Análise e Captura de Tráfego com Wireshark

Transcrição

1 Análise e Captura de Tráfego com Wireshark

2 Roteiro Introdução Histórico Motivação Objetivos Funcionamento Funcionalidades Exemplos de uso Conclusão Referências

3 Introdução Wireshark, popularmente conhecido como tubarão dos fios, tem a função do monitorar os pacotes que trafegam na rede. Desenvolvido inicialmente pela Ethereal. É uma ferramenta Free. Utiliza PCAP para capturar pacotes.

4 Introdução Os dados podem ser capturados da Ethernet, FDDI, PPP, Token-Ring, IEEE , IP clássico sobre ATM e interface loopback Os arquivos capturados podem ser editados e convertidos via linha de comando.

5 Introdução Com o conjunto de dados necessários para sua análise, você também poderá, é claro, salvar ou exportar a sessão para análise posterior. A saída pode ser salva ou impressa em texto plano ou PostScript. A exibição dos dados podem ser refinada usando um filtro

6 Histórico Os usuários de Linux costumavam observar suas redes com o popular e livre Ethereal. Em 2006 o autor original mudou de empresa e surgiu o Wireshark

7 Histórico O Wireshark está disponível para todos os sistemas operacionais com base no Unix, assim como para o Windows. Normalmente usa uma interface gráfica, mas também há uma opção em modo texto, chamada tethereal

8 Motivação Este analisador de protocolos de rede é uma excelente ferramenta para inspecionar redes, desenvolver protocolos e, de quebra, pode ser usada para fins educacionais. Foi escrita por profissionais do ramo e é um exemplo do poder do software de código aberto.

9 Objetivos O objetivo deste tipo de software, também conhecido como sniffer, é detectar problemas de rede, conexões suspeitas, auxiliar no desenvolvimento de aplicativos e qualquer outra atividade relacionada a rede. Todo o tráfego de entrada e saída é analisado e mostrado.

10 Objetivos Análise de Tráfego Verificar problemas na rede Depurar protocolos Análise de desempenho Aprendizagem sobre protocolos e o funcionamento das aplicações em rede

11 Funcionamento O Wireshark funciona capturando todo o tráfego de rede em uma ou mais interfaces de rede. Com o Wireshark, você pode capturar facilmente a passagem de tráfego na interface de rede e examinar os detalhes de cada pacote em uma interface gráfica e fácil de usar.

12 Funcionalidades O Wireshark pode decodificar vários protocolos diferentes e deverá abranger a maioria das suas necessidades de resolução de problemas. 750 protocolos podem ser dissecados.

13 Funcionalidades A interface também permite que você sinalize facilmente pacotes para revisão e defina uma transmissão específica como a sua referência de horário na captura.

14 Processo de instalação no Windows: Fazer o download de: O processo de instalação insere a biblioteca Winpcap no sistema operacional MS Windows; Procedimento NEXT de instalação Processo de instalação no Linux: Nas distribuições Linux, verificar os pacotes com o nome wireshark Exemplo: apt-get install wireshark yum install wireshark

15 Tela inicial do Wireshark

16 Executando a ferramenta e escolhendo a interface de rede:

17 Lista de interfaces de rede:

18 Escolhendo a interface de rede:

19 Capturando pacotes:

20 Esquema de cores nas linhas De uma forma geral, as linhas: Verde significa tráfego TCP Azul escuro Tráfego DNS Azul claro Tráfego UDP Preto Segmentos TCP com problema Caso o utilizador pretenda ver o esquema de cores completo do wireshark, basta ir em View > Coloring Rules

21 Esquema de cores nas linhas A interface gráfica do usuário exibe os pacotes capturados em um quadro codificado por cores, que apresenta detalhes sobre a hora, a origem, o destino, o protocolo e uma descrição predeterminada do evento em horário próximo ao real.

22 Lista de leituras de pacotes

23 Conteúdo de um pacote TCP

24 Conteúdo de um pacote TCP

25 Analisando sessões: Um recurso especialmente útil do programa é a capacidade de rastrear streams TCP completas com a opção Follow TCP stream. Todos os pacotes que componham uma sessão são exibidos. O recurso de stream-tracing permite que se siga sessões completas, como conversas por Instant Messengers ou sessões de navegação na Web.

