Nos finais 1997 Gerald Combs necessitava de uma ferramenta de rastreamento de rede para resolver problemas. Ethereal foi a versão inicial lançada em Julho de 1998 em versão 0.2.0 Desde então foram muitas as contribuições de diversas pessoas para que o projeto continua-se Em 2006 o projeto muda de nome para o agora conhecido WIRESHARK Em 2008 e após 10 anos de desenvolvimento, a versão 1.0 do Wireshark é lançada. O lançamento coincidiu com a realização do primeiro Wireshark Developer and User Conference conheçido por SharkFest. Gerald Combs Wireshark é um analisador de pacotes de rede O programa tenta capturar os pacotes que andam na rede, e mostrar a informação contida no pacote de forma detalhada Pode ser visto como um examinador do que anda no cabo de rede. Wireshark é provavelmente um dos melhores open source analisadores de pacotes de rede atualmente Administradores de rede utilizam-no para resolver problemas nas suas redes Engenheiros de segurança de redes usam-no para detetar possíveis falhas de segurança Criadores utilizam para fazer “debug” a um protocolo que estejam a desenvolver Outros utilizado para aprender mais sobre o protocolo de rede Hackers e Crackers usam-no para “roubar” senhas, contas, escutar conversas de mensageiros instantâneos, etc… Etc Etc Etc É um programa cross-platform: Sistemas Operativos baseados em Unix ( Linux, OS X, BSD, Solaris, etc) Microsoft Windows Utiliza GTK+ widget toolkit para implementação do interface gráfico. Utiliza pcap para captura dos pacotes de dados (WinPcap e LibPcap). É um software open-source distribuído sobre licença GNU General Public License. Captura em tempo real dos pacotes Mostra as informações dos pacotes com muito detalhe Possibilidade de Abrir / Gravar sessões Importação / Exportações para um sem número de outros programas similares Possibilidade do uso de filtros (+ de 125000 campos, sobre 1000 protocolos v1.8.7) Procura de pacotes com recurso a critérios de procura Estatísticas diversas … Entre outros • Rede Ethernet partilhada • Dispositivo central: HUB • Os pacotes são enviados para todas as portas • Todas as máquinas podem “ouvir” o que se passa na rede • Interface de rede em modo promíscuo • Rede Ethernet comutada • Dispositivo central: Switch • Os pacotes são enviados para as respetiva porta • O invasor só pode “ouvir” o que lhe é endereçado • Solução: encher a tabela ARP e obrigar o switch a enviar os pacotes para todas as portas • ARP Cache poisoning – Man in the middle • Dispositivo central: Switch • O invasor envia pacotes ARP forjados para a máquina A dizendo que é a maquina B e vice-versa. • Todos os pacotes são enviados para a máquina invasora. • Porta de monitorização • Dispositivo central: Switch • O invasor conecta-se ao switch e faz uma cópia de todo o tráfego da rede. • É um método fácil de implementar se o switch estiver acessível. • Mas tem a desvantagem de haver grandes probabilidades de perda de pacotes. • “Roubo” da porta do switch • Dispositivo central: Switch • O invasor o invasor enviar pacotes ARP simulando a identificação da máquina alvo. • O switch passa a enviar os pacotes para o invasor. • Técnica relativamente simples de implementar, mas só captura a comunicação destinada à maquina-alvo • Barramento à saída • Dispositivo central: Switch + Hub • A técnica resulta da instalação de um Hub entre a saída do Switch e a máquina-alvo • Todo o tráfego relativo à máquina-alvo é capturado • Captura através do método “máquina no meio” • Dispositivo central: Switch • Técnica parecida com a anterior, contudo, no lugar do Hub está a máquina do intruso. • A maquina do intruso dispõe de 2 interfaces de ligação à rede para estabelecer a ponte entre o switch e a máquina-alvo. • A ponte é transparente para a camada e IP e protocolos associados, mas não totalmente para a Ethernet. AIX FreeBSD HP-UX Irix Linux Mac OS X NetBSD OpenBSD Solaris Tru64 UNIX Windows Physical Interfaces ATM Unknown Unknown Unknown Unknown Yes No Unknown Unknown Yes Unknown Unknown Bluetooth No No No No Yes1 No No No No No No CiscoHDLC Unknown Yes Unknown Unknown Yes Unknown Yes Yes Unknown Unknown Unknown Ethernet Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes FDDI Unknown Unknown Unknown Unknown Yes No Unknown Unknown Yes Unknown Unknown FrameRelay Unknown Unknown No No Yes No Unknown Unknown No No No IrDA No No No No Yes No No No No No No PPP2 Unknown Unknown Unknown Unknown Yes Yes Unknown Unknown No Unknown Yes TokenRing Yes Yes Unknown No Yes No Yes Yes Yes Unknown Yes USB No No No No Yes3 No No No No No No WLAN4 Unknown Yes Unknown Unknown Yes Yes Yes Yes Unknown Unknown Yes Loopback Unknown Yes No Unknown Yes Yes Yes Yes No Yes N/A5 VLAN Tags Yes Yes Yes Unknown Yes Yes Yes Yes Yes Yes Yes Virtual Interfaces