Machine Translated by Google

IJ Rede de Computadores e Segurança da Informação, 2018, 7, 12-22

Publicado on-line em julho de 2018 no MECS (http://www.mecs-press.org/)
DOI: 10.5815/ijcnis.2018.07.02

Vigilância Ética de Rede usando Pacote

Ferramentas de detecção: um estudo comparativo

Ibrahim Ali Ibrahim Diyeb

Estudante de Pós-Graduação, Departamento de TI, FCIT, Universidade de Sana'a, Iêmen.
E-mail: ibrahimthiib@gmail.com

Dr. Anwar Saif

Chefe do departamento de SI, FCIT, Universidade de Sana'a, Iêmen.
E-mail: Anwarsaif.ye@gmail.com

Dr. Nagi Ali Al-Shaibany Chefe

do Departamento de TI, FCIT, Universidade de Sana'a, Iêmen.
E-mail: Shaibany@yahoo.com

Recebido: 18 de abril de 2018; Aceito: 16 de maio de 2018; Publicado: 08 de julho de 2018

Resumo—Hoje em dia, com o crescimento da informática

redes e Internet, a segurança de dados, sistemas e aplicações está I. INTRODUÇÃO

se tornando um verdadeiro desafio para desenvolvedores e

A tecnologia da informação está se tornando parte integrante e
administradores de redes. Um sistema de detecção de intrusão é a
básica da infraestrutura para indústrias e organizações. Com o
primeira e confiável técnica de segurança de rede que se baseia na
enorme crescimento e desenvolvimento das redes de computadores
coleta de dados de uma rede de computadores. Além disso, a
e da Internet, a administração e auditoria do tráfego de dados são
necessidade de ferramentas de monitorização, auditoria e análise
importantes para aumentar a segurança e eficiência geral do
do tráfego de dados está a tornar-se um factor importante para
sistema em rede. O packet sniffing é o processo de coleta de
aumentar a segurança global do sistema e da rede, evitando
pacotes de dados da rede como dados binários, converte esses
atacantes externos e monitorizando o abuso dos activos de TI por
dados binários em um formato legível e os analisa mostrando os
parte dos funcionários no local de trabalho. As técnicas usadas
protocolos usados, senhas em texto simples, etc., isso ajuda os
para coletar e converter dados em um formato legível são chamadas
administradores de rede a monitorar e controlar o computador rede
de packet sniffing. Packet Sniffer é uma ferramenta usada para
para superar o abuso de ativos de TI e diminuir o risco de ataques
capturar pacotes em formato binário, converte esses dados binários
externos e mau funcionamento do computador. Além de simplificar
em um formato de dados legível e registra os dados capturados
a solução de problemas de rede, detectando e reconhecendo os
para análise e monitoramento, exibindo diferentes aplicativos
erros e o uso incorreto de dados por funcionários insatisfeitos e/ou
usados, nomes de usuário em texto não criptografado, senhas e
outras vulnerabilidades . É usado pelo administrador de rede para
manter a rede mais segura e segura e para apoiar melhores
atacantes [1].
decisões. Existem muitas ferramentas de detecção diferentes para
O sniffer de pacotes é uma peça de hardware ou software usada legitimamente
monitorar, analisar e relatar o tráfego da rede. Neste artigo iremos
pelo administrador da rede para capturar os quadros de dados transmitidos
comparar três ferramentas de sniffing diferentes; TCPDump,
entre dispositivos de rede. É considerada uma importante ferramenta de
Wireshark e Colasoft de acordo com vários parâmetros, como
vigilância para a rede de computadores, assim como o monitoramento de
capacidade de detecção, filtragem, disponibilidade, sistema
câmeras de vigilância.
operacional compatível, código aberto, GUI, suas características e
Em algumas ferramentas de detecção de pacotes, você pode salvar
recursos, parâmetros qualitativos e quantitativos. Além disso, este
os dados como logs de auditoria para uso e análise posterior. As
artigo pode ser considerado como um insight para os novos
ferramentas de detecção de pacotes são passivas, pois apenas
pesquisadores, para guiá-los a uma visão geral, fundamentos e
coletam dados e não fazem nenhuma alteração ou decisão sobre
compreensão das técnicas de detecção de pacotes e seu
esses dados. Em outras palavras, eles funcionam apenas como detecção de intrusão
funcionamento.
coleta e detecção de protocolos e dados sem prevenção. Eles
ajudam na descoberta de vulnerabilidades na rede ou funcionam
como testes de penetração para uma determinada rede [2].
Termos de índice — Ferramentas de detecção de pacotes, sniffer de
pacotes, vulnerabilidade de rede, análise de rede, Wireshark,
O tópico mais importante relacionado à detecção de pacotes é a
TCPdump, Colasoft.
segurança da rede, que é definida como políticas, padrões e
procedimentos para monitorar e prevenir a negação de serviços de
rede de computadores, uso indevido de ativos e recursos de TI,
acesso não autorizado e assim por diante. O

Direitos autorais © 2018 MECS IJ Rede de Computadores e Segurança da Informação, 2018, 7, 12-22
Machine Translated by Google

Vigilância ética de rede usando ferramentas de detecção de pacotes: um estudo comparativo 13

