UNIVERSIDADE FEDERAL DE PELOTAS         INSTITUTO DE FÍSICA E MATEMÁTICA          DEPARTAMENTO DE INFORMÁTICA      BACHARE...
2                                           Lista de FigurasFigura 1 – Tela inicial do Wireshark ............................
3                                                  SumárioIntrodução ........................................................
4                                   Introdução        O objetivo deste trabalho é apresentar conceitos sobre softwaresanal...
51 Analisadores de Protocolo        Analisadores de protocolo são ferramentas capazes de monitorar o tráfegode uma rede em...
62 Características dos analisadores de protocolo        Existem diversas características comuns aos analisadores de protoc...
7permitem que o gerente descubra mais rapidamente qual a estação estátransmitindo, qual a aplicação está sendo utilizada, ...
8       Simulação: Através de softwares especializados, se constroem pacote dequalquer tamanho ou conteúdo, que são transm...
93 Wireshark       Wireshark é um software analisador de protocolos que tenta capturarpacotes de dados em uma rede e mostr...
104 Ettercap       EtterCap é descrito como um sniffer multi-propósito, interceptador depacotes e Logger para LANs com swi...
11• Terminar uma conexão: A partir de uma lista de conexões, o Ettercap   pode terminal qualquer conexão que usuário queir...
125 Uso dos softwares      Wireshark:      Faça o download e instale o programa. Quando for perguntado se o WinPcapdeve se...
13       Escolha uma interface e clique no botão “Start”- se a interface estiver ativa, orastreamento começa imediatamente...
14                               Figura 4: tela inicial do ettercap      Tendo iniciado o programa, escolha primeira mente...
15Figura 6: Conexões ativas capturadas pelo Ettercap
16Conclusão        Nesse trabalho, foi possível verificar a vasta gama de possibilidades dosanalisadores de protocolo, ten...
17                                    Referênciashttp://pt.wikipedia.org/wiki/Wiresharkhttp://en.wikipedia.org/wiki/Wiresh...
Upcoming SlideShare
Loading in...5
×

Analisadores de protocolo: comparação e uso

3,793

Published on

Published in: Technology, Education
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
3,793
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
134
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Analisadores de protocolo: comparação e uso

  1. 1. UNIVERSIDADE FEDERAL DE PELOTAS INSTITUTO DE FÍSICA E MATEMÁTICA DEPARTAMENTO DE INFORMÁTICA BACHARELADO EM CIÊNCIA DA COMPUTAÇÃOANALISADORES DE PROTOCOLO: COMPARAÇÃO E USO Jerônimo Medina Madruga Trabalho de pesquisa apresentado na disciplina de Redes de Computadores 2 do Curso de Bacharelado em Ciência da Computação, Instituto de Física e Matemática, Universidade Federal de Pelotas. Professora: Ana Marilza Pernas 2007
  2. 2. 2 Lista de FigurasFigura 1 – Tela inicial do Wireshark ........................................................................ 12Figura 2 – Tela de escolha de interface do Wireshark ........................................... 12Figura 3 - Resultado de uma captura de pacotes no wireshark .............................. 13Figura 4 – Tela Inicial do Ettercap ........................................................................... 14Figura 5 - Resultado de uma captura de pacotes no Ettercap ................................ 14Figura 6 - Conexões ativas capturadas pelo Ettercap............................................. 15
  3. 3. 3 SumárioIntrodução ............................................................................................................. 41. Analisadores de protocolo .............................................................................. 52. Características dos analisadores de protocolo ................................................ 63. Wireshark ......................................................................................................... 94. Ettercap ........................................................................................................ 105. Uso dos softwares......................................................................................... 126. Conclusão ..................................................................................................... 16Referências ......................................................................................................... 17
  4. 4. 4 Introdução O objetivo deste trabalho é apresentar conceitos sobre softwaresanalisadores de protocolo, mostrando suas características básicas efuncionalidades, e também fazer uma comparação entre dois programas dessegênero, mostrando como funcionam e as diferenças entre eles.
