análise de tráfego da rede utilizando o wireshark
TRANSCRIPT
Análise de Tráfego da Rede Utilizando o Wireshark
Igor B. S. Pereira1
1Universidade Federal do Pará (UFPA)
Resumo. Este artigo tem como objetivo disponibilizar uma síntese sobre o gerenciamento de redes e seus conceitos. Demonstrando como a ferramneta Wireshark analisa seu trafego, mostrando como cada um se comporta. Citando sua estrutura, sua funcionalidade e sua criação.
Palavras-chave: Redes de Computadores, Gerencia de Redes e Wireshark
1. Introdução
As redes de computadores aumentam a confiabilidade do sistema, pois têm fontes alternativas de fornecimento de dados; ajudam a economizar dinheiro pois os PCs têm uma relação preço/benefício muito melhor que a dos computadores de grande porte; possibilitam a escalabilidade da rede. Desde a década de 90, as redes de computação começaram a oferecer serviços para pessoas físicas: acesso a informações remotas; comunicação pessoa a pessoa; diversão interativa. [1] O que deve ser feito a fim de se caminhar rumo a um ambiente mais seguro e menos vulnerável é atender a três requisitos básicos relacionados aos recursos que compõem um ambiente de Tecnologia da Informação e Comunicação (TIC).
São eles:Confidencialidade: a informação só está disponível para aqueles devidamente autorizados;Integridade: a informação não é destruída ou corrompida e o sistema tem um desempenho correto;Disponibilidade: os serviços/recursos do sistema estão disponíveis sempre que forem necessários.Uma ação preventiva em relação aos riscos inerentes aos dados de uma organização garante
melhores resultados, com a previsão e eliminação destes, antes de se manifestarem. [1]O ataque à rede ou sistema computacional é de proveniência de agentes maliciosos, sendo
boa parte de usuários internos com acesso autorizado. Desta forma, um agente ao ativo de informação, aproveita-se das vulnerabilidades desse ativo, podendo violar os requisitos básicos da informação suportada ou utilizada por ele.
Com a expansão da interconectividade das redes e a disseminação do uso da Internet nos ambientes corporativos e domésticos, faz-se necessário um monitoramento sobre os eventos anormais ocorridos em seu âmbito. [2]
Em resumo, a possibilidade de mesclar informações, comunicação e entretenimento certamente é uma nova e avançada indústria baseada nas redes de computadores atuais e futuras. [2]. Apresenta-se também o resultado de testes realizados com softwar de análise de redes. O Wireshark, solução livre da CACE Technologies. Pode-se parecer pretensão a proposta de um sistema computacional totalmente seguro. Especialistas garantem que não existe uma rede inacessível por intrusos, um software livre de bugs (erros) ou 100% do quadro funcional consciente em relação à segurança da informação.
2. Gerência de Redes
Gerência de Redes é uma aplicação distribuída onde processos de gerência (agentes e gerentes) trocam informações com o objetivo de monitorar e controlar a rede. [3]. O processo gerente envia solicitação ao processo agente que por sua vez responde às solicitações e também transmite notificações referentes aos objetos gerenciados que residem em uma base de informação de gerenciamento.
Toda e qualquer informação produzida pelo Sistema de Gerência, em um determinado instante, trafegando pela rede (em uma comunicação típica entre um agente e um gerente ou entre dois gerentes) ou ainda poderá ser deduzida (reproduzida) com informações parciais oriundas destas duas fontes. [3]. Toda informação produzida pelo Sistema de gerência é útil para a manutenção da rede em operação com confiabilidade. Sem dúvida, os Sistemas de Gerência facilitam a administração das redes seja pela automatização de algumas atividades, seja por permitir maior controle sobre os recursos da rede ou ainda por fornecer informações (estatísticas, por exemplo) que permitirão ajustes, correções ou adaptações às necessidades dos usuários. [4]
Entretanto, neste ponto também é possível observar que o próprio Sistema de Gerência e as informações por ele geradas são de extrema valia para indicar pontos vulneráveis à ataques, ter acesso e controlar indevidamente recursos da rede, manipular informações, em suma, realizar atividades prejudiciais à rede, aos sistemas e/ou aos usuários.
3. Ferramentas de Monitoramento de Redes
Monitorar o ambiente é uma das preocupações mais constantes entre empresas e organizações. Dispor de ferramentas que façam esse controle é fundamental para facilitar o trabalho e identificar imediatamente algum tipo de erro providenciando assim uma ação efetiva.
Um dos aspectos destacados nesse tipo de solução é opção por controle através de gráficos e relatórios, além de alertas pelos quais o administrador pode ter a opção de ser avisado se acontecer qualquer instabilidade na rede. Proporcionando um acompanhamento realtime dos acontecimentos.
Através desse controle é possível determinar e saber em tempo real tudo que está acontecendo na rede, determinando as ações e providências que devem ser tomadas evitando problemas maiores.
3.1. Wireshark
O WireShark é um programa que analisa os dados que os protocolos de rede trocam quando estão ativos. Ele é o sucessor do famoso Ethereal, que fez muito sucesso entre os internautas e o especialistas que trabalham com rede.
