Escolar Documentos
Profissional Documentos
Cultura Documentos
Ao longo dos anos, fomos apresentando no Pplware as vrias verses e respectivas novidades do sniffer mais popular para redes informticas, o Wireshark. O Wireshark uma ferramenta de analise protocolar, que permite a captao, em tempo real, de pacotes de dados, e apresenta essa informao num formato legvel para os utilizadores. O processo de captura de trfego realizado via placa de rede,, funcionando esta num modo especial que designado de modo promscuo (possibilidade de capturar todos os pacotes, independentemente do endereo de destino) Hoje vamos iniciar um novo ciclo de tutoriais com o objectivo de ensinar os utilizadores a usarem o sniffer Wireshark.
Caso no consigam identificar a placa que pretendem, podem carregar no primeiro boto do menu do wireshark e ver qual a placa que est a enviar e a receber pacotes (no meu caso a segunda placa da listaque corresponde placa de rede wireless).
Depois de seleccionarmos a placa de rede, comeamos de imediato a visualizar os pacotes que passam na rede.
Exerccio Para experimentarem de imediato o Wireshark deixamos aqui um pequeno exerccio. Para tal, vamos snifar todos os pedidos e respostas DNS, devendo colocar no campo filter dns. De seguida abrimos a linha de comandos e usando o comando nslookup, questionamos o nosso servidor de DNS quem www.pplware.com. Como podem ver na imagem seguinte, o Wireshark consegue capturar toda a informao trocada entre a nossa mquina e o servidor de DNS definido.
Esperamos que tenham gostado deste primeiro tutorial sobre o Wireshark. Alm de conseguirmos visualizar todo o trfego (cifrado e no cifrado), conseguimos tambm perceber como funcionam as nossas redes de dados. Por hoje resta-nos esperar pelo vosso feedback e sugestes para prximos tutoriais.
Ao longo dos anos, fomos apresentando no Pplware as vrias verses e respectivas novidades do sniffer mais popular para redes informticas, o Wireshark. O Wireshark uma ferramenta de analise protocolar, que permite a captao, em tempo real, de pacotes de dados, e apresenta essa informao num formato legvel para os utilizadores. O processo de captura de trfego realizado via placa de rede,, funcionando esta num modo especial que designado de modo promscuo (possibilidade de capturar todos os pacotes, independentemente do endereo de destino). Depois de termos apresentado aqui algumas funcionalidades bsicas do wireshark, hoje vamos explicar mais duas funcionalidades: Esquema de cores nas linhas e Follow TCP Stream.
Verde significa trfego TCP Azul escuro Trfego DNS Azul claro Trfego UDP
Preto Segmentos TCP com problema Caso o utilizador pretenda ver o esquema de cores completo do wireshark, basta aceder a View >Coloring Rules
Uma das funcionalidades interessantes do Wireshark o Follow TCP Stream. Esta funcionalidade permite visualizar streams TCP completas, isto , com esta opo o utilizador poder acompanhar toda uma comunicao desde o primeiro SYN at ao FIN-ACK.
Esperamos que tenham gostado deste segundo tutorial sobre o Wireshark. Por hoje resta-nos esperar pelo vosso feedback e sugestes para prximos tutoriais.
Como detectar trfego abusivo Ao longo dos anos, fomos apresentando no Pplware as vrias verses e respectivas novidades do sniffer mais popular para redes informticas, o Wireshark. O Wireshark uma ferramenta de analise protocolar, que permite a captao, em tempo real, de pacotes de dados, e apresenta essa informao num formato legvel para os utilizadores. O processo de captura de trfego realizado via placa de rede,, funcionando esta num modo especial que designado de modo promscuo (possibilidade de capturar todos os pacotes, independentemente do endereo de destino). Depois de termos apresentado aqui algumas funcionalidades bsicas do wireshark, Esquema de cores nas linhas e Follow TCP Stream aqui, hoje vamos aprender a detectar trfego abusivo.
Um dos maiores inimigos de qualquer administrador de sistemas o trfego abusivo que deriva de torrents, streaming de dados, downloads ilegais, etc. Apesar de existirem vrias ferramentas que permitem controlar o trfego abusivo, o Wireshark tambm poder dar uma ajuda. De referir que o wireshark s conhecer monitorizar trafego unicast, broadcast e multicast no caso de estarmos ligados via switch (ver mais aqui). Vamos ento a um exemplo para detectar a presena de downloads de torrents na rede. Para isso, vamos ao campo Filter e colocamos o nome do protocolo associado aos torrents: bittorrent
Alm da informao anterior, podemos ainda saber as estatsticas de utilizao de um dado protocolo. Para isso, vamos a Statistics > Protocolo Hierarchy
Como podemos ver pela imagem seguinte, o protocolo BitTorrent est com uma taxa de ocupao na ordem dos 0,90% (valor relativo ao perodo de captura).
