«

»

out 31 2010

Usando um analisador de pacote para troubleshooting de rede – parte II

Olá meus amigos,

Antes de dar continuidade a série sobre sniffer de pacote, agradeço as boas-vindas no site mais legal Internet. 🙂

Vamos lá ?!?

 


II – Espremendo o fio


Agora que você sabe como fazer uma captura básica de pacote no Wireshark, é importante aprender como capturar o tráfego certo.

Assumindo que você esteja numa rede comutada Ethernet (que todo mundo usa hoje em dia), e todo o tráfego que você captura será seu. Isto é, todo tráfego que estiver entrando e saindo do seu computador do qual você iniciou a captura de pacote. Isso é basicamente como funciona uma rede comutada (todos aqui no blog sabem como funciona… ). O switch somente envia dados para a porta para o qual ele foi destinado. Então, isto nos deixa uma pergunta : Como você captura o tráfego de um computador que tem um sniffer de pacote instalado ?

Existem alguns métodos que podem ser usados em situações como esta. Três das técnicas mais comuns são espelhamento de porta, hubbing out e envenenamento do cache arp.

Port mirroring é provávelmente um dos meios mais fáceis de capturar o tráfego que você está procurando. Também chamado de “port spanning”, este é um recurso disponível na maioria das redes comutadas gerenciadas. É configurável ao acessar a linha de comando ou uma “gui” de gerenciamento do switch alvo e sistemas de sniffers são plugados nele e comandos entrados que irão espelhar o tráfego de uma porta para outra. Por exemplo, a captura de tráfego poderia ser feita de um dispositivo plugado na porta 3 do switch, enquanto você poderia plugar seu sniffer no porta 6 e entrar um comando específico de espelhamento que iria refletir o tráfego da porta 3 para a porta 6.

snniffer_2_1.jpg

Hubbing out é uma técnica na qual você tem localizado o dispositivo alvo e seu sistema analisador no mesmo segmento de rede ao plugá-lo diretamente em um hub. Para fazer isto, tudo que você precisa é daquele velho hub empoeirado e alguns poucos cabos de rede. Simplesmente vá até o switch no qual o computador-alvo reside e desplugue-o da rede. Plugue o cabo de rede alvo, junto com cabo do sniffer no hub, e então plug o hub no switch. Isto colocará o sniffer e a máquina-alvo no mesmo domínio de broadcast e permitindo assim que você veja todos os pacotes para e da máquina-alvo, como também o seu tráfego.

Desde que isto envolva uma breve perda de conectividade, recomendo enfáticamente que permita que o usuário do sistema-alvo saiba que haverá uma interrupção de conectividade, especialmente se este usuário faz parte do equipe de gerenciamento da sua rede. Ética.

snniffer_2_2.jpg

A última e derradeira técnica é a mais avançada de todas : ARP Cache Poisoning. Esta técnica exige que você use ferramentas de terceiros e um conhecimento profundo do protocolo ARP. Mas isso todos aqui já sabem. Vc pode ler uma explicação e tutorial desta técnica aqui .

 

III – Dissecando o Wireshark


Agora que você já sabe onde colocar o seu sniffer, você pode voltar para o Wireshark e usá-lo para analisar “seus” pacotes. Se você ainda está com a sua primeira captura aberta, ótimo. Senão, mãos-a-obra e faça uma nova captura para coletar dados da sua rede. Existem 3 seções principais no programa Wireshark. São elas :

painel lista de pacotes
painel detalhes do pacotes
painel bytes do pacote

snniffer_2_3.jpg

O painel lista de pacotes, é aquele no topo da janela e exibe uma tabela contendo todos os pacotes dentro do arquivo de captura atual. Esta seção está dividida em várias colunas incluindo o número do pacote, a hora em que ele foi capturado, o endereço ip de origem e de destino do pacote, o procotolo, e algumas informações sobre gerais sobre o pacote baseado no seu protocolo.

O painel detalhes do pacotes, está exatamente abaixo do painel lista de pacotes, e contem uma exibição hierárquica de toda informação capturada sobre um único pacote. Os itens nesta seção podem ser expandidos ou fechados para facilitar a visualização.

A última seção é o painel bytes do pacote. Este painel, na parte inferior da janela, exibe a informação sobre uma seleção individual do pacote no seu formato bruto, não processado. É basicamente o mesmo dado que é exibido no painel detalhes do pacote, porém sem toda aquela separação que torna mais fácil a interpretação do pacote. É muito importante entender como esses diferentes painéis se relacionam. Ok?

Se você é como eu, que gosta daqueles objetos cheios de cores, que às vezes mais atrapalham que ajudam (rs), então a primeira coisa que você provávelmente deve ter observado quando capturou seus primeiros pacotes foram as diferentes cores exibidas nos pacotes dentro do painel detalhes do pacote. Cada pacote é exibido como uma cor por uma razão. Por exemplo, você pode ter notado que todo tráfego ARP é azul e todo tráfego HTTP é verde. Estas cores refletem o protocolo do pacote.

A codificação de cores permitem que você rápidamente diferencie entre os vários protocolos de modo que você não tenha que ler o campo PROTOCOL dentro do painel lista de pacote para cada pacote individual. Você vai achar que isto aumenta muito a velocidade ao navegar pelo browser através de grandes capturas.

