Analisador de Protocolos WIRESHARK

I Workshop de Redes de Computadores

2013

Edgar da Silva Arrais

Análise de protocolos

Packet sniffer, analisador de redes, análise de pacotes, ethernet sniffer, wireless sniffer...

Software e Hardware

Hardware analisador

OptiView Series III Integrated Network Analyzer GigaStor Security Forensics

Software analisador

Capsa Carnivore (FBI) dSniff Ettercap Narus ngrep tcpdump Wireshark

Qual sua utilidade?

Detectar problemas de rede; Mensurar o desempenho da rede; Monitorar quem, quando, o que está acessando; Estatísticas de rede; Depurar comunicação cliente/servidor; Depurar protocolos de rede; Coletar tráfego suspeito;

Qual deles utilizar?

Custo Interface amigável Suporte a protocolos Suporte ao software

Como funciona um analisador ?

Captura

Análise

Conversão

modo promíscuo?

101101110

192.168.1.109 -> 209.107.220.49 HTTP 443 GET

Como funciona um analisador ?

Captura

Análise

Conversão

modo promíscuo?

101101110

192.168.1.109 -> 209.107.220.49 HTTP 443 GET

Captura

Captura

Conhecer o mapa da rede (roteadores, hubs, switch, modem);

Captura

Concentradores (hubs) Transmite dados de uma porta às outras. Atua na camada física (1).

Captura

Analisador

Janela

Captura

Comutadores (switches) Entrega ao endereçado. Camada de enlace (2) = endereço MAC Camada de rede (3) = endereço IP origem/destino

Captura

Analisador

Janela

Captura

Port Span = Espelhamento de portas Hubbing Out ARP Spoofing = Mascaramento ARP. MAC Flooding = Inundar o switch com MAC falso. MAC Duplication = Duas portas com o mesmo MAC.

Switch dificulta a captura, mas não é impossível.

Captura

Captura

Wireshark

Ethereal(1998) → Wireshark(2006) GNU Public License 500+ colaboradores 850+ protocolos Windows, Linux, Mac OS X, BSD Fórum, documentação online

Tshark

Quase todas as funções do wireshark. Processamento mais rápido. Utilizado quando é necessário uma automação. Custo computacional menor.

Labs

http://packetlife.net/captures/ http://wiki.wireshark.org/SampleCaptures http://www.cloudshark.org

Referências

http://www.sans.org/resources/idfaq/switched_network.php http://www.codealias.info/technotes/

the_tshark_capture_and_filter_example_page http://www.slideshare.net/Ediclei/captura-de-pacotes-na-

rede-com-utilizao-do-wireshark http://www.wireshark.org http://www.wireshark.org/docs/dfref/

Obrigado!

Dúvidas, sugestões, etc... edgararrais@gmail.com http://esarrais.wordpress.com