Uso do Wireshark para análise de tráfego em redes de computadores

Luiz Felipe de Sousa

1 Universidade Federal do Pará (UFPA)

luizfelipe.mz@gmail.com

Abstract. This article describes the procedures for installation, configuration, capture and analysis of traffic on a network of computers, seeking a better understanding of the protocols used and their functions using the network tool wireshark.

Resumo. Este artigo descreve os procedimentos para a instalação, configuração, captura e análise de tráfego em uma rede de computadores, visando um melhor compreendimento dos protocolos usados e suas funções com o uso da ferramenta Wireshark.

Palavras chave: análise de tráfego.

1. Introdução

O objetivo deste artigo é demonstrar os procedimentos para a instalação, configuração, captura e análise de tráfego em uma rede de computadores usando a ferramenta Wireshark. Este artigo faz parte do trabalho da disciplina de Gerência de Redes ministrada pelo prof. Msc. Cassio David pelo aluno Luiz Felipe de Sousa do curso de Bacharelado em Sistemas de Informação.

A ferramenta Wireshark é considerada uma ferramenta de gerência de rede e serve para analisar e monitorar os dados transmitidos através de seus protocolos. O objetivo do uso desta ferramenta nesta atividade é o de identificar o tráfego gerado pela ação tomada bem como os protocolos usados na transação.

2. Wireshark

O Wireshark ( desenvolvido pela Ethereal ) é comumente usado por administradores de redes pois pode efetivamente realizar a verificação dos pacotes transmitidos pelo dispositivo de comunicação (placa de fax modem, placa de rede, etc.) do computador. Um sniffer que detecta problemas de rede, conexões suspeitas, auxilia no desenvolvimento de aplicativos.

O programa é responsável por analisar o tráfego de pacotes recebidos e organiza-los por protocolo. Todo o tráfego de entrada e saída é analisado e mostrado em uma lista de fácil navegação.

È uma ferramenta livre, ou seja, pode-se efetuar o download e utilizar sem se preocupar com questões como licenciamento ou registro da mesma, é baixar e usar. O Wireshark é registrado pela GNU General Public License (GPL), as funcionalidades desta ferramenta são parecidas com o TCPDUMP, mas com uma interface GUI, possui mais informações e com possibilidade de aplicar filtros o que auxilia bastante na hora de

visualizar apenas o tráfego dejesado.

O wireshark está disponível para várias plataformas, entre elas estão:

● UNIX

● Linux

● Windows

● FreeBSDNetBSD

● OpenBSD

● MAC OS X

● Solaris

A instalação desta ferramenta é um procedimento bem intuitivo não tendo maiores complicações, a seguir realizarei a demonstração da instalação em sistemas Linux e Windows XP.

No Linux:

Primeiramente é necessário realizar o download da ferramenta em http://www.wireshark.org/download.html

Para instalação desta ferramenta será necessário utilizar outro aplicativo para auxiliar a instalação, o apt-get.

O apt-get é um recurso desenvolvido originalmente para a distribuição Debian que permite a instalação e a atualização de pacotes (programas, bibliotecas de funções, etc) para o Linux de maneira fácil e precisa. Antes de tudo utilizaremos o comando abaixo:

# apt-get update

Antes de instalar um programa, é necessário executar o comando para o computador ter todos os arquivos necessários para instalação do programa. Agora será necessário entrar no diretório onde foi descompacto os arquivos e digitar o seguinte comando, pois o pacote descompilado é de formato de tar.gz:

# tar -zxvf nome_do_pacote.tar.gz

Para finalizar a instalação, usaremos o apt-get para auxiliar a instalação.

# apt-get install wireshark

Pronto, agora a ferramenta esta instalada em seu computador. Para iniciar o programa é necessário entrar como root no Shell e digitar o seguinte comando:

# wireshark

Instalação no WINDOWS XP

1º Efetuar o download do Wireshark. http://www.wireshark.org/download.html

2º Clicar no executável e instalar o Wireshark.

3º Executar o programa: Iniciar–> Programas –>Wireshark

Para capturar os pacotes que trafegam na rede, deve-se escolher a interface de rede a ser monitorada. Para definir as interfaces ir a Capture->Interfaces.

Para começar o processo de sniffing, clicar start na interface que pretende ver os pacotes a serem monitorados pelo programa.

3. Utilizando o Wireshark

O wireshark possui diversas funcionalidades interessantes a serem exploradas, mas para ilustrar o básico irei descrever a ação de uma simples captura de pacotes.

Depois de instalado, é só abrir o programa. Se estiver usando ambiente Linux utilize o comando:

#wireshark

Note que o comando roda com permissões de root (#), isto se faz necessário para a utilização de algumas funções da ferramenta como a habilitação da interface em modo promícuo.

Se estiver usando Windows basta procurar o ícone do programa localizado na área de trabalho ou no menu Iniciar>Programas>Wireshark.

Esta tela será exibida:

Acesse o menu:

E selecione a interface a ser monitorada e clique em start:

Pronto, sua captura teve inicio e seus resultados serão exibidos em tempo real com separação de protocolos e a possibilidade de aplicar filtros para tratamento dos dados obtidos.

4. Experimento

Foi realizado um experimento baseado em acessar uma página web, sendo que o programa wireshark estivesse rodando, capturando os pacotes envolvidos na transação, a seguir serão apresentados os resultados obtidos.

Primeiramente foi constatado o uso do protocolo ARP que é o responsável pelo envio de um frame em broadcasting com endereço IP do destino, o qual responde com um datagrama contendo o seu endereço IP e o endereço físico

Foi constatado o estabelecimento de conexão onde o cliente inicia a ligação enviando um pacote TCP com a flag SYN ativa e espera-se que o servidor aceite a ligação enviando um pacote SYN+ACK

Na captura foi observado o uso do protocolo TCP, tendo como origem da requisição o IP da máquina usada para o acesso e como destino da requisição a página que se desejava acessar:

Neste mesmo pacote TCP pôde-se observar as informações reais em caracteres ascii transmitidas pelo mesmo através do recurso Follow Tcp Stream presente no programa:

Nos pacotes subseqüentes pode-se observar o uso do protocolo HTTP o qual faz a requisição através do método GET de informações da página requisitada tais como imagens a serem carregadas na mesma:

GET /disciplinas/gredes/atividade1/1.gif HTTP/1.1

Host: cassio.orgfree.com

GET /disciplinas/gredes/atividade1/8.gif HTTP/1.1

Host: cassio.orgfree.com

Observa-se ainda a resposta de requisição bem sucedida que é uma mensagem de estado de conexão representada pelo código 200 OK. Após os testes verificou-se a existência do fechamento da sessão TCP onde o cliente envia um pacote TCP com a flag FIN e recebe uma resposta ACK, e o outro lado da conexão procede da mesma maneira.

5. Conclusão

O uso de redes cresce constantemente, juntamente com os seus recursos, novas funcionalidades surgem e para um administrador de redes é de fundamental importância saber o que trafega em sua rede, seja para documentação ou mesmo para a segurança. O uso da ferramenta Wireshark auxilia bastante nesta tarefa provendo controle e organização dos dados obtidos.

6. Referências

http://www.webartigos.com/articles/20062/1/wireshark/pagina1.html acessado em 05/10/2009

http://www.guiadohardware.net/tutoriais/wireshark/ acessado em 05/10/2009