Usando o Wireshark

Faça sua busca Assine E-mail SAC Canais

HOME RSS Equipe Busca

+ Home

:. Artigos

:. Tutoriais

:. Dicas

:. Análises

:. Guias

:. Dicionário

:. Notícias (arquivo)

:. Livros Online

:. Blog

+ GDH Press

:. Servidores

:. Redes

:. Hardware

:. Kurumin 7

:. Promoções

+ Cursos

+ CDs Linux

+ Kurumin

+ Feeds RSS

+ Pólos Informática

+ FórumGdH

+ Publique seu texto

O livro Linux, Entendendo oSistema está disponível completopara leitura online no site da GDH

Press

Clique para ler

[03/12] :. Resumo do dia

[03/12] :. Nokia lança diversosacessórios para celulares

[03/12] :. Intel e Hitachi se unirão nafabricação de SSDs corporativos

[03/12] :. Primeiro beta do Moonlight1.0 é liberado

[03/12] :. Lançado OpenSolaris 2008.11

Usando o WiresharkTutoriais

Além do Nessus (que vimos em tutoriais anteriores), outro aliado importante para qualquer administrador deredes preocupado com a segurança é o Wireshark, o bom e velho Ethereal, que mudou de nome. Ele é um

poderoso sniffer, que permite capturar o tráfego da rede, fornecendo uma ferramenta poderosa para detectarproblemas e entender melhor o funcionamento de cada protocolo.

Carlos E. Morimoto25/04/2008

Além do Nessus (que vimos em tutoriais anteriores), outro aliadoimportante para qualquer administrador de redes preocupado com asegurança é o Wireshark, o bom e velho Ethereal, que mudou de nomeem Junho de 2006. Ele é um poderoso sniffer, que permite capturar otráfego da rede, fornecendo uma ferramenta poderosa para detectarproblemas e entender melhor o funcionamento de cada protocolo.

Assim como o Nessus, ele pode ser usado tanto para proteger seu sistemaquanto para roubar dados dos vizinhos, uma faca de dois gumes. Devido aisso, ele é às vezes visto como uma "ferramenta hacker", quando naverdade o objetivo do programa é dar a você o controle sobre o que entrae sai da sua máquina e a possibilidade de detectar rapidamente qualquertipo de trojan, spyware ou acesso não autorizado.

Embora ele geralmente não venha instalado por padrão, a maioria dasdistribuições disponibilizam o pacote "wireshark" (ou "ethereal", de acordocom o nível de atualização). Nas distribuições derivadas do Debian, você

pode usar o apt-get, como de praxe.

Além das versões Linux, estão disponíveis também versões para Windows 2000, XP e Vista. Você pode baixá-las nohttp://www.wireshark.org/.

No caso do Linux, é possível instalar também a partir do pacote com o código fonte, disponível na página de download (opçãopreferida por quem faz questão de ter acesso à ultima versão do programa). O pacote é instalado com os conhecidos"./configure", "make" e "make install". Como ele depende de um número relativamente grande de compiladores e debibliotecas, muitas delas pouco comuns, você quase sempre vai precisar instalar alguns componentes adicionais manualmente.

Uma forma simples de instalar todos os componentes necessários para a compilação (dica útil não apenas no caso doWireshark, mas para a instalação de programas a partir do código fonte de uma forma geral) é usar o "auto-apt", disponívelatravés do apt-get. Para usá-lo, instale o pacote via apt-get e rode o comando "auto-apt update":

# apt-get install auto-apt

# auto-apt update

A partir daí, você pode rodar os comandos de compilação através dele, como em:

$ tar -zxvf wireshark-0.99.1pre1

$ cd wireshark-0.99.1pre1

$ auto-apt run ./configure

$ auto-apt run make

$ su <senha>

# make install

Durante a instalação, o auto-apt usa o apt-get para instalar os componentes necessários, como neste screenshot:

Depois de instalado, abra o programa usando o comando "wireshark" (ou "ethereal", de acordo com a versão instalada). OWireshark é um daqueles programas com tantas funções que você só consegue aprender realmente usando. Para começar,nada melhor do que capturar alguns pacotes. Clique em "Capture > Start":

Usando o Wireshark http://www.guiadohardware.net/tutoriais/wireshark/

1 de 4 3/12/2008 20:06

[03/12] :. Eee Box ganha aceleradoragráfica dedicada, com HDMI

[03/12] :. Microsoft solta informaçõesoficiais sobre SP2 do Vista

[02/12] :. Resumo do dia

[02/12] :. Nvidia lança Quadro FX 4800,baseada na GeForce GTX 260

[02/12] :. Asus vai vender Eee Box comCeleron

[02/12] :. Nokia anuncia o N97

[02/12] :. Apple recomenda anti-víruspara Mac

[02/12] :. gOS anuncia Cloud OS,sistema parecido com oSplashTop

[01/12] :. Google Chrome deverásuportar extensões no futuro

[01/12] :. Lançado FreeBSD 6.4, últimoda série 6.x (legacy)

:. Mais noticias »

Aqui estão as opções de captura. A primeira opção importante é a "Capture packets in promiscuous mode", onde você decidese quer capturar apenas os pacotes endereçados à sua própria máquina, ou se quer tentar capturar também pacotes de outrasmáquinas da rede. Isso é possível pois os hubs burros apenas espelham as transmissões, enviando todos os pacotes para todasas estações.

