Exerccios com Wireshark

Docente: Geraldo C. Nhadumbuque

Nome___________________________________________________________________________ Nome___________________________________________________________________________ Data____________________________________

Instrues:
Este trabalho deve ser executado individualmente ou em grupos de duas pessoas, no mximo. O relatrio dever ser preenchido medida que for a realizar os exercicios propostos. O relatrio dever ser realizado e enviado para o endereo de e-mail: gnhadumbuque@gmail.com at dia 17 de Setembro, e devera incluir o ficheiro Wireshark de todos os procedimentos utilizados.

Objetivos:

Fazer uma abordagem acerca de software do tipo packet sniffer para monitorizao de trfego de uma rede Ethernet. Filtrar e interpretar os pacotes capturados usando o sniffer. Analizar o trafego associado aos protocolos http, DNS, TCP e ICMP.

Descrio do trabalho 1. Introduo ao uso do sniffer

Sniffing, em rede de computadores, o procedimento realizado por uma ferramenta conhecida como Sniffer(tambm conhecido como Packet Sniffer, Analisador de Rede, Analisador de Protocolo, Ethernet Sniffer em redes do padro Ethernet ou ainda Wireless Sniffer em redes wireless). Esta ferramenta, constituda de um software ou hardware, capaz de interceptar e registar o trfego de dados em uma rede de computadores. Conforme o fluxo de dados trfega na rede, o sniffer captura cada pacote e eventualmente descodifica e analisa o seu contedo de acordo com o protocolo definido em um RFC ou uma outra especificao. O sniffing pode ser utilizado com propsitos maliciosos por invasores que tentam capturar o trfego da rede com diversos objectivos, dentre os quais podem ser citados, obter cpias de arquivos importantes durante sua transmisso, e obter senhas que permitam estender o seu raio de penetrao em um ambiente invadido ou ver as conversaes em tempo real.1 Para a realizao deste trabalho dever utilizar o Sniffer Wireshark(sucessor do Ethereal)que pode ser obtido no link http://www.wireshark.org/. s aceder o site, fazer o download e instalar em sua mquina.

Execute o Wireshark e observe a estrutura de sua tela. Inicie uma captura na interface conectada a internet. Aceda o menu capture e clique na interface pretendida seleccionando o checkbox e a opo start para habilitar a captura de pacotes(ver a fig. abaixo).

Para gerar algum trfego pela interface, inicie um web browser e aceda o site http://www.google.co.mz. Aps concluir o download da pgina, pare a captura do Wireshark clicando no cone stop. Alm da barra de menus e da barra de filtragem (acima), e da barra de status (abaixo) devem aparecer
1

Fonte: http://pt.wikipedia.org/wiki/Sniffing

trs listagens na tela. Qual o significado de cada uma destas listagens? 1.1 Resposta:

No campo filter, introduz a palavra http e em seguida tecle ENTER. Explique qual foi o efeito obtido ao introdudir a palavra http no campo filter. 1.2 Resposta:

Selecione o primeiro pacote http da lista. Este pacote deve ser uma mensagem HTTP GET do seu computador para o servidor http solicitado. Selecione este pacote mediante um clique. Na segunda listagem da tela do Wireshark, dever aparecer a estrutura de cabealhos Ethernet, IP, TCP e HTTP do pacote selecionado. As setas do lado esquerdo permitem maximizar o contedo de cada cabealho. Maximize o contedo do cabealho HTTP clicando na sua seta. Selecione o primeiro item deste cabealho (mensagem GET). Note que ao selecionar este item, o intervalo de bytes que contm esta mensagem realado na terceira listagem. Quantos bytes possui a poro selecionada (instruo GET)? Quais so os caracteres transmitidos nessa instruo? 1.3 Resposta:

Baseando-se na captura de pacotes que foi feita, responda as seguintes perguntas: Liste todos os protocolos que aparecem nesta captura quando no houver a filtragem de pacote. 1.4 Resposta:

Quanto tempo passou entre o envio do primeiro pacote HTTP GET enviada pelo seu computador e a respectiva chegada da resposta enviada pelo servidor HTTP? 1.5 Resposta:

Qual o endereo IP do seu computador e qual o endereo IP do servidor HTTP? 1.6 Resposta:

Qual o endereo IP da rede do Servidor HTTP e qual o endereo de broadcast? Justifique. 1.7 Resposta:

2. HTTP
Observaremos nesta seo algumas caractersticas do comando HTTP GET e sua resposta e da autenticao HTTP bsica. O comando GET Obs.: A maioria dos browsers armazena dados em cache e realiza uma busca condicional a objetos, ou seja, s realmente recebe o contedo da pgina se esta tiver sido modificada. Para efectuar o teste, assegure-se de que o cache do seu browser est vazio: no Firefox: Editar > Preferncias > Privacidade> Configurar (ative cache) e Limpar Agora. Inicie um web browser e o Wireshark. Inicie uma captura de pacotes, filtrando-os com a expresso http. Atravs do seu browser entre na pgina: http://www.gmail.com Pare a captura. Atravs das informaes obtidas pela captura, responda as perguntas abaixo: O browser est rodando verso 1.0 ou 1.1 de HTTP? E o servidor? Quais idiomas o browser est informando que pode aceitar do servidor? 2.1 Resposta:

Qual o endereo IP do servidor? 2.2 Resposta: Quantos bytes de contedo HTTP retornaram para o seu browser? 2.3 Resposta: Qual status code o servidor informou? 2.4 Resposta:

Autenticao HTTP Vamos examinar o trfego entre cliente e servidor durante uma visita a uma pgina HTTP protegida por senha atravs de autenticao bsica. Inicie o browser e limpe seu cache. Inicie uma captura com o Wireshark com filtrohttp. Faa o download da pgina supostamente segura: http://www.gmail.com introduz o username e a password. Se no tiver conta no gmail poder recorrer qualquer outro webmail(yahoo, hotmail, etc.)e fornecer os dados de autenticao

Depois de concluir o download da pgina, pare a captura. O que o servidor respondeu primeira requisio HTTP GET? 2.5 Resposta:

Na segunda vez que o cliente envia a requisio HTTP GET, quais novos campos so inclusos? 2.6 Resposta:

Note que o nome de usurio e senha so codificados na seqncia (localize esta seqncia no pacote). A primeira vista, pode parecer que as informaes de autenticao foram criptografadas, mas no foram. Na verdade, elas esto apenas codificadas no formato Base64. Verifique que o Wireshark j decodifica o contedo desta seqncia e os exibe na linha Credentials. Discorra sobre a segurana deste mtodo de autenticao do ponto de vista da proteo da senha do usurio. 2.7 Resposta:

3. DNS
O comando nslookup Abra uma janela de terminal e digite o comando: nslookup www.mit.edu Quais informaes este comando retorna? Obs.: consulte o manual do Linux digitando man nslookup. 3.1 Resposta:

Digite o comando: nslookup -q=NS mit.edu (no Windows: nslookup -type=NS mit.edu ). O comando requisita os nomes dos servidores DNS autoritativos para mit.edu. Verifique o resultado. Caso o nslookup tenha indicado uma resposta no autoritativa, significa que esta resposta foi originada pelo cache de algum outro servidor DNS ao invs dos servidores autoritativos de mit.edu. Apesar de quem ter dado a resposta no ser autoritativo, os servidores apontados na resposta so autoritativos. Quais so os servidores DNS autoritativos de mit.edu? 3.2 Resposta:

Digite o comando: nslookup www.aiit.or.kr zeus.lcs.poli.usp.br Nesse caso, estamos especificando qual servidor DNS queremos consultar. Qual o endereo IP do Advanced Institute of Information Technology na Coria? 3.3 Resposta: Resumindo, o formato do comando nslookup -option1 -option2 host-to-find dns-server Se dns-server no for especificado, a consulta feita para o servidor DNS local default.

Obs. Para limpar o cache DNS, digite: /etc/init.d/dns-clean (no Windows: ipconfig /flushdns ). Rastreamento de DNS com Wireshark Limpe o cache DNS da estao. Abra o browser e limpe o cache do browser. Abra o Wireshark e utilize o filtro ip.addr == <seu_ip> , onde <seu_ip> o endereo IP da sua estao. Inicie a captura de pacotes com o Wireshark. Atravs do browser aberto, visite o site www.ietf.org Pare a captura.

