Baixe o app para aproveitar ainda mais
Prévia do material em texto
1 de 6 PLANO DE AULA – PA ANÁLISE DE REDES DE COMPUTADORES CCT0041 Uso da ferramenta WIRESHARK 2 de 6 O Wireshark é uma ferramenta que captura pacotes em tempo real, mostrando informações detalhadas das PDUs – Protocol Data Units, salvando os pacotes em arquivos que podem ser armazenados para posterior inspeção. Os pacotes podem ser filtrados a partir de determinados critérios, como por exemplo o endereço IP de origem/destino, a porta TCP, endereço MAC, percorrendo da camada 2 a camada 7 do modelo OSI. O programa tem visual gráfico e iterativo permitindo “colorir” as informações pertinentes aos pacotes segundo os critérios determinados pelo usuário e reunir estatísticas dos pacotes coletados. • Instalando o Wireshark em máquinas com sistema operacional Windows: Vá até a página de “download” do Wireshark: http://www.wireshark.org/download.html É disponibilizado um arquivo do tipo wiresharkwinxx-1.4.x.exe, que deverá ser automaticamente instalado na máquina que possui o sistema operacional Windows. • Capturando pacotes com o Wireshark Na tela inicial de utilização do Wireshark, selecione a opção “capture” Fig.1 - Tela inicial do WireShark Indique qual interface de rede será feita a captura dos pacotes: Fig.2 - Escolhendo a interface 3 de 6 Escolha uma interface e clique no botão [Start] - se a interface estiver ativa, o rastreamento começa imediatamente e a janela principal do WireShark passa a mostrar a sequência de pacotes recebida. Como exemplo podemos no dispositivo que está sendo monitorado (um PC) acessando através do web browser a página www.google.com.br e obtivemos os pacotes mostrados: Fig.3 - Resultado de uma captura de pacotes Para interromper a captura de pacotes clique no quarto botão da barra de ferramentas ou no item de menu [Capture / Stop]. Veja que diversos tipos de pacotes foram capturados - esta versão do WireShark reconhece 836 tipos de pacotes (protocolos) diferentes. O primeiro deles (pacote 1) foi gerado pelo PC para enviar em broadcast uma mensagem ARP (Address Resolution Protocol - Protocolo de Resolução de Endereço). É que o browser está pedindo um domínio (no caso, google.com) que está fora da rede local, ou seja, o PC precisa fazer uma conexão com um servidor de páginas localizado numa outra rede, saindo pelo “gateway” padrão que é o roteador conectado à banda larga da Operadora e desta para a rede internet pública. O roteador gateway da rede tem endereço IP é 198.168.1.2. Para poder se comunicar com o roteador, a placa Ethernet do PC precisa do número (MAC) da placa Ethernet do roteador. Como a placa de rede do PC não tem esta informação,esta envia um “broadcast” solicitando o endereço IP 192.168.1.2? O Roteador que tem o endereço 192.168.1.1 pode ser 4 de 6 ouvido em toda a rede. Apesar de todas ouvirem, apenas a máquina com o endereço perguntado vai responder - e vai responder diretamente para o PC. 0.000194 segundos depois, a resposta chegou no pacote número 2. Se a pergunta saiu em forma de ARP, a resposta também vem no mesmo protocolo informando que a máquina solicitada tem o endereço MAC 00:40:26:a7:67:49. Agora as duas placas Ethernet têm como se comunicar e o PC pode receber o tráfego da rede pública. Quando digitamos www.google.com.br o browser recebeu o nome de um domínio (google.com) e não tem idéia do endereço IP deste domínio, ou seja,o PC precisa de um serviço de tradução que transforme nomes de domínio em endereços IP. Existem máquinas especializadas em fazer estas traduções - são os chamados servidores de nomes ou DNS. O servidor de nomes no endereço IP 200.195.157.66, por isto envia um pacote DNS (pacote 3) solicitando a tradução desejada. O servidor de nomes aciona um outro servidor de nomes, o pt-br.start2.mozilla.com, que responde logo em seguida. O pacote 4 traz a tradução solicitada: google.com tem o endereço IP 72.14.209.99. , e então, o PC pode fazer contato com uma das máquinas servidoras de páginas da Google. É o que ela faz ao enviar o pacote 5. • Depurando pacotes com o Wireshark Vamos observar o pacote 5 recebido do site da google : Fig.4 - Os painéis de resultado O painel superior contém a lista dos pacotes capturados, onde o pacote 5 está destacado. Os outros dois painéis contém informações sobre este pacote. 5 de 6 No painel do centro aparecem quatro barras com um botão [+] no lado esquerdo. Clicando neste botão, as informações sob este título são mostradas. O protocolo TCP (Transmission Control Protocol - Protocolo de Controle de Transmissão) é acionado pelo aplicativo que, no nosso exemplo, é o browser. O browser fornece algumas informações para que o TCP possa montar seu pacote. Este primeiro pacote é passado para o protocolo IP (Internet Protocol) - responsável pelo roteamento, isto é, precisa definir a origem e o destino do pacote para que ele possa ser direcionado corretamente. O IP adiciona as informações que são da sua competência e encapsula o pacote recebido junto com o que ele produziu, tendo como resultado a PDU de camada 3, e na sequência o IP transfere este pacote para a placa Ethernet que, , faz um novo encapsulamento adicionando seu endereço MAC e o MAC do destino – a PDU de camada 2, mais conhecido como frame Ethernet. Observe no painel inferior o Transmission Control Protocol e, onde o pacote é mostrado na sua forma hexadecimal, o final do pacote em destaque: esta é a parte criada pelo TCP. Clique no título Internet Protocol e observe no painel inferior que o miolo do pacote é destacada. Finalmente, clique no título Ethernet II para ver o início do pacote destacado. Se clicarmos no título Frame, a PDU de camada 2 será destacada. Continuando com a depuração do pacote seguindo o roteiro comentado acima. A primeira conversa é entre o aplicativo e o TCP. O browser "explica" que a porta TCP de origem é a 3172 e que a porta TCP do destino deve ser a 80 (reservada para o HTTP). A porta de origem vai servir para direcionar a resposta e a porta do destino vai servir de informação para que o TCP da outra ponta saiba o que fazer. Se o botão [+] do título Transmission Control Protocol for clicado, vamos obter o seguinte: Fig.5 - O pedaço do pacote criado pelo TCP 6 de 6 Como este pacote vai ser enviado com um pedido de sincronização, a flag SYN precisa estar ligada. Clique na linha ".... ..1. = Syn: set" para identificar onde este bit se encontra dentro do pacote. Além das portas e do bit SYN, o resto pode esperar um pouco. Observando o pacote IP, clique numa outra flag a que não permite fragmentações. Fig.6 - O pedaço do pacote criado pelo IP Como foi dito anteriormente, o IP é o responsável pela rota que o pacote deve tomar, ou seja, precisa indicar endereços IP de origem e de destino. Se você clicar em Source e Destination, a porção do pacote que contém estas informações será destacada no painel inferior e você verá os endereços na sua forma hexadecimal. Como o protocolo TCP faz um “handshake” em três etapas, então também é aconselhável dar verificar este processo. É enviado um sinal SYN, aí se espera uma resposta SYN-ACK (a máquina contactada envia um "ACKnowledgment" - conhecimento). Para maiores informações e exemplos de probelams em redes como ARP poisoning e MAC flooding: http://www.guiadohardware.net/tutoriais/wireshark/
Compartilhar