• Revista PROGRAMAR: Já está disponível a edição #53 da revista programar. Faz já o download aqui!

teckV

Packet Sniffing

2 mensagens neste tópico

A estrutura de rede da internet baseia-se na suite de protocolos TCP/IP...

Antes de serem enviados pela rede os dados são divididos em pacotes... cada pacote contem toda a informação necessária à rede para o enviar ao sitio certo e tambem os dados a serem enviados...

cada layer do modelo OSI têm o seu proprio cabeçalho... informação necessaria ao seu funcionamento... por exemplo... a nivel de IP são incluidos os endereços destino e origemno nivel aplicacional TCP são incluidos os portos de origem e destinoetcetc...

esquema basico de um pacote com alguns dos seus campo:

Um pacote IP contem informações diversas e é a unica forma de uma ligação ser identificada

[glow=red,2,300]IP Packet Header[/glow]

ip-header.gif

The header fields are discussed below:

Version (always set to the value 4which is the current version of IP)

IP Header Length (number of 32 -bit words forming the headerusually five)

Type of Service (ToS) now known as Differentiated Services Code Point (DSCP) (usually set to 0but may indicate particular Quality of Service needs from the networkthe DSCP defines the way routers should queue packets while they are waiting to be forwarded).

Size of Datagram (in bytesthis is the combined length of the header and the data)

Identification ( 16-bit number which together with the source address uniquely identifies this packet - used during reassembly of fragmented datagrams)

Flags (a sequence of three flags (one of the 4 bits is unused) used to control whether routers are allowed to fragment a packet (i.e. the Don't FragmentDFflag)and to indicate the parts of a packet to the receiver)

Fragmentation Offset (a byte count from the start of the original sent packetset by any router which performs IP router fragmentation)

Time To Live (Number of hops /links which the packet may be routed overdecremented by most routers - used to prevent accidental routing loops)

Protocol (Service Access Point (SAP) which indicates the type of transport packet being carried (e.g. 1 = ICMP; 2= IGMP; 6 = TCP; 17= UDP).

Header Checksum (A 1's complement checksum inserted by the sender and updated whenever the packet header is modified by a router - Used to detect processing errors introduced into the packet inside a router or bridge where the packet is not protected by a link layer cyclic redundancy check. Packets with an invalid checksum are discarded by all nodes in an IP network)

Source Address (the IP address of the original sender of the packet)

Destination Address (the IP address of the final destination of the packet)

Options (not normally usedbut when used the IP header length will be greater than five 32-bit words to indicate the size of the options field)

ora... então temos informação a navegar pela rede... por exemplo... se acederem a um site com login sem HTTPSo username e password vão em texto normal e podem ser vistos por um  terceiro...  analisando os pacotes e olhando para o campo "data"

output de um sniffing de pacotes simples onde podem ver os dados de login usados num site.. sublinheir alguns pacotes com esses dados...

207.218.76.48 -> pasture.ecn.purdue.edu GET /~agenhtml/agenmc/icons/balls/red.gif HTTP/1.0

207.218.76.48 -> pasture.ecn.purdue.edu GET /~agenhtml/agenmc/icons/balls/red.gif HTTP/1.0

207.218.76.108 -> vrml.organic.com GET /VRML2.0/FINAL/Overview.html HTTP/1.0

207.218.76.108 -> vrml.organic.com GET /VRML2.0/FINAL/Overview.html HTTP/1.0

207.218.76.106 -> www.DTAG.DE GET /classes/ticker1.gif HTTP/1.0

207.218.76.106 -> gfx.hotmail.com GET /spacer.gif HTTP/1.0

207.218.76.106 -> www.hotmail.com POST /cgi-bin/start/paulxhogan/207.82.250.70_d5 HTTP/1.0

207.218.76.70 -> ice.wco.com GET /cgi-bin/www6/ice/main.pl HTTP/1.0

207.218.76.70 -> ice.wco.com Authorization: Basic hmisttxc:wombat

207.218.76.42 -> tmstv.com GET /cgi-bin/tvcgi.sjm/gridref+s0+g040712000?51,11 HTTP/1.0

207.218.76.67 -> ice.wco.com POST /cgi-bin/www6/ice/main.pl HTTP/1.0

207.218.76.67 -> ice.wco.com Authorization: Basic brucecr:Saint

207.218.76.106 -> www.hotmail.com GET /logo.html HTTP/1.0

207.218.76.106 -> www.hotmail.com GET /cgi-bin/generate_ad?disk=207.82.250.70_d5&login=paulxhogan&f=1025&curmbox=ACTIVE HTTP/1.0

207.218.76.42 -> tmstv.com GET /sjmimages/AdvertGif_Zifban.gif HTTP/1.0

207.218.76.42 -> tmstv.com GET /sjmimages/brtrn2gd.gif HTTP/1.0

207.218.76.106 -> www.hotmail.com GET /cgi-bin/HoTMaiL?disk=207.82.250.70_d5&login=paulxhogan&f=1025&curmbox=ACTIVE&noad=1 HTTP/1.0

207.218.76.40 -> ice.wco.com GET /cgi-bin/www6/ice/main.pl?x-a=v&x-id=2386 HTTP/1.0

207.218.76.40 -> ice.wco.com Authorization: Basic kareng:alpaca23

207.218.76.106 -> www.hotmail.com GET /cgi-bin/menu?disk=207.82.250.70_d5&login=paulxhogan&f=1025&curmbox=ACTIVE HTTP/1.0

para isso usa-se a tecnica de packet sniffing que consiste em analisar todos os pacotes que passam na placa de rede e se usarem o modo promiscuo apanham todos os pacotes e mesmo os que não são para a vossa placa...

