Aprenda a usar o sniffer Wireshark (Parte I)

Ao longo dos anos, fomos apresentando no Pplware as vrias verses e respectivas

novidades do sniffer mais popular para redes informticas, o Wireshark. O Wireshark uma

ferramenta de analise protocolar, que permite a captao, em tempo real, de pacotes de

dados, e apresenta essa informao num formato legvel para os utilizadores. O processo

de captura de trfego realizado via placa de rede,, funcionando esta num modo especial

que designado de modo promscuo (possibilidade de capturar todos os pacotes,

independentemente do endereo de destino)

Hoje vamos iniciar um novo ciclo de tutoriais com o objectivo de ensinar os utilizadores a

usarem o sniffer Wireshark.

Para que que eu preciso de um sniffer?

Para muitos, uma poderosa ferramenta de trabalho, para outros aquela ferramenta

capaz de capturar umas passwords na rede (em plain text de preferncia), alguns dados

confidenciais, decifrar chaves de rede, etc, etc, se esses dados no so encriptados antes

de serem enviados pela rede maravilha passam em claro na rede, perceptveis por

qualquer utilizador. Quanto ao Wireshark (antigo Ethereal), para mim simplesmente o

melhor sniffer grtis!!!. O Wireshark permite analisar os pacotes recebidos e transmitidos por

qualquer interface de rede, sendo possvel aplicar vrios tipos filtros.

Como comear a usar o sniffer Wireshark?

Para comearmos a usar o Wireshark basta escolher a placa de rede (a placa que est

actualmente ligada rede) que pretendemos colocar escuta. De referir que em alguns

casos, o Wireshark no reconhece o fabricante da placa e coloca apenas o nome Microsoft

ou outro (no meu caso, a primeira referencia a Microsoft corresponde placa de rede

wireless).

Caso no consigam identificar a placa que pretendem, podem carregar no primeiro boto do

menu do wireshark e ver qual a placa que est a enviar e a receber pacotes (no meu caso a

segunda placa da listaque corresponde placa de rede wireless).

Depois de seleccionarmos a placa de rede, comeamos de imediato a visualizar os pacotes

que passam na rede.

Para parar o processo basta carregar no quarto cone do menu do Wireshark.

Exerccio:

Para experimentarem de imediato o Wireshark deixamos aqui um pequeno exerccio. Para

tal, vamos snifar todos os pedidos e respostas DNS, devendo colocar no campo filter dns.

De seguida abrimos a linha de comandos e usando o comando nslookup, questionamos o

nosso servidor de DNS quem www.pplware.com. Como podem ver na imagem seguinte, o

Wireshark consegue capturar toda a informao trocada entre a nossa mquina e o servidor

de DNS definido.

Aprenda a usar o sniffer Wireshark (Parte II)

Ao longo dos anos, fomos apresentando no Pplware as vrias verses e respectivas

novidades do sniffer mais popular para redes informticas, o Wireshark. O Wireshark uma

ferramenta de analise protocolar, que permite a captao, em tempo real, de pacotes de

dados, e apresenta essa informao num formato legvel para os utilizadores. O processo

de captura de trfego realizado via placa de rede,, funcionando esta num modo especial

que designado de modo promscuo (possibilidade de capturar todos os pacotes,

independentemente do endereo de destino).

Depois de termos apresentado aqui algumas funcionalidades bsicas do wireshark, hoje

vamos explicar mais duas funcionalidades: Esquema de cores nas linhas e Follow TCP

Stream.

Esquema de cores nas linhas

Quando um utilizador v pela primeira vez o funcionamento do wireshark, questionar-se-

qual o significado das cores no output. De uma forma geral e por omisso, as linhas:

Verde significa trfego TCP

Azul escuro Trfego DNS

Azul claro Trfego UDP

Preto Segmentos TCP com problema

Caso o utilizador pretenda ver o esquema de cores completo do wireshark, basta aceder a

View>Coloring Rules

Follow TCP Stream

Uma das funcionalidades interessantes do Wireshark o Follow TCP Stream. Esta

funcionalidade permite visualizar streams TCP completas, isto , com esta opo o utilizador

poder acompanhar toda uma comunicao desde o primeiro SYN at ao FIN--ACK.

