Aprenda a usar o sniffer Wireshark (Parte I)Criado porPedro
Pintoem 21 de Fevereiro de 2012 | Categoria:Networking|37
comentriosAo longo dos anos, fomos apresentando no Pplware as vrias
verses e respectivas novidades do sniffer mais popular para redes
informticas, o Wireshark. O Wireshark uma ferramenta de analise
protocolar, que permite a captao, em tempo real, de pacotes de
dados, e apresenta essa informao num formato legvel para os
utilizadores. O processo de captura de trfego realizado via placa
de rede,, funcionando esta num modo especial que designado de modo
promscuo (possibilidade de capturar todos os pacotes,
independentemente do endereo de destino)Hoje vamos iniciar um novo
ciclo de tutoriais com o objectivo de ensinar os utilizadores a
usarem o sniffer Wireshark.
Para que que eu preciso de um sniffer?Para muitos, uma poderosa
ferramenta de trabalho, para outros aquela ferramenta capaz de
capturar umaspasswordsna rede (em plain text de preferncia), alguns
dados confidenciais, decifrar chaves de rede, etc, etc, se esses
dados no so encriptados antes de serem enviados pela rede maravilha
passam em claro na rede, perceptveis por qualquer utilizador.
Quanto ao Wireshark (antigo Ethereal), para mim simplesmente o
melhorsniffergrtis!!!. O Wireshark permite analisar os pacotes
recebidos e transmitidos por qualquer interface de rede, sendo
possvel aplicar vrios tipos filtros.Como comear a usar o sniffer
Wireshark?Para comearmos a usar o Wireshark basta escolher a placa
de rede (a placa que est actualmente ligada rede) que pretendemos
colocar escuta. De referir que em alguns casos, o Wireshark no
reconhece o fabricante da placa e coloca apenas o nome Microsoft ou
outro (no meu caso, a primeira referencia a Microsoft corresponde
placa de rede wireless).
Caso no consigam identificar a placa que pretendem, podem
carregar no primeiro boto do menu do wireshark e ver qual a placa
que est a enviar e a receber pacotes (no meu caso a segunda placa
da listaque corresponde placa de rede wireless).
Depois de seleccionarmos a placa de rede, comeamos de imediato a
visualizar os pacotes que passam na rede.
Parapararo processo basta carregar no quarto cone do menu do
Wireshark.
ExerccioPara experimentarem de imediato o Wireshark deixamos
aqui um pequeno exerccio. Para tal, vamos snifar todos os pedidos e
respostas DNS, devendo colocar nocampo filter dns. De seguida
abrimos a linha de comandos e usando o comandonslookup,
questionamos o nosso servidor de DNS quem www.pplware.com. Como
podem ver na imagem seguinte, o Wireshark consegue capturar toda a
informao trocada entre a nossa mquina e o servidor de DNS
definido.
Esperamos que tenham gostado deste primeiro tutorial sobre o
Wireshark. Alm de conseguirmos visualizar todo o trfego (cifrado e
no cifrado), conseguimos tambm perceber como funcionam as nossas
redes de dados. Por hoje resta-nos esperar pelo vosso feedback e
sugestes para prximos tutoriais.Artigos seguintes:
Ao longo dos anos, fomos apresentando no Pplware as vrias verses
e respectivas novidades do sniffer mais popular para redes
informticas, o Wireshark. O Wireshark uma ferramenta de analise
protocolar, que permite a captao, em tempo real, de pacotes de
dados, e apresenta essa informao num formato legvel para os
utilizadores. O processo de captura de trfego realizado via placa
de rede,, funcionando esta num modo especial que designado de modo
promscuo (possibilidade de capturar todos os pacotes,
independentemente do endereo de destino).Depois de termos
apresentadoaquialgumas funcionalidades bsicas do wireshark, hoje
vamos explicar mais duas funcionalidades: Esquema de cores nas
linhas e Follow TCP Stream.
Esquema de cores nas linhasQuando um utilizador v pela primeira
vez o funcionamento do wireshark, questionar-se- qual o significado
das cores no output. De uma forma geral e por omisso, as linhas:
Verde significa trfego TCP Azul escuro Trfego DNS Azul claro Trfego
UDP Preto Segmentos TCP com problemaCaso o utilizador pretenda ver
o esquema de cores completo do wireshark, basta aceder
aView>Coloring Rules
Follow TCP StreamUma das funcionalidades interessantes do
Wireshark oFollow TCP Stream. Esta funcionalidade permite
visualizar streams TCP completas, isto , com esta opo o utilizador
poder acompanhar toda uma comunicao desde o primeiro SYN at ao
FIN-ACK.
