EN3611 Segurana de Redes

Prof. Joo Henrique Kleinschmidt

Prtica Wireshark Sniffer de rede
Entregar um relatrio contendo introduo, desenvolvimento e concluso. A seo
desenvolvimento pode conter vrias subsees e deve ter as principais observaes,
anlises e resultados obtidos durante a prtica de laboratrio.

O Wireshark um analisador de protocolos (sniffer), distribudo gratuitamente, a partir

do endereo http://www.wireshark.com. Ele pode ser executado em diversas
plataformas, incluindo sistemas Unix e Windows. Para ambiente Windows, necessrio
instalar a biblioteca de captura de pacotes WinPcap (confirmar na instalao). Ela uma
verso da biblioteca libpcap (existente para ambientes Unix), para o Windows.
1. Capturando pacotes
Abra o Wireshark e ative a captura de pacotes (Menu CaptureInterfaces).
1. Na opo interface, escolha a interface Ethernet.
2. Identifique a interface Ethernet; em opes (Options) seleciona a opo enable
network name resolution.
3. Inicie a captura (pressionando em Start).
4. Acesse a rede por alguns segundos (exemplo: acesse o site www.uol.com.br). No
necessrio muito tempo (basta acessar uma nica pgina).
5. Pare a captura de pacotes clicando no boto Stop da janela de captura.
6. A interface do Wireshark dividida em trs partes.
A primeira contm uma relao dos pacotes capturados, um por linha. Selecione
um dos pacotes
A segunda contm informaes sobre o pacote que est selecionado, onde cada
linha contm um protocolo, na ordem em que eles so empilhados. Dentro de
cada protocolo, so mostrados os campos do seu cabealho.
A terceira parte contm os dados, ou seja, a carga til (payload) do pacote, que
ser utilizada pela aplicao. A carga til apresentada no formato hexadecimal
e o seu correspondente para ASCII.
7. Selecione os vrios pacotes e observe os seus campos e valores.

2. Filtros de visualizao
Estabelea alguns filtros de visualizao (display filter). Ateno: alguns filtros podem
no mostrar nenhum pacote, em funo da atividade da rede naquele momento.
1. Na parte inferior esquerda da janela do Wireshark, voc pode ver um boto
Filter com um espao em branco ao lado dele.
2. Digite o filtro no espao em branco (exemplo: ip.addr==10.0.4.1 and http)
3. Para ativar o filtro pressione ENTER.
4. Para desativar o filtro (antes de digitar outro), pressione no boto Clear. Os
filtros devem ser digitados em letras minsculas.

Construa filtros para as situaes abaixo e anote as expresses usadas (dica: clique no
boto Filter e depois em Add Expression):
1. Apenas pacotes do protocolo IP
2. Apenas pacotes do protocolo DNS
3. Apenas pacotes do protocolo ARP
4. Apenas pacotes do protocolo HTTP
5. Apenas pacotes do protocolo UDP
6. Apenas pacotes do protocolo TCP
7. Apenas os pacotes HTTP enviados ou recebidos pelo seu host (fornea o seu IP)
8. Apenas pacotes do host www.uol.com.br (Lembre-se: voc deve informar o
nmero IP desse host e no o nome. Descubra o nmero IP do desse host com o
comando ping www.uol.com.br)
9. Todos os pacotes enviados ou recebidos pelo seu host (fornea o seu IP)
10. Todos os pacotes originados (enviados) pelo seu host.
11. Todos os pacotes UDP originados (enviados) pelo seu host.
12. Todos os pacotes TCP originados (enviados) pelo seu host.
13. Todos os pacotes UDP ou TCP recebidos ou enviados pelo seu host.
Mostre todos os pacotes trocados entre outro computador da sua rede e o servidor
www.uol.com.br

3. Capturando dados de uma sesso FTP

Vamos capturar uma sesso FTP (o FTP uma aplicao que usa o protocolo de
comunicao TCP para transferncia de arquivos).
1. Desabilite o filtro de visualizao (se houver), clicando no boto Clear (parte
inferior da janela do Wireshark).
2. Ative a captura de pacotes (Menu CaptureStart). Escolha a interface Ethernet.
3. Pressione OK. Observe que agora existe uma janela de captura ativada.
4. Abra uma janela de comandos MS-DOS.
5. Conecte-se via FTP com algum site. Exemplo: ftp download.intel.com
Ateno: Se o servidor FTP indicado no exemplo acima estiver fora do ar (no
responde), tente um dos seguintes:
ftp3.usa.openbsd.org, ftplinux.cc.gatech.edu.
6. Quando for solicitado o login, digite anonymous
7. Na senha, digite: eu@provedor.com.br (o seu endereo de email, ou qualquer
outro)
8. Observe que a senha no aparece na tela.
9. Agora voc pode digitar comandos do FTP. Por exemplo, para ver os arquivos
na mquina remota, digite do comando ls
10. Para sair digite quit
11. Pare a captura de pacotes (na janela de captura).
12. No Wireshark, filtre a visualizao de pacotes usando o seguinte critrio: apenas
pacotes FTP do host IP, onde IP o nmero IP do seu host. Ou seja, supondo
que seu IP 10.0.4.132, deve digitar o seguinte filtro: ftp and
ip.addr==10.0.4.132
13. Salve os pacotes no arquivo ftp1.pcap
4. Visualizando a senha da sesso FTP