Esperamos que tenham gostado deste segundo tutorial sobre o Wireshark. Por hoje resta-

nos esperar pelo vosso feedback e sugestes para prximos tutoriais.

Aprenda a usar o sniffer Wireshark (Parte III)

Como detectar trfego abusivo

Ao longo dos anos, fomos apresentando no Pplware as vrias verses e respectivas

novidades do sniffer mais popular para redes informticas, o Wireshark. O Wireshark uma

ferramenta de analise protocolar, que permite a captao, em tempo real, de pacotes de

dados, e apresenta essa informao num formato legvel para os utilizadores.

O processo de captura de trfego realizado via placa de rede,, funcionando esta num

modo especial que designado de modo promscuo (possibilidade de capturar todos os

pacotes, independentemente do endereo de destino). Depois de termos apresentado aqui

algumas funcionalidades bsicas do wireshark, Esquema de cores nas linhas e Follow TCP

Stream aqui, hoje vamos aprender a detectar trfego abusivo.

Um dos maiores inimigos de qualquer administrador de sistemas o trfego abusivo que

deriva de torrents, streaming de dados, downloads ilegais, etc. Apesar de existirem vrias

ferramentas que permitem controlar o trfego abusivo, o Wireshark tambm poder dar

uma ajuda.

De referir que o wireshark s conhecer monitorizar trafego unicast, broadcast e multicast no

caso de estarmos ligados via switch (ver mais aqui).

Vamos ento a um exemplo para detectar a presena de downloads de torrents na rede.

Para isso, vamos ao campo Filter e colocamos o nome do protocolo associado aos torrents:

bittorrent

Alm da informao anterior, podemos ainda saber as estatsticas de utilizao de um dado

protocolo. Para isso, vamos a Statistics > Protocolo Hierarchy

Como podemos

ver pela imagem seguinte, o protocolo BitTorrent est com uma taxa de ocupao na ordem

dos 0,90% (valor relativo ao perodo de captura).

Se pretendermos saber o endereo IP de todas as mquinas que esto a funcionar como

peers, basta ir a Statistics > Endpoints e depois carregar no separador IPv4.

Aprenda a usar o sniffer Wireshark (Parte IV)

Ao longo dos anos, fomos apresentando no Pplware as vrias verses e respectivas novidades do sniffer mais popular para redes informticas, o Wireshark. O Wireshark uma ferramenta de analise protocolar, que permite a captao, em tempo real, de pacotes de dados, e apresenta essa informao num formato legvel para os utilizadores. O processo de captura de trfego realizado via placa de rede,, funcionando esta num modo especial que designado de modo promscuo (possibilidade de capturar todos os pacotes, independentemente do endereo de destino).

Depois de termos apresentado aqui algumas funcionalidades bsicas do wireshark, Esquema de cores nas linhas e Follow TCP Stream aqui, e ensinar a detectar trfego abusivo, hoje vamos ensinar como podem ver o processo de Three-way Handshake, responsvel pelo estabelecimento de ligaes TCP.

O TCP o protocolo mais usado isto porque fornece garantia na entrega de todos os pacotes entre um PC emissor e um PC receptor. Dentro de um segmento TCP existem vrios campos e hoje destacamos os campos ACK e SYN que so usados no inicio de uma comunicao TCP.

SYN Se activo, indica um pedido de estabelecimento de ligao e a confirmao da ligao;

ACK Se activo, o campo Nmero de Confirmao deve ser interpretado;

Mas o que Three Way Handshake?

No estabelecimento de ligao entre emissor e receptor existe um pr-acordo denominado de Three Way Handshake (SYN, SYN-ACK, ACK).

A sesso entre um cliente e um servidor sempre iniciada pelo cliente, que envia um pedido de ligao pacote com a flag SYN activada.

O cliente envia tambm um numero sequencial aleatrio O servidor responde com um pacote SYN,ACK com o seu prprio numero

sequencial aleatrio e um numero de confirmao (igual ao numero sequencial do cliente +1)

Para finalizar o cliente responde com um pacote ACK com o numero de confirmao (igual ao numero de sequncia do servidor +1)

Na prtica, temos mais ou menos isto

Vamos a um exemplo prtico?

