Upload File

aprenda a usar o sniffer wireshark

14
Aprenda a usar o sniffer Wireshark (Parte I) Criado por Pedro Pinto em 21 de Fevereiro de 2012 | Categoria: Networking | 37 comentários Ao longo dos anos, fomos apresentando no Pplware as várias versões e respectivas novidades do sniffer mais popular para redes informáticas, o Wireshark. O Wireshark é uma ferramenta de analise protocolar, que permite a captação, em tempo real, de pacotes de dados, e apresenta essa informação num formato legível para os utilizadores. O processo de captura de tráfego é realizado via placa de rede,, funcionando esta num modo especial que é designado de modo promíscuo (possibilidade de capturar todos os pacotes, independentemente do endereço de destino) Hoje vamos iniciar um novo ciclo de tutoriais com o objectivo de ensinar os utilizadores a usarem o sniffer Wireshark. Para que é que eu preciso de um sniffer? Para muitos, é uma poderosa ferramenta de trabalho, para outros é aquela ferramenta capaz de capturar umas passwords na rede (em plain text de preferência), alguns dados confidenciais, decifrar chaves de rede, etc, etc, se esses dados não são encriptados antes de serem enviados pela rede… maravilha… passam em “claro” na rede, perceptíveis por qualquer utilizador. Quanto ao Wireshark (antigo Ethereal), para mim é simplesmente o melhor sniffer grátis!!!. O Wireshark permite analisar os pacotes recebidos e transmitidos por qualquer interface de rede, sendo possível aplicar vários tipos filtros. Como começar a usar o sniffer Wireshark?

Upload: arzroberto

Post on 23-Nov-2015

100 views

Category:

Documents


6 download

Report

TRANSCRIPT

Aprenda a usar o sniffer Wireshark (Parte I)Criado porPedro Pintoem 21 de Fevereiro de 2012 | Categoria:Networking|37 comentriosAo longo dos anos, fomos apresentando no Pplware as vrias verses e respectivas novidades do sniffer mais popular para redes informticas, o Wireshark. O Wireshark uma ferramenta de analise protocolar, que permite a captao, em tempo real, de pacotes de dados, e apresenta essa informao num formato legvel para os utilizadores. O processo de captura de trfego realizado via placa de rede,, funcionando esta num modo especial que designado de modo promscuo (possibilidade de capturar todos os pacotes, independentemente do endereo de destino)Hoje vamos iniciar um novo ciclo de tutoriais com o objectivo de ensinar os utilizadores a usarem o sniffer Wireshark.

Para que que eu preciso de um sniffer?Para muitos, uma poderosa ferramenta de trabalho, para outros aquela ferramenta capaz de capturar umaspasswordsna rede (em plain text de preferncia), alguns dados confidenciais, decifrar chaves de rede, etc, etc, se esses dados no so encriptados antes de serem enviados pela rede maravilha passam em claro na rede, perceptveis por qualquer utilizador. Quanto ao Wireshark (antigo Ethereal), para mim simplesmente o melhorsniffergrtis!!!. O Wireshark permite analisar os pacotes recebidos e transmitidos por qualquer interface de rede, sendo possvel aplicar vrios tipos filtros.Como comear a usar o sniffer Wireshark?Para comearmos a usar o Wireshark basta escolher a placa de rede (a placa que est actualmente ligada rede) que pretendemos colocar escuta. De referir que em alguns casos, o Wireshark no reconhece o fabricante da placa e coloca apenas o nome Microsoft ou outro (no meu caso, a primeira referencia a Microsoft corresponde placa de rede wireless).

Caso no consigam identificar a placa que pretendem, podem carregar no primeiro boto do menu do wireshark e ver qual a placa que est a enviar e a receber pacotes (no meu caso a segunda placa da listaque corresponde placa de rede wireless).

Depois de seleccionarmos a placa de rede, comeamos de imediato a visualizar os pacotes que passam na rede.

Parapararo processo basta carregar no quarto cone do menu do Wireshark.