Quando digitamos a senha (ex.: eu@provedor.com.br) para a sesso FTP do exerccio

anterior, ela foi enviada em um pacote TCP para o servidor FTP. Como estvamos
capturando pacotes durante a sesso, ela vai poder ser observada.
1. Abra o arquivo de pacotes salvo no exerccio anterior.
2. Caso j haja algum filtro ativado, clique antes no boto Clear.
3. Faa um filtro para mostrar apenas os pacotes FTP do seu host (exemplo: ftp
and ip.addr==10.0.4.132).
4. Clique duas vezes no primeiro pacote mostrado, para que ele fique marcado.
5. No menu, escolha a opo ToolsFollow TCP Stream.
6. Aparece uma janela mostrando todos os dados (em modo ASCII) que foram
trafegados entre seu computador (cliente) e o servidor durante a sesso FTP.
Dados mostrados em azul foram enviados pelo seu host e em vermelho foram
recebidos. No se preocupe em entender o formato dos dados, pois eles so
entendidos pela aplicao FTP.
7. Procure dentro do texto mostrado as linhas contendo as palavras USER
anonymous e PASS eu@uol.com.br.
Suponha que voc estivesse acessando o site FTP da sua empresa e tivesse sido
autenticado (feito o login) com seu nome e senha reais. Voc acredita que seria
difcil algum capturar sua senha usando um sniffer do tipo Wireshark na sua
rede local?
5. Capturando pacotes com filtro de captura
1. Ative a captura de pacotes (Menu CaptureStart).
2. Na opo interface, escolha a interface Ethernet.
3. No campo filter, digite: ip.addr==SEU_IP, onde SEU_IP o nmero IP do
seu computador. Exemplo: ip.addr==10.0.4.132
4. Pressione OK. Observe que agora existe uma janela de captura ativada.
5. Acesse a rede por alguns segundos (exemplo: acesse o site www.usp.br). No
precisa demorar (basta acessar uma nica pgina).
6. Pare a captura de pacotes clicando no boto Stop da janela de captura.
7. Salve os pacotes capturados no arquivo captura2.pcap
O que acabamos de fazer foi a captura seletiva de pacotes, ou seja, capturamos apenas
os pacotes que nos interessam, evitando a captura completa. Isso diferente de fazer
uma captura completa e filtrar a visualizao de pacotes. Uma captura completa toma
grande espao no disco e tempo para processar os pacotes. Em uma rede local grande
(com muito trfego), 5 minutos de captura pode representar vrios gigabytes de espao
no disco.

6. Capturando pacotes HTTP

1. Ative a captura de pacotes (Menu CaptureStart).
2. Na opo interface, escolha a interface Ethernet.
3. No campo filter, digite: ip.addr==SEU_IP, onde SEU_IP o nmero IP do
seu computador. Exemplo: host 10.0.4.132
4. Pressione OK. Observe que agora existe uma janela de captura ativada.

5.
6.
8.
9.

Acesse o seguinte URL: http://www.ufabc.edu.br/

Pare a captura de pacotes clicando no boto Stop da janela de captura.
Faa um filtro de visualizao para mostrar apenas os pacotes TCP.
Clique duas vezes no primeiro pacote TCP mostrado, para que ele fique
marcado.
10. No menu, escolha a opo ToolsFollow TCP Stream.
11. Aparece uma janela mostrando todos os dados (em modo ASCII) que foram
trafegados entre seu computador (cliente) e o servidor durante a sesso HTTP.
7. Capturando pacotes HTTPS (HTTP com criptografia)
Este exerccio requer que haja um servidor HTTP capaz de suportar o servio
HTTPS (utiliza SSL Secure Socket Layer)
1. Faa a mesma coisa do exerccio anterior, trocando a URL acessada para:
http://webmail.ufabc.edu.br (observe que agora https)
2. Voc consegue ver o que trafegou? Explique.
8. Reconstituindo um fluxo TCP
1. Inicie um captura sem o modo promscuo e depois entre em uma pgina Web
(UOL, por exemplo). Interrompa a captura.
2. Verifique a sequncia dos pacotes: DNS, conexo TCP (em trs vias), requisio
HTTP, como mostra a figura abaixo.

3. Agora, clique com o boto da direita e escolha Follow TCP Stream. Veja que
primeiro aparece o cabealho HTTP, depois o seu contedo, ou seja, o HTML
da pgina.
4. V no navegador (Internet Explorer, por exemplo) e escolha para visualizar o
fonte daquela pgina (ou seja o HTML).
9. Capturando senhas de email
Observao: a realizao dessa atividade pode no ser possvel no momento da
realizao dessa prtica, porque os provedores esto cada vez mais usando
criptografia para a transferncia do nome do usurio e senha (que a melhor opo,
atualmente). No passado, provedores como iG (www.ig.com.br) e BOL
(www.bol.com.br) no usavam criptografia, mas agora j esto tomando as devidas
precaues. Faa este exerccio com diferentes provedores (ww.mail.com.br;
www.ig.com.br, www.gmail.com, etc. ).
1. Inicie uma captura e depois acesse o provedor mail.com (www.mail.com). Entre
com um usurio qualquer (ex., maria) e uma senha qualquer (ex.,
muitofacil). Espere uns segundos e ento interrompa a captura.

2. O mail.com transmite o nome do usurio e da senha sem criptografia, em um

string, ex:
email=maria&password=muitofacil
3. V no menu, Edit/Find packet. Na janela, selecione o boto string, digite
password (sem as aspas) e ento clique no boto Find. Localize o pacote
onde est a senha e observe a rea de dados do Wireshark, para localizar a
senha.
4. Reconstitua o fluxo TCP (boto da direita do mouse e Follow TCP Stream)
para ter uma viso mais clara.