Captura De Pacotes Na Rede Com UtilizaçãO Do Wireshark
Upcoming SlideShare
Loading in...5
×
 

Captura De Pacotes Na Rede Com UtilizaçãO Do Wireshark

on

  • 14,686 views

 

Statistics

Views

Total Views
14,686
Views on SlideShare
14,686
Embed Views
0

Actions

Likes
1
Downloads
64
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Captura De Pacotes Na Rede Com UtilizaçãO Do Wireshark Captura De Pacotes Na Rede Com UtilizaçãO Do Wireshark Document Transcript

    • Captura de pacotes na rede com utilização do Wireshark Ediclei dos Santos Oliveira1 1 Universidade Federal do Pará – Campus Santarém santos_stm06@yahoo.com.br Resumo. Este artigo aborda sobre gerencia de rede e alguns conceitos sobre   protocolo de redes. Tem enbasamento na captura de pacotes com utilização   de uma poderosa ferramenta o wireshark. Através dessa ferramenta que é   possivel fazer as analises dos pacotes capturados. 1. Introdução  As redes foram concebidas inicialmente para compartilhamento de periféricos, mas à  medida   que as redes  evoluem  e passam a compor partes  de uma organização  esses  dispositivos passam a ter características secundarias com relação as demais vantagens  oferecidas por ela. Logo as redes são vista como uma ferramenta que oferece inúmeros  recursos e serviços [1].   Considerando   esse   quadro   torne­se   necessário   a   gerencia   de   redes   de  computadores para assegurar que esse ambiente funcione seguro e de maneira confiável.  E   esse   motivo   levou­me   a   pesquisar   e   observar   a   captura   de   pacotes   de   uma   rede  utilizando uma ferramenta de captura de pacotes na rede, uma vez que a gerência está  associada ao controle de atividades e ao monitoramento do uso de recursos da rede. O objetivo desse artigo é prover uma visão sobre a captura de pacotes numa rede  e relação de cada protocolo. Será usado o wireshark para a captura dos pacotes da rede  quando um usuário fizer requisições a um determinado servidor WEB e a observação  dos quadros de pacotes mostrando as requisições e envios do servidor para a máquina  cliente e da maquina cliente para o servidor.  Espera­se que a haja captura de pacotes com as requisições e envios de dados ou  confirmações   das   requisições   do   provedor   para   o   cliente   para   analise   e  conseqüentemente para que seja mostrado como cada pacote possui um determinado  protocolo e que esse por sua vez possui uma função para o tráfego na rede. 2. Redes de computadores Uma rede de computadores consiste de 2 ou mais computadores e outros dispositivos  conectados  entre si de modo a poderem compartilhar seus serviços, que podem ser:  dados, impressoras e mensagens. A Internet é um amplo sistema de comunicação que  conecta   muitas   redes   de   computadores.   Existem   várias   formas   e   recursos   de   vários  equipamentos que podem ser interligados e compartilhados, mediante meios de acesso,  protocolos e requisitos de segurança. 1
    • 2.1 Gerenciamentos de redes No início as redes eram apenas artefatos de pesquisas e não uma infra­estrutura usada  por   milhões   de   usuários   e   hoje   as   redes   são   partes   integrantes   das   organizações   e  gerenciamento de redes era algo de que nunca se tinha ouvido falar. O gerenciamento de  rede envolve detecção de falhas, monitoração de hospedeiro, monitoramento de trafego  para auxiliar o oferecimento de recursos, detecção de mudanças, detecção de intrusos  [2]. Gerenciar a rede oferece a integração e coordenação dos elementos de hardware,  software e usuários para monitorar, controlar, avaliar, configurar os recursos oferecidos  pela rede fazendo com que funcione de maneira correta e garantir a qualidade de serviço  [3]. No   trafego   de   ambiente   de   rede   de   computares   estão   os   protocolos   que   são  responsáveis   pelo   controle   de   envio   e   o   recebimento   de   informações,   assim   um  protocolo de rede é responsável pela comunicação  entre um ou mais  computadores.  Uma de suas funções é pegar nos dados que será transmitido pela rede e dividir em  pacotes   as   informações   de   endereçamento,   que   informam   a   origem   e   o   destino.   É  através do protocolo que as fases de estabelecimento, controle, tráfego e encerramento,  componentes de trocas de informações são sistematizados, tais como endereçamento,  numeração e seqüência, estabelecimento da conexão, confirmação de recepção, controle  de erro e controle de fluxo. 