Escolar Documentos
Profissional Documentos
Cultura Documentos
Direitos autorais © 2018 MECS IJ Rede de Computadores e Segurança da Informação, 2018, 7, 12-22
Machine Translated by Google
fatores importantes de segurança de rede e controle de acesso são processo e a maioria dos tipos de detecção de pacotes. A Seção IV
confidencialidade, integridade, disponibilidade, autorização, explica as três ferramentas de detecção de pacotes: Wireshark,
autenticação, responsabilidade e integridade. Como exemplo, TCPDump e ferramenta Colasoft, explica seus recursos, vantagens e
processo de autenticação que é a forma de acessar e trocar limitações. A Seção V apresenta a análise experimental e os métodos
informações entre dois sistemas. de filtragem usando essas ferramentas de sniffing de pacotes. A
A antiga técnica de autenticação usa nome de usuário e senha. O Seção VI apresenta
sniffer de rede verifica o tráfego de pacotes, inspecionando nomes estudo comparativo entre essas três ferramentas de detecção de
de usuários, senhas, endereços e dados de texto simples. Além disso, pacotes. A Seção VII apresenta o resultado e discussão. Por fim, a
as ferramentas de detecção de pacotes orientam o administrador da conclusão é apresentada na seção VIII.
rede com quaisquer alterações indesejadas na rede de computadores,
como inundação de pacotes e falsificação de IP [3].
II. VULNERABILIDADE E ATAQUES DE REDE
Além disso, o Packet sniffer imprime os dados coletados na tela e
A vulnerabilidade é a fragilidade dos protocolos, aplicações e
relata o log do tráfego capturado de acordo com parâmetros como
dados transferidos nas redes de computadores. Conseqüentemente,
endereço de destino, endereço de origem, número da porta de
as ameaças exploram essas fraquezas para danificar recursos,
destino, protocolo utilizado.
sistemas e aplicações. A primeira coisa que os invasores fazem é o
Os administradores de rede podem fazer análises aprofundadas do
reconhecimento do sistema de rede da vítima, reunindo informações
tráfego para superar quaisquer pontos fracos da rede e simplificar a
vulneráveis usando ferramentas como dig, whois, traceroute e
solução de erros. Além disso, eles podem salvar registros de auditoria
nslookup, bem como ferramentas de detecção de pacotes. A varredura
para prestação de contas e uso posterior. Além disso, a detecção de
de rede é usada para encontrar vulnerabilidades no sistema de rede.
senhas em texto simples, o abuso de recursos do computador, tudo
A varredura de porta é o processo de encontrar a porta ativa quando
isso pode levar ao mau funcionamento da rede de computadores e
um cliente solicita o servidor [3].
diminuir o desempenho da rede. Por todas essas razões, são
necessárias ferramentas de análise de rede ou de detecção de
Existem dois tipos de ataques de rede: ativos ou passivos. O
pacotes [1].
sniffing de pacotes é considerado o tipo de ataque passivo em que
Existem vários objetivos para habilitar pacotes
o invasor monitora e coleta informações da rede para obter
ferramentas de sniffing, algumas delas nos seguintes pontos:
vulnerabilidades, como senhas de texto não criptografado,
informações de roteamento, transações financeiras, e-mails,
• Eles são usados por administradores de rede na análise,
endereços MAC (Media Access Control), protocolo de Internet (IP ) ,
monitoramento e auditoria do tráfego de rede para investigar
informações críticas e confidenciais que não são criptografadas
o abuso de ativos de TI por funcionários que levam à
podem ser obtidas por meio de ferramentas de detecção de pacotes
prevenção de violações de padrões de políticas e
sem o conhecimento do usuário. O outro tipo de ataques de rede
procedimentos de um setor ou organização. •
são os ataques ativos nos quais o invasor compromete o sistema
Os farejadores de pacotes são usados como detecção de
de rede mascarando-se para outra entidade no sistema de rede.
intrusão e teste de penetração por desenvolvedores de
Falsificação de IP, falsificação de protocolo de resolução de
aplicativos de rede, programadores, engenheiros de rede e
endereço (ARP) e falsificação de MAC são exemplos de ataques
segurança, especialmente alarmes sobre mau funcionamento
ativos.
da rede ou ataque quando o desempenho da rede está lento
ou fraco.
