Sniffing

Origem: Wikipédia, a enciclopédia livre.
Ir para: navegação, pesquisa
Question book.svg
Este artigo não cita fontes fiáveis e independentes. (desde dezembro de 2009). Por favor, adicione referências e insira-as corretamente no texto ou no rodapé. Conteúdo sem fontes poderá ser removido.
Encontre fontes: Google (notícias, livros e acadêmico)
Ambox rewrite.svg
Esta página precisa ser reciclada de acordo com o livro de estilo (desde agosto de 2009).
Sinta-se livre para editá-la para que esta possa atingir um nível de qualidade superior.
Wikitext.svg
Este artigo ou seção precisa ser wikificado (desde agosto de 2009).
Por favor ajude a formatar este artigo de acordo com as diretrizes estabelecidas no livro de estilo.

Sniffing, em rede de computadores, é o procedimento realizado por uma ferramenta conhecida como Sniffer (também conhecido como Packet Sniffer, Analisador de Rede, Analisador de Protocolo, Ethernet Sniffer em redes do padrão Ethernet ou ainda Wireless Sniffer em redes wireless). Esta ferramenta, constituída de um software ou hardware, é capaz de interceptar e registrar o tráfego de dados em uma rede de computadores. Conforme o fluxo de dados trafega na rede, o sniffer captura cada pacote e eventualmente decodifica e analisa o seu conteúdo de acordo com o protocolo definido em um RFC ou uma outra especificação.

O sniffing pode ser utilizado com propósitos maliciosos por invasores que tentam capturar o tráfego da rede com diversos objetivos, dentre os quais podem ser citados, obter cópias de arquivos importantes durante sua transmissão, e obter senhas que permitam estender o seu raio de penetração em um ambiente invadido ou ver as conversações em tempo real.

Port Mirror – Port Spam – Port Monitor[editar | editar código-fonte]

Esta opção é desejável se o administrador da rede pretende conectar um analisador de protocolo diretamente à uma porta do switch, e monitorar o tráfego de outras portas do equipamento.

Deve-se definir uma porta que será monitorada (Port Mirror) e o seu espelho, que é a porta onde o analisador de protocolo será conectado.

Uma vez que esta funcionalidade for ativada, todo o tráfego oriundo ou destinado à porta monitorada será espelhado na porta espelho. O Espelhamento de Tráfego torna-se necessário se o administrador de rede não quiser monitorar o tráfego de um determinado segmento, sem modificar as características físicas do segmento monitorado, ao se conectar um analisador de protocolo ao segmento.

Analisador de Protocolos – Wireless[editar | editar código-fonte]

Existem diversos analisadores de protocolo que funcionam em conexões wireless. Algumas alterações nas configurações do analisador de protocolo em uso, talvez devam ser realizadas, como a habilitação da opção de captura em modo de monitoração, pois o modo promíscuo pode não ser suficiente.

A captura ocorrerá da mesma maneira que ocorreria se estivesse numa conexão cabeada? O que pode ocorrer é alguma restrição do próprio sistema operacional que se está utilizando, bem como da interface de rede 802.11. A limitação de alguns sistemas operacionais é a de não capturar pacotes que não sejam de dados, o que ocorre também com alguns drivers dos adaptadores de rede.

É importante mencionar que o fato de uma interface de rede estar executando em modo de monitoração, nem sempre a habilitará a funcionar como uma interface de rede comum, pois ela estará capturando os pacotes em modo passivo. Com isso, as tentativas de resolução de nomes através de um servidor DNS, por exemplo, provavelmente estarão bloqueadas, pois o equipamento não estará habilitado para se comunicar com qualquer DNS server.

Um dos analisadores de protocolo que funciona em conexões wireless que pode ser citado como exemplo é o “Kismet”. O “Kismet” é uma ferramenta free e que funciona com os sistemas operacionais Linux, FreeBSD, NetBSD, OpenBSD, Mac OS X e Windows.

Outra ferramenta freeware que pode ser utilizada é o “Wireshark”, uma atualização do tão conhecido Ethereal. De acordo com as especificações dos desenvolvedores, as limitações de captura de pacote através de um dispositivo wireless em modo de monitoração, são as mesmas já citadas: depende do sistema operacional, adaptador de rede e driver em uso. Funciona com os sistemas operacionais Linux, FreeBSD, NetBSD, OpenBSD, Mac OS X, Windows e Solaris.

Analisador de protocolos - Software Livre[editar | editar código-fonte]

O analisador de protocolos gratuito mais conhecido é o Ethereal, que desde junho de 2006 passou a se chamar Wireshark. O nome pode ser diferente, mas o software é o mesmo. O Wireshark é desenvolvido por especialistas em rede de todo o mundo, mostrando a força dos softwares de código aberto. Este analisador roda em Windows, Linux, UNIX, entre outras plataformas.

