Ulisses Costa, profile picture
Carregado porUlisses Costa
PDF, PPTX529 visualizações

Captura de Informação em Rede

1. O documento descreve várias ferramentas para captura de tráfego de rede, incluindo NIDS (Snort), tcpdump e tshark. 2. Explica como o Snort funciona em modo passivo para detecção de intrusão e fornece exemplos de regras. 3. Demonstra como tcpdump e tshark podem ser usados para capturar pacotes em formato libpcap e extrair informações desses pacotes.

Incorporar apresentação

Transferir como PDF, PPTX
Captura de Informa¸˜o em Rede ca Ulisses Ara´jo Costa u 18 Fevereiro, 2010 Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
Sum´rio a 1 NIDS 2 Snort 3 tcpdump 4 Parsing 5 tshark Estat´ısticas Sess˜es HTTP o 6 Descri¸˜o ca Uso da ferramenta Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
NIDS - Network Intrusion Detection System Sistema de detec¸˜o de intrus˜o de rede ca a Tenta detectar actividade maliciosa (ataques DoS, DDos, port scans, tentativas de cracking ) Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
Como funciona An´lise de todos os pacotes a Tenta encontrar padr˜es suspeitos o Exemplo - port scanners Se um grande n´mero de pedidos de conec¸˜es TCP para um u co grande n´mero de portas diferentes num curto espa¸o de tempo u c ent˜o o NIDS conclu´ que podemos estar a ser alvo de um scan de a ı portos. Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
Sum´rio a 1 NIDS 2 Snort 3 tcpdump 4 Parsing 5 tshark Estat´ısticas Sess˜es HTTP o 6 Descri¸˜o ca Uso da ferramenta Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
Defini¸˜o ca SNORT is an open source network intrusion prevention and detection system utilizing a rule-driven language, which combines the benefits of signature, protocol and anomaly based inspection methods. With millions of downloads to date, Snort is the most widely deployed intrusion detection and prevention technology worldwide and has become the de facto standard for the industry. Modo passivo Modo activo = firewall Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
Abordagem - Snort Usar o Snort para capturar todo o trafego que conseguir em modo passivo. root@pig:# snort -u snort -g snort -D -d -l /var/log/snort -c /etc/snort/snort.debian.conf -S -i eth0 Grava log em binario (formato tcpdump) Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
Abordagem - Snort - Sintaxe Regras O Snort usa regras para poder fazer o matching do tr´fego. O a cabe¸alho de uma regra cont´m os seguintes campos: c e Ac¸˜o (log, alert) ca Protocolo (ip, tcp, udp, icmp, any) IP origem e Porto IP destino e Porto Operador de direc¸˜o (− >, ”<>”) ca Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
Abordagem - Snort - Sintaxe Regras Os endere¸os IP de destino ou de origem podem ser: c Vari´veis ($HOME NET) a Endere¸os de IP individuais c blocos CIDR Listas do tipo: [192.168.3.12,192.168.3.9] Os portos podem ser: Portos individuais Ranges de portos (”80:85”, ”:1024”, ”1025:”) Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
Abordagem - Snort - Regras alert tcp any any -> 192.168.1.0/24 21 ( content : " user root "; msg : " FTP root login ";) alert tcp any any -> 192.168.1.0/24 21 ( content : " USER root "; msg : " FTP root login ";) Estas duas regras dizem ao Snort para quando encontrar tr´fego a vindo de qualquer host e em direc¸˜o ao IP 192.168.1.0/24 para o ca porto 21 e cujo conte´do tenha a string ”user root”ou ”USER u root”ent˜o imprimir no ecran o alerta: ”FTP root login”. a Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
Abordagem - Snort - Regras A seguinte regra encontra e grava em ficheiro todas as sess˜es o Telnet que se estabele¸am com o host 192.168.1.0/24. c log !192. 168.1.0/24 any <> 192.168.1.0/24 23 Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
Sum´rio a 1 NIDS 2 Snort 3 tcpdump 4 Parsing 5 tshark Estat´ısticas Sess˜es HTTP o 6 Descri¸˜o ca Uso da ferramenta Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
Abordagem - tcpdump O tcpdump ´ um programa que corre num computador e e grava todos os pacotes que chegam a um interface de rede. Ouve tudo o que a interface recebe Os ficheiros ficam guardados no formato libpcap. Correr o tcpdump ligado a um hub. Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
Abordagem - tcpdump Correr o tcpdump numa Gateway. Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
Sum´rio a 1 NIDS 2 Snort 3 tcpdump 4 Parsing 5 tshark Estat´ısticas Sess˜es HTTP o 6 Descri¸˜o ca Uso da ferramenta Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
Depois de ter o ficheiro. . . Implementa¸˜o de filtros segundo determinadas regras ca Agrega¸˜o de pacotes segundo regras (onde o Snort n˜o ca a chega) Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
Problema - parsing Fazer parsing de tcpdump Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
Exemplo - pacote SSH Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
Implementa¸˜o em Haskell ca getPacket :: [ Word8 ] -> InPacket getPacket bytes = toInPack $ listArray (0 , Prelude . length bytes -1) $ bytes -- Ethernet | IP | TCP | X getPacketTCP :: [ Word8 ] -> Maybe ( NE . Packet ( NI4 . Packet ( NT . Packet InPacket ) ) ) getPacketTCP bytes = doParse $ getPacket bytes :: Maybe ( NE . Packet ( NI4 . Packet ( NT . Packet InPacket ) ) ) Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
