Vous êtes sur la page 1sur 5

Prtica Wireshark Sniffer de rede

Entregar um relatrio contendo introduo, desenvolvimento e concluso. A


seo desenvolvimento pode conter vrias subsees e deve ter as principais
observaes, anlises e resultados obtidos durante a prtica de laboratrio.

O Wireshark um analisador de protocolos (sniffer), distribudo gratuitamente,


a partir do endereo http://www.wireshark.com. Ele pode ser executado em
diversas plataformas, incluindo sistemas Unix e Windows. Para ambiente
Windows, necessrio instalar a biblioteca de captura de pacotes WinPcap
(confirmar na instalao). Ela uma verso da biblioteca libpcap (existente
para ambientes Unix), para o Windows.

1. Capturando pacotes

Abra o Wireshark e ative a captura de pacotes (Menu Capture Interfaces).

1. Na opo interface, escolha a interface Ethernet.

2. Identifique a interface Ethernet; em opes (Options) seleciona a


opo enable network name resolution.

3. Inicie a captura (pressionando em Start).

4. Acesse a rede por alguns segundos (exemplo: acesse o site


www.ralcti.com). No necessrio muito tempo (basta acessar uma nica
pgina).

5. Pare a captura de pacotes clicando no boto Stop da janela de


captura

6. A interface do Wireshark dividida em trs partes.

A primeira contm uma relao dos pacotes capturados, um por linha.


Selecione um dos pacotes.

A segunda contm informaes sobre o pacote que est selecionado, onde


cada linha contm um protocolo, na ordem em que eles so empilhados.
Dentro de cada protocolo, so mostrados os campos do seu cabealho.

A terceira parte contm os dados, ou seja, a carga til (payload) do pacote,


que ser utilizada pela aplicao. A carga til apresentada no formato
hexadecimal e o seu correspondente para ASCII.

7. Selecione os vrios pacotes e observe os seus campos e valores.

2. Filtros de visualizao
Estabelea alguns filtros de visualizao (display filter). Ateno: alguns filtros
podem no mostrar nenhum pacote, em funo da atividade da rede naquele
momento.

1. Na parte inferior esquerda da janela do Wireshark, voc pode ver um


boto Filter com um espao em branco ao lado dele.

2. Digite o filtro no espao em branco (exemplo: ip.addr==10.0.4.1 and


http)

3. Para ativar o filtro pressione ENTER.

4. Para desativar o filtro (antes de digitar outro), pressione no boto


Clear. Os filtros devem ser digitados em letras minsculas.Construa filtros
para as situaes abaixo e anote as expresses usadas (dica: clique no boto
Filter e depois em Add Expression):

1. Apenas pacotes do protocolo IP

2. Apenas pacotes do protocolo DNS

3. Apenas pacotes do protocolo ARP

4. Apenas pacotes do protocolo HTTP

5. Apenas pacotes do protocolo UDP

6. Apenas pacotes do protocolo TCP

7. Apenas os pacotes HTTP enviados ou recebidos pelo seu host


(fornea o seu IP)

8. Apenas pacotes do host www.uol.com.br (Lembre-se: voc deve


informar o nmero IP desse host e no o nome. Descubra o nmero IP do
desse host com o comando ping www.ralcti.com)

9. Todos os pacotes enviados ou recebidos pelo seu host (fornea o seu


IP)

10. Todos os pacotes originados (enviados) pelo seu host.

11. Todos os pacotes UDP originados (enviados) pelo seu host.

12. Todos os pacotes TCP originados (enviados) pelo seu host.

13. Todos os pacotes UDP ou TCP recebidos ou enviados pelo seu host.

Mostre todos os pacotes trocados entre outro computador da sua rede e o


servidor www.ralcti.com

3. Capturando pacotes com filtro de captura


1. Ative a captura de pacotes (Menu Capture Start).

2. Na opo interface, escolha a interface Ethernet.

3. No campo filter, digite: ip.addr==SEU_IP, onde SEU_IP o nmero


IP do seu computador. Exemplo: ip.addr==10.0.4.132

4. Pressione OK. Observe que agora existe uma janela de captura


ativada

5. Acesse a rede por alguns segundos (exemplo: acesse o site


www.fcrs.edu.br). No precisa demorar (basta acessar uma nica pgina).

6. Pare a captura de pacotes clicando no boto Stop da janela de


captura.

7. Salve os pacotes capturados no arquivo captura2.pcap

O que acabamos de fazer foi a captura seletiva de pacotes, ou seja,


capturamos apenas os pacotes que nos interessam, evitando a captura
completa. Isso diferente de fazer uma captura completa e filtrar a visualizao
de pacotes. Uma captura completa toma grande espao no disco e tempo para
processar os pacotes. Em uma rede local grande (com muito trfego), 5
minutos de captura pode representar vrios gigabytes de espao no disco

4. Capturando pacotes HTTP

1. Ative a captura de pacotes (Menu Capture Start).

2. Na opo interface, escolha a interface Ethernet.

3. No campo filter, digite: ip.addr==SEU_IP, onde SEU_IP o nmero


IP do seu computador. Exemplo: host 10.0.4.132

4. Pressione OK. Observe que agora existe uma janela de captura


ativada.

5. Acesse o seguinte URL: http://www.ufc.br/

6. Pare a captura de pacotes clicando no boto Stop da janela de


captura.

7. Faa um filtro de visualizao para mostrar apenas os pacotes TCP.

8. Clique duas vezes no primeiro pacote TCP mostrado, para que ele
fique marcado.

9. No menu, escolha a opo Tools->Follow TCP Stream.


10. Aparece uma janela mostrando todos os dados (em modo ASCII)
que foram trafegados entre seu computador (cliente) e o servidor durante a
sesso HTTP.

5. Capturando pacotes HTTPS (HTTP com criptografia)

Este exerccio requer que haja um servidor HTTP capaz de suportar o


servio HTTPS (utiliza SSL Secure Socket Layer)

1. Faa a mesma coisa do exerccio anterior, trocando a URL acessada


para: http://webmail.ufabc.edu.br (observe que agora https)

2. Voc consegue ver o que trafegou? Explique.

6. Reconstituindo um fluxo TCP

1. Inicie um captura sem o modo promscuo e depois entre em uma


pgina Web (UOL, por exemplo). Interrompa a captura.

2. Verifique a sequncia dos pacotes: DNS, conexo TCP (em trs vias),
requisio HTTP, como mostra a figura abaixo.

3. Agora, clique com o boto da direita e escolha Follow TCP Stream.


Veja que primeiro aparece o cabealho HTTP, depois o seu contedo, ou seja,
o HTML da pgina.

4. V no navegador (Internet Explorer, por exemplo) e escolha para


visualizar o fonte daquela pgina (ou seja o HTML).

7. Capturando senhas de email

Observao: a realizao dessa atividade pode no ser possvel no momento


da realizao dessa prtica, porque os provedores esto cada vez mais usando

criptografia para a transferncia do nome do usurio e senha (que a melhor


opo, atualmente). No passado, provedores como iG (www.ig.com.br) e BOL

(www.bol.com.br) no usavam criptografia, mas agora j esto tomando as


devidas precaues. Faa este exerccio com diferentes provedores
(www.mail.com.br; www.ig.com.br, www.gmail.com, etc. ).

1. Inicie uma captura e depois acesse o provedor mail.com (www.mail.com).


Entre com um usurio qualquer (ex., maria) e uma senha qualquer
(ex.,muitofacil). Espere uns segundos e ento interrompa a captura. 2. O
mail.com transmite o nome do usurio e da senha sem criptografia, em um
string, ex email=maria&password=muitofacil

3. V no menu, Edit/Find packet. Na janela, selecione o boto string, digite

password (sem as aspas) e ento clique no boto Find. Localize o pacote

onde est a senha e observe a rea de dados do Wireshark, para localizar a

senha.

4. Reconstitua o fluxo TCP (boto da direita do mouse e Follow TCP Stream)


para ter uma viso mais clara.