Usando o Wireshark (Ethereal) - Redes e Servidores Linux, 2ed.

Guia do hardware

GDH Press

Frum GdH

Publique seu texto

RSS

Pgina 1 de 5

Home

Equipe

Efetuar Login

ndice - Livros

Redes e Servidores Linux, 2ed.

Criado 1/jun/2006 s 02h00 por Carlos E. Morimoto

11

ERRO
A URL solicitada no
pode ser recuperada

ANTERIOR: USANDO O NESSUS

---- Usando o Wireshark (Ethereal)

PRXIMO: ENTENDENDO (E QUEBRANDO) A SEGURANA EM REDES WIRELESS

Usando o Wireshark (Ethereal)

Na tentativa de recuperar a URL:

http://googleads.g.doubleclick.net/pagead/a
O seguinte erro foi encontrado:
Proibido o Acesso.

Alm do Nessus, outro aliado importante o Wireshark, o bom e velho Ethereal, que mudou de
nome em Junho de 2006. Ele um poderoso sniffer, que permite capturar o trfego da rede,
fornecendo uma ferramenta poderosa para detectar problemas e entender melhor o
funcionamento de cada protocolo.
Assim como o Nessus, ele pode ser usado tanto para proteger seu sistema quanto para roubar
dados dos vizinhos, uma faca de dois gumes. Devido a isso, ele s vezes visto como uma
"ferramenta hacker" quando na verdade o objetivo do programa dar a voc o controle sobre o
que entra e sai da sua mquina e a possibilidade de detectar rapidamente qualquer tipo de trojan,
spyware ou acesso no autorizado.
Embora ele geralmente no venha instalado por padro, a maioria das distribuies disponibilizam
o pacote "wireshark" ou "ethereal", de acordo com o nvel de atualizao. Nas distribuies
derivadas do Debian, voc pode usar o apt-get, como de praxe.
possvel instalar tambm a partir do pacote com o cdigo fonte, disponvel no
http://www.wireshark.org/, que deve ser instalada com os conhecidos "./configure", "make" e
"make install". Como ele depende de um nmero relativamente grande de compiladores e de
bibliotecas, muitas delas pouco comuns, voc quase sempre vai precisar instalar alguns
componentes adicionais manualmente.
Uma forma simples de instalar todos os componentes necessrios para a compilao usar o
"auto-apt", disponvel atravs do apt-get. Para us-lo, instale o pacote via apt-get e rode o
comando "auto-apt update":
# apt-get install auto-apt
# auto-apt update

Notcias

Durante a instalao, o auto-apt usa o apt-get para instalar os componentes necessrios, como
neste screenshot:

O que h de novo?

Notcias
ontem
Nova verso do Firefox for Android est bem potente
A nova tela de entrada do Windows Phone 7.8, ltima
verso para os aparelhos atuais
Mais sobre as especificaes do tablet do Google
Usurios reclamam da falta de privacidade na tela de nova
aba do Firefox 13
25/06
Windows 8 Release Preview e seu bug de travamento geral
Curiosidade: os vdeos travados em 301 visualizaes no
YouTube
22/06
Google Maps melhora dados do servio de informaes de
trnsito
Ubuntu e Fedora do um jeito para iniciar com o Secure
Boot do UEFI
21/06

A partir da, voc pode rodar os comandos de compilao atravs dele, como em:
$ tar -zxvf wireshark-0.99.1pre1
$ cd wireshark-0.99.1pre1
$ auto-apt run ./configure
$ auto-apt run make
$ su <senha>
# make install

Guias

Fedora 18 dever instalar algumas atualizaes ao

reiniciar, similar ao Windows
20/06
Windows Phone 8 tem a mesma base do NT 6.2
Laptop Linux de US$ 66 com o Arch e o WM8650
Raspberry Pi transformado em um laptop de US$ 100
Google deve anunciar seu tablet de US$ 199 semana que
vem
19/06
JavaFX 2.2 permite empacotar apps para Windows, Mac e
Linux
Canonical lana concurso de criao de programas para o
Ubuntu
Verso 1.0 do driver Nouveau, projeto livre para placas da
Nvidia
18/06

Depois de instalado, abra o programa usando o comando "wireshark" ou "ethereal", de acordo

com a verso instalada.
O Wireshark um daqueles programas com tantas funes que voc s consegue aprender
realmente usando. Para comear, nada melhor do que capturar alguns pacotes. Clique em
"Capture > Start".

oficial: Microsoft anuncia seu prprio tablet Surface

Mozilla testa novo navegador para iOS
A decadncia da nVidia no mundo Linux
CX-01: Mais um micro-PC, agora por US$ 53

Notcias do ms de Junho de 2012

Artigos

Tutoriais
Livros Dicas Anlises

Livros

http://www.hardware.com.br/livros/linux-redes/usando-wireshark-ethereal.html

27/06/2012

Usando o Wireshark (Ethereal) - Redes e Servidores Linux, 2ed.