fatores importantes de segurança de rede e controle de acesso são processo e a maioria dos tipos de detecção de pacotes. A Seção IV
confidencialidade, integridade, disponibilidade, autorização, explica as três ferramentas de detecção de pacotes: Wireshark,
autenticação, responsabilidade e integridade. Como exemplo, TCPDump e ferramenta Colasoft, explica seus recursos, vantagens e
processo de autenticação que é a forma de acessar e trocar limitações. A Seção V apresenta a análise experimental e os métodos
informações entre dois sistemas. de filtragem usando essas ferramentas de sniffing de pacotes. A
A antiga técnica de autenticação usa nome de usuário e senha. O Seção VI apresenta
sniffer de rede verifica o tráfego de pacotes, inspecionando nomes estudo comparativo entre essas três ferramentas de detecção de
de usuários, senhas, endereços e dados de texto simples. Além disso, pacotes. A Seção VII apresenta o resultado e discussão. Por fim, a
as ferramentas de detecção de pacotes orientam o administrador da conclusão é apresentada na seção VIII.
rede com quaisquer alterações indesejadas na rede de computadores,
como inundação de pacotes e falsificação de IP [3].
II. VULNERABILIDADE E ATAQUES DE REDE
Além disso, o Packet sniffer imprime os dados coletados na tela e
A vulnerabilidade é a fragilidade dos protocolos, aplicações e
relata o log do tráfego capturado de acordo com parâmetros como
dados transferidos nas redes de computadores. Conseqüentemente,
endereço de destino, endereço de origem, número da porta de
as ameaças exploram essas fraquezas para danificar recursos,
destino, protocolo utilizado.
sistemas e aplicações. A primeira coisa que os invasores fazem é o
Os administradores de rede podem fazer análises aprofundadas do
reconhecimento do sistema de rede da vítima, reunindo informações
tráfego para superar quaisquer pontos fracos da rede e simplificar a
vulneráveis usando ferramentas como dig, whois, traceroute e
solução de erros. Além disso, eles podem salvar registros de auditoria
nslookup, bem como ferramentas de detecção de pacotes. A varredura
para prestação de contas e uso posterior. Além disso, a detecção de
de rede é usada para encontrar vulnerabilidades no sistema de rede.
senhas em texto simples, o abuso de recursos do computador, tudo
A varredura de porta é o processo de encontrar a porta ativa quando
isso pode levar ao mau funcionamento da rede de computadores e
um cliente solicita o servidor [3].
diminuir o desempenho da rede. Por todas essas razões, são
necessárias ferramentas de análise de rede ou de detecção de
Existem dois tipos de ataques de rede: ativos ou passivos. O
pacotes [1].
sniffing de pacotes é considerado o tipo de ataque passivo em que
Existem vários objetivos para habilitar pacotes
o invasor monitora e coleta informações da rede para obter
ferramentas de sniffing, algumas delas nos seguintes pontos:
vulnerabilidades, como senhas de texto não criptografado,
informações de roteamento, transações financeiras, e-mails,
• Eles são usados por administradores de rede na análise,
endereços MAC (Media Access Control), protocolo de Internet (IP ) ,
monitoramento e auditoria do tráfego de rede para investigar
informações críticas e confidenciais que não são criptografadas
o abuso de ativos de TI por funcionários que levam à
podem ser obtidas por meio de ferramentas de detecção de pacotes
prevenção de violações de padrões de políticas e
sem o conhecimento do usuário. O outro tipo de ataques de rede
procedimentos de um setor ou organização. •
são os ataques ativos nos quais o invasor compromete o sistema
Os farejadores de pacotes são usados como detecção de
de rede mascarando-se para outra entidade no sistema de rede.
intrusão e teste de penetração por desenvolvedores de
Falsificação de IP, falsificação de protocolo de resolução de
aplicativos de rede, programadores, engenheiros de rede e
endereço (ARP) e falsificação de MAC são exemplos de ataques
segurança, especialmente alarmes sobre mau funcionamento
ativos.
da rede ou ataque quando o desempenho da rede está lento
ou fraco.
Enquanto TCPDump, Wireshark e Colasoft são considerados
• Ajudar os administradores de rede a detectar os pontos fracos,
métodos de detecção de pacotes. Existem algumas ferramentas
ameaças e vulnerabilidades da rede para melhorar a segurança
usadas para falsificação. ETTERCAP é a ferramenta usada para
geral das redes. • Compreender as diferentes
falsificação e envenenamento de ARP que pode realizar ataques
aplicações de rede que utilizam o Transmission Control Protocol
Man-in-the-Middle. Requer a seleção da interface de rede para
(TCP) e o User Datagram Protocol (UDP), seus parâmetros, tipo
trabalhar nela. Depois que a interface é selecionada, a rede é
de carga útil, IP, endereços de Media Access Control (MAC), verificada em busca de hosts na rede e os hosts são mostrados
etc. em sua lista na ferramenta. As ferramentas de detecção de pacotes
são usadas para coletar informações da rede de computadores,
convertendo as informações binárias em formato hexadecimal e
Porém, o objetivo principal desta pesquisa é comparar três
legível por humanos para análise, diagnóstico de falhas de rede e
ferramentas diferentes de análise de rede; Wireshark, TCPdump e
solução de problemas. Eles são usados para detectar erros e
Colasoft Capsa usando diferentes parâmetros, como interface gráfica
tráfego anormal na rede. Os administradores de rede estão usando
do usuário (GUI), sistemas operacionais suportados, biblioteca essas ferramentas também para prever as fraquezas e
libpcap, suporte para captura de pacotes (PCAP) de código aberto,
vulnerabilidades da rede, mostrando os protocolos que são
interface do usuário, custo, formas de decodificação, pacotes
inseguros para substituí-los por protocolos fortes [3].
anormais determinados, etc.

O restante deste artigo de pesquisa está organizado da seguinte forma.

Além disso, existem vários sistemas e aplicativos que utilizam
A Seção II define vulnerabilidade e ataques de uma rede.
nome de usuário e senha que estão se tornando parte integrante de
A Seção III fornece uma visão geral do sniffing de rede que apresenta
nossa vida pessoal e empresarial. Como exemplo do ambiente de
os componentes do sniffer de pacotes, o trabalho de sniffing
utilização de nomes de usuário e/ou

