Faculdade de Tecnologia Senac Pelotas
Curso Superior de Tecnologia em Redes de Computadores
Prof. Eduardo Maroñas Monks
Unidade Curricular - Redes de Computadores I
Análise de tráfego de
rede
(Wireshark)
Sumário
•
•
•
•
Objetivos
Ferramentas de análise de tráfego
Wireshark
Referências
Análise de Tráfego de Rede – Prof. Eduardo Maroñas Monks
2
Análise de Tráfego
• Objetivos
–
–
–
–
Verificar problemas na rede
Depurar protocolos
Análise de desempenho
Aprendizagem sobre protocolos e o
funcionamento das aplicações em
rede
Análise de Tráfego de Rede – Prof. Eduardo Maroñas Monks
3
Camada de atuação de um
analisador de protocolos/tráfego
Análise de Tráfego de Rede – Prof. Eduardo Maroñas Monks
4
Ferramentas
•
•
•
•
•
Tcpdump
Ngrep
Snort
Ethereal
Wireshark
Análise de Tráfego de Rede – Prof. Eduardo Maroñas Monks
5
Ferramentas: Tcpdump
• Tcpdump (http://www.tcpdump.org/)
– Analisador de tráfego padrão no
sistema operacional UNIX/Linux
– Código-fonte aberto
– Linha de comando
– Utiliza a bibilioteca libpcap
– Por padrão, somente o usuário
root tem acesso
Análise de Tráfego de Rede – Prof. Eduardo Maroñas Monks
6
Ferramentas: Tcpdump
• Exemplos de uso
•
tcpdump -nn -i eth1 - captura e filtra o tráfego na interface
eth1, sem usar resolução de endereços e portas
•
tcpdump -nn -i eth1 port 80 - captura e filtra o tráfego na
interface eth1, sem usar resolução de endereços e portas,
para pacotes com a porta 80 na origem ou no destino
•
tcpdump -nn -i eth1 –w /tmp/arquivo.cap port 80 - captura e
filtra o tráfego na interface eth1, sem usar resolução de
endereços e portas, para pacotes com a porta 80 na origem
ou no destino e salva no arquivo /tmp/arquivo.cap
•
tcpdump -nn -i eth1 dst port 80 - captura e filtra o tráfego na
interface eth1, sem usar resolução de endereços e portas,
para pacotes com a porta 80 no destino. Para usar a porta
80 como origem, utilizar o parâmetro src
Análise de Tráfego de Rede – Prof. Eduardo Maroñas Monks
7
Ferramentas: Tcpdump
• Exemplos de uso
•
tcpdump -nn -i eth1 host 192.168.200.3 and host 192.168.200.1 captura e filtra o tráfego na interface eth1, sem usar resolução
de endereços e portas, para pacotes com os endereços
192.168.200.3 e 192.168.200.1
•
tcpdump -nn -i eth1 host 192.168.200.3 or host 192.168.200.1 captura e filtra o tráfego na interface eth1, sem usar resolução
de endereços e portas, para pacotes com os endereços
192.168.200.3 or 192.168.200.1
•
tcpdump -nn -i eth1 udp - captura e filtra o tráfego na interface
eth1, sem usar resolução de endereços e portas, para pacotes
com o protocolo udp
•
tcpdump -nn -i eth1 tcp port 80 and not host 192.168.200.3 captura e filtra o tráfego na interface eth1, sem usar resolução
de endereços e portas, para pacotes que não tenham o
endereço IP 192.168.200.3 e sejam para a porta 80 do protocolo
TCP, de origem ou destino
Mais exemplos de uso:
http://packetlife.net/media/library/12/tcpdump.pdf
Análise de Tráfego de Rede – Prof. Eduardo Maroñas Monks
8
Ferramentas: Ngrep
Exemplos de uso:
• Ngrep (http://ngrep.sourceforge.net/)
•ngrep
–d eth0
