Nos finais 1997 Gerald Combs necessitava de uma ferramenta de rastreamento
de rede para resolver problemas.
Ethereal foi a versão inicial lançada em Julho de 1998 em versão 0.2.0
Desde então foram muitas as contribuições de diversas pessoas para que o
projeto continua-se
Em 2006 o projeto muda de nome para o agora conhecido WIRESHARK
Em 2008 e após 10 anos de desenvolvimento, a versão 1.0 do Wireshark é
lançada.
O lançamento coincidiu com a realização do primeiro Wireshark Developer
and User Conference conheçido por SharkFest.
Gerald Combs
Wireshark é um analisador de pacotes de rede
O programa tenta capturar os pacotes que andam na rede, e mostrar a informação
contida no pacote de forma detalhada
Pode ser visto como um examinador do que anda no cabo de rede.
Wireshark é provavelmente um dos melhores open source analisadores de pacotes de
rede atualmente
Administradores de rede utilizam-no para resolver problemas nas suas redes
Engenheiros de segurança de redes usam-no para detetar possíveis falhas de segurança
Criadores utilizam para fazer “debug” a um protocolo que estejam a desenvolver
Outros utilizado para aprender mais sobre o protocolo de rede
Hackers e Crackers usam-no para “roubar” senhas, contas, escutar conversas de mensageiros
instantâneos, etc…
Etc
Etc
Etc
É um programa cross-platform:
Sistemas Operativos baseados em Unix ( Linux, OS X, BSD, Solaris, etc)
Microsoft Windows
Utiliza GTK+ widget toolkit para implementação do interface gráfico.
Utiliza pcap para captura dos pacotes de dados (WinPcap e LibPcap).
É um software open-source distribuído sobre licença GNU General Public License.
Captura em tempo real dos pacotes
Mostra as informações dos pacotes com muito detalhe
Possibilidade de Abrir / Gravar sessões
Importação / Exportações para um sem número de outros programas similares
Possibilidade do uso de filtros (+ de 125000 campos, sobre 1000 protocolos v1.8.7)
Procura de pacotes com recurso a critérios de procura
Estatísticas diversas
…
Entre outros
• Rede Ethernet partilhada
• Dispositivo central: HUB
• Os pacotes são enviados para todas as
portas
• Todas as máquinas podem “ouvir” o que se
passa na rede
• Interface de rede em modo promíscuo
• Rede Ethernet comutada
• Dispositivo central: Switch
• Os pacotes são enviados para as respetiva
porta
• O invasor só pode “ouvir” o que lhe é
endereçado
• Solução: encher a tabela ARP e obrigar o
switch a enviar os pacotes para todas as
portas
• ARP Cache poisoning – Man in
the middle
• Dispositivo central: Switch
• O invasor envia pacotes ARP forjados para a
máquina A dizendo que é a maquina B e
vice-versa.
• Todos os pacotes são enviados para a
máquina invasora.
• Porta de monitorização
• Dispositivo central: Switch
• O invasor conecta-se ao switch e faz uma
cópia de todo o tráfego da rede.
• É um método fácil de implementar se o
switch estiver acessível.
• Mas tem a desvantagem de haver grandes
probabilidades de perda de pacotes.
• “Roubo” da porta do switch
• Dispositivo central: Switch
• O invasor o invasor enviar pacotes ARP
simulando a identificação da máquina alvo.
• O switch passa a enviar os pacotes para o
invasor.
• Técnica relativamente simples de
implementar, mas só captura a
comunicação destinada à maquina-alvo
• Barramento à saída
• Dispositivo central: Switch + Hub
• A técnica resulta da instalação de um Hub
entre a saída do Switch e a máquina-alvo
• Todo o tráfego relativo à máquina-alvo é
capturado
• Captura através do método
“máquina no meio”
• Dispositivo central: Switch
• Técnica parecida com a anterior, contudo,
no lugar do Hub está a máquina do intruso.
• A maquina do intruso dispõe de 2 interfaces
de ligação à rede para estabelecer a ponte
entre o switch e a máquina-alvo.
• A ponte é transparente para a camada e IP
e protocolos associados, mas não totalmente
para a Ethernet.
AIX
FreeBSD
HP-UX
Irix
Linux
Mac OS X
NetBSD
OpenBSD
Solaris
Tru64 UNIX
Windows
Physical Interfaces
ATM
Unknown
Unknown
Unknown
Unknown
Yes
No
Unknown
Unknown
Yes
Unknown
Unknown
Bluetooth
No
No
No
No
Yes1
No
No
No
No
No
No
CiscoHDLC
Unknown
Yes
Unknown
Unknown
Yes
Unknown
Yes
Yes
Unknown
Unknown
Unknown
Ethernet
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
FDDI
Unknown
Unknown
Unknown
Unknown
Yes
No
Unknown
Unknown
Yes
Unknown
Unknown
FrameRelay
Unknown
Unknown
No
No
Yes
No
Unknown
Unknown
No
No
No
IrDA
No
No
No
No
Yes
No
No
No
No
No
No
PPP2
Unknown
Unknown
Unknown
Unknown
Yes
Yes
Unknown
Unknown
No
Unknown
Yes
TokenRing
Yes
Yes
Unknown
No
Yes
No
Yes
Yes
Yes
Unknown
Yes
USB
No
No
No
No
Yes3
No
No
No
No
No
No
WLAN4
Unknown
Yes
Unknown
Unknown
Yes
Yes
Yes
Yes
Unknown
Unknown
Yes
Loopback
Unknown
Yes
No
Unknown
Yes
Yes
Yes
Yes
No
Yes
N/A5
VLAN Tags
Yes
Yes
Yes
Unknown
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Virtual Interfaces
Download

Apresentação do PowerPoint