Escolar Documentos
Profissional Documentos
Cultura Documentos
Blog de Usuários
+ Criar Blog
Coluna de Segurança
O Wireshark é uma ferramenta muito poderosa que vai muito além de um simples sniffer.
O que muitos não sabem é que existem várias formas de se aproveitar o potencial desta
ferramenta, mas neste primeiro artigo iremos iniciar do básico. Vamos aprender a sniffar a
rede de forma efetiva, criar filtros para buscar apenas a informação que queremos,
veremos como um black hat utilizaria esta ferramenta para roubar senhas e para finalizar,
como utilizar o Wireshark para diagnosticar problemas de rede ou se um firewall está
bloqueando os pacotes corretamente.
Ir para Perfil
Antes de iniciarmos com a prática, é necessário entender o conceito de sniffing. Sniffing, a Marcar como Lido
um grosso modo, seria você ficar com os ouvidos atentos para ouvir qualquer coisa que Data de Ingresso: Sep 2002
seja dita ao seu alcance. Idade: 35
Posts: 6.022
Atualmente, quase todos os ambientes utilizam switchs e não mais hubs, o que torna o Posts de Blog: 10
sniffing um POUCO mais difícil, pois os switchs não enviam os dados para todas as portas
como um hub faz, ele envia diretamente para a porta onde se encontra o host de destino;
então, se você tentar sniffar uma rede com switch você irá apenas ouvir o que for Posts Recentes nos Blogs
broadcast, ou sua própria conexão. Para conseguir ouvir tudo sem ser o gateway da rede, Protegendo o Apache contra ataques DoS e
é necessário um ataque de arp spoof, ou estourar a tabela CAM do switch. Mas isto será Slowloris
tema para um próximo artigo, sendo necessário entender este conceito. 05-12-2013 14:36
Comentários Recentes
Wireshark - Parte 1 - Análise de Tráfego e
Captura de Senhas
por samuelmonteiro1995
Antes de poder iniciar a captura dos pacotes, temos que definir em qual interface iremos Visitantes Recentes
“escutar” o tráfego. Clique em Capture->Interfaces albinogenivaldo, daniellannes, hermesamaral,
juliopedrox, MarcusMaciel, Pedro H, Vinicius_PG,
vitorszymanski, whommerding, zagarol
Arquivo
25 26 27 28 29 30 1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
https://under-linux.org/entry.php?b=2969 1/6
19/07/2017 Wireshark - Parte 1 - Análise de Tráfego e Captura de Senhas
30 31 1 2 3 4 5
A partir daí, irá aparecer uma nova janela com a lista de interfaces detectadas
automaticamente, bastando selecionar a interface desejada, clicando na caixa ao lado do
nome da interface, como na imagem abaixo:
Se você clicar em Start, ele iniciará a captura automaticamente. Você poderá apenas
selecionar a interface e somente depois iniciar a captura caso seja necessário.
Quando o processo de captura iniciar, você verá vários pacotes passando pela tela do
Wireshark (variando de acordo com o tráfego de sua máquina/rede). Será algo parecido
com isto:
Para parar a captura, basta clicar no botão “Stop the running live capture”, (é o quarto
da esquerda para a direita).
https://under-linux.org/entry.php?b=2969 2/6
19/07/2017 Wireshark - Parte 1 - Análise de Tráfego e Captura de Senhas
Tome cuidado se sua rede for muito movimentada, o fluxo de dados pode até travar sua
máquina, então não é aconselhável deixar o Wireshark capturando por muito tempo; como
veremos a seguir, vamos deixar ele rodando apenas durante o processo de debug de uma
conexão. Quanto maior a quantidade de pacotes, maior será o tempo para aplicar um
filtro, encontrar um pacote, etc.
Com isto temos o básico do programa, podemos definir a interface de captura, iniciar a
captura e parar. O próximo passo é conseguir identificar o que interessa em meio a tantos
pacotes. Para isto, vamos começar a utilizar filtros.
Utilizando Filtros
Existe uma infinidade de filtros possíveis, mas neste primeiro momento veremos apenas
como filtrar por endereço IP, porta e protocolo.
https://under-linux.org/entry.php?b=2969 3/6
19/07/2017 Wireshark - Parte 1 - Análise de Tráfego e Captura de Senhas
Código :
ip.src == 10.10.10.1 && tcp.dstport==80 OU ip.src == 10.10.10.1 and tcp.dstport==80
Capturando senhas
Agora veremos como é possível capturar senhas facilmente, apenas escutando o tráfego.