Direitos autorais © 2018 MECS IJ Rede de Computadores e Segurança da Informação, 2018, 7, 12-22
Machine Translated by Google
14 Vigilância ética de rede usando ferramentas de detecção de pacotes: um estudo comparativo
Os logins com Número de Identificação Pessoal (PIN) são sistemas
bancários, login de e-mail, All Time Money (ATM), Ponto de Venda
(POS), login de servidor, etc. nenhuma proteção forte dos métodos
de login. As ferramentas de detecção de pacotes são usadas de
forma eficiente e eficaz para testar a fraqueza dos métodos de login
de nomes de usuário e senhas. Essas ferramentas de detecção de
pacotes fornecem ao administrador da rede detalhes completos de
nomes de usuários e senhas em texto simples ou que não possuem
técnicas de criptografia fortes para tomar uma contramedida
adequada para resolver pontos fracos no sistema de rede.
Além disso, existem muitos tipos de ataques de senha que
fazem com que invasores e hackers quebrem senhas.
Desses tipos estão força bruta, ataque de dicionário, malware/key
logger, injeção de SQL, ataque de tabela arco-íris e ataque de
phishing. Como administrador de rede, você pode usar o aplicativo
de detecção de pacotes para determinar o campo dos nomes de
usuário e senhas no tráfego de dados e testar a complexidade das
senhas e tomar uma contramedida apropriada para evitar que
invasores roubem as senhas, por exemplo, quando o administrador
da rede mostra as senhas contidas em uma combinação de
números, caracteres e caracteres especiais que é do tipo ataque
de força bruta, ele deve aconselhar para prevenir este tipo de
ataque tornando a senha mais complexa e muito longa [4].
III. SNIFFING DE REDE
O sniffing de rede é o processo de captura, monitoramento e
análise do tráfego de dados que trafega na rede, tanto o tráfego de
entrada quanto o de saída. A ferramenta que realiza esse processo
é chamada de sniffer de pacotes, que é o programa que captura o
tráfego na rede cabeada via cabeada ou na rede sem fio via aérea.
O sniffer de pacotes tem os benefícios de analisar o tráfego,
determinar e compreender as características da rede, possíveis
ataques maliciosos, pico de uso da largura de banda e sua
disponibilidade e encontrar aplicativos, dados e protocolos não
seguros [1].
Existem dois tipos de detecção de pacotes: modo monitor ou
modo promíscuo. Quando a placa de interface de rede (NIC) é
definida no modo promíscuo, o host se torna capaz de detectar
todos os pacotes. No modo monitor, ou às vezes chamado de modo
"rfmon", a NIC não se preocupa com a verificação de redundância
cíclica (CRC) e o processo de captura ocorre sem associação ou
autenticação, por exemplo, entre ponto de acesso e NIC sem fio em
redes sem fio [5 ].
A. Componentes do Packet Sniffer
O sniffer de pacotes consiste nos seguintes componentes.
• Hardware: a peça de hardware usada como adaptadores de
rede padrão.
• Driver de captura: É uma parte crítica do sniffer de pacotes.
Tem a função de capturar dados da rede
Direitos autorais © 2018 MECS
com ou sem fio, filtra o tráfego e os protocolos específicos
e, em seguida, armazena os dados no buffer. • O
buffer armazena os quadros capturados coletados na rede.
• Análise e decodificação: nesta fase os dados da rede são
exibidos em formato de texto descritivo, e a análise é figurada
para cada parte dos dados [4].
B. Tipos de detecção de pacotes
Existem alguns parâmetros da classificação do
sniffing de pacotes, conforme mostrado nos pontos a seguir.
• Sniffing baseado em IP: Este é o método fundamental e
comumente usado de sniffing de pacotes. Desta forma a
placa de rede fica configurada em modo promíscuo para
capturar todos os pacotes que passam pela rede. Ele usa
uma filtragem baseada em IP e apenas os pacotes são
capturados quando correspondem aos endereços IP
especificados. Em geral, o filtro baseado em IP não está
definido, portanto o sniffing de IP pode capturar todos os
pacotes. O filtro sniffing baseado em IP funciona em
redes não comutadas. • MAC Sniffing: assim como o filtro
baseado em IP, o filtro MAC sniffing permite que o host
capture todos os pacotes da rede de acordo com os
endereços MAC correspondentes.
• ARP Sniffing: Esta forma é utilizada de forma eficiente em
redes comutadas. Funciona um pouco diferente e não requer
colocar a placa de rede em modo promíscuo porque os
pacotes ARP serão enviados para nós. Isso ocorreu porque
o protocolo ARP não tem estado [1][2].
C. Processo de trabalho de detecção de pacotes
A detecção de pacotes é trabalhada conforme as etapas a seguir.
• Coleta na qual o sniffer de pacotes coleta e coleta os dados
brutos binários da interface de rede, seja com fio ou sem fio.
• Conversão na qual os dados binários capturados são
convertido em formato de dados legível para conhecer os
protocolos usados e a carga útil dos
dados. • Análise dos dados capturados e convertidos para
extrair os protocolos utilizados e analisar seus parâmetros.
Cada dispositivo na rede possui um endereço físico da NIC
identificado exclusivamente. Quando o dispositivo está enviando o
pacote, ele passa por todas as máquinas da rede. Com o princípio
da Ethernet compartilhada, todas as máquinas na rede podem ver
o tráfego, mas não responder a esse tráfego se ele não pertencer a
essa máquina.
Quando a NIC é definida no modo promíscuo, a máquina pode
ver todo o tráfego no segmento. Porém, quando a NIC entra em
modo promíscuo para uma máquina, a NIC pega e reúne todos os
frames e pacotes da rede, mesmo que esses frames e pacotes não
sejam destinados a essa máquina, o que nesta situação é chamado
de sniffer. O farejador inicia a leitura de todas as informações
inseridas no
IJ Rede de Computadores e Segurança da Informação, 2018, 7, 12-22
Machine Translated by Google
Vigilância ética de rede usando ferramentas de detecção de pacotes: um estudo comparativo
máquina via NIC [1].
Como sabemos, os dados viajam como pacotes ou quadros,
grupos de bits compostos formatados para alguns protocolos
específicos. Por esse motivo, o sniffer de pacotes não descasca as
camadas de encapsulamento e decodifica o tráfego de acordo com
o computador de destino, o computador de origem, a carga útil, o
número da porta de destino ou a informação trocada entre dois
computadores. Os pontos a seguir são definições para Ethernet
compartilhada e Ethernet comutada.
• Ethernet Compartilhada: Como conhecemos o ambiente
Ethernet compartilhado, todas as máquinas na rede
compartilham o mesmo cabo e alternam o uso da largura de
banda. Neste tipo, cada máquina recebe o tráfego que trafega
pela rede. Nesta situação, o ambiente de rede fica em modo
promíscuo, e cada uma das máquinas pode escutar esse
tráfego. • Switched Ethernet: neste caso, a rede
utilizou um switch em vez do hub que recebeu o nome de
Switched Ethernet. O switch é mais inteligente e possui
tabela de filtros que encaminham o tráfego na próxima vez
apenas para a máquina pretendida, sem transmitir esse
tráfego para todas as outras máquinas da rede. Neste caso,
o farejador não é adequado. A Ethernet comutada oferece
melhor desempenho, mas a colocação da NIC em modo
promíscuo não funciona. Os administradores de rede
assumem que os sniffers não funcionam neste ambiente [1].
Existem muitos aplicativos e ferramentas de detecção de pacotes
disponíveis no mercado. Alguns deles são interface gráfica e outros
são interface de linha de comando. Explicaremos e compararemos
três ferramentas populares de detecção de pacotes; TCPDUMP,
Wireshark e Colasoft.
4. FERRAMENTAS DE SNIFFING DE PACOTES
Existem muitas ferramentas para decodificação e análise dos
dados transmitidos na rede, geralmente essas ferramentas
funcionam em modo promíscuo permitindo que o computador
capture todo o tráfego com base em pacotes IP e portas que são
utilizadas para diversas aplicações. A atenção importante aqui é
que as ferramentas de detecção são passivas e projetadas para
medição de redes com e sem fio. Neste artigo de pesquisa,
utilizamos três ferramentas de detecção de pacotes, conforme
mostrado nos pontos a seguir.
A. TCPDUMP
É uma interface de linha de comando (CLI) popular e uma
ferramenta de sniffer de pacotes de código aberto compatível com
plataformas Unix e Linux. Foi inventado em 1987 no Laboratório
Nacional Lawrence Berkeley e depois publicado alguns anos depois.
Possui a biblioteca libpcap desenvolvida em linguagem de
