sexta-feira, 13 de fevereiro de 2015

Você está lendo » Noção sobre Wireshark

Noção sobre Wireshark

No comments
Prática – Wireshark – Sniffer de rede
Entregar um relatório contendo introdução, desenvolvimento e conclusão. A seção desenvolvimento pode conter várias subseções e deve ter as principais observações, análises e resultados obtidos durante a prática de laboratório.
O Wireshark é um analisador de protocolos (sniffer), distribuído gratuitamente, a partir do endereço http://www.wireshark.com. Ele pode ser executado em diversas plataformas, incluindo sistemas Unix e Windows. Para ambiente Windows, é necessário instalar a biblioteca de captura de pacotes WinPcap (confirmar na instalação). Ela é uma  versão da biblioteca libpcap (existente para ambientes Unix), para o Windows.
1. Capturando pacotes
Abra o Wireshark e ative a captura de pacotes (Menu CaptureInterfaces).
1. Na opção “interface”, escolha a interface Ethernet.
2. Identifique a interface Ethernet; em opções (Options) seleciona a opção “enable network name resolution”.
3. Inicie a captura (pressionando em Start).
4. Acesse a rede por alguns segundos (exemplo: acesse o site www.ralcti.com). Não é necessário muito tempo (basta acessar uma única página).
5. Pare a captura de pacotes clicando no botão Stop da janela de captura
6. A interface do Wireshark é dividida em três partes.
 A primeira contém uma relação dos pacotes capturados, um por linha. Selecione um dos pacotes.
 A segunda contém informações sobre o pacote que está selecionado, onde cada linha contém um protocolo, na ordem em que eles são empilhados. Dentro de cada protocolo, são mostrados os campos do seu cabeçalho.
 A terceira parte contém os dados, ou seja, a carga útil (payload) do pacote, que  será utilizada pela aplicação. A carga útil é apresentada no formato hexadecimal e o seu correspondente para ASCII.
7. Selecione os vários pacotes e observe os seus campos e valores.
2. Filtros de visualização
Estabeleça alguns filtros de visualização (display filter). Atenção: alguns filtros podem não mostrar nenhum pacote, em função da atividade da rede naquele momento.
1. Na parte inferior esquerda da janela do Wireshark, você pode ver um botão “Filter” com um espaço em branco ao lado dele.
2. Digite o filtro no espaço em branco (exemplo: ip.addr==10.0.4.1 and http)
3. Para ativar o filtro pressione ENTER.
4. Para desativar o filtro (antes de digitar outro), pressione no botão “Clear”. Os filtros devem ser digitados em letras minúsculas.Construa filtros para as situações abaixo e anote as expressões usadas (dica: clique no botão “Filter” e depois em “Add Expression”):
1. Apenas pacotes do protocolo IP
2. Apenas pacotes do protocolo DNS
3. Apenas pacotes do protocolo ARP
4. Apenas pacotes do protocolo HTTP
5. Apenas pacotes do protocolo UDP
6. Apenas pacotes do protocolo TCP
7. Apenas os pacotes HTTP enviados ou recebidos pelo seu host (forneça o seu IP)
8. Apenas pacotes do host www.uol.com.br (Lembre-se: você deve informar o número IP desse host e não o nome. Descubra o número IP do desse host com o comando “ping www.ralcti.com”)
9. Todos os pacotes enviados ou recebidos pelo seu host (forneça o seu IP)
10. Todos os pacotes originados (enviados) pelo seu host.
11. Todos os pacotes UDP originados (enviados) pelo seu host.
12. Todos os pacotes TCP originados (enviados) pelo seu host.
13. Todos os pacotes UDP ou TCP recebidos ou enviados pelo seu host.
Mostre todos os pacotes trocados entre outro computador da sua rede e o servidor www.ralcti.com
3. Capturando pacotes com filtro de captura
1. Ative a captura de pacotes (Menu CaptureStart).
2. Na opção “interface”, escolha a interface Ethernet.
3. No campo “filter”, digite: ip.addr==SEU_IP, onde SEU_IP é o número IP do seu computador. Exemplo: ip.addr==10.0.4.132