Vamos considerar ento uma ligao da nossa mquina para o site Pplware.

Primeira Fase (SYN)

O cliente (192.168.1.123) envia um pedido de sincronizao (SYN) para o Pplware.com. Tal segmento tem como numero de sequencia 0 (zero).

Segunda Fase (SYN, ACK)

O servidor responde com um pacote SYN,ACK, onde o ACK=1 (igual ao numero sequencial do cliente +1)

Terceira fase (ACK)

Para finalizar o cliente responde com um pacote ACK =1 e envia tambm o nmero de sincronizao (Seq =1) igual ao numero de sequncia do servidor +1.

Nota: Para facilitar a encontrar os registos, podem usar os seguintes filtros:

Filtro 1: tcp.flags.syn == 1 && tcp.flags.ack == 0 Filtro 2: tcp.flags.syn == 1 && tcp.flags.ack == 1 Filtro 3: tcp.seq == 1 && tcp.ack == 1 && tcp.len == 0 && !(tcp.flags.push == 1)

Nota: Para facilitar, podem tambm usar a funcionalidade Follow TCP Stream. Esta funcionalidade permite visualizar streams TCP completas, isto , com esta opo o utilizador poder acompanhar toda uma comunicao desde o primeiro SYN at ao FIN-ACK ver aqui.

Esperamos que tenham gostado deste terceiro tutorial sobre o Wireshark. Por hoje resta-nos esperar pelo vosso feedback e sugestes para prximos tutoriais.

Aprenda a usar o sniffer Wireshark (Parte V)

Veja tudo o que passa na rede! Hoje vamos ensinar a usar os filtros.

O Wireshark uma ferramenta de analise protocolar, que permite a captao, em tempo real, de pacotes de dados, e apresenta essa informao num formato legvel para os utilizadores. O processo de captura de trfego realizado via placa de rede,, funcionando esta num modo especial que designado de modo promscuo (possibilidade de capturar todos os pacotes, independentemente do endereo de destino).

Hoje vamos ensinar como podem usar filtros no Wireshark.

No Pplware j apresentamos aqui algumas funcionalidades bsicas do wireshark, esquema de cores nas linhas e Follow TCP Stream aqui, ensinamos a detectar trfego abusivo e tambm mostramos como podem ver o processo de Three-way Handshake, responsvel pelo estabelecimento de ligaes TCP.

O que so filtros?

Tal como nome sugere, os filtros permitem seleccionar, de um conjunto de informao, aquilo que pretendemos. Podemos filtrar por protocolo, por endereo de rede, por porta, por endereo MAC, etc, etc. Aqui ficam alguns exemplo:

Filtrar por protocolo

Para filtrar por protocolo basta escrever no campo Filter qual o protocolo a filtrar.

Vamos considerar que vamos filtrar apenas HTTP, aqui fica o exemplo de um resultado.

De referir tambm que possvel usar operadores lgicos. Isto permite-nos melhorar o filtro no caso de pretendermos informao de mais do que um protocolo.

Vamos considerar, por exemplo, que pretendemos informao dos protocolos http e ICMP. Para isso basta apenas usar o operador lgico ||.

Filtrar por IP

No caso das pesquisas por IP podemos, por exemplo, pesquisar pelo endereo de origem (ip.addr) e endereo de destino (ip.dst).

E se o utilizador pretender excluir da pesquisa apenas um determinado IP? Para isso basta usar o operador != (ex. ip.src!=8.8.4.4)

Filtrar por porta

Para filtrar por porta semelhante aos exemplos anteriores. Podemos simplesmente filtrar por uma porta TCP (ex. tcp.port) mas podemos tambm ser mais especficos e filtrar por porta de origem(tcp.srcport) ou porta de destino (tcp.dstport).

Mas a opo tcp, existem muitas mais opes. Veja aqui

Filtrar por MAC

A pesquisa por MAC feita recorrendo ao parmetro eth.addr seguido do endereo MAC.