Referência
📋 Cheat Sheets
Referências rápidas para consulta e impressão. Clique em 🖨️ Imprimir para exportar como PDF.
Portas de Rede Conhecidas
| Porta | Proto | Serviço | Descrição |
|---|---|---|---|
| 20 | TCP | FTP Data | Transferência de dados FTP (modo ativo) |
| 21 | TCP | FTP Control | Comandos e autenticação FTP |
| 22 | TCP | SSH | Acesso remoto seguro (criptografado) |
| 23 | TCP | Telnet | Acesso remoto sem criptografia — evitar |
| 25 | TCP | SMTP | Envio de e-mail entre servidores |
| 53 | UDP/TCP | DNS | Resolução de nomes de domínio |
| 67 | UDP | DHCP Server | Servidor DHCP recebe requisições |
| 68 | UDP | DHCP Client | Cliente DHCP recebe configuração |
| 80 | TCP | HTTP | Web sem criptografia |
| 110 | TCP | POP3 | Leitura de e-mail (baixa e remove) |
| 143 | TCP | IMAP | Leitura de e-mail sincronizada |
| 443 | TCP | HTTPS | Web com TLS — padrão moderno |
| 465 | TCP | SMTPS | SMTP sobre SSL/TLS |
| 587 | TCP | SMTP Submission | Envio por clientes de e-mail |
| 993 | TCP | IMAPS | IMAP sobre TLS |
| 995 | TCP | POP3S | POP3 sobre TLS |
| 3306 | TCP | MySQL | Banco de dados MySQL/MariaDB |
| 3389 | TCP | RDP | Desktop remoto Windows |
| 5060 | UDP/TCP | SIP | Sinalização VoIP |
| 8080 | TCP | HTTP Alt | HTTP alternativo (proxies, dev) |
Comandos CLI de Diagnóstico
| Comando | O que faz | Exemplo |
|---|---|---|
ping | Testa alcançabilidade ICMP e mede RTT | ping 8.8.8.8 |
traceroute / tracert | Mostra cada salto até o destino | traceroute google.com |
nslookup | Consulta DNS interativamente | nslookup google.com 8.8.8.8 |
dig | Consulta DNS com detalhes completos | dig @8.8.8.8 google.com A |
ipconfig / ip a | Mostra interfaces de rede e IPs | ip addr show eth0 |
netstat | Conexões ativas e portas em escuta | netstat -tuln |
ss | Substituto moderno do netstat | ss -tulnp |
curl | Faz requisições HTTP/S na linha de comando | curl -I https://google.com |
wget | Baixa arquivos via HTTP/FTP | wget https://exemplo.com/file.zip |
tcpdump | Captura pacotes de rede (requer root) | tcpdump -i eth0 port 80 |
nmap | Escaneamento de portas e hosts | nmap -sV 192.168.1.0/24 |
arp | Exibe/modifica tabela ARP local | arp -n |
route / ip route | Tabela de roteamento local | ip route show |
nc (netcat) | TCP/UDP raw — teste de conectividade | nc -vz host 443 |
openssl s_client | Inspeciona certificado TLS | openssl s_client -connect host:443 |
Modelo OSI vs TCP/IP
| # | OSI | TCP/IP | Função | PDU | Exemplos |
|---|---|---|---|---|---|
| 7 | Aplicação | Aplicação | Interface com o usuário/software | Dados | HTTP, FTP, DNS, SMTP |
| 6 | Apresentação | Aplicação | Formato, compressão, criptografia | Dados | SSL/TLS, MIME, ASCII |
| 5 | Sessão | Aplicação | Controle de diálogos, tokens | Dados | NetBIOS, RPC |
| 4 | Transporte | Transporte | Entrega fim-a-fim, controle de fluxo | Segmento | TCP, UDP, SCTP |
| 3 | Rede | Internet | Endereçamento lógico, roteamento | Pacote | IP, ICMP, OSPF, BGP |
| 2 | Enlace | Acesso à Rede | Endereçamento físico, acesso ao meio | Quadro | Ethernet, Wi-Fi, PPP |
| 1 | Física | Bits no meio físico | Bit | RJ-45, fibra, rádio |
TCP — Handshakes e Flags
Three-Way Handshake (abertura)
| Passo | De → Para | Flag |
|---|---|---|
