Aprenda a usar o sniffer Wireshark (Parte I)

Ao longo dos anos, fomos apresentando no Pplware as vrias verses e respectivas

novidades do sniffer mais popular para redes informticas, o Wireshark. O Wireshark uma
ferramenta de analise protocolar, que permite a captao, em tempo real, de pacotes de
dados, e apresenta essa informao num formato legvel para os utilizadores. O processo
de captura de trfego realizado via placa de rede,, funcionando esta num modo especial
que designado de modo promscuo (possibilidade de capturar todos os pacotes,
independentemente do endereo de destino)
Hoje vamos iniciar um novo ciclo de tutoriais com o objectivo de ensinar os utilizadores a
usarem o sniffer Wireshark.

Para que que eu preciso de um sniffer?

Para muitos, uma poderosa ferramenta de trabalho, para outros aquela ferramenta
capaz de capturar umas passwords na rede (em plain text de preferncia), alguns dados
confidenciais, decifrar chaves de rede, etc, etc, se esses dados no so encriptados antes
de serem enviados pela rede maravilha passam em claro na rede, perceptveis por
qualquer utilizador. Quanto ao Wireshark (antigo Ethereal), para mim simplesmente o
melhor sniffer grtis!!!. O Wireshark permite analisar os pacotes recebidos e transmitidos por
qualquer interface de rede, sendo possvel aplicar vrios tipos filtros.
Como comear a usar o sniffer Wireshark?
Para comearmos a usar o Wireshark basta escolher a placa de rede (a placa que est
actualmente ligada rede) que pretendemos colocar escuta. De referir que em alguns
casos, o Wireshark no reconhece o fabricante da placa e coloca apenas o nome Microsoft
ou outro (no meu caso, a primeira referencia a Microsoft corresponde placa de rede
wireless).

Caso no consigam identificar a placa que pretendem, podem carregar no primeiro boto do
menu do wireshark e ver qual a placa que est a enviar e a receber pacotes (no meu caso a
segunda
placa
da
listaque
corresponde

placa
de
rede
wireless).

Depois de seleccionarmos a placa de rede, comeamos de imediato a visualizar os pacotes

que passam na rede.

Para parar o processo basta carregar no quarto cone do menu do Wireshark.

Exerccio:
Para experimentarem de imediato o Wireshark deixamos aqui um pequeno exerccio. Para
tal, vamos snifar todos os pedidos e respostas DNS, devendo colocar no campo filter dns.
De seguida abrimos a linha de comandos e usando o comando nslookup, questionamos o
nosso servidor de DNS quem www.pplware.com. Como podem ver na imagem seguinte, o
Wireshark consegue capturar toda a informao trocada entre a nossa mquina e o servidor
de DNS definido.

Aprenda a usar o sniffer Wireshark (Parte II)

Ao longo dos anos, fomos apresentando no Pplware as vrias verses e respectivas
novidades do sniffer mais popular para redes informticas, o Wireshark. O Wireshark uma
ferramenta de analise protocolar, que permite a captao, em tempo real, de pacotes de
dados, e apresenta essa informao num formato legvel para os utilizadores. O processo
de captura de trfego realizado via placa de rede,, funcionando esta num modo especial
que designado de modo promscuo (possibilidade de capturar todos os pacotes,
independentemente do endereo de destino).
Depois de termos apresentado aqui algumas funcionalidades bsicas do wireshark, hoje
vamos explicar mais duas funcionalidades: Esquema de cores nas linhas e Follow TCP
Stream.
Esquema de cores nas linhas
Quando um utilizador v pela primeira vez o funcionamento do wireshark, questionar-se-
qual o significado das cores no output. De uma forma geral e por omisso, as linhas:
Verde significa trfego TCP
Azul escuro Trfego DNS
Azul claro Trfego UDP
Preto Segmentos TCP com problema
Caso o utilizador pretenda ver o esquema de cores completo do wireshark, basta aceder a
View>Coloring Rules

Follow TCP Stream

Uma das funcionalidades interessantes do Wireshark o Follow TCP Stream. Esta
funcionalidade permite visualizar streams TCP completas, isto , com esta opo o utilizador
poder acompanhar toda uma comunicao desde o primeiro SYN at ao FIN--ACK.

