Baixe o app para aproveitar ainda mais
Prévia do material em texto
Análise e Captura de Tráfego com Wireshark Roteiro • Introdução • Histórico • Motivação • Objetivos • Funcionamento • Funcionalidades • Exemplos de uso • Conclusão • Referências Introdução • Wireshark, popularmente conhecido como tubarão dos fios, tem a função do monitorar os pacotes que trafegam na rede. • Desenvolvido inicialmente pela Ethereal. • É uma ferramenta Free. • Utiliza PCAP para capturar pacotes. Introdução Os dados podem ser capturados da Ethernet, FDDI, PPP, Token-Ring, IEEE 802.11, IP clássico sobre ATM e interface loopback Os arquivos capturados podem ser editados e convertidos via linha de comando. Introdução Com o conjunto de dados necessários para sua análise, você também poderá, é claro, salvar ou exportar a sessão para análise posterior. A saída pode ser salva ou impressa em texto plano ou PostScript. A exibição dos dados podem ser refinada usando um filtro Histórico Os usuários de Linux costumavam observar suas redes com o popular e livre Ethereal. Em 2006 o autor original mudou de empresa e surgiu o Wireshark Histórico • O Wireshark está disponível para todos os sistemas operacionais com base no Unix, assim como para o Windows®. • Normalmente usa uma interface gráfica, mas também há uma opção em modo texto, chamada tethereal Motivação • Este analisador de protocolos de rede é uma excelente ferramenta para inspecionar redes, desenvolver protocolos e, de quebra, pode ser usada para fins educacionais. • Foi escrita por profissionais do ramo e é um exemplo do poder do software de código aberto. Objetivos • O objetivo deste tipo de software, também conhecido como sniffer, é detectar problemas de rede, conexões suspeitas, auxiliar no desenvolvimento de aplicativos e qualquer outra atividade relacionada a rede. • Todo o tráfego de entrada e saída é analisado e mostrado. Objetivos Análise de Tráfego Verificar problemas na rede Depurar protocolos Análise de desempenho Aprendizagem sobre protocolos e o funcionamento das aplicações em rede Funcionamento • O Wireshark funciona capturando todo o tráfego de rede em uma ou mais interfaces de rede. • Com o Wireshark, você pode capturar facilmente a passagem de tráfego na interface de rede e examinar os detalhes de cada pacote em uma interface gráfica e fácil de usar. Funcionalidades • O Wireshark pode decodificar vários protocolos diferentes e deverá abranger a maioria das suas necessidades de resolução de problemas. • 750 protocolos podem ser dissecados. Funcionalidades • A interface também permite que você sinalize facilmente pacotes para revisão e defina uma transmissão específica como a sua referência de horário na captura. Usando o Wireshark Processo de instalação no Windows: Fazer o download de: http://www.wireshark.org/download.html O processo de instalação insere a biblioteca Winpcap no sistema operacional MS Windows; Procedimento “NEXT” de instalação Processo de instalação no Linux: Nas distribuições Linux, verificar os pacotes com o nome “wireshark” Exemplo: apt-get install wireshark yum install wireshark Usando o Wireshark Tela inicial do Wireshark Usando o Wireshark Executando a ferramenta e escolhendo a interface de rede: Usando o Wireshark Lista de interfaces de rede: Usando o Wireshark Escolhendo a interface de rede: Capturando pacotes: Usando o Wireshark • De uma forma geral, as linhas: Verde – significa tráfego TCP Azul escuro – Tráfego DNS Azul claro – Tráfego UDP Preto – Segmentos TCP com problema • Caso o utilizador pretenda ver o esquema de cores completo do wireshark, basta ir em View —> Coloring Rules Esquema de cores nas linhas Usando o Wireshark • A interface gráfica do usuário exibe os pacotes capturados em um quadro codificado por cores, que apresenta detalhes sobre a hora, a origem, o destino, o protocolo e uma descrição predeterminada do evento em horário próximo ao real. Esquema de cores nas linhas Usando o Wireshark Usando o Wireshark Lista de leituras de pacotes Usando o Wireshark Conteúdo de um pacote TCP Conteúdo de um pacote TCP Usando o Wireshark Um recurso especialmente útil do programa