programação C que serviu para coletar informações da rede.
A libpcap fornece a interface para todas as plataformas comuns
baseadas em Unix, incluindo FreeBSD e Linux. A interface libpcap
na plataforma Windows chamada WinDump.
Windump é usado o WinPcap que é a porta do Windows
Direitos autorais © 2018 MECS
15
da biblioteca libpcap. Os desenvolvedores projetaram a biblioteca
libpcap como uma API de plataforma independente para funcionar
em uma variedade de aplicativos e para eliminar a dependência do
sistema para módulos de captura de dados em cada aplicativo.
TCPDump é considerado uma ferramenta de análise.
Por padrão, ele intercepta e imprime o resumo capturado da
rede; os outros recursos, como armazenamento, são executados
por comandos especificados.
TCPDump funciona como: 1) Ler/escrever o arquivo capturado da rede no
Packet CAPture (PCAP) usando comandos CLI. 2) Ele filtra pacotes de acordo
com alguns parâmetros fornecidos. 3) Imprime na tela os dados capturados de
acordo com os parâmetros especificados [4]. É uma ferramenta de sniffer de
pacotes mais fácil e portátil, pois depende apenas da CLI e os administradores
de rede a utilizam para acessar os dispositivos de rede a partir de locais remotos
[5][6].
A Figura 1 mostra o tráfego TCP/IP e sua análise pela ferramenta
de detecção de pacotes TCPDump, exibindo os endereços e
conteúdos do tráfego de dados.
Figura 1. Visão geral do TCPDump mostra o fluxo de características do TCP/IP [7].
A principal limitação do TCPDump é que ele não fornece ao
administrador da rede visualmente a GUI dos dados capturados
para maior análise, existe apenas CLI. Por ser baseado em texto e
de fácil utilização pelo usuário remotamente através de conexão
Telnet. Existem outras desvantagens com o TCPDump. Esses
incluem:
• Limitações na análise de tráfego, existe apenas protocolos
baseados em TCP que podem ser
usados. • Ele reporta apenas o que encontra nos pacotes, se o
endereço IP for forjado no tráfego, ele não tem capacidade
de reportar mais nada [10]. •
Pacotes bloqueados pelo firewall não são
mostrando.
B. Wireshark
Foi inventado pelo cientista Gerald Combs no final de 1997 para
transportar e reconhecer os problemas da rede e monitorar o
tráfego de dados. Ele nomeou isso
Ethereal até maio de 2006 e depois disso seu nome mudou para
Wireshark. É um software de código aberto, ferramenta de análise
de pacotes gratuita e GUI escrita em linguagem de programação C
e lançada sob GNU General
IJ Rede de Computadores e Segurança da Informação, 2018, 7, 12-22
Machine Translated by Google
16 Vigilância ética de rede usando ferramentas de detecção de pacotes: um estudo comparativo
Licença Pública (GPL). Ele é executado em uma variedade de sistemas
operacionais semelhantes ao Unix, incluindo Mac OS X, Linux, plataforma
Solaris, bem como no sistema operacional Microsoft Windows. A interface de
linha de comando (CLI) do Wireshark é chamada TShark para permitir que o
usuário lide com ela por meio de comandos. É como o TCPDump com GUI
adicional, suportando uma variedade de protocolos e capacidade de opções de
filtragem e classificação. É usado na ferramenta de análise forense de rede
(NFAT) em organizações.
O Wireshark foi projetado para capturar pacotes de redes ativas
e também navegar em arquivos de dados capturados salvos
anteriormente. O formato suportado de captura de pacotes é o
formato de arquivo "PCAP". Ele exibe os dados capturados em
formatos byte e hexadecimal mostrando diferentes tipos de pacotes
e protocolos usados. Também permite ao usuário reunir os dados
dos pacotes em um fluxo TCP.
Possui interface com três painéis; o painel de resumo ou painel
de lista de pacotes que mostra diferentes análises de pacotes
capturados, como número do quadro, data, hora, endereços IP de
destino e origem, protocolos da camada superior, comprimento do
pacote e informações do conteúdo do tráfego com cores para cada
tipo de pacote capturado. O segundo painel contém detalhes do
pacote capturado. Quando o pacote é determinado no painel da
lista de pacotes, os detalhes aparecem nos dois painéis a seguir;
os detalhes e os painéis de bytes ou hexadecimais.
O painel de detalhes aparece como uma estrutura em árvore dos
protocolos que são capturados para uma variedade de aplicações,
como Transmission Control Protocol (TCP), User Datagram Protocol
(UDP), Internet Control Message Protocol (ICMP), Hyper Text
Transfer Protocol. (HTTP), etc. O terceiro painel é denominado
painel de dados ou bytes, que mostra os dados brutos capturados
exibindo o byte do pacote nos formatos hexadecimal, codificação
ASCII e texto [8] [9] [10].
A observação importante aqui é que, para executar a ferramenta
Wireshark, ela define a NIC para o modo promíscuo para permitir
que o sniffer veja todo o tráfego nessa interface, não apenas o
tráfego endereçado a uma das interfaces configuradas. Além do
modo promíscuo, pode-se habilitar o espelhamento de porta para
quaisquer pontos da rede quando o modo promíscuo não cobre
toda a rede [5][6].
A Figura 2 mostra a interface do Wireshark exibindo as três
janelas; o resumo, detalhes e painel de bytes, com diferentes
características do tráfego da rede de forma legível. A seção de
detalhes mostra que o número do quadro é de 60 bytes, o tipo de
rede é Ethernet II, o tipo de protocolo é IPv4 e o conteúdo da carga
útil é ARP.
O tamanho do quadro é medido com a Unidade Máxima de
Transmissão (MTU) e esta unidade é determinada de acordo com o
tipo de rede utilizada. Por exemplo, o MTU para o modo de
transferência assíncrona (ATM) é de 53 bytes [17], o MTU na rede
Ethernet e IPv4 é de 1500 bytes e há outros tipos de rede que
utilizam jumbo frames que chegam a 9000 bytes [18].
Conseqüentemente, o tamanho do quadro muda de acordo com o
MTU em um determinado tipo de rede.
Direitos autorais © 2018 MECS
Resumo
Seção de detalhes
Conteúdo hexadecimal
Figura 2. Interface da ferramenta de detecção de pacotes Wireshark.
Além disso, o tamanho do quadro também é determinado de
acordo com a aplicação utilizada na rede. Neste estudo de caso,
são 60 bytes nos quais o ARP é usado para encontrar o endereço
da camada de enlace física de uma interface de roteador ou host
quando seu endereço IP lógico é fornecido. Outro exemplo, o autor
[19] usou o tamanho de dados do quadro de 500 bytes aplicando
Qualidade de serviço (QoS) em algumas aplicações de saúde
baseadas em UDP e concluiu que é adequado tanto para atraso
quanto para jitter, bem como usou alguns outros QoS isso levou
ao tamanho do quadro de 1.500 bytes. Em seguida, o quadro
aparece na ferramenta de detecção de pacotes de acordo com a
aplicação ou protocolo utilizado na rede.
As limitações do Wireshark, ele precisa do melhor entendimento
dos formatos de protocolo, conhecimento da linguagem HTTP e
Cascade Style Sheet CSS do formato de byte. Ele usa o formato de
arquivo PCAP para capturar o tráfego, portanto, só pode capturar
os pacotes nos tipos de rede que suportam o formato de arquivo
PCAP. Outra desvantagem é que, por não ser uma ferramenta
automatizada, o Wireshark não oferece suporte para trabalhos de
monitoramento de longa duração.
C.Colasoft
É uma ferramenta de análise de protocolo de rede de código
fechado projetada para funcionar na plataforma do sistema
operacional Windows operada para uso comercial e pessoal, usada
pelo administrador de rede para solucionar problemas, monitorar e
diagnosticar o tráfego na rede de computadores. Capsa produz
edições gratuitas da ferramenta Colasoft que é fácil de usar, análise
de pacotes em tempo real e análise forense confiável e aprofundada
de protocolo e funciona continuamente com monitoramento de rede
24 horas por dia, 7 dias por semana. Possui a característica de abrir
múltiplas interfaces em uma única instância, fornecendo ao usuário
interfaces gráficas e representações matriciais [5].
Possui análise aprofundada de pacotes apresentando diferentes
características com capacidade de gerar relatórios, logs e alertas
apenas com voz e correio eletrônico para as versões licenciadas.
Possui diversas funcionalidades GUI, exibindo as informações
capturadas em gráficos, matriz e de acordo com cada característica
do tráfego da rede mostrando cada protocolo utilizado na rede. A
Figura 3 mostra a ferramenta Colasoft e seus recursos avançados
de GUI.
IJ Rede de Computadores e Segurança da Informação, 2018, 7, 12-22
Machine Translated by Google

