dúvida tenha surgido 
por causa do segmento VI, que está totalmente fora de ordem. Pessoal, na 
Internet isso é normal. Devemos buscar montar os quebra cabeças dos 
pacotes identificando a sequência e o fluxo das informações. 
 
Gabarito: C 
Tecnologia da Informação – Redes de Computadores 
Curso de Teoria e Exercícios 
Prof. André Castro ʹ 
 
 
 
 
Prof. André Castr o www.estrategiaconcursos.com.br 
Pág. 24 de 45 
 
 
 
 
20. Considerando a captura de tráfego da questão anterior: 
O segmento XII consiste em uma retransmissão do segmento XI. 
 
Comentários: 
Retransmissão implica em reenvio do pacote, ou seja, o mesmo pacote 
sendo enviado mais de uma vez. Basta olhar para o número de sequência e 
verificamos que os pacotes são distintos. 
 
Gabarito: E 
 
21. Considerando a captura de tráfego da questão anterior: 
Não é consistente a afirmativa de que a captura foi realizada 
no host 1.1.1.1. 
 
Comentários: 
Muito pelo contrário. Para tal análise, vamos reparar no campo TTL. Vimos 
que o LINUX possui TTL padrão de 64. Logo, podemos considerar que o 
host 1.1.1.1 está enviado informação a partir de um ambiente Linux e que 
a captura está sendo feita diretamente no host, uma vez que não houve 
nenhum decremento do TTL original. 
 
Além disso, observamos que a resposta que vem do host 2.2.2.2 possui 
TTL com valor 50. Podemos considerar ainda este pacote passou por 14 
roteadores até chegar no host 1.1.1.1. Não devemos ficar caçando 
problemas nas questões. Os principais sistemas utilizados são LINUX com 
TTL 64 e Windows com TTL 128. Não faz sentido o host 2.2.2.2 ser 
Windows, pois na Internet, com 30 a 35 saltos, é possível atingir qualquer 
dispositivo. Logo, falar que o host 2 era Windows e realizou 78 saltos é um 
pouco fora da realidade. 
 
Gabarito: E 
 
22. Considerando a captura de tráfego da questão anterior: 
É consistente a afirmativa de que houve perda de segmentos na captura. 
 
Comentários: 
Tecnologia da Informação – Redes de Computadores 
Curso de Teoria e Exercícios 
Prof. André Castro ʹ 
 
 
 
 
Prof. André Castr o www.estrategiaconcursos.com.br 
Pág. 25 de 45 
 
 
 
Se houve perda, devemos identificar retransmissões ou lacunas na 
sequência dos pacotes em cada host. Primeiramente verificamos que não 
há nenhum pacote igual ao outro nos segmentos apresentados. 
Analisando os pacotes enviados pelo host 1.1.1.1, temos os números de 
sequência: 46018 (I), 46019 (III), 46020 (IV), 46021 (VII), 46022 (IX), 46023 
(XI) e 46024 (XII). Já para o host 2.2.2.2, temos: 20037 (II), 20038 (V), 
20039 (X), 20040 (VIII), 20041(VI) e 20042 (XIII). 
 
Dessa forma, não verificamos nenhuma lacuna nos números de sequência 
analisados, indicando que não houve perda. 
 
Gabarito: E 
 
23. CESPE – TCU/Analista de Controle Externo – TI/2009 
Tecnologia da Informação – Redes de Computadores 
Curso de Teoria e Exercícios 
Prof. André Castro ʹ 
 
 
 
 
Prof. André Castr o www.estrategiaconcursos.com.br 
Pág. 26 de 45 
 
 
 
 
Considerando o trecho de captura de tráfego acima apresentado, julgue os 
itens que seguem. 
 
Se utilizarem a mesma máscara de rede, qualquer que seja, então os hosts 
envolvidos na captura de tráfego estarão na mesma sub-rede. 
 