26 Analisando sessões:

27 Analisando sessões:

28 Filtros de pacotes: Um dos recursos mais poderosos do Wireshark é a possibilidade de se criar filtros para limitar o número de pacotes visíveis.

29 Filtros de pacotes:

30 Filtros de pacotes: Exemplos de filtros do Wireshark: tcp.port==80 ip.addr== broadcast eth.addr==00:0c:ba:5d:67:09 Exemplos de filtros de captura do Wireshark (padrão tcpdump): tcp port 80 host broadcast ether host 00:0C:BA:5D:67:09

31 Exemplos de filtros (display filters): Todos os quadros Ethernet que contenham o endereço físico 00:22:64:7e:1a:3a: eth.addr==00:22:64:7e:1a:3a Todos os quadros Ethernet que contenham o endereço físico 00:22:64:7e:1a:3a como origem: eth.src==00:22:64:9e:0a:3a Todos os quadros Ethernet que contenham o endereço físico ff:ff:ff:ff:ff:ff como destino: eth.dst==ff:ff:ff:ff:ff:ff Todos os quadros Ethernet que utilizem o protocolo ARP (tipo no campo Type 806): eth.type==0x806

32 Exemplos de filtros (display filters): Pacotes com o endereço IP : ip.addr== Pacotes com endereço IP de origem : ip.src== Pacotes com endereço IP de destino : ip.dst== Pacotes IP com campo TTL igual a 63: ip.ttl==63 Pacotes UDP com porta 4500: udp.port==4500 Pacotes UDP com porta de destino 53: udp.dstport==53 Pacotes UDP com porta de origem 789: udp.srcport==789 Pacotes UDP maiores do que 100 Bytes: udp.length >= 100

33 Exemplos de filtros (display filters): Pacotes TCP com a porta 80: tcp.port==80 Pacotes TCP com a porta de destino 23: tcp.dstport==23 Pacotes TCP com a porta de origem 1098; tcp.srcport==1098 Pacotes TCP maiores ou iguais a 100 Bytes: tcp.len >= 100 Pacotes TCP com a flag SYN ativada: tcp.flags.syn==1 Pacotes TCP com a flag SYN ativada e a flag ACK desativada: tcp.flags.syn==1 and tcp.flags.ack==0

34 Exemplos de filtros (display filters): Operadores Igual: eq ou == Não igual: ne ou!= Maior que: gt or > Menor que: lt or < Maior ou igual: ge ou >= Menor ou igual: le ou <= E lógico: and ou && Ou lógico: or ou Ou exclusivo: xor or ^^ Não lógico (negação): not ou! Mais exemplos de uso: splay_filters.pdf

35 Estatísticas do tráfego de rede capturado

36 Estatísticas do tráfego de rede capturado

37 Conclusão O Wireshark é um software que pode auxiliar imensamente a resolução de problemas de rede com relativamente pouco esforço. Além disso, ele também é uma excelente ferramenta para aprender como funcionam os diversos protocolos de rede.

38 Conclusão Porém, a interpretação dos resultados obtidos pelo Wireshark não é trivial e demanda conhecimento e prática.

39 Referências Livros PETERSON, L; DAVIE, B. Redes de Computadores Uma Abordagem de Sistemas. 3ª Ed. Campus, KUROSE, J; ROSS, K. Redes de Computadores e a Internet Uma Abordagem top-down. 3ª Ed. Pearson, TANENBAUM, A. Redes de Computadores. 4ª Ed. Campus, CISCO, Curso Oficial CCNA Módulo 1 SANDERS, Chris. Practical Packet Analysis Using Wireshark to Solve Real-World Network Problems. 2nd ed. No Starch Press, 2013.

40 Referências Sites Site do Wireshark: Wireshark User s Guide: ml_chunked/ Wireshark Wiki:

41 Referências Sites Laura s Lab Kit v9 disponível em ftp:// /isos/llk9.iso MulticastStorm: Oficina Wireshark: rede/720-wireshark?showall=1 Tutorial: m/articles/lm32_wireshark.pdf