Wireshark - Parte 1 - Análise de Tráfego e Captura de Senhas.pdf

N ovida des

Fóruns

Novos Novo s Po Posts sts FA FAQ Q Calendari e ndario o

Blogs

Gale ria Comuni Com unidade d ade

Colunaa de Segu Colun Segurança rança

FAQ

Fale Conosco

Opções Opçõe s dos Fóru Fóruns ns

B usca

Registr e-s e

Links Li nks Rápidos d os

Wireshark - Parte 1 - Análise Análise de Tráfego e Captura de Senhas +  Criar Blog

Coluna de Segurança 1c3m4n

Wireshark - Parte 1 - Análise de Tráfego e Captura Captur a de Senhas por 1c3m4n em 19-12-2012 às 17:17 (72244 Visuali zações)

19 Comentários

O Wireshark é uma ferramenta muito poderosa que vai m uito além de um simples sim ples sniffer. O que muitos não sabem é que existem várias for mas de se aproveitar aprov eitar o potencial desta ferramenta, mas neste primeiro artigo iremos iniciar do básico. Vamos aprender a sniffar a rede de forma efetiva, criar filtros pa ra buscar apenas a  a   informação que queremos, veremos como um black hat utilizaria hat utilizaria esta ferramenta para roubar senhas e para finalizar, como utilizar o Wireshark para dia gnosticar problemas problemas de rede ou se um firewall está bloqueando  bloqueando   os pacotes pacotes corretamente. corretamente. Antes de iniciarmos com a prática, é necessário entender o conceito de sniffing. Sniffing, a um grosso modo, seria você ficar com os ouvidos atentos para ouvir qualquer coisa que seja dita ao seu alcance. Atualmente, quase todos os ambientes utilizam switchs e switchs  e não mais hubs, o que torna o en viam os dados para todas toda s as sniffing um POUCO mais difícil, pois os switchs não enviam portas como um hub faz, ele envia diretamente para a   porta onde se encontra o host de destino; então, se você tentar sniffar uma rede com switch switch você irá apenas ouvir ouvir o que for broadcast , ou sua própria conexão. Para conseguir  ouvir tudo sem ser o gateway gateway da rede,, é   necessário um ataque de arp spoof, ou estoura rede estourarr a tabela CAM  CAM  do switch. switch. Mas isto será tema para um próximo artigo, sendo sen do necessá necessário rio entender entender este conceito.

 Ir para Perfil  Marcar como Lido

Data de Ingresso: Idade: Posts: Posts de Blog:

Sep 2002 34 6.022 10

 

Posts Recentes nos Blogs Protegendo o Apache contra ataques DoS e Slowloris 05-12-2013 13:36 Metasploit e Armitage no Kali Linux - Hackeando sua rede 15-06-2013 18:40

Utiliz tilização ação Básica Básica

Nmap Parte 3 - Utilizando Scripting para BruteForce e Enumeração 29-01-2013 10:10

Agora vamos va mos por por a mão m ão na massa: estou e stou assumin assumindo do que você já tem o programa instalado, se não tiver clique aqui aqui.. Ao iniciar o Wireshark, a tela apresentada será parecida com esta:

Wireshark - Parte 3 - Recriando arquivos transmitidos pela rede 15-01-2013 13:06 Wireshark - Parte 2 - Analisando a Performance da Rede e Identificando Problemas 09-01-2013 19:05 Comentários Recentes Wireshark - Parte 1 - Análise de Tráfego e Captura de Senhas por bellonetom Protegendo o Apache contra ataques DoS e Slowloris por MarcusMaciel Nmap Parte 3 - Utilizando Scripting para BruteForce e Enumeração por aldevan Nmap - Parte 2 - Evasão de Firewall / IDS por peritinaicos Nmap Parte 1 - Entendendo os tipos de Scanning por Magal

Antes de poder iniciar a captura dos pacotes, temos que definir em qual interface iremos “escutar” o tráfego. Clique em Capture->Interfaces

 Visitantes Recentes

dannylo, Dimas dannylo, Dimas,, felipescds felipescds,, filipirocha filipirocha,, futurasolucoes futurasolucoes,, lets,, marciok , MDdantas lets MDdantas,, taiendychyvu taiendychyvu,, timidboy  Arquivo <