Localize os pacotes DNS (pergunta e resposta). Eles so transportados por UDP ou por TCP? 3.6 Resposta: Qual a porta destino da pergunta DNS? Qual a porta de origem da resposta DNS? 3.7 Resposta:

Para qual IP a pergunta DNS foi enviada? Este o IP do seu servidor DNS local (verifique com /etc/resolv.conf no Linux ou ipconfig /all no Windows) ? 3.8 Resposta:

cat

Examine o pacote SYN enviado por sua estao aps receber a resposta do servidor DNS. O IP destino deste pacote coincide com a resposta do servidor DNS? 3.9 Resposta:

4. TCP
Antes de explorar o protocolo TCP, vamos obter uma captura de uma transferncia TCP de um arquivo da sua estao para um servidor remoto. Vamos entrar num site que nos permita entrar com o nome de um arquivo armazenado no seu computador contendo um texto ASCII e depois transferir este arquivo usando o mtodo HTTP POST enquanto fazemos a captura. Crie um documento no notepad e grave com o nome protocolos.txt Aceda o seu email informe o caminho(path) para o arquivo protocolos.txt Inicie uma captura com o Wireshark. Clique no boto upload alice.txt file. Aguarde o browser exibir a pgina de congratulaes. Pare a captura. Filtre os pacotes com a expresso TCP. Quantos pacotes foram enviados e recebidos no handshake inicial entre a sua estao e o servidor do seu email? 4.1 Resposta:

Qual o nmero seqencial usado pelo cliente no segmento SYN que inicia a conexo? O que o identifica como um segmento SYN ? 4.2 Resposta:

Qual o nmero seqencial do segmento SYN-ACK enviado pelo servidor em resposta ao SYN do cliente? Qual o nmero seqencial do campo acknowledgement neste segmento? O que identifica este segmento como SYN-ACK? 4.3 Resposta:

Aps o handshake deve ter ocorrido uma mensagem HTTP POST dividida em vrios segmentos TCP, intercalados com mensagens ACK enviadas pelo servidor remoto. Qual o nmero seqencial do segmento contendo o comando HTTP POST? 4.4 Resposta:

Qual a vazo(Bytes transmitidos por unidade de tempo) mdia de dados durante a transferncia do arquivo. Demonstre qual foi o clculo efetuado. 4.5 Resposta:

V ao menu: Statistics TCP Stream Graph Time-Sequence-Graph(Stevens). Capture a tela com o grfico. 4.6 Captura da tela:

Baseado neste grfico, responda: h algum segmento retransmitido durante a transferncia do arquivo? Como voc pode afirmar isso? 4.7 Resposta:

Em que situaes aparece a informao TCP Retransmission e TCP keep-Alive. Liste o contedo que aparece nos restantes campos em cada situao. 4.8 Resposta

Faz uma listagem dos endereos IPs envolvidos na comunicao, e diga a classe correspondente. 4.9 Resposta

Faz uma listagem dos protocolos envolvidos na comunicao, e diga a camada do Modelo TCP Correspondente. 4.9 Resposta

5. ICMP
Nesta seo exploraremos o formato e o contedo de mensagens ICMP geradas pelo programa ping. Recomenda-se a leitura prvia da seo 4.4.3, sobre ICMP. Exemplo de uso do ping (envia 10 mensagens ICMP echo request para hostname): No Linux: ping -c 10 hostname No Windows: ping -n 10 hostname Inicie uma captura com o Wireshark. Envie 10 pedidos de eco para algum host, por exemplo, www.ust.hk (Hong Kong University of Science and Technology). Pare a captura. Filtre os pacotes com a expresso icmp. Selecione um dos pacotes ICMP echo request e examine o cabealho ICMP. Quais informaes h neste cabealho? 5.1 Resposta:

Examine e comente agora as informaes contidas no cabealho do pacote ICMP echo reply. 5.2 Resposta:

H informao do nmero das portas de origem e de destino? Por que? 5.3 Resposta:

Qual o intervalo de tempo de envio entre as mensagens ICMP echo request? Quantos pacotes foram enviados e quantos foram respondidos? Qual a mdia de tempo de resposta? Como voc encontrou estes valores? 5.4 Resposta: