Este artigo descreve como a ferramenta Wireshark pode ser usada para analisar o tráfego de rede, capturando pacotes TCP/IP durante testes em sala de aula. Também discute conceitos básicos de gerenciamento e segurança de redes.
1. Análise de Tráfego da Rede Utilizando o Wireshark
Igor B. S. Pereira1
1
Universidade Federal do Pará (UFPA)
igbrunostm@gmail.com
Resumo. Este artigo tem como objetivo disponibilizar uma síntese sobre o
gerenciamento de redes e seus conceitos. Demonstrando como a ferramneta
Wireshark analisa seu trafego, mostrando como cada um se comporta. Citando sua
estrutura, sua funcionalidade e sua criação.
Palavras-chave: Redes de Computadores, Gerencia de Redes e Wireshark
1. Introdução
As redes de computadores aumentam a confiabilidade do sistema, pois têm fontes alternativas de
fornecimento de dados; ajudam a economizar dinheiro pois os PCs têm uma relação preço/benefício
muito melhor que a dos computadores de grande porte; possibilitam a escalabilidade da rede.
Desde a década de 90, as redes de computação começaram a oferecer serviços para pessoas
físicas: acesso a informações remotas; comunicação pessoa a pessoa; diversão interativa. [1]
O que deve ser feito a fim de se caminhar rumo a um ambiente mais seguro e menos
vulnerável é atender a três requisitos básicos relacionados aos recursos que compõem um ambiente
de Tecnologia da Informação e Comunicação (TIC).
São eles:
Confidencialidade: a informação só está disponível para aqueles devidamente
autorizados;
Integridade: a informação não é destruída ou corrompida e o sistema tem um desempenho
correto;
Disponibilidade: os serviços/recursos do sistema estão disponíveis sempre que forem
necessários.
Uma ação preventiva em relação aos riscos inerentes aos dados de uma organização garante
melhores resultados, com a previsão e eliminação destes, antes de se manifestarem. [1]
O ataque à rede ou sistema computacional é de proveniência de agentes maliciosos, sendo
boa parte de usuários internos com acesso autorizado. Desta forma, um agente ao ativo de
informação, aproveita-se das vulnerabilidades desse ativo, podendo violar os requisitos básicos da
informação suportada ou utilizada por ele.
Com a expansão da interconectividade das redes e a disseminação do uso da Internet nos
ambientes corporativos e domésticos, faz-se necessário um monitoramento sobre os eventos
anormais ocorridos em seu âmbito. [2]
Em resumo, a possibilidade de mesclar informações, comunicação e entretenimento
certamente é uma nova e avançada indústria baseada nas redes de computadores atuais e futuras.
[2]. Apresenta-se também o resultado de testes realizados com softwar de análise de redes. O
Wireshark, solução livre da CACE Technologies.
Pode-se parecer pretensão a proposta de um sistema computacional totalmente seguro.
Especialistas garantem que não existe uma rede inacessível por intrusos, um software livre de bugs
(erros) ou 100% do quadro funcional consciente em relação à segurança da informação.
2. 2. Gerência de Redes
Gerência de Redes é uma aplicação distribuída onde processos de gerência (agentes e gerentes)
trocam informações com o objetivo de monitorar e controlar a rede. [3]. O processo gerente envia
solicitação ao processo agente que por sua vez responde às solicitações e também transmite
notificações referentes aos objetos gerenciados que residem em uma base de informação de
gerenciamento.
Toda e qualquer informação produzida pelo Sistema de Gerência, em um determinado
instante, trafegando pela rede (em uma comunicação típica entre um agente e um gerente ou entre
dois gerentes) ou ainda poderá ser deduzida (reproduzida) com informações parciais oriundas destas
duas fontes. [3]. Toda informação produzida pelo Sistema de gerência é útil para a manutenção da
rede em operação com confiabilidade. Sem dúvida, os Sistemas de Gerência facilitam a
administração das redes seja pela automatização de algumas atividades, seja por permitir maior
controle sobre os recursos da rede ou ainda por fornecer informações (estatísticas, por exemplo) que
permitirão ajustes, correções ou adaptações às necessidades dos usuários. [4]
Entretanto, neste ponto também é possível observar que o próprio Sistema de Gerência e as
informações por ele geradas são de extrema valia para indicar pontos vulneráveis à ataques, ter
acesso e controlar indevidamente recursos da rede, manipular informações, em suma, realizar
atividades prejudiciais à rede, aos sistemas e/ou aos usuários.
3. Ferramentas de Monitoramento de Redes
Monitorar o ambiente é uma das preocupações mais constantes entre empresas e organizações.
Dispor de ferramentas que façam esse controle é fundamental para facilitar o trabalho e identificar
imediatamente algum tipo de erro providenciando assim uma ação efetiva.
Um dos aspectos destacados nesse tipo de solução é opção por controle através de gráficos e
relatórios, além de alertas pelos quais o administrador pode ter a opção de ser avisado se acontecer
qualquer instabilidade na rede. Proporcionando um acompanhamento realtime dos acontecimentos.
Através desse controle é possível determinar e saber em tempo real tudo que está
acontecendo na rede, determinando as ações e providências que devem ser tomadas evitando
problemas maiores.