Desenvolvido em código aberto, o programa serve para o usuário verificar o desempenho da rede e executar testes de pacotes. Por essas características, o WireShark é indicado para quem entende bastante do assunto. [5]
O programa tem um design bem funcional. Além disso, oferece um recurso para o usuário customizar a interface, a deixando mais fácil ainda de utilizar e mostrar os resultados das analises dos protocolos. Portanto, quem tem familiaridade com rede terá extrema facilidade em utiliza os recursos do WireShark.
O WireShark também conta com filtros de protocolos, permitindo ao usuário receber apenas as informações que deseja. Além disso, o programa está preparado para salvar log das operações de análise, um bom recurso para quem precisa implementar sistemas novos na rede.[6]
4. Analisando o trafego da rede com a ferramenta Wireshark
Esta seção faz referencia a uma atividade realisada em sala de aula para demostrar como aferramneta de monitoramneto wireshark se comporta com a captura de pacotes TCP/IP.
O primeiro passo para a realização da atividade é entra na pagina http://cassio.orgfree.com/portal/index.htm onde existe um link que leva á atividade. Nesse momento é ligado o analisador de pacote onde você da um start para iniciar a captura, em seguida acesse o link referente a primeira atividade. Logo aparecera uma nova janela que pede o numero de sua matricula , digite, em seguida aperte no botão (vai...). Esse botão inicializa a troca de pacotes, pacotes que serão capturados pelo wireshark.
Uma vez inicializado o programa ele mostra uma serie de pacotes, que mostram como ocorreu a troca, nesse linhas são descrevidas todas as informações referentes ao processo. Na primeira linha aparece o ARP outro protocolo essencial, porém pouco conhecido, que trabalha em conjunto com o TCP/IP. O ARP (Address Resolution Protocol) é uma forma simples de descobrir o endereço MAC de um determinado host, a partir do seu endereço IP. Sem ele, diversos serviços, incluindo o DHCP, não funcionariam.
Tipicamente, numa ligação TCP existe aquele designado de servidor (que abre um socket e espera passivamente por ligações), num extremo, e o cliente no outro. O cliente inicia a ligação enviando um pacote TCP com a flag SYN activa e espera-se que o servidor aceite a ligação enviando um pacote SYN+ACK. Se, durante um determinado espaço de tempo, esse pacote não for recebido ocorre um timeout e o pacote SYN é reenviado. O estabelecimento da ligação é concluído por parte do cliente, confirmando a aceitação do servidor respondendo-lhe com um pacote ACK.
Como se pode observar pelo cabeçalho TCP, existem permanentemente um par de números de sequência, doravante referidos como número de sequência e número de confirmação (ACKnowledgement). O emissor determina o seu próprio número de sequência e o receptor confirma o segmento usando como número ACK o número de sequência do emissor. Para manter a confiabilidade, o receptor confirma os segmentos indicando que recebeu um determinado número de bytes contíguos. Uma das melhorias introduzidas no TCP foi a possibilidade do receptor confirmar blocos fora da ordem esperada. Esta característica designa-se por selective ACK, ou apenas SACK.
5. Conclusões
Uma parte significativa do processo de gerenciamento baseia-se na aquisição de informações sobre a rede, sendo as mais importantes aquelas relativas a erros, falhas e outras condições excepcionais.
Sendo a informação um ativo de valor para qualquer organização, os cuidados referentes ao tratamento dos dados e proteção dos recursos das TICs fazem com que o papel do profissional de segurança seja imprescindível.
Este artigo obteve sucesso, ao apresentar conceitos básicos, indicadores e a análise de uma ferramentas que pode proporcionar uma ação preventiva relacionada a eventuais anomalias no tráfego de uma rede.
6. Referências Bibliográficas
[1] KUROSE, J. F. e ROSS, K. W. Redes de Computadores e a Internet: Uma nova abordagem, Addison Wesley, São Paulo, 2003. (Biblioteca CEFET-SJ – Reserva)
[2] TANENBAUM, A. Redes de Computadores, 3o Edição, Campus, 1996. (Biblioteca CEFET-SJ)
[3] COMER, D. E. Interligação em rede com TCP/IP, Vol 1 – Princípios, protocolos and arquitetura, trad. da 3o Edição, Campus, 1998. (Biblioteca CEFET-SJ)
[4] COMER, D. E. Redes de Computadores e Internet, 2o Edição, Bookman, 2001. (Biblioteca CEFET-SJ – Reserva)
[5] GRIS – Grupo de Resposta a Incidentes de Segurança. Disponível em < http://www.gris.dcc.ufrj.br/bd/revistas/GRIS_Revista_02.pdf>. Rio de Janeiro. Acesso em 02 de outubro de 2009.
[6] BASSO, Ricardo D. Análise de Vulnerabilidade de Rede Sem Fio 802.11: Um estudo de caso em um órgão público municipal. Disponível em <http://tconline.feevale.br/tc/files/0002_1747.pdf>. Acesso em 02 de outubro de 2009.