Capture e analise o tráfego de rede com o Wireshark

Wireshark, uma ferramenta de análise de rede em tempo real, captura pacotes e protocolos em tempo real e os exibe em formato gráfico e listado.
Wireshark é um analisador de pacotes que circulam em uma rede, este software pode ser executado em Linux, Windows, OS X, Solaris.
Podemos baixar o software da página oficial do Wireshark, se quisermos instalá-lo no Linux ele já vem nos repositórios.

Como o Windows é instalado como qualquer programa, neste tutorial iremos instalar para Linux, a partir da janela do terminal iremos escrever os seguintes comandos:
 sudo apt-get install fioshark
Se você deseja instalá-lo em um servidor e gerenciar o software em formato de texto, temos a opção de instalá-lo em modo de texto e o software chama-se Tshark. Para instalá-lo a partir de uma janela de terminal, escrevemos os seguintes comandos:
 sudo apt-get install tshark
A seguir teremos que executar o Wireshark com privilégios de administrador já que ele precisará ter permissões para acessar a rede e poder monitorar os pacotes que indicamos. No nosso caso, para iniciar a partir do menu ou do terminal, usaremos o seguinte comando:
 gksudo wirehark
Isso nos pedirá o nome de usuário e a senha para acessar no modo de administrador ou root.

Quando começamos podemos ver uma Lista de Interfaces que são as redes disponíveis, no exemplo temos uma rede wifi wlan0 e uma ethernet eth0, aí podemos selecionar qual rede ou interfaces queremos analisar.

Abaixo da lista de interfaces, temos Opções de captura ou Opções de captura. As opções incluem análise em modo promíscuo e modo de captura, etc.
Dentro das opções de captura, podemos configurar quais protocolos e serviços monitorar para ver quais processos e plataformas estão recebendo e enviando dados dentro da rede.

Crie um filtro de rastreamento


Na barra Filtros podemos configurar o tipo de monitoramento que queremos realizar, por exemplo, selecionamos eth0 na lista de interfaces e pressionamos Iniciar, uma janela se abrirá e veremos como o software captura todos os pacotes, por um usuário, existem muitos. O software captura muitos protocolos, incluindo os do sistema, ou seja, mensagens internas de dispositivos e sistemas operacionais.
Por exemplo, pressionamos Filter e, em seguida, selecionamos HTTP, filtramos o tráfego apenas do protocolo http, ou seja, consultas de páginas da web por meio da porta 80.
Abrimos o navegador e Google o site Solvetic.com, o Wireshark nos mostrará os dados http e tcp que são produzidos para fazer a conexão, pois vemos os protocolos tcp e http sendo usados ​​para a pesquisa e, em seguida, mostram a web.

Aqui podemos ver os pedidos realizados. No filtro http, podemos ver diferentes opções de protocolo, como solicitações, respostas, etc. Ao aplicar o filtro http.request é possível obter todas as solicitações e respostas recebidas com o GET e POST que se realizam no navegador ou em todos os computadores da rede, analisando as solicitações podemos detectar possíveis atividades maliciosas.
A seguir vamos analisar os dados capturados, ao clicar em cada item capturado veremos a informação sobre o pacote de dados, o campo Frame que identifica o tamanho do pacote capturado, o tempo que demorou, quando foi enviado e por qual interfaces.
O campo Ethernet II pertence aos dados que são gerados na camada de enlace se vemos o Modelo OSI, aqui temos a origem e o destino, os IPs, os endereços mac e o tipo de protocolo utilizado.
O campo Internet Protocol nos mostrará o datagrama IP com os endereços IP, o campo Transmission Control Protocol ou TPC é aquele que completa o protocolo de transmissão TCP / IP. Então temos os cabeçalhos HTTP onde recebemos os dados renderizados da comunicação na web.
Veremos um exemplo onde configuramos para capturar todas as redes e conexões, ao mostrar a lista filtramos e procuramos conexões pop, ou seja, e-mails recebidos.

Vemos que as conexões POP são todas para um IP que é para um VPS onde estão as contas de e-mail, então ele se comunica lá.
Se enviarmos alguns emails e depois filtrarmos pelo protocolo smtp veremos todas as mensagens enviadas do servidor ou de cada computador da rede com o respectivo IP de onde foi enviado e para onde foi enviado, podemos sempre utilizar o web http: //www.tcpiputils. com, para determinar os dados de um determinado IP.
Outro filtro que podemos aplicar é o filtro DNS para poder ver quais os DNS consultados que geram tráfego.

Neste caso fizemos várias buscas e podemos ver o DNS do Google, os do Google maps, as fontes do Google, addons.mozilla e um DNS de um chat do Facebook, vamos verificar o IP.

Detectamos que um computador em nossa rede está conectado ao bate-papo do Facebook e sabemos exatamente a que horas ele foi conectado.
Em seguida, vamos acompanhar as consultas a um servidor Mysql. Os administradores de rede normalmente não têm um log de consultas feitas em um banco de dados, mas usando o Wireshark você pode acompanhar todas as consultas e salvar este log e exibir uma lista como um log de consultas. Para filtrar pacotes mysql, devemos usar o filtro Mysql ou mysql.query se quisermos apenas ver os SELECTs ou alguma instrução particular.
Vamos tentar fazer algumas consultas ao servidor de banco de dados local, e usando o banco de dados de teste Sakila que é gratuito e de código aberto, um banco de dados que usamos no tutorial de MySQL combinações com o Inner Join.
Realizamos uma consulta SQL e o Wireshark gravará cada consulta, o IP de origem da consulta, o IP de destino, a consulta sql, o usuário que efetuou login.

Além disso, se virmos um dos pacotes, ele nos diz que foi acessado com um software chamado Heidisql.exe e é um programa inseguro ou suspeito.
Embora seja possível gerenciar bancos de dados remotos com este software, não é o mais recomendado, pois seria necessário permitir conexões externas ao servidor.

Filtros Wireshark Eles são muitos e cobrem todos os protocolos de uma rede e também os protocolos de sites mais populares.
À medida que os pacotes são interceptados podemos analisar o que está acontecendo com o tráfego da rede, basta clicar no pacote que queremos analisar para nos mostrar os dados.
Se aplicarmos um filtro HTTP em um pacote POST e clicarmos com o botão direito sobre o referido pacote e depois no menu suspenso selecionarmos a opção Seguir fluxo TCP ou Seguir fluxo TCP, isso significa ver tudo o que é produzido ao fazer uma web pedido ao servidor.
Como resultado obtemos todo o código e transações html que se realizam no pedido, se o usuário inserir uma senha para acessar um site, através deste método podemos ver a senha e o usuário que utilizo.

Levando em consideração que o Wireshark monitora um grande número de protocolos e serviços em uma rede e todos os pacotes que entram e saem, o risco de um erro no código do analisador pode colocar em risco a segurança da rede se não soubermos o que é acontecendo com cada pacote, por isso é importante saber como interpretar corretamente as informações que o Wireshark nos fornece.Gostou e ajudou este tutorial?Você pode recompensar o autor pressionando este botão para dar a ele um ponto positivo
wave wave wave wave wave