O endereço MAC do destinatário é incluído no início de cada frame enviado através da rede. Normalmente, a placa escutaapenas os pacotes destinados a ela, ignorando os demais, mas, no promiscuous mode ela passa a receber todos os pacotes,independentemente de a qual endereço MAC ele se destine. Os switches e hub-switches são mais discretos, encaminhando otráfego apenas para o destinatário correto, mas a maior parte dos modelos mais baratos são vulneráveis a ataques de MACflooding e ARP poisoning, como veremos a seguir.

Em seguida, você tem a opção "Update list of packets in real time". Ativando esta opção, os pacotes vão aparecendo na telaconforme são capturados, em tempo real. Caso contrário, você precisa capturar um certo número de pacotes para só depoisvisualizar todo o bolo.

Mais abaixo estão também algumas opções para interromper a captura depois de um certo tempo, ou depois de capturar umacerta quantidade de dados. O problema aqui é que o Wireshark captura todos os dados transmitidos na rede, o que (em umarede local) pode rapidamente consumir toda a memória RAM disponível, até que você interrompa a captura e salve o dumpcom os pacotes capturados em um arquivo.

Dando o OK, será aberta a tela de captura de pacotes, onde você poderá acompanhar o número de pacotes capturados:

Na tela principal, temos a lista dos pacotes, com várias informações, como o remetente e o destinatário de cada pacote, oprotocolo utilizado (TCP, FTP, HHTP, AIM, NetBIOS, etc.) e uma coluna com mais informações, que incluem a porta TCP à qualo pacote foi destinado.

Os pacotes que aparecem com um micro da rede local como emissor e um domínio ou IP da Internet como destinatárioincluem requisições, upload de arquivos, e-mails enviados, mensagens de ICQ e MSN e, em muitos casos, também senhas deacesso. Os pacotes provenientes de micros da Internet são respostas à estas requisições, incluindo páginas web, e-mails lidos,arquivos baixados e, assim por diante. Através do sniffer, é possível capturar todo tipo de informação que trafegue de formanão encriptada pela rede.


2 de 4 3/12/2008 20:06

Clicando sobre um dos pacotes e, em seguida, no "Follow TCP Stream", o Ethereal mostrará uma janela com toda a conversão,exibida em modo texto.

A maior parte do que você vai ver serão dados binários, incluindo imagens de páginas web e arquivos diversos. Mesmo o htmldas páginas chega muitas vezes de forma compactada (para economizar banda), novamente em um formato ilegível. Mas,garimpando, você vai encontrar muitas coisas interessantes, como, por exemplo, mensagens (MSN e ICQ) e e-mails, que, porpadrão, são transmitidos em texto puro. Usando a opção "Follow TCP Stream", é possível rastrear toda a conversa:

Página 01 de 02

GlossárioPorta TCPPortaNetBIOSMac (endereço)RAMSnifferWindowsWebSpywareMacLinuxCIOCDATDownloadFTPInternetHTMLHackerApt-get


3 de 4 3/12/2008 20:06

Blog:Blog:Blog:Blog:

[03/#err] :. Nokia PC Suite, e como sobreviver sem ele[02/#err] :. A história do Athlon[30/11] :. TV digital em smartphones[29/11] :. Emuladores de mega-drive, snes e nes para o S60[28/11] :. Introdução aos clusters de alta disponibilidade[27/11] :. Nokia e o fim do SymSMB[27/11] :. Entendendo a arquitetura K8

» Gostou do texto? Veja nossos livros impressos:Hardware | Redes | Servidores | Kurumin 7

... ou encontre o que procura usando a busca:

AtualizaçõesAtualizaçõesAtualizaçõesAtualizações

[03/12] Nokia PC Suite, e como sobreviver sem ele[02/12] Tutorial: Entendendo os smartphones, parte 1[02/11] A história do Athlon[30/11] TV digital em smartphones[29/11] Emuladores de mega-drive, snes e nes para o S60[28/11] Dica: Instalando facilmente o driver da Nvidia no DebianLenny

[28/11] Introdução aos clusters de alta disponibilidade[27/11] Entendendo a arquitetura K8[27/11] Artigo: Fedora: ciclos de lançamentos maiores ou menores?[26/11] Desativando as restrições de segurança do Symbian[25/11] Segurança e certificados no Symbian[24/11] Tutorial: Smartphones da HTC

Receba as atualizações diariamente por e-mail:

DestaquesDestaquesDestaquesDestaques

» Automação residencial com Linux» Ubuntu no Asus Eee com o Ubuntu Eee» Quota: Configuração inicial» Baterias» Notebooks: Mobile Sempron» Linux: O básico» Configurando um servidor XDMCP» Redes: Cabeamento» SSDs e HHDs» Configurando um servidor Linux doméstico, fácil» Quebrando o WEP» Linux em micros antigos? Dá-lhe Xubuntu!» Intel Xeon MP

Assine o RSS Veja todas as atualizações... Add to iGoogle

© 1999-2008 Guia do Hardware. Todos os direitos reservados.© 1999-2008 Guia do Hardware. Todos os direitos reservados.© 1999-2008 Guia do Hardware. Todos os direitos reservados.© 1999-2008 Guia do Hardware. Todos os direitos reservados.

Livros de Carlos E. Morimoto Contato HOME


4 de 4 3/12/2008 20:06

Usando o Wireshark

Documents

Transcript of Usando o Wireshark