Se pretendermos saber o endereo IP de todas as mquinas que esto a funcionar como peers, basta ir aStatistics > Endpoints e depois carregar no separador IPv4.
Esperamos que tenham gostado deste terceiro tutorial sobre o Wireshark. Por hoje resta-nos esperar pelo vosso feedback e sugestes para prximos tutoriais.
Introduo
Alm do Nessus (que vimos em tutoriais anteriores), outro aliado importante para qualquer administrador de redes preocupado com a segurana o Wireshark, o bom e velho Ethereal, que mudou de nome em Junho de 2006. Ele um poderoso sniffer, que permite capturar o trfego da rede, fornecendo uma ferramenta poderosa para detectar problemas e entender melhor o funcionamento de cada protocolo. Assim como o Nessus, ele pode ser usado tanto para proteger seu sistema quanto para roubar dados dos vizinhos, uma faca de dois gumes. Devido a isso, ele s vezes visto como uma "ferramenta hacker", quando na verdade o objetivo do programa dar a voc o controle sobre o que entra e sai da sua mquina e a possibilidade de detectar rapidamente qualquer tipo de trojan, spyware ou acesso no autorizado. Embora ele geralmente no venha instalado por padro, a maioria das distribuies disponibilizam o pacote "wireshark" (ou "ethereal", de acordo com o nvel de atualizao). Nas distribuies derivadas do Debian, voc pode usar o apt-get, como de praxe. Alm das verses Linux, esto disponveis tambm verses para Windows 2000, XP e Vista. Voc pode baix-las no http://www.wireshark.org/. No caso do Linux, possvel instalar tambm a partir do pacote com o cdigo fonte, disponvel na pgina de download (opo preferida por quem faz questo de ter acesso ultima verso do programa). O pacote instalado com os conhecidos "./configure", "make" e "make install". Como ele depende de um nmero relativamente grande de compiladores e de bibliotecas, muitas delas pouco comuns, voc quase sempre vai precisar instalar alguns componentes adicionais manualmente. Uma forma simples de instalar todos os componentes necessrios para a compilao (dica til no apenas no caso do Wireshark, mas para a instalao de programas a partir do cdigo fonte de uma forma geral) usar o "auto-apt", disponvel atravs do apt-get. Para us-lo, instale o pacote via apt-get e rode o comando "auto-apt update":
A partir da, voc pode rodar os comandos de compilao atravs dele, como em:
$ $ $ $ $ #
tar -zxvf wireshark-0.99.1pre1 cd wireshark-0.99.1pre1 auto-apt run ./configure auto-apt run make su <senha> make install
Durante a instalao, o auto-apt usa o apt-get para instalar os componentes necessrios, como neste screenshot:
Depois de instalado, abra o programa usando o comando "wireshark" (ou "ethereal", de acordo com a verso instalada). O Wireshark um daqueles programas com tantas funes que voc s consegue aprender realmente usando. Para comear, nada melhor do que capturar alguns pacotes. Clique em "Capture > Start":
Aqui esto as opes de captura. A primeira opo importante a "Capture packets in promiscuous mode", onde voc decide se quer capturar apenas os pacotes endereados sua prpria mquina, ou se quer tentar capturar tambm pacotes de outras mquinas da rede. Isso possvel pois os hubs burros apenas espelham as transmisses, enviando todos os pacotes para todas as estaes. O endereo MAC do destinatrio includo no incio de cada frame enviado atravs da rede. Normalmente, a placa escuta apenas os pacotes destinados a ela, ignorando os demais, mas, no promiscuous mode ela passa a receber todos os pacotes, independentemente de a qual endereo MAC ele se destine. Os switches e hub-switches so mais discretos, encaminhando o trfego apenas para o destinatrio correto, mas a maior parte dos modelos mais baratos so vulnerveis a ataques de MAC flooding e ARP poisoning, como veremos a seguir. Em seguida, voc tem a opo "Update list of packets in real time". Ativando esta opo, os pacotes vo aparecendo na tela conforme so capturados, em tempo real. Caso contrrio, voc precisa capturar um certo nmero de pacotes para s depois visualizar todo o bolo. Mais abaixo esto tambm algumas opes para interromper a captura depois de um certo tempo, ou depois de capturar uma certa quantidade de dados. O problema aqui que o Wireshark captura todos os dados transmitidos na rede, o que (em uma rede local) pode rapidamente consumir toda a memria RAM disponvel, at que voc interrompa a captura e salve o dump com os pacotes capturados em um arquivo. Dando o OK, ser aberta a tela de captura de pacotes, onde voc poder acompanhar o nmero de pacotes capturados:
Na tela principal, temos a lista dos pacotes, com vrias informaes, como o remetente e o destinatrio de cada pacote, o protocolo utilizado (TCP, FTP, HHTP, AIM, NetBIOS, etc.) e uma coluna com mais informaes, que incluem a porta TCP qual o pacote foi destinado. Os pacotes que aparecem com um micro da rede local como emissor e um domnio ou IP da Internet como destinatrio incluem requisies, upload de arquivos, e-mails enviados, mensagens de ICQ e MSN e, em muitos casos, tambm senhas de acesso. Os pacotes provenientes de micros da Internet so respostas estas requisies, incluindo pginas web, e-mails lidos, arquivos baixados e, assim por diante. Atravs do sniffer, possvel capturar todo tipo de informao que trafegue de forma no encriptada pela rede.