| 1 | Cliente → Servidor | SYN |
| 2 | Servidor → Cliente | SYN-ACK |
| 3 | Cliente → Servidor | ACK |
Four-Way Teardown (encerramento)
| Passo | De → Para | Flag |
|---|---|---|
| 1 | Iniciador → Par | FIN |
| 2 | Par → Iniciador | ACK |
| 3 | Par → Iniciador | FIN |
| 4 | Iniciador → Par | ACK |
Flags TCP
| Flag | Significado |
|---|---|
SYN | Synchronize — inicia conexão, sincroniza números de sequência |
ACK | Acknowledgment — confirma recebimento de dados |
FIN | Finish — encerra conexão (graceful shutdown) |
RST | Reset — aborta conexão imediatamente |
PSH | Push — pede ao receptor para entregar os dados à aplicação imediatamente |
URG | Urgent — dados urgentes (Urgent Pointer válido) |
Sub-redes IPv4 — Tabela CIDR
| CIDR | Máscara | Hosts Úteis | Uso Típico |
|---|---|---|---|
| /8 | 255.0.0.0 | 16.777.214 | ISPs, grandes provedores |
| /16 | 255.255.0.0 | 65.534 | Grandes corporações |
| /24 | 255.255.255.0 | 254 | Redes locais domésticas/pequenas empresas |
| /25 | 255.255.255.128 | 126 | Duas sub-redes de /24 |
| /26 | 255.255.255.192 | 62 | Quatro sub-redes de /24 |
| /27 | 255.255.255.224 | 30 | Segmentos pequenos |
| /28 | 255.255.255.240 | 14 | Segmentos muito pequenos |
| /29 | 255.255.255.248 | 6 | Links ponto-a-ponto |
| /30 | 255.255.255.252 | 2 | Links ponto-a-ponto (padrão) |
| /31 | 255.255.255.254 | 2 (sem BRD) | Links ponto-a-ponto (RFC 3021) |
| /32 | 255.255.255.255 | 1 (host) | Rota host, loopback |
Fórmulas:
Hosts úteis = 2n − 2 |
Endereço de rede = IP AND Máscara |
Broadcast = Rede OR NOT(Máscara) |
n = bits do host = 32 − prefixo
IPv6 — Endereços Especiais
| Prefixo | Descrição |
|---|---|
::1/128 | Loopback (equivalente ao 127.0.0.1) |
::/128 | Endereço não especificado |
::ffff:0:0/96 | IPv4-mapeado em IPv6 |
fe80::/10 | Link-local — não roteável (equivalente ao 169.254.x.x) |
fc00::/7 | Unique Local — equivalente ao privado do IPv4 |
ff00::/8 | Multicast |
2000::/3 | Endereços globais unicast (internet pública) |
2001:db8::/32 | Documentação/exemplos — não usar em produção |
IPv4 vs IPv6 — Diferenças Rápidas
| Característica | IPv4 | IPv6 |
|---|---|---|
| Tamanho | 32 bits | 128 bits |
| Notação | Decimal pontuado | Hexadecimal com : |
| Broadcast | Sim | Não (usa multicast) |
| Header | Variável | Fixo 40 bytes |
| Auto-config | DHCP | SLAAC nativo |
| NAT obrigatório | Sim (escassez de IPs) | Não |
Faixas de IP Reservadas (RFC 1918 + especiais)
| Faixa | CIDR | Uso |
|---|---|---|
| 10.0.0.0 – 10.255.255.255 | /8 | Privado (classe A) |
| 172.16.0.0 – 172.31.255.255 | /12 | Privado (classe B) |
| 192.168.0.0 – 192.168.255.255 | /16 | Privado (classe C) — mais comum em casas |
| 127.0.0.0 – 127.255.255.255 | /8 | Loopback local |
| 169.254.0.0 – 169.254.255.255 | /16 | Link-local (APIPA — sem DHCP) |
| 224.0.0.0 – 239.255.255.255 | /4 | Multicast |
| 240.0.0.0 – 255.255.255.254 | /4 | Reservado (uso futuro) |
| 255.255.255.255 | /32 | Broadcast limitado |
Códigos de Status HTTP
| Código | Nome | Significado | Quando ocorre |
|---|---|---|---|
| 100 | Continue | Continue enviando | Servidor recebeu cabeçalhos e pede que o cliente continue |
| 200 | OK | Sucesso | Requisição bem-sucedida; corpo contém o resultado |
