Faculdade de Tecnologia Senac Pelotas

Curso Superior de Tecnologia em Redes de Computadores

Prof. Eduardo Maroas Monks
Unidade Curricular - Redes de Computadores I

Anlise de trfego de
rede
( Wireshark )

Sumrio
Objetivos
Ferramentas de anlise de
trfego
Wireshark
Referncias

Anlise de Trfego de Rede Prof. Eduardo Maroas Monks

Anlise de Trfego
Objetivos

Verificar problemas na rede

Depurar protocolos
Anlise de desempenho
Aprendizagem sobre protocolos e
o funcionamento das aplicaes
em rede

Anlise de Trfego de Rede Prof. Eduardo Maroas Monks

Camada de atuao de um
analisador de protocolos/trfego

Anlise de Trfego de Rede Prof. Eduardo Maroas Monks

Ferramentas

Tcpdump
Ngrep
Snort
Ethereal
Wireshark

Anlise de Trfego de Rede Prof. Eduardo Maroas Monks

Ferramentas: Tcpdump
Tcpdump ( http://www.tcpdump.org/ )

Analisador de trfego padro no

sistema operacional UNIX/Linux
Cdigo-fonte aberto
Linha de comando
Utiliza a bibilioteca libpcap
Por padro, somente o usurio
root tem acesso

Anlise de Trfego de Rede Prof. Eduardo Maroas Monks

Ferramentas: Tcpdump
Exemplos de uso

tcpdump -nn -i eth1 - captura e filtra o trfego na interface

eth1, sem usar resoluo de endereos e portas
tcpdump -nn -i eth1 port 80 - captura e filtra o trfego na
interface eth1, sem usar resoluo de endereos e portas,
para pacotes com a porta 80 na origem ou no destino
tcpdump -nn -i eth1 w /tmp/arquivo.cap port 80 - captura e
filtra o trfego na interface eth1, sem usar resoluo de
endereos e portas, para pacotes com a porta 80 na origem
ou no destino e salva no arquivo /tmp/arquivo.cap
tcpdump -nn -i eth1 dst port 80 - captura e filtra o trfego na
interface eth1, sem usar resoluo de endereos e portas,
para pacotes com a porta 80 no destino. Para usar a porta
80 como origem, utilizar o parmetro src

Anlise de Trfego de Rede Prof. Eduardo Maroas Monks

Ferramentas: Tcpdump

Exemplos de uso

tcpdump -nn -i eth1 host 192.168.200.3 and host

192.168.200.1 - captura e filtra o trfego na interface eth1,
sem usar resoluo de endereos e portas, para pacotes
com os endereos 192.168.200.3 e 192.168.200.1

tcpdump -nn -i eth1 host 192.168.200.3 or host

192.168.200.1 - captura e filtra o trfego na interface eth1,
sem usar resoluo de endereos e portas, para pacotes
com os endereos 192.168.200.3 or 192.168.200.1

tcpdump -nn -i eth1 udp - captura e filtra o trfego na

interface eth1, sem usar resoluo de endereos e portas,
para pacotes com o protocolo udp

tcpdump -nn -i eth1 tcp port 80 and not host 192.168.200.3 captura e filtra o trfego na interface eth1, sem usar
resoluo de endereos e portas, para pacotes que no
tenham o endereo IP 192.168.200.3 e sejam para a porta
80
do exemplos
protocolo de
TCP,
de origem ou destino
Mais
uso:
http://packetlife.net/media/library/12/tcpdump.pdf

Anlise de Trfego de Rede Prof. Eduardo Maroas Monks

Ferramentas: Ngrep
Exemplos de uso:

Ngrep ( http://ngrep.sourceforge.net/ )

ngrep
d eth0 Bittorrent
Procura por padres no contedo dos
(lista
os pacotes
quegrep
contenham
a palavra Bittorent)
pacotes,
um
de rede
Disponvel
para
Linux e Windows
ngrep
d eth0
Bittorrent|GNUTELLA
not net
Linha de comando
(similar
a sintaxe da
192.168.200.0
and not
port 587
ferramenta tcpdump)
(lista os pacotes que contenham as palavras Bittorrent ou
Utilizae a
bibilioteca
libpcap/winpcap
GNUTELLA
que
no sejam pertencentes
a rede 192.168.200.0
e no
usem a porta 587
em origem ou destino)
Cdigo-fonte
aberto

Anlise de Trfego de Rede Prof. Eduardo Maroas Monks

Ferramentas: Snort
Snort
(http://www.snort.org)

Detector de intruso com

recursos poderosos
Procura por padres nos
pacotes detectando
anomalias e as prevenindo
Assinaturas de aplicaes
e protocolos

Disponvel para Linux e

Windows
Cdigo-fonte aberto

Anlise de Trfego de Rede Prof. Eduardo Maroas Monks

10

Ferramenta: Ethereal
Ethereal

(http://www.ethereal.com/
)
Analisador de trfego em linha
de comando e em interface
grfica
Disponvel para Windows/Linux
Cdigo-fonte aberto
Utiliza a biblioteca winpcap
Por motivos judiciais, o projeto
parou e o autor passou a
desenvolver o projeto
Wireshark

