Archive | sniffer RSS for this section

Tutorial sobre o wireshark

O Wireshark é um sniffer multi-uso que pode ser usado tanto para ver o trafego em portas USB como principalmente para o trafego de redes. É um software baseado na lib-pcap (ou winpcap para Windows) e pode ser encontrado aqui .

Usando o wireshark
É provavelmente o sniffer de redes mais usado do mundo, isso provavelmente se deve aos seguintes fatos:

  • É um sniffer multiplataforma pode ser executado em ambiente Windows ou Unix LIke;
  • Não necessidade de nenhuma configuração complexa para seu funcionamento;
  • Tem uma interface gráfica amigável;

Para iniciar um captura você deve escolher qual interface de rede será usada para a captura do trafego daa rede (em LInux o wireshark deve ser executado por um usurio com poderes de root, pois ele ira alterar o modo da interface de rede escolhida para promiscuo – nesse estado o sistema não apenas captura os pacotes direcionados para sua placa de rede, como tambem todos os outros pacotes que estiverem trafegenado pela rede no momento).

Para iniciar uma nova captura vá em Capture->Interface, escolha uma interface de rede e clique em start.

Para parar a captura vá em Capture->stop.

Filtros

Além das característica s que cita anteriormente outro atrativo do wireshark é a facilidade de criar filtros para os pacotes capturado. Essa aplicação é util para criação de estatistas ou analise do trafego de rede.

Exemplo de alguns filtros comuns são:

ip.src == ip1 and  ip.dst == ip2

Só exibe os pacotes que tiveram a ooriigem em ip1 e destino em ip2

tcp.port == porta1

Lista todos os pacotes tiveram origem ou destino na porta1.

http

Lista todos os pacotes http .

Você também pode  usar a função Expression para criar filtros mais específicos.

Analise

Se vocẽ quiser analisar o fluxo de informação  de maneira mais detalhada pode usar as opções Analyze -> Follow TCP Stream ou Follow UDP Stream.

Estatisticas

No wireshark é possível criar basicamente 2  tipo de fluxo que mostra a direção do fluxo de rede e gráfico de trafego.

Para criar um gráfico de fluxo clique Statistics-> Flow grafics.

Usando o Kismet

O Kismet é um poderoso sniffer para rede wi-fi. É uma ferramenta útil tanto por crackers para colher pacotes de uma rede como por um administrador para verificar vulnerabilidade existente. O kismet poder ser baixado AQUI , ou baixando do repositório de sua distro.

Se estiver usando Debian e derivados:

#aptitude install kismet

Se estiver usando Red Hat e derivados:

#yum install kismet

Apos   a instalação deve-se configurar o arquivo kismet.conf da seguinte maneira:

# vim /etc/kismet/kismet.conf

Nesse exemplo eu optei por usar o vim, mas você pode escolher o editor de sua preferencia.

Altere a linha

source=rt8180,wlan0,addme

onde:

rt8180 é o driver da minha placa wireless;

wlan0 é o nome da interface de rede wireless;

addme é o nome que você quer a dar o conexão.

Apos realizar as configurações necessárias, o kismet pode ser executado (lembrete, deve-se executar o kismet sem esta conectado a nenhuma rede wireless):

Os pacotes são armazenados em /var/log/kismet/ para uma analise posterior.