ExerccioPara experimentarem de imediato o Wireshark deixamos aqui um pequeno exerccio. Para tal, vamos snifar todos os pedidos e respostas DNS, devendo colocar nocampo filter dns. De seguida abrimos a linha de comandos e usando o comandonslookup, questionamos o nosso servidor de DNS quem www.pplware.com. Como podem ver na imagem seguinte, o Wireshark consegue capturar toda a informao trocada entre a nossa mquina e o servidor de DNS definido.

Esperamos que tenham gostado deste primeiro tutorial sobre o Wireshark. Alm de conseguirmos visualizar todo o trfego (cifrado e no cifrado), conseguimos tambm perceber como funcionam as nossas redes de dados. Por hoje resta-nos esperar pelo vosso feedback e sugestes para prximos tutoriais.Artigos seguintes:

Ao longo dos anos, fomos apresentando no Pplware as vrias verses e respectivas novidades do sniffer mais popular para redes informticas, o Wireshark. O Wireshark uma ferramenta de analise protocolar, que permite a captao, em tempo real, de pacotes de dados, e apresenta essa informao num formato legvel para os utilizadores. O processo de captura de trfego realizado via placa de rede,, funcionando esta num modo especial que designado de modo promscuo (possibilidade de capturar todos os pacotes, independentemente do endereo de destino).Depois de termos apresentadoaquialgumas funcionalidades bsicas do wireshark, hoje vamos explicar mais duas funcionalidades: Esquema de cores nas linhas e Follow TCP Stream.

Esquema de cores nas linhasQuando um utilizador v pela primeira vez o funcionamento do wireshark, questionar-se- qual o significado das cores no output. De uma forma geral e por omisso, as linhas: Verde significa trfego TCP Azul escuro Trfego DNS Azul claro Trfego UDP Preto Segmentos TCP com problemaCaso o utilizador pretenda ver o esquema de cores completo do wireshark, basta aceder aView>Coloring Rules

Follow TCP StreamUma das funcionalidades interessantes do Wireshark oFollow TCP Stream. Esta funcionalidade permite visualizar streams TCP completas, isto , com esta opo o utilizador poder acompanhar toda uma comunicao desde o primeiro SYN at ao FIN-ACK.

Esperamos que tenham gostado deste segundo tutorial sobre o Wireshark. Por hoje resta-nos esperar pelo vosso feedback e sugestes para prximos tutoriais.

eo: Tutoriais Redes Opticas

Redes Sem Fio II: Captura, Clonagem e Escuta de Trfego

Dando prosseguimento aos testes executados, esta seo apresenta a captura de trfego, clonage de Mac e escuta de trfego.Captura de Trfego com WiresharkPara a captura do trfego da rede com o Wireshark, primeiro entramos na rede que queremos capturar o trfego. Para isso temos que usar o modo WPA_Supplicant, que uma implementao de software por linha de comando utilizado no ambiente Linux. Existem tambm verses para outras plataformas, como FreeBSD, NetBSD e Windows.Nessa demonstrao, trabalhamos com linhas de comando no BackTrack. Primeiramente criamos o arquivo de configurao chamado wpa_supplicant.conf e salvamos em/etc, em seguida iniciamos o arquivo criado com o comandowpa_supplicant -i wlan0 -D wext -c /etc/wpa_supplicant.conf,que tambm pode ser executado via shell script. Esse comando chama as configuraes definidas no arquivo /etc/wpa_supplicant.conf, fazendo com que a estao acesse a rede sem fio que vamos invadir, que no nosso exemplo ficou como mostra a figura 19.

Figura 19: wpa_supplicant.confFonte: PrpriaDepois que acessamos a rede se fio vtima, abrimos o Wireshark, clicamos em Capture/Interfaces, como mostra a figura 20, para selecionar a interface que utilizamos para fazer a captura, na nossa demonstrao aWlan0, em seguida clicamos em Start.

Figura 20: Seleo da interface de escutaFonte: PrpriaA figura 21 nos mostra o funcionamento do Wireshark capturando pacotes trafegando na rede que estamos atacando.

Figura 21: Capturando pacotesFonte: PrpriaNa figura 22, exibimos a captura do trfego exibindo pacotes contendo informaes da chave WPA, como tambm alguns pacotes trafegando com o protocolo UDP.