2.1 Protocolo TCP O   protocolo   TCP   é   caracterizado   pela   transferência   de   dados   confiável   fim­a­fim,  comunicação bidirecional. Todo pacote transmitido requer um bit de reconhecimento  chamado de ACK. O TCP divide o processo de comunicação em três fases o início onde  o   cliente   envia   segmento   tipo   SYN   (pedido   de   conexão,   com   número   inicial   da  seqüência de numeração de bytes no sentido cliente servidor) [4]. O servidor reconhece pedido de conexão enviando segmento tipo SYN com bit  de reconhecimento (ACK) ligado e com número inicial de seqüência de numeração no  sentido   servidor­cliente   e   o   destino   envia   segmento   ACK   reconhecendo   SYN   do  servidor,   a   troca   de   dados  onde   efetivamente   ocorre   a   transferência   de   dado.   O  encerramento da conexão que pode ser iniciada tanto pelo cliente como pelo servidor e  origem   envia  segmento  FIN, o destino  envia  reconhecimento:  ACK  e algum  tempo  depois a destino envia FIN (sinalizando fim da conexão). E por fim origem envia reconhecimento. Quando cada segmento for transmitido  é   adicionado   um   checksum   e   quando   estes   são   recebidos   eles   são   verificados,   se  danificados   os   pacotes   são   descartados,   como   se   tivessem   se   perdido   pela   rede   e  retransmitidos pela origem. 2.2 Protocolo ARP O endereço IP é utilizado para roteamento, ou seja, a escolha do caminho ideal em  determinada circunstância e o instante para a conexão entre dois nós. Para solucionar o  problema de mapear o endereço de nível superior (IP) para endereço físico (Ethernet)  2
    • foi proposto (e aceito) através da RFC826 o Address Resolution Protocol (ARP). O ARP  permite que um host encontre o endereço físico de um host destino, tendo apenas o seu  endereço IP. Apesar de ter sido criado especificamente para uso com IP sobre Ethernet,  devido à forma que foi implementado, seu uso não está restrito a este ambiente. O   ARP   é   dividido   em   duas   partes:   a   primeira   determina   endereços   físicos  quando manda um pacote, e a segunda responde os pedidos de outros hosts. Geralmente  antes   de   enviar,   o   host   consulta   seu   cache   ARP   procurando   o   endereço   físico.   Se  encontrar o endereço, anexa­o no frame e envia acrescentando os dados. Se o host não  encontrar o endereço, é realizado um broadcast de pedido ARP. A segunda parte do  código do ARP manuseia os pacotes recebidos da rede [5].  Quando chega um pacote, o programa extrai e examina o endereço físico e IP  para verificar se já existe a entrada no cache e atualiza novamente sobre escrevendo os  endereços. Depois, o receptor começa a processar o resto do pacote. O ARP funciona da  seguinte maneira, consiste no envio de um frame em broadcasting com endereço IP do  destino, o qual responde com um datagrama contendo o seu endereço IP e o endereço  físico. A máquina que gerou o broadcasting passa a usar o endereço físico do destino  para enviar seus datagramas. 2.3 Protocolo HTTP Hyper   Text   Transfer   Protocol   é   o   protocolo   usado   na   World   Wide   Web   para   a  distribuição e recuperação de informação. O HTTP define uma forma de conversação no estilo pedido­resposta entre um cliente (o browser) e um servidor (o servidor Web).  Toda a conversação se dá no formato ASCII (texto puro) através de um conjunto de  comandos simples baseados em palavras da língua inglesa [6]. Essa convenção está relacionada no pedido de informação na qual é definido um  método que será aplicado no objeto que a informação requisitada. O método pode ser  um entre vários tipos tais como GET, HEAD, POST. Em resposta o servidor WEB ao  receber o pedido, processa­o de modo a determinar o que deverá ser feito. Em relação ao  pedido   do   slide   anterior,   o   servidor   Web   deverá   procurar   o   arquivo   index.html   no  diretório internet e retorná­lo ao browser. 3. Wireshark O   Wireshark   é   um   aplicativo   GPL   que   está   disponível   para   todos   os   sistemas  operacionais com base no Unix, assim como para o Windows®. Por padrão, ele usa  uma interface gráfica, mas também há uma opção em modo texto, chamada tethereal,  claramente referindo­se ao antigo nome do software [7]. O   Wireshark   funciona   capturando   todo   o   tráfego   de   rede   em   uma   ou   mais  interfaces de rede. Ao capturar pacotes na(s) interface(s), primeiro é necessário definir o  modo   que   pode   ser   promíscuo   (promiscuous   mode)   ou   não   promíscuo.   No   modo  promíscuo, a interface aceita todos os pacotes que chegarem para ela, mesmo que não  sejam destinados à mesma. Normalmente, o drive do kernel para a placa de rede ignora  silenciosamente os pacotes que não sejam destinados àquela interface. 3