– Procura
por “Bittorrent”
padrões no conteúdo dos
“grep de arede”
(listapacotes,
os pacotes um
que contenham
palavra Bittorent)
– Disponível
Linux e Windows
•ngrep
–d eth0para
“Bittorrent|GNUTELLA”
not net
– Linha de comando
192.168.200.0
and not (similar
port 587a sintaxe da
ferramenta tcpdump)
(lista os pacotes que contenham as palavras Bittorrent ou
– Utiliza
a bibilioteca
libpcap/winpcap
GNUTELLA
e que
não sejam pertencentes
a rede 192.168.200.0 e
não
a porta 587 aberto
em origem ou destino)
– usem
Código-fonte
Análise de Tráfego de Rede – Prof. Eduardo Maroñas Monks
9
Ferramentas: Snort
• Snort
(http://www.snort.org)
– Detector de intrusão com
recursos poderosos
– Procura por padrões nos
pacotes detectando
anomalias e as prevenindo
• Assinaturas de aplicações
e protocolos
– Disponível para Linux e
Windows
– Código-fonte aberto
Análise de Tráfego de Rede – Prof. Eduardo Maroñas Monks
10
Ferramenta: Ethereal
• Ethereal
(http://www.ethereal.com/)
– Analisador de tráfego em linha de
comando e em interface gráfica
– Disponível para Windows/Linux
– Código-fonte aberto
– Utiliza a biblioteca winpcap
– Por motivos judiciais, o projeto
parou e o autor passou a
desenvolver o projeto Wireshark
Análise de Tráfego de Rede – Prof. Eduardo Maroñas Monks
11
Ferramenta: Wireshark
• Wireshark (www.wireshark.org/)
– Analisador de tráfego em linha de comando e em
interface gráfica
– Disponível para Windows/Linux
– Código-fonte aberto
– Utiliza a biblioteca winpcap
– Uma ferramenta extremamente poderosa para análise de
rede
Análise de Tráfego de Rede – Prof. Eduardo Maroñas Monks
12
Usando o Wireshark
• Processo de instalação:
– Fazer o download de:
http://www.wireshark.org/download.html
– O processo de instalação insere a
biblioteca Winpcap no sistema operacional
MS Windows;
– Procedimento “NEXT” de instalação
– Nas distribuições Linux, verificar os
pacotes com o nome “wireshark”
Análise de Tráfego de Rede – Prof. Eduardo Maroñas Monks
13
Usando o Wireshark
•
Executando a ferramenta e escolhendo a interface de rede:
Análise de Tráfego de Rede – Prof. Eduardo Maroñas Monks
14
Usando o Wireshark
•
Executando a ferramenta e escolhendo a interface de rede:
Análise de Tráfego de Rede – Prof. Eduardo Maroñas Monks
15
•
Usando o Wireshark
Capturando pacotes:
Análise de Tráfego de Rede – Prof. Eduardo Maroñas Monks
16
•
Usando o Wireshark
Analisando sessões:
Análise de Tráfego de Rede – Prof. Eduardo Maroñas Monks
17
•
Usando o Wireshark
Analisando sessões:
Análise de Tráfego de Rede – Prof. Eduardo Maroñas Monks
18
•
Usando o Wireshark
Filtros de pacotes:
Análise de Tráfego de Rede – Prof. Eduardo Maroñas Monks
19
Usando o Wireshark
• Exemplos de filtros (display filters):
• Todos os quadros Ethernet que contenham o
endereço físico 00:22:64:7e:1a:3a:
eth.addr==00:22:64:7e:1a:3a
• Todos os quadros Ethernet que contenham o
endereço físico 00:22:64:7e:1a:3a como origem:
eth.src==00:22:64:9e:0a:3a
• Todos os quadros Ethernet que contenham o
endereço físico ff:ff:ff:ff:ff:ff como destino:
eth.dst==ff:ff:ff:ff:ff:ff
