Capítulo 6

Material para uso exclusivo de aluno matriculado em curso de Educação a Distância da Rede Senac EAD, da disciplina correspondente. Proibida a reprodução e o compartilhamento digital, sob as penas da Lei. © Editora Senac São Paulo.

Análise forense

A análise forense em rede depende de ferramentas específicas para

realizar a captura e a análise de dados, para tal, é necessário que se
tenha conhecimento sobre alguns conceitos e práticas a respeito de
captura de dados em redes.

Segundo Galvão (2013), a principal técnica de captura de tráfego é

chamada de sniffer, que pode ser realizada por hardware ou software e

79
pode capturar tanto o tráfego de redes cabeadas quanto de redes sem

Material para uso exclusivo de aluno matriculado em curso de Educação a Distância da Rede Senac EAD, da disciplina correspondente. Proibida a reprodução e o compartilhamento digital, sob as penas da Lei. © Editora Senac São Paulo.
fio. Existem diversos tipos de sniffers com atributos diferentes, alguns
deles funcionam via linha de comando, outros funcionam via interface
gráfica, alguns exigem a aquisição de licenças, outros são desenvolvi-
dos em softwares livres, entre outros.

Ainda de acordo com Galvão (2013), para que um sniffer funcione, é

necessário que a interface de rede seja habilitada em modo promíscuo na
rede cabeada ou modo monitor na rede sem fio, dessa maneira, conforme
as configurações do sniffer e do seu software de gerenciamento, todo o
tráfego que passa pelo segmento de rede pode ser capturado e analisado.

O objetivo deste capítulo é mostrar o uso de ferramentas para a aná-

lise forense.

1 Ferramentas para análise forense

Neste capítulo, serão apresentadas algumas ferramentas de captura
e análise de dados, possíveis diferenças entre as capturas, os formatos
de dados capturados, os filtros que podem ser implementados para oti-
mização das capturas, entre outros.

1.1 Netflow

Segundo Davidoff e Ham (2012), a ferramenta Netflow surgiu em

1996 pela empresa Cisco Systems, o objetivo da ferramenta era arma-
zenar em cache e exportar informações de fluxo de tráfego de redes. A
ideia inicial era armazenar essas informações para melhorar o desem-
penho dos produtos, porém, as estatísticas geradas pelos fluxos apre-
sentaram informações importantes sobre o monitoramento de desem-
penho da rede, sobre a resolução de problemas e a resposta a ameaças
de segurança. Os dispositivos capazes de gerar dados Netflow são ro-
teadores, switches e alguns dispositivos de monitoramento específicos.

80 Forense computacional e de redes

 As principais informações dos fluxos de tráfego de rede analisados
Material para uso exclusivo de aluno matriculado em curso de Educação a Distância da Rede Senac EAD, da disciplina correspondente. Proibida a reprodução e o compartilhamento digital, sob as penas da Lei. © Editora Senac São Paulo.

pelo Netflow contêm as seguintes informações:

• endereço IP de origem e destino;

• portas TCP/UDP de origem e destino;

• números de utilização da porta;

• contagens de pacotes e bytes por pacote;

• horário de início e término dos eventos de coleta de dados;

• tipo de serviço;

• tipo de protocolo; e

• sinalizadores TCP.

O Netflow possui sensores que monitoram o estado dos fluxos mo-

nitorados pelo dispositivo e os mantêm em cache; quando o fluxo não
está mais ativo, o sensor o marca como expirado e o exporta para um ou
mais coletor configurado. Na versão 9 do Netflow, o pacote de exporta-
ção (Netflow Export) não depende da camada de transporte e pode ser
transmitido por UDP, TCP ou SCTP, além de outras atualizações, essa
versão também suporta IPv4 e IPv6. A versão 5, apesar de ser mais an-
tiga e possuir limitações, é utilizada por uma grande variedade de equi-
pamentos de diferentes fabricantes. Uma das limitações da versão 5 é
suportar apenas o IPv4, e o pacote de exportação transmitir apenas por
UDP.

1.2 PCAP

A maioria das ferramentas que realizam a captura ou o armazenamen-

to de tráfego de rede gera arquivos no formato packet capture (pcap).