Outubro 2016

D

S

T

Q

Q

S

S

25

26

27

28

29

30

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

1

2

3

4

5

A partir daí, irá aparecer uma nova janela com a lista de interfaces detectadas automaticamente, bastando selecionar a interface desejada, clicando na caixa ao lado do nome da interface, como na imagem abaixo:

Se você clicar em Start, ele iniciará a captura automaticamente. Você poderá apenas selecionar a interface e somente depois iniciar a captura caso seja necessário. Quando o processo de captura iniciar, você verá vários pacotes passando pela tela do Wireshark (variando de acordo com o tráfego de sua máquina/rede). Será algo parecido com isto:

Para parar a captura, basta clicar no botão “ Stop the running live capture”, (é o quarto da esquerda para a direita).

Tome cuidado se sua rede for muito movimentada, o fluxo de dados pode até travar sua máquina, então não é aconselhável deixar o Wireshark capturando por muito tempo; como veremos a seguir, vamos deixar ele rodando apenas durante o processo de debug de uma conexão. Quanto maior a quantidade de pacotes, maior será o tempo para aplicar um filtro, encontrar um pacote, etc. Com isto temos o básico do programa, podemos definir a interface de captura, iniciar a captura e parar. O próximo passo é conseguir identificar o que interessa em meio a tantos pacotes. Para isto, vamos começar a utilizar filtros. Utilizando Filtros

Existe uma infinidade de filtros possíveis, mas neste primeiro momento veremos apenas como filtrar por endereço IP, porta e protocolo. Os filtros podem ser construídos clicando em “ Filter”, em seguida selecionando o filtro desejado (existe uma pequena lista de filtros pré definidos), ou digitando diretamente na caixa de texto. Após criar seu filtro, basta clicar em “ Apply”; caso você queria ver a lista inteira de pacotes novamente basta clicar em “ Clear”, isto removerá o filtro previamente aplicado.

Vamos a uma pequena lista de filtros: FILTRO ip.addr

EXPLICAÇÃO

EXEMPLO

endereço IPv4 de destinou ou origem ip.addr == 10.10.10.10

ip.dst

endereço de destino IPv4

ip.addr == 10.10.10.10

ip.sr c

ender eço de or igem IPv 4

i p.sr c == 10.10.10.10

ip.proto

Protocolo IP (decimal)

ip.proto == 1

ipv6.addr

endereço IPv6 de origem ou destino

ipv6.addr == 2001 :: 5

ipv6.src

endereço IPv6 de origem

ipv6.addr == 2001 :: 5

ipv6.dst

endereço de destino IPv6

ipv6.dst == 2001 :: 5

tcp.port

porta TCP de destino ou origem

tcp.port == 20

tcp.dstport

porta TCP de destino

tcp.dstport == 80

tcp.sr cpor t

por ta TCP de or igem

tc p.sr cpor t == 60234

udp.port

porta UDP de destino ou origem

udp.port == 513

udp.dstport

por ta U DP de de stino

udp.dstpor t = = 513

udp.sr cport

por ta U DP de or ige m

udp.s rcpor t = = 40000

icmp.type

Código do tipo ICMP (decimal)

icmp.type == 8

Também é possível agrupar os filtros, por exemplo: Código : ip.src == 10.10.10.1 && tcp.dstport==80 OU ip.src == 10.10.10.1 and tcp.dstport==

Endereço de origem 10.10.10.1 e porta de destino 80 Capturando senhas

Agora veremos como é possível capturar senhas facilmente, apenas escutando o tráfego. Para este exemplo vamos utilizar o protocolo pop3, que envia os dados em texto puro pela rede. Para isso, inicie a captura de pacotes normalmente e inicie uma sessão pop3 com seu servidor de e-mail. Caso você utilize um protocolo mais seguro como imaps ou pop3s e queria apenas ver o funcionamento do mecanismo, é possível fazer a conexão pop3 via telnet sem ter que adicionar/modificar sua conta, bastando executar o seguinte:

Código : telnet servidordemail.com.br 110 user [email protected] pass suasenha

Agora pare a captura, e no filtro coloque “pop” e clique em “Apply”. Feito isso, você verá apenas os pacotes da conexão pop3. Agora clique em qualquer uma delas com o botão direito e clique em “Follow TCP Stream”.