Para este exemplo vamos utilizar o protocolo pop3, que envia os dados em texto puro pela
rede. Para isso, inicie a captura de pacotes normalmente e inicie uma sessão pop3 com
seu servidor de e-mail. Caso você utilize um protocolo mais seguro como imaps ou pop3s e
queria apenas ver o funcionamento do mecanismo, é possível fazer a conexão pop3 via
telnet sem ter que adicionar/modificar sua conta, bastando executar o seguinte:
Código :
telnet servidordemail.com.br 110
user usuario@dominio.com.br
pass suasenha
Agora pare a captura, e no filtro coloque “pop” e clique em “Apply”. Feito isso, você verá
apenas os pacotes da conexão pop3. Agora clique em qualquer uma delas com o botão
direito e clique em “Follow TCP Stream”.
Com isso ele irá abrir uma nova janela com todo conteúdo ASCII da conexão. Como o
protocolo pop3 envia tudo em texto puro, é possível ver todos os comandos executados,
inclusive a senha.
Isto pode ser transportado para qualquer conexão em texto puro, como ftp, telnet, http,
etc. Basta que você altere o filtro e examine o conteúdo da conexão.
Normalmente em servidores, não existe ambiente gráfico instalado e com isso você não
consegue utilizar o Wireshark diretamente. Caso você queria analisar o tráfego deste
servidor e não seja possível instalar o Wireshark, ou ainda se você não tiver como capturar
este tráfego de outro lugar, o melhor que se pode fazer é gravar o tráfego localmente com
o tcpdump e em seguida, copiar este dump para uma máquina com o Wireshark para que
seja feita uma análise mais detalhada.
Vamos capturar tudo que vier ou for para o host 10.10.10.1 com a porta de destino 80 e
https://under-linux.org/entry.php?b=2969 4/6
19/07/2017 Wireshark - Parte 1 - Análise de Tráfego e Captura de Senhas
salvar o conteúdo no arquivo captura.pcap da pasta local onde o comando foi executado.
Execute no servidor:
Código :
tcpdump -i eth0 host 10.10.10.1 and dst port 80 -w captura.pcap
Assim que terminar de capturar, basta utilizar o CTRL+C, copiar o arquivo para a máquina
do Wireshark e importar a captura clicando em File->Import. Depois de importado, você
pode utilizar o programa normalmente como se a capture tivesse ocorrido localmente.
Analisando Conexões
Exemplo 1:
Nas três primeiras linhas é possível ver o three way handshake (veja o artigo Nmap Parte
1 - Entendendo os tipos de Scanning para saber mais) sendo completado normalmente;
depois o pacote com a flag FIN e em seguida, o ACK reconhecendo o fim da conexão.
Observação: Os pacotes depois do handshake e antes do FIN foram removidos para não
poluir a tela.
Exemplo 2:
Neste caso houve a tentativa de conexão na porta 3000 que não estava aberta, e a
resposta da máquina foi RST.
Exemplo 3:
Neste caso, o host estava com a porta bloqueada via firewall; devido ao comportamento
padrão do iptables descartar o pacote silenciosamente, não vemos nenhum pacote de
retorno.
Estes exemplos poderiam ser diagnosticados com o próprio tcpdump para quem já
conhece a ferramenta, mas o intuito era ilustrar e exemplificar o uso do Wireshark. Sendo
assim, nos próximos artigos iremos aprofundar a utilização desta poderosa ferramenta.
Conclusão
Como foi visto o Wireshark é uma ferramenta poderosa, com muitas utilidades, que podem
ser utilizadas tanto para o bem quanto para o mal. Para se proteger dos “caras maus” é
necessário entender o que eles fazem, parte disto é conhecer a ferramenta tão bem
quanto eles.
« Checklist de Segurança para Aplicações PHP Principal Nmap - Parte 2 - Evasão de Firewall /
IDS »
https://under-linux.org/entry.php?b=2969 5/6
19/07/2017 Wireshark - Parte 1 - Análise de Tráfego e Captura de Senhas
Comentários
Página 1 de 4 1 2 3 4 Último
Bom amigo fiz um teste aqui coloquei pra rodar no meu pc que está
na mesma rede que uma RB, coloquei 2 filtros, primeiro filtro mandei
analisar apenas o ip do gateway (RB), segundo filtro apenas a porta
8291. Assim simples assim já apareceu os pacotes trocados pela RB
na porta 8291 quando fiz o login nela pelo winbox... Com esse pacote
já é o bastante pra alguém mal intencionado pegar minha senha do
mikrotik e "rebentar" minha RB. Isso é simples assim? Ou tem mais
coisas que não entendi.
Se ele estiver na mesma rede que você, e não houver qualquer tipo
de proteção é sim
Página 1 de 4 1 2 3 4 Último
+ Enviar Comentário
https://under-linux.org/entry.php?b=2969 6/6