Sum´rio a 1 NIDS 2 Snort 3 tcpdump 4 Parsing 5 tshark Estat´ısticas Sess˜es HTTP o 6 Descri¸˜o ca Uso da ferramenta Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
Exemplos Mostrar todas as comunica¸˜es com o IP 192.168.74.242 co root@pig:# tshark -R "ip.addr == 192.168.74.242-r snort.log ... 7750 6079.816123 193.136.19.96 -> 192.168.74.242 SSHv2 Client : Key Exchange Init 7751 6079.816151 192.168.74.242 -> 193.136.19.96 TCP ssh > 51919 [ ACK ] Seq =37 Ack =825 Win =7424 Len =0 TSV =131877388 TSER =1789588 7752 6079.816528 192.168.74.242 -> 193.136.19.96 SSHv2 Server : Key Exchange Init 7753 6079.817450 193.136.19.96 -> 192.168.74.242 TCP 51919 > ssh [ ACK ] Seq =825 Ack =741 Win =7264 Len =0 TSV =1789588 TSER =131877389 7754 6079.817649 193.136.19.96 -> 192.168.74.242 SSHv2 Client : Diffie - Hellman GEX Request 7755 6079.820784 192.168.74.242 -> 193.136.19.96 SSHv2 Server : Diffie - Hellman Key Exchange Reply 7756 6079.829495 193.136.19.96 -> 192.168.74.242 SSHv2 Client : Diffie - Hellman GEX Init 7757 6079.857490 192.168.74.242 -> 193.136.19.96 SSHv2 Server : Diffie - Hellman GEX Reply 7758 6079.884000 193.136.19.96 -> 192.168.74.242 SSHv2 Client : New Keys 7759 6079.922576 192.168.74.242 -> 193.136.19.96 TCP ssh > 51919 [ ACK ] Seq =1613 Ack =1009 Win =8960 Len =0 TSV =131877415 TSER =1789605 ... Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
Exemplos Mostrar um triplo com: (tempo,codigo http,tamanho do conte´do u http), separados por ’,’ e entre aspas. root@pig:# tshark -r snort.log -R http.response -T fields -E header=y -E separator=’,’ -E quote=d -e frame.time relative -e http.response.code -e http.content length ... "128.341166000" ,"200" ,"165504" "128.580181000" ,"200" ,"75332" "128.711618000" ,"200" ,"1202" "149.575548000" ,"206" ,"1" "149.719938000" ,"304" , "149.882290000" ,"404" ,"338" "150.026474000" ,"404" ,"341" "150.026686000" ,"404" ,"342" "150.170295000" ,"304" , "150.313576000" ,"304" , "150.456650000" ,"304" , ... Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
Exemplos Mostrar um tuplo de aridade 4 com: (tempo,ip origem,ip destino, tamanho do pacote tcp). root@pig:# tshark -r snort.log -R "tcp.len>0-T fields -e frame.time relative -e ip.src -e ip.dst -e tcp.len ... 551.751252000 193.136.19.96 192.168.74.242 48 551.751377000 192.168.74.242 193.136.19.96 144 551.961545000 193.136.19.96 192.168.74.242 48 551.961715000 192.168.74.242 193.136.19.96 208 552.682260000 193.136.19.96 192.168.74.242 48 552.683955000 192.168.74.242 193.136.19.96 1448 552.683961000 192.168.74.242 193.136.19.96 1448 552.683967000 192.168.74.242 193.136.19.96 512 555.156301000 193.136.19.96 192.168.74.242 48 555.158474000 192.168.74.242 193.136.19.96 1448 555.158481000 192.168.74.242 193.136.19.96 1400 556.021205000 193.136.19.96 192.168.74.242 48 556.021405000 192.168.74.242 193.136.19.96 160 558.874202000 193.136.19.96 192.168.74.242 48 558.876027000 192.168.74.242 193.136.19.96 1448 ... Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
Exemplos Mostrar um triplo com: (ip origem,ip destino, porto do ip destino). root@pig:# tshark -r snort.log -Tfields -e ip.src -e ip.dst -e tcp.dstport ... 192. 16 8.7 4.242 193.136.19.96 37602 192. 16 8.7 4.242 193.136.19.96 37602 193.136.19.96 192.168.74.242 22 192. 16 8.7 4.242 193.136.19.96 37602 193.136.19.96 192.168.74.242 22 193.136.19.96 192.168.74.242 22 192. 16 8.7 4.242 193.136.19.96 37602 192. 16 8.7 4.242 193.136.19.96 37602 192. 16 8.7 4.242 193.136.19.96 37602 193.136.19.96 192.168.74.242 22 193.136.19.96 192.168.74.242 22 193.136.19.96 192.168.74.242 22 193.136.19.96 192.168.74.242 22 192. 16 8.7 4.242 193.136.19.96 37602 192. 16 8.7 4.242 193.136.19.96 37602 ... Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
Sum´rio a 1 NIDS 2 Snort 3 tcpdump 4 Parsing 5 tshark Estat´ısticas Sess˜es HTTP o 6 Descri¸˜o ca Uso da ferramenta Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
Estat´ ısticas Hierarquia de protocolos root@pig:# tshark -r snort.log -q -z io,phs frame frames :7780 bytes :1111485 eth frames :7780 bytes :1111485 ip frames :3992 bytes :848025 tcp frames :3908 bytes :830990 ssh frames :2153 bytes :456686 http frames :55 bytes :19029 http frames :5 bytes :3559 http frames :3 bytes :2781 http frames :2 bytes :2234 http frames :2 bytes :2234 data - text - lines frames :10 bytes :5356 tcp . segments frames :3 bytes :1117 http frames :3 bytes :1117 media frames :3 bytes :1117 udp frames :84 bytes :17035 nbdgm frames :50 bytes :12525 smb frames :50 bytes :12525 mailslot frames :50 bytes :12525 browser frames :50 bytes :12525 dns frames :34 bytes :4510 llc frames :3142 bytes :224934 stp frames :3040 bytes :182400 cdp frames :102 bytes :42534 loop frames :608 bytes :36480 data frames :608 bytes :36480 arp frames :38 bytes :2046 Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
Estat´ ısticas - Conversations Usa-se: -z conv,<tipo>,<filtro> Tipo pode ser: eth,tr,fc,fddi,ip,ipx,tcp,udp Os filtros servem para restringir as estatisticas root@pig:# tshark -r snort.log -q -z conv,ip,tcp.port==80 ================================================================================ IPv4 Conversations Filter : tcp . port ==80 | <- | | -> | | Total | | Frames Bytes | | Frames Bytes | | Frames Bytes | 19 3. 13 6.1 9. 14 8 <-> 19 2.168.74.242 141 13091 202 259651 343 272742 19 2. 16 8.7 4. 24 2 <-> 128.31.0.36 22 6858 28 4784 50 11642 ================================================================================ Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
Estat´ ısticas - IO Usa-se: -z io,stat,<int>,<filtro>,. . . ,<filtro> root@pig:# tshark -r snort.log -q -z io,stat,300,’not (tcp.port=22)’ =================================================================== IO Statistics Interval : 300.000 secs Column #0: | Column #0 Time | frames | bytes 000.000 -300.000 2161 543979 300.000 -600.000 1671 264877 600.000 -900.000 508 46224 900.000 -1200.000 185 12885 1200.000 -1500.000 201 14607 1500.000 -1800.000 187 13386 1800.000 -2100.000 189 13887 2100.000 -2400.000 187 13386 2400.000 -2700.000 189 13887 2700.000 -3000.000 187 13386 3000.000 -3300.000 185 12885 3300.000 -3600.000 189 13887 3600.000 -3900.000 210 15546 3900.000 -4200.000 189 13887 4200.000 -4500.000 187 13386 4500.000 -4800.000 185 12885 4800.000 -5100.000 189 13887 =================================================================== Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
Sum´rio a 1 NIDS 2 Snort 3 tcpdump 4 Parsing 5 tshark Estat´ısticas Sess˜es HTTP o 6 Descri¸˜o ca Uso da ferramenta Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
Sess˜es HTTP o Quando queremos obter determinada informa¸˜o, se for muito ca especifica, o tshark sozinho pode n˜o conseguir l´ chegar. Assim a a usamos como apoio outras linguagens que suportem o tshark afim de conseguir a informa¸˜o que pretendemos. ca Neste caso queremos mostrar as sess˜es HTTP de um determinado o utilizador. Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
Sess˜es HTTP- implementa¸˜o o ca #!/ usr / bin / bash file = $1 user = $2 for cookie in ‘ tshark -r $file -R " http . request and http contains $user " -T fields -e http . cookie | tr " " " _ " ‘ do sid = ‘ echo $cookie | cut -d ’_ ’ -f 2 | tr -d "015" ‘ tmpfile =" tmp_ ‘ echo $sid | cut -d ’= ’ -f 2 ‘. cap " echo " Processing session cookie $sid to $tmpfile " tshark -r $file -w $tmpfile -R ‘ tshark -r $file " http . request and http . cookie contains " $sid "" -T fields -e tcp . srcport | awk ’{ printf ("% stcp . port ==% s " , sep , $1 ) ; sep ="||"} ’ ‘ done mergecap -w $user . cap ‘ ls -1 tmp_ *. cap ‘ rm ‘ ls -1 tmp_ *. cap ‘ Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
Sum´rio a 1 NIDS 2 Snort 3 tcpdump 4 Parsing 5 tshark Estat´ısticas Sess˜es HTTP o 6 Descri¸˜o ca Uso da ferramenta Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
Ferramenta Ap´s an´lise de v´rias ferramentas o a a Necessidade de criar uma linguagem menor que a que descreve frames de rede Cada linha representa o estado de uma liga¸˜o ca Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
Ferramenta - Sintaxe do input 2010 -01 -01 -01:18:25.2246 tcp (6) E 82.3.10.27 4885 192.168.1.50 445: 4207 0 2010 -01 -01 -01:33:23.8935 tcp (6) S 82.155.39.149 4827 192.168.1.50 23 2010 -01 -01 -01:33:26.9242 tcp (6) E 82.155.39.149 4827 192.168.1.50 23: 0 62 2010 -01 -01 -03:26:11.9261 tcp (6) S 124.120.7.119 4900 192.168.1.50 23 2010 -01 -01 -03:26:13.8581 tcp (6) E 124.120.7.119 4900 192.168.1.50 23: 0 62 2010 -01 -01 -03:26:13.8606 tcp (6) - 124.120.7.119 4900 192.168.1.50 23: 40 R 2010 -01 -01 -03:36:25.6577 tcp (6) S 82.155.157.249 4268 192.168.1.50 23 2010 -01 -01 -03:36:28.6923 tcp (6) E 82.155.157.249 4268 192.168.1.50 23: 0 78 2010 -01 -01 -04:34:39.6524 tcp (6) S 82.155.251.43 3641 192.168.1.50 23 2010 -01 -01 -04:34:42.7348 tcp (6) E 82.155.251.43 3641 192.168.1.50 23: 0 62 2010 -01 -01 -05:45:06.4542 tcp (6) S 82.155.249.73 64436 192.168.1.50 139 2010 -01 -01 -05:45:15.6469 tcp (6) E 82.155.249.73 64436 192.168.1.50 139: 0 0 2010 -01 -01 -05:57:06.7332 tcp (6) S 79.25.93.226 44973 192.168.1.50 139 2010 -01 -01 -05:57:14.3509 tcp (6) E 79.25.93.226 44973 192.168.1.50 139: 0 0 2010 -01 -01 -05:57:28.0971 tcp (6) S 79.25.93.226 46984 192.168.1.50 80 2010 -01 -01 -05:58:40.3750 tcp (6) E 79.25.93.226 46984 192.168.1.50 80: 150 1008 2010 -01 -01 -06:05:42.1734 tcp (6) S 82.155.249.73 64894 192.168.1.50 139 2010 -01 -01 -06:05:46.1496 tcp (6) E 82.155.249.73 64894 192.168.1.50 139: 0 0 2010 -01 -01 -06:15:14.8449 tcp (6) S 82.155.249.73 53952 192.168.1.50 139 2010 -01 -01 -06:15:14.8841 tcp (6) E 82.155.249.73 53952 192.168.1.50 139: 0 0 2010 -01 -01 -06:23:25.5025 tcp (6) S 82.155.249.73 53934 192.168.1.50 139 2010 -01 -01 -06:23:26.5404 tcp (6) E 82.155.249.73 53934 192.168.1.50 139: 0 0 Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