Com isso ele irá abrir uma nova janela com todo conteúdo ASCII da conexão. Como o protocolo pop3 envia tudo em texto puro, é possível ver todos os comandos executados, inclusive a senha.

Nome do Usuário

Senha

Conectar

Registre-se

Recuperar Senha

Isto pode ser transportado para qualquer conexão em texto puro, como ftp, telnet, http, etc. Basta que você altere o filtro e examine o conteúdo da conexão. Importando Capturas Externas

Normalmente em servidores, não existe ambiente gráfico instalado e com isso você não consegue utilizar o Wireshark diretamente. Caso você queria analisar o tráfego deste servidor e não seja possível instalar o Wireshark, ou ainda se você não tiver como capturar este tráfego de outro lugar, o melhor que se pode fazer é gravar o tráfego localmente com o tcpdump e em seguida, copiar este dump para uma máquina com o Wireshark para que seja feita uma análise mais detalhada. Vamos capturar tudo que vier ou for para o host 10.10.10.1 com a porta de destino 80 e salvar o conteúdo no arquivo captura.pcap da pasta local onde o comando foi executado. Execute no servidor:

Código : tcpdump ‐i eth0 host 10.10.10.1 and dst port 80 ‐w captura.pcap

Assim que terminar de capturar, basta utilizar o CTRL+C, copiar o arquivo para a máquina do Wireshark e importar a captura clicando em File->Import. Depois de importado, você pode utilizar o programa normalmente como se a capture tivesse ocorrido localmente. Analisando Conexões

Outra forma de utilização interessante é para detectar problemas de conexões. Quando você tenta estabelecer uma conexão com um servidor e ocorre um erro, o que foi que ocorreu? A porta estava realmente fechada? O firewall bloqueou? A porta na verdade estava aberta mas não houve tráfego? Tudo isso é possível determinar analisando o tráfego. Exemplo 1:

Conexão bem sucedida na porta 80

Nas três primeiras linhas é possível ver o three way handshake   (veja o artigo Nmap Parte 1 - Entendendo os tipos de Scanning para saber mais ) sendo completado normalmente; depois o pacote com a flag FIN e em seguida, o ACK reconhecendo o fim da conexão. Observação: Os pacotes depois do handshake e antes do FIN foram removidos para não poluir a tela. Exemplo 2:

Pesquise no UnderLinux

Conexão falha, tentativa de se conectar a uma porta fechada

Neste caso houve a tentativa de conexão na porta 3000 que não estava aberta, e a resposta da máquina foi RST. Exemplo 3:

Conexão falha, tentativa de se conectar a uma porta fechada por firewall.

Nome do Usuário

Senha

Conectar

Registre-se

Recuperar Senha

Neste caso, o host estava com a porta bloqueada via firewall; devido ao comportamento padrão do iptables descartar o pacote silenciosamente, não vemos nenhum pacote de retorno. Estes exemplos poderiam ser diagnosticados com o próprio tcpdump para quem já conhece a ferramenta, mas o intuito era ilustrar e exemplificar o uso do Wireshark. Sendo assim, nos próximos artigos iremos aprofundar a utilização desta poderosa ferramenta. Conclusão

Como foi visto o Wireshark é uma ferramenta poderosa, com muitas utilidades, que podem ser utilizadas tanto para o bem quanto para o mal. Para se proteger dos “caras maus” é necessário entender o que eles fazem, parte disto é conhecer a ferramenta tão bem quanto eles. Quer saber algo em específico? Deixe sua sugestão nos comentários. Categorias: Não Categorizado  Enviar Post de Blog por Email

« Checklist de Segurança para Aplicações PHP

Principal IDS »

Nmap - Parte 2 - Evasão de Firewall /

Sistema ERP - Grátis

Metasploit e Armitage no Kali Linux -...

