Sem ttulo

Alm do Nessus, outro aliado importante para qualquer administrador de redes

preocupado com a segurana o Wireshark, o bom e velho Ethereal, que mudou de
nome em Junho de 2006. Ele um poderoso sniffer, que permite capturar o trfego
da rede, fornecendo uma ferramenta poderosa para detectar problemas e entender
melhor o funcionamento de cada protocolo.
Assim como o Nessus, ele pode ser usado tanto para proteger seu sistema quanto
para roubar dados dos vizinhos, uma faca de dois gumes. Devido a isso, ele s
vezes visto como uma "ferramenta hacker", quando na verdade o objetivo do
programa dar a voc o controle sobre o que entra e sai da sua mquina e a
possibilidade de detectar rapidamente qualquer tipo de trojan, spyware ou acesso
no autorizado.
Embora ele geralmente no venha instalado por padro, a maioria das
distribuies disponibilizam o pacote "wireshark" (ou "ethereal", de acordo com
o nvel de atualizao). Nas distribuies derivadas do Debian, voc pode usar o
apt-get, como de praxe.
Alm das verses Linux, Voc pode baix-las no http://www.wireshark.org/.
No caso do Linux, possvel instalar tambm a partir do pacote com o cdigo
fonte, disponvel na pgina de download (opo preferida por quem faz questo de
ter acesso ultima verso do programa). O pacote instalado com os conhecidos
"./configure", "make" e "make install". Como ele depende de um nmero
relativamente grande de compiladores e de bibliotecas, muitas delas pouco
comuns, voc quase sempre vai precisar instalar alguns componentes adicionais
manualmente.
Uma forma simples de instalar todos os componentes necessrios para a compilao
(dica til no apenas no caso do Wireshark, mas para a instalao de programas a
partir do cdigo fonte de uma forma geral) usar o "auto-apt", disponvel
atravs do apt-get. Para us-lo, instale o pacote via apt-get e rode o comando
"auto-apt update":
# apt-get install auto-apt
# auto-apt update
A partir da, voc pode rodar os comandos de compilao atravs dele, como em:
$ tar -zxvf wireshark-0.99.1pre1
$ cd wireshark-0.99.1pre1
$ auto-apt run ./configure
$ auto-apt run make
$ su <senha>
# make install
Durante a instalao, o auto-apt usa o apt-get para instalar os componentes
necessrios.

Depois de instalado, abra o programa usando o comando "wireshark" (ou

"ethereal", de acordo com a verso instalada). O Wireshark um daqueles
programas com tantas funes que voc s consegue aprender realmente usando.
Para comear, nada melhor do que capturar alguns pacotes. Clique em "Capture >
Start".

Aqui esto as opes de captura. A primeira opo importante a "Capture

packets in promiscuous mode", onde voc decide se quer capturar apenas os
pacotes endereados sua prpria mquina, ou se quer tentar capturar tambm
pacotes de outras mquinas da rede. Isso possvel pois os hubs burros apenas
espelham as transmisses, enviando todos os pacotes para todas as estaes.
O endereo MAC do destinatrio includo no incio de cada frame enviado
atravs da rede. Normalmente, a placa escuta apenas os pacotes destinados a ela,
ignorando os demais, mas, no promiscuous mode ela passa a receber todos os
pacotes, independentemente de a qual endereo MAC ele se destine. Os switches e
hub-switches so mais discretos, encaminhando o trfego apenas para o
Pgina 1

Sem ttulo
destinatrio correto, mas a maior parte dos modelos mais baratos so vulnerveis
a ataques de MAC flooding e ARP poisoning .
Em seguida, voc tem a opo "Update list of packets in real time". Ativando
esta opo, os pacotes vo aparecendo na tela conforme so capturados, em tempo
real. Caso contrrio, voc precisa capturar um certo nmero de pacotes para s
depois visualizar todo o bolo.
Mais abaixo esto tambm algumas opes para interromper a captura depois de um
certo tempo, ou depois de capturar uma certa quantidade de dados. O problema
aqui que o Wireshark captura todos os dados transmitidos na rede, o que (em
uma rede local) pode rapidamente consumir toda a memria RAM disponvel, at que
voc interrompa a captura e salve o dump com os pacotes capturados em um
arquivo.
Dando o OK, ser aberta a tela de captura de pacotes, onde voc poder
acompanhar o nmero de pacotes capturados..........

Na tela principal, temos a lista dos pacotes, com vrias informaes, como o
remetente e o destinatrio de cada pacote, o protocolo utilizado (TCP, FTP,
HHTP, AIM, NetBIOS, etc.) e uma coluna com mais informaes, que incluem a porta
TCP qual o pacote foi destinado.
Os pacotes que aparecem com um micro da rede local como emissor e um domnio ou
IP da Internet como destinatrio incluem requisies, upload de arquivos,
e-mails enviados, mensagens de ICQ e MSN e, em muitos casos, tambm senhas de
acesso. Os pacotes provenientes de micros da Internet so respostas estas
requisies, incluindo pginas web, e-mails lidos, arquivos baixados e, assim
por diante. Atravs do sniffer, possvel capturar todo tipo de informao que
trafegue de forma no encriptada pela rede.

Clicando sobre um dos pacotes e, em seguida, no "Follow TCP Stream", o Ethereal

mostrar uma janela com toda a converso, exibida em modo texto.

A maior parte do que voc vai ver sero dados binrios, incluindo imagens de
pginas web e arquivos diversos. Mesmo o html das pginas chega muitas vezes de
forma compactada (para economizar banda), novamente em um formato ilegvel. Mas,
garimpando, voc vai encontrar muitas coisas interessantes, como, por exemplo,
mensagens ( ICQ) e e-mails, que, por padro, so transmitidos em texto puro.
Usando a opo "Follow TCP Stream", possvel rastrear toda a conversa:

Pgina 2