Comentários: 
Tecnologia da Informação – Redes de Computadores 
Curso de Teoria e Exercícios 
Prof. André Castro ʹ 
 
 
 
 
Prof. André Castr o www.estrategiaconcursos.com.br 
Pág. 27 de 45 
 
 
 
Pessoal, primeiramente devemos identificar os hosts. São eles 10.1.1.200 e 
10.1.1.100. Afirmar que, qualquer que seja a máscara de rede, os hosts 
estarão na mesma rede é um erro. Primeiro que essa generalização é 
ゲWﾏヮヴW ﾏ┌ｷデﾗ ヮWヴｷｪﾗゲ;が Iﾗﾏﾗ ﾗゲ デWヴﾏﾗゲ さゲWﾏヮヴWざが さﾐ┌ﾐI;ざが WﾐデヴW ﾗ┌デヴﾗゲく 
Segundo, que refutamos essa tese simplesmente supondo uma máscara 
/25. Nesse sentido, as faixas de endereços das subredes seriam: 
10.1.1.1 a 10.1.1.127 に Contemplando o primeiro host 10.1.1.100 
10.1.1.128a 10.1.1.255 に Contemplando o segundo host 10.1.1.200 
 
Gabarito: E 
 
24. Considerando o tráfego da questão anterior 
A chegada fora de ordem dos pacotes de resposta deve-se à retransmissão 
de alguns deles ao longo do percurso. 
 
Comentários: 
Pessoal, sem analisar o tráfego, tendemos a marcar errado pois o 
desordenamento dos pacotes se dá, na maioria das vezes, aos diferentes 
percursos que cada um utiliza na rede. Analisando o fluxo, temos que os 
três primeiros pacotes são do host 10.1.1.100 para o host 10.1.1.200. 
 
Reparando sempre no campo OFFSET, pois ele que trata a sequência dos 
fragmentos, verificamos que a ordem foi totalmente invertida dos 3 
primeiros pacotes. O pacote número 3 com OFFSET = 0 deveria ser o 
primeiro fragmento para remontagem. Sabendo que o tamanho de cada 
pacote é 1492, o segundo deve possuir OFFSET = 1492, e de fato, o 
segundo possui essa característica. E o pacote número 1 é o terceiro 
fragmento da sequência. 
 
Percebam que se tivesse ocorrido uma perda de pacote, por exemplo, do 
primeiro pacote da sequência, deveríamos então receber na ordem o 
fragmento número 2 e 3, o que não aconteceu, conforme vimos 
anteriormente. 
 
Além disso, nos fragmentos de resposta, de número 4 a 8, verificamos 
MTUげゲ SｷaWヴWﾐデWが Iﾗﾐaｷヴﾏ;ﾐSﾗ ケ┌W WゲデWゲ ヮWヴIﾗヴヴWヴ;ﾏ I;ﾏｷﾐｴﾗゲ SｷaWヴWﾐデWゲ 
na rede, gerando assim o desordenamento. 
Tecnologia da Informação – Redes de Computadores 
Curso de Teoria e Exercícios 
Prof. André Castro ʹ 
 
 
 
 
Prof. André Castr o www.estrategiaconcursos.com.br 
Pág. 28 de 45 
 
 
 
 
Para completarmos mais ainda a nossa análise, temos que o protocolo 
utilizado é o ICMP. Este protocolo atua a nível da camada de rede, sendo 
encapsulado diretamente no protocolo IP. Portanto, não há 
implementação de controle de recebimento dos pacotes, recurso este 
implementado pelo TCP. 
 
Gabarito: E 
 
25. Considerando o tráfego da questão anterior 
É consistente com a captura que o processo de fragmentação tenha sido 
aplicado mais de uma vez nos pacotes de resposta. 
 
Comentários: 
Perfeitamente consistente, uma vez que se tem tamanhos e OFFSETS 
diferenciados. Realizando uma análise mais precisa, verificamos que o 
ocorreu o seguinte fato: 
 
Houve uma primeira fragmentação com MTU igual a 1500, gerando 3 
fragmentos. Lembrando que os dois primeiros utilizam o tamanho total de 
1500 e o último é o tamanho restante para completar o quadro. Não 
devemos esquecer de descontar os 20 bytes de cabeçalho, ou seja, de 
informação útil, tivemos 1480 nos dois primeiros. 
 