Figura 22: Captura de pacotes com chave WPA codificadaFonte: PrpriaClonagem de MACO endereo MAC foi criado para ser um identificador nico no mundo inteiro para cada interface de rede produzida. Podemos alterar o endereo MAC utilizando softwares disponveis e tambm usando hardware, que bem mais trabalhoso e tedioso. Usurios de Linux pode alterar seu MAC sem utilizar softwares de Poisoning e Spoofing, usando apenas um parmetro do comandoifconfig, que configura a interface de rede no S.O. Um atacante por realizar um ataque DoS4 um computador alvo, e ento atribuir a si mesmo o IP e MAC desse computador, recebendo todos os dados enviados para tal computador (IMASTERS, 2010).Esse tipo de ataque tem resultado mais satisfatrio em redes com controle de acesso por MAC, com DHCP ativo ou mesmo em redes com a faixa de IP conhecida.Primeiramente, executamos o comandoairodump-ng wlan0, para visualizarmos os APs ao alcance e os hosts conectados.

Figura 23: Comando airodump-ng wlan0Fonte: PrpriaNa figura 23, observamos que a estao com o MAC 00:19:5B:8E:86:43 est conectado ao AP com SSID TCC-WIRELESS. Fizemos nossa demonstrao clonando o MAC desse host. Na figura 24, exibimos as configuraes de rede atuais do host usado para o ataque com o MAC original em destaque.

Figura 24: Configuraes atuaisFonte: PrpriaPara realizarmos a mudana do MAC da estao de ataque para o host que est conectado atualmente, primeiramente paramos a interfaceWlan0com o comandoifconfig wlan0 down. Em seguida, mudamos o MAC da estao com o comandomacchanger --mac 00:19:5B:8E:86:43 wlan0. O resultado desses comandos est exibido na figura 25.

Figura 25: Mudana do MAC da estaoFonte: PrpriaAps isso, subimos a interface com o comandoifconfig wlan0 up. Na figura 26 exibimos novamente as configuraes de rede da interface wlan0 j alterada para o MAC da estao clonada.

Figura 26: Exibio das configuraes com o MAC clonadoFonte: PrpriaDepois desse procedimento, conectamos normalmente na rede sem fio que estvamos atacando, como se fosse a estao original, recebendo o IP referente a ela e tendo a mesma acessibilidade.O nico problema encontrado nessa demonstrao se a estao original tentar conectar enquanto a estao clonada estiver conectada. Como resultado as duas estaes entraram em conflito uma derrubando a conexo da outra, por conta que o AP no saber exatamente pra quem entregar os pacotes de conexo.Escuta do Trfego com ARP Spoofing (Man-in-the-middle)ARP PoisoningouARP Spoofing um tipo de ataque no qual uma falsa resposta ARP enviada uma requisio ARP original. Confundida pelo ataque a Estao A envia pacotes para a Estao B pensando que ela o gateway da rede, e a Estao B captura a transmisso e redireciona os dados para o endereo correto sem que o trfego da rede seja interrompido (IMASTERS, 2010). A figura 27 mostra o exemplo do ataque usando Arp Poisoning.

Figura 27: Exemplo do ArpSpoofing ou ArpPoisoningFonte:www.guiadohardware.net/tutoriais/wireshark/pagina2.htmlNa nossa demonstrao usamos o Ettercap-ng, que se trata de um sniffer e interceptador multiuso para Lans com switch. Ele possibilita a anlise ativa e passiva de muitos protocolos diferentes (mesmo os criptografados) e inclui muitas caractersticas para anlise de redes e hosts. Ele pode realizar os seguintes procedimentos automaticamente:1. Injeo de caracteres em uma conexo estabelecida;2. Coletar senhas de TELNET, FTP, POP, RLOGIN, SSH1, ICQ, SMB, MySQL;3. Filtragem/descarte de pacotes de dados;4. Terminar conexes.Aps conectar na rede iniciamos o Ettercap-ng, clicando emIniciar/Internet/Ettercap. Depois clicamos emOptions/Set Netmaske defina a netmask como 255.255.255.0 para capturar o trfego de toda a rede, como mostrado na figura 28.

Figura 28: Definio da mscaraFonte: PrpriaNa seqncia clicamos emSniff/Unified Sniffingpara selecionar a interface de rede que vai fazer a captura, no nosso casoWlan0, como observamos na figura 29.