• Todos os quadros Ethernet que utilizem o
protocolo ARP (tipo no campo Type 806):
eth.type==0x806
Análise de Tráfego de Rede – Prof. Eduardo Maroñas Monks
20
Usando o Wireshark
• Exemplos de filtros (display filters):
• Pacotes com o endereço IP 192.168.200.3:
ip.addr==192.168.200.3
• Pacotes com endereço IP de origem 192.168.200.3:
ip.src==192.168.200.3
• Pacotes com endereço IP de destino 192.168.200.3:
ip.dst==192.168.200.3
• Pacotes IP com campo TTL igual a 63:
ip.ttl==63
• Pacotes UDP com porta 4500:
udp.port==4500
• Pacotes UDP com porta de destino 53:
udp.dstport==53
• Pacotes UDP com porta de origem 789:
udp.srcport==789
• Pacotes UDP maiores do que 100 Bytes:
udp.length >= 100
Análise de Tráfego de Rede – Prof. Eduardo Maroñas Monks
21
Usando o Wireshark
• Exemplos de filtros (display filters):
• Pacotes TCP com a porta 80:
tcp.port==80
• Pacotes TCP com a porta de destino 23:
tcp.dstport==23
• Pacotes TCP com a porta de origem 1098;
tcp.srcport==1098
• Pacotes TCP maiores ou iguais a 100 Bytes:
tcp.len >= 100
• Pacotes TCP com a flag SYN ativada:
tcp.flags.syn==1
• Pacotes TCP com a flag SYN ativada e a
flag ACK desativada:
tcp.flags.syn==1 and tcp.flags.ack==0
Análise de Tráfego de Rede – Prof. Eduardo Maroñas Monks
22
•
Usando o Wireshark
Exemplos de filtros (display filters):
• Operadores
– Igual: eq ou ==
– Não igual: ne ou !=
– Maior que: gt or >
– Menor que: lt or <
– Maior ou igual: ge ou >=
– Menor ou igual: le ou <=
– E lógico: and ou &&
– Ou lógico: or ou ||
– Ou exclusivo: xor or ^^
Mais exemplos de uso:
– Não lógico (negação): not ou !
http://packetlife.net/media/library/13/Wireshark_Display_Filters.pdf
Análise de Tráfego de Rede – Prof. Eduardo Maroñas Monks
23
•
Usando o Wireshark
Estatísticas do tráfego de rede capturado
Análise de Tráfego de Rede – Prof. Eduardo Maroñas Monks
24
Usando o Wireshark
Demonstração
Análise de Tráfego de Rede – Prof. Eduardo Maroñas Monks
25
Referências
• Site do Wireshark:
– http://www.wireshark.org
• Wireshark User’s Guide:
– http://www.wireshark.org/docs/wsug_html_chunked/
• Wireshark Wiki:
– http://wiki.wireshark.org/
• SANDERS, Chris. Practical Packet Analysis Using
Wireshark to Solve Real-World Network Problems. 2nd
ed. No Starch Press, 2013.
• Laura´s Lab Kit v9 – disponível em
ftp://192.168.200.3/isos/LLK9.iso
Análise de Tráfego de Rede – Prof. Eduardo Maroñas Monks
26
Download
  1. No category

Análise de Tráfego de Rede

Rede de Computadores: Dispositivos

Rede de Computadores: Dispositivos

Serviços Integrados na Arquitetura Internet: um Resumo

Serviços Integrados na Arquitetura Internet: um Resumo

MapRoute

MapRoute

Ver - File Shared

Ver - File Shared

Rede de Computadores: Dispositivos

Rede de Computadores: Dispositivos

Introdução às Redes de Computadores

Introdução às Redes de Computadores

Modelo de computação

Modelo de computação

Rede de Computadores: Dispositivos

Rede de Computadores: Dispositivos

Protocolo

Protocolo

Apresentação Institucional Atech

Apresentação Institucional Atech

QOS - Fafiman

QOS - Fafiman

apr - UFPR

apr - UFPR