Pgina 2 de 5

Compre o seu. Livro atualizado!

Aqui esto as opes de captura. A primeira opo importante a "Capture packets in promiscuous mode", onde voc decide se quer capturar apenas os pacotes
endereados sua prpria mquina, ou se quer tentar capturar tambm pacotes de outras mquinas da rede.
Isto possvel pois os hubs tradicionais apenas espelham as transmisses, enviando todos os pacotes para todas as estaes. No incio de cada pacote, vai o
endereo MAC do destino. Normalmente, a placa escuta apenas os pacotes destinados a ela, ignorando os demais, mas, no promiscuous mode ela passa a receber
todos os pacotes, independentemente de a qual endereo MAC ele se destine.
Em seguida, voc tem a opo "Update list of packets in real time". Ativando esta opo, os pacotes vo aparecendo na tela conforme so capturados, em tempo real.
Caso contrrio, voc precisa capturar um certo nmero de pacotes para s depois visualizar todo o bolo.
Mais abaixo esto tambm algumas opes para interromper a captura depois de um certo tempo ou depois de capturar uma certa quantidade de dados. O problema
aqui que o Ethereal captura todos os dados transmitidos na rede, o que (em uma rede local) pode rapidamente consumir toda a memria RAM disponvel, at que
voc interrompa a captura e salve o dump com os pacotes capturados em um arquivo.
Dando o OK, ser aberta a tela de captura de pacotes, onde voc poder acompanhar o nmero de pacotes capturados:

Na tela principal, temos a lista dos pacotes, com vrias informaes, como o remetente e o destinatrio de cada pacote, o protocolo utilizado (TCP, FTP, HHTP, AIM,
NetBIOS, etc.) e uma coluna com mais informaes, que incluem a porta TCP qual o pacote foi destinado.
Os pacotes que aparecem com um micro da rede local como emissor e um domnio ou IP da internet como destinatrio incluem requisies, upload de arquivos, emails enviados, mensagens de ICQ e MSN e, em muitos casos, tambm senhas de acesso. Os pacotes provenientes de micros da internet so respostas estas
requisies, incluindo pginas web, e-mails lidos, arquivos baixados e, assim por diante. Atravs do sniffer, possvel capturar todo tipo de informao que trafegue
de forma no encriptada pela rede.

http://www.hardware.com.br/livros/linux-redes/usando-wireshark-ethereal.html

27/06/2012

Usando o Wireshark (Ethereal) - Redes e Servidores Linux, 2ed.

Pgina 3 de 5

Clicando sobre um dos pacotes e, em seguida, no "Follow TCP Stream", o Ethereal mostrar uma janela com toda a converso, exibida em modo texto.

A maior parte do que voc vai ver sero dados binrios, incluindo imagens de pginas web e arquivos diversos. Mesmo o html das pginas chega muitas vezes de
forma compactada (para economizar banda), novamente em um formato ilegvel. Mas, garimpando, voc vai encontrar muitas coisas interessantes, como, por
exemplo, mensagens (MSN e ICQ) e e-mails, que, por padro, so transmitidos em texto puro. Usando a opo "Follow TCP Stream", possvel rastrear toda a
conversa.