Esses dois primeiros fragmentos de 1500, sofreram uma nova 
fragmentação, gerando agora 4 pacotes. Percebam que o fragmento 
original de 1500 chegou em um MTU de 764. Logo, preenche-se a primeira 
parcela completa com 764 e o restante fica em um segundo fragmento de 
756. Ao descontarmos os cabeçalhos dos dois novos fragmentos, teremos 
então 744 + 736, totalizando os 1480 de informação útil do primeiro e 
segundo fragmento da primeira etapa de fragmentação. 
 
Gabarito: C 
 
26. CESPE – TCU/Analista de Controle Externo – TI/2009 
Tecnologia da Informação – Redes de Computadores 
Curso de Teoria e Exercícios 
Prof. André Castro ʹ 
 
 
 
 
Prof. André Castr o www.estrategiaconcursos.com.br 
Pág. 29 de 45 
 
 
 
 
Tecnologia da Informação – Redes de Computadores 
Curso de Teoria e Exercícios 
Prof. André Castro ʹ 
 
 
 
 
Prof. André Castr o www.estrategiaconcursos.com.br 
Pág. 30 de 45 
 
 
 
A captura em apreço apresenta uma conexão TCP completa, com todos os 
segmentos envolvidos no estabelecimento e encerramento da conexão. 
 
Comentários: 
De forma mais objetiva, se é conexão TCP completa, buscaremos o 
estabelecimento e encerramento da conexão através das FLAGS SYN e 
FIN. 
 
Nas pacotes 1 a 3, temos a sequência de estabelecimento: SYN , SYN + ACK 
, ACK (3-way-handshake). 
 
E nos pacotes de número 6 e 12, temos o envio da FLAG FIN de cada um 
dos hosts, com as respectivas respostas de acordo com o número ACK nos 
pacotes 11 e 13. 
 
Gabarito: C 
 
27. Considerando o tráfego da questão anterior 
Há elementos característicos de tráfego interativo, em que a janela 
deslizante não é completamente preenchida. Entretanto, há segmentos 
com o tamanho máximo possível. 
 
Comentários: 
Primeiramente verificamos que de fato o tamanho máximo da janela 
(WINDOW) é bem maior do que o efetivamente utilizado no fluxo das 
mensagens (Length). 
 
Entretanto pessoal, no estabelecimento da conexão, verificamos que o 
MSS é igual a 1460, ou seja, o máximo de carga útil da camada de 
transporte é igual a 1460. Logo, após acrescentar os cabeçalhos TCP e IP, 
tem-se um MTU de rede igual a 1500. 
 
Olhando para o segmento de número 10, verificamos que este possui um 
tamanho igual a 1500, logo, toda a carga útil do segmento foi preenchida. 
 
Gabarito: C 
 
Tecnologia da Informação – Redes de Computadores 
Curso de Teoria e Exercícios 
Prof. André Castro ʹ 
 
 
 
 
Prof. André Castr o www.estrategiaconcursos.com.br 
Pág. 31 de 45 
 
 
 
28. Considerando o tráfego da questão anterior 
Na captura em questão, a recepção de segmentos fora de ordem deve-se à 
ocorrência de retransmissão por perda de pacotes. 
 
Comentários: 
Já fizemos essa análise e vimos que a perda de pacotes não altera a ordem 
de chegada, mas tão somente gera uma lacuna na sequência do pacote 
perdido. No tráfego apresentado, verificamos que há uma grande 
desordem indicando que diferentes rotas foram utilizadas. 
 
Gabarito: E 
 
29. IADES – EBSERH/Analista de Tecnologia da Informação/2013 
 
IP 192.168.1.180.46338 > 8.8.8.8.53: 17359+ A? foo.bar. (25) 
IP 192.168.1.180.46338 > 8.8.8.8.53: 42306+ AAAA? foo.bar. (25) 
IP 8.8.8.8.53 > 192.168.1.180.46338: 17359 NXdomain 0/1/0 (100) 
 
Assinale a alternativa correta. 
a) Um cliente está realizando 3 conexões diferentes com o servidor 8.8.8.8. 
b) É possível ver um cliente solicitando os endereços, IPv4 e IPv6 de 
foo.bar, a um servidor DNS. 
c) Com certeza, está sendo estabelecida uma conexão TCP. 
d) Há, pelo menos, 2 servidores de rede, envolvidos na captura mostrada. 
e) A máquina cliente 8.8.8.8 não consegue conexão com 192.168.1.180. 
 