Programa Espião invisível

Curso Firewall Iptables

 Anúncio bitrix24.com.br 

under-linux.org

 Anúncio   wtsoftware.com.br   Anúncio   certificacaolinux…

Hackeando senhas com Ettercap e Sslstr ip

Quanto tempo leva para quebrar uma chave...

Resolvendo problemas referentes as taxas...

DroidSheep: Utilitário Android para Captura...

under-linux.org

under-linux.org

under-linux.org

under-linux.org

Comentários MarcusMaciel  - 19-12-2012 19:05

Fantastico.... um dos melhores artigos que ja vi no portal... Cossil - 02-01-2013 13:10

Parabéns, artigo muito bem escrito. Já utilizo o WireShark a algum tempo mas apenas para funções básicas de monitoramento de rede.  Vou aguardar as próximas Partes de continuação do seu artigo pois tenho certeza que me serão bastante úteis.

Pesquise no UnderLinux

peritinaicos - 03-01-2013 18:30

Bom amigo fiz um teste aqui coloquei pra rodar no meu pc que está na mesma rede que uma RB, coloquei 2 filtros, primeiro filtro mandei analisar apenas o ip do gateway (RB), segundo filtro apenas a porta 8291. Assim simples assim já apareceu os pacotes trocados pela RB na porta 8291 quando fiz o login nela pelo winbox... Com esse pacote  já é o bastante pra alguém mal intencionado pegar minha senha do mikrotik e "rebentar" minha RB. Isso é simples assim? Ou tem mais coisas que não entendi. 1c3m4n - 04-01-2013 06:57

 Postado originalmente por peritinaicos Isso é simples assim? Ou tem mais coisas que não entendi.

Se ele estiver na mesma rede que você, e não houver qualquer tipo de proteção é sim Nome do Usuário

duh182 - 05-01-2013 08:01 Senha Conectar

Registre-se

Recuperar Senha

Tem alguma soluçãoo para isso que o colega perguntou sombre a senha da RB ? peritinaicos - 05-01-2013 09:05

Fiz o teste, com o nmap fiz um filtro para o ip da rb 10.5.50.1 para todas as portas, demorou uns 2min e ela mostrou todas portas abertas, 80 8080 21 8291 entre outras. Sabendo que a porta 8291 esta ativa na rb abri o wireshark e com o filtro ((ip.addr==10.5.50.1 and tcp.port==8291)) peguei todos pacotes destino ou origem do ip da rb. Daí até achar a senha do winbox é simples? Dei uma olhada no que o wireshark capturou mais não vi a senha. OBS: foram 119 pacotes. 1c3m4n - 07-01-2013 06:50

 Postado originalmente por duh182 Tem alguma soluçãoo para isso que o colega perguntou sombre a senha da RB ?

Isole a rede de administração e utilize protocolos seguros que utilizem criptografia (ssh por exemplo) 1c3m4n - 07-01-2013 06:52

 Postado originalmente por peritinaicos Fiz o teste, com o nmap fiz um filtro para o ip da rb 10.5.50.1 para todas as portas, demorou uns 2min e ela mostrou todas portas abertas, 80 8080 21 8291 entre outras. Sabendo que a porta 8291 esta ativa na rb abri o wireshark e com o filtro ((ip.addr==10.5.50.1 and tcp.port==8291)) peguei todos pacotes destino ou origem do ip da rb. Daí até achar a senha do winbox é simples? Dei uma olhada no que o wireshark capturou mais não vi a senha. OBS: foram 119 pacotes.

Se não tem qualquer tipo de criptografia no envio da senha é simples sim, utilize o follow tcp stream que você verá todo conteúdo ascii dos pacotes capturados. peritinaicos - 07-01-2013 10:51

Qual criptografia se refere? Os pacote que capturou foram do ip da rb + porta 8291... "não uso criptografia, wep ou wpa nem nada, apenas hotspot". 1c3m4n - 07-01-2013 11:35

 Postado originalmente por peritinaicos Qual criptografia se refere? Os pacote que capturou foram do ip da rb + porta 8291... "não uso criptografia, wep ou wpa nem nada, apenas hotspot".

