Além do Nessus (que vimos em tutoriais anteriores), outro aliado importante para qualquer administrador de redes preocupado com

a segurança é o Wireshark, o bom e velho Ethereal, que mudou de nome em Junho de 2006. Ele é um poderoso sniffer, que permite capturar o tráfego da rede, fornecendo uma ferramenta poderosa para detectar problemas e entender melhor o funcionamento de cada protocolo. Assim como o Nessus, ele pode ser usado tanto para proteger seu sistema quanto para roubar dados dos vizinhos, uma faca de dois gumes. Devido a isso, ele é às vezes visto como uma "ferramenta hacker", quando na verdade o objetivo do programa é dar a você o controle sobre o que entra e sai da sua máquina e a possibilidade de detectar rapidamente qualquer tipo de trojan, spyware ou acesso não autorizado. Embora ele geralmente não venha instalado por padrão, a maioria das distribuições disponibilizam o pacote "wireshark" (ou "ethereal", de acordo com o nível de atualização). Nas distribuições derivadas do Debian, você pode usar o apt-get, como de praxe. Além das versões Linux, estão disponíveis também versões para Windows 2000, XP e Vista. Você pode baixá-las no http://www.wireshark.org/. No caso do Linux, é possível instalar também a partir do pacote com o código fonte, disponível na página de download (opção preferida por quem faz questão de ter acesso à ultima versão do programa). O pacote é instalado com os conhecidos "./configure", "make" e "make install". Como ele depende de um número relativamente grande de compiladores e de bibliotecas, muitas delas pouco comuns, você quase sempre vai precisar instalar alguns componentes adicionais manualmente. Uma forma simples de instalar todos os componentes necessários para a compilação (dica útil não apenas no caso do Wireshark, mas para a instalação de programas a partir do código fonte de uma forma geral) é usar o "auto -apt", disponível através do apt-get. Para usá-lo, instale o pacote via apt-get e rode o comando "auto-apt update": # apt-get install auto-apt # auto-apt update A partir daí, você pode rodar os comandos de compilação através dele, como em: $ tar -zxvf wireshark-0.99.1pre1 $ cd wireshark-0.99.1pre1 $ auto-apt run ./configure $ auto-apt run make $ su <senha> # make install Durante a instalação, o auto-apt usa o apt-get para instalar os componentes necessários, como neste screenshot:

abra o programa usando o comando " wiresh rk" (ou "ethereal". Para começar.Depois de ins d o. onde voc decide se quer capturar apenas os pacotes endereçados à sua própria m q uina. Clique em "Capture > Start": £ ¦ ¥ ©   ¨ ¤ § ¡¢¡   Aqui estão as opç e s de captura. Isso é poss vel pois os hubs burros apenas espelham as transmiss e s. ou se quer tentar capturar também pacotes de outras m q uinas da rede. de acordo com a vers o ins alada) O Wires ark é um daqueles programas com tantas funç es que voc s consegue aprender realmente usando. enviando todos os pacotes para todas as estaç e s. nada melhor do que capturar alguns pacotes. A primeira opção importante é a "Capture packets in promiscuous mode". §  ¨  § §  .

como o remetente e o destinatário de cada pacote. FTP. que incluem a porta TCP à qual o pacote foi destinado. encaminhando o tráfego apenas para o destinatário correto. em tempo real.) e uma coluna com mais informaç e s. será aberta a tela de captura de pacotes. o s que (em uma rede local) pode rapidamente consumir toda a memória RAM disponível. independentemente de a qual endereço MAC ele se destine. Ativando esta opção. assim por diante. Normalmente. Através do sniffer.     . voc tem a opção "Update list of packets in real time". como veremos a seguir. incluindo páginas web. Os s itches e hub-s itches são mais discretos. é possível captura todo tipo de informação que trafegue r de forma não encriptada pela rede. ignorando os demais. até que voc interrompa a captura e salve o dump com os pacotes capturados em um arquivo. O problema aqui é que o Wireshark captura todos o dados transmitidos na rede. Caso contrário. etc. Em seguida. HHTP. voc precisa capturar um ce rto número de pacotes para só depois visualizar todo o bolo. e-mails lidos. a placa escuta apenas os pacotes destinados a ela. Os pacotes provenientes de micros da Internet são respostas à estas requisiç e s. upload de arquivos. arquivos baixados e. o protocolo utilizado (TCP. onde voc poderá acompanhar o número de pacotes capturados:        Na tela principal. mensagens de ICQ e MSN e. AIM. mas. também senhas de acesso. mas a maior parte dos modelos mais baratos são vulneráveis a ataques de MAC flooding e ARP poisoning. ou depois de capturar uma certa quantidade de dados. Os pacotes que aparecem com um micro da rede local como emissor e um domínio ou IP da Internet como destinatário incluem requisiç es. NetBIOS. os pacotes vão aparecendo na tela conforme são capturados. e mails enviados.O endereço MAC do destinatário é incluído no início de cada frame enviado através da rede. em muitos casos. temos a lista dos pacotes. com várias informaç es. no promiscuous mode ela passa a recebertodos os pacotes. Dando o OK. Mais abaixo estão também algumas opç e s para interromper a captura depois de um certo tempo.