Enquanto TCPDump, Wireshark e Colasoft são considerados
• Ajudar os administradores de rede a detectar os pontos fracos,
métodos de detecção de pacotes. Existem algumas ferramentas
ameaças e vulnerabilidades da rede para melhorar a segurança
usadas para falsificação. ETTERCAP é a ferramenta usada para
geral das redes. • Compreender as diferentes
falsificação e envenenamento de ARP que pode realizar ataques
aplicações de rede que utilizam o Transmission Control Protocol
Man-in-the-Middle. Requer a seleção da interface de rede para
(TCP) e o User Datagram Protocol (UDP), seus parâmetros, tipo
trabalhar nela. Depois que a interface é selecionada, a rede é
de carga útil, IP, endereços de Media Access Control (MAC), verificada em busca de hosts na rede e os hosts são mostrados
etc. em sua lista na ferramenta. As ferramentas de detecção de pacotes
são usadas para coletar informações da rede de computadores,
convertendo as informações binárias em formato hexadecimal e
Porém, o objetivo principal desta pesquisa é comparar três
legível por humanos para análise, diagnóstico de falhas de rede e
ferramentas diferentes de análise de rede; Wireshark, TCPdump e
solução de problemas. Eles são usados para detectar erros e
Colasoft Capsa usando diferentes parâmetros, como interface gráfica
tráfego anormal na rede. Os administradores de rede estão usando
do usuário (GUI), sistemas operacionais suportados, biblioteca essas ferramentas também para prever as fraquezas e
libpcap, suporte para captura de pacotes (PCAP) de código aberto,
vulnerabilidades da rede, mostrando os protocolos que são
interface do usuário, custo, formas de decodificação, pacotes
inseguros para substituí-los por protocolos fortes [3].
anormais determinados, etc.
Direitos autorais © 2018 MECS IJ Rede de Computadores e Segurança da Informação, 2018, 7, 12-22
Machine Translated by Google
Os logins com Número de Identificação Pessoal (PIN) são sistemas com ou sem fio, filtra o tráfego e os protocolos específicos
bancários, login de e-mail, All Time Money (ATM), Ponto de Venda e, em seguida, armazena os dados no buffer. • O
(POS), login de servidor, etc. nenhuma proteção forte dos métodos buffer armazena os quadros capturados coletados na rede.
de login. As ferramentas de detecção de pacotes são usadas de
forma eficiente e eficaz para testar a fraqueza dos métodos de login • Análise e decodificação: nesta fase os dados da rede são
de nomes de usuário e senhas. Essas ferramentas de detecção de exibidos em formato de texto descritivo, e a análise é figurada
pacotes fornecem ao administrador da rede detalhes completos de para cada parte dos dados [4].
nomes de usuários e senhas em texto simples ou que não possuem
técnicas de criptografia fortes para tomar uma contramedida
B. Tipos de detecção de pacotes
adequada para resolver pontos fracos no sistema de rede.
Existem alguns parâmetros da classificação do
sniffing de pacotes, conforme mostrado nos pontos a seguir.
Além disso, existem muitos tipos de ataques de senha que • Sniffing baseado em IP: Este é o método fundamental e
fazem com que invasores e hackers quebrem senhas. comumente usado de sniffing de pacotes. Desta forma a
Desses tipos estão força bruta, ataque de dicionário, malware/key placa de rede fica configurada em modo promíscuo para
logger, injeção de SQL, ataque de tabela arco-íris e ataque de capturar todos os pacotes que passam pela rede. Ele usa
phishing. Como administrador de rede, você pode usar o aplicativo uma filtragem baseada em IP e apenas os pacotes são
de detecção de pacotes para determinar o campo dos nomes de capturados quando correspondem aos endereços IP
usuário e senhas no tráfego de dados e testar a complexidade das especificados. Em geral, o filtro baseado em IP não está
senhas e tomar uma contramedida apropriada para evitar que definido, portanto o sniffing de IP pode capturar todos os
invasores roubem as senhas, por exemplo, quando o administrador pacotes. O filtro sniffing baseado em IP funciona em
da rede mostra as senhas contidas em uma combinação de redes não comutadas. • MAC Sniffing: assim como o filtro
números, caracteres e caracteres especiais que é do tipo ataque baseado em IP, o filtro MAC sniffing permite que o host
de força bruta, ele deve aconselhar para prevenir este tipo de capture todos os pacotes da rede de acordo com os
ataque tornando a senha mais complexa e muito longa [4]. endereços MAC correspondentes.
• ARP Sniffing: Esta forma é utilizada de forma eficiente em
redes comutadas. Funciona um pouco diferente e não requer
colocar a placa de rede em modo promíscuo porque os
pacotes ARP serão enviados para nós. Isso ocorreu porque
III. SNIFFING DE REDE o protocolo ARP não tem estado [1][2].
O sniffer de pacotes tem os benefícios de analisar o tráfego, • Coleta na qual o sniffer de pacotes coleta e coleta os dados
determinar e compreender as características da rede, possíveis brutos binários da interface de rede, seja com fio ou sem fio.
ataques maliciosos, pico de uso da largura de banda e sua
disponibilidade e encontrar aplicativos, dados e protocolos não • Conversão na qual os dados binários capturados são
seguros [1]. convertido em formato de dados legível para conhecer os
Existem dois tipos de detecção de pacotes: modo monitor ou protocolos usados e a carga útil dos
modo promíscuo. Quando a placa de interface de rede (NIC) é dados. • Análise dos dados capturados e convertidos para
definida no modo promíscuo, o host se torna capaz de detectar extrair os protocolos utilizados e analisar seus parâmetros.
todos os pacotes. No modo monitor, ou às vezes chamado de modo
"rfmon", a NIC não se preocupa com a verificação de redundância
cíclica (CRC) e o processo de captura ocorre sem associação ou Cada dispositivo na rede possui um endereço físico da NIC
autenticação, por exemplo, entre ponto de acesso e NIC sem fio em identificado exclusivamente. Quando o dispositivo está enviando o
redes sem fio [5 ]. pacote, ele passa por todas as máquinas da rede. Com o princípio
da Ethernet compartilhada, todas as máquinas na rede podem ver
o tráfego, mas não responder a esse tráfego se ele não pertencer a
A. Componentes do Packet Sniffer
essa máquina.
