Aprenda a usar o sniffer Wireshark (Parte I)

Criado por Pedro Pinto em 21 de Fevereiro de 2012 | Categoria: Networking | 37 comentrios

Ao longo dos anos, fomos apresentando no Pplware as vrias verses e respectivas novidades do sniffer
mais popular para redes informticas, o Wireshark. O Wireshark uma ferramenta de analise protocolar,
que permite a captao, em tempo real, de pacotes de dados, e apresenta essa informao num formato
legvel para os utilizadores. O processo de captura de trfego realizado via placa de rede,, funcionando
esta num modo especial que designado de modo promscuo (possibilidade de capturar todos os
pacotes, independentemente do endereo de destino)
Hoje vamos iniciar um novo ciclo de tutoriais com o objectivo de ensinar os utilizadores a usarem o sniffer
Wireshark.

Para que que eu preciso de um sniffer?
Para muitos, uma poderosa ferramenta de trabalho, para outros aquela ferramenta capaz de capturar
umaspasswords na rede (em plain text de preferncia), alguns dados confidenciais, decifrar chaves de
rede, etc, etc, se esses dados no so encriptados antes de serem enviados pela rede maravilha
passam em claro na rede, perceptveis por qualquer utilizador. Quanto ao Wireshark (antigo Ethereal),
para mim simplesmente o melhor sniffer grtis!!!. O Wireshark permite analisar os pacotes recebidos e
transmitidos por qualquer interface de rede, sendo possvel aplicar vrios tipos filtros.
Como comear a usar o sniffer Wireshark?
Para comearmos a usar o Wireshark basta escolher a placa de rede (a placa que est actualmente
ligada rede) que pretendemos colocar escuta. De referir que em alguns casos, o Wireshark no
reconhece o fabricante da placa e coloca apenas o nome Microsoft ou outro (no meu caso, a primeira
referencia a Microsoft corresponde placa de rede wireless).

Caso no consigam identificar a placa que pretendem, podem carregar no primeiro boto do menu do
wireshark e ver qual a placa que est a enviar e a receber pacotes (no meu caso a segunda placa da
listaque corresponde placa de rede wireless).

Depois de seleccionarmos a placa de rede, comeamos de imediato a visualizar os pacotes que passam
na rede.

Para parar o processo basta carregar no quarto cone do menu do Wireshark.

Exerccio
Para experimentarem de imediato o Wireshark deixamos aqui um pequeno exerccio. Para tal, vamos
snifar todos os pedidos e respostas DNS, devendo colocar no campo filter dns. De seguida abrimos a
linha de comandos e usando o comando nslookup, questionamos o nosso servidor de DNS quem
www.pplware.com. Como podem ver na imagem seguinte, o Wireshark consegue capturar toda a
informao trocada entre a nossa mquina e o servidor de DNS definido.

Esperamos que tenham gostado deste primeiro tutorial sobre o Wireshark. Alm de conseguirmos
visualizar todo o trfego (cifrado e no cifrado), conseguimos tambm perceber como funcionam as
nossas redes de dados. Por hoje resta-nos esperar pelo vosso feedback e sugestes para prximos
tutoriais.
Artigos seguintes:


Ao longo dos anos, fomos apresentando no Pplware as vrias verses e respectivas novidades do sniffer
mais popular para redes informticas, o Wireshark. O Wireshark uma ferramenta de analise protocolar,
que permite a captao, em tempo real, de pacotes de dados, e apresenta essa informao num formato
legvel para os utilizadores. O processo de captura de trfego realizado via placa de rede,, funcionando
esta num modo especial que designado de modo promscuo (possibilidade de capturar todos os
pacotes, independentemente do endereo de destino).
Depois de termos apresentado aqui algumas funcionalidades bsicas do wireshark, hoje vamos explicar
mais duas funcionalidades: Esquema de cores nas linhas e Follow TCP Stream.


Esquema de cores nas linhas
Quando um utilizador v pela primeira vez o funcionamento do wireshark, questionar-se- qual o
significado das cores no output. De uma forma geral e por omisso, as linhas:
Verde significa trfego TCP
Azul escuro Trfego DNS
Azul claro Trfego UDP
Preto Segmentos TCP com problema
Caso o utilizador pretenda ver o esquema de cores completo do wireshark, basta aceder a View
>Coloring Rules

Follow TCP Stream
Uma das funcionalidades interessantes do Wireshark o Follow TCP Stream. Esta funcionalidade
permite visualizar streams TCP completas, isto , com esta opo o utilizador poder acompanhar toda
uma comunicao desde o primeiro SYN at ao FIN-ACK.