Esperamos que tenham gostado deste segundo tutorial sobre o
Wireshark. Por hoje resta-nos esperar pelo vosso feedback e
sugestes para prximos tutoriais.
eo: Tutoriais Redes Opticas
Redes Sem Fio II: Captura, Clonagem e Escuta de Trfego
Dando prosseguimento aos testes executados, esta seo apresenta a
captura de trfego, clonage de Mac e escuta de trfego.Captura de
Trfego com WiresharkPara a captura do trfego da rede com o
Wireshark, primeiro entramos na rede que queremos capturar o
trfego. Para isso temos que usar o modo WPA_Supplicant, que uma
implementao de software por linha de comando utilizado no ambiente
Linux. Existem tambm verses para outras plataformas, como FreeBSD,
NetBSD e Windows.Nessa demonstrao, trabalhamos com linhas de
comando no BackTrack. Primeiramente criamos o arquivo de configurao
chamado wpa_supplicant.conf e salvamos em/etc, em seguida iniciamos
o arquivo criado com o comandowpa_supplicant -i wlan0 -D wext -c
/etc/wpa_supplicant.conf,que tambm pode ser executado via shell
script. Esse comando chama as configuraes definidas no arquivo
/etc/wpa_supplicant.conf, fazendo com que a estao acesse a rede sem
fio que vamos invadir, que no nosso exemplo ficou como mostra a
figura 19.
Figura 19: wpa_supplicant.confFonte: PrpriaDepois que acessamos
a rede se fio vtima, abrimos o Wireshark, clicamos em
Capture/Interfaces, como mostra a figura 20, para selecionar a
interface que utilizamos para fazer a captura, na nossa demonstrao
aWlan0, em seguida clicamos em Start.
Figura 20: Seleo da interface de escutaFonte: PrpriaA figura 21
nos mostra o funcionamento do Wireshark capturando pacotes
trafegando na rede que estamos atacando.
Figura 21: Capturando pacotesFonte: PrpriaNa figura 22, exibimos
a captura do trfego exibindo pacotes contendo informaes da chave
WPA, como tambm alguns pacotes trafegando com o protocolo UDP.
Figura 22: Captura de pacotes com chave WPA codificadaFonte:
PrpriaClonagem de MACO endereo MAC foi criado para ser um
identificador nico no mundo inteiro para cada interface de rede
produzida. Podemos alterar o endereo MAC utilizando softwares
disponveis e tambm usando hardware, que bem mais trabalhoso e
tedioso. Usurios de Linux pode alterar seu MAC sem utilizar
softwares de Poisoning e Spoofing, usando apenas um parmetro do
comandoifconfig, que configura a interface de rede no S.O. Um
atacante por realizar um ataque DoS4 um computador alvo, e ento
atribuir a si mesmo o IP e MAC desse computador, recebendo todos os
dados enviados para tal computador (IMASTERS, 2010).Esse tipo de
ataque tem resultado mais satisfatrio em redes com controle de
acesso por MAC, com DHCP ativo ou mesmo em redes com a faixa de IP
conhecida.Primeiramente, executamos o comandoairodump-ng wlan0,
para visualizarmos os APs ao alcance e os hosts conectados.
Figura 23: Comando airodump-ng wlan0Fonte: PrpriaNa figura 23,
observamos que a estao com o MAC 00:19:5B:8E:86:43 est conectado ao
AP com SSID TCC-WIRELESS. Fizemos nossa demonstrao clonando o MAC
desse host. Na figura 24, exibimos as configuraes de rede atuais do
host usado para o ataque com o MAC original em destaque.
Figura 24: Configuraes atuaisFonte: PrpriaPara realizarmos a
mudana do MAC da estao de ataque para o host que est conectado
atualmente, primeiramente paramos a interfaceWlan0com o
comandoifconfig wlan0 down. Em seguida, mudamos o MAC da estao com
o comandomacchanger --mac 00:19:5B:8E:86:43 wlan0. O resultado
desses comandos est exibido na figura 25.
Figura 25: Mudana do MAC da estaoFonte: PrpriaAps isso, subimos
a interface com o comandoifconfig wlan0 up. Na figura 26 exibimos
novamente as configuraes de rede da interface wlan0 j alterada para
o MAC da estao clonada.
Figura 26: Exibio das configuraes com o MAC clonadoFonte:
PrpriaDepois desse procedimento, conectamos normalmente na rede sem
fio que estvamos atacando, como se fosse a estao original,
recebendo o IP referente a ela e tendo a mesma acessibilidade.O
nico problema encontrado nessa demonstrao se a estao original
tentar conectar enquanto a estao clonada estiver conectada. Como
resultado as duas estaes entraram em conflito uma derrubando a
conexo da outra, por conta que o AP no saber exatamente pra quem
entregar os pacotes de conexo.Escuta do Trfego com ARP Spoofing
(Man-in-the-middle)ARP PoisoningouARP Spoofing um tipo de ataque no
qual uma falsa resposta ARP enviada uma requisio ARP original.