Ferramenta - Sintaxe do input Data Protocolo T IPOrig PortOrig IPDst PortDst Info 2009-12-09-06:31:59.3902 tcp(6) S 88.44.123.210 3637 192.168.1.50 139 2009-12-07-16:06:28.9343 tcp(6) S 82.155.0.49 22617 192.168.1.50 139 2009-12-09-11:41:25.6859 tcp(6) E 82.155.1.160 4399 192.168.1.50 445: 00 2009-12-07-16:20:04.5996 tcp(6) - 82.155.122.18 61582 192.168.1.50 139: 40 R 2009-12-14-09:04:38.2678 icmp(1) - 80.236.5.27 192.168.1.50: 3(13): 5 2009-12-17-01:11:47.6209 tcp(6) - 82.154.64.174 34507 192.168.1.50 445: 40 RA 2009-12-19-18:25:03.3130 tcp(6) - 124.8.74.33 1806 192.168.1.50 25: 70 FPA 2009-12-14-09:54:27.6131 tcp(6) - 168.167.152.228 58274 192.168.1.50 445: 52 FA 2009-12-14-09:54:27.6131 tcp(6) - 168.167.152.228 58274 192.168.1.50 445: 52 FA 2009-12-14-09:54:27.6131 tcp(6) - 82.155.57.245 58274 192.168.1.50 445: 52 PA 2009-12-14-09:54:27.6131 tcp(6) - 193.136.19.149 58274 192.168.1.50 445: 52 PA 2009-12-07-20:59:29.6910 tcp(6) - 88.175.73.149 4332 192.168.1.50 139: 40 R 2009-12-09-11:57:04.2741 tcp(6) - 82.155.137.139 1230 192.168.1.50 445: 40 A 2009-12-07-18:35:28.4232 tcp(6) - 82.155.7.176 2794 192.168.1.50 445: 40 A 2009-12-07-15:34:49.0070 tcp(6) - 82.155.116.238 3578 192.168.1.50 23: 60 S 2009-12-07-16:06:29.2781 tcp(6) - 124.207.41.198 48804 192.168.1.50 23: 40 S 2009-12-15-22:59:03.4039 udp(17) - 192.168.1.254 67 192.168.1.50 68: 298 Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
Ferramenta - Sintaxe do input A coluna da Date tem uma marca temporal de quando a comunica¸˜o ocorreu. ca A coluna Protocolo cont´m informa¸˜o sobre o protocolo de e ca transporte que foi usado, TCP, UDP ou ICMP. Mesmo assim quando ´ feita uma pesquisa n˜o comum de rede pode ser um e a outro qualquer protocolo de internet. Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
Ferramenta - Sintaxe do input A terceira coluna (T) contem a informa¸˜o do tipo de conex˜o: ca a S significa que a liga¸˜o come¸ou (Start) ca c E significa que a liga¸˜o terminou (End) ca - significa que o package n˜o corresponde a nenhuma a conex˜o. a As pr´ximas quatro colunas correspondem a informa¸˜o sobre o IP o ca de destino, o porto de destino, o IP de origem e o porto de origem. Para o protocolo ICMP as colunas das portas est˜o vazias porque a este protocolo n˜o usa portas. a A coluna Info cont´m informa¸˜o relativa a uma conex˜o ou um e ca a pacote. Quando uma conex˜o termina este cont´m o n´mero de a e u bytes recebidos e enviados. Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
Ferramenta - Sintaxe do input Para os pacotes de sondagem estes contˆm informa¸˜o adicional: e ca TCP O tamanho do pacote e as flags que est˜o no header. a F (Fin) - N˜o existe mais informa¸˜o para a ca enviar S (Syn) - Sincroniza n´meros de sequenˆncia u e R (Rst) - Faz Reset ` conex˜o a a P (Push) - Esta flag diz ao host receptor para fazer um push a toda a informa¸˜o ca para a aplica¸˜o que vai receber a ca informa¸˜o, b´sicamente diz: ”chega ca a por agora”. A (Ack) - Indica que o campo ACKnowledgment est´ preenchido, com o valor do a ACKnowledgment Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
Ferramenta - Sintaxe do input U (Urg) - Indica que o campo URGent est´ preenchido. Esta a flag serve para indicar que a informa¸˜o contida ca neste campo ter´ de ser tratada com uregencia, antes a dos pacotes normais serem tratados. E (ECE) - Indica que o protocolo TCP ´ capaz de Explicit e Congestion Notification durante o 3-way handshake. C (CWR) - Flag de Congestion Window Reduced ´ usada para e indicar que foi recebida um segmento TCP com a flag ECE ICMP O c´digo, o tipo e o tamanho do pacote. o UDP Tamanho do pacote Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
Ferramenta - Sintaxe do input O cabe¸alho de um pacote TCP cont´m espa¸o para todas estas c e c flags que foram descritas. Como podemos ver na imagem: Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
Sum´rio a 1 NIDS 2 Snort 3 tcpdump 4 Parsing 5 tshark Estat´ısticas Sess˜es HTTP o 6 Descri¸˜o ca Uso da ferramenta Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
Ferramenta - output Com este programa conseguimos gerar por exemplo as comunica¸˜es entre o host 193.136.19.96 e o host 192.168.74.242 co pelo porto 80 (HTTP), em bytes: Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
Ferramenta - output No seguinte gr´fico conseguimos ver o n´mero de liga¸˜es que a u co houve durante um periodo de tempo ` m´quina 192.168.74.242 a a por IP de origem: Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
Ferramenta - output Mostra a quantidade de tr´fego recebido pela m´quina a a 193.136.19.96 no porto 80 (HTTP), vindo de todos os IP’s que comunicaram consigo: Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
Ferramenta - output N´mero de hits no porto 80 do IP 192.168.1.50: u Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
Ferramenta - output N´mero de hits nos portos do IP 192.168.1.50: u Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
Conclus˜es o tshark ´ o verdadeiro canivete sui¸o de frames de rede e c Todas as ferramentas tiveram pontos fortes Nenhuma resolveu totalmente o nosso problema Software est´ reparado para ser extendido e suportar outros a protocolos de qualquer Layer. Desenvolver conversor libpcap para a linguagem utilizada, ver relat´rio para sugest˜es de implementa¸˜o. o o ca Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
Fim ? Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca

Mais conteúdo relacionado

PPTX
Entenda e Aplique o IPv6
porKleber Silva
 
PDF
Snort
porJean Pimentel
 
PDF
Ipv6
porGionni Lúcio
 
PPT
Ids
porCaniap
 
PDF
03 seguranca redesi-pv6
porPatricio Cardoso Bomfim
 
PDF
Arduino Day 2015 - LHC - Controle de Pragas
porDouglas Esteves
 
PPTX
Criptografia - Redes de Computadores
porCícero Bruno
 
PDF
Static Code Analyzer - Part II
porUlisses Costa
 
Entenda e Aplique o IPv6
porKleber Silva
 
Snort
porJean Pimentel
 
Ipv6
porGionni Lúcio
 
Ids
porCaniap
 
03 seguranca redesi-pv6
porPatricio Cardoso Bomfim
 
Arduino Day 2015 - LHC - Controle de Pragas
porDouglas Esteves
 
Criptografia - Redes de Computadores
porCícero Bruno
 
Static Code Analyzer - Part II
porUlisses Costa
 

Destaque

PDF
Specifying and Implementing SNOW3G with Cryptol
porUlisses Costa
 
PDF
Static Code Analyzer - Part III
porUlisses Costa
 
PDF
Static Code Analyzer - Part IV
porUlisses Costa
 
PDF
logCesium01
porUlisses Costa
 
PDF
Cesium Log ed2
porUlisses Costa
 
PDF
Static Code Analyzer - Part I
porUlisses Costa
 
PDF
GD::Graph - Graph Plotting Module
porUlisses Costa
 
Specifying and Implementing SNOW3G with Cryptol
porUlisses Costa
 
Static Code Analyzer - Part III
porUlisses Costa
 
Static Code Analyzer - Part IV
porUlisses Costa
 
logCesium01
porUlisses Costa
 
Cesium Log ed2
porUlisses Costa
 
Static Code Analyzer - Part I
porUlisses Costa
 
GD::Graph - Graph Plotting Module
porUlisses Costa
 

Mais de Ulisses Costa

PDF
Automatic Test Generation for Space
porUlisses Costa
 
PDF
Automatic Test Generation for Space
porUlisses Costa
 
PDF
Cryptol experience
porUlisses Costa
 
PDF
Correct sorting with Frama-C
porUlisses Costa
 
PDF
The Cryptol Epilogue: Swift and Bulletproof VHDL
porUlisses Costa
 
PDF
Splint the C code static checker
porUlisses Costa
 
PDF
Exploring the Cryptol Toolset
porUlisses Costa
 
PDF
Specification of SNOW 3G in Cryptol
porUlisses Costa
 
PDF
Snort - capturar e dissecar o tráfego da rede
porUlisses Costa
 
PDF
LDAP em VDM++
porUlisses Costa
 
PDF
Uso de Honeypots com Honeyd
porUlisses Costa
 
PDF
Apresentacao JML
porUlisses Costa
 
PDF
Linux Instalation Party
porUlisses Costa
 
PDF
Workshop LaTeX
porUlisses Costa
 
PDF
Calculador Pointfree
porUlisses Costa
 
Automatic Test Generation for Space
porUlisses Costa
 
Automatic Test Generation for Space
porUlisses Costa
 
Cryptol experience
porUlisses Costa
 
Correct sorting with Frama-C
porUlisses Costa
 
The Cryptol Epilogue: Swift and Bulletproof VHDL
porUlisses Costa
 
Splint the C code static checker
porUlisses Costa
 
Exploring the Cryptol Toolset
porUlisses Costa
 
Specification of SNOW 3G in Cryptol
porUlisses Costa
 
Snort - capturar e dissecar o tráfego da rede
porUlisses Costa
 
LDAP em VDM++
porUlisses Costa
 
Uso de Honeypots com Honeyd
porUlisses Costa
 
Apresentacao JML
porUlisses Costa
 
Linux Instalation Party
porUlisses Costa
 
Workshop LaTeX
porUlisses Costa
 
Calculador Pointfree
porUlisses Costa
 

Captura de Informação em Rede

  • 1.
    Captura de Informa¸˜oem Rede ca Ulisses Ara´jo Costa u 18 Fevereiro, 2010 Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
  • 2.
    Sum´rio a 1 NIDS 2 Snort 3 tcpdump 4 Parsing 5 tshark Estat´ısticas Sess˜es HTTP o 6 Descri¸˜o ca Uso da ferramenta Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
  • 3.
    NIDS - NetworkIntrusion Detection System Sistema de detec¸˜o de intrus˜o de rede ca a Tenta detectar actividade maliciosa (ataques DoS, DDos, port scans, tentativas de cracking ) Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
  • 4.
    Como funciona An´lise de todos os pacotes a Tenta encontrar padr˜es suspeitos o Exemplo - port scanners Se um grande n´mero de pedidos de conec¸˜es TCP para um u co grande n´mero de portas diferentes num curto espa¸o de tempo u c ent˜o o NIDS conclu´ que podemos estar a ser alvo de um scan de a ı portos. Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
  • 5.
    Sum´rio a 1 NIDS 2 Snort 3 tcpdump 4 Parsing 5 tshark Estat´ısticas Sess˜es HTTP o 6 Descri¸˜o ca Uso da ferramenta Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
  • 6.
    Defini¸˜o ca SNORT is an open source network intrusion prevention and detection system utilizing a rule-driven language, which combines the benefits of signature, protocol and anomaly based inspection methods. With millions of downloads to date, Snort is the most widely deployed intrusion detection and prevention technology worldwide and has become the de facto standard for the industry. Modo passivo Modo activo = firewall Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
  • 7.
    Abordagem - Snort Usar o Snort para capturar todo o trafego que conseguir em modo passivo. root@pig:# snort -u snort -g snort -D -d -l /var/log/snort -c /etc/snort/snort.debian.conf -S -i eth0 Grava log em binario (formato tcpdump) Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
  • 8.
    Abordagem - Snort- Sintaxe Regras O Snort usa regras para poder fazer o matching do tr´fego. O a cabe¸alho de uma regra cont´m os seguintes campos: c e Ac¸˜o (log, alert) ca Protocolo (ip, tcp, udp, icmp, any) IP origem e Porto IP destino e Porto Operador de direc¸˜o (− >, ”<>”) ca Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
  • 9.
    Abordagem - Snort- Sintaxe Regras Os endere¸os IP de destino ou de origem podem ser: c Vari´veis ($HOME NET) a Endere¸os de IP individuais c blocos CIDR Listas do tipo: [192.168.3.12,192.168.3.9] Os portos podem ser: Portos individuais Ranges de portos (”80:85”, ”:1024”, ”1025:”) Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
  • 10.
    Abordagem - Snort- Regras alert tcp any any -> 192.168.1.0/24 21 ( content : " user root "; msg : " FTP root login ";) alert tcp any any -> 192.168.1.0/24 21 ( content : " USER root "; msg : " FTP root login ";) Estas duas regras dizem ao Snort para quando encontrar tr´fego a vindo de qualquer host e em direc¸˜o ao IP 192.168.1.0/24 para o ca porto 21 e cujo conte´do tenha a string ”user root”ou ”USER u root”ent˜o imprimir no ecran o alerta: ”FTP root login”. a Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
  • 11.
    Abordagem - Snort- Regras A seguinte regra encontra e grava em ficheiro todas as sess˜es o Telnet que se estabele¸am com o host 192.168.1.0/24. c log !192. 168.1.0/24 any <> 192.168.1.0/24 23 Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
  • 12.
    Sum´rio a 1 NIDS 2 Snort 3 tcpdump 4 Parsing 5 tshark Estat´ısticas Sess˜es HTTP o 6 Descri¸˜o ca Uso da ferramenta Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
  • 13.
    Abordagem - tcpdump O tcpdump ´ um programa que corre num computador e e grava todos os pacotes que chegam a um interface de rede. Ouve tudo o que a interface recebe Os ficheiros ficam guardados no formato libpcap. Correr o tcpdump ligado a um hub. Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
  • 14.
    Abordagem - tcpdump Correr o tcpdump numa Gateway. Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
  • 15.
    Sum´rio a 1 NIDS 2 Snort 3 tcpdump 4 Parsing 5 tshark Estat´ısticas Sess˜es HTTP o 6 Descri¸˜o ca Uso da ferramenta Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
  • 16.
    Depois de tero ficheiro. . . Implementa¸˜o de filtros segundo determinadas regras ca Agrega¸˜o de pacotes segundo regras (onde o Snort n˜o ca a chega) Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
  • 17.
    Problema - parsing Fazer parsing de tcpdump Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
  • 18.
    Exemplo - pacoteSSH Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
  • 19.
    Implementa¸˜o em Haskell ca getPacket :: [ Word8 ] -> InPacket getPacket bytes = toInPack $ listArray (0 , Prelude . length bytes -1) $ bytes -- Ethernet | IP | TCP | X getPacketTCP :: [ Word8 ] -> Maybe ( NE . Packet ( NI4 . Packet ( NT . Packet InPacket ) ) ) getPacketTCP bytes = doParse $ getPacket bytes :: Maybe ( NE . Packet ( NI4 . Packet ( NT . Packet InPacket ) ) ) Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
  • 20.
    Sum´rio a 1 NIDS 2 Snort 3 tcpdump 4 Parsing 5 tshark Estat´ısticas Sess˜es HTTP o 6 Descri¸˜o ca Uso da ferramenta Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
  • 21.
    Exemplos Mostrartodas as comunica¸˜es com o IP 192.168.74.242 co root@pig:# tshark -R "ip.addr == 192.168.74.242-r snort.log ... 7750 6079.816123 193.136.19.96 -> 192.168.74.242 SSHv2 Client : Key Exchange Init 7751 6079.816151 192.168.74.242 -> 193.136.19.96 TCP ssh > 51919 [ ACK ] Seq =37 Ack =825 Win =7424 Len =0 TSV =131877388 TSER =1789588 7752 6079.816528 192.168.74.242 -> 193.136.19.96 SSHv2 Server : Key Exchange Init 7753 6079.817450 193.136.19.96 -> 192.168.74.242 TCP 51919 > ssh [ ACK ] Seq =825 Ack =741 Win =7264 Len =0 TSV =1789588 TSER =131877389 7754 6079.817649 193.136.19.96 -> 192.168.74.242 SSHv2 Client : Diffie - Hellman GEX Request 7755 6079.820784 192.168.74.242 -> 193.136.19.96 SSHv2 Server : Diffie - Hellman Key Exchange Reply 7756 6079.829495 193.136.19.96 -> 192.168.74.242 SSHv2 Client : Diffie - Hellman GEX Init 7757 6079.857490 192.168.74.242 -> 193.136.19.96 SSHv2 Server : Diffie - Hellman GEX Reply 7758 6079.884000 193.136.19.96 -> 192.168.74.242 SSHv2 Client : New Keys 7759 6079.922576 192.168.74.242 -> 193.136.19.96 TCP ssh > 51919 [ ACK ] Seq =1613 Ack =1009 Win =8960 Len =0 TSV =131877415 TSER =1789605 ... Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
  • 22.
    Exemplos Mostrarum triplo com: (tempo,codigo http,tamanho do conte´do u http), separados por ’,’ e entre aspas. root@pig:# tshark -r snort.log -R http.response -T fields -E header=y -E separator=’,’ -E quote=d -e frame.time relative -e http.response.code -e http.content length ... "128.341166000" ,"200" ,"165504" "128.580181000" ,"200" ,"75332" "128.711618000" ,"200" ,"1202" "149.575548000" ,"206" ,"1" "149.719938000" ,"304" , "149.882290000" ,"404" ,"338" "150.026474000" ,"404" ,"341" "150.026686000" ,"404" ,"342" "150.170295000" ,"304" , "150.313576000" ,"304" , "150.456650000" ,"304" , ... Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
  • 23.
    Exemplos Mostrarum tuplo de aridade 4 com: (tempo,ip origem,ip destino, tamanho do pacote tcp). root@pig:# tshark -r snort.log -R "tcp.len>0-T fields -e frame.time relative -e ip.src -e ip.dst -e tcp.len ... 551.751252000 193.136.19.96 192.168.74.242 48 551.751377000 192.168.74.242 193.136.19.96 144 551.961545000 193.136.19.96 192.168.74.242 48 551.961715000 192.168.74.242 193.136.19.96 208 552.682260000 193.136.19.96 192.168.74.242 48 552.683955000 192.168.74.242 193.136.19.96 1448 552.683961000 192.168.74.242 193.136.19.96 1448 552.683967000 192.168.74.242 193.136.19.96 512 555.156301000 193.136.19.96 192.168.74.242 48 555.158474000 192.168.74.242 193.136.19.96 1448 555.158481000 192.168.74.242 193.136.19.96 1400 556.021205000 193.136.19.96 192.168.74.242 48 556.021405000 192.168.74.242 193.136.19.96 160 558.874202000 193.136.19.96 192.168.74.242 48 558.876027000 192.168.74.242 193.136.19.96 1448 ... Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
  • 24.
    Exemplos Mostrarum triplo com: (ip origem,ip destino, porto do ip destino). root@pig:# tshark -r snort.log -Tfields -e ip.src -e ip.dst -e tcp.dstport ... 192. 16 8.7 4.242 193.136.19.96 37602 192. 16 8.7 4.242 193.136.19.96 37602 193.136.19.96 192.168.74.242 22 192. 16 8.7 4.242 193.136.19.96 37602 193.136.19.96 192.168.74.242 22 193.136.19.96 192.168.74.242 22 192. 16 8.7 4.242 193.136.19.96 37602 192. 16 8.7 4.242 193.136.19.96 37602 192. 16 8.7 4.242 193.136.19.96 37602 193.136.19.96 192.168.74.242 22 193.136.19.96 192.168.74.242 22 193.136.19.96 192.168.74.242 22 193.136.19.96 192.168.74.242 22 192. 16 8.7 4.242 193.136.19.96 37602 192. 16 8.7 4.242 193.136.19.96 37602 ... Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
  • 25.