Esperamos que tenham gostado deste segundo tutorial sobre o Wireshark. Por hoje resta-nos esperar
pelo vosso feedback e sugestes para prximos tutoriais.

eo: Tutoriais Redes Opticas


Redes Sem Fio II: Captura, Clonagem e Escuta de Trfego

Dando prosseguimento aos testes executados, esta seo apresenta a captura de trfego,
clonage de Mac e escuta de trfego.

Captura de Trfego com Wireshark

Para a captura do trfego da rede com o Wireshark, primeiro entramos na rede que
queremos capturar o trfego. Para isso temos que usar o modo WPA_Supplicant, que
uma implementao de software por linha de comando utilizado no ambiente Linux.
Existem tambm verses para outras plataformas, como FreeBSD, NetBSD e Windows.

Nessa demonstrao, trabalhamos com linhas de comando no BackTrack. Primeiramente
criamos o arquivo de configurao chamado wpa_supplicant.conf e salvamos em /etc, em
seguida iniciamos o arquivo criado com o comando wpa_supplicant -i wlan0 -D wext -c
/etc/wpa_supplicant.conf, que tambm pode ser executado via shell script. Esse
comando chama as configuraes definidas no arquivo /etc/wpa_supplicant.conf, fazendo
com que a estao acesse a rede sem fio que vamos invadir, que no nosso exemplo ficou
como mostra a figura 19.


Figura 19: wpa_supplicant.conf

Fonte: Prpria

Depois que acessamos a rede se fio vtima, abrimos o Wireshark, clicamos em
Capture/Interfaces, como mostra a figura 20, para selecionar a interface que utilizamos
para fazer a captura, na nossa demonstrao a Wlan0, em seguida clicamos em Start.


Figura 20: Seleo da interface de escuta

Fonte: Prpria

A figura 21 nos mostra o funcionamento do Wireshark capturando pacotes trafegando na
rede que estamos atacando.


Figura 21: Capturando pacotes

Fonte: Prpria

Na figura 22, exibimos a captura do trfego exibindo pacotes contendo informaes da
chave WPA, como tambm alguns pacotes trafegando com o protocolo UDP.


Figura 22: Captura de pacotes com chave WPA codificada

Fonte: Prpria

Clonagem de MAC

O endereo MAC foi criado para ser um identificador nico no mundo inteiro para cada
interface de rede produzida. Podemos alterar o endereo MAC utilizando softwares
disponveis e tambm usando hardware, que bem mais trabalhoso e tedioso. Usurios
de Linux pode alterar seu MAC sem utilizar softwares de Poisoning e Spoofing, usando
apenas um parmetro do comando ifconfig, que configura a interface de rede no S.O. Um
atacante por realizar um ataque DoS4 um computador alvo, e ento atribuir a si mesmo
o IP e MAC desse computador, recebendo todos os dados enviados para tal computador
(IMASTERS, 2010).

Esse tipo de ataque tem resultado mais satisfatrio em redes com controle de acesso por
MAC, com DHCP ativo ou mesmo em redes com a faixa de IP conhecida.

Primeiramente, executamos o comando airodump-ng wlan0, para visualizarmos os APs ao
alcance e os hosts conectados.


Figura 23: Comando airodump-ng wlan0

Fonte: Prpria

Na figura 23, observamos que a estao com o MAC 00:19:5B:8E:86:43 est conectado
ao AP com SSID TCC-WIRELESS. Fizemos nossa demonstrao clonando o MAC desse
host. Na figura 24, exibimos as configuraes de rede atuais do host usado para o ataque
com o MAC original em destaque.


Figura 24: Configuraes atuais

Fonte: Prpria

Para realizarmos a mudana do MAC da estao de ataque para o host que est
conectado atualmente, primeiramente paramos a interface Wlan0 com o comando ifconfig
wlan0 down. Em seguida, mudamos o MAC da estao com o comando macchanger --
mac 00:19:5B:8E:86:43 wlan0. O resultado desses comandos est exibido na figura 25.


Figura 25: Mudana do MAC da estao

Fonte: Prpria

Aps isso, subimos a interface com o comando ifconfig wlan0 up. Na figura 26 exibimos
novamente as configuraes de rede da interface wlan0 j alterada para o MAC da
estao clonada.


Figura 26: Exibio das configuraes com o MAC clonado

Fonte: Prpria

Depois desse procedimento, conectamos normalmente na rede sem fio que estvamos
atacando, como se fosse a estao original, recebendo o IP referente a ela e tendo a
mesma acessibilidade.

O nico problema encontrado nessa demonstrao se a estao original tentar conectar
enquanto a estao clonada estiver conectada. Como resultado as duas estaes
entraram em conflito uma derrubando a conexo da outra, por conta que o AP no saber
exatamente pra quem entregar os pacotes de conexo.