O sniffer de pacotes consiste nos seguintes componentes. Quando a NIC é definida no modo promíscuo, a máquina pode
ver todo o tráfego no segmento. Porém, quando a NIC entra em
modo promíscuo para uma máquina, a NIC pega e reúne todos os
• Hardware: a peça de hardware usada como adaptadores de frames e pacotes da rede, mesmo que esses frames e pacotes não
rede padrão. sejam destinados a essa máquina, o que nesta situação é chamado
• Driver de captura: É uma parte crítica do sniffer de pacotes. de sniffer. O farejador inicia a leitura de todas as informações
Tem a função de capturar dados da rede inseridas no
Direitos autorais © 2018 MECS IJ Rede de Computadores e Segurança da Informação, 2018, 7, 12-22
Machine Translated by Google
compartilham o mesmo cabo e alternam o uso da largura de pacotes mais fácil e portátil, pois depende apenas da CLI e os administradores
banda. Neste tipo, cada máquina recebe o tráfego que trafega de rede a utilizam para acessar os dispositivos de rede a partir de locais remotos
Possui a biblioteca libpcap desenvolvida em linguagem de transportar e reconhecer os problemas da rede e monitorar o
programação C que serviu para coletar informações da rede. tráfego de dados. Ele nomeou isso
A libpcap fornece a interface para todas as plataformas comuns Ethereal até maio de 2006 e depois disso seu nome mudou para
baseadas em Unix, incluindo FreeBSD e Linux. A interface libpcap Wireshark. É um software de código aberto, ferramenta de análise
na plataforma Windows chamada WinDump. de pacotes gratuita e GUI escrita em linguagem de programação C
Windump é usado o WinPcap que é a porta do Windows e lançada sob GNU General
Direitos autorais © 2018 MECS IJ Rede de Computadores e Segurança da Informação, 2018, 7, 12-22
Machine Translated by Google
O Wireshark foi projetado para capturar pacotes de redes ativas Seção de detalhes
e também navegar em arquivos de dados capturados salvos
anteriormente. O formato suportado de captura de pacotes é o
formato de arquivo "PCAP". Ele exibe os dados capturados em
formatos byte e hexadecimal mostrando diferentes tipos de pacotes
Conteúdo hexadecimal
e protocolos usados. Também permite ao usuário reunir os dados
dos pacotes em um fluxo TCP. Figura 2. Interface da ferramenta de detecção de pacotes Wireshark.
Direitos autorais © 2018 MECS IJ Rede de Computadores e Segurança da Informação, 2018, 7, 12-22
Machine Translated by Google
Direitos autorais © 2018 MECS IJ Rede de Computadores e Segurança da Informação, 2018, 7, 12-22
Machine Translated by Google
Ferramenta de cheirar
Parâmetro
TCPDump Wireshark Colasoft
Código aberto Sim Sim Não
Linux
(WinDum Linux e
Sistema operacional compatível janelas
Figura 6. Análise e filtragem do Colasoft mostrando informações de texto para janelas
não criptografado. Janelas)
Nº de protocolos Mais do que
TCP/IP 300
suportados 1000
Ambas as Figuras 5 e 6 mostram a filtragem do protocolo HTTP
usando a ferramenta Colasoft Capsa do mesmo site anterior. A Interface de usuário CLI GUI e CLI GUI
Fig. 5 mostra o protocolo HTTP e o site que é usado aqui em Custo Livre Livre US$ 999
nosso estudo de caso e a fig. 6, mostra o nome de usuário e a
Libcap
senha em texto não criptografado, conforme mostrado na caixa Baseado
Sim Sim Não
quadrada.
Determinando
Sim
dados forjados Não Sim
449MB
VI. COMPARAÇÃO ENTRE AS TRÊS FERRAMENTAS DE SNIFFIG DE PACOTES (Unix), 81
Uso de disco 32 MB
484 KB MB
(Janelas)
estilo Windows 7 com telas gráficas simples, dashboards e Tráfego UDP Não Sim Sim
Direitos autorais © 2018 MECS IJ Rede de Computadores e Segurança da Informação, 2018, 7, 12-22
Machine Translated by Google
Wireshark que suporta 1100 protocolos [1]. O outro fator de parâmetro importante é o número de protocolos
TCPDump é uma ferramenta de detecção de pacotes muito portátil suportados pela ferramenta de detecção de pacotes. O Wireshark
e econômica em termos de uso de memória, pois ocupa apenas 484 suporta um grande número de protocolos, mais de 1000 protocolos,
Killo Byte (KB) de espaço de instalação. Embora o tamanho do que é uma ferramenta superior para monitoramento e controle de
arquivo de instalação do Wireshark no início da instalação seja de 18 rede para uso em redes heterogêneas que possuem diversos
Mega Byte (MB), mas após a conclusão da instalação, ele consome protocolos, incluindo aplicações de vídeo e áudio, enquanto as
81 MB no Windows e 449 MB de espaço em disco no sistema outras ferramentas de monitoramento de rede suportam apenas
operacional Linux. O espaço de instalação do Colasoft é de 32 MB. alguns protocolos, como já que a ferramenta Colasoft suporta apenas
Conseqüentemente, em termos de uso de memória, o Wireshark é cerca de 300 protocolos e o TCPDump suporta apenas o protocolo
muito caro [15]. TCP/IP e não suporta o protocolo da camada de transporte User
Como o Wireshark é um código-fonte aberto, qualquer pessoa Datagram Protocol (UDP).
