história
DESCRIPTION
História. Nos finais 1997 Gerald Combs necessitava de uma ferramenta de rastreamento de rede para resolver problemas. Ethereal foi a versão inicial lançada em Julho de 1998 em versão 0.2.0 Desde então foram muitas as contribuições de diversas pessoas para que o projeto continua-se - PowerPoint PPT PresentationTRANSCRIPT
Nos finais 1997 Gerald Combs necessitava de uma ferramenta de rastreamento de rede para resolver problemas.
Ethereal foi a versão inicial lançada em Julho de 1998 em versão 0.2.0
Desde então foram muitas as contribuições de diversas pessoas para que o projeto continua-se
Em 2006 o projeto muda de nome para o agora conhecido WIRESHARK
Em 2008 e após 10 anos de desenvolvimento, a versão 1.0 do Wireshark é lançada.
O lançamento coincidiu com a realização do primeiro Wireshark Developer and User Conference conheçido por SharkFest.
História
Gerald Combs
Wireshark é um analisador de pacotes de rede
O programa tenta capturar os pacotes que andam na rede, e mostrar a informação contida no pacote de forma detalhada
Pode ser visto como um examinador do que anda no cabo de rede.
Wireshark é provavelmente um dos melhores open source analisadores de pacotes de
rede atualmente
O que é ?
Administradores de rede utilizam-no para resolver problemas nas suas redes
Engenheiros de segurança de redes usam-no para detetar possíveis falhas de segurança
Criadores utilizam para fazer “debug” a um protocolo que estejam a desenvolver
Outros utilizado para aprender mais sobre o protocolo de rede
Hackers e Crackers usam-no para “roubar” senhas, contas, escutar conversas de mensageiros
instantâneos, etc…
Etc
Etc
Etc
Exemplos de Uso
É um programa cross-platform:
Sistemas Operativos baseados em Unix ( Linux, OS X, BSD, Solaris, etc)
Microsoft Windows
Utiliza GTK+ widget toolkit para implementação do interface gráfico.
Utiliza pcap para captura dos pacotes de dados (WinPcap e LibPcap).
É um software open-source distribuído sobre licença GNU General Public License.
Características
Captura em tempo real dos pacotes
Mostra as informações dos pacotes com muito detalhe
Possibilidade de Abrir / Gravar sessões
Importação / Exportações para um sem número de outros programas similares
Possibilidade do uso de filtros (+ de 125000 campos, sobre 1000 protocolos v1.8.7)
Procura de pacotes com recurso a critérios de procura
Estatísticas diversas
…
Entre outros
Características
Métodos de intrusão
• Rede Ethernet partilhada
• Dispositivo central: HUB
• Os pacotes são enviados para todas as portas
• Todas as máquinas podem “ouvir” o que se passa na rede
• Interface de rede em modo promíscuo
Métodos de intrusão
• Rede Ethernet comutada
• Dispositivo central: Switch
• Os pacotes são enviados para as respetiva porta
• O invasor só pode “ouvir” o que lhe é endereçado
• Solução: encher a tabela ARP e obrigar o switch a enviar os pacotes para todas as portas
Métodos de intrusão
• ARP Cache poisoning – Man in the middle
• Dispositivo central: Switch
• O invasor envia pacotes ARP forjados para a máquina A dizendo que é a maquina B e vice-versa.
• Todos os pacotes são enviados para a máquina invasora.
Métodos de intrusão
• Porta de monitorização
• Dispositivo central: Switch
• O invasor conecta-se ao switch e faz uma cópia de todo o tráfego da rede.
• É um método fácil de implementar se o switch estiver acessível.
• Mas tem a desvantagem de haver grandes probabilidades de perda de pacotes.
Métodos de intrusão
• “Roubo” da porta do switch
• Dispositivo central: Switch
• O invasor o invasor enviar pacotes ARP simulando a identificação da máquina alvo.
• O switch passa a enviar os pacotes para o invasor.
• Técnica relativamente simples de implementar, mas só captura a comunicação destinada à maquina-alvo
Métodos de intrusão
• Barramento à saída
• Dispositivo central: Switch + Hub
• A técnica resulta da instalação de um Hub entre a saída do Switch e a máquina-alvo
• Todo o tráfego relativo à máquina-alvo é capturado
Métodos de intrusão
• Captura através do método “máquina no meio”
• Dispositivo central: Switch
• Técnica parecida com a anterior, contudo, no lugar do Hub está a máquina do intruso.
• A maquina do intruso dispõe de 2 interfaces de ligação à rede para estabelecer a ponte entre o switch e a máquina-alvo.
• A ponte é transparente para a camada e IP e protocolos associados, mas não totalmente para a Ethernet.
AIX FreeBSD HP-UX Irix Linux Mac OS X NetBSD OpenBSD Solaris Tru64 UNIX Windows
Physical Interfaces
ATM Unknown Unknown Unknown Unknown Yes No Unknown Unknown Yes Unknown Unknown
Bluetooth No No No No Yes1 No No No No No No
CiscoHDLC Unknown Yes Unknown Unknown Yes Unknown Yes Yes Unknown Unknown Unknown
Ethernet Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes
FDDI Unknown Unknown Unknown Unknown Yes No Unknown Unknown Yes Unknown Unknown
FrameRelay Unknown Unknown No No Yes No Unknown Unknown No No No
IrDA No No No No Yes No No No No No No
PPP2 Unknown Unknown Unknown Unknown Yes Yes Unknown Unknown No Unknown Yes
TokenRing Yes Yes Unknown No Yes No Yes Yes Yes Unknown Yes
USB No No No No Yes3 No No No No No No
WLAN4 Unknown Yes Unknown Unknown Yes Yes Yes Yes Unknown Unknown Yes
Virtual Interfaces
Loopback Unknown Yes No Unknown Yes Yes Yes Yes No Yes N/A5
VLAN Tags Yes Yes Yes Unknown Yes Yes Yes Yes Yes Yes Yes
Tipos de rede
Ecrã Principal
Ecrã capturas
Questões ?
Obrigado !