Análise forense 81
 As bibliotecas mais utilizadas por sniffers são a libpcap dos sistemas

Material para uso exclusivo de aluno matriculado em curso de Educação a Distância da Rede Senac EAD, da disciplina correspondente. Proibida a reprodução e o compartilhamento digital, sob as penas da Lei. © Editora Senac São Paulo.
Unix/Linux, a WinPcap dos sistemas Microsoft Windows e a AirPcap uti-
lizada nas redes sem fio.

De acordo com Galvão (2013), a biblioteca libpcap foi criada pelo

grupo de pesquisa Network Research Group (NRG), em 1987. A libpcap
é uma biblioteca de código aberto, escrita em C, e possui uma infraes-
trutura versátil na monitoração de baixo nível, de redes de computado-
res na captura de pacotes e na recuperação de frames baseados nas
interfaces de redes. A libpcap funciona na camada de enlace e pode fun-
cionar em modo promíscuo, caso seja necessário. A biblioteca WinPcap
é a libpcap com API adaptada para ferramentas que utilizam o sistema
operacional Microsoft Windows.

A biblioteca AirPcap foi desenvolvida para redes sem fio implemen-

tadas no padrão IEEE 802.11ª, 802.11b e 802.11g. Nessas redes, é per-
mitido o manuseio das interfaces de rede wireless para a captura de
dados. A captura de pacotes na AirPcap não está associada a uma rede
wi-fi explícita, assim, ela é possível em todos os canais e multicanais
liberados para o padrão 802.11, desde que a interface de rede esteja
habilitada em modo monitor.

Os arquivos pcap necessitam de software específico para a sua

leitura.

1.3 TCPDUMP

O tcpdump é uma ferramenta para capturar, filtrar e analisar tráfego

de rede. De acordo com Galvão (2013), o tcpdump foi desenvolvido em
1987 pela NRG, junto com a biblioteca libpcap. O tcpdump e a libpcap
foram consideradas uma solução única de sniffer e até os dias atuais são
desenvolvidas e atualizadas em conjunto, porém, a libpcap é utilizada por
diversas ferramentas além do tcpdump. O tcpdump é executado via linha
de comando e foi desenvolvido inicialmente para funcionar no sistema

82 Forense computacional e de redes

 operacional Linux/Unix e suas principais versões. Os sistemas operacio-
Material para uso exclusivo de aluno matriculado em curso de Educação a Distância da Rede Senac EAD, da disciplina correspondente. Proibida a reprodução e o compartilhamento digital, sob as penas da Lei. © Editora Senac São Paulo.

nais Microsoft Windows receberam uma versão adaptada do tcpdump,

que foi batizada de WinDump. O tcpdump e o WinDump não são exata-
mente iguais, mas produzem resultados compatíveis.

Segundo Galvão (2013), a libpcap é uma biblioteca bastante utilizada

por sniffers de código aberto e na habilitação de captura de pacotes. Essa
biblioteca possui um grande número de funções que auxilia na captura e na
análise de redes. O tcpdump funciona como uma interface entre a libpcap
e o usuário. A libpcap altera o funcionamento do driver da placa de rede e
intercepta os pacotes trafegados, então, o tcpdump trabalha com esses
dados de saída e especifica quais campos serão exibidos ou gravados em
arquivo. Existem outras ferramentas, além do tcpdump e do WinDump, que
trabalham com as informações de saída da libpcap, ferramentas desse
tipo são denominadas como Berkeley Packet Filter (BPF). Para que as fer-
ramentas do tipo BPF consigam executar os seus processos com sucesso,
necessitam de permissão de superusuário ou administrador no sistema
operacional onde for executado.

1.3.1 Limitações do tcpdump

No momento da execução do tcpdump e da captura de pacotes, a

interface de rede é colocada em modo promíscuo e acarreta aumento
do consumo de recurso do equipamento onde está sendo executado,
esse fato por si só já pode ser tratado como uma limitação.

O aplicativo funciona apenas em linha de comando, levando uma difi-

culdade para pessoas que estão acostumadas com interfaces gráficas.
Outra limitação é que o tcpdump só consegue capturar o tráfego que
passa pela interface de redes, caso tenham algum outro dispositivo fil-
trando ou bloqueando esse tráfego, o resultado da captura será prejudi-
cado. Em redes baseadas em switch, essa limitação poderá ser ameni-
zada utilizando portas de monitoramento, denominadas Switched Port
Analyzer (SPAN).