Pesquise no UnderLinux

Criptografia do tráfego, da comunicação entre vc e a placa. WPA, WEP etc é criptografia para autenticação wireless, não tem nada a ver. Como eu disse utilize SSH para se conectar a placa, ou então crie um tunel ssl para isso. peritinaicos - 07-01-2013 14:00

Bom amigo quando clica em Fallow TCP stream em algum pacote capturado entre minha placa e a RB aparece como abaixo, está criptografado?

Nome do Usuário

..index...............index........A....2137432034 635156 roteros.dll 5.19 1255410873 31006 advtool.dll 5.19 442015559 35243 dhcp.dll 5.19 2203997926 38355 hotspot.dll 5.19 323352593 38558 mpls.dll 5.19 3055802193 41792 ppp.dll 5.19 1852347433 30896 rb.dll 5.19 3438491163 5364T.7 roting4.dll 5.19 3399490390 44170 secure.dll 5.19 3892880027 4847 system.dll 5.19 Senha Conectar ...w.^..+......o{..&..4.....w..H..? Registre-se Recuperar Senha 3...X..N.o...hvq..JE.q...F.Hv{.H#..".o....m....Y.c.....M.uHa..j.j.h.......a..... {[email protected][email protected]........../\..!..9.......}.....Y... K...`.....2.0.\...+._.}..M._......E...D..,WP.#i .......h<..|5.0+^.L.o.b..{ft.2.}..i....|..T..*.6:.....g. <.;.Z.T|.28..,.J..H.&.x.A$Z...7.K.T..9\.M....2.:..Q..7.!.|.....d.Q.*I..=.e..... <.P..a4l.1Y.8..^...`2..3"..Q....'.*{{....\.qj.e.Ql.}.p. (HE.8n..b.0......:d....d. ./.'....Y.......*..~..{..F.6P-;R..a^[email protected]]. F...........B~....W.F.5id9.d.N.'...%@[email protected]!.2. <.n..!...H...? $d..+t....&YZ{n:qK.wr..l xD.F....Y-.af..sM..u.6.....=..q-....kWz.a...........B0.....j........mz..4.. (X....g...jD-.*...w.j..Y... {FZ..P|...].w..FWxp....U5..)G.L..9Aja..%a....E.O.L.j....qU.:...A.^R.\."..H.. ..n......m....6.5.........w..<......-...[;.] {.n.....w......!^...e.....s:@.....Z}..zI!.5c&  (UD.5..>lWJ....M.~..-..:....4......o...R.#..$KQ.....j'.u.F.=9..j.z...%......v...1 {..!.W1......&.........A....Qz..e.f$...3..iU+....? &4.....G...z'.O7..^..|.PJ..e....b..k\.4v........)..I......n.!(<..8h..b.3;...../. ..\.H..;g......!.s...T.F1....5..4Y....0.t.[... ....y......|)Nrq...%-..Q.......M:... ........? ..6.9.@6. n...x.a....G...W...M.8UA.t...+....$....S.L#...7...c....li...?..#;x.K`.]a....9.._.2 cd+.h...4." .[..h.%._.....y+i..4......Bw.....6....+.[QxS..M.;w?yI.....n..g.n.....V.U..S) ....X 1c3m4n - 10-01-2013 07:45

 Postado originalmente por peritinaicos Bom amigo quando clica em Fallow TCP stream em algum pacote capturado entre minha placa e a RB aparece como abaixo, está criptografado?
Não da para ter certeza apenas olhando isso, PARECE, que sim. Se quiser capture o tráfego, salve o arquivo e me envie que dou uma olhada (Comece a captura antes de se autenticar).  AondenetInformatica - 08-02-2013

14:39

Quem não conhece tão bem o Wireshark, assim como eu vai ter uma oportunidade sem igual. Já li a parte 3. Por isso retornei à leitura do início. Excelente. Stive - 09-05-2013 08:03

Pesquise no UnderLinux

ola bom dia! estou estudando o Wireshak, e gostaria de saber se ele pega senha de sistemas online tipo um sistema em php, e se tem como eu faz com que o sistema autentique na pagina se mostrar estes dados. Eu preciso escutar o ip da maquina ou especificar o site que quero que ele monitore.

qualquer ajuda agradeço. 1c3m4n - 15-06-2013 18:26

 Postado originalmente por Stive ola bom dia!

