Escolar Documentos
Profissional Documentos
Cultura Documentos
Material para uso exclusivo de aluno matriculado em curso de Educação a Distância da Rede Senac EAD, da disciplina correspondente. Proibida a reprodução e o compartilhamento digital, sob as penas da Lei. © Editora Senac São Paulo.
Análise forense
79
pode capturar tanto o tráfego de redes cabeadas quanto de redes sem
Material para uso exclusivo de aluno matriculado em curso de Educação a Distância da Rede Senac EAD, da disciplina correspondente. Proibida a reprodução e o compartilhamento digital, sob as penas da Lei. © Editora Senac São Paulo.
fio. Existem diversos tipos de sniffers com atributos diferentes, alguns
deles funcionam via linha de comando, outros funcionam via interface
gráfica, alguns exigem a aquisição de licenças, outros são desenvolvi-
dos em softwares livres, entre outros.
1.1 Netflow
• tipo de serviço;
• tipo de protocolo; e
• sinalizadores TCP.
1.2 PCAP
Análise forense 81
As bibliotecas mais utilizadas por sniffers são a libpcap dos sistemas
Material para uso exclusivo de aluno matriculado em curso de Educação a Distância da Rede Senac EAD, da disciplina correspondente. Proibida a reprodução e o compartilhamento digital, sob as penas da Lei. © Editora Senac São Paulo.
Unix/Linux, a WinPcap dos sistemas Microsoft Windows e a AirPcap uti-
lizada nas redes sem fio.
1.3 TCPDUMP
Análise forense 83
Umas das desvantagens do tcpdump é que os tamanhos dos arqui-
Material para uso exclusivo de aluno matriculado em curso de Educação a Distância da Rede Senac EAD, da disciplina correspondente. Proibida a reprodução e o compartilhamento digital, sob as penas da Lei. © Editora Senac São Paulo.
vos de saída gerados pela ferramenta são grandes, o que pode dificultar
a leitura desses arquivos pelo usuário.
" NAME
tcpdump - dump traffic on a network
SYNOPSIS
DESCRIPTION
..."
Análise forense 85
• # tcpdump –X –vvv –n –i eth0 –s0 host 192.168.2.11 and host
Material para uso exclusivo de aluno matriculado em curso de Educação a Distância da Rede Senac EAD, da disciplina correspondente. Proibida a reprodução e o compartilhamento digital, sob as penas da Lei. © Editora Senac São Paulo.
192.168.2.12 – captura com filtro de pacotes que contenham os
IPs 192.168.2.11 e 192.168.2.12.
1.4 Wireshark
Análise forense 87
Na figura 1, é possível observar na tela de análise as informações de
Material para uso exclusivo de aluno matriculado em curso de Educação a Distância da Rede Senac EAD, da disciplina correspondente. Proibida a reprodução e o compartilhamento digital, sob as penas da Lei. © Editora Senac São Paulo.
data, origem, destino, protocolo, tamanho e informações. Nessa mes-
ma tela, é possível executar filtros para a exibição apenas de informa-
ções importantes para a análise.
1.5 Tshark
Ter uma ferramenta em modo texto com boa parte das funciona-
lidades do Wireshark é importante para a implementação de rotinas
automatizadas usando ferramentas de alto nível. Dessa maneira, seria
possível executar, por exemplo, capturas automatizadas para futuras
análises e comparações de comportamentos de tráfego.
1.6 Nfdump
1.7 NfSen
Considerações finais
Neste capítulo, apresentamos conceitos e práticas sobre captura de
dados em redes e algumas ferramentas utilizadas na análise forense.
Entre elas, as ferramentas Netflow, nfdump e NfSen.
Análise forense 89
Referências
Material para uso exclusivo de aluno matriculado em curso de Educação a Distância da Rede Senac EAD, da disciplina correspondente. Proibida a reprodução e o compartilhamento digital, sob as penas da Lei. © Editora Senac São Paulo.
DAVIDOFF, Sherri; HAM, Jonathan. Network forensics: tracking hackers through
cyberspace. New Jersey: Pearson, 2012.
TCPDUMP & LIBPCAP. Man page of TCPDUMP. tcpdump, [s. d.]. Disponível
em: https://www.tcpdump.org/manpages/tcpdump.1.html. Acesso em: 5 dez.
2021.