mensagens (MSN e ICQ) e e-mails. novamente em um formato ilegível. A maior parte do que voc vai ver serão dados binários. são transmitidos em texto puro. no "Follow TCP Stream".Clicando sobre um dos pacotes e. Usando a opção "Follow TCP Stream". é possível rastrear toda a conversa:   . exibida em modo texto. por exemplo. garimpando. como. em seguida. Mesmo o html das páginas chega muitas vezes de forma compactada (para economizar banda). por padrão. que. voc vai encontrar muitas coisas intere ssantes. o Ethereal mostrará uma janela com toda a conversão. Mas. incluindo imagens de páginas web e arquivos diversos.

por default. mas agora o atacante tem chance de logar todo o tráfego. utilizar um hub burro é simplesmente um risco grande demais a correr. sem falar dos ataques de MAC flooding. Nessa situação. os pacotes são enviados apenas às portas corretas. ao receber um grande número de pacotes com endereços MAC forjados. de es forma que. ou abandona o uso da tabela de endereços e passa a trabalhar em modo failopen. com micros ligados através de um hub ou através de uma rede wireless. da mesma forma que um hub burro. Naturalmente. onde os frames são simplesmente retransmitidos para todas as portas. existe a possibilidade de um dos seus próprios funcionários resolver começar a brincar de script kiddie. usando o Wireshark ou outro sniffer. Entretanto. muitos sistemas são vulneráveis a ataques de ARP poisoning. já que os switches não entendem endereços IP. Ao utilizar um hub-switch. por sua vez. poderá capturar dados e senhas suficientes para comprometer boa parte do sistema de segurança da sua empresa. Como vimos. além de alguém de fora. O switch possui uma área limitada de memória para armazenar a tabela com os endereços MAC dos micros da rede (que permite que ele encaminhe as transmissõ para as portas corretas). O protocolo ARP é utilizado para descobrir os endereços MAC dos demais micros da rede.Como disse anteriormente. No ARP poisonin . a o menos que voc esteja em uma simples rede doméstica. Vamos então a uma explicação mais detalhada de como eles funcionam. o micro do atacante envia pacotes com respostas forjadas para requisições ARP de outros micros da rede. Enfim.      . Isto é extremamente perigoso. tem como alvo o switch da rede e trabalham dentro de um princípio bastante simples. Esses pacotes forjados fazem com que os outros micros passem a enviar seus pacotes para o micro do atacante. pregando peças nos outros e causando danos. isso nã requer muita prática. não deixando espaço para os verdadeiros. Se voc estiver em uma rede local. Os ataques de MAC floodin . o Wireshark pode ser usado também pelo lado n egro da força. a tabela é completamente preenchida com os endereços falsos. que é configurado para capturar as transmissões e retransmitir os pacotes originais para os destinatários corretos. existem apenas duas opções: ou o switch simplesmente trava. A rede continua funcionando normalmente. que permitem burlar a proteção. o Wireshark também pode ser usado para perceber as anormalidades na rede e chegar até o espertinho. outro usuário pode usá para capturar todas as -lo suas transmiss e s. Apenas conexões feitas através do SSH e outros programas que utilizam encriptação forte estariam a salvo. onde exista uma certa confiança mútua. o risco é um pouco menor. já que. permitindo que o atacant capture e todo o tráfego da rede (até que o switch seja reiniciado). Felizmente. Qualquer um que tenha a chance de plugar um notebook na rede ou colocá-lo dentro da área de cobertura de sua rede wireless. derrubando a rede.

