captura e anc3a1lise de trc3a1fego com wireshark

Prévia do material em texto

Análise e Captura de 
Tráfego com Wireshark
Roteiro
• Introdução
• Histórico
• Motivação
• Objetivos
• Funcionamento
• Funcionalidades
• Exemplos de uso
• Conclusão
• Referências
Introdução
• Wireshark, popularmente conhecido como
tubarão dos fios, tem a função do 
monitorar os pacotes que trafegam na
rede.
• Desenvolvido inicialmente pela Ethereal.
• É uma ferramenta Free.
• Utiliza PCAP para capturar pacotes.
Introdução
 Os dados podem ser capturados da 
Ethernet, FDDI, PPP, Token-Ring, IEEE 
802.11, IP clássico sobre ATM e interface 
loopback
 Os arquivos capturados podem ser
editados e convertidos via linha de 
comando.
Introdução
 Com o conjunto de dados necessários
para sua análise, você também poderá, é 
claro, salvar ou exportar a sessão para 
análise posterior. 
 A saída pode ser salva ou impressa em
texto plano ou PostScript.
 A exibição dos dados podem ser refinada
usando um filtro
Histórico
 Os usuários de Linux costumavam
observar suas redes com o popular e livre 
Ethereal.
 Em 2006 o autor original mudou de 
empresa e surgiu o Wireshark
Histórico
• O Wireshark está disponível para todos os
sistemas operacionais com base no Unix, 
assim como para o Windows®.
• Normalmente usa uma interface gráfica, 
mas também há uma opção em modo
texto, chamada tethereal
Motivação
• Este analisador de protocolos de rede é 
uma excelente ferramenta para 
inspecionar redes, desenvolver
protocolos e, de quebra, pode ser usada
para fins educacionais. 
• Foi escrita por profissionais do ramo e é 
um exemplo do poder do software de 
código aberto.
Objetivos
• O objetivo deste tipo de software, também
conhecido como sniffer, é detectar
problemas de rede, conexões suspeitas, 
auxiliar no desenvolvimento de aplicativos
e qualquer outra atividade relacionada a 
rede.
• Todo o tráfego de entrada e saída é 
analisado e mostrado.
Objetivos
Análise de Tráfego
Verificar problemas na rede
Depurar protocolos 
Análise de desempenho
Aprendizagem sobre protocolos e o 
funcionamento das aplicações em rede
Funcionamento
• O Wireshark funciona capturando todo o
tráfego de rede em uma ou mais interfaces
de rede.
• Com o Wireshark, você pode capturar
facilmente a passagem de tráfego na
interface de rede e examinar os detalhes
de cada pacote em uma interface gráfica e
fácil de usar.
Funcionalidades
• O Wireshark pode decodificar vários
protocolos diferentes e deverá abranger a 
maioria das suas necessidades de 
resolução de problemas.
• 750 protocolos podem ser dissecados.
Funcionalidades
• A interface também permite que você
sinalize facilmente pacotes para revisão e 
defina uma transmissão específica como a 
sua referência de horário na captura. 
Usando o Wireshark
Processo de instalação no Windows:
 Fazer o download de:
http://www.wireshark.org/download.html
O processo de instalação insere a biblioteca 
Winpcap no sistema operacional MS Windows;
Procedimento “NEXT” de instalação
Processo de instalação no Linux: 
Nas distribuições Linux, verificar os pacotes 
com o nome “wireshark”
Exemplo: 
apt-get install wireshark
yum install wireshark 
Usando o Wireshark
Tela inicial do Wireshark
Usando o Wireshark
Executando a ferramenta e escolhendo a interface de rede:
Usando o Wireshark
Lista de interfaces de rede:
Usando o Wireshark
Escolhendo a interface de rede:
Capturando pacotes:
Usando o Wireshark
• De uma forma geral, as linhas:
Verde – significa tráfego TCP
Azul escuro – Tráfego DNS
Azul claro – Tráfego UDP
Preto – Segmentos TCP com problema
• Caso o utilizador pretenda ver o esquema de
cores completo do wireshark, basta ir
em View —> Coloring Rules
Esquema de cores nas linhas
Usando o Wireshark
• A interface gráfica do usuário exibe os
pacotes capturados em um quadro
codificado por cores, que apresenta
detalhes sobre a hora, a origem, o destino, 
o protocolo e uma descrição
predeterminada do evento em horário
próximo ao real.
Esquema de cores nas linhas
Usando o Wireshark
Usando o Wireshark
Lista de leituras de pacotes
Usando o Wireshark
Conteúdo de um pacote TCP
Conteúdo de um pacote TCP
Usando o Wireshark
 Um recurso especialmente útil do 
programa é a capacidade de rastrear
streams TCP completas com a opção
Follow TCP stream. Todos os pacotes que 
componham uma sessão são exibidos. 
 O recurso de stream-tracing permite que 
se siga sessões completas, como
conversas por Instant Messengers ou
sessões de navegação na Web.