| 201 | Created | Recurso criado | POST criou um novo recurso; Location indica onde está |
| 204 | No Content | Sem conteúdo | Sucesso mas sem corpo na resposta (ex: DELETE) |
| 301 | Moved Permanently | Redirecionamento permanente | URL mudou para sempre; navegador atualiza os favoritos |
| 302 | Found | Redirecionamento temporário | URL mudou temporariamente; use a original nas próximas vezes |
| 304 | Not Modified | Cache válido | Conteúdo não mudou desde If-Modified-Since / ETag; use o cache |
| 400 | Bad Request | Requisição inválida | Sintaxe errada, parâmetros ausentes ou inválidos |
| 401 | Unauthorized | Não autenticado | Credenciais ausentes ou inválidas — precisa fazer login |
| 403 | Forbidden | Acesso negado | Autenticado mas sem permissão para esse recurso |
| 404 | Not Found | Não encontrado | Recurso não existe nessa URL |
| 405 | Method Not Allowed | Método não permitido | O endpoint existe mas não aceita esse verbo HTTP |
| 408 | Request Timeout | Tempo esgotado | Cliente demorou demais para enviar a requisição completa |
| 409 | Conflict | Conflito | Estado atual impede a operação (ex: criação duplicada) |
| 429 | Too Many Requests | Rate limit atingido | Muitas requisições em pouco tempo; aguarde Retry-After |
| 500 | Internal Server Error | Erro interno | Exceção não tratada no servidor; cheque os logs |
| 502 | Bad Gateway | Gateway inválido | Proxy/balanceador recebeu resposta inválida do backend |
| 503 | Service Unavailable | Serviço indisponível | Servidor sobrecarregado ou em manutenção |
| 504 | Gateway Timeout | Timeout do gateway | Proxy não recebeu resposta do backend a tempo |
Algoritmos e Conceitos de Segurança
| Algoritmo | Tipo | Uso Principal | Status Atual |
|---|---|---|---|
MD5 | Hash | Checksums, fingerprint de arquivo | ⚠️ Inseguro (colisões conhecidas) |
SHA-1 | Hash | Git commit IDs, legado TLS | ⚠️ Depreciado (colisões) |
SHA-256 | Hash | TLS 1.2/1.3, Bitcoin, verificação de integridade | ✅ Seguro e padrão |
SHA-3 | Hash | Padrão NIST alternativo ao SHA-2 | ✅ Seguro (design diferente do SHA-2) |
AES-128 | Simétrico | Criptografia de disco, VPN, TLS | ✅ Seguro |
AES-256 | Simétrico | Padrão de segurança máxima, post-quantum | ✅ Padrão recomendado |
RSA-2048 | Assimétrico | Certificados TLS, assinatura digital | ✅ Seguro (mínimo aceito) |
RSA-4096 | Assimétrico | CAs raiz, alta segurança de longo prazo | ✅ Forte (mais lento) |
ECDSA | Assimétrico | TLS 1.3, SSH, certificados modernos | ✅ Padrão moderno (chaves menores) |
ChaCha20 | Simétrico (stream) | TLS 1.3 em mobile, WireGuard | ✅ Rápido sem AES-NI de hardware |
bcrypt | KDF / Hash de senha | Hash de senhas em aplicações web | ✅ Padrão para senhas |
Argon2 | KDF / Hash de senha | Vencedor PHC — resistente a GPU | ✅ Melhor escolha atual para senhas |
Glossário de Redes
A
ACK
Acknowledgment. Bit de controle do TCP que confirma a recepção de dados. Quando um lado envia ACK=N, diz ao emissor "recebi tudo até o byte N, pode continuar". Sem ACK, o TCP retransmite o segmento.
ARP — Address Resolution Protocol
Protocolo da camada 2 que descobre o endereço MAC correspondente a um IP na mesma rede local. Funciona via broadcast: "Quem tem o IP X.X.X.X?" O dono responde com seu MAC. O resultado fica no cache ARP por alguns minutos.