Confundida pelo ataque a Estao A envia pacotes para a Estao B
pensando que ela o gateway da rede, e a Estao B captura a
transmisso e redireciona os dados para o endereo correto sem que o
trfego da rede seja interrompido (IMASTERS, 2010). A figura 27
mostra o exemplo do ataque usando Arp Poisoning.
Figura 27: Exemplo do ArpSpoofing ou
ArpPoisoningFonte:www.guiadohardware.net/tutoriais/wireshark/pagina2.htmlNa
nossa demonstrao usamos o Ettercap-ng, que se trata de um sniffer e
interceptador multiuso para Lans com switch. Ele possibilita a
anlise ativa e passiva de muitos protocolos diferentes (mesmo os
criptografados) e inclui muitas caractersticas para anlise de redes
e hosts. Ele pode realizar os seguintes procedimentos
automaticamente:1. Injeo de caracteres em uma conexo
estabelecida;2. Coletar senhas de TELNET, FTP, POP, RLOGIN, SSH1,
ICQ, SMB, MySQL;3. Filtragem/descarte de pacotes de dados;4.
Terminar conexes.Aps conectar na rede iniciamos o Ettercap-ng,
clicando emIniciar/Internet/Ettercap. Depois clicamos emOptions/Set
Netmaske defina a netmask como 255.255.255.0 para capturar o trfego
de toda a rede, como mostrado na figura 28.
Figura 28: Definio da mscaraFonte: PrpriaNa seqncia clicamos
emSniff/Unified Sniffingpara selecionar a interface de rede que vai
fazer a captura, no nosso casoWlan0, como observamos na figura
29.
Figura 29: Escolha da interface de redeFonte: PrpriaEm seguida,
clicamos emHosts/Scan for Hostspara procurar os hosts que
atualmente esto conectados na rede, depois emHost list, para listar
todos os hosts que foram encontrados. Em seguida clique emMitm/Arp
Poisoningpara escolher o tipo de ataque e marque a opo:Sniff remote
connectionse clique emOK, exibido na figura 30.
Figura 30: Escolhendo o tipo de ataqueFonte: PrpriaNa seqncia,
clicamos emView/ConnectionseStatistics, para mostrar todas as
conexes e a estatstica das conexes de todos os hosts. Em seguida
clique em Start/Start Sniffing, para comear a captura do trfego.
Como a captura do trfego foi direcionada em cima do Gateway da rede
atacada, na figura 31, observamos o resultado da captura do trfego
exibindo algumas conexes com usurio e senha expostos.
Figura 31: Resultado da captura do trfegoFonte: Prpria
Podemos perceber a grande preocupao das empresas e instituies em
aperfeioar seus mtodos, at ento seguros e confiveis na transmisso
das informaes, faz com que profissionais da rea de administrao de
redes de computadores procurem aperfeioar seus conhecimentos na
tecnologia sem fio, para tomar conhecimento de falhas existentes e
suas respectivas solues, como instalao de atualizaes ou propondo
melhorias nas polticas de segurana da empresa.Este trabalho teve
como objetivo principal estudar e exibir melhor as tecnologias
existentes em redes sem fio, bem como suas falhas de segurana
buscando conhecer mais a fundo essas falhas e suas possveis solues.
Os riscos e as vulnerabilidades apresentadas nos captulos
anteriores afetam diretamente toda e qualquer tipo de rede de
computadores, resultando algumas vezes em grandes problemas para as
empresas. A no observncia de medidas de segurana em uma rede
preocupante, pois muitos administradores no possuem conhecimento da
amplitude do perigo em que a rede est exposta, possibilitando
atravs destas vulnerabilidades a entrada no autorizada de elementos
invasores.Apesar de todas as medidas de precaues adotadas e que
podem ser aplicadas s redes sem fio, sabe-se que a possibilidade de
um invasor bem motivado obter sucesso em seu ataque ainda possvel.
Com isso, este estudo servir como material de apoio a
administradores de redes, que tenham como filosofia de trabalho, o
constante aperfeioamento nesta rea.Vale ressaltar que necessria a
incessante busca na melhora das metodologias de segurana, bem como
nos padres adotados, visto que o padro IEEE 802.11, que a base para
os demais, est constantemente sendo alterado atravs de grupos de
estudo e profissionais de informtica, com a finalidade de seu
aperfeioamento a fim de encontrar uma forma de estabelecer um padro
de segurana aceitvel, ideal e confivel.