IntroduçãoA ferramenta Wireshark possibilita a captura e a análise de pacotes. Esta ferramenta é utilizada por administradores de redes e usuários avançados que desejam monitorar o tráfego de uma rede, analisando e dissecando os pacotes de dados.
Um Analisador de PacotesUm analisador de pacotes (packet sniffer) é uma aplicação que captura os pacotes que trafegam na rede, permitindo a sua análise. Diferentemente de outras aplicações que apenas analisam os pacotes a si destinados, um sniffer pode atuar em modo promíscuo, analisando todo o tráfego que passa no ponto da rede onde está ligado. A correta utilização desta aplicação permite identificar problemas na rede, que de outra forma seriam de difícil detecção. De forma análoga pode-se pensar em um analisador de pacotes como um dispositivo de medição utilizado para analisar o que está acontecendo dentro de uma rede, assim como um voltímetro é usado por um eletricista para analisar o que está acontecendo dentro de um cabo elétrico.
Cuidados na Utilização de um SnifferTal como quase todas as ferramentas, um sniffer pode também ser usado para fins menos próprios. O fato de poder capturar tráfego que não lhe é destinado faz com que possa por em causa a privacidade de quem utiliza a rede, se for utilizado de forma indevida. Protocolos de comunicação que utilizam métodos pouco seguros para envio de informação importante, por exemplo, a validação por palavra-chave em um servidor de email POP3 que é enviada sem proteção, pode-se capturar informações importantes facilmente, que podem ser usada para fins indevidos. A captura de pacotes de rede é uma técnica muito poderosa, mas a captura de pacotes destinados a outras máquinas ou outras pessoas é uma forma de invasão de privacidade, o que pode ser ilegal. Um bom administrador de sistemas sabe onde ficam os limites entre a depuração de rede e a violação da privacidade de seus usuários.
HistóricoNo final de 1997, Gerald Combs necessitou de uma ferramenta de monitoramento de problemas de rede fixa, e assim começou a escrever o Ethereal (o antigo nome do projeto Wireshark). Ethereal teve sua primeira disponibilização em julho 1998 com a versão 0.2.0 após diversas pausas durante o processo de desenvolvimento. Dentro de dias, patches, relatórios de bug e palavras de encorajamento começaram a surgir, assim Ethereal seguiu para o caminho de sucesso. Pouco depois, Gilbert Ramírez viu o potencial da ferramenta e contribuiu-lhe com um dissecador de baixo nível. Em outubro de 1998, Guy Harris da Network Appliance foi à procura de algo melhor do que o tcpview, e então começou a aplicar patches e contribuir com dissecadores para o Ethereal. No final de 1998, Richard Sharpe, que ministrava cursos de TCP/IP, passou a perceber o potencial do Ethereal em tais cursos, e começou a analisar se o mesmo daria suporte aos protocolos abordados nos cursos. Percebendo que não havia suporte,
desenvolveu novos protocolos para que pudessem ser adicionados ao mesmo. A lista de pessoas que contribuíram com o Ethereal cresceu muito desde então. A maioria dessas pessoas começou contribuindo com um protocolo que necessitava e que o Ethereal não tratava. Para isso eles adquiriam uma cópia do código existente da ferramenta e devolviam o código com suas contribuições de volta à equipe. Há não muito tempo, em maio de 2006, o autor original do Ethereal foi trabalhar na CACE Technologies. Todas as marcas registradas do Ethereal permaneceram com seus antigos empregadores; todavia, o Ethereal não é mais mantido ativamente. Um novo capturador de pacotes chamado Wireshark, análogo ao Ethereal, é mantido por seu desenvolvedor original.
Características do WiresharkSoftware Livre Wireshark é um projeto do software livre, e é liberado sob a licença GNU General Public Licence (GPL). Pode-se usar livremente Wireshark no número de computadores que forem necessários, sem preocupar-se sobre chaves de licença ou possíveis taxas. Devido o código
fonte estar livremente disponível sob o GPL, é muito fácil para as pessoas adicionarem novos protocolos para o Wireshark, quer como plugins, ou incorporados no código-fonte.
Disponível em Muitas PlataformasÉ escrita em C++, usando a biblioteca GTK, que também é portável em várias plataformas. As plataformas que o WireShark suporta são: UNIX, Linux, Solaris, FreeBSD, NetBSD, OpenBSD , MAC OS X, Windows. 6.3. Análise de Dados de Diferentes Fontes Os dados geralmente são obtidos através da placa de rede, podendo ser lidos em tempo real das seguintes fontes: Ethernet, FDDI, PPP, Token-Ring, IEEE 802.11, Classical IP over ATM e interfaces loopback.
Análise por ProtocoloO Wireshark permite analisar os pacotes recebidos e transmitidos organizados por protocolo (TCP, UDP, ICMP, etc).
O que o Wireshark não éWireshark não é um sistema de detecção de intrusos. Ele somente “mede” coisas a partir da rede, ou seja, não avisará quando alguém não autorizado estiver fazendo coisas estranhas na mesma. No entanto, caso esteja acontecendo coisas estranhas na rede, o Wireshark poderá ajudar a descobrir o que realmente está acontecendo.
UtilidadesSituações onde pode ser útil o uso de analisadores de protocolos são:
- Detecção de problemas na configuração da rede;
- Análise de segurança de redes;
- Desenvolvimento de novos protocolos ou aplicações;
- Interesse na aprendizagem sobre o funcionamento de uma rede
Onde Obter o Wireshark?É possível obter as últimas cópias do programa a partir do site do Wireshark:
http://www.wireshark.org/download.html. Em um intervalo de quatro a oito semanas é disponibilizado a comunidade uma nova versão do Wireshark. O usuário tem a possibilidade de ser notificado sobre novos lançamentos, inscrevendo-se na lista wireshark-announce.
Fonte de consulta: Centro Politécnico – Universidade Católica de Pelotas (UCPel)
Pelotas – RS – Brasil
Autor: Iverton A. da S. dos Santos, Rodrigo B. da Silva
Olá pessoal,