AS — Autonomous System
Conjunto de redes sob controle de uma única organização com política de roteamento unificada. Identificado por um ASN (número de 16 ou 32 bits). A internet é a interconexão de milhares de ASes via BGP.
B
BGP — Border Gateway Protocol
Protocolo de roteamento entre sistemas autônomos (inter-AS). É o "protocolo da internet" que mantém a tabela global de rotas, conectando ISPs e datacenters. Altamente político — operadores escolhem rotas por acordos comerciais.
Broadcast
Comunicação enviada a todos os dispositivos de uma rede. Em IPv4, o endereço de broadcast é o último da sub-rede (ex: 192.168.1.255). IPv6 não usa broadcast — substitui por multicast para eficiência.
C
CIDR — Classless Inter-Domain Routing
Notação que expressa endereço IP + máscara em formato /n (ex: 192.168.1.0/24). Elimina as classes rígidas A/B/C do IPv4 clássico, permitindo alocação eficiente de qualquer tamanho de bloco.
Collision Domain
Segmento de rede onde dois dispositivos transmitindo simultaneamente causam colisão de pacotes. Hubs ampliam o domínio de colisão; switches criam um domínio separado por porta, eliminando colisões em redes modernas.
D
DHCP — Dynamic Host Configuration Protocol
Protocolo que distribui automaticamente configurações de rede (IP, máscara, gateway, DNS) aos dispositivos ao se conectarem. Usa portas UDP 67 (servidor) e 68 (cliente). Sem DHCP, cada máquina precisaria de IP configurado manualmente.
DNS — Domain Name System
Sistema hierárquico que converte nomes legíveis (google.com) em endereços IP. Funciona como a agenda telefônica da internet, com servidores raiz (13 clusters), TLD (.com, .br) e autoritativos por domínio.
DNAT — Destination NAT
Tipo de NAT que modifica o IP de destino de um pacote. Usado para redirecionar tráfego externo a servidores internos (port forwarding). Ex: tráfego na porta 443 do IP público vai para 192.168.1.10:443 interno.
E
Encapsulamento
Processo pelo qual cada camada do modelo OSI/TCP-IP adiciona seu cabeçalho ao dado da camada superior: dados → segmento (TCP) → pacote (IP) → frame (Ethernet) → bits. Na recepção ocorre o processo inverso (decapsulamento).
F
Firewall
Sistema que filtra tráfego de rede baseado em regras (IP, porta, protocolo, estado da conexão). Stateful rastreia o estado das conexões; stateless analisa cada pacote isoladamente sem contexto de sessão.
G
Gateway
Dispositivo que conecta redes com protocolos diferentes ou serve como ponto de saída da rede local para a internet. O "default gateway" é o roteador para onde vão pacotes com destino não coberto pela tabela de rotas local.
H
HTTP — HyperText Transfer Protocol
Protocolo de camada de aplicação para transferência de dados na web. Opera na porta 80, sem criptografia. Usa verbos (GET, POST, PUT, DELETE, HEAD) e códigos de status (200, 404, 500). HTTP/2 e HTTP/3 adicionam multiplexação.
HTTPS
HTTP sobre TLS/SSL. Versão segura do HTTP que cifra todo o tráfego entre cliente e servidor. Opera na porta 443. Garante confidencialidade, integridade e autenticidade via certificado digital emitido por uma CA.
I
ICMP — Internet Control Message Protocol
Protocolo de diagnóstico do IP, sem porta. Usado pelo ping (echo request/reply) e traceroute (TTL exceeded). Roteadores usam ICMP para reportar erros: host unreachable, port unreachable, TTL exceeded.
IP — Internet Protocol
Protocolo de camada 3 responsável pelo endereçamento e roteamento de pacotes. Connectionless — não garante entrega, ordem ou ausência de duplicatas (isso é papel do TCP). IPv4 usa 32 bits; IPv6 usa 128 bits.
IPSec
Suite de protocolos para cifrar e autenticar pacotes IP. Usado em VPNs site-a-site. Modo Transport cifra apenas o payload; modo Tunnel cifra o pacote inteiro (incluindo cabeçalho original) e adiciona novo cabeçalho IP.