Vigilância ética de rede usando ferramentas de detecção de pacotes: um estudo comparativo 17

As etapas a seguir aplicam as ferramentas de detecção de

pacotes Wireshark e Colasoft no protocolo HTTP, que usa o
protocolo TCP na camada de transporte [20]. Para extrair e analisar
o protocolo HTTP, execute os seguintes pontos.

• Abra o navegador, execute o Wireshark e o Colasoft no estado

de captura e navegue em qualquer site, aqui neste estudo
de caso, estamos escolhendo o site "http://www.sababank.com/
signin.php", e tente para digitar o nome de usuário e senha
de login. Depois disso feche o site e pare a captura do
tráfego de rede. • Use a barra de ferramentas de filtro para
filtrar o pacote
especificado, mostrando os protocolos e o conteúdo dos dados.
Figura 3. Interface da ferramenta de detecção de pacotes Colasoft.

Existem algumas limitações do Colasoft; é um aplicativo caro,

A Figura 4 é um exemplo de extração de nome de usuário e
enquanto uma versão gratuita está disponível, mas com recursos
senha em uma ferramenta Wireshark, filtrando o protocolo HTTP
restritos, por exemplo a versão gratuita não notifica o usuário por
que mostra o nome de usuário e a senha em texto não criptografado,
e-mail e canais de voz.
conforme mostrado na caixa retangular que mostra que o nome de
Outras duas desvantagens da ferramenta Colasoft é que ela
usuário é "Ibrahim_Diyeb" e a senha é "yemen_123 ".
funciona apenas na plataforma do sistema operacional Microsoft
O comando de filtragem é"
Windows e suporta apenas 300 protocolos, o que é considerado
http.request.method=="POST"". Essa filtragem orienta o
menos em comparação com algumas outras ferramentas de
administrador da rede a corrigir esta vulnerabilidade no aplicativo
detecção de pacotes, como a ferramenta Wireshark [6][8].
especificado usando o protocolo seguro, como Hyper Text Transfer
Protocol Secure (HTTPS) ou criptografar o conteúdo.
V. ANÁLISE EXPERIMENTAL E FILTRAGEM

O processo geral de detecção de pacotes ocorre em três etapas;

primeiro, o sniffer coleta ou captura as informações da rede,
segundo, converte os dados binários capturados em um formato
legível e, finalmente, aplica a análise e filtragem dos dados
convertidos. Existem várias formas e métodos para filtrar e
escolher o protocolo especificado ou alguma parte do tráfego de
dados. A interface NIC da máquina na qual as ferramentas de
detecção estão instaladas deve estar em modo promíscuo para
capturar todos os pacotes e quadros em todos os segmentos da
rede. Esta máquina é chamada de farejador [11]

O processo de filtragem dos pacotes atualmente capturados em

tempo real ou dos pacotes capturados salvos é considerado
importante para análise e diagnóstico de diversos tráfegos de Figura 4. Filtragem Wireshark mostrando texto simples de nome de usuário
e senha.
dados, protocolos e aplicações que são utilizados no sistema de
rede do computador. A partir desses protocolos como HTTP, ICMP,
Além disso, para extrair todo o fluxo de conexão TCP em um
Domain Name System (DNS), TCP/IP, UDP, Simple Network
arquivo, selecione o pacote desejado e clique com o botão direito
Management Protocol (SNMP), etc., todas as informações de
do mouse em “Follow TCP Stream” com o mouse, aparecerá o
volume e perdas de pacotes são mostradas nessas informações
arquivo com todo o conteúdo desse pacote.
capturadas [12] .
Além disso, essas ferramentas de detecção de pacotes;
TCPDump, Wireshark e Colasoft são usados para monitoramento,
análise e auditoria do tráfego de dados em redes de computadores
com ou sem fio. Além disso, eles são usados em testes de
penetração e detecção de intrusões, observando pacotes estranhos
na rede. As ameaças à segurança da rede são demonstradas pelo
sniffer, que tem a capacidade de capturar todo o tráfego de dados
de entrada e saída, incluindo nomes de usuários e senhas em
texto não criptografado, além de outras informações críticas [13].
Os farejadores de pacotes incluem mecanismos para descobrir a
detecção de intrusões e para pesquisar tipos específicos de
ataques à rede, como inundação de pacotes e ataques de
Figura 5. Análise e filtragem da Colasoft mostrando site.
falsificação de IP [14].

Direitos autorais © 2018 MECS IJ Rede de Computadores e Segurança da Informação, 2018, 7, 12-22
Machine Translated by Google

18 Vigilância ética de rede usando ferramentas de detecção de pacotes: um estudo comparativo

interfaces em uma única instância. Os gráficos mostram mais

visualização de diversas estatísticas e propriedades da rede.
O Wireshark é limitado a esses recursos de GUI e não abre
múltiplas interfaces em uma única instância.

Tabela 1. Características de comparação entre as ferramentas Wireshark, TCPDump

e Colasoft Packet Sniffing

Ferramenta de cheirar
Parâmetro
TCPDump Wireshark Colasoft
Código aberto Sim Sim Não

Linux
(WinDum Linux e
Sistema operacional compatível janelas
Figura 6. Análise e filtragem do Colasoft mostrando informações de texto para janelas
não criptografado. Janelas)
Nº de protocolos Mais do que
TCP/IP 300
suportados 1000
Ambas as Figuras 5 e 6 mostram a filtragem do protocolo HTTP
usando a ferramenta Colasoft Capsa do mesmo site anterior. A Interface de usuário CLI GUI e CLI GUI

Fig. 5 mostra o protocolo HTTP e o site que é usado aqui em Custo Livre Livre US$ 999
nosso estudo de caso e a fig. 6, mostra o nome de usuário e a
Libcap
senha em texto não criptografado, conforme mostrado na caixa Baseado
Sim Sim Não

quadrada.
Determinando
Sim
dados forjados Não Sim
449MB
VI. COMPARAÇÃO ENTRE AS TRÊS FERRAMENTAS DE SNIFFIG DE PACOTES (Unix), 81
Uso de disco 32 MB
484 KB MB
(Janelas)

Para comparar entre as três técnicas de detecção de rede Exibir

acima, é necessário depender de parâmetros como código-fonte protocolos

Sim
da Não Sim
aberto, número de protocolos suportados, sistema operacional
camada de aplicação
suportado, suporte a PCAP, interface de usuário, custo, formas
Somente Somente Hex,
de decodificação, pacotes anormais determinados, reconstrução Protocolo de decodificação
Hex e ASCII Hex e ASCII ASCII, EBDIC
de fluxo TCP, etc. Reconstruir Sim (mas não
Não Sim
Fluxo TCP formatado)
Mesa. 1 mostra a comparação entre as ferramentas Wireshark,
TCPDump e Colasoft. Na tabela de comparação, não há uma Identifique o
protocolo Não somente
Sim
ferramenta de detecção de pacotes liderando todos os parâmetros. Não cria um
Mas a comparação com vantagens e desvantagens ajudará os anormal
aviso)

desenvolvedores a melhorar a ferramenta de detecção de pacotes Múltiplo

Sim
Interfaces Não Não
para superar suas limitações. Aqui, compararemos as ferramentas
Detecção
de detecção de pacotes usando parâmetros qualitativos e Sim
Alarme Não Não
quantitativos [5]. Não, mostre
Não, mostrar
Colasoft possui recursos de análise com explicação mais Reconstruir o
Links para
visual com estatísticas dos pacotes capturados, exibindo mais Rede HTTP conteúdo
Não conteúdo de
Páginas do tráfego
informações sobre protocolos e aplicações do usuário com tráfego individualmente
real individualmente
gráficos e visualização de matriz para todos os endpoints conectados. Mapa da
Recursos adicionais que o Colasoft inclui relatórios, logs de matriz de Sim
Não Não
auditoria e diagnósticos. Todos esses recursos ajudam o comunicação em rede
Avaliação de
administrador da rede a diagnosticar os problemas da rede. Sim
tráfego comercial
Além disso, a Colasoft possui uma poderosa análise e interpretação crítico e não crítico Não
(criando filtros Sim (incorporado)

do fluxo TCP; possui largura de banda versátil, tráfego de rede e e pesquisas)