Figura 29: Escolha da interface de redeFonte: PrpriaEm seguida, clicamos emHosts/Scan for Hostspara procurar os hosts que atualmente esto conectados na rede, depois emHost list, para listar todos os hosts que foram encontrados. Em seguida clique emMitm/Arp Poisoningpara escolher o tipo de ataque e marque a opo:Sniff remote connectionse clique emOK, exibido na figura 30.

Figura 30: Escolhendo o tipo de ataqueFonte: PrpriaNa seqncia, clicamos emView/ConnectionseStatistics, para mostrar todas as conexes e a estatstica das conexes de todos os hosts. Em seguida clique em Start/Start Sniffing, para comear a captura do trfego. Como a captura do trfego foi direcionada em cima do Gateway da rede atacada, na figura 31, observamos o resultado da captura do trfego exibindo algumas conexes com usurio e senha expostos.

Figura 31: Resultado da captura do trfegoFonte: Prpria

Podemos perceber a grande preocupao das empresas e instituies em aperfeioar seus mtodos, at ento seguros e confiveis na transmisso das informaes, faz com que profissionais da rea de administrao de redes de computadores procurem aperfeioar seus conhecimentos na tecnologia sem fio, para tomar conhecimento de falhas existentes e suas respectivas solues, como instalao de atualizaes ou propondo melhorias nas polticas de segurana da empresa.Este trabalho teve como objetivo principal estudar e exibir melhor as tecnologias existentes em redes sem fio, bem como suas falhas de segurana buscando conhecer mais a fundo essas falhas e suas possveis solues. Os riscos e as vulnerabilidades apresentadas nos captulos anteriores afetam diretamente toda e qualquer tipo de rede de computadores, resultando algumas vezes em grandes problemas para as empresas. A no observncia de medidas de segurana em uma rede preocupante, pois muitos administradores no possuem conhecimento da amplitude do perigo em que a rede est exposta, possibilitando atravs destas vulnerabilidades a entrada no autorizada de elementos invasores.Apesar de todas as medidas de precaues adotadas e que podem ser aplicadas s redes sem fio, sabe-se que a possibilidade de um invasor bem motivado obter sucesso em seu ataque ainda possvel. Com isso, este estudo servir como material de apoio a administradores de redes, que tenham como filosofia de trabalho, o constante aperfeioamento nesta rea.Vale ressaltar que necessria a incessante busca na melhora das metodologias de segurana, bem como nos padres adotados, visto que o padro IEEE 802.11, que a base para os demais, est constantemente sendo alterado atravs de grupos de estudo e profissionais de informtica, com a finalidade de seu aperfeioamento a fim de encontrar uma forma de estabelecer um padro de segurana aceitvel, ideal e confivel.


Bluetooth Sniffer User Guide · The Wireshark capture screen is displayed when Wireshark is first launched. It includes the Wireshark interface for managing packets that are captured,

Grandstream Networks, Inc. Series WiFi Troubleshooting Guide Wireshark Wireshark is the well know packet sniffer which helps troubleshoot network issues in depth, by checking in details

Babel Routing Protocol for OMNeT++ - arxiv.org · majority of wired network designs are stuck with OSPF ... (based on [9]) – This method ... Wireshark 1.12.7 packet sniffer)

sniffer java

Actividad 2 : Protocolo HTTP. Capturas con sniffer. el Wireshark en Windows 7. ... Clic derecho sobre el primer paquete HTTP, ... estructura del del documento html,

Manejo de Wiresharkmitel.helpweb.es/ayudas/documents/Neris/Manejo de Wireshark.pdf · El Wireshark es una aplicación de análisis de red, a parte de sniffer tiene muchas herramientas

Features industry standard Wireshark@ based protocol dissectors …€¦ · network deployment network troubleshooting Open Sniffer Open Sniffer Open Open Sniffer for wireless sensor

Lab 1: Packet Sniffing and Wireshark - GitHub Pages · 2020-02-12 · Lab 1: Packet Sniffing and Wireshark Introduction The first part of the lab introduces packet sniffer, Wireshark