  5. 5. 51 Analisadores de Protocolo Analisadores de protocolo são ferramentas capazes de monitorar o tráfegode uma rede em tempo real, possuindo diferentes características e funcionalidades,assim como formas variadas de apresentar as informações capturadas, variando deacordo com o modelo do produto. Os analisadores de protocolo permitem a monitoração de uma redetransparentemente, sem interferir em nenhuma transmissão. Muitos modelospermitem a captura e gravação, analisando e relatando para o gerente os pacotesque foram transmitidos em uma rede. A captura pode ser feita ao nível de tráfegoglobal, mostrando tudo o que passa pela rede, ou de modo específico, capturandopacotes de acordo com parâmetros escolhidos (tais como endereço origem, destino,trechos de conteúdo). Um analisador de protocolo pode ser utilizado para uma grande variedadede propósitos, tais como a detecção de falhas de software e hardware, otimizaçãoda rede, isolamento de cabos com problemas. Além disso, quando os analisadoresdecodificam desde protocolos das camadas inferiores até protocolos das camadassuperiores, facilitam a localização de problemas em camadas específicas. Os analisadores de protocolos são muito úteis para o gerenciamento deredes, fornecendo informações para resolver seus problemas. Graças à coleta dedados de tráfego da rede, apresentam o estado de muitas variáveis diferentes e asestatísticas obtidas destas variáveis. Alguns analisadores possuem um pacote deestatísticas sofisticado, que geram gráficos para análise visual. Com estes gráficos,é possível observar diversos parâmetros da rede, tais como colisões, erros,quantidade de quadros de broadcast, utilização da rede. Em posse destes dados, éfacilitada ao gerente a tarefa de identificar tendências, levantar hipóteses e efetuarmodificações antes da ocorrência de problemas, contribuindo em muito para agerência da rede.
  6. 6. 62 Características dos analisadores de protocolo Existem diversas características comuns aos analisadores de protocolo,sendo assim, podemos ressaltar essas características como sendo as maisimportantes: Captura e Armazenagem: Os pacotes capturados podem ser mostrados semfiltros ao usuário, apresentando tudo o que passa pela rede. Porém, é importante acapacidade de filtrar os pacotes de acordo com parâmetros escolhidos pelo gerente,tais como endereço de origem, endereço de destino, palavra de conteúdo, etc.Alguns analisadores mostram apenas os percentuais do que está passando pelarede, de acordo com a decodificação efetuada, não oferecendo a possibilidade demostrar os pacotes efetivamente. A captura de informações tem grande importância para o gerenciamento,pois permite verificar a ocorrência de pacotes não sincronizados, corrompidos, comerros de checksum, com falta de preâmbulo; permite verificar as percentagens depacotes grandes e pequenos, unicast ou broadcast; permite acompanhar o que osusuários estão fazendo, detectando atividades ilegais e anti-éticas. É importante também que os analisadores possuam a capacidade dearmazenar os dados em disco, de modo que seja possível ao gerente analisá-losposteriormente e até compará-los com dados de outros testes. Composição de tráfego: Como uma rede pode suportar vários tipos deprotocolos (TCP/IP, IPX, NetBios, DECnet, OSI, etc), é importante que osanalisadores analisem o conteúdo de todos os tipos de pacotes que estãotrafegando na rede. A ferramenta deve possuir a capacidade de decodificar oscampos dos pacotes e apresentá-los ao usuário, para permitir um controle do tráfegoda rede. Estes campos deve ser decodificados de modo a serem facilmentecompreendidos pelo usuário: endereços origem e destino podem ser convertidospara os nomes das máquinas; os tipos de protocolos que estão sendo utilizados,desde os níveis mais baixos até os mais altos, devem ser mostrados; assim comooutras informações que fazem parte do pacote capturado. Estas características
  7. 7. 7permitem que o gerente descubra mais rapidamente qual a estação estátransmitindo, qual a aplicação está sendo utilizada, etc, podendo avaliar de formamais rápida e eficiente a rede. Além da capacidade de decodificar os pacotes capturados, algunsanalisadores apresentam ao usuário um percentual de quais aplicações estão sendomais utilizadas, e por quais máquinas. Isto é bastante importante no entendimentode problemas de tráfego e desempenho, onde é importante entender a composiçãodo tráfego da rede. É desejável que os analisadores suportem diferentes topologia de hardware(tais como Ethernet, Token Ring, FDDI), bem como diferentes sistemasoperacionais. Contagem de pacotes: A contagem de pacotes é uma medida que deve seroferecida pelos analisadores, de modo a se obter o número de pacotes que estãosendo transmitidos pela rede. Preferencialmente, a contagem deve poder sersubdividida em origem e destino do pacote, comprimento do pacote, tipo oucondição de erro, pacotes corrompidos, etc. Essa medida é utilizada para indicarquando um canal de transmissão está sobrecarregado. Outra medida que deve ser oferecida é a vazão da rede, medindo o númerode quadros ou bits que estão passando através da rede. Esta medida é utilizadapara verificar se os problemas ocorrem em um certo intervalo de tempo ou podemser devidos a um certo evento específico. Estatísticas: Para planejar o crescimento de uma rede, assim comogerenciar novas tarefas, é necessário uma indicação de quanto trabalho está sendoexecutado. O uso de estatísticas auxilia o planejamento, tornando possível verificaro tempo de resposta de uma rede que esteja crescendo e aumentando a carga.Além disso, tais estatísticas podem determinar o tamanho mínimo, máximo e médiodos pacotes sendo transmitidos, o que é proveitoso para determinar qual o tipo deatividade está predominantemente sendo usada na rede. Analisadores de protocolos muitas vezes são capazes de coletar estatísticasdas estações separadamente, pela identificação fornecida pelos quadros quetrafegam pela rede. Isso é bastante desejável, sendo bastante útil para ogerenciamento, pois permite detectar estações sobrecarregadas e muito utilizadas.