análise de utilização. Possui representação matricial e recursos Capacidade

de decodificação aprofundados de tráfego com comportamento de

Sim (precisa Não (apenas o
múltiplo de monitoramento de rede. Além disso, possui desenvolvimento Sim
de esforços Equipe Capsa)
visualização de eclipse de redes de computadores [1]. e customização potenciais)
Além disso, o Colasoft possui visibilidade mais poderosa e por desenvolvedores universais

estilo Windows 7 com telas gráficas simples, dashboards e Tráfego UDP Não Sim Sim

analisador de rede. Fazer o uso desta ferramenta é fácil e simples

para o usuário em que qualquer tarefa desejada é realizada
Comparado ao Wireshark, o Colasoft oferece mais segurança
clicando com o mouse. Conseqüentemente, o Colasoft está se
de rede por meio de notificações de alerta via áudio e e-mails
tornando uma ferramenta de detecção de pacotes mais amigável,
eletrônicos. A desvantagem do Colasoft é que ele cobre apenas
oferece uma maneira fácil de ler e possui vários
300 protocolos, o que é muito menos comparado ao

Direitos autorais © 2018 MECS IJ Rede de Computadores e Segurança da Informação, 2018, 7, 12-22
Machine Translated by Google
Vigilância ética de rede usando ferramentas de detecção de pacotes: um estudo comparativo
Wireshark que suporta 1100 protocolos [1].
TCPDump é uma ferramenta de detecção de pacotes muito portátil
e econômica em termos de uso de memória, pois ocupa apenas 484
Killo Byte (KB) de espaço de instalação. Embora o tamanho do
arquivo de instalação do Wireshark no início da instalação seja de 18
Mega Byte (MB), mas após a conclusão da instalação, ele consome
81 MB no Windows e 449 MB de espaço em disco no sistema
operacional Linux. O espaço de instalação do Colasoft é de 32 MB.
Conseqüentemente, em termos de uso de memória, o Wireshark é
muito caro [15].
Como o Wireshark é um código-fonte aberto, qualquer pessoa
pode baixar seu código e melhorá-lo. Existem muitos desenvolvedores
universais no mundo com capacidade de customização e
aprimoramento desta ferramenta, enquanto a Colasoft está restrita
apenas à equipe de desenvolvimento da empresa Capsa. Portanto, o
Wireshark é considerado uma boa ferramenta de sniffing de pacotes
para entender o funcionamento da programação e atende aos
requisitos dos usuários da rede fazendo customizações sem nenhum
custo. Na ferramenta Colasoft, caso o usuário necessite de alguma
customização para algum problema de monitoramento de rede, ele
solicita à empresa fornecida o valor do pagamento dessa
customização. Com a ferramenta de detecção de pacotes Wireshark,
você pode ter mais experiência em configuração TCP/IP, entendendo
a estrutura da rede, e também roda em várias plataformas, incluindo
Linux, Solaris, OS X e Windows.
Além disso, alguns autores realizam pesquisas nesta área para
aprimorar a ferramenta Wireshark, na Ref. [16], o autor aprimora a
ferramenta de detecção de pacotes Wireshark para detecção de
invasões do tipo ataques de negação de serviço (DoS), especialmente
para superar o ataque de inundação de ping que envia um grande
número de comandos de ping para o dispositivo da vítima.
VII. RESULTADO E DISCUSSÃO
Cada uma das ferramentas de detecção de pacotes tem suas
próprias vantagens e desvantagens. Todas essas ferramentas de
detecção de pacotes possuem características gerais para
propriedades de rede, mas cada ferramenta possui seu próprio recurso competitivo.
Há uma variedade de parâmetros qualitativos e quantitativos que são
discutidos e comparados nas ferramentas de detecção de pacotes;
Wireshark, TCPDump e Colasoft. Destes parâmetros estão o número
de protocolos suportados, código-fonte aberto, plataforma suportada,
biblioteca libpcap, suporte PCAP, interface de usuário, custo, formas
de decodificação, pacotes anormais determinados, comunicação de
rede em mapa de matriz, reconstrução de fluxo TCP, etc.
Conseqüentemente, cada ferramenta do analisador de rede não
conduz todos os parâmetros da rede. Enquanto a ferramenta Colasoft
é melhor que o Wireshark em relatórios matriciais e gráficos, o
Wireshark é um código-fonte aberto, fácil para desenvolvedores do
mundo desenvolverem e customizarem código de acordo com suas
necessidades, e é compatível com diferentes plataformas como Linux
e Sistemas operacionais MS Windows, enquanto Colasoft funciona
apenas em sistemas operacionais MS. Por outro lado, a ferramenta
TCPDump é uma ferramenta leve que possui pequeno tamanho de
espaço em disco como característica competitiva, portanto é a
melhor opção para utilizá-la remotamente para monitorar redes de
computadores através da interface de linha de comando.
Direitos autorais © 2018 MECS
19
O outro fator de parâmetro importante é o número de protocolos
suportados pela ferramenta de detecção de pacotes. O Wireshark
suporta um grande número de protocolos, mais de 1000 protocolos,
que é uma ferramenta superior para monitoramento e controle de
rede para uso em redes heterogêneas que possuem diversos
protocolos, incluindo aplicações de vídeo e áudio, enquanto as
outras ferramentas de monitoramento de rede suportam apenas
alguns protocolos, como já que a ferramenta Colasoft suporta apenas
cerca de 300 protocolos e o TCPDump suporta apenas o protocolo
TCP/IP e não suporta o protocolo da camada de transporte User
Datagram Protocol (UDP).
Além disso, considerando outros parâmetros como custo, o
Wireshark e o TCPDump são ferramentas gratuitas, enquanto o
Colasoft é caro e mais caro que outras ferramentas.
Mas o Colasoft é uma ferramenta mais forte na detecção de protocolos
anormais, o que é uma característica competitiva em comparação
com outras ferramentas como o Wireshark que apenas emitem um
aviso. A ferramenta de detecção de pacotes Colasoft foi desenvolvida
pela equipe Capsa que o tornou uma boa interface gráfica e possui
mais recursos de segurança. A interface de filtragem também é
considerada um recurso competitivo na ferramenta Colasoft que é
mais GUI e amigável que facilita ao usuário filtrar e analisar os
protocolos e o tráfego de dados de maneira fácil.
Além disso, alguns outros autores testaram alguns dos parâmetros
de rede para comparação entre ferramentas de detecção de pacotes;
o resultado é mostrado nos seguintes pontos [1].
A. Tempo de resposta
É definido como a duração dos períodos de tempo (medidos em
unidades de tempo) para um determinado evento específico. Os
autores concluem que o tempo de resposta do Wireshark é menor
que o tempo de resposta do Colasoft.
B. Pacotes por Segundo (PPS)
É o número de pacotes transmitidos em um segundo. Vê-se
claramente que o Wireshark tem menor perda de pacotes que o
Colasoft. Conseqüentemente, o Wireshark é preferido em comparação
ao Colasoft para retransmissão de menos pacotes.
C. Distribuição do tamanho do pacote
Um tamanho menor de pacotes pode resultar em menos estresse
na rede, enquanto um tamanho de pacote longo aumenta a carga na
rede. Após aplicar o cenário experimental, eles concluíram que o
tamanho do pacote no Wireshark é 558,76 Byte (B), enquanto no
Colasoft é 434 B. Portanto, o Colasoft está enviando pacotes de
tamanho médio; é melhor que a ferramenta Wireshark para a carga
da rede de computadores.
O Colasoft Capsa não sobrecarrega o sistema e a rede.
D. Taxas de transferência (bits por segundo)
É a quantidade de dados processados pelo sistema medida em
segundos. Após a aplicação do experimento, mostra-se que o
rendimento no Colasoft Capsa é grande e é
mudando rapidamente. Essas mudanças aleatórias são ruins para o
sistema da rede, pois prejudicam o desempenho do sistema e da
rede de computadores. Considerando que o Wireshark tem um
comportamento constante e uma boa faixa de padrões do
IJ Rede de Computadores e Segurança da Informação, 2018, 7, 12-22
Machine Translated by Google