Comentários: 
Pessoal, na prática, o endereço público 8.8.8.8 e 8.8.8.4 são servidores 
DNS do google de domínio público, ou seja, qualquer um poder realizar 
consultas a esses endereços. Vemos que os dois primeiros pacotes são 
destinados a esse host com o registro A e AAAA, que são exatamente 
consultas DNS de endereços IPv4 e IPv6 para o nome de domínio 
さaﾗﾗくH;ヴざく áﾉYﾏ Sｷゲゲﾗが ヮﾗSWﾏﾗゲ ヮWヴIWHWヴ ; ┌デｷﾉｷ┣;N?ﾗ S; ヮﾗヴデ; ヵン Sﾗ 
destinatário, que é a porta padrão do servidor DNS. 
 
Tecnologia da Informação – Redes de Computadores 
Curso de Teoria e Exercícios 
Prof. André Castro ʹ 
 
 
 
 
Prof. André Castr o www.estrategiaconcursos.com.br 
Pág. 32 de 45 
 
 
 
Verificamos ainda que a identificação do pacote nos permite visualizar que 
o servidor, no terceiro pacote, respondeu à primeira requisição por 
possuir o mesmo número de identificação. 
 
Gabarito: B 
 
30. IADES – EBSERH/Analista de Tecnologia da Informação/2013 
 
IP 192.168.1.91.33632 > 192.168.1.90.80: Flags [s], seq 2738002527, win 
14600, options [mss 1460,sackoK,Ts val 10493310 ecr 0,nop,wscale 7], 
length 0 
IP 192.168.1.90.80 > 192.168.1.91.33632: Flags [s.], seq 589427923, ack 
2738002528, win 5840, options [mss 1460,nop,nop,sackoK,nop,wscale 9], 
length 0 
IP 192.168.1.91.33632 > 192.168.1.90.80: Flags [.], ack 589427924, win 
115, length 0 
IP 192.168.1.91.33632 > 192.168.1.90.80: Flags [p .], seq 
2738002528:2738002959, ack 589427924, win 115, length 431 
IP 192.168.1.90.80 > 192.168.1.91.33632: Flags [.], ack 2738002959, win 
14, length 0 
 
Assinale a alternativa correta. 
a) Está ocorrendo uma atividade FTP. 
b) Está ocorrendo uma atividade HTTP.c) Não é possível afirmar, com precisão, qual tipo de atividade está 
ocorrendo, no nível de aplicação. 
d) Está ocorrendo uma atividade SSH. 
e) A porta 33632 está retornando pacotes. 
 
Comentários: 
Pessoal, apesar de sabermos que a porta 80 é utilizada como padrão para 
os serviços HTTP, não há informações suficientes que possamos garantir 
tal afirmação. Pode-se customizar determinada aplicação para utilizar a 
porta 80, ainda que isto não seja recomendado. 
 
Gabarito: B 
 
Tecnologia da Informação – Redes de Computadores 
Curso de Teoria e Exercícios 
Prof. André Castro ʹ 
 
 
 
 
Prof. André Castr o www.estrategiaconcursos.com.br 
Pág. 33 de 45 
 
 
 
31. CESGRANRIO – BACEN/Analista do BACEN – Area 1/2010 
O computador portátil de um usuário doméstico é conectado, por meio de 
uma rede sem fio 802.11n, a um roteador que dispõe de um link com a 
Internet. Em dado momento, o usuário não consegue acessar um site de 
um órgão público e utiliza o comando "ping" para verificar sua 
conectividade. Todos os sites testados pelo usuário responderam ao 
comando "ping", com exceção desse órgão. Com base nesse relato, afirma-
se que o(a) 
 a) site do órgão público está fora do ar. 
 b) tráfego ICMP pode ter sido filtrado pelo órgão público. 
 c) roteador de borda do órgão público está congestionado. 
 d) rede sem fio do usuário está limitada a 54 Mbps. 
 e) ferramenta Wireshark não poderia capturar o tráfego da rede do 
usuário. 
 