    • O tráfego em redes agitadas inclui enormes quantidades de pacotes de dezenas  de   protocolos   diferentes.   Um   dos   recursos   mais   poderosos   do   Wireshark   é   a  possibilidade de se criar filtros para limitar o número de pacotes visíveis, para que o  ruído não seja “ensurdecedor”. Na interface gráfica do software, é possível construir  expressões para realizar essa filtragem, através de uma caixa de diálogo específica, e até  combinar vários filtros para criar expressões mais poderosas. Um recurso especialmente útil do programa é a capacidade de rastrear streams  TCP completas com a opção Follow TCP stream (Analyze| Follow TCP stream). Todos  os pacotes que componham uma sessão (desde o primeiro SYN até o último FIN­ACK)  são   exibidos.   O   recurso  de   stream­tracing   permite   que   se  sigam   sessões   completas,  como conversas pelo MSN Messenger ou sessões de navegação na Web. 4. Experimento Para esse experimento foi utilizado o endereço na web http://cassio.orgfree.com/portal/ index.htm  e gerada nele um determinado  tipo de objeto durante as requisições  e na  captura dos pacotes foi utilizado o wireshark. De início foi iniciado o wireshark e então  preenchido o campo de matricula no endereço web citado acima e então foi acionado o  botão “vai...” como mostra a figura 1.  Figura 1 É gerado um objeto com o número de matrícula pedido na página anterior do  site,   pois   é   a   partir   do   momento   de   envio   da   matrícula   que   começa   a   captura   dos  pacotes,   gerando   um   quadro   com   pacotes   capturados   pelo   wireshark   no   qual   será  analisado cada bloco de pacotes (figura 2). Analisando a figura temos na captura do primeiro pacote um protocolo OSPF.  No segundo e terceiro pacote há a requisição da máquina 10.125.100.46 (cliente) via  Broadcast da máquina 10.125.100.94. suger o primeiro protocolo o ARP que encontra o  endereço fisico 00:1d:7d:f6:c5:d3. Após estabelecida a conexão entra o protocolo TCP  com a requisão ao web site (nos pacotes 4 a 6) e a resposta enviada através de pacotes  com o protocolo HTTP (pacotes 7 a 12). 4
    • Dos pacotes 13 a 15 a confirmação de que o web site pode começar a enviar os  objetos. Em seguida nos demais pacotes a confirmação ou reconhecimento, através do  protocolo ACK, tanto no envio  em direção ao servidor quanto em direção a maquina  cliente (protocolos 17 a 23).  Os pacotes 24,   25, 26 e 33 possuem protocolos ICMP.  No intervalo de pacotes 27 a 36  há o encerramento de envios de objetos pelo servidor  para a maquina cliente via TCP pois há a confimação de esses pacotes descrito acima  trouxeram os referidos objetos, pode perceber através do segmento [FIN, ACK]. Figura 2 4. Conclusão Gerenciar   uma   rede   de   computadores   é   necessário,   principalmente   para   garantir   o  trafego,   qualidade,   desempenho   e   sobre   tudo   sua   estrutura.   Uma   vez   que   usuários  desprovidos de conhecimentos ou informações podem injetar virus e prejudicar seu bom  funcionamento.  5
    • Para garantir essa qualidade torna­se necessário a utilização de uma ferramenta  que   capture   os   pacotes   no   ambiente   dessa   rede   para   que   o   administrator   tome   as  medidas   cabiveis   para   controlar   o   envio   e   o   recebimento   de   dados   que   poderão  prejudicar sua qualidade e funcionamento.  Através da coleta de dados é possivel monitorar cada usuario, ver quais paginas  estão acessando na internet, ou se estão enviando informações confidenciais a qual diz  respeito  somente aos administradores  de uma empresa, ou seja, é importante para a  segurança de informações um dois principais motivos para que haja gerenciamento da  redes   de   computadores.   Gerenciar   uma   rede   requer   habilidade,   conhecimento   de  protocolos   e   também   saber   interpretar   os   pacotes   capturados   pela   ferramenta  denominada imsniffer. 5. Referências [1] Sauve, Jacques Philippe (2003), “Melhores Práticas para Gerencia de Redes ”, 1ª  Edição p.17.  [2] Kurose, James (2006), “Redes de Computadores e a Internet – Uma abordagem Top­ dawn”, 3ª Edição p.572. [3] Kurose, James (2006), “Redes de Computadores e a Internet – Uma abordagem Top­ dawn”, 3ª Edição p.573. [4] O Protocolo TCP “Protocolo TCP”, http://www.cbpf.br%2F~sun%2Fpdf%2Ftcp.pd,  outubro. [5]   Tecnologias   De   Redes   “Protocolo   Auxiliares:   Protocolos   ARP   e   RARP”,  http://www.lsi.usp.br%2F~volnys%2Fcourses%2Ftecredes%2Fpdf%2F06ARP­ col.pdf, outubro. [6]   O   Protocolo   HTTP   “Protocolo   HTTP”,  http://www.oficinadanet.com.br/artigo/459/o_protocolo_http, outubro. [7]   Tubarão   Multiuso     “Usos   práticos   do   Wireshark”,   http://www.linux­ magazine.com.br%2Fimages%2Fuploads%2Fmags%2Flm%2Farticles %2FLM32_wireshark.pdf, outubro. 6