Analisando sessões:
Usando o Wireshark
Usando o Wireshark
Analisando sessões:
Usando o Wireshark
Analisando sessões:
• Um dos recursos mais poderosos do 
Wireshark é a possibilidade de se criar
filtros para limitar o número de pacotes
visíveis.
Filtros de pacotes:
Usando o Wireshark
Usando o Wireshark
Filtros de pacotes:
Usando o Wireshark
Filtros de pacotes:
Exemplos de filtros do 
Wireshark:
 tcp.port==80
 ip.addr==192.168.200.15
 broadcast
 eth.addr==00:0C:BA:5D:67:09
Exemplos de filtros de captura do 
Wireshark (padrão tcpdump):
 tcp port 80
 host 192.168.200.15
 broadcast
 ether host 00:0C:BA:5D:67:09
Usando o Wireshark
Exemplos de filtros (display filters):
Todos os quadros Ethernet que contenham o 
endereço físico 00:22:64:7e:1a:3a:
eth.addr==00:22:64:7e:1a:3a 
Todos os quadros Ethernet que contenham o 
endereço físico 00:22:64:7e:1a:3a como origem: 
eth.src==00:22:64:9e:0a:3a
Todos os quadros Ethernet que contenham o 
endereço físico ff:ff:ff:ff:ff:ff como destino: 
eth.dst==ff:ff:ff:ff:ff:ff
Todos os quadros Ethernet que utilizem o 
protocolo ARP (tipo no campo Type 806): 
eth.type==0x806
Usando o Wireshark
Exemplos de filtros (display filters):
Pacotes com o endereço IP 192.168.200.3:
ip.addr==192.168.200.3
Pacotes com endereço IP de origem 192.168.200.3: 
ip.src==192.168.200.3
Pacotes com endereço IP de destino 192.168.200.3:
ip.dst==192.168.200.3
Pacotes IP com campo TTL igual a 63:
ip.ttl==63
Pacotes UDP com porta 4500:
udp.port==4500
Pacotes UDP com porta de destino 53:
udp.dstport==53
Pacotes UDP com porta de origem 789:
udp.srcport==789
Pacotes UDP maiores do que 100 Bytes:
udp.length >= 100
Usando o Wireshark
Exemplos de filtros (display filters):
Pacotes TCP com a porta 80:
tcp.port==80
Pacotes TCP com a porta de destino 23:
tcp.dstport==23
Pacotes TCP com a porta de origem 1098;
tcp.srcport==1098
Pacotes TCP maiores ou iguais a 100 Bytes:
tcp.len >= 100
Pacotes TCP com a flag SYN ativada:
tcp.flags.syn==1
Pacotes TCP com a flag SYN ativada e a flag 
ACK desativada:
tcp.flags.syn==1 and tcp.flags.ack==0
Usando o Wireshark
Exemplos de filtros (display filters):
Operadores
Igual: eq ou ==
Não igual: ne ou !=
Maior que: gt or >
Menor que: lt or <
Maior ou igual: ge ou >=
Menor ou igual: le ou <=
E lógico: and ou && 
Ou lógico: or ou || 
Ou exclusivo: xor or ^^
Não lógico (negação): not ou !
Mais exemplos de uso: 
http://packetlife.net/media/library/13/Wireshark_Di
splay_Filters.pdf
Usando o Wireshark
Estatísticas do tráfego de rede capturado
Usando o Wireshark
Estatísticas do tráfego de rede capturado
Conclusão
• O Wireshark é um software que 
pode auxiliar imensamente a 
resolução de problemas de 
rede com relativamente pouco
esforço.
• Além disso, ele também é uma
excelente ferramenta para 
aprendercomo funcionam os
diversos protocolos de rede.
Conclusão
• Porém, a interpretação dos 
resultados obtidos pelo 
Wireshark não é trivial e 
demanda conhecimento e 
prática.
Referências
Livros
PETERSON, L; DAVIE, B. Redes de 
Computadores – Uma Abordagem de 
Sistemas. 3ª Ed. Campus, 2004.
KUROSE, J; ROSS, K. Redes de 
Computadores e a Internet – Uma 
Abordagem top-down. 3ª Ed. Pearson, 
2006.
TANENBAUM, A. Redes de 
Computadores. 4ª Ed. Campus, 2003.
CISCO, Curso Oficial CCNA – Módulo 1
SANDERS, Chris. Practical Packet 
Analysis Using Wireshark to Solve 
Real-World Network Problems. 2nd ed. 
No Starch Press, 2013.
Referências
Sites
Site do Wireshark: 
http://www.wireshark.org
Wireshark User’s Guide:
http://www.wireshark.org/docs/wsug_ht
ml_chunked/
Wireshark Wiki: 
http://wiki.wireshark.org/
Referências
Sites
Laura´s Lab Kit v9 – disponível em 
ftp://192.168.200.3/isos/LLK9.iso
MulticastStorm: 
http://multicaststorm.blogspot.com/
Oficina Wireshark: 
www.numaboa.com/informatica/oficina/
163-rede/720-wireshark?showall=1
Tutorial: 
http://lnm.com.br/images/uploads/mags/l
m/articles/LM32_wireshark.pdf