Comentários: 
Vamos analisar os itens: 
 
a) Não se pode garantir que o site esteja fora pois o ping por si só não 
verificar a funcionalidade do serviço a nível da camada de aplicação. 
INCORRETO 
b) Como sabemos, o PING é composto pelas mensagens echo request e 
echo reply. Desse modo, caso haja um bloqueio por qualquer 
equipamento na rede de destino do tráfego ICMP, as mensagens acima 
não passarão. Então, de fato, o filtro desse protocolo pode ser uma 
justificativa para o ocorrido. CORRETO 
c) Mais uma vez, o simples envio do comando PING não é suficiente 
para atestar que o roteador do destino está congestionado. Na prática, 
quando isso ocorre, recebe-se uma mensagem ICMP de resposta. 
INCORRETO 
d) A banda nesse caso não tem nada a ver com a incapacidade de 
acesso. O que poderia ser influenciado pela banda seria em termos da 
qualidade do tráfego, acarretando latência e ocasionalmente, uma 
indisponibilidade. INCORRETO 
e) Como vimos, o Wireshark é simplesmente um sniffer de rede, não 
impactando no funcionamento conforme enunciado da questão. 
INCORRETO 
Gabarito: B 
 
32. FGV – DPE-MT/Analista de Sistemas/2015 
Tecnologia da Informação – Redes de Computadores 
Curso de Teoria e Exercícios 
Prof. André Castro ʹ 
 
 
 
 
Prof. André Castr o www.estrategiaconcursos.com.br 
Pág. 34 de 45 
 
 
 
Sniffers são programas que permitem capturar/inspecionar os dados 
trafegados em redes de computadores. 
Em redes ethernet, para que seja possível capturar pacotes que não sejam 
endereçados à própria máquina, Sniffers devem configurar a interface de 
rede, para trabalhar em modo 
 a) promíscuo. 
 b) broadcast. 
 c) inspect. 
 d) multi-user. 
 e) admin. 
 
Comentários: 
Vimos que a característica de colocar a placa no modo promíscuo é pré-
requisito para o funcionamento de um sniffer. Dessa forma, ao se colocar 
a placa nesse modo, ela passará a coletar todos os quadros no segmento 
de rede em questão, ainda que os quadros não sejam direcionados à 
própria placa. 
 
Gabarito: A 
 
 
 
 
 
 
 
 
 
 
 
 
 
Chegamos ao término da nossa aula! 
 
Um grande abraço e até a próxima aula. 
Tecnologia da Informação – Redes de Computadores 
Curso de Teoria e Exercícios 
Prof. André Castro ʹ 
 
 
 
 
Prof. André Castr o www.estrategiaconcursos.com.br 
Pág. 35 de 45 
 
 
 
 
 
 
LISTA DE EXERCÍCIOS 
 
1. CESPE - Ana (BACEN)/Área 2 - Suporte à Infraestrutura de 
Tecnologia da Informação/2013 
Na interface de visualização dos dados capturados com o Wireshark, é 
possível criar um filtro para exibir somente o tipo de informação desejada; 
por exemplo, para se visualizar somente pacotes do tipo echo request, 
deve-se inserir no campo Filter a expressão de filtragem icmp.type == 5. 
 
 
2. CESPE - Ana MPU/Tecnologia da Informação e 
Comunicação/Suporte e Infraestrutura/2013 
10.0.0.1:80 > 10.0.0.2:52209 [PSH, ACK] Seq=1 Ack=1 Win=17376 Len=2 
10.0.0.1:80 > 10.0.0.2:52209 [PSH, ACK] Seq=3 Ack=1 Win=17376 Len=48 
10.0.0.1:80 > 10.0.0.2:52209 [PSH, ACK] Seq=51 Ack=1 Win=17376 Len=1 
10.0.0.1:80 > 10.0.0.2:52209 [PSH, ACK] Seq=52 Ack=1 Win=17376 Len=2 
10.0.0.1:80 > 10.0.0.2:52209 [PSH, ACK] Seq=54 Ack=1 Win=17376 Len=48 
10.0.0.2:52209 > 10.0.0.1:80 [ACK] Seq=1 Ack=1 Win=7896 Len=0 
10.0.0.2:52209 > 10.0.0.1:80 [ACK] Seq=1 Ack=3 Win=7896 Len=0 
10.0.0.2:52209 > 10.0.0.1:80 [ACK] Seq=1 Ack=3 Win=7896 Len=0 
10.0.0.2:52209 > 10.0.0.1:80 [ACK] Seq=1 Ack=3 Win=7896 Len=0 
10.0.0.2:52209 > 10.0.0.1:80 [ACK] Seq=1 Ack=3 Win=7896 Len=0 
10.0.0.1:80 > 10.0.0.2:52209 [ACK] Seq=3 Ack=1 Win=17376 Len=48 
 
Considerando o trecho de captura acima apresentado, julgue o item a 
seguir. 
 