O Wireshark faz análise dos pacotes no momento da recepção e da transmissão das informações, permite organizar os dados de acordo com os protocolos utilizados (suporte para centenas de protocolos), possui função para filtrar apenas os resultados que interessam, exporta os dados capturados para arquivos de texto, além de outras funcionalidades.

Analisadores de Protocolos Dedicados[editar | editar código-fonte]

A seguir, são descritos dois exemplos de analisadores de protocolos dedicados atualmente comercializados.

OptiView Series III Integrated Network Analyzer: Fabricado pela empresa Fluke Networks, é um aparelho portátil que tem como função análisar, monitorar e solucionar problemas de redes LAN, WAN, VoIP e WLAN, permitindo ter uma visão geral da rede. Dispõe de recursos de análise de protocolo, análise de dispositivo SNMP e análise de tráfego RMON2, gera relatórios em HTML e dispõe de opções wireless (sem fio), VoIP (Voz sobre IP) e Application Troubleshooting Expert (Especialista em Resolução de Problemas de Aplicativos) para o usuário.

GigaStor Security Forensics: Fabricado pela Network Instruments, é um analisador de segurança da rede, facilitador da determinação detalhada da natureza do problema. O GigaStor opera como uma câmera de segurança, gravando cada ação que ocorre na rede. Em caso de suspeita de alguma violação da segurança, faz a comparação com milhares de ataques e anomalias de rede, com a funcionalidade de IDS. Faz também análise detalhada no nível do pacote para determinar a origem e o horário da ocorrência.

Como Detectar[editar | editar código-fonte]

Para detectar um dispositivo sniffer que somente coleta dados e não responde a nenhuma solicitação, é necessário o exame físico de todas as conexões ethernet e a verificação individual das interfaces.

Um sniffer, rodando em uma máquina, coloca a interface de rede em modo promíscuo com o intuito de capturar todos os pacotes de um determinado segmento. Na maioria dos sistemas Unix é possível detectar uma interface promiscua.

Note que é possível usar um sniffer em modo não promíscuo, porem somente poderão ser capturados os pacotes endereçados para a máquina onde ele está rodando.

Para SunOs, NetBSD, e diversos derivados de BSD Unix systems, o comando

  1. ifconfig -a mostrará informações relativas de todas as interfaces.

lo Link encap:Local Loopback inet addr:127.0.0.0 Bcast:127.255.255.255 Mask:255.0.0.0 UP BROADCAST LOOPBACK RUNNING MTU:2000 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 TX packets:16930 errors:0 dropped:0 overruns:0 eth0 Link encap:10Mbps Ethernet HWaddr 00:80:A8:C3:45:ED inet addr:200.239.53.1 Bcast:200.239.53.255 Mask:255.255.255.0 UP BROADCAST RUNNING PROMISC MTU:1500 Metric:1 ^^^^^^^ RX packets:227622 errors:0 dropped:0 overruns:0 TX packets:282918 errors:0 dropped:0 overruns:0 Interrupt:10 Base address:0x300

A utilização do comando "ifconfig" no DEC OSF/1, IRIX e em alguns outros Unix, requer que o dispositivo seja especificado. Uma maneira de saber o nome deste dispositivo é utilizar o comando

  1. netstat -r que mostrará a seguinte saída:

Routinng tables Internet: Destination Gateway Flags Refs Use Interface default iss.net UG 1 24949 le0 localhost localhost UH 2 83 lo0

Assim, para testar a interface utiliza-se o comando:

  1. ifconfig le0 le0: flags=8863 inet 127.0.0.1 netmask 0xffffff00 broadcast 255.0.0.1

No Ultrix é possivel detectar o uso de sniffer com os comandos pfstat e pfconfig. pfconfig mostra quem está rodando o sniffer e o pfstat mostra se a interface está ou não em modo promíscuo.

Em sistemas como Solaris, SCO e algumas versões do Irix, não existe indicação de modo promíscuo, não havendo, portanto, maneiras de detectar o uso do sniffer.

Como o volume de informações que trafegam em uma rede tende a ser grande, grande também será o tamanho do log gerado pelo programa sniffer. Pacotes como o Tigger tentam encontrar arquivos de log, com esta característica.

É altamente recomendado o uso da ferramenta lsof para procurar arquivos de log e programas acessando dispositivos como o /dev/nit (no caso do SunOS).

Não são conhecidos comandos para detectar um IBM PC compatível em modo promístuo.

Sniffer são bem conhecidos tambem como nethacker.