Análise forense 83
 Umas das desvantagens do tcpdump é que os tamanhos dos arqui-

Material para uso exclusivo de aluno matriculado em curso de Educação a Distância da Rede Senac EAD, da disciplina correspondente. Proibida a reprodução e o compartilhamento digital, sob as penas da Lei. © Editora Senac São Paulo.
vos de saída gerados pela ferramenta são grandes, o que pode dificultar
a leitura desses arquivos pelo usuário.

1.3.2 Utilizando o tcpdump

A estrutura apresentada abaixo pode ser encontrada em TCPDUMP

& LIBPCAP ([s. d.]); o mesmo resultado pode ser obtido nas plataformas
Linux com o comando $ man tcpdump.

" NAME
tcpdump - dump traffic on a network
SYNOPSIS

tcpdump [ -AbdDefhHIJKlLnNOpqStuUvxX# ] [ -B buffer_size ]

[ -c count ] [ --count ] [ -C file_size ]

[ -E spi@ipaddr algo:secret,... ]
[ -F file ] [ -G rotate_seconds ] [ -i interface ]
[ --immediate-mode ] [ -j tstamp_type ] [ -m module ]
[ -M secret ] [ --number ] [ --print ] [ -Q in|out|inout ]
[ -r file ] [ -s snaplen ] [ -T type ] [ --version ]
[ -V file ] [ -w file ] [ -W filecount ] [ -y datalinktype ]
[ -z postrotate-command ] [ -Z user ]
[ --time-stamp-precision=tstamp_precision ]
[ --micro ] [ --nano ]
[ expression ]

DESCRIPTION
..."

Todas as diretivas apresentadas em TCPDUMP & LIBPCAP ([s. d.])

antes da expressão [expression] podem ser utilizadas para decidir com
quais detalhes o usuário deseja realizar a captura; já o campo [expression]
serve para definir os filtros BPF; caso esses filtros não sejam inseridos
nesse campo, serão capturados todos os pacotes de rede.

84 Forense computacional e de redes

 Um detalhe importante ressaltado por Galvão (2013) ao utilizar o
Material para uso exclusivo de aluno matriculado em curso de Educação a Distância da Rede Senac EAD, da disciplina correspondente. Proibida a reprodução e o compartilhamento digital, sob as penas da Lei. © Editora Senac São Paulo.

­tcpdump é o valor-padrão de números de bytes capturados por quadro

que está limitado a 68 bytes. Apesar desses bytes conterem bastan-
tes informações, muitos outros dados serão perdidos e prejudicarão as
análises dos dados capturados. Para contornar essa situação, deve-se
utilizar o parâmetro –s (size), isto é, o tamanho de bytes que poderão
ser capturados por quadro. Nas redes Ethernet, é recomendado o valor
de 1514 bytes, valor suficiente para capturar informações importantes
dos principais protocolos de redes. O valor máximo configurável no pa-
râmetro –s é 65535 bytes, porém, configurar valores diferentes do reco-
mendado pode causar um aumento no consumo de recursos do equi-
pamento e poderá causar a perda total dos dados coletados. Galvão
(2013) afirma que, para minimizar esse problema dos bytes capturados
por quadro, é importante criar filtros nas expressões BPF, dessa manei-
ra, somente as informações importantes serão capturadas, diminuindo
o risco de descarte e reduzindo o volume de pacotes capturados.

A definição de interface de captura é um dos principais parâmetros a

ser configurado no tcpdump. Um dispositivo pode ter várias interfaces
de rede e muitas vezes a análise deve ser realizada apenas em uma das
interfaces. O parâmetro para essa informação é o –i (interface), em que
se pode configurar a interface de rede específica ou a expressão any, que
capturará todas as interfaces do dispositivo. Seguem alguns exemplos:

• tcpdump –i eth1 – captura somente na interface eth1.

• tcpdump –i any – captura do tráfego de todas as interfaces do

dispositivo.

• tcpdump –D – mostra todas as interfaces disponíveis.