4. Pressione OK. Observe que agora existe uma “janela de captura” ativada
5. Acesse a rede por alguns segundos (exemplo: acesse o site www.fcrs.edu.br). Não precisa demorar (basta acessar uma única página).
6. Pare a captura de pacotes clicando no botão Stop da janela de captura.
7. Salve os pacotes capturados no arquivo captura2.pcap
O que acabamos de fazer foi a captura seletiva de pacotes, ou seja, capturamos apenas os pacotes que nos interessam, evitando a captura completa. Isso é diferente de fazer uma captura completa e filtrar a visualização de pacotes. Uma captura completa toma grande espaço no disco e tempo para processar os pacotes. Em uma rede local grande (com muito tráfego), 5 minutos de captura pode representar vários gigabytes de espaço no disco
4. Capturando pacotes HTTP
1. Ative a captura de pacotes (Menu CaptureStart).
2. Na opção “interface”, escolha a interface Ethernet.
3. No campo “filter”, digite: ip.addr==SEU_IP, onde SEU_IP é o número IP do seu computador. Exemplo: host 10.0.4.132
4. Pressione OK. Observe que agora existe uma “janela de captura” ativada.
5. Acesse o seguinte URL: http://www.ufc.br/
6. Pare a captura de pacotes clicando no botão Stop da janela de captura.
7. Faça um filtro de visualização para mostrar apenas os pacotes TCP.   
8. Clique duas vezes no primeiro pacote TCP mostrado, para que ele fique marcado.
9. No menu, escolha a opção Tools->Follow TCP Stream.
10. Aparece uma janela mostrando todos os dados (em modo ASCII) que foram trafegados entre seu computador (cliente) e o servidor durante a sessão HTTP.
5. Capturando pacotes HTTPS (HTTP com criptografia)
Este exercício requer que haja um servidor HTTP capaz de suportar o serviço HTTPS (utiliza SSL – Secure Socket Layer)
1. Faça a mesma coisa do exercício anterior, trocando a URL acessada para: http://webmail.ufabc.edu.br (observe que agora é “https”)
2. Você consegue ver o que trafegou? Explique.
6. Reconstituindo um fluxo TCP
1. Inicie um captura sem o modo promíscuo e depois entre em uma página Web (UOL, por exemplo). Interrompa a captura.
2. Verifique a sequência dos pacotes: DNS, conexão TCP (em três vias), requisição HTTP, como mostra a figura abaixo.
3. Agora, clique com o botão da direita e escolha “Follow TCP Stream”. Veja que primeiro aparece o cabeçalho HTTP, depois o seu conteúdo, ou seja, o HTML da página.
4. Vá no navegador (Internet Explorer, por exemplo) e escolha para visualizar o fonte daquela página (ou seja o HTML).
7. Capturando senhas de email
Observação: a realização dessa atividade pode não ser possível no momento da realização dessa prática, porque os provedores estão cada vez mais usando
criptografia para a transferência do nome do usuário e senha (que é a melhor opção, atualmente). No passado, provedores como iG (www.ig.com.br) e BOL
(www.bol.com.br) não usavam criptografia, mas agora já estão tomando as devidas precauções. Faça este exercício com diferentes provedores (www.mail.com.br; www.ig.com.br, www.gmail.com, etc. ).
1. Inicie uma captura e depois acesse o provedor mail.com (www.mail.com). Entre com um usuário qualquer (ex., “maria”) e uma senha qualquer (ex.,“muitofacil”). Espere uns segundos e então interrompa a captura. 2. O mail.com transmite o nome do usuário e da senha sem criptografia, em um string, ex email=maria&password=muitofacil
3. Vá no menu, Edit/Find packet…. Na janela, selecione o botão “string”, digite
“password” (sem as aspas) e então clique no botão “Find”. Localize o pacote
onde está a senha e observe a área de dados do Wireshark, para localizar a
senha.
4. Reconstitua o fluxo TCP (botão da direita do mouse e “Follow TCP Stream) para ter uma visão mais clara.



0 comentários:

Postar um comentário