Como disse, o Wireshark pode ser usado tambm pelo lado negro da fora. Se voc estiver em uma rede local, com micros ligados atravs de um hub ou atravs de
uma rede wireless, outro usurio pode us-lo para capturar todas as suas transmisses.
Isto extremamente perigoso. Qualquer um, que tenha a chance de plugar um notebook na rede ou coloc-lo dentro da rea de cobertura de sua rede wireless,
poder capturar dados e senhas suficientes para comprometer boa parte do sistema de segurana da sua empresa. Apenas conexes feitas atravs do SSH e outros
programas que utilizam encriptao forte estariam a salvo.
Naturalmente, alm de algum de fora, existe a possibilidade de um dos seus prprios funcionrios resolver comear a brincar de script kiddie, pregando peas nos
outros e causando danos. Como vimos, isso no requer muita prtica. Enfim, a menos que voc esteja em uma simples rede domstica, onde exista uma certa
confiana mtua, utilizar um hub burro simplesmente um risco grande demais a correr.
Ao utilizar um hub-switch, o risco um pouco menor, j que, por default, os pacotes so enviados apenas s portas corretas. Entretanto, muitos sistemas so
vulnerveis a ataques de ARP poisoning, sem falar dos ataques de MAC flooding, que permitem burlar a proteo.
No ARP poisoning, o micro do atacante envia pacotes com respostas forjadas para requisies ARP de outros micros da rede. Como vimos no captulo 3, o ARP
utilizado para descobrir os endereos MAC dos demais micros da rede, j que os switchs no entendem endereos IP. Estes pacotes forjados fazem com que os outros
micros passem a enviar seus pacotes para o micro do atacante, que configurado para retransmiti-los para os destinatrios corretos.
A rede continua funcionando normalmente, mas agora o atacante tem chance de logar todo o trfego, usando o Wireshark ou outro sniffer. Felizmente, o Wireshark
tambm pode ser usado para perceber as anormalidades na rede e chegar at o espertinho.
Os ataques de MAC flooding, por sua vez, tem como alvo o switch da rede e trabalham dentro de um princpio bastante simples. O switch possui uma rea limitada de
memria para armazenar a tabela com os endereos MAC dos micros da rede, de forma que, ao receber um grande nmero de pacotes com endereos MAC forjados,
a tabela completamente preenchida com os endereos falsos, no deixando espao para os verdadeiros. Para no travar, o switch passa a trabalhar em modo hub,
desativando a tabela e passando a simplesmente encaminhar todos os pacotes para todas as portas (at ser reiniciado), permitindo ao atacante capturar todos os
pacotes da rede.
Em outras situaes, pode ser que voc mesmo, como administrador da rede, precise policiar o que os usurios esto fazendo durante o expediente na conexo da
empresa. Neste caso, eu sugiro que voc mantenha um servidor SSH ativo nas estaes de trabalho. Assim, voc pode se logar em cada uma das mquinas, sempre
que necessrio, e rodar o Wireshark para acompanhar o trfego de dados de cada uma, sem que o usurio tome conhecimento.
Outra possibilidade seria rodar o Wireshark na mquina que compartilha a conexo, assim voc poder observar os pacotes vindos de todas as mquinas da rede.
Alguns modelos de switchs mais caros podem ser programados para direcionar todo o trfego da rede para uma determinada porta, onde voc poderia plugar o seu
micro para "ver tudo".
No caso das redes wireless, a situao um pouco mais complicada, pois o meio de transmisso sempre compartilhado. Os pacotes trafegam pelo ar, por isso no
possvel impedir que sejam capturados. Mas, voc pode dificultar bastante as coisas ativando a encriptao, se possvel usando o WPA e diminuindo a potncia de
transmisso do ponto de acesso, de forma a cobrir apenas a rea necessria.
Lembre-se de que apenas informaes no encriptadas podem ser capturadas. Utilizando protocolos seguros, como o SSH, as informaes capturadas no tero
utilidade alguma, pois estaro encriptadas.

Alm do lado negativo, pessoas sniffarem sua rede e assim descobrirem senhas e outros dados sigilosos, existe um lado positivo: monitorando sua conexo durante
algum tempo, voc vai logo perceber vrios tipos de abusos, como sites que enviam requisies para vrias portas da sua mquina ao serem acessados, banners de
propaganda que enviam informaes sobre seus hbitos de navegao para seus sites de origem, gente escaneando suas portas usando o Nessus ou outros
programas similares, programas que ficam continuamente baixando banners de propaganda e, assim por diante.

http://www.hardware.com.br/livros/linux-redes/usando-wireshark-ethereal.html

27/06/2012

Usando o Wireshark (Ethereal) - Redes e Servidores Linux, 2ed.

Pgina 4 de 5

Estas informaes so teis no apenas para decidir quais sites e servios evitar, mas tambm para ajudar na configurao do seu firewall. Pode ser que no incio
voc no entenda muito bem os dados fornecidos pelo Wireshark, mas, depois de alguns dias observando, voc vai comear a entender muito melhor como as
conexes TCP funcionam.
PRXIMO: ENTENDENDO (E QUEBRANDO) A SEGURANA EM REDES WIRELESS
ANTERIOR: USANDO O NESSUS

NDICE

Capa
Prefcio
Introduo [+ 3]
Captulo 1: A parte fsica: placas, cabos, conectores, hubs e switches [+ 12]
Captulo 2: Configurando a rede [+ 12]
Captulo 3: Entendendo o endereamento IP [+ 5]
Captulo 4: Segurana
As dicas gerais
Usando o Nmap
Usando o Nessus
Usando o Wireshark (Ethereal)
Entendendo (e quebrando) a segurana em redes Wireless [+ 2]
Usando o HFNetChk
Captulo 5: Compartilhando a conexo [+ 20]
Captulo 6: Configurando um servidor de arquivos e impressoras [+ 13]
Captulo 7: Web, FTP e Quota [+ 17]
Captulo 8: Acesso remoto [+ 24]
Captulo 9: Terminais leves com o LTSP [+ 23]
Captulo 10: Configurando um servidor de e-mails [+ 7]
Captulo 11: Firewall [+ 8]
Por Carlos E. Morimoto. Revisado 1/jun/2006 s 02h00

