26/04/12

Compartilhar

metasecurity: Anlise de rede com o Wireshark

Denunciar abuso Prximo blog Criar um blog Login

metasecurity
| grep security
QUARTA-FEIRA, 25 DE ABRIL DE 2012 WHOAMI

Anlise de rede com o Wireshark

Foi criado por Gerald Combs em 1997 com o nome de Ethereal para resolver problemas de rede. Aps vrios anos de contribuies de outros profissionais e uma imensa ajuda da comunidade, em 2006 o projeto Ethereal se tornou o nosso conhecido Wireshark! O Wireshark um analizador de pacotes de rede, ele tenta capturar os pacotes que trafegam na rede e tenta mostr-los de forma mais detalhada possvel. Tambm pode ser utilizado como sniffer em portas USB, alm de conter diversos filtros, modos de exibio, colorao, anlise, estatsticas e muito mais, se tornando uma das melhores ferramentas open source dessa rea. Roda em sistemas UNIX e Windows. Com essa ferramenta, voc pode resolver problemas de rede, examinar problemas de segurana e aprender mais sobre protocolos. Ele no um sistema de deteco de intrusos, ou seja, ele no vai "aptar" se estiver acontecendo algum trfego estranho e tambm no manipulada nada na rede, s server para monitoria. PRIMEIRA ANLISE Essa a tela inicial do Wireshark:

Jonatas Baldin Tenho 17 anos e moro em Cascavel - PR. Estou cursando ensino mdio tcnico de informtica no CEEP e trabalho na rea de suporte tcnico. Como diz o esprito GNU/Linux 'conhecimento no compartilhado conhecimento perdido'. Aproveitem e sejam bem-vindos! Visualizar meu perfil completo
PROCURE POR ALGO... Pesquisar

ARQUIVO DO BLOG

2012 (7) Abril (7) Anlise de rede com o Wireshark Nmap Scripting Engine NSE Nmap Service Enumeration, Reports and Evasion Te... Nmap - Host Discovery and Port Scanning Techniques... Nmap Basics Behind the ping Teste!

Para a nossa primeira anlise, entre no menu Capture > Options.

metasecurity.blogspot.com.br/2012/04/wireshark.html

1/4

26/04/12

metasecurity: Anlise de rede com o Wireshark

Nessa tela podemos definir diversas opes que podem ser usadas para personalizar o sniffing. Aqui podemos configurar a interface de rede, buffer, filtros (veremos mais tarde), resoluo de nomes etc. Para comear, clique em Start. Caso queria interromper, clique em Capture > Stop. Aqui, temos o resultado de um trfego HTTP:

Podemos ver as caractersticas de cada pacote. Da esquerda pra direita temos o seu nmero de identificao, tempo, origem, destino, protocolo, tamanho e informaes gerais. Na parte de baixo podemos observar mais detalhes sobre cada pacote. Em um pacote HTTP GET, por exemplo, podemos observar a pgina requisitada, mtodo, verso do HTTP, cookies, flags e tudo mais. O contedo tambm est disponvel no formato hexadecimal. FILTROS Durante a anlise, podemos filtrar os dados capturados usando o campo Filter usando tipos primitivos, operadores lgicos e parenteses. Os valores so atribudos com dois sinais de igual (==). Os tipos primitivos so como constantes do prprio Wireshark, alguns exemplos so: ip.src==: Define endereo IP de origem. ip.dst==: Define endereo IP de destino. tcp.port==: Define porta TCP. udp.port==: Define porta UDP. eth.dst==: Define MAC de origem. eth.src==: Define MAC de destino. tcp, udp, http, smb: Somente pacotes de determinados protocolos. Voc tambm pode mesclar os filtros com os operadores lgios and, not e or. ip.src==192.168.1.20 and ip.dst==192.168.1.21: Pega o trfego que sai do IP .20 e vai pro
metasecurity.blogspot.com.br/2012/04/wireshark.html 2/4

26/04/12

metasecurity: Anlise de rede com o Wireshark

.22. eth.dst==AA:BB:CC:DD:EE:FF and not icmp: Pega o todo o trfego que sai do MAC, menos do protocolo ICMP. ESTATSTICAS No menu Statistics temos vrias escolhas de representao de nossos resultados, como sumrio, hierarquia de protocolo, comunicao entre hosts etc. SALVANDO OS RESULTADOS Em qualquer tipo de auditoria e at mesmo estudos, devemos armazenar os resultados obtidos para consultas futuras. Como o Wireshark baseado na biblioteca libpcap o formato padro dos arquivos o .pcap. Para salvar, usamos o menu File > Save As. ANLISE DE TRFEGO FTP O protocolo FTP (File Tranfer Protocol) usado para transferncia de arquivos entre um servidor e um cliente. Geralmente requer autenticao para determinados acessos, porm, os mecanismos de autenticao (usurio e senha) trafegam pela rede em texto puro, sendo capturados de maneira fcil. A imagem abaixo mostra a conexo FTP entre duas mquinas, onde as strings de autenticao foram obtidas.

ARQUIVOS PCAP Quero estudar protocolos de rede, mas o mximo que consigo fazer na minha LAN so requisies HTTP ): Muitas pessoas no trabalham em grandes empresas ou possuem acesso a laboratrios especializados, por isso no conseguem gerar um trfego grande e diversificado para estudo. No se preocupe, o Wireshark tem uma carta na manga. No site da ferramenta existe um banco de dados construdo por desenvolvedores e usurios de diversos arquivos .pcap das mais diversas conexes como Skype, MySQL, ARP e entre outros. Acesse esse site http://wiki.wireshark.org/SampleCaptures#Sample_Captures e seja feliz! Bom, temos a uma pequena introduo do sniffer de rede Wireshark e seus magnficos poderes. Esse contedo tem como referncia a documentao oficial. recomendvel a sua leitura para dominar com excelncia a ferramenta.
Postado por Jonatas Baldin s 14:49
Recomende isto no Google

Marcadores: ftp, http, ip, rede, sniffer, wireshark

0 comentrios: Postar um comentrio

metasecurity.blogspot.com.br/2012/04/wireshark.html 3/4