pode baixar seu código e melhorá-lo. Existem muitos desenvolvedores Além disso, considerando outros parâmetros como custo, o
universais no mundo com capacidade de customização e Wireshark e o TCPDump são ferramentas gratuitas, enquanto o
aprimoramento desta ferramenta, enquanto a Colasoft está restrita Colasoft é caro e mais caro que outras ferramentas.
apenas à equipe de desenvolvimento da empresa Capsa. Portanto, o Mas o Colasoft é uma ferramenta mais forte na detecção de protocolos
Wireshark é considerado uma boa ferramenta de sniffing de pacotes anormais, o que é uma característica competitiva em comparação
para entender o funcionamento da programação e atende aos com outras ferramentas como o Wireshark que apenas emitem um
requisitos dos usuários da rede fazendo customizações sem nenhum aviso. A ferramenta de detecção de pacotes Colasoft foi desenvolvida
custo. Na ferramenta Colasoft, caso o usuário necessite de alguma pela equipe Capsa que o tornou uma boa interface gráfica e possui
customização para algum problema de monitoramento de rede, ele mais recursos de segurança. A interface de filtragem também é
solicita à empresa fornecida o valor do pagamento dessa considerada um recurso competitivo na ferramenta Colasoft que é
customização. Com a ferramenta de detecção de pacotes Wireshark, mais GUI e amigável que facilita ao usuário filtrar e analisar os
você pode ter mais experiência em configuração TCP/IP, entendendo protocolos e o tráfego de dados de maneira fácil.
a estrutura da rede, e também roda em várias plataformas, incluindo
Linux, Solaris, OS X e Windows. Além disso, alguns outros autores testaram alguns dos parâmetros
de rede para comparação entre ferramentas de detecção de pacotes;
Além disso, alguns autores realizam pesquisas nesta área para o resultado é mostrado nos seguintes pontos [1].
aprimorar a ferramenta Wireshark, na Ref. [16], o autor aprimora a
ferramenta de detecção de pacotes Wireshark para detecção de
A. Tempo de resposta
invasões do tipo ataques de negação de serviço (DoS), especialmente
para superar o ataque de inundação de ping que envia um grande É definido como a duração dos períodos de tempo (medidos em
número de comandos de ping para o dispositivo da vítima. unidades de tempo) para um determinado evento específico. Os
autores concluem que o tempo de resposta do Wireshark é menor
que o tempo de resposta do Colasoft.
Direitos autorais © 2018 MECS IJ Rede de Computadores e Segurança da Informação, 2018, 7, 12-22
Machine Translated by Google
rede do computador. A média de bits por segundo (bps) no os desenvolvedores podem se beneficiar do código-fonte aberto
Wireshark é 115,398 kbps e no Colasoft é 6,34 kbps. do Wireshark e desenvolvê-lo de acordo com seus requisitos de
Conseqüentemente, o Wireshark tem maior rendimento do que o monitoramento de rede e propriedades de análise sem nenhum
Colasoft Capsa, então o Wireshark tem mais desempenho com custo. A customização no Colasoft é cara e é feita apenas pela
uma variação constante e também, sem ver altos cortes de bps. equipe Capsa.