11 comentrios

Comentrios
Entrar e fazer comentrio

IPV6
Criado 14/mar/2012 s 15h30 por Lucas Schirm
Desculpe a ignorncia, mas isso tambm funciona com o IPV6? a mesma coisa?
Agora estou trabalhando na <a href=http://www.emc.com.br>EMC Computadores</a> vou precisar aprender algumas coisas de configurao de rede.
Desde j obrigado,
Lucas schirm
http://www.emc.com.br

/etc/skel/ est vazio no kubuntu lucid

Criado 5/jul/2011 s 21h04 por lcnrj (annimo)
/etc/skel/ s tem os arquivos ocultos .bash_logout , .bashrc,.directory,.profile . Como configurar o kde para todos os users nessa situao? Obrigado
Expandir rplicas

solucao simples

por Petronio Padilha (annimo)

Parabns
Criado 17/jan/2012 s 10h05 por ch (annimo)
Parabns pelo trabalho, pena que no so todos que compartilham o conhecimento assim.

AGRADECIMENTOS
Criado 20/nov/2011 s 13h58 por manoel vasconcelos (annimo)
ei, muito obrigado pelas dicas. com certeza eu vou me divertir bastante com esses nmeros. eu queria saber quantos host eu posso instalar na classe A.

falha no logon servidor de entrada

Criado 22/set/2011 s 14h48 por Renato Silva (annimo)
Sr., configurei um servidor postfix com o squirrelmail e est funcionando normalmente mas meu problema que quando vou configurar o outlook dos clientes como
pop3 (como estava no servidor anterior) todos os passos do teste funcionam exceto o "fazer logon no servidor de entrada". alguem pode ajudar???
fico no aguardo, desde j muito obrigado!!!

Proxy
Criado 19/jul/2011 s 20h29 por Igor Cardoso (annimo)
Muito bom, gostei bastante isso ja me deu uma melhor visao para concluir o meu projeto de rede em um cliente onde estou implantando um servidor de internet.

que bom

http://www.hardware.com.br/livros/linux-redes/usando-wireshark-ethereal.html

27/06/2012

Usando o Wireshark (Ethereal) - Redes e Servidores Linux, 2ed.

Pgina 5 de 5

Criado 18/jul/2011 s 10h43 por Policarpo (annimo)

QUE LIVRO MAIS LEGAL ESTE CARA SABE REDES

Ajuda
Criado 2/jun/2011 s 22h11 por iosley
Ola
Tenho uma rede compartilhada com alguns visinhos tanto via radio como por fio e gostaria de criar uma sub-red pra poder diferencia os setores ja que na minha
casa funciona um cyber com o msm link de internet e gostaria que as impressoras ficasem visiveis apenas para os computadores do meu cyber. como eu fao isso
usando esse principio das sub-redes ?
alguem pode me ajudar ?
Expandir rplicas

Rsp

por Dionathan (annimo)

Postfix - Exemplo
Criado 5/jun/2011 s 01h30 por Jonas (annimo)
Ol Autor do Postfix da Hardware
PARABENS pelo exemplo !!! Congratulations indeed !!!
o primeiro exemplo de MUITOS que tentei fazer e que FUCIONOU. ;-D
Nao quebre a cabea por ai! Apenas siga todos os passos deste tutorial show de bola que FUNCIONAR "de prima".
J estava desmotivado com as vrias tentativas, pois tem muitos exemplos na internet que nao sao completos, ou corretos e os novatos ( newbies ) quebram a
cabeca rsrs.
Este exempo no "Tabajar" it is made by pros!
Very good guys !
Jonas / SC
Sbado - 05/06/2011 - 1:31 - Fui dormir como uma criana feliz que conseguiu instalar com sucesso o Postfix e baixar os emails no Outlook 2007 ;-D

Destaques
Guia do Hardware agora Hardware.com.br
Hardware II, o Guia Definitivo

Gostou do texto?

Siga-nos:
RSS | Twitter | Facebook

Veja nossos livros impressos:

Smartphones | Linux | Hardware
Redes | Servidores Linux
... ou encontre o que procura usando a
busca:
Buscar

1999-2012 Hardware.com.br. Todos os direitos reservados.

Home

Frum GdH

http://www.hardware.com.br/livros/linux-redes/usando-wireshark-ethereal.html

RSS

Equipe

Topo

27/06/2012