  8. 8. 8 Simulação: Através de softwares especializados, se constroem pacote dequalquer tamanho ou conteúdo, que são transmitidos. Estes pacotes podem conterqualquer combinação de erros, endereços origem e destino, conteúdo de dados.Assim, é possível testar dispositivos específicos como servidores, pontes eroteadores para verificar a quantidade de tráfego que podem manipular, o seudesempenho, etc. Pode-se utilizar a simulação também apenas para aumentar acarga da rede artificialmente, fornecendo estatísticas não disponíveis numa situaçãode rede normal. Taxa de Colisões: Os analisadores devem informar a taxa de colisões eerros que estão ocorrendo num teste. A colisões ocorrem quando duas ou mais máquinas transmitemsimultaneamente. Quando a taxa de colisões está alta, é possível que a rede estejasobrecarregada, com número de nodos excessivo, com estações de trabalho emnúmero excessivo, com transmissões muito prolongadas, com transceptoresdefeituosos ou com hardware ou software defeituosos, devendo ser analisada parasolução dos problemas. Sistemas Especialistas: Atualmente, está crescendo dentre os analisadoresde protocolo a presença de sistemas especialistas. Com estes sistemas, problemassão identificados e é apresentado ao usuário a solução a ser tomada, de acordo comuma base de conhecimento criada anteriormente. São, muitas vezes, apresentadasindicações específicas dos motivos para uma rede estar com desempenho ruim. Além disso, um analisador inteligente tem a capacidade de capturar e relatarsomente condições e eventos significativos em uma rede.
  9. 9. 93 Wireshark Wireshark é um software analisador de protocolos que tenta capturarpacotes de dados em uma rede e mostrar os dados sobre os mesmos da forma maisdetalhada possível. Os principais propósitos deste software são: • Ajudar administradores de rede a detectar problemas na rede • Ajudar Engenheiros de segurança de redes a examinar os problemas de segurança • Ajudar desenvolvedores a realizar inspeções na implementação de protocolos • Ajudar pessoas a aprender os detalhes dos protocolos das redes. As principais características do wireshark são: • Disponível para Windows e Unix. • Captura em tempo real de pacotes de dados de uma interface de rede • Mostra dos pacotes com informações sobre os protocolo muito detalhada. • Possibilidade de abrir e salvar arquivos com informações sobre os pacotes capturados. • Importação e exportação dos dados dos pacotes para formatos de diversos outros programas de captura. • Filtragem de pacotes por diversos critérios. • Procura de pacotes por diversos critérios. • Pacotes mostrados de forma colorida de acordo com os filtros. • Criação de diversos tipos de estatísticas. • É um software livre segundo a licença GPL versão 2.
  10. 10. 104 Ettercap EtterCap é descrito como um sniffer multi-propósito, interceptador depacotes e Logger para LANs com switches. Ele suporta dissecação ativa e passiva de protocolos, até mesmo osencapsulados, e inclui várias funcionalidades para análise de rede e de hosts. Entreas funcionalidades estão: • Injeção de caracteres em conexões estabelecidas: O Ettercap pode injetar caracteres para o servidor (emulando comandos) ou para o cliente (emulando respostas) mantendo as conexões vivas. • Suporte ao SSH1: O Ettercap pode capturar usuário e senha, mesmo através de uma conexão criptografada SSH1. • Suporte à HTTPS: O Ettercap pode capturar dados http SSL, até mesmo se a conexão for feita por um PROXY. • Tráfego remoto através de GRE tunnel: O Ettercap pode capturar tráfego remoto passando através de um tunel GRE de um roteador Cisco remoto e fazer um ataque mitm (man in the middle) no roteador. • PPTP broker: O Ettercap pode fazer ataques mitm contra dados tunelados por PPTP. • Coletor de password para: TELNET, FTP, POP, RLOGIN, SSH1, ICQ, SMB, MySQL, HTTP, NNTP, X11, NAPSTER, IRC, RIP, BGP, SOCKS 5, IMAP 4, VNC, LDAP, NFS, SNMP, HALF LIFE, QUAKE 3, MSN, YMSG. • Filtro de pacotes / derrubar pacotes: O Ettercap pode configurar um filtro de pacotes para procurar uma string em particular (até mesmo hex) no conteúdo dos pacotes TCP e UDP e substituir uma string por uma especificada pelo usuário ou simplesmente derrubar o pacote todo. • Identificação de Sistema Operacional: O Ettercap pode descobrir SO do host vítima ou até mesmo da sua interface de rede.