Escuta do Trfego com ARP Spoofing (Man-in-the-middle)

ARP Poisoning ou ARP Spoofing um tipo de ataque no qual uma falsa resposta ARP
enviada uma requisio ARP original. Confundida pelo ataque a Estao A envia
pacotes para a Estao B pensando que ela o gateway da rede, e a Estao B captura a
transmisso e redireciona os dados para o endereo correto sem que o trfego da rede
seja interrompido (IMASTERS, 2010). A figura 27 mostra o exemplo do ataque usando Arp
Poisoning.


Figura 27: Exemplo do ArpSpoofing ou ArpPoisoning

Fonte: www.guiadohardware.net/tutoriais/wireshark/pagina2.html

Na nossa demonstrao usamos o Ettercap-ng, que se trata de um sniffer e interceptador
multiuso para Lans com switch. Ele possibilita a anlise ativa e passiva de muitos
protocolos diferentes (mesmo os criptografados) e inclui muitas caractersticas para
anlise de redes e hosts. Ele pode realizar os seguintes procedimentos automaticamente:
1. Injeo de caracteres em uma conexo estabelecida;
2. Coletar senhas de TELNET, FTP, POP, RLOGIN, SSH1, ICQ, SMB, MySQL;
3. Filtragem/descarte de pacotes de dados;
4. Terminar conexes.

Aps conectar na rede iniciamos o Ettercap-ng, clicando em Iniciar/Internet/Ettercap.
Depois clicamos emOptions/Set Netmask e defina a netmask como 255.255.255.0 para
capturar o trfego de toda a rede, como mostrado na figura 28.


Figura 28: Definio da mscara

Fonte: Prpria

Na seqncia clicamos em Sniff/Unified Sniffing para selecionar a interface de rede que vai
fazer a captura, no nosso caso Wlan0, como observamos na figura 29.


Figura 29: Escolha da interface de rede

Fonte: Prpria

Em seguida, clicamos em Hosts/Scan for Hosts para procurar os hosts que atualmente
esto conectados na rede, depois em Host list, para listar todos os hosts que foram
encontrados. Em seguida clique emMitm/Arp Poisoning para escolher o tipo de ataque e
marque a opo: Sniff remote connections e clique em OK, exibido na figura 30.


Figura 30: Escolhendo o tipo de ataque

Fonte: Prpria

Na seqncia, clicamos em View/Connections e Statistics, para mostrar todas as conexes
e a estatstica das conexes de todos os hosts. Em seguida clique em Start/Start Sniffing,
para comear a captura do trfego. Como a captura do trfego foi direcionada em cima do
Gateway da rede atacada, na figura 31, observamos o resultado da captura do trfego
exibindo algumas conexes com usurio e senha expostos.


Figura 31: Resultado da captura do trfego

Fonte: Prpria
Podemos perceber a grande preocupao das empresas e instituies em aperfeioar
seus mtodos, at ento seguros e confiveis na transmisso das informaes, faz com
que profissionais da rea de administrao de redes de computadores procurem
aperfeioar seus conhecimentos na tecnologia sem fio, para tomar conhecimento de falhas
existentes e suas respectivas solues, como instalao de atualizaes ou propondo
melhorias nas polticas de segurana da empresa.

Este trabalho teve como objetivo principal estudar e exibir melhor as tecnologias existentes
em redes sem fio, bem como suas falhas de segurana buscando conhecer mais a fundo
essas falhas e suas possveis solues. Os riscos e as vulnerabilidades apresentadas nos
captulos anteriores afetam diretamente toda e qualquer tipo de rede de computadores,
resultando algumas vezes em grandes problemas para as empresas. A no observncia
de medidas de segurana em uma rede preocupante, pois muitos administradores no
possuem conhecimento da amplitude do perigo em que a rede est exposta, possibilitando
atravs destas vulnerabilidades a entrada no autorizada de elementos invasores.

Apesar de todas as medidas de precaues adotadas e que podem ser aplicadas s redes
sem fio, sabe-se que a possibilidade de um invasor bem motivado obter sucesso em seu
ataque ainda possvel. Com isso, este estudo servir como material de apoio a
administradores de redes, que tenham como filosofia de trabalho, o constante
aperfeioamento nesta rea.

Vale ressaltar que necessria a incessante busca na melhora das metodologias de
segurana, bem como nos padres adotados, visto que o padro IEEE 802.11, que a
base para os demais, est constantemente sendo alterado atravs de grupos de estudo e
profissionais de informtica, com a finalidade de seu aperfeioamento a fim de encontrar
uma forma de estabelecer um padro de segurana aceitvel, ideal e confivel.