Scribd Logo
Fazer o upload

Bem-vindo(a) ao Scribd!

  • Captura Analise Wire Shark

    Enviado por

    André Sousa
    100 visualizações41 páginas
    Tecnologia da informação

    Direitos autorais

    © © All Rights Reserved

    Formatos disponíveis

    PDF, TXT ou leia online no Scribd

    Você considera este documento útil?

    Este conteúdo é inapropriado?

    Denunciar este documento
    Tecnologia da informação

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    100 visualizações41 páginas

    Captura Analise Wire Shark

    Enviado por

    André Sousa
    Tecnologia da informação

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    de 41

    Análise e Captura de

    Tráfego com Wireshark


    Roteiro
    • Introdução
    • Histórico
    • Motivação
    • Objetivos
    • Funcionamento
    • Funcionalidades
    • Exemplos de uso
    • Conclusão
    • Referências
    Introdução
    • Wireshark, popularmente conhecido como
    tubarão dos fios, tem a função do
    monitorar os pacotes que trafegam na
    rede.
    • Desenvolvido inicialmente pela Ethereal.
    • É uma ferramenta Free.
    • Utiliza PCAP para capturar pacotes.
    Introdução
     Os dados podem ser capturados da
    Ethernet, FDDI, PPP, Token-Ring, IEEE
    802.11, IP clássico sobre ATM e interface
    loopback
     Os arquivos capturados podem ser
    editados e convertidos via linha de
    comando.
    Introdução
     Com o conjunto de dados necessários
    para sua análise, você também poderá, é
    claro, salvar ou exportar a sessão para
    análise posterior.
     A saída pode ser salva ou impressa em
    texto plano ou PostScript.
     A exibição dos dados podem ser refinada
    usando um filtro
    Histórico
     Os usuários de Linux costumavam
    observar suas redes com o popular e livre
    Ethereal.
     Em 2006 o autor original mudou de
    empresa e surgiu o Wireshark
    Histórico
    • O Wireshark está disponível para todos os
    sistemas operacionais com base no Unix,
    assim como para o Windows®.

    • Normalmente usa uma interface gráfica,


    mas também há uma opção em modo
    texto, chamada tethereal
    Motivação
    • Este analisador de protocolos de rede é
    uma excelente ferramenta para
    inspecionar redes, desenvolver
    protocolos e, de quebra, pode ser usada
    para fins educacionais.
    • Foi escrita por profissionais do ramo e é
    um exemplo do poder do software de
    código aberto.
    Objetivos
    • O objetivo deste tipo de software, também
    conhecido como sniffer, é detectar
    problemas de rede, conexões suspeitas,
    auxiliar no desenvolvimento de aplicativos
    e qualquer outra atividade relacionada a
    rede.
    • Todo o tráfego de entrada e saída é
    analisado e mostrado.
    Objetivos
    Análise de Tráfego
    Verificar problemas na rede
    Depurar protocolos
    Análise de desempenho
    Aprendizagem sobre protocolos e o
    funcionamento das aplicações em rede
    Funcionamento
    • O Wireshark funciona capturando todo o
    tráfego de rede em uma ou mais interfaces
    de rede.
    • Com o Wireshark, você pode capturar
    facilmente a passagem de tráfego na
    interface de rede e examinar os detalhes
    de cada pacote em uma interface gráfica e
    fácil de usar.
    Funcionalidades
    • O Wireshark pode decodificar vários
    protocolos diferentes e deverá abranger a
    maioria das suas necessidades de
    resolução de problemas.
    • 750 protocolos podem ser dissecados.
    Funcionalidades
    • A interface também permite que você
    sinalize facilmente pacotes para revisão e
    defina uma transmissão específica como a
    sua referência de horário na captura.
    Usando o Wireshark
    Processo de instalação no Windows:
     Fazer o download de:
    http://www.wireshark.org/download.html
    O processo de instalação insere a biblioteca
    Winpcap no sistema operacional MS Windows;
    Procedimento “NEXT” de instalação
    Processo de instalação no Linux:
    Nas distribuições Linux, verificar os pacotes
    com o nome “wireshark”
    Exemplo:
    apt-get install wireshark
    yum install wireshark
    Usando o Wireshark
    Tela inicial do Wireshark
    Usando o Wireshark
    Executando a ferramenta e escolhendo a interface de rede:
    Usando o Wireshark
    Lista de interfaces de rede:
    Usando o Wireshark
    Escolhendo a interface de rede:
    Usando o Wireshark
    Capturando pacotes:
    Usando o Wireshark
    Esquema de cores nas linhas

    • De uma forma geral, as linhas:


    Verde – significa tráfego TCP
    Azul escuro – Tráfego DNS
    Azul claro – Tráfego UDP
    Preto – Segmentos TCP com problema

    • Caso o utilizador pretenda ver o esquema de


    cores completo do wireshark, basta ir
    em View —> Coloring Rules
    Usando o Wireshark
    Esquema de cores nas linhas

    • A interface gráfica do usuário exibe os


    pacotes capturados em um quadro
    codificado por cores, que apresenta
    detalhes sobre a hora, a origem, o destino,
    o protocolo e uma descrição
    predeterminada do evento em horário
    próximo ao real.
    Usando o Wireshark
    Lista de leituras de pacotes
    Usando o Wireshark
    Conteúdo de um pacote TCP
    Usando o Wireshark
    Conteúdo de um pacote TCP
    Usando o Wireshark
    Analisando sessões:

     Um recurso especialmente útil do


    programa é a capacidade de rastrear
    streams TCP completas com a opção
    Follow TCP stream. Todos os pacotes que
    componham uma sessão são exibidos.
     O recurso de stream-tracing permite que
    se siga sessões completas, como
    conversas por Instant Messengers ou
    sessões de navegação na Web.
    Usando o Wireshark
    Analisando sessões:
    Usando o Wireshark
    Analisando sessões:
    Usando o Wireshark
    Filtros de pacotes:

    • Um dos recursos mais poderosos do


    Wireshark é a possibilidade de se criar
    filtros para limitar o número de pacotes
    visíveis.
    Usando o Wireshark
    Filtros de pacotes:
    Usando o Wireshark
    Filtros de pacotes:

    Exemplos de filtros do
    Wireshark:
     tcp.port==80
     ip.addr==192.168.200.15
     broadcast
     eth.addr==00:0C:BA:5D:67:09

    Exemplos de filtros de captura do


    Wireshark (padrão tcpdump):
     tcp port 80
     host 192.168.200.15
     broadcast
     ether host 00:0C:BA:5D:67:09
    Usando o Wireshark
    Exemplos de filtros (display filters):
    Todos os quadros Ethernet que contenham o
    endereço físico 00:22:64:7e:1a:3a:
    eth.addr==00:22:64:7e:1a:3a
    Todos os quadros Ethernet que contenham o
    endereço físico 00:22:64:7e:1a:3a como origem:
    eth.src==00:22:64:9e:0a:3a
    Todos os quadros Ethernet que contenham o
    endereço físico ff:ff:ff:ff:ff:ff como destino:
    eth.dst==ff:ff:ff:ff:ff:ff
    Todos os quadros Ethernet que utilizem o
    protocolo ARP (tipo no campo Type 806):
    eth.type==0x806
    Usando o Wireshark
    Exemplos de filtros (display filters):
    Pacotes com o endereço IP 192.168.200.3:
    ip.addr==192.168.200.3
    Pacotes com endereço IP de origem 192.168.200.3:
    ip.src==192.168.200.3
    Pacotes com endereço IP de destino 192.168.200.3:
    ip.dst==192.168.200.3
    Pacotes IP com campo TTL igual a 63:
    ip.ttl==63
    Pacotes UDP com porta 4500:
    udp.port==4500
    Pacotes UDP com porta de destino 53:
    udp.dstport==53
    Pacotes UDP com porta de origem 789:
    udp.srcport==789
    Pacotes UDP maiores do que 100 Bytes:
    udp.length >= 100
    Usando o Wireshark
    Exemplos de filtros (display filters):
    Pacotes TCP com a porta 80:
    tcp.port==80
    Pacotes TCP com a porta de destino 23:
    tcp.dstport==23
    Pacotes TCP com a porta de origem 1098;
    tcp.srcport==1098
    Pacotes TCP maiores ou iguais a 100 Bytes:
    tcp.len >= 100
    Pacotes TCP com a flag SYN ativada:
    tcp.flags.syn==1
    Pacotes TCP com a flag SYN ativada e a flag
    ACK desativada:
    tcp.flags.syn==1 and tcp.flags.ack==0
    Usando o Wireshark
    Exemplos de filtros (display filters):
    Operadores
    Igual: eq ou ==
    Não igual: ne ou !=
    Maior que: gt or >
    Menor que: lt or <
    Maior ou igual: ge ou >=
    Menor ou igual: le ou <=
    E lógico: and ou &&
    Ou lógico: or ou ||
    Ou exclusivo: xor or ^^
    Não lógico (negação): not ou !
    Mais exemplos de uso:
    http://packetlife.net/media/library/13/Wireshark_Di
    splay_Filters.pdf
    Usando o Wireshark
    Estatísticas do tráfego de rede capturado
    Usando o Wireshark
    Estatísticas do tráfego de rede capturado
    Conclusão
    • O Wireshark é um software que
    pode auxiliar imensamente a
    resolução de problemas de
    rede com relativamente pouco
    esforço.
    • Além disso, ele também é uma
    excelente ferramenta para
    aprender como funcionam os
    diversos protocolos de rede.
    Conclusão
    • Porém, a interpretação dos
    resultados obtidos pelo
    Wireshark não é trivial e
    demanda conhecimento e
    prática.
    Referências

    Livros
    PETERSON, L; DAVIE, B. Redes de
    Computadores – Uma Abordagem de
    Sistemas. 3ª Ed. Campus, 2004.
    KUROSE, J; ROSS, K. Redes de
    Computadores e a Internet – Uma
    Abordagem top-down. 3ª Ed. Pearson,
    2006.
    TANENBAUM, A. Redes de
    Computadores. 4ª Ed. Campus, 2003.
    CISCO, Curso Oficial CCNA – Módulo 1
    SANDERS, Chris. Practical Packet
    Analysis Using Wireshark to Solve
    Real-World Network Problems. 2nd ed.
    No Starch Press, 2013.
    Referências

    Sites
    Site do Wireshark:
    http://www.wireshark.org
    Wireshark User’s Guide:
    http://www.wireshark.org/docs/wsug_ht
    ml_chunked/
    Wireshark Wiki:
    http://wiki.wireshark.org/
    Referências

    Sites
    Laura´s Lab Kit v9 – disponível em
    ftp://192.168.200.3/isos/LLK9.iso
    MulticastStorm:
    http://multicaststorm.blogspot.com/
    Oficina Wireshark:
    www.numaboa.com/informatica/oficina/
    163-rede/720-wireshark?showall=1
    Tutorial:
    http://lnm.com.br/images/uploads/mags/l
    m/articles/LM32_wireshark.pdf

    Você também pode gostar