Wireshark ZigBee Sniffer - opensmarthouse.org

Lab 1: Packet Sniffing and Wireshark€¦ ·  · 2018-01-15• Packet sniffer is a basic tool for observing network packet exchanges in a computer • Capturing ... Shell (SSH),

ACTIVIDAD 2- HTTP CAPTURAS CON SNIFFER€¦ · ACTIVIDAD 2- HTTP – CAPTURAS CON SNIFFER 1) Vamos a iniciar Windows 7 2) Nos descargamos Wireshark y hacemos una captura . 3) Ahora

Cisco PSE Day 2007 - netsniffing.chand wireless sniffer with expert knowledge at very low cost ... Mobile Station Mobile Station Access Point Wireshark Place the Wireshark analyser

Wireshark DHCP v7 - USTCstaff.ustc.edu.cn/~bhua/Kurose_Labs_v7.0/Wireshark_DHCP...2. Start up the Wireshark packet sniffer, as described in the introductory Wireshark lab and begin

Wireshark revealed - linuxdaytorino.org · Cos‘è wireshark É un network analyzer, cioè un ... Sniffer vs Network analyzer Uno sniffer è un software che intercetta pacchetti

Filtraggio e censura dei servizi Internet Un’analisi sul ... Tesi.pdf · 1.2.1Wireshark, packet sniffer Wireshark[2] è un software open source multipiattaforma, con molteplici

Fundamentacion sniffer

Common VoIP problems, - MikroTik · Common VoIP problems, How to detect, ... Using RouterOS packet sniffer & wireshark 4) ... Enable the “dropped packets” view

Sniffer Report

Features industry standard Wireshark@ based protocol ... · PDF file... Zigbee 6LoWPAN LightWeight Mesh ... protocol stack development and ... Open Sniffer Open Sniffer Open Open Sniffer

So What is WireShark? - ilta.personifycloud.comilta.personifycloud.com/webfiles/productfiles/167/OSS4.pdfSo What is WireShark? • Packet sniffer/protocol analyzer ... see all traffic

New York University Computer Science Department …Wireshark Packet Sniffer and Packet Capture Library (see section V below). 2. Microsoft Word. 3. Win Zip as necessary. V. Assignment

Sniffer Pro and Sniffer Distributed Referenceread.pudn.com/downloads118/ebook/499714/教程...Table of Contents iv Sniffer Pro and Sniffer Distributed DB Slow Server Response Diagnosis

pag - Plataformas Linux - Software - Redes sociales y ...ns2.elhacker.net/MITM.pdfdocumento, algunos de ellos ... - Wireshark (antiguo Ethereal) : Sniffer - Paquete Dsniff: ... Una

Security assessment of critical infrastructure SLIDESNOTES...More passive methods •Log analysis •Wireshark, Sniffer, etc. •Monitor ports •Passive wireless tools •Config file

1. Flex Project 2. OpenAirInterface : An Open LTE Network ...nikaeinn/files/talks/eurecom_fire_geni_nika… · – Wireshark over-the-air: LTE UE tester/sniffer, characterize the

Mobile sniffer

Smoke Sniffer

SNIFFER presentation

Aprenda a usar o sniffer Wireshark.docx

REPORT SNIFFER

PAN9320-SoftwareUserManual - Home - Panasonic Industrial ... Documents/PAN9320... · PAN9320-SoftwareUserManual ... Wireshark,oranyotherpacket-sniffer,isusefulforexaminingmessagecontentsaswellaskeyfea-

THE COMPARISON OF PROGRAMS FOR NETWORK ......THE COMPARISON OF PROGRAMS FOR NETWORK MONITORING Wireshark is an open-source network sniffer and packet analyzer designed by Gerald Combs

Lab One: Wireshark Lab - soar.groupsoar.group/CompNets/labs/lab1.pdf · Introduction We will be using the Wireshark packet sniffer [ for this lab, allowing us to display the contents

Drinking straight from the network hose. So What is WireShark? Packet sniffer/protocol analyzer Open Source Network Tool Latest version of the ethereal

t1 Wireshark Tutorial - eecs.yorku.ca · packet sniffer packet analyzer packet capture (pcap) to/from nebwork application operating system co of all Ethernet application (e.g., www