    Sum´rio a 1 NIDS 2 Snort 3 tcpdump 4 Parsing 5 tshark Estat´ısticas Sess˜es HTTP o 6 Descri¸˜o ca Uso da ferramenta Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
  • 26.
    Estat´ ısticas Hierarquia de protocolos root@pig:# tshark -r snort.log -q -z io,phs frame frames :7780 bytes :1111485 eth frames :7780 bytes :1111485 ip frames :3992 bytes :848025 tcp frames :3908 bytes :830990 ssh frames :2153 bytes :456686 http frames :55 bytes :19029 http frames :5 bytes :3559 http frames :3 bytes :2781 http frames :2 bytes :2234 http frames :2 bytes :2234 data - text - lines frames :10 bytes :5356 tcp . segments frames :3 bytes :1117 http frames :3 bytes :1117 media frames :3 bytes :1117 udp frames :84 bytes :17035 nbdgm frames :50 bytes :12525 smb frames :50 bytes :12525 mailslot frames :50 bytes :12525 browser frames :50 bytes :12525 dns frames :34 bytes :4510 llc frames :3142 bytes :224934 stp frames :3040 bytes :182400 cdp frames :102 bytes :42534 loop frames :608 bytes :36480 data frames :608 bytes :36480 arp frames :38 bytes :2046 Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
  • 27.
    Estat´ ısticas - Conversations Usa-se: -z conv,<tipo>,<filtro> Tipo pode ser: eth,tr,fc,fddi,ip,ipx,tcp,udp Os filtros servem para restringir as estatisticas root@pig:# tshark -r snort.log -q -z conv,ip,tcp.port==80 ================================================================================ IPv4 Conversations Filter : tcp . port ==80 | <- | | -> | | Total | | Frames Bytes | | Frames Bytes | | Frames Bytes | 19 3. 13 6.1 9. 14 8 <-> 19 2.168.74.242 141 13091 202 259651 343 272742 19 2. 16 8.7 4. 24 2 <-> 128.31.0.36 22 6858 28 4784 50 11642 ================================================================================ Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
  • 28.
    Estat´ ısticas - IO Usa-se: -z io,stat,<int>,<filtro>,. . . ,<filtro> root@pig:# tshark -r snort.log -q -z io,stat,300,’not (tcp.port=22)’ =================================================================== IO Statistics Interval : 300.000 secs Column #0: | Column #0 Time | frames | bytes 000.000 -300.000 2161 543979 300.000 -600.000 1671 264877 600.000 -900.000 508 46224 900.000 -1200.000 185 12885 1200.000 -1500.000 201 14607 1500.000 -1800.000 187 13386 1800.000 -2100.000 189 13887 2100.000 -2400.000 187 13386 2400.000 -2700.000 189 13887 2700.000 -3000.000 187 13386 3000.000 -3300.000 185 12885 3300.000 -3600.000 189 13887 3600.000 -3900.000 210 15546 3900.000 -4200.000 189 13887 4200.000 -4500.000 187 13386 4500.000 -4800.000 185 12885 4800.000 -5100.000 189 13887 =================================================================== Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
  • 29.
    Sum´rio a 1 NIDS 2 Snort 3 tcpdump 4 Parsing 5 tshark Estat´ısticas Sess˜es HTTP o 6 Descri¸˜o ca Uso da ferramenta Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
  • 30.
    Sess˜es HTTP o Quando queremos obter determinada informa¸˜o, se for muito ca especifica, o tshark sozinho pode n˜o conseguir l´ chegar. Assim a a usamos como apoio outras linguagens que suportem o tshark afim de conseguir a informa¸˜o que pretendemos. ca Neste caso queremos mostrar as sess˜es HTTP de um determinado o utilizador. Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
  • 31.
    Sess˜es HTTP- implementa¸˜o o ca #!/ usr / bin / bash file = $1 user = $2 for cookie in ‘ tshark -r $file -R " http . request and http contains $user " -T fields -e http . cookie | tr " " " _ " ‘ do sid = ‘ echo $cookie | cut -d ’_ ’ -f 2 | tr -d "015" ‘ tmpfile =" tmp_ ‘ echo $sid | cut -d ’= ’ -f 2 ‘. cap " echo " Processing session cookie $sid to $tmpfile " tshark -r $file -w $tmpfile -R ‘ tshark -r $file " http . request and http . cookie contains " $sid "" -T fields -e tcp . srcport | awk ’{ printf ("% stcp . port ==% s " , sep , $1 ) ; sep ="||"} ’ ‘ done mergecap -w $user . cap ‘ ls -1 tmp_ *. cap ‘ rm ‘ ls -1 tmp_ *. cap ‘ Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
  • 32.
    Sum´rio a 1 NIDS 2 Snort 3 tcpdump 4 Parsing 5 tshark Estat´ısticas Sess˜es HTTP o 6 Descri¸˜o ca Uso da ferramenta Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
  • 33.
    Ferramenta Ap´s an´lise de v´rias ferramentas o a a Necessidade de criar uma linguagem menor que a que descreve frames de rede Cada linha representa o estado de uma liga¸˜o ca Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
  • 34.
    Ferramenta - Sintaxedo input 2010 -01 -01 -01:18:25.2246 tcp (6) E 82.3.10.27 4885 192.168.1.50 445: 4207 0 2010 -01 -01 -01:33:23.8935 tcp (6) S 82.155.39.149 4827 192.168.1.50 23 2010 -01 -01 -01:33:26.9242 tcp (6) E 82.155.39.149 4827 192.168.1.50 23: 0 62 2010 -01 -01 -03:26:11.9261 tcp (6) S 124.120.7.119 4900 192.168.1.50 23 2010 -01 -01 -03:26:13.8581 tcp (6) E 124.120.7.119 4900 192.168.1.50 23: 0 62 2010 -01 -01 -03:26:13.8606 tcp (6) - 124.120.7.119 4900 192.168.1.50 23: 40 R 2010 -01 -01 -03:36:25.6577 tcp (6) S 82.155.157.249 4268 192.168.1.50 23 2010 -01 -01 -03:36:28.6923 tcp (6) E 82.155.157.249 4268 192.168.1.50 23: 0 78 2010 -01 -01 -04:34:39.6524 tcp (6) S 82.155.251.43 3641 192.168.1.50 23 2010 -01 -01 -04:34:42.7348 tcp (6) E 82.155.251.43 3641 192.168.1.50 23: 0 62 2010 -01 -01 -05:45:06.4542 tcp (6) S 82.155.249.73 64436 192.168.1.50 139 2010 -01 -01 -05:45:15.6469 tcp (6) E 82.155.249.73 64436 192.168.1.50 139: 0 0 2010 -01 -01 -05:57:06.7332 tcp (6) S 79.25.93.226 44973 192.168.1.50 139 2010 -01 -01 -05:57:14.3509 tcp (6) E 79.25.93.226 44973 192.168.1.50 139: 0 0 2010 -01 -01 -05:57:28.0971 tcp (6) S 79.25.93.226 46984 192.168.1.50 80 2010 -01 -01 -05:58:40.3750 tcp (6) E 79.25.93.226 46984 192.168.1.50 80: 150 1008 2010 -01 -01 -06:05:42.1734 tcp (6) S 82.155.249.73 64894 192.168.1.50 139 2010 -01 -01 -06:05:46.1496 tcp (6) E 82.155.249.73 64894 192.168.1.50 139: 0 0 2010 -01 -01 -06:15:14.8449 tcp (6) S 82.155.249.73 53952 192.168.1.50 139 2010 -01 -01 -06:15:14.8841 tcp (6) E 82.155.249.73 53952 192.168.1.50 139: 0 0 2010 -01 -01 -06:23:25.5025 tcp (6) S 82.155.249.73 53934 192.168.1.50 139 2010 -01 -01 -06:23:26.5404 tcp (6) E 82.155.249.73 53934 192.168.1.50 139: 0 0 Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
