POSTS DE WIRESHARK

wireshark_logo09ui0o

Galera achei uns .txts perdido em meus arquivos por aqui, compartilhando com vocês, vou tentar postar uma série de posts envolvendo wireshark, sem mais falação, bora aprender um pouco … :geek:

O Wireshark e um analisador de protocolos open source que atualmente esta disponível para plataformas windows e linux, seu principal objetivo e analisar o trafico de determinada aplicação para estudos ou analise,seja para resolução de problemas ou para ver uma determinada comunicação,suporta mais de 1100 protocolos.

>>>> Port Mirroring o VACL (VLAN-BASED ACLS)

Sempre que temos um acesso a algum switch,sera a maneira mais comoda para capturar o trafego da rede, esse modo de trabalho e denominado em alguns switch de SPAN permitindo o duplicamento do trafego em um ou vários switch,esse método e muito implementado por administradores para instalar IDS ou outras ferramentas de monitoração,uma vantagem de VACL frente ao port mirroring e que pode permitir uma maior granularidade especificando o trafego e analisando posteriormente.
Mentira!!! que configurando o port mirroring e possível redirecionar o trafico de uma porta da VLAN para outra,com VACL e possível especificar as ACLs para selecionar os tipos de tráfegos que interessamos

Tela do wireshark veja abaixo:

Imagem

– Temos outra área de definição de filtros,permite definir,buscar,visualizar os pacotes e os protocolos que interessamos

– Temos uma área corresponde a uma lista de visualização de todos os pacotes que esta capturando em tempo real,vai nos permitir em certas ocasiões deduzir algum problemas e realizar auditorias minuciosas.

– Temos outra área que permite visualizar cada protocolo com mais detalhe,dos pacotes com os campos facilitando assim melhor o entendimento.

– Temos outra área que representa o formato hexadecimal do pacote bruto capturado dos pacotes.

>>>> Wireshark & GeoIP

Wireshark suporta MaxMind GeoIP ‘s. Você pode usar suas bases de dados para coincidir com os endereços IP para os países, cidade e outros bits de informação. As informações sobre todos os locais de endereços IP conhecidos podem ser exibidas em um mapa, essa parte e muito interessante, deixarei para o próximo post :D

>>>> Wireshark Capturando a impressão em rede.

Podemos usar o Wireshark para interceptar os pacotes destinados a qualquer servidor de impressão na rede e, a partir da captura, identificar quais pacotes você deve conter dados que são enviados para a impressora a ser impresso e apresentado.

Qualquer ferramenta de identificação como o nmap pode identificar os IPs das impressoras e os servidores de impressão,para capturar todos os pacotes que são enviados a partir do servidor de impressão para a impressora de rede, você pode usar várias técnicas, tais como o uso ARP spoofing ou usando rpcapd para captura remota e assim analisar.

Depois de saber o IP do servidor/impressora vamos colocar o seguinte filtro: tcp.dstport == 9100
Depois clicamos com o botão direito em “follow tcp stream” , assim salvamos o conteúdo para depois analisarmos.

Os filtros são a parte mais importante no Wireshark vejamos.

-se quisermos mostrar so o ip de destino usamos o seguinte filtro :
ip.dst == [host destino] ou ip.dst eq [host destino]

*eq – significa igual

-se quisermos saber qual tamanho do pacote “frame” usamos o seguinte filtro

frame.len ne [tamanho do pacote] ou frame.len != [tamanho do pacote] ou frame.len < [tamanho do pacote]

-se quisermos saber o ip da fonte usamos o seguinte filtro

ip.src > [host]

Podemos variar esses simbolos, igual na programação >= ; <= ; > ; < .