ISP — Internet Service Provider
Empresa que fornece acesso à internet a usuários e organizações. Possui sua própria infraestrutura de rede (AS) e se interconecta com outros ISPs via BGP em pontos de troca (IXPs — Internet Exchange Points).
J
Jitter
Variação no atraso de chegada de pacotes consecutivos. Em VoIP e streaming, causa oscilação e cortes. Medido em ms. Buffers de jitter compensam armazenando alguns pacotes antes de reproduzi-los.
L
Latência
Tempo que um pacote leva para ir de A a B (one-way) ou A→B→A (RTT). Afetada por distância física, velocidade de propagação no meio, processamento em roteadores e congestionamento. Medida em milissegundos.
M
MAC Address
Endereço de 48 bits (ex: AA:BB:CC:DD:EE:FF) gravado na NIC pelo fabricante. Identifica dispositivos na camada 2 (enlace). Os primeiros 24 bits identificam o fabricante (OUI). Não é roteável — só válido na rede local.
MTU — Maximum Transmission Unit
Tamanho máximo de um pacote sem fragmentação em um enlace. Ethernet padrão: 1500 bytes. Pacotes maiores são fragmentados no IPv4 ou descartados com ICMP "Fragmentation Needed" no IPv6 (exige Path MTU Discovery).
N
NAT — Network Address Translation
Tradução de endereços IP privados para públicos em roteadores. Permite que múltiplos dispositivos compartilhem um único IP público (PAT/masquerading). Resolve o esgotamento do IPv4, mas quebra a conectividade ponta-a-ponta.
NetMask — Máscara de Rede
Número de 32 bits (ex: 255.255.255.0 = /24) usado em AND lógico com o IP para separar parte de rede da parte de host. Determina quais endereços estão na mesma rede local e quais precisam de roteamento.
NIC — Network Interface Card
Placa de interface de rede. Componente físico ou virtual que conecta o dispositivo à rede. Possui endereço MAC único, opera na camada 2 e implementa o protocolo físico (Ethernet, Wi-Fi, etc.).
O
OSI — Open Systems Interconnection
Modelo de referência com 7 camadas criado pela ISO para padronizar comunicação entre sistemas heterogêneos. Da física à aplicação: Física, Enlace, Rede, Transporte, Sessão, Apresentação, Aplicação. Mais didático que o TCP/IP de 4 camadas.
P
Pacote
Unidade de dados da camada 3 (Rede). Contém cabeçalho IP (IPs origem/destino, TTL, protocolo) mais payload. Resultado do encapsulamento de um segmento TCP/UDP. Cada pacote é roteado independentemente.
Ping
Ferramenta de diagnóstico que envia pacotes ICMP Echo Request e espera Echo Reply. Mede latência (RTT) e verifica alcançabilidade de um host. Um timeout indica que o host está inativo, bloqueado por firewall ou inacessível.
Porta
Número de 16 bits (0–65535) que identifica um serviço em um host. Portas 0–1023: well-known (HTTP=80, HTTPS=443, SSH=22). 1024–49151: registradas. 49152–65535: dinâmicas/efêmeras usadas pelo sistema operacional.
Proxy
Intermediário que faz requisições em nome de outro. Forward proxy oculta clientes da internet (filtragem, cache). Reverse proxy protege servidores internos (balanceamento de carga, terminação TLS, CDN).
Q
QoS — Quality of Service
Mecanismo que prioriza certos tipos de tráfego (VoIP, vídeo) sobre outros em redes congestionadas. Define filas, limites de banda e marcação de pacotes via DSCP (campo no cabeçalho IP).
R
RFC — Request for Comments
Documentos técnicos publicados pela IETF que definem padrões da internet. RFC 791 (IP), RFC 793 (TCP), RFC 2616 (HTTP/1.1), RFC 7540 (HTTP/2). Todo protocolo padronizado tem um RFC como referência normativa.
Roteamento
Processo de determinar o caminho que um pacote deve seguir entre redes. Roteadores trocam informações via protocolos (OSPF dentro de um AS, BGP entre ASes) e mantêm tabelas de roteamento com métricas de custo.