Esperamos que tenham gostado deste segundo tutorial sobre o Wireshark. Por hoje restanos esperar pelo vosso feedback e sugestes para prximos tutoriais.

Aprenda a usar o sniffer Wireshark (Parte III)

Como detectar trfego abusivo
Ao longo dos anos, fomos apresentando no Pplware as vrias verses e respectivas
novidades do sniffer mais popular para redes informticas, o Wireshark. O Wireshark uma
ferramenta de analise protocolar, que permite a captao, em tempo real, de pacotes de
dados, e apresenta essa informao num formato legvel para os utilizadores.
O processo de captura de trfego realizado via placa de rede,, funcionando esta num
modo especial que designado de modo promscuo (possibilidade de capturar todos os
pacotes, independentemente do endereo de destino). Depois de termos apresentado aqui
algumas funcionalidades bsicas do wireshark, Esquema de cores nas linhas e Follow TCP
Stream aqui, hoje vamos aprender a detectar trfego abusivo.
Um dos maiores inimigos de qualquer administrador de sistemas o trfego abusivo que
deriva de torrents, streaming de dados, downloads ilegais, etc. Apesar de existirem vrias
ferramentas que permitem controlar o trfego abusivo, o Wireshark tambm poder dar
uma ajuda.
De referir que o wireshark s conhecer monitorizar trafego unicast, broadcast e multicast no
caso de estarmos ligados via switch (ver mais aqui).
Vamos ento a um exemplo para detectar a presena de downloads de torrents na rede.
Para isso, vamos ao campo Filter e colocamos o nome do protocolo associado aos torrents:
bittorrent

Alm da informao anterior, podemos ainda saber as estatsticas de utilizao de um dado

protocolo. Para isso, vamos a Statistics > Protocolo Hierarchy

Como
podemos
ver pela imagem seguinte, o protocolo BitTorrent est com uma taxa de ocupao na ordem
dos 0,90% (valor relativo ao perodo de captura).

Se pretendermos saber o endereo IP de todas as mquinas que esto a funcionar como

peers, basta ir a Statistics > Endpoints e depois carregar no separador IPv4.

Aprenda a usar o sniffer Wireshark (Parte IV)

Ao longo dos anos, fomos apresentando no Pplware as vrias verses e respectivas
novidades do sniffer mais popular para redes informticas, o Wireshark. O Wireshark uma
ferramenta de analise protocolar, que permite a captao, em tempo real, de pacotes de
dados, e apresenta essa informao num formato legvel para os utilizadores. O processo
de captura de trfego realizado via placa de rede,, funcionando esta num modo especial
que designado de modo promscuo (possibilidade de capturar todos os pacotes,
independentemente do endereo de destino).
Depois de termos apresentado aqui algumas funcionalidades bsicas do wireshark,
Esquema de cores nas linhas e Follow TCP Stream aqui, e ensinar a detectar trfego
abusivo, hoje vamos ensinar como podem ver o processo de Three-way Handshake,
responsvel pelo estabelecimento de ligaes TCP.
O TCP o protocolo mais usado isto porque fornece garantia na entrega de todos os
pacotes entre um PC emissor e um PC receptor. Dentro de um segmento TCP existem
vrios campos e hoje destacamos os campos ACK e SYN que so usados no inicio de uma
comunicao TCP.

SYN Se activo, indica um pedido de estabelecimento de ligao e a confirmao da

ligao;
ACK Se activo, o campo Nmero de Confirmao deve ser interpretado;

Mas o que Three Way Handshake?

No estabelecimento de ligao entre emissor e receptor existe um pr-acordo denominado
de Three Way Handshake (SYN, SYN-ACK, ACK).

A sesso entre um cliente e um servidor sempre iniciada pelo cliente, que envia um
pedido de ligao pacote com a flag SYN activada.
O cliente envia tambm um numero sequencial aleatrio
O servidor responde com um pacote SYN,ACK com o seu prprio numero
sequencial aleatrio e um numero de confirmao (igual ao numero sequencial do
cliente +1)
Para finalizar o cliente responde com um pacote ACK com o numero de
confirmao (igual ao numero de sequncia do servidor +1)

Na prtica, temos mais ou menos isto

Vamos a um exemplo prtico?

