Analisador de Protocolos
WIRESHARK
I Workshop de Redes de
Computadores
2013
Edgar da Silva Arrais
Análise de protocolos


Packet sniffer, analisador de redes, análise de
pacotes, ethernet sniffer, wireless sniffer...
Software e Hardware
Hardware analisador


OptiView Series III Integrated Network Analyzer
GigaStor Security Forensics
Software analisador








Capsa
Carnivore (FBI)
dSniff
Ettercap
Narus
ngrep
tcpdump
Wireshark
Qual sua utilidade?







Detectar problemas de rede;
Mensurar o desempenho da rede;
Monitorar quem, quando, o que está acessando;
Estatísticas de rede;
Depurar comunicação cliente/servidor;
Depurar protocolos de rede;
Coletar tráfego suspeito;
Qual deles utilizar?




Custo
Interface amigável
Suporte a protocolos
Suporte ao software
Como funciona um analisador ?
Captura
modo promíscuo?
Análise
101101110
Conversão
Como funciona um analisador ?
Captura
modo promíscuo?
Análise
101101110
Conversão
Captura
Captura

Conhecer o mapa da rede (roteadores, hubs, switch,
modem);
Captura



Concentradores (hubs)
Transmite dados de uma porta às outras.
Atua na camada física (1).
Captura
Analisador
Janela
Captura




Comutadores (switches)
Entrega ao endereçado.
Camada de enlace (2) = endereço MAC
Camada de rede (3) = endereço IP origem/destino
Captura
Analisador
Janela
Captura





Port Span = Espelhamento de portas
Hubbing Out
ARP Spoofing = Mascaramento ARP.
MAC Flooding = Inundar o switch com MAC falso.
MAC Duplication = Duas portas com o mesmo MAC.
Switch dificulta a captura, mas não é impossível.
Captura
Captura
Wireshark






Ethereal(1998) → Wireshark(2006)
GNU Public License
500+ colaboradores
850+ protocolos
Windows, Linux, Mac OS X, BSD
Fórum, documentação online
Tshark




Quase todas as funções do wireshark.
Processamento mais rápido.
Utilizado quando é necessário uma automação.
Custo computacional menor.
Labs
 http://packetlife.net/captures/
 http://wiki.wireshark.org/SampleCaptures
 http://www.cloudshark.org
Referências





http://www.sans.org/resources/idfaq/switched_network.php
http://www.codealias.info/technotes/the_tshark_capture_an
d_filter_example_page
http://www.slideshare.net/Ediclei/captura-de-pacotes-narede-com-utilizao-do-wireshark
http://www.wireshark.org
http://www.wireshark.org/docs/dfref/
Obrigado!



Dúvidas, sugestões, etc...
[email protected]
http://esarrais.wordpress.com
Download

Captura