RTT — Round-Trip Time
Tempo total de ida e volta de um pacote: RTT = latência de ida + latência de volta. Medido pelo ping. Afeta diretamente a performance do TCP, que precisa de ACK antes de enviar mais dados além da janela de congestionamento.
S
SNAT — Source NAT
NAT que modifica o IP de origem dos pacotes. Usado quando dispositivos internos acessam a internet: o roteador troca o IP privado pelo IP público e rastreia a conexão para mapear as respostas de volta ao cliente original.
Socket
Combinação de IP + Porta que identifica um endpoint de comunicação. Uma conexão TCP é definida por 4 valores: (IP origem, Porta origem, IP destino, Porta destino). É a abstração do SO para comunicação de rede.
Spoofing
Falsificação de identidade em redes. IP spoofing: pacotes com IP de origem falso. ARP spoofing: envenenamento da tabela ARP para MITM. DNS spoofing: respostas DNS falsas redirecionando domínios para IPs maliciosos.
SSH — Secure Shell
Protocolo de acesso remoto seguro na porta 22. Usa criptografia assimétrica para autenticação (chave pública/privada) e simétrica para a sessão. Substitui o Telnet inseguro. Também faz port forwarding e transferência de arquivos (SCP/SFTP).
SSL/TLS
Protocolo criptográfico que protege comunicações na rede. SSL está obsoleto; TLS 1.2 e 1.3 são os padrões atuais. Garante autenticidade (certificado X.509), confidencialidade (criptografia simétrica) e integridade (HMAC).
Subnet — Sub-rede
Divisão lógica de uma rede IP em redes menores. Permite organização hierárquica, isolamento de tráfego e uso eficiente de endereços. Definida por endereço de rede + máscara. Dispositivos em subnets diferentes precisam de roteamento.
Switch
Dispositivo de camada 2 que conecta dispositivos em uma LAN. Usa tabela MAC para encaminhar frames apenas para a porta de destino. Ao contrário do hub (broadcast), cria domínios de colisão separados e elimina colisões.
T
TCP — Transmission Control Protocol
Protocolo de transporte orientado a conexão. Garante entrega ordenada e sem erros via three-way handshake, ACKs, retransmissão e controle de fluxo/congestionamento. Mais lento que UDP mas confiável. Usado por HTTP, SSH, SMTP.
Throughput
Taxa efetiva de dados transferidos com sucesso por segundo. Diferente da largura de banda (capacidade máxima): o throughput é menor devido a overhead de protocolos, retransmissões, latência e controle de congestionamento.
Traceroute / Tracert
Ferramenta que mapeia os saltos entre origem e destino enviando pacotes com TTL crescente (1, 2, 3…). Cada roteador que descarta por TTL=0 responde com ICMP Time Exceeded, revelando seu IP e RTT. Útil para localizar onde a rota falha.
TTL — Time to Live
Campo de 8 bits no cabeçalho IP que limita saltos de um pacote. Cada roteador decrementa em 1; ao chegar a 0, descarta e envia ICMP Time Exceeded. Evita loops de roteamento. Em DNS, indica por quantos segundos um registro pode ser cacheado.
U
UDP — User Datagram Protocol
Protocolo de transporte sem conexão e sem garantia de entrega. Mais rápido que TCP — sem handshake, sem ACK, sem reordenação. Usado em DNS, VoIP, streaming e jogos onde velocidade importa mais que confiabilidade.
V
VLAN — Virtual LAN
Segmentação lógica de uma rede física em múltiplas redes separadas via switches (IEEE 802.1Q). Isola tráfego sem hardware dedicado — um switch físico pode hospedar dezenas de VLANs. VLANs diferentes precisam de roteamento para se comunicar.
VPN — Virtual Private Network
Cria um túnel criptografado sobre uma rede pública (internet) para conectar redes remotas com segurança ou anonimizar tráfego. Protocolos: OpenVPN, WireGuard (moderno, eficiente), IPSec/L2TP, SSL/TLS.
W
Wildcard Mask
Inverso da máscara de sub-rede (255.255.255.255 XOR máscara). Usada em ACLs de roteadores Cisco e em configurações OSPF para indicar quais bits do IP são relevantes. Ex: máscara /24 = wildcard 0.0.0.255 (os últimos 8 bits não importam).