Nome do Usuário

estou estudando o Wireshak, e gostaria de saber se ele pega senha de sistemas online tipo um sistema em php, e se tem como eu faz com que o sistema autentique na pagina se mostrar estes dados. Eu preciso escutar o ip da maquina ou especificar o site que quero que ele Senha Conectar Registre-se Recuperar Senha monitore.

qualquer ajuda agradeço.

Da para pegar a senha sim, tanto faz o filtro, página, IP,etc. De qualquer maneira a informação estará ali. Francis Henrique - 24-06-2013 06:47

Estou tentando monitorar paginas https(Facebook), porem elas são criptografadas... Vi algo sobre criar um certificado falso para isso, se procede essa informação. Você sabe como fazer? Geberson - 24-12-2014 22:34

Olá, boa noite! Tenho interesse de aprender sobre segurança e estou tentando capturar e ler os dados da minha rede wifi pessoal usando o Wireshark. Gostaria de pegar as mensagens do whatsApp que passarem pelo rot e ler o conteúdo. Isso é possível? Se sim, como fazer isso? CarlosRobertom - 08-01-2015 11:10

Olá amigos. Gostaria de tirar uma dúvida com vocês, mais entendidos do assunto... Bom, há pouco mais de 6 meses, a pedido de um cliente, passei a instalar cameras de segurança "CFTV". De lá pra cá, fiz 3 instalações residenciais, utilizando produtos da Intelbras. Surgiram várias dificuldades, mas não tive nenhum problema e as 3 instalaçoes deram certo, funcionaram blz. Bom, fui chamado para instalar cameras numa loja de um Shopping Center, onde eu não tinha acesso ao modem, que ficava na administração. Falei com o pessoal da informática, e eles me passaram as configurações para o DVR (IP, Máscara, Gateway, dns), liberaram 2 portas "http e serviço", configurei tudo como solicitado, mas não funcionou. Só acesso localmente, remotamente, sem chance... Falei com eles e eles "garantem" que as portas estão abertas e não há nada de errado da parte deles... Embora eu esteja começando, e minha experiencia com rede, etc sejá muito pequena, eu tenho noção do que eu precisava fazer e eu tenho certeza PLENA que eu configurei td certinho. Quando fui falar com o cara pela segunda vez, ele não estava lá, e

Pesquise no UnderLinux

outro me atendeu... Então, este outro, achou que eu era o proprietário da loja, e ap´[os eu explicar que não estava conseguindo acesso remoto, ele prontamente disse que poderia me indicar uma pessoa (Outro funcionário), que era muito bom em CFTV e poderia resolver meu problema, só que ele iria cobrar pela visita... Na hora aquilo me caiu como jogada deles... Ou seja, o cara vai lá, não faz p... nenhuma, avisa o administrador de rede, que libera alguma coisa, porta, firewall, sei lá, e eles ganham a grana e ganham o cliente... Fiquei p. da vida em imaginar que pode ser isso, pois passei horas lá dentro, tentando isso e aquilo... Bom, desculpe pessoal, mas eu gostaria de explicar minha estória, uma vez que eu ainda não tenho conhecimento suficiente sobre rede e não tive nenhum argumento com o cara sobre o não funcionamento do sistema... Nome do Usuário

Senhadúvida é... Existe Conectar Minha uma forma (talvez com este Wireshark), Registre-se Recuperar Senha através da rede da loja, saber se essas 2 portas realmente estão abertas lá nos equipamentos da administração?

Pesquise no UnderLinux

 Acho que assim eu teria como argumentar alguma coisa... Parabéns pelo site! Obrigado pela oportunidade, um abraço a todos. bellonetom - 26-11-2015 12:00

É possível acessar a rede wireless pelo kali linux em virtualbox sem rede usb? +  Enviar Comentário

-- Desktop

Fale Conosco Under-Linux.Org Condições de Uso FAQ Topo  Visite : BR-Linux ·  VivaO Linux · Dicas-L