A seguir, serão apresentados alguns exemplos de captura com filtros

BPF apresentados por Galvão (2013):

• # tcpdump –X –vvv –n –i eth0 icmp –w cap_icmp.pcap – captura

de tráfego icmp e gravação do resultado em arquivo.

Análise forense 85
 • # tcpdump –X –vvv –n –i eth0 –s0 host 192.168.2.11 and host

Material para uso exclusivo de aluno matriculado em curso de Educação a Distância da Rede Senac EAD, da disciplina correspondente. Proibida a reprodução e o compartilhamento digital, sob as penas da Lei. © Editora Senac São Paulo.
192.168.2.12 – captura com filtro de pacotes que contenham os
IPs 192.168.2.11 e 192.168.2.12.

• # tcpdump –X –vvv –n –i eth0 –s0 src host 192.168.2.111 and dst

192.168.2.120 – captura de pacotes tendo como origem o host
192.168.2.111 e destino 192.168.2.120.

• # tcpdump –X –vvv –n –i eth0 –s0 port 21 or port 23 or port 80 –

captura de tráfego com filtro de pacotes para as portas TCP 21,
23 e 80.

Todas as descrições detalhadas das configurações dos parâmetros

do tcpdump podem ser encontradas no manual disponibilizado em
TCPDUMP & LIBPCAP ([s. d.]).

1.4 Wireshark

O Wireshark é uma ferramenta gráfica de código aberto capaz de

capturar, filtrar e analisar tráfego de rede.

De acordo com Davidoff e Ham (2012), por se tratar de uma ferra-

menta gráfica fácil de se usar, é uma excelente ferramenta para ini-
ciantes em análise forense; e pelos seus recursos avançados, deco-
dificação de pacotes, entre outros, também é uma ótima ferramenta
para investigadores experientes.

Segundo Davidoff e Ham (2012), o Wireshark (o seu nome inicial era

Ethereal, alterado em 2006) foi lançado em 1998 por Gerald Combs.
Essa ferramenta continuou a evoluir até os dias de hoje com a ajuda da
contribuição de centenas de autores.

O Wireshark assume que o usuário que está executando a ferramen-

ta possui todas as permissões necessárias para captura de dados, des-
de que a placa de rede do dispositivo tenha suporte para detecção. O
Wireshark é capaz de exibir os pacotes capturados em tempo real, po-
rém, essa atividade pode consumir recursos excessivos do dispositivo.

86 Forense computacional e de redes

 Esse recurso pode ser utilizado em análises de redes específicas ou re-
Material para uso exclusivo de aluno matriculado em curso de Educação a Distância da Rede Senac EAD, da disciplina correspondente. Proibida a reprodução e o compartilhamento digital, sob as penas da Lei. © Editora Senac São Paulo.

solução de problemas por um período de tempo limitado, pois permite a

análise de todo o tráfego e de possíveis falhas em tempo real.

Segundo Galvão (2013), o uso no Wireshark para captura em redes

com grande volume de tráfego não é aconselhado, pois, por se tratar
de uma ferramenta gráfica, ao analisar grande volume de tráfego pode
ocorrer um aumento substancial do consumo de processamento e me-
mória, prejudicando o processo de coleta de dados. O recomendável é
que outro sniffer, como o tcpdump, realize a captura dos dados e grave
os resultados em arquivos pcap, dessa maneira, ferramentas como o
Wireshark e outras poderão realizar exclusivamente a análise dos dados
capturados.

Em razão de sua interface gráfica, o Wireshark é bastante intuiti-

vo e de fácil utilização. Para a sua utilização na plataforma Microsoft
Windows, é necessário baixar e instalar o software do fabricante; já no
Linux, o Wireshark já está disponibilizado no repositório oficial de paco-
te e pode ser instalado e executado com facilidade. Na figura 1, é apre-
sentada a tela inicial do Wireshark capturando o tráfego em tempo real.

Figura 1 – Exemplo de tela de análise do Wireshark

Fonte: adaptado de Wireshark ([s. d.]).