Direitos autorais © 2018 MECS IJ Rede de Computadores e Segurança da Informação, 2018, 7, 12-22
Machine Translated by Google
Bhavya K. Saxena, Packet Sniffer – A Comparative Study, Engenharia da Universidade de Aden, República do
International Journal of Computer Networks and Communications Iêmen, em 2009. Atualmente está cursando o
Security, Vol.2, No. 179–187, maio de 2014. mestrado em tecnologia da informação (MIT), FCIT,
Universidade de Sana'a, Iêmen. Além disso, recebeu
[9] Mahesh Kumar e Rakhi Yadav, ANÁLISE DE PACOTES TCP E UDP Certificado Profissional em ITIL@ Foundation da
IJSETR, vol. 4, Edição 7, pp. 2470-2474, julho de 2015. Certificado nº 02822276-01-4GAK, em março de 2014. Atualmente trabalha
como auditor de TI no Iêmen Comercial Banco, sede, edifício Al-Rowishan,
[10] Ajay Kumar e Jai Bhagwan Yadav, Comparação: Wireshark em
diferentes parâmetros, International Journal Of Engineering And rua Al_zubairy, Sana'a, Iêmen. O trabalho anterior é Analista MIS na Itex
Computer Science, Vol. 5, Edição 3, pp. 16041-16046, março de Solutions Company, Sana'a, Iêmen.
2016.
[11] Pallavi Asrodia e Hemlata Patel, Análise de várias ferramentas de
detecção de pacotes para monitoramento e análise de rede,
International Journal of Electrical, Electronics and Computer
Engineering, ppt. 55-58, 2012. Dr. Anwar Saif recebeu seu Ph.D. formado pela
University Putra Malaysia (UPM) em 2012,
[12] Pallavi Asrodia, Sr. Vishal Sharma, Monitoramento e análise de atualmente é professor assistente na Universidade
rede pelo método Packet Sniffing, International Journal of Engineering de Sana'a, Iêmen. Seus interesses de pesquisa
são comunicação sem fio, VoIP, computação em
Trends and Technology (IJETT), Vol. 4, Edição. 5, pp. 2133-2135,
maio de 2013. nuvem e Internet das coisas (IoT).
[14] Mohammed Abdul Qadeer, Mohammad Zahid, Arshad Iqbal e Sana'a, Iêmen, e mestrado em arte pela New Mexico
MisbahurRahman Siddiqui, Network Traffic Analysis and Intrusion State University NMSU, EUA e doutorado. em
Política Internacional de Tecnologia da Informação
Detection using Packet Sniffer, Segunda Conferência Internacional
sobre Software e Redes de Comunicação, ppt. 313-317, IEEE, 2010. ITPP pela Universidade Nacional de Seul, Coreia do
Sul. Ele trabalha com ensino e pesquisa e agora é
[15] Otusile Oluwabukola, Awodele Oludele, AC Ogbonna, Ajeagbu chefe do departamento de tecnologia da informação na faculdade de
Chigozirim e Anyeahie Amarachi, Um aplicativo Packet Sniffer Informática e Tecnologia da Informação da Universidade de Sana'a. Ele
da Informação e Tecnologia da Informação, ppt. 389-400, vol. 10, pesquisadores em ciência da computação e tecnologia e política
2013. da informação. Ele também supervisionou diversos projetos em
nível de graduação e pós-graduação.
Direitos autorais © 2018 MECS IJ Rede de Computadores e Segurança da Informação, 2018, 7, 12-22
Machine Translated by Google
Como citar este artigo: Ibrahim Ali Ibrahim Diyeb, Anwar Saif, Nagi Ali Al-Shaibany,"Ethical Network Surveillance using Packet Sniffing
Tools: A Comparative Study", International Journal of Computer Network and Information Security(IJCNIS), Vol.10, No.7, pp.12-22,
2018.DOI: 10.5815/ijcnis.2018.07.02
Direitos autorais © 2018 MECS IJ Rede de Computadores e Segurança da Informação, 2018, 7, 12-22