Clicando sobre um dos pacotes e, em seguida, no "Follow TCP Stream", o Ethereal mostrar uma janela com toda a converso, exibida em modo texto.
A maior parte do que voc vai ver sero dados binrios, incluindo imagens de pginas web e arquivos diversos. Mesmo o html das pginas chega muitas vezes de forma compactada (para economizar banda), novamente em um formato ilegvel. Mas, garimpando, voc vai encontrar muitas coisas interessantes, como, por exemplo, mensagens (MSN e ICQ) e e-mails, que, por padro, so transmitidos em texto puro. Usando a opo "Follow TCP Stream", possvel rastrear toda a conversa:
ARP poisoning Alm de permitir escutar o trfego, o ARP poisoning pode ser usado para alterar os dados transmitidos e tambm para impersonar outros hosts, de forma a obter senhas de acesso e outros dados.
Imagine, por exemplo, que a estao A (cujos pacotes esto sendo capturados e retransmitidos pela estao B) deseja acessar o servidor A. Em vez de encaminhar a transmisso, como faria normalmente, a estao B responde como se fosse o servidor, pedindo o login e senha de acesso. O usurio na estao A, sem desconfiar do ataque, faz login e recebe de volta uma mensagem de "servidor em manuteno, espere 30 minutos e tente novamente" ou algo similar. De posse da senha, o atacante pode ento se logar no servidor verdadeiro, usando a senha roubada. Muitos protocolos prevem este tipo de ataque e incluem protees contra ele. No SSH, por exemplo, o cliente verifica a identidade do servidor a cada conexo e aborta a conexo (exibindo uma mensagem de erro bastante chamativa) antes de pedir login e senha caso a identificao seja alterada. possvel detectar ataques de ARP poisoning usando o arpwatch (tambm disponvel via aptget). Ele monitora os endereos ARP usados pelas estaes e gera um log com as mudanas (com a opo de enviar relatrios por e-mail), permitindo que voc detecte anomalias. Em outras situaes, pode ser que voc mesmo, como administrador da rede, precise policiar o que os usurios esto fazendo durante o expediente na conexo da empresa. Nesse caso, sugiro que voc mantenha o servidor SSH ativo nas estaes de trabalho Linux e um servidor VNC (ou o recurso de administrao remota) nas mquinas Windows. Assim, voc pode se logar em cada uma das mquinas, sempre que necessrio e rodar o Wireshark para acompanhar o trfego de dados de cada uma, sem que o usurio tome conhecimento. Outra possibilidade seria rodar o Wireshark na mquina que compartilha a conexo, assim voc poder observar os pacotes vindos de todas as mquinas da rede. Alguns modelos de switches gerenciveis podem ser programados para direcionar todo o trfego da rede para uma determinada porta, onde voc poderia plugar um notebook para ter acesso a todo o trfego. No caso das redes wireless, a situao um pouco mais complicada, pois o meio de transmisso sempre compartilhado. Os pacotes trafegam pelo ar, por isso no possvel impedir que sejam capturados. Apesar disso, voc pode dificultar bastante as coisas ativando o uso do WPA (se possvel j utilizando o WPA2) e reduzindo a potncia do transmissor do ponto de acesso, de forma a cobrir apenas a rea necessria. Lembre-se de que apenas informaes no encriptadas podem ser capturadas. Utilizando protocolos seguros, como o SSH, as informaes capturadas no tero utilidade alguma, pois estaro encriptadas. Monitorando sua conexo durante algum tempo, voc vai logo perceber vrios tipos de abusos, como sites que enviam requisies para vrias portas da sua mquina ao serem acessados, banners de propaganda que enviam informaes sobre seus hbitos de navegao para seus sites de origem, gente escaneando suas portas usando o Nessus ou outros aplicativos similares, spywares que ficam continuamente baixando banners de propaganda ou enviando informaes e assim por diante. Essas informaes so teis no apenas para decidir quais sites e servios evitar, mas tambm para ajudar na configurao do seu firewall. Pode ser que no incio voc no entenda muito bem os dados fornecidos pelo Wireshark, mas, depois de alguns dias observando, voc vai comear a entender muito melhor como as conexes TCP funcionam.