Vamos considerar ento uma ligao da nossa mquina para o site Pplware.
Primeira Fase (SYN)
O cliente (192.168.1.123) envia um pedido de sincronizao (SYN) para o Pplware.com. Tal
segmento tem como numero de sequencia 0 (zero).

Segunda Fase (SYN, ACK)

O servidor responde com um pacote SYN,ACK, onde o ACK=1 (igual ao numero sequencial
do cliente +1)

Terceira fase (ACK)

Para finalizar o cliente responde com um pacote ACK =1 e envia tambm o nmero de
sincronizao (Seq =1) igual ao numero de sequncia do servidor +1.

Nota: Para facilitar a encontrar os registos, podem usar os seguintes filtros:

Filtro 1: tcp.flags.syn == 1 && tcp.flags.ack == 0

Filtro 2: tcp.flags.syn == 1 && tcp.flags.ack == 1
Filtro 3: tcp.seq == 1 && tcp.ack == 1 && tcp.len == 0 && !(tcp.flags.push == 1)

Nota: Para facilitar, podem tambm usar a funcionalidade Follow TCP Stream. Esta
funcionalidade permite visualizar streams TCP completas, isto , com esta opo o utilizador
poder acompanhar toda uma comunicao desde o primeiro SYN at ao FIN-ACK ver
aqui.
Esperamos que tenham gostado deste terceiro tutorial sobre o Wireshark. Por hoje restanos esperar pelo vosso feedback e sugestes para prximos tutoriais.

Aprenda a usar o sniffer Wireshark (Parte V)

Veja tudo o que passa na rede! Hoje vamos ensinar a usar os filtros.
O Wireshark uma ferramenta de analise protocolar, que permite a captao, em tempo
real, de pacotes de dados, e apresenta essa informao num formato legvel para os
utilizadores. O processo de captura de trfego realizado via placa de rede,, funcionando
esta num modo especial que designado de modo promscuo (possibilidade de capturar
todos os pacotes, independentemente do endereo de destino).
Hoje vamos ensinar como podem usar filtros no Wireshark.
No Pplware j apresentamos aqui algumas funcionalidades bsicas do wireshark, esquema
de cores nas linhas e Follow TCP Stream aqui, ensinamos a detectar trfego abusivo e
tambm mostramos como podem ver o processo de Three-way Handshake, responsvel
pelo estabelecimento de ligaes TCP.
O que so filtros?
Tal como nome sugere, os filtros permitem seleccionar, de um conjunto de informao,
aquilo que pretendemos. Podemos filtrar por protocolo, por endereo de rede, por porta, por
endereo MAC, etc, etc. Aqui ficam alguns exemplo:
Filtrar por protocolo
Para filtrar por protocolo basta escrever no campo Filter qual o protocolo a filtrar.
Vamos considerar que vamos filtrar apenas HTTP, aqui fica o exemplo de um resultado.

De referir tambm que possvel usar operadores lgicos. Isto permite-nos melhorar o
filtro no caso de pretendermos informao de mais do que um protocolo.

Vamos considerar, por exemplo, que pretendemos informao dos protocolos http e ICMP.
Para isso basta apenas usar o operador lgico ||.

Filtrar por IP
No caso das pesquisas por IP podemos, por exemplo, pesquisar pelo endereo de origem
(ip.addr) e endereo de destino (ip.dst).

E se o utilizador pretender excluir da pesquisa apenas um determinado IP? Para isso basta
usar o operador != (ex. ip.src!=8.8.4.4)
Filtrar por porta
Para filtrar por porta semelhante aos exemplos anteriores. Podemos simplesmente filtrar
por uma porta TCP (ex. tcp.port) mas podemos tambm ser mais especficos e filtrar por
porta de origem(tcp.srcport) ou porta de destino (tcp.dstport).
Mas a opo tcp, existem muitas mais opes. Veja aqui

Filtrar por MAC

A pesquisa por MAC feita recorrendo ao parmetro eth.addr seguido do endereo MAC.