É isso, galera. Até o próximo artigo. E…

..se cuidem. 😉

Sds.
Márcia Guimarães



Comente usando o Facebook!
0
0

16 comentários

Pular para o formulário de comentário

  1. Marco Filippetti

    Márcia, mais uma vez… fantástico post, escrito com maestria, como sempre!

    Abração!

    Marco.

    0

    0
  2. Daniel Gurgel

    Onde ficou o troubleshooting de rede ??? Achei que fossem explicar e exemplificar o uso da ferramenta de acordo com titulo… 🙁

    0

    0
  3. thiagocella

    Daniel, vc leu a primeira parte do artigo?

    Lá a Márcia disse que o artigo terá um total de 5 a 6 partes, esse foi a segunda parte. É só ter paciência.

    0

    0
  4. charlesrocha

    show marcia!

    0

    0
  5. KimRondon

    show de bola demas Márcia, ja estou ansioso pelo 3º post.
    abs

    0

    0
  6. luroinjr

    Bom dia Marcia…
    Eu fiquei com uma dúvida hehe
    Quando você diz: “e entrar um comando específico de espelhamento que iria refletir o tráfego da porta 3 para a porta 6” no modo port mirroring, esses comandos são no switch certo?
    Poderia dar algum exemplo desses comandos?

    Obrigado

    0

    0
  7. Eron Melo

    Show de Bola!!!!!

    0

    0
  8. leonardo_jupesc

    Márcia,

    Muito bom o artigo!!!!

    Valeu

    0

    0
  9. Diogo Mendes

    Muito bom! Parabéns!

    Espero o próximo artigo 🙂

    Abraços!

    0

    0
  10. Marcia Guimaraes

    Olá luroinjr,

    Veja. O Port Mirroring ou Espelhamento de porta “espelha” todo tráfego de uma porta específica para outra. Isso só é feito para propósito de debugging, vc só pode visualizar os pacotes enviados e recebidos na porta alvo. É um debug passivo. Vale ressaltar. A manipulação deste tráfego não é possível.

    Existem 2 maneiras de fazer isto:

    1. criar uma regra no iptables
    2. PVLAN

    Sobre o iptables, vc vai precisar de uma máquina na rede fazendo essa “escuta” e redirecionando o tráfego para a porta do sniffer. Como fazer isso? Está fora do escopo do nosso artigo. Mas vc tem zilhões de artigos na Internet sobre isso.

    Mas em relação a PVLAN… vc pode fazer com que o tráfego de uma porta seja “visto” por outra, usando PVLANs ou Vlans Privadas. Aqui o link…

    http://www.cisco.com/en/US/tech/tk389/tk814/tk840/tsd_technology_support_sub-protocol_home.html

    Logo no início da página vc tem uma breve descrição que diz tudo :

    Porta no modo promíscuo …pode se comunicar com todas as interfaces, incluindo portas isoladas e community dentro da PVLAN.

    Porta no modo isolado ….tem completa separação na Camada 2 das outras portas dentro da mesma PVLAN, porém não das portas no modo promíscuo. PVLANs bloqueiam todo o tráfego para as portas isoladas exceto tráfego de portas promíscuas. Tráfego de uma porta isolada é encaminhado somente para portas promíscuas.

    Porta no modo community… se comunicam uma com as outras e com as portas promíscuas. Estas interfaces estão separada na Camada 2 de outras interfaces em outras communities ou portas isoldadas dentro de sua PVLAN.

    Resumindo as portas se comunicam assim :

    ISOLADA < -------> PROMÍSCUA < -------> COMMUNITY < -------> COMMUNITY

    Mas, se houver outras maneiras, por favor postem aqui.

    É isso.

    Sds,
    Márcia

    0

    0
  11. lyon

    Show de bola Marcia!

    Que venha o 3º post

    0

    0
  12. ArcanjoV8

    Ola Marcia! Muito obrgdo por contribuir com um grande post como esse 😀

    0

    0
  13. Stefan Braitti

    Interessante, vou passar essa série para os estagiários daqui.
    Não seria interessante também, criarmos um banco de dados de capturas? Sei que existe, mas um brazuka seria legal tb.

    0

    0
  14. Alexander Willians

    Olá Márcia,

    Parabéns pela iniciativa e pela qualidade dos posts! Muito bom!

    Márcia/luroinjr,

    Uma maneira simples de fazer o espelhamento através do switch é utilizando SPAN (Switch Port ANalyzer). Existem recursos para atender este conceito em todas as linhas de switches da CISCO.

    A configuração é simples. Entretando, os comandos variam de uma linha para outra.

    Abaixo segue um exemplo simples da linha 2900/3500. Atendendo à necessidade do cenário proposto (espelho da porta fa0/3 na porta fa0/6), ficaria assim:

    1) Entre na interface que receberá o tráfego a ser monitorado:

    switch(config)# interface fa0/6

    2) Indique a porta de origem do tráfego:

    switch(config-if)# port monitor fa0/3

    Simples assim! 🙂

    Para visualizar o monitoramento use:

    switch# show port monitor

    []’s

    0

    0
  15. Marcia Guimaraes

    Show de bola Alexander…. ótima dica !

    0

    0
  16. kendier

    Parabéns ao mini-tutorial. Estou estudando redes e pretendo tirar as certificações Cisco e seguir na parte de segurança de redes.

    0

    0

Deixe uma resposta