Os segmentos presentes caracterizam tráfego em volume. 
 
3. CESPE - Ana MPU/Tecnologia da Informação e 
Comunicação/Suporte e Infraestrutura/2013 
 
Considerando o trecho de captura da questão anterior, julgue o item a 
seguir. 
Tecnologia da Informação – Redes de Computadores 
Curso de Teoria e Exercícios 
Prof. André Castro ʹ 
 
 
 
 
Prof. André Castr o www.estrategiaconcursos.com.br 
Pág. 36 de 45 
 
 
 
 
O trecho de captura ilustra uma conexão TCP completa. 
 
4. Considerando o trecho de captura da questão anterior, julgue o 
item a seguir. 
 
Apesar de a linha temporal não estar presente na captura, o trecho acima 
apresentado é consistente com a ocorrência de uma retransmissão rápida, 
não ocasionada por timeout. 
 
5. Considerando o trecho de captura da questão anterior, julgue o 
item a seguir. 
É consistente com a captura afirmar que ela não foi realizada 
no host 10.0.0.2 ou no seu segmento. 
 
6. CESPE – TRE-RJ/Técnico Judiciário/2012 
 
 
Os datagramas ICMP indicam indisponibilidade da porta 80 
no host 3.3.3.3. 
 
7. Considerando o trecho de captura da questão anterior, julgue o 
item a seguir. 
 
A captura mostra conexões TCP que se completaram. 
 
8. Considerando o trecho de captura da questão anterior, julgue o 
item a seguir. 
 
O tamanho máximo de um datagrama, para que não ocorra fragmentação 
no host 1.1.1.1, é de 1.460 bytes. 
 
Tecnologia da Informação – Redes de Computadores 
Curso de Teoria e Exercícios 
Prof. André Castro ʹ 
 
 
 
 
Prof. André Castr o www.estrategiaconcursos.com.br 
Pág. 37 de 45 
 
 
 
9. Considerando o trecho de captura da questão anterior, julgue o 
item a seguir. 
A captura é consistente com a presença de um loop de roteamento ao 
longo do percurso. 
 
10. Considerando o trecho de captura da questão anterior, julgue o 
item a seguir. 
 
A determinação do percurso entre 1.1.1.1 e 2.2.2.2 normalmente seria 
conclusiva para se determinar a causa da geração das mensagens ICMP. 
 
11. CESPE – TRE-RJ/Técnico Judiciário/2012 
 
 
A chegada dos fragmentos aos hosts de destino ocorreu fora da ordem de 
envio. 
 
12. CESPE – TRE-RJ/Técnico Judiciário/2012 
 
 
Se os hosts tiverem máscaras de rede /24, eles estão em redes diferentes. 
 
13. CESPE – TRE-RJ/Técnico Judiciário/2012 
 
 
O MTU dos enlaces em que se conectam os hosts é maior que 1.480. 
 
14. CESPE – TRE-RJ/Técnico Judiciário/2012 
Tecnologia da Informação – Redes de Computadores 
Curso de Teoria e Exercícios 
Prof. André Castro ʹ 
 
 
 
 
Prof. André Castr o www.estrategiaconcursos.com.br 
Pág. 38 de 45 
 
 
 
 
 
O datagrama IP que foi fragmentado carregava 3.008 bytes. 
 
15. CESPE – TRE-RJ/Técnico Judiciário/2012 
 
Trata-se de tráfego consistentecom a execução do comando ping 
no host 10.1.1.1. 
 
16. CESPE – TCU/Auditor Federal de Controle Externo – TI/2010 
 
 
 
(Seguem-se 246 linhas semelhantes até o endereço 10.0.0.255 ser 
atingido.) 
 