Anlise de Trfego de Rede Prof. Eduardo Maroas Monks

11

Ferramenta: Wireshark
Wireshark (www.wireshark.org/)
Analisador de trfego em linha de comando e em
interface grfica
Disponvel para Windows/Linux
Cdigo-fonte aberto
Utiliza a biblioteca winpcap
Uma ferramenta extremamente poderosa para anlise
de rede

Anlise de Trfego de Rede Prof. Eduardo Maroas Monks

12

Usando o Wireshark
Processo de instalao:
Fazer o download de:
http://www.wireshark.org/download.html
O processo de instalao insere a biblioteca
Winpcap no sistema operacional MS Windows;
Procedimento NEXT de instalao
Nas distribuies Linux, verificar os pacotes com o
nome wireshark

Anlise de Trfego de Rede Prof. Eduardo Maroas Monks

13

Usando o Wireshark

Executando a ferramenta e escolhendo a interface de rede:

Anlise de Trfego de Rede Prof. Eduardo Maroas Monks

14

Usando o Wireshark

Executando a ferramenta e escolhendo a interface de rede:

Anlise de Trfego de Rede Prof. Eduardo Maroas Monks

15

Usando o Wireshark

Capturando pacotes:

Anlise de Trfego de Rede Prof. Eduardo Maroas Monks

16

Usando o Wireshark

Analisando sesses:

Anlise de Trfego de Rede Prof. Eduardo Maroas Monks

17

Usando o Wireshark

Analisando sesses:

Anlise de Trfego de Rede Prof. Eduardo Maroas Monks

18

Usando o Wireshark

Filtros de pacotes:

Anlise de Trfego de Rede Prof. Eduardo Maroas Monks

19

Usando o Wireshark
Exemplos de filtros ( display filters ):
Todos os quadros Ethernet que contenham o
endereo fsico 00:22:64:7e:1a:3a:
eth.addr==00:22:64:7e:1a:3a

Todos os quadros Ethernet que contenham o

endereo fsico 00:22:64:7e:1a:3a como
origem:
eth.src==00:22:64:9e:0a:3a

Todos os quadros Ethernet que contenham o

endereo fsico ff:ff:ff:ff:ff:ff como destino:
eth.dst==ff:ff:ff:ff:ff:ff

Todos os quadros Ethernet que utilizem o

protocolo ARP (tipo no campo Type 806):
eth.type==0x806

Anlise de Trfego de Rede Prof. Eduardo Maroas Monks

20

Usando o Wireshark
Exemplos de filtros ( display filters ):
Pacotes com o endereo IP 192.168.200.3:
ip.addr==192.168.200.3

Pacotes com endereo IP de origem

192.168.200.3:
ip.src==192.168.200.3

Pacotes com endereo IP de destino

192.168.200.3:
ip.dst==192.168.200.3

Pacotes IP com campo TTL igual a 63:

ip.ttl==63

Pacotes UDP com porta 4500:

udp.port==4500

Pacotes UDP com porta de destino 53:

udp.dstport==53

Pacotes UDP com porta de origem 789:

udp.srcport==789

Pacotes UDP maiores do que 100 Bytes:

udp.length >= 100

Anlise de Trfego de Rede Prof. Eduardo Maroas Monks

21

Usando o Wireshark
Exemplos de filtros ( display filters ):
Pacotes TCP com a porta 80:
tcp.port==80

Pacotes TCP com a porta de destino 23:

tcp.dstport==23

Pacotes TCP com a porta de origem 1098;

tcp.srcport==1098

Pacotes TCP maiores ou iguais a 100

Bytes:
tcp.len >= 100

Pacotes TCP com a flag SYN ativada:

tcp.flags.syn==1

Pacotes TCP com a flag SYN ativada e a

flag ACK desativada:
tcp.flags.syn==1 and tcp.flags.ack== 0

Anlise de Trfego de Rede Prof. Eduardo Maroas Monks

22

Exemplos d e f iltro s ( di splay filt ers ):

O per ador es

Igual: eq ou ==
No igual: ne ou !=
Maior que: gt or >
Menor que: lt or <
Maior ou igual: ge ou >=
Menor ou igual: le ou <=
E lgico: and ou &&
Ou lgico: or ou ||
Ou exclusivo : xor or ^^
No lgico (negao): not ou !

Usando o Wireshark

Mais exemplos de uso:

http://packetlife.net/media/library/13/Wireshark_Display_Filters
.pdf
Anlise de Trfego de Rede Prof. Eduardo Maroas Monks

23

Usando o Wireshark

Estatsticas do trfego de rede capturado

Anlise de Trfego de Rede Prof. Eduardo Maroas Monks

24

Usando o Wireshark

Demonstrao

Anlise de Trfego de Rede Prof. Eduardo Maroas Monks

25

Referncias
Site do Wireshark:
http://www.wireshark.org

Wireshark Users Guide:

http://www.wireshark.org/docs/wsug_html_chunked/

Wireshark Wiki:
http://wiki.wireshark.org/

SANDERS, Chris. Practical Packet Analysis Using

Wireshark to Solve Real-World Network Problems.
2nd ed. No Starch Press, 2013.

Lauras Lab Kit v9 disponvel em

ftp://192.168.200.3/isos/LLK9.iso

Anlise de Trfego de Rede Prof. Eduardo Maroas Monks

26