A packet sniffersometimes referred to as a network monitor or network analyzercan be used legitimately by a network or system administrator to monitor and troubleshoot network traffic. Using the information captured by the packet sniffer an administrator can identify erroneous packets and use the data to pinpoint bottlenecks and help maintain efficient network data transmission.

In its simple form a packet sniffer simply captures all of the packets of data that pass through a given network interface. Typicallythe packet sniffer would only capture packets that were intended for the machine in question. Howeverif placed into promiscuous modethe packet sniffer is also capable of capturing ALL packets traversing the network regardless of destination.

By placing a packet sniffer on a network in promiscuous modea malicious intruder can capture and analyze all of the network traffic. Within a given networkusername and password information is generally transmitted in clear text which means that the information would be viewable by analyzing the packets being transmitted.

Introducion to Packet Sniffing

o programa mais usado para isso é o ethereal

iniciem o ethereal e inciem a captura no botão correcto...(o primeiro da esquerda onde diz "selecionar o interface".. depois aparece uma lista das placas de rede... escolham a que querem e cliquem em "capture"... depois começa a mostrar a estatistica enquanto vai capturando os pacotes.. quando quiserem terminam a captura e podem analisar os pacotes... podem fazer log constante para um file e mais tarde analisarem... estudem a documentação sobre as questões do ethereal... são muito pormenores para explorar...

usem a opção do menu "analize"... "Follow TCP Stream" sobre um pacote para verem de uma forma clara e simples todos os dados de uma comunicação

ethereal user guide

Getting Started with Ethereal PDF

imagem com exemplo de captura

se analisarem esta imagem vão ver o resultado de uma captura de pactoes... podem ver uma janela com "Contents of Packet Stream" que é uma forma de apresentar os pacotes do ethereal que ajuda bastante a analise... com o Packet Stream é apenas apresentado o campo "data" e podem ver os dados em si numa determinada comunicação

na janela principal do ethereal podem ver os diversos layers OSI e os respecitvos campo... se extenderem a zona de TCP podem ver os campo de TCP como os portosse extenderem a zona IP podem ver os endereçosetc,etc

em baixo podem ver o campo "data"

é preciso conhecer bem de TCP/IP para se fazer captura de pacotes...estudem bem o TCP/IP ou não vão pereber tudo o que estão a ver...

por exemplo... iniciem uma comunicação MSN com alguem... iniciem a captura... digitem uma palavra... finalizem a captura... no menu do ethereal escolham no menu "analyse" >>> "Follow TCP Stream"

depois pesquisem essa palavra e vão ver como aparece o texto de mensagens...

em baixo tá um exemplo de uma captura... vejam a frase "a minha captura"... foi a frase que digitei no MSN

MSG piske@hotmail.com Pien%20..%20%20%20%20%20@%20%20%20%20%20http://www.youtube.com/watch?v=3QDQGYVqL2Y 210

MIME-Version: 1.0

Content-Type: text/plain; charset=UTF-8

X-MMS-IM-Format: FN=Arial; EF=; CO=0; CS=0; PF=22

KeyNum: edf7c4ebdcdfa77a

Via: Simp Lite-MSN 2.2.2.5

a minha capturaMSG pisk@hotmail.com Pien%20..%20%20%20%20%20@%20%20%20%20%20http://www.youtube.com/watch?v=3QDQGYVqL2Y 94

MIME-Version: 1.0

Content-Type: text/x-msmsgscontrol

TypingUser: piske9@hotmail.com

agora vou mostrar usando encriptação com o SIMP

MSG pisk@hotmail.com PisKen%20..%20%20%20%20%20@%20%20%20%20%20http://www.youtube.com/watch?v=3QDQGYVqL2Y 210

MIME-Version: 1.0

Content-Type: text/plain; charset=UTF-8

X-MMS-IM-Format: FN=Arial; EF=; CO=0; CS=0; PF=22

KeyNum: edf7c4ebdcdfa77a

Via: Simp Lite-MSN 2.2.2.5

kCppfCOCDv1hLcpwCpQp5/Q9H6rHoTelcXlGsvvk4I8

MSG pien_@hotmail.com PisKen%20..%20%20%20%20%20@%20%20%20%20%20http://www.youtube.com/watch?v=3QDQGYVqL2Y 94

MIME-Version: 1.0

Content-Type: text/x-msmsgscontrol

TypingUser: pisk@hotmail.com

vejam se agora conseguem encontrar a frase....

percebem a diferença do uso de encriptação e protocolos seguros como  o SSH?? em FTP vai tudo à mostra.. .com SSH não!!!

teckV

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Muito bom manual, simples explicito e de fácil compreenção.

5estrelas

Abraço

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Crie uma conta ou ligue-se para comentar

Só membros podem comentar

Criar nova conta

Registe para ter uma conta na nossa comunidade. É fácil!


Registar nova conta

Entra

Já tem conta? Inicie sessão aqui.


Entrar Agora