Considerando o trecho de captura de tráfego acima, realizada em uma das 
portas ethernet de um switch camada 3 que interliga uma rede 
local a um backbone, julgue os itens que se seguem. 
 
O tráfego reportado na captura é consistente com a fase preparatória de 
vários ataques, entre os quais se encontra o de ARPspoofing. 
 
17. Considerando o tráfego da questão anterior 
O tráfego reportado na captura é consistente com a atividade de um vírus 
ou worm tentando se propagar a partir de outra rede ligada ao backbone. 
 
18. Considerando o tráfego da questão anterior 
Tecnologia da Informação – Redes de Computadores 
Curso de Teoria e Exercícios 
Prof. André Castro ʹ 
 
 
 
 
Prof. André Castr o www.estrategiaconcursos.com.br 
Pág. 39 de 45 
 
 
 
No trecho de captura de tráfego, em tela, há indícios de que estava 
ocorrendo um ataque de MAC flooding. 
 
19. CESPE – Banco da Amazônia/Técnico Científico/2010 
 
 
A captura apresenta apenas uma conexão TCP, estabelecida nos 
segmentos 
 
20. Considerando a captura de tráfego da questão anterior: 
O segmento XII consiste em uma retransmissão do segmento XI. 
 
 
21. Considerando a captura de tráfego da questão anterior: 
Não é consistente a afirmativa de que a captura foi realizada 
no host 1.1.1.1. 
 
22. Considerando a captura de tráfego da questão anterior: 
É consistente a afirmativa de que houve perda de segmentos na captura. 
 
23. CESPE – TCU/Analista de Controle Externo – TI/2009 
Tecnologia da Informação – Redes de Computadores 
Curso de Teoria e Exercícios 
Prof. André Castro ʹ 
 
 
 
 
Prof. André Castr o www.estrategiaconcursos.com.br 
Pág. 40 de 45 
 
 
 
 
Considerando o trecho de captura de tráfego acima apresentado, julgue os 
itens que seguem. 
 
Se utilizarem a mesma máscara de rede, qualquer que seja, então os hosts 
envolvidos na captura de tráfego estarão na mesma sub-rede. 
 
 
24. Considerando o tráfego da questão anterior 
Tecnologia da Informação – Redes de Computadores 
Curso de Teoria e Exercícios 
Prof. André Castro ʹ 
 
 
 
 
Prof. André Castr o www.estrategiaconcursos.com.br 
Pág. 41 de 45 
 
 
 
A chegada fora de ordem dos pacotes de resposta deve-se à retransmissão 
de alguns deles ao longo do percurso. 
 
25. Considerando o tráfego da questão anterior 
É consistente com a captura que o processo de fragmentação tenha sido 
aplicado mais de uma vez nos pacotes de resposta. 
 
26. CESPE – TCU/Analista de Controle Externo – TI/2009 
Tecnologia da Informação – Redes de Computadores 
Curso de Teoria e Exercícios 
Prof. André Castro ʹ 
 
 
 
 
Prof. André Castr o www.estrategiaconcursos.com.br 
Pág. 42 de 45 
 
 
 
 
Tecnologia da Informação – Redes de Computadores 
Curso de Teoria e Exercícios 
Prof. André Castro ʹ 
 
 
 
 
Prof. André Castr o www.estrategiaconcursos.com.br 
Pág. 43 de 45 
 
 
 
A captura em apreço apresenta uma conexão TCP completa, com todos os 
segmentos envolvidos no estabelecimento e encerramento da conexão. 
 
27. Considerando o tráfego da questão anterior 
Há elementos característicos de tráfego interativo, em que a janela 
deslizante não é completamente preenchida. Entretanto, há segmentos 
com o tamanho máximo possível. 
 
28. Considerando o tráfego da questão anterior 
Na captura em questão, a recepção de segmentos fora de ordem deve-se à 
ocorrência de retransmissão por perda de pacotes. 
 
29. IADES – EBSERH/Analista de Tecnologia da Informação/2013 
 
IP 192.168.1.180.46338 > 8.8.8.8.53: 17359+ A? foo.bar. (25) 
IP 192.168.1.180.46338 > 8.8.8.8.53: 42306+ AAAA? foo.bar. (25) 
IP 8.8.8.8.53 > 192.168.1.180.46338: 17359 NXdomain 0/1/0 (100) 
 
Assinale a alternativa correta. 
a) Um cliente está realizando 3 conexões diferentes com o servidor 8.8.8.8. 
b) É possível ver um cliente solicitando os endereços, IPv4 e IPv6 de 
foo.bar, a um servidor DNS. 
c) Com certeza, está sendo estabelecida uma conexão TCP. 
d) Há, pelo menos, 2 servidores de rede, envolvidos na captura mostrada. 
e) A máquina cliente 8.8.8.8 não consegue conexão com 192.168.1.180. 
 
30. IADES – EBSERH/Analista de Tecnologia da Informação/2013 
 
IP 192.168.1.91.33632 > 192.168.1.90.80: Flags [s], seq 2738002527, win 
14600, options [mss 1460,sackoK,Ts val 10493310 ecr 0,nop,wscale 7], 
length 0 
IP 192.168.1.90.80 > 192.168.1.91.33632: Flags [s.], seq 589427923, ack 
2738002528, win 5840, options [mss 1460,nop,nop,sackoK,nop,wscale 9], 
length 0 
IP 192.168.1.91.33632 > 192.168.1.90.80: Flags [.], ack 589427924, win 
115, length 0 
IP 192.168.1.91.33632 > 192.168.1.90.80: Flags [p .], seq 
Tecnologia da Informação – Redes de Computadores 
Curso de Teoria e Exercícios 
Prof. André Castro ʹ 
 
 
 
 
Prof. André Castr o www.estrategiaconcursos.com.br 
Pág. 44 de 45 
 
 
 
2738002528:2738002959, ack 589427924, win 115, length 431 
IP 192.168.1.90.80 > 192.168.1.91.33632: Flags [.], ack 2738002959, win 
14, length 0 
 
Assinale a alternativa correta. 
a) Está ocorrendo uma atividade FTP. 
b) Está ocorrendo uma atividade HTTP. 
c) Não é possível afirmar, com precisão, qual tipo de atividade está 
ocorrendo, no nível de aplicação. 
d) Está ocorrendo uma atividade SSH. 
e) A porta 33632 está retornando pacotes. 
 
31. CESGRANRIO – BACEN/Analista do BACEN – Area 1/2010 
O computador portátil de um usuário doméstico é conectado, por meio de 
uma rede sem fio 802.11n, a um roteador que dispõe de um link com a 
Internet. Em dado momento, o usuário não consegue acessar um site de 
um órgão público e utiliza o comando "ping" para verificar sua 
conectividade. Todos os sites testados pelo usuário responderam ao 
comando "ping", com exceção desse órgão. Com base nesse relato, afirma-
se que o(a) 
 a) site do órgão público está fora do ar. 
 b) tráfego ICMP pode ter sido filtrado pelo órgão público. 
 c) roteador de borda do órgão público está congestionado. 
 d) rede sem fio do usuário está limitada a 54 Mbps. 
 e) ferramenta Wireshark não poderia capturar o tráfego da rede do 
usuário. 
 
 
32. FGV – DPE-MT/Analista de Sistemas/2015 
Sniffers são programas que permitem capturar/inspecionar os dados 
trafegados em redes de computadores. 
Em redes ethernet, para que seja possível capturar pacotes que não sejam 
endereçados à própria máquina, Sniffers devem configurar a interface de 
rede, para trabalhar em modo 
 a) promíscuo. 
 b) broadcast. 
 c) inspect. 
Tecnologia da Informação – Redes de Computadores 
Curso de Teoria e Exercícios 
Prof. André Castro ʹ 
 
 
 
 
Prof. André Castr o www.estrategiaconcursos.com.br 
Pág. 45 de 45 
 
 
 
 d) multi-user. 
 e) admin. 
 
 
 
GABARITO 
 
1 2 3 4 5 6 7 8 9 10 
E E E C C E E E C C 
11 12 13 14 15 16 17 18 19 20 
E E C C C C C E C E 
21 22 23 24 25 26 27 28 29 30 
E E E E C C C E B B 
31 32 33 34 35 36 37 38 39 40 
B A