  • 35.
    Ferramenta - Sintaxedo input Data Protocolo T IPOrig PortOrig IPDst PortDst Info 2009-12-09-06:31:59.3902 tcp(6) S 88.44.123.210 3637 192.168.1.50 139 2009-12-07-16:06:28.9343 tcp(6) S 82.155.0.49 22617 192.168.1.50 139 2009-12-09-11:41:25.6859 tcp(6) E 82.155.1.160 4399 192.168.1.50 445: 00 2009-12-07-16:20:04.5996 tcp(6) - 82.155.122.18 61582 192.168.1.50 139: 40 R 2009-12-14-09:04:38.2678 icmp(1) - 80.236.5.27 192.168.1.50: 3(13): 5 2009-12-17-01:11:47.6209 tcp(6) - 82.154.64.174 34507 192.168.1.50 445: 40 RA 2009-12-19-18:25:03.3130 tcp(6) - 124.8.74.33 1806 192.168.1.50 25: 70 FPA 2009-12-14-09:54:27.6131 tcp(6) - 168.167.152.228 58274 192.168.1.50 445: 52 FA 2009-12-14-09:54:27.6131 tcp(6) - 168.167.152.228 58274 192.168.1.50 445: 52 FA 2009-12-14-09:54:27.6131 tcp(6) - 82.155.57.245 58274 192.168.1.50 445: 52 PA 2009-12-14-09:54:27.6131 tcp(6) - 193.136.19.149 58274 192.168.1.50 445: 52 PA 2009-12-07-20:59:29.6910 tcp(6) - 88.175.73.149 4332 192.168.1.50 139: 40 R 2009-12-09-11:57:04.2741 tcp(6) - 82.155.137.139 1230 192.168.1.50 445: 40 A 2009-12-07-18:35:28.4232 tcp(6) - 82.155.7.176 2794 192.168.1.50 445: 40 A 2009-12-07-15:34:49.0070 tcp(6) - 82.155.116.238 3578 192.168.1.50 23: 60 S 2009-12-07-16:06:29.2781 tcp(6) - 124.207.41.198 48804 192.168.1.50 23: 40 S 2009-12-15-22:59:03.4039 udp(17) - 192.168.1.254 67 192.168.1.50 68: 298 Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
  • 36.
    Ferramenta - Sintaxedo input A coluna da Date tem uma marca temporal de quando a comunica¸˜o ocorreu. ca A coluna Protocolo cont´m informa¸˜o sobre o protocolo de e ca transporte que foi usado, TCP, UDP ou ICMP. Mesmo assim quando ´ feita uma pesquisa n˜o comum de rede pode ser um e a outro qualquer protocolo de internet. Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
  • 37.
    Ferramenta - Sintaxedo input A terceira coluna (T) contem a informa¸˜o do tipo de conex˜o: ca a S significa que a liga¸˜o come¸ou (Start) ca c E significa que a liga¸˜o terminou (End) ca - significa que o package n˜o corresponde a nenhuma a conex˜o. a As pr´ximas quatro colunas correspondem a informa¸˜o sobre o IP o ca de destino, o porto de destino, o IP de origem e o porto de origem. Para o protocolo ICMP as colunas das portas est˜o vazias porque a este protocolo n˜o usa portas. a A coluna Info cont´m informa¸˜o relativa a uma conex˜o ou um e ca a pacote. Quando uma conex˜o termina este cont´m o n´mero de a e u bytes recebidos e enviados. Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
  • 38.
    Ferramenta - Sintaxedo input Para os pacotes de sondagem estes contˆm informa¸˜o adicional: e ca TCP O tamanho do pacote e as flags que est˜o no header. a F (Fin) - N˜o existe mais informa¸˜o para a ca enviar S (Syn) - Sincroniza n´meros de sequenˆncia u e R (Rst) - Faz Reset ` conex˜o a a P (Push) - Esta flag diz ao host receptor para fazer um push a toda a informa¸˜o ca para a aplica¸˜o que vai receber a ca informa¸˜o, b´sicamente diz: ”chega ca a por agora”. A (Ack) - Indica que o campo ACKnowledgment est´ preenchido, com o valor do a ACKnowledgment Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
  • 39.
    Ferramenta - Sintaxedo input U (Urg) - Indica que o campo URGent est´ preenchido. Esta a flag serve para indicar que a informa¸˜o contida ca neste campo ter´ de ser tratada com uregencia, antes a dos pacotes normais serem tratados. E (ECE) - Indica que o protocolo TCP ´ capaz de Explicit e Congestion Notification durante o 3-way handshake. C (CWR) - Flag de Congestion Window Reduced ´ usada para e indicar que foi recebida um segmento TCP com a flag ECE ICMP O c´digo, o tipo e o tamanho do pacote. o UDP Tamanho do pacote Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
  • 40.
    Ferramenta - Sintaxedo input O cabe¸alho de um pacote TCP cont´m espa¸o para todas estas c e c flags que foram descritas. Como podemos ver na imagem: Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
  • 41.
    Sum´rio a 1 NIDS 2 Snort 3 tcpdump 4 Parsing 5 tshark Estat´ısticas Sess˜es HTTP o 6 Descri¸˜o ca Uso da ferramenta Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
  • 42.
    Ferramenta - output Com este programa conseguimos gerar por exemplo as comunica¸˜es entre o host 193.136.19.96 e o host 192.168.74.242 co pelo porto 80 (HTTP), em bytes: Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
  • 43.
    Ferramenta - output No seguinte gr´fico conseguimos ver o n´mero de liga¸˜es que a u co houve durante um periodo de tempo ` m´quina 192.168.74.242 a a por IP de origem: Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
  • 44.
    Ferramenta - output Mostra a quantidade de tr´fego recebido pela m´quina a a 193.136.19.96 no porto 80 (HTTP), vindo de todos os IP’s que comunicaram consigo: Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
  • 45.
    Ferramenta - output N´mero de hits no porto 80 do IP 192.168.1.50: u Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
  • 46.
    Ferramenta - output N´mero de hits nos portos do IP 192.168.1.50: u Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
  • 47.
    Conclus˜es o tshark ´ o verdadeiro canivete sui¸o de frames de rede e c Todas as ferramentas tiveram pontos fortes Nenhuma resolveu totalmente o nosso problema Software est´ reparado para ser extendido e suportar outros a protocolos de qualquer Layer. Desenvolver conversor libpcap para a linguagem utilizada, ver relat´rio para sugest˜es de implementa¸˜o. o o ca Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca
  • 48.
    Fim ? Ulisses Ara´jo Costa u Captura de Informa¸˜o em Rede ca