é a capacidade de rastrear streams TCP completas com a opção Follow TCP stream. Todos os pacotes que componham uma sessão são exibidos. O recurso de stream-tracing permite que se siga sessões completas, como conversas por Instant Messengers ou sessões de navegação na Web. Analisando sessões: Usando o Wireshark Usando o Wireshark Analisando sessões: Usando o Wireshark Analisando sessões: • Um dos recursos mais poderosos do Wireshark é a possibilidade de se criar filtros para limitar o número de pacotes visíveis. Filtros de pacotes: Usando o Wireshark Usando o Wireshark Filtros de pacotes: Usando o Wireshark Filtros de pacotes: Exemplos de filtros do Wireshark: tcp.port==80 ip.addr==192.168.200.15 broadcast eth.addr==00:0C:BA:5D:67:09 Exemplos de filtros de captura do Wireshark (padrão tcpdump): tcp port 80 host 192.168.200.15 broadcast ether host 00:0C:BA:5D:67:09 Usando o Wireshark Exemplos de filtros (display filters): Todos os quadros Ethernet que contenham o endereço físico 00:22:64:7e:1a:3a: eth.addr==00:22:64:7e:1a:3a Todos os quadros Ethernet que contenham o endereço físico 00:22:64:7e:1a:3a como origem: eth.src==00:22:64:9e:0a:3a Todos os quadros Ethernet que contenham o endereço físico ff:ff:ff:ff:ff:ff como destino: eth.dst==ff:ff:ff:ff:ff:ff Todos os quadros Ethernet que utilizem o protocolo ARP (tipo no campo Type 806): eth.type==0x806 Usando o Wireshark Exemplos de filtros (display filters): Pacotes com o endereço IP 192.168.200.3: ip.addr==192.168.200.3 Pacotes com endereço IP de origem 192.168.200.3: ip.src==192.168.200.3 Pacotes com endereço IP de destino 192.168.200.3: ip.dst==192.168.200.3 Pacotes IP com campo TTL igual a 63: ip.ttl==63 Pacotes UDP com porta 4500: udp.port==4500 Pacotes UDP com porta de destino 53: udp.dstport==53 Pacotes UDP com porta de origem 789: udp.srcport==789 Pacotes UDP maiores do que 100 Bytes: udp.length >= 100 Usando o Wireshark Exemplos de filtros (display filters): Pacotes TCP com a porta 80: tcp.port==80 Pacotes TCP com a porta de destino 23: tcp.dstport==23 Pacotes TCP com a porta de origem 1098; tcp.srcport==1098 Pacotes TCP maiores ou iguais a 100 Bytes: tcp.len >= 100 Pacotes TCP com a flag SYN ativada: tcp.flags.syn==1 Pacotes TCP com a flag SYN ativada e a flag ACK desativada: tcp.flags.syn==1 and tcp.flags.ack==0 Usando o Wireshark Exemplos de filtros (display filters): Operadores Igual: eq ou == Não igual: ne ou != Maior que: gt or > Menor que: lt or < Maior ou igual: ge ou >= Menor ou igual: le ou <= E lógico: and ou && Ou lógico: or ou || Ou exclusivo: xor or ^^ Não lógico (negação): not ou ! Mais exemplos de uso: http://packetlife.net/media/library/13/Wireshark_Di splay_Filters.pdf Usando o Wireshark Estatísticas do tráfego de rede capturado Usando o Wireshark Estatísticas do tráfego de rede capturado Conclusão • O Wireshark é um software que pode auxiliar imensamente a resolução de problemas de rede com relativamente pouco esforço. • Além disso, ele também é uma excelente ferramenta para aprendercomo funcionam os diversos protocolos de rede. Conclusão • Porém, a interpretação dos resultados obtidos pelo Wireshark não é trivial e demanda conhecimento e prática. Referências Livros PETERSON, L; DAVIE, B. Redes de Computadores – Uma Abordagem de Sistemas. 3ª Ed. Campus, 2004. KUROSE, J; ROSS, K. Redes de Computadores e a Internet – Uma Abordagem top-down. 3ª Ed. Pearson, 2006. TANENBAUM, A. Redes de Computadores. 4ª Ed. Campus, 2003. CISCO, Curso Oficial CCNA – Módulo 1 SANDERS, Chris. Practical Packet Analysis Using Wireshark to Solve Real-World Network Problems. 2nd ed. No Starch Press, 2013. Referências Sites Site do Wireshark: http://www.wireshark.org Wireshark User’s Guide: http://www.wireshark.org/docs/wsug_ht ml_chunked/ Wireshark Wiki: http://wiki.wireshark.org/ Referências Sites Laura´s Lab Kit v9 – disponível em ftp://192.168.200.3/isos/LLK9.iso MulticastStorm: http://multicaststorm.blogspot.com/ Oficina Wireshark: www.numaboa.com/informatica/oficina/ 163-rede/720-wireshark?showall=1 Tutorial: http://lnm.com.br/images/uploads/mags/l m/articles/LM32_wireshark.pdf
Compartilhar