-se quisermos saber e filtrar somente alguns dns que contenham algumas especificaçao usamos o seguinte filtro

dns.qry.name contains [www.sitequalquer.com]

ou podemos encontrar somente as palavras

dns.qry.name contains [qualquercoisa]

>>>> Na barra de filtros temos o seguinte botão “EXPRESSION..” esse botão e onde temos todas nossas expressões e seu filtros,vamos usar o seguinte filtro,veja

http.request.method == “POST”

Esse == “POST” podemos pegar no form do codigo fonte da pagina do site,agora se não queremos sniffar algum host podemos fazer dessa maneira !(ip.src eq [host])
Quando estamos querendo saber algun login e senhas pelo filtro ,varias informações são jogadas em nossa tela, então a melhor coisa a fazer e tirar algumas colunas com o seguinte filtro

!(ip.src== host fonte) && !(ip.dst== host destino)

Se queremos listar a lista de protocolos arps podemos fazer o seguinte filtro

(!(ip.src== host fonte) && !(ip.dst== host destino)) && !(protocolo)

Se mudarmos o filtro para :

(!(ip.src== host fonte) && !(ip.dst== host destino)) && !(http)
E depois olharmos no cabeçalho do frame em “hypertext transfer protocol” podemos ver algumas coisas interessantes se buscarmos um pacote que tem status 200 OK (text/html) podemos perceber que encontraremos a versão do servidor sem algum scan de rede

– Se quisermos um IP que responde ao alguns estátos de código podemos fazer dessa maneira

(ip.addr == [host destino]) && (http.response.code == 200)

Se pegarmos o pacotes com stream 6 ,vamos utilizar o seguinte filtro :

tcp.stream eq 6

Observamos o seguinte código do navegador:

xxxxxxxxxx.JPG

bb.JPG

>>> Podemos fazer o seguinte filtro

ip.addr eq [host destino] && tcp

Depois clicamos com o botão direito em cima dos pacotes,clicamos em “conversation filter > tcp” então teremos o seguinte filtro abaixo:

(ip.addr eq 189.27.130.41 and ip.addr eq 192.145.23.102) and (tcp.port eq 80 and tcp.port eq 1144)

Percebemos no comando netstat -noa que sempre o IP da fonte sai com qualquer porta aleatoriamente, ja o IP destino esta com porta 80 e assim que e feita a comunicação

*** Para observamos o que esta consumindo toda a velocidade de nossa rede podemos verificar da seguinte forma,iniciamos uma nova captura e vamos na barra de tarefa em “stastitics > conversation” vamos na aba “TCP” e então clicamos nos processos abaixos que estamos vendo com o botão direito “aplique as filtre > selected > A <-> B”

Se vermos algum pacote mau formado é porque não ouve conecção (na maioria os pacotes são apresentado na cor preta) ou algo do tipo no wireshark,podemos ir na barra de tarefa pela cor e ver qual filtro queremos e qual pacote desejamos veja o filtro abaixo

!(arp) && tcp.flags.reset eq 1

>>>> Como recuperar arquivos com wireshark,

vamos procurar o pacote que baixou o arquivo do servidor vejamos um exemplo

no       time         source                            destination          protocol                       info
478   55.8923820   10.10.6.10                          10.10.6.11             ftp                      Request:RETRarquivo_teste.txt

vamos clicar com o botão direito em cima do pacote “conversation filter > IP” o seguinte filtro vai aparecer assim:

ip.addr eq 10.10.6.10 and ip.addr eq 10.10.6.11

O ftp e um protocolo orientado a conexão da seguinte forma o Three-Way Handshake(SYN —> SYN+ACK—> ACK),buscamos então os pacotes que tem mais bytes veja abaixo:

no    time                    source       destination            protocol           info
584   99.8922320   10.10.6.10             10.10.6.11        FTP-DATA      1449 bytes

Clicamos com botão direito em cima desse pacote “Follow TCP stream” a proxima janela mostrando numeros,simbolos e letras do nosso arquivo (bytes do frame), iremos então clicar em “guardar como” e salvamos e encerramos a janela, podemos então ver que é o mesmo arquivo no caso arquivo_teste.txt.

Bem galera esse é o basicão de Wireshark da para brincar muito em rede local, não coloquei imagem ilustrativas porque isso é mais um resumo que faço durante os meus estudos, ai saio jogando nos .txts …hehehe :lol: .. qualquer duvida só gritar!.. ahh é ate o próximo post de wireshark

 

 

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s