20 Vigilância ética de rede usando ferramentas de detecção de pacotes: um estudo comparativo

rede do computador. A média de bits por segundo (bps) no
Wireshark é 115,398 kbps e no Colasoft é 6,34 kbps.
Conseqüentemente, o Wireshark tem maior rendimento do que o
Colasoft Capsa, então o Wireshark tem mais desempenho com
uma variação constante e também, sem ver altos cortes de bps.
os desenvolvedores podem se beneficiar do código-fonte aberto
do Wireshark e desenvolvê-lo de acordo com seus requisitos de
monitoramento de rede e propriedades de análise sem nenhum
custo. A customização no Colasoft é cara e é feita apenas pela
equipe Capsa.

Mesa. 2 mostra os melhores usos da ferramenta de detecção

de pacotes para cada propriedade da rede. O melhor uso do VIII. CONCLUSÃO
Colasoft no alarme de pacotes anormais e forjados e fornece mais
Existem diversas ferramentas para capturar, monitorar, auditar
segurança e interfaces GUI. Já o Wireshark é adequado para
e analisar o tráfego de dados de redes de computadores tanto em
aprendizado por programadores e desenvolvedores, baixando o
redes com fio quanto sem fio e chamadas de ferramentas de
código-fonte e personalizando-o de acordo com as necessidades
sniffing de pacotes. As ferramentas de detecção de pacotes
de monitoramento da rede. A ferramenta TCPDump é mais
funcionam em três etapas; coleta do tráfego de dados da rede de
adequada no controle de acesso lógico remoto para monitorar
computadores em dados binários brutos, em seguida, converte
rede usando CLI.
os dados binários em formato legível por humanos e depois filtra

Tabela 2. Melhores usos das ferramentas de detecção de pacotes; Ferramentas

e analisa os dados coletados. O objetivo das ferramentas de
Colasoft, Wireshark e TCPDump. detecção de pacotes ajuda os administradores de rede a examinar
os pacotes capturados, mostrando as vulnerabilidades e o abuso
Parâmetro de rede Ferramenta de cheirar
dos ativos de TI da organização pelos funcionários.
Segurança de redes de computadores
Além disso, engenheiros e desenvolvedores de segurança de
GUI
rede precisam de ferramentas de detecção de pacotes para
Identifique o pacote anormal e forjado
investigar problemas de segurança de rede e depurar a
Alarmes de rede implementação de protocolos de comunicação e aplicativos de rede.
O farejador de pacotes não é uma ferramenta de hacker. Ele é
Tamanho do pacote

usado para solucionar problemas, monitorar, analisar e auditar o

Comunicação de rede
Colasoft
tráfego de dados da rede para tornar a rede segura, confiável e
Várias interfaces por única
interface aumentar o desempenho.
Formulário de protocolo de decodificação (Hex, Neste estudo, comparamos as três famosas ferramentas de
ASCII, EBDIC) detecção de pacotes; Wireshark, TCPDump e Colasoft de acordo
Determinando o pacote anormal
com vários parâmetros, como capacidade de detecção de intrusão,
especificando os pacotes com dados
sistemas operacionais suportados, número de protocolos
forjados
suportados, recurso de código-fonte aberto, múltiplas interfaces,
Mostrando protocolos da camada de
aplicação no modelo OSI 7 biblioteca libpcap, suporte a PCAP, interface de usuário,
SO compatível formulários de decodificação, pacotes anormais determinados,
Personalização e desenvolvimento para rede comunicação em mapa matricial, etc.
todos os desenvolvedores Cada ferramenta de detecção de pacotes tem suas próprias
Wireshark
Tempo de resposta
vantagens e desvantagens. O Wireshark é gratuito, tem código-
Taxas de transferência (bps) fonte aberto poderoso e oferece suporte a um grande número de
Pacotes por segundo
protocolos de rede e aplicativos, suportando mais de 1000
Número de protocolos suportados protocolos. Os desenvolvedores de rede se beneficiam desses
Controle de acesso remoto portátil e TCPDump recursos baixando o código-fonte, customizando-o e desenvolvendo-
fácil
o de acordo com suas necessidades nas propriedades da rede
gratuitamente. Por outro lado, Colasoft é código fechado da Capsa
Na minha opinião, para grandes empresas você pode usar a
Co., mas oferece mais segurança e recursos de filtragem, possui
ferramenta de detecção de pacotes Colasoft e para educação e
bons recursos de GUI com tabelas, gráficos e mapa matricial. A
aprendizagem, o Wireshark é dominante. Tanto o Wireshark
Colasoft identifica os pacotes anormais e falsificados com
quanto o Colasoft são duas ferramentas familiares amplamente
capacidade de detecção de alarme via correio eletrônico e
utilizadas no mundo e o TCPDump é simples e portátil, usado
notificação de voz ao administrador da rede sobre qualquer
remotamente de qualquer lugar, apenas para solução de problemas
problema ocorrido no pacote.
básicos de problemas de rede, além das ferramentas gráficas de
A terceira ferramenta comparada, TCPDump, é uma ferramenta de
detecção de pacotes. A principal vantagem do Colasoft é a interface do usuário.
código-fonte aberto, portátil e econômica em termos de uso de
É amigável e fácil de ler. Possui mais recursos de visualização;
memória. É usado remotamente via Telnet pelos usuários e
os gráficos e a matriz com relatórios e registros de auditoria mais
suporta apenas o protocolo TCP/IP.
legíveis. Existem várias interfaces que podem ser abertas em uma
Todas essas ferramentas de sniffing de pacotes precisam
instância no Colasoft.
desenvolver aplicações que facilitem a visualização e suporte de
Na análise de rede, tanto o Wireshark quanto o Colasoft estão
mais análises de protocolos em que reconheçam as diferentes
detectando automaticamente erros de rede. Mas a Colasoft
partes do tráfego. Em trabalhos futuros, aplique ferramentas de
fornece ao usuário detalhes sobre o motivo e a solução desses
detecção de pacotes em uma variedade de aplicações, como voz
erros.
sobre IP (VoIP) e aplicações de videoconferência, incluindo
Ao falar sobre código aberto, o universal
métodos de análise e filtragem.

Direitos autorais © 2018 MECS IJ Rede de Computadores e Segurança da Informação, 2018, 7, 12-22
Machine Translated by Google
Vigilância ética de rede usando ferramentas de detecção de pacotes: um estudo comparativo
REFERÊNCIAS
[1] Nedhal A. Ben-Eid, Monitoramento de rede ética usando Wireshark
e Colasoft Capsa como ferramentas de detecção, International
Journal of Advanced Research in Computer and Communication
Engineering Vol. 4, Edição 3, pp 471-478, março de 2015.
[2] Palak Girdhar e Vikas Malik, Um estudo sobre detecção de pacotes
usando o método Sniffing, Journal of Network Communications and
Emerging Technologies (JNCET)
Vol. 6, Edição 7, julho de 2016.
[3] Nabanita Mandal e Sonali Jadhav, Uma Pesquisa sobre
Ferramentas de Segurança de Rede para Código Aberto, IEEE, 2016.
[4] Savita Kamalakarrao Kulkarn, Uma Pesquisa de Ataques de
Senha, Contramedidas e Análise Comparativa de Métodos de
Autenticação Segura, IJARCSMS, Vol. 3, Edição 11, pp. 319-331,
novembro de 2015.
[5] Dr. Aruna Varanasi, P. Swathi, Estudo comparativo de ferramentas
de detecção de pacotes para monitoramento e análise de redes
HTTP, IJCSET(www.ijcset.net), Vol. 6, Edição 12, pp. 406-409,
dezembro de 2016.
[6] Oludele Awodele, Otusile Oluwabukola, AC Ogbonna e Ajayi
Adebowale, Packet Sniffer – Um Estudo de Avaliação de
Características Comparativas, Proceedings of Informing Science &
IT Education Conference (InSITE), pp.
[7] ANSHUL GUPTA, Um estudo de pesquisa sobre ferramenta de detecção
de pacotes TCPDUMP, International Journal of Communication and
Computer Technologies, Vol. 01, nº 49 Edição 06, pp. 172-174, julho
de 2013.
[8] Charu Gandhi, Gaurav Suri, Rishi P. Golyan, Pupul Saxena e
Bhavya K. Saxena, Packet Sniffer – A Comparative Study,
International Journal of Computer Networks and Communications
Security, Vol.2, No. 179–187, maio de 2014.
[9] Mahesh Kumar e Rakhi Yadav, ANÁLISE DE PACOTES TCP E UDP
USANDO WIRESHARK,
IJSETR, vol. 4, Edição 7, pp. 2470-2474, julho de 2015.
[10] Ajay Kumar e Jai Bhagwan Yadav, Comparação: Wireshark em
diferentes parâmetros, International Journal Of Engineering And
Computer Science, Vol. 5, Edição 3, pp. 16041-16046, março de
2016.
[11] Pallavi Asrodia e Hemlata Patel, Análise de várias ferramentas de
detecção de pacotes para monitoramento e análise de rede,
International Journal of Electrical, Electronics and Computer
Engineering, ppt. 55-58, 2012.
[12] Pallavi Asrodia, Sr. Vishal Sharma, Monitoramento e análise de
rede pelo método Packet Sniffing, International Journal of Engineering
Trends and Technology (IJETT), Vol. 4, Edição. 5, pp. 2133-2135,
maio de 2013.
[13] Inderjit Kaur, Harkarandeep Kaur e Er. Gurjot Singh, Analisando
várias ferramentas de detecção de pacotes, International Journal of
Electrical Electronics & Computer Science Engineering, Vol. 1, Edição.
5, pp. 65-69, outubro de 2014.
[14] Mohammed Abdul Qadeer, Mohammad Zahid, Arshad Iqbal e
MisbahurRahman Siddiqui, Network Traffic Analysis and Intrusion
Detection using Packet Sniffer, Segunda Conferência Internacional
sobre Software e Redes de Comunicação, ppt. 313-317, IEEE, 2010.
[15] Otusile Oluwabukola, Awodele Oludele, AC Ogbonna, Ajeagbu
Chigozirim e Anyeahie Amarachi, Um aplicativo Packet Sniffer
(PSniffer) para segurança de rede em Java, Problemas em Ciência
da Informação e Tecnologia da Informação, ppt. 389-400, vol. 10,
2013.
Direitos autorais © 2018 MECS IJ Rede de Computadores e Segurança da Informação, 2018, 7, 12-22
21
[16] S.Pavithirakini, DDMMBandara, CNGunawardhana, et.al, Melhorar
as capacidades do Wireshark como uma ferramenta para detecção
de intrusões em ataques DOS, International Journal of Scientific and
Research Publications, Volume 6, Issue 4, pp.
[17] Ibrahim Diyeb e Dr. Sharaf A. Alhomdy, Frame Relay versus modo de
transferência assíncrona: um estudo comparativo e simulação, IJ
Computer Network and Information Security, Volume 10, pp.
40, outubro de 2017.
[18] Shaneel Narayan, Paula Raymond Lutui, TCP/IP Jumbo Frames
Network Performance Evaluation on A Testbed Infrastructure,
EUTechnologies,
Wireless and Microwave J volume 6, pp.
[19] Er. Vikram Jeet Singh, Er. Vikram Kumar , Dr.
[20] Y.-J. Lee, Aproximação do tempo médio de resposta para transações
HTTP sobre protocolos de transporte, IJ
Redes de Computadores e Segurança da Informação, 2015, 1, pp.
Perfis dos Autores
Eng. Ibrahim Diyeb nasceu em Taiz, Iêmen. Ele
recebeu o diploma de bacharel em tecnologia da
informação e engenharia pela Faculdade de
Engenharia da Universidade de Aden, República do
Iêmen, em 2009. Atualmente está cursando o
mestrado em tecnologia da informação (MIT), FCIT,
Universidade de Sana'a, Iêmen. Além disso, recebeu
Certificado Profissional em ITIL@ Foundation da
AXELOS (Instituto APMG) com Registro Certificado nº ITIL/IN519400, e
Certificado nº 02822276-01-4GAK, em março de 2014. Atualmente trabalha
como auditor de TI no Iêmen Comercial Banco, sede, edifício Al-Rowishan,
rua Al_zubairy, Sana'a, Iêmen. O trabalho anterior é Analista MIS na Itex
Solutions Company, Sana'a, Iêmen.
Dr. Anwar Saif recebeu seu Ph.D. formado pela
University Putra Malaysia (UPM) em 2012,
atualmente é professor assistente na Universidade
de Sana'a, Iêmen. Seus interesses de pesquisa
são comunicação sem fio, VoIP, computação em
nuvem e Internet das coisas (IoT).
Dr. Nagi Al-Shaibany recebeu bacharelado em
Engenharia da Computação pela Universidade de
Sana'a, Iêmen, e mestrado em arte pela New Mexico
State University NMSU, EUA e doutorado. em
Política Internacional de Tecnologia da Informação
ITPP pela Universidade Nacional de Seul, Coreia do
Sul. Ele trabalha com ensino e pesquisa e agora é
chefe do departamento de tecnologia da informação na faculdade de
Informática e Tecnologia da Informação da Universidade de Sana'a. Ele
tinha múltiplos
pesquisadores em ciência da computação e tecnologia e política
da informação. Ele também supervisionou diversos projetos em
nível de graduação e pós-graduação.
Machine Translated by Google

22 Vigilância ética de rede usando ferramentas de detecção de pacotes: um estudo comparativo

Como citar este artigo: Ibrahim Ali Ibrahim Diyeb, Anwar Saif, Nagi Ali Al-Shaibany,"Ethical Network Surveillance using Packet Sniffing
Tools: A Comparative Study", International Journal of Computer Network and Information Security(IJCNIS), Vol.10, No.7, pp.12-22,
2018.DOI: 10.5815/ijcnis.2018.07.02

Direitos autorais © 2018 MECS IJ Rede de Computadores e Segurança da Informação, 2018, 7, 12-22