Análise forense 87
 Na figura 1, é possível observar na tela de análise as informações de

Material para uso exclusivo de aluno matriculado em curso de Educação a Distância da Rede Senac EAD, da disciplina correspondente. Proibida a reprodução e o compartilhamento digital, sob as penas da Lei. © Editora Senac São Paulo.
data, origem, destino, protocolo, tamanho e informações. Nessa mes-
ma tela, é possível executar filtros para a exibição apenas de informa-
ções importantes para a análise.

Navegando pelo menu do Wireshark, é possível explorar várias fun-

cionalidades, entre elas a exibição de detalhes de uma sessão TCP, a
estatística de conversação entre todos os elementos capturados, a pos-
sibilidade de exportação de um arquivo de captura filtrado para um novo
arquivo pcap, entre outros.

1.5 Tshark

Segundo Davidoff e Ham (2012), o tshark é uma ferramenta de aná-

lise de rede em modo texto que faz parte da distribuição do Wireshark.
O tshark possui vários filtros implementados no Wireshark e é capaz de
capturar pacotes em interface específica, conforme comando abaixo:

# tshark -i eth0 -w teste1.pcap 'não porta 23'

Perceba que o exemplo mostra o tshark capturando tráfego da in-

terface eth0, específico da porta 23, e gravando o resultado no arquivo
teste1.pcap.

Ter uma ferramenta em modo texto com boa parte das funciona-
lidades do Wireshark é importante para a implementação de rotinas
automatizadas usando ferramentas de alto nível. Dessa maneira, seria
possível executar, por exemplo, capturas automatizadas para futuras
análises e comparações de comportamentos de tráfego.

1.6 Nfdump

De acordo com Davidoff e Ham (2012), o nfdump é um coletor

de dados Netflow e é projetado para ler e analisar registros de fluxo,

88 Forense computacional e de redes

 produzindo saídas personalizadas. Os recursos do nfdump oferecidos
Material para uso exclusivo de aluno matriculado em curso de Educação a Distância da Rede Senac EAD, da disciplina correspondente. Proibida a reprodução e o compartilhamento digital, sob as penas da Lei. © Editora Senac São Paulo.

para os usuários são os seguintes:

• juntar campos específicos de fluxo;

• limitar intervalo de tempo;

• gerir estatísticas por endereço IP, portas, etc.;

• tornar endereços IP anônimos;

• criar saídas personalizadas; e

• implementar filtros do estilo BPF.

1.7 NfSen

Segundo Davidoff e Ham (2012), o NfSen é uma ferramenta de inter-

face gráfica baseada na web, usada para a geração de gráficos e relató-
rios para consulta do nfdump. É uma ferramenta de código aberto que
roda em ambiente Linux e sistemas operacionais baseados em POSIX.

Considerações finais
Neste capítulo, apresentamos conceitos e práticas sobre captura de
dados em redes e algumas ferramentas utilizadas na análise forense.
Entre elas, as ferramentas Netflow, nfdump e NfSen.

No decorrer, falamos sobre os conceitos dos arquivos pcap e desco-

brimos que esse tipo de arquivo é aceito na maior parte das ferramen-
tas de captura de dados.

Em seguida, explanamos sobre os conceitos do tcpdump e apresen-

tamos alguns exemplos de como executá-lo.

Para finalizar, apresentamos os conceitos do Wireshark e tshark.

Análise forense 89
Referências

Material para uso exclusivo de aluno matriculado em curso de Educação a Distância da Rede Senac EAD, da disciplina correspondente. Proibida a reprodução e o compartilhamento digital, sob as penas da Lei. © Editora Senac São Paulo.
DAVIDOFF, Sherri; HAM, Jonathan. Network forensics: tracking hackers through
cyberspace. New Jersey: Pearson, 2012.

GALVÃO, Ricardo Kléber M. Introdução à análise forense em redes de

computadores: conceitos, técnicas e ferramentas para “grampos digitais”. São
Paulo: Novatec, 2013.

TCPDUMP & LIBPCAP. Man page of TCPDUMP. tcpdump, [s. d.]. Disponível
em: https://www.tcpdump.org/manpages/tcpdump.1.html. Acesso em: 5 dez.
2021.

WIRESHARK. Download Wireshark. Wireshark, [s. d.]. Disponível em: https://

www.wireshark.org/. Acesso em: 1o dez. 2021.

90 Forense computacional e de redes