  11. 11. 11• Terminar uma conexão: A partir de uma lista de conexões, o Ettercap pode terminal qualquer conexão que usuário queira.• Scanner passivo da LAN: Você pode conseguir informações sobre: os hosts que estão na LAN, porta abertas, versão de serviços, tipo de host (gateway, roteador ou um host simples) e a distância estimada em hops (saltos).• Checagem de outros atacantes: o ettercap tem a habilidade de achar outros atacantes na LAN.
  12. 12. 125 Uso dos softwares Wireshark: Faça o download e instale o programa. Quando for perguntado se o WinPcapdeve ser instalado, responda que sim caso o Wincap não esteja instalado nosistema. Como o WireShark precisa desta biblioteca de captura de pacotes parafuncionar, ela está incluída no instalador. Concluída a instalação, rode o programa eele deverá ter uma interface semelhante a ilustrada na Fig.1: Figura 1: Tela inicial do wireshark Após ter aberto o programa, deve ser indicada a interface de rede que deveser rastreada. Para realizar essa ação, clique no menu “Capture”, e depois na opção“Interfaces” para abrir a janela de escolha mostrada na Fig.2: Figura 2: Tela de escolha de interface do Wireshark
  13. 13. 13 Escolha uma interface e clique no botão “Start”- se a interface estiver ativa, orastreamento começa imediatamente e a janela principal do WireShark começa amostrar uma porção de pacotes., como pode ser visto na Fig.3: Figura 3: Resultado de uma captura de pacotes no wireshark Para interromper a captura de pacotes clique no quarto botão da barra deferramentas ou no item de menu “Capture” e na opção “Stop”. Após capturado ospacotes a serem analisados, pode salvar as informações ou aplicar filtros sobre eles,para mostrar somente os pacotes relevantes para uma certa atividade. Ettercap: Após ter sido instalado, inicie o programa (atenção, caso haja um erro naexecução, há possibilidade ser pela falta do Winpcap, que também necessário parao funcionamento desse programa). A tela deve ser como ilustrado na fig.4
  14. 14. 14 Figura 4: tela inicial do ettercap Tendo iniciado o programa, escolha primeira mente o modo do programa,entre inofensivo e modo promiscuo no menu de “Options” e depois clique no menu“Sniff” e no tipo de atividade a ser realizada de acordo com a rede, “unified Sniffing”ou “Bridged sniffing”. Após escolhido a atividade a ser realizada, devera serselecionada a interface a ser utilizada, como ilustrado abaixo na fig. 5: Figura 5: Tela de escolha de interface no Ettercap Depois da escolha da interface, escolha a opção “start sniffing” dentro domenu “Start” e escolha uma das diversas opções desse software para verificar asatividades na rede, como as conexões ativas no computador em questão, como édemonstrado na fig. 6:
  15. 15. 15Figura 6: Conexões ativas capturadas pelo Ettercap
  16. 16. 16Conclusão Nesse trabalho, foi possível verificar a vasta gama de possibilidades dosanalisadores de protocolo, tendo diversas características diferentes, pode se ver quecada analisador de pacote pode ter objetivos completamente diferentes do quesoftwares da mesma categoria, apesar de terem características muito similares. Como exemplo disto, vemos a comparação entre o Wireshark, que contémas funcionalidades de um analisador de pacotes passivo, com grande base de dadode estáticas, informações detalhadas sobre os pacotes, diversos tipos de filtragemde acordo com protocolos, enfim, diversos recursos que ajudam o administrador daredes a analisar a rede ser interferir no seu funcionamento, já o Ettercap pode servisto como um programa mais intrusivo, com a possibilidade de captura de senhas,quebra de criptografia, mac spoofing e ataque de ARP, ferramentas que tem umautilização mais ligada a verificação da segurança da rede.
  17. 17. 17 Referênciashttp://pt.wikipedia.org/wiki/Wiresharkhttp://en.wikipedia.org/wiki/Wiresharkhttp://www.sailingcrusade.com/?p=21http://ettercap.sourceforge.net/http://www.openmaniak.com/ettercap.phphttp://sectools.org/sniffers.htmlhttp://wiki.wireshark.org/http://www.rootshell.be/~dhar/downloads/Sniffers.pdfhttp://web.archive.org/web/20050221103207/http://www.robertgraham.com/pubs/sniffing-faq.htmlhttp://www.irongeek.com/i.php?page=security/AQuickIntrotoSniffers

×