3.1. Wireshark
O WireShark é um programa que analisa os dados que os protocolos de rede trocam quando estão
ativos. Ele é o sucessor do famoso Ethereal, que fez muito sucesso entre os internautas e o
especialistas que trabalham com rede.
Desenvolvido em código aberto, o programa serve para o usuário verificar o desempenho da
rede e executar testes de pacotes. Por essas características, o WireShark é indicado para quem
entende bastante do assunto. [5]
O programa tem um design bem funcional. Além disso, oferece um recurso para o usuário
customizar a interface, a deixando mais fácil ainda de utilizar e mostrar os resultados das analises
dos protocolos. Portanto, quem tem familiaridade com rede terá extrema facilidade em utiliza os
recursos do WireShark.
O WireShark também conta com filtros de protocolos, permitindo ao usuário receber apenas
as informações que deseja. Além disso, o programa está preparado para salvar log das operações de
análise, um bom recurso para quem precisa implementar sistemas novos na rede.[6]
3. 4. Analisando o trafego da rede com a ferramenta Wireshark
Esta seção faz referencia a uma atividade realisada em sala de aula para demostrar como a
ferramneta de monitoramneto wireshark se comporta com a captura de pacotes TCP/IP.
O primeiro passo para a realização da atividade é entra na pagina
http://cassio.orgfree.com/portal/index.htm onde existe um link que leva á atividade. Nesse momento
é ligado o analisador de pacote onde você da um start para iniciar a captura, em seguida acesse o
link referente a primeira atividade. Logo aparecera uma nova janela que pede o numero de sua
matricula , digite, em seguida aperte no botão (vai...). Esse botão inicializa a troca de pacotes,
pacotes que serão capturados pelo wireshark.
4. Uma vez inicializado o programa ele mostra uma serie de pacotes, que mostram como
ocorreu a troca, nesse linhas são descrevidas todas as informações referentes ao processo. Na
primeira linha aparece o ARP outro protocolo essencial, porém pouco conhecido, que trabalha em
conjunto com o TCP/IP. O ARP (Address Resolution Protocol) é uma forma simples de descobrir o
endereço MAC de um determinado host, a partir do seu endereço IP. Sem ele, diversos serviços,
incluindo o DHCP, não funcionariam.
Tipicamente, numa ligação TCP existe aquele designado de servidor (que abre um socket e
espera passivamente por ligações), num extremo, e o cliente no outro. O cliente inicia a ligação
enviando um pacote TCP com a flag SYN activa e espera-se que o servidor aceite a ligação
enviando um pacote SYN+ACK. Se, durante um determinado espaço de tempo, esse pacote não for
recebido ocorre um timeout e o pacote SYN é reenviado. O estabelecimento da ligação é concluído
por parte do cliente, confirmando a aceitação do servidor respondendo-lhe com um pacote ACK.
Como se pode observar pelo cabeçalho TCP, existem permanentemente um par de números
de sequência, doravante referidos como número de sequência e número de confirmação
(ACKnowledgement). O emissor determina o seu próprio número de sequência e o receptor
confirma o segmento usando como número ACK o número de sequência do emissor. Para manter a
confiabilidade, o receptor confirma os segmentos indicando que recebeu um determinado número
de bytes contíguos. Uma das melhorias introduzidas no TCP foi a possibilidade do receptor
confirmar blocos fora da ordem esperada. Esta característica designa-se por selective ACK, ou
apenas SACK.
5. 5. Conclusões
Uma parte significativa do processo de gerenciamento baseia-se na aquisição de informações sobre
a rede, sendo as mais importantes aquelas relativas a erros, falhas e outras condições excepcionais.
Sendo a informação um ativo de valor para qualquer organização, os cuidados referentes ao
tratamento dos dados e proteção dos recursos das TICs fazem com que o papel do profissional de
segurança seja imprescindível.
Este artigo obteve sucesso, ao apresentar conceitos básicos, indicadores e a análise de uma
ferramentas que pode proporcionar uma ação preventiva relacionada a eventuais anomalias no
tráfego de uma rede.
6. Referências Bibliográficas
[1] KUROSE, J. F. e ROSS, K. W. Redes de Computadores e a Internet: Uma nova abordagem,
Addison Wesley, São Paulo, 2003. (Biblioteca CEFET-SJ – Reserva)
[2] TANENBAUM, A. Redes de Computadores, 3o Edição, Campus, 1996. (Biblioteca
CEFET-SJ)
[3] COMER, D. E. Interligação em rede com TCP/IP, Vol 1 – Princípios, protocolos and
arquitetura, trad. da 3o Edição, Campus, 1998. (Biblioteca CEFET-SJ)
[4] COMER, D. E. Redes de Computadores e Internet, 2o Edição, Bookman, 2001. (Biblioteca
CEFET-SJ – Reserva)
[5] GRIS – Grupo de Resposta a Incidentes de Segurança. Disponível em <
http://www.gris.dcc.ufrj.br/bd/revistas/GRIS_Revista_02.pdf>. Rio de Janeiro. Acesso em 02 de
outubro de 2009.
[6] BASSO, Ricardo D. Análise de Vulnerabilidade de Rede Sem Fio 802.11: Um estudo de caso
em um órgão público municipal. Disponível em <http://tconline.feevale.br/tc/files/0002_1747.pdf>.
Acesso em 02 de outubro de 2009.