você pode ativar o arpspoof. o que é feito usando o comando abaixo: # echo 1 > /proc/sys/net/ipv4/ip_forward A partir daí. especificando o endereço de destino dos pacotes que deseja capturar. usando a opção "-i".monkey. você pode capturar todos os pacotes destinados à Internet. o tráfego não poderia simplesmente ser desviado para a sua máquina. o primeiro passo é ativar o encaminhamento de pacotes na configuração do Kernel. Para usá-lo.1" é o endereço da sua máquina. o arpspoof reencaminha automaticamente todos os pacotes recebidos ao endereço correto (justamente por isso precisamos ativar o ip_forward no Kernel).168. usando a opção " -n". como em: # arpspoof -i eth0 192. apesar do "desvio". Note que. permitindo que você o capture usando o Wireshark. basta lançar o Wireshark e passar a capturar todo o tráfego da rede.1. cujo código fonte está disponível no: http://www. Naturalmente. os fabricantes normalmente utilizam a segunda opção. o que facilita a instalação. o que faz com que a maioria dos switches baratos e quase todos os hub-switches sejam vulneráveis a esse tipo de ataque. derrubando toda a rede até que você o reinicie manualmente. o arpspoof. rodar o comando vai fazer o switch travar. Uma das ferramentas mais usadas é o macof. O dsniff inclui também um utilitário para ARP poisoning. você deve especificar a interface de rede local e também o endereço IP do host de destino dos pacotes que você deseja capturar.1. de forma que bombardeando o hub-switch com 100000 endereços MAC diferentes (o que demora cerca de um minuto e meio em uma rede de 100 megabits) você consegue chavear qualquer aparelh vulnerável para modo o failopen. o que nosmodelos mais simples é feito desconectando e reconectando o cabo de energia. caso contrário. os pacotes deixariam de ir até o gateway da rede e os micros não conseguiriam mais acessar a Internet. A partir daí. avisando todos os micros que o novo endereço MAC do "192. um pequeno utilitário que faz parte da suíte dsniff (que roda sobre o Linux).168. como se nada estivesse acontecendo: . fazendo com que. e especificar o número de pacotes forjados a serem enviados. Especificando o endereço do gateway da rede (o uso mais comum). Ao usá-lo. você pode instalá -lo via apt-get: # apt-get install dsniff Uma vez que o dsniff foi instalado. Nas distribuições derivadas do Debian. como em: # macof -i eth0 -n 100000 A maioria dos hub-switchs são capazes de armazenar entre 1000 e 8000 endereços MAC na memória. o tráfego continue fluindo.Como switches que travam não são uma boa propaganda.1 Com isso. usar o macof é bastante simples: basta especificar a interface de saída. Para evitar isso. o arpspoof passará a enviar pacotes de broadcast para toda a rede. Isso fará com que ela passe a receber o tráfego destinado a ele. em alguns casos.org/~dugsong/dsniff/ O dsniff também pode ser encontrado nos repositórios de muitas distribuições.

permitindo que você detecte anomalias. a estação B responde como se fosse o servidor. O usuário na estação A. sem que o usuário tome conhecimento.ARP poisoning Além de permitir escutar o tráfego. o atacante pode então se logar no servidor verdadeiro. como administrador da rede. de forma a obter senhas de acesso e outros dados. você pode se logar em cada uma das máquinas. como faria normalmente. pode ser que você mesmo. sempre que necessário e rodar o Wireshark para acompanhar o tráfego de dados de cada uma. o ARP poisoning pode ser usado para alterar os dados transmitidos e também para impersonar outros hosts. por exemplo. usando a senha roubada. por exemplo. . Nesse caso. pedindo o login e senha de acesso. Imagine. Ele monitora os endereços ARP usados pelas estações e gera um log com as mudanças (com a opção de enviar relatórios por e -mail). sugiro que você mantenha o servidor SSH ativo nas estações de trabalho Linux e um servidor VNC (ou o recurso de administração remota) nas máquinas Windows. o cliente verifica a identidade do servidor a cada conexão e aborta a conexão (exibindo uma mensagem de erro bastante chamativa) antes de pedir login e senha caso a identificação seja alterada. Em vez de encaminhar a transmissão. Muitos protocolos prevêem este tipo de ataque e incluem proteções contra ele. Assim. No SSH. De posse da senha. sem desconfiar do ataque. faz login e recebe de volta uma mensagem de "servidor em manutenção. É possível detectar ataques de ARP poisoning usando o arpwatch (também disponível via apt-get). Em outras situações. que a estação A (cujos pacotes estão sendo capturados e retransmitidos pela estação B) deseja acessar o servidor A. precise policiar o que os usuários estão fazendo durante o expediente na conexão da empresa. espere 30 minutos e tente novamente" ou algo similar.

gente escaneando suas portas usando o Nessus ou outros aplicativos similares. por isso não é possível impedir que sejam capturados.Outra possibilidade seria rodar o Wireshark na máquina que compartilha a conexão. mas também para ajudar na configuração do seu firewall. de forma a cobrir apenas a área necessária. Pode ser que no início você não entenda muito bem os dados fornecidos pelo Wireshark. depois de alguns dias observando. como o SSH. você pode dificultar bastante as coisas ativando o uso do WPA (se possível já utilizando o WPA2) e reduzindo a potência do transmissor do ponto de acesso. No caso das redes wireless. mas. assim você poderá observar os pacotes vindos de todas as máquinas da rede. Monitorando sua conexão durante algum tempo. spywares que ficam continuamente baixando banners de propaganda ou enviando informações e assim por diante. Utilizando protocolos seguros. Os pacotes trafegam pelo ar. a situação é um pouco mais complicada. pois estarão encriptadas. Lembre-se de que apenas informações não encriptadas podem ser capturadas. você vai começar a entender muito melhor como as conexões CP funcionam  . Apesar disso. pois o meio de transmissão é sempre compartilhado. você vai logo perceber vários tipos de abusos. como sites que enviam requisições para várias portas da sua máquina ao serem acessados. banners de propaganda que enviam informações sobre seus hábitos de navegação para seus sites de origem. Alguns modelos de switches gerenciáveis podem ser programados para direcionar todo o tráfego da rede para uma determinada porta. Essas informações são úteis não apenas para decidir quais sites e serviços evitar. onde você poderia plugar um notebook para ter acesso a todo o tráfego. as informações capturadas não terão utilidade alguma.

Sign up to vote on this title
UsefulNot useful