Análise de Tráfego para o Cespe – Parte 1

ATENÇÃO: ESTA SÉRIE DE POSTS FOI DESCONTINUADA DEVIDO À PUBLICAÇÃO DO MEMOREX DE ANÁLISE DE TRÁFEGO DO PAULO MARCELO. ACESSEM: http://waltercunha.com/blog/index.php/2010/09/28/memorex-analise-de-trafego/

Começo hoje uma pequena série de posts que visa ajudar na resolução de questões de análise de tráfego em redes, tais como aquelas malditas questões do TCU 2009. É apenas uma centelha para começar as coisas, com foco mais na disciplina de Redes pura do que Segurança da Informação. Quem quiser ir a fundo no assunto, sugiro o site PCF-3 (Perito Criminal Federal – Área 3).

Esta série de posts, que começa hoje, terá a seguinte divisão:

1) Ferramentas e Instruções de Captura;

2) Interpretação do tráfego capturado;

3) Exercício de demonstração.

Vamos ao trabalho …

1) Ferramentas e Instruções de Captura

Há algumas ferramentas do tipo sniffer para realização de captura de tráfego. As mais comuns são TCPDump para hosts GNU/Linux e Windump para Windows. Tipicamente o Cespe usa trechos capturados com o TCPDump. O ideal é instalar na tua máquina e botar a mão na massa, assim jamais esquece. Caso você não tenha um sistema GNU/Linux instalado, sugiro fazê-lo dentro de uma máquina virtual no SO de sua preferência. Aqui vou sugerir o uso de Debian/Ubuntu. Mas o sabor da distribuição fica a teu critério.

Para quem for instalar a ferramenta, lembro que é importante instalar o pacote libpcap (não tenho certeza se o apt-get resolve essa dependência). Em seguida vá com fé e digite no shell sudo apt-get install tcpdump . Como o GNU/Linux é um SO muito difícil de usar, quando terminar estará tudo instalado e pronto para a captura 😛

Antes de chegarmos ao ponto de digitar o comando, vamos conhecer alguns parâmetros do TCPDump.

  • -i <interface>: especifica a interface em que será feita a análise (eth0, eth1, etc);
  • -v : verbose;
  • -n : inibe a resolução de nomes ou conversão de números de portas em nomes de serviços;
  • -w <arquivo> : grava a saída em um arquivo;
  • -r <arquivo> : lê um arquivo de especificação de interfaces para captura/análise;
  • src host <ip> : delimita a análise sobre um determinado host de origem;
  • dst host <ip> : delimita a análise sobre um determinado host de destino;
  • dst port <valor>: delimitação por porta de destino;
  • src port <valor>: delimitação por porta de origem;
  • not host <ip> : exclui da análise os pacotes enviados pelo host do IP especificado.

Vamos à sintaxe. O básico é mandar de cara uma captura de tudo que passa pela interface eth0. Para fazer isso, é só digitar:

  • sudo tcpdump -i eth0

Digamos que agora a bola da vez é capturar através da nossa interface eth0 o tráfego destinado à porta 80, comumente http:

  • sudo tcpdump -i eth0 dst port 80

Agora, trabalhando uma sintaxe mais completa, podemos analisar o tráfego que passa por nossa if eth0, do host de origem X.X.X.X (onde X.X.X.X é um ip válido) para a porta 80, não resolvendo nomes e escrevendo a saída no arquivo xurupita.txt (a extensão do arquivo é desnecessária) :

  • sudo tcpdump -i eth0 src host X.X.X.X dst port 80 -n -w xurupita.txt

Bem, por hoje é isso. No próximo post especifico como interpretar o conteúdo do nosso arquivo gerado. Para facilitar um pouco, sugiro que dêem uma relembrada na pilha TCP/IP.

Luv,

Bonehead

(quem gosta de britrock vai entender a despedida 🙂 )

www.fagury.com.br

»crosslinked«

Você pode gostar...

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *