1. ANÁLISE DE TRÁFEGO COM WIRESHARK
Pedro Henrique Carvalho da Silva1
UNIVERSIDADE FEDERAL DO PARÁ – CAMPUS SANTARÉM
pcarvalhodasilva@yahoo.com.br
Resumo: Uma ferramenta bastante utilizada por gerentes de rede para monitorar
o tráfego dos diversos tipos de aplicações web (P2P, WWW, cliente-servidor)
existentes atualmente, chama-se Wireshark Este trabalho apresenta esta
ferramenta e sua aplicação no monitoramento de uma aplicação web a fim de
avaliar e descrever o tráfego que esta gera durante sua comunicação com o lado
cliente.
Palavras Chaves: Wireshark, Análise de Tráfego, Aplicação Web.
1 Introdução
Nos últimos anos houve um grande aumento do número de usuários que utilizam a
Internet para diversos fins, paralelamente a isto vem surgindo milhares de aplicações web que
são disponibilizadas na grande rede. Estas possuem serviços variados e uma série de
requisitos como interface web, protocolos de comunicação, protocolos de transporte entre
outros que as tornam muito utilizadas [1]. No entanto, aplicações web são vulneráveis a falhas
de segurança facilmente encontradas nos navegadores de Internet, mensageiros instantâneos
etc. Avaliar e caracterizar o tráfego que uma aplicação web gera na rede, portanto, é essencial
para se ter o conhecimento do que esta envia para os usuários (clientes) a fim de evitar, por
exemplo, possíveis invasões de arquivos maliciosos nas estações dos clientes.
Este trabalho tem como objetivo caracterizar o tráfego gerado por uma aplicação web
(site) para uma estação cliente, utilizando para isto um analisador de protocolo totalmente
livre (free) denominado Wireshark.
Este é um trabalho de laboratório em que se irá descrever o processo de avaliação e
caracterização do tráfego de uma aplicação web previamente escolhida, utilizando a Internet
como principal fonte de informação além de uma ferramenta instalada em um computador
com sistema operacional Windows XP conectado à Internet através de uma rede local com 26
computadores, sendo que a ferramenta realizará o monitoramento e avaliação do tráfego
gerado pela aplicação.
Uma das metas deste trabalho é avaliar o tráfego de rede entre o lado cliente
(computador com o programa Wireshark instalado) e o lado servidor (local onde o site está
hospedado), utilizando a captura de pacotes em modo não promíscuo, isto é, pacotes
endereçados à interface de rede do cliente. Outras metas são: caracterizar os protocolos
envolvidos, os objetos transmitidos, as ações de conexão, as ações de transferência de dados e
também seus inter-relacionamentos.
2 Ferramentas Utilizadas
As ferramentas utilizadas durante o desenvolvimento deste trabalho foram as
seguintes:
2.1 Wireshark (antigo Ethereal) – programa escolhido para analisar o tráfego de rede
gerado pela aplicação web. Ele é um analisador de protocolo para redes de computadores
1
Acadêmico do Curso Bacharelado em Sistemas de Informação. Turma: 2004
2. (Ethernet, FDDI, PPP, Token-Ring, IEEE 802.11 entre outras) muito utilizado para capturar e
analisar todo o tráfego que passa através do meio físico (placa de fax modem, placa de rede,
etc.) onde ele está conectado. Este detecta problemas de rede, conexões suspeitas, auxilia no
desenvolvimento de aplicativos, possui uma interface gráfica além de algumas ferramentas
para facilitar a análise [2].
O Wireshark analisa o tráfego de pacotes recebidos e os organiza por protocolo. Todo
o tráfego de entrada e saída é analisado e mostrado em uma lista de fácil navegação. Os
arquivos capturados podem ser editados e convertidos via linha de comando; centenas de
protocolos podem ser inspecionados; permite a captura online e análise offline; a saída pode
ser salva ou impressa em texto plano ou PostScript; a exibição de dados pode ser refinada
usando um filtro; filtros de exibição podem ser usados para destacar seletivamente e exibir
informações coloridas no sumário além de que todas as partes dos traços de rede capturados
podem ser salvas no disco [3].
O programa Wireshark é totalmente livre (Free), registrado pela GNU General Public
License (GPL). Pode ser baixado e instalado livremente sem limitações ou prazo de validade.
Utiliza também PCAP para capturar pacotes, de forma que ele só pode capturar pacotes em
redes apoiadas por PCAP além de ser multi-plataforma (UNIX, Linux, Solaris, FreeBSD,
NetBSD, OpenBSD, MAC OS X, Windows) [4].
2.2 Mozilla Firefox – é um navegador de Internet livre, multi-plataforma, desenvolvido pela
Mozilla Foundation com ajuda de centenas de colaboradores. A intenção da fundação é
desenvolver um navegador leve, seguro, intuitivo e altamente extensível [5]. Este possui
simplicidade na sua interface, tem suporte à navegação através de abas/separadores além de
disponibilizar bloqueamento personalizado de janelas pop-up.
2.3 Paint – programa da Microsoft usado para desenhar, colorir e editar imagens. Este pode
ser usado como um bloco de desenho digital para criar imagens simples e projetos criativos
ou adicionar texto e designs a outras imagens [6]. Neste trabalho este programa foi adotado
para editar e salvar as imagens das telas capturadas através do pressionamento da tecla
“PrintScreen SysRq”.
3 Atividades executadas
Apresentadas as ferramentas utilizadas na realização deste trabalho, a seguir serão
mostradas as atividades executadas objetivando realizar a caracterização do tráfego gerado
pela aplicação web.
Inicialmente foi realizado o download (www.baixaki.com.br) e instalação do programa
Wireshark numa máquina rodando o sistema operacional Windows XP SP2, conectada à
Internet e que pertence a uma rede local com 26 computadores. Em seguida, o programa
Wireshark foi configurado para capturar pacotes no modo não promíscuo (a caixa de seleção
ao lado de “Capture packets in promiscuous mode” foi deixada desmarcada), a interface de
rede Realtek RTL8139 foi selecionada e tendo como endereço IP 10.35.90.13 a máquina
cliente onde o programa foi executado, como mostra a Figura 01.
Após a preparação do programa Wireshark e antes deste ser executado, a aplicação
web a ser analisada (http://cassio.orgfree.com/disciplinas/gredes/atividade1/atividade.htm) foi
acessada através do navegador de Internet Firefox. Logo após, foi feito a limpeza dos
elementos de cache do navegador, utilizando um recurso do navegador. Em seguida o número
de matrícula 04057002308 foi preenchido no espaço solicitado pelo site acessado; o processo
de execução do Wireshark foi iniciado a partir do pressionamento do botão “Start”, exibido na
figura 01 e, também, foi pressionado o botão “Vai...” localizado no site.
3. Figura 01 – Configurações utilizadas no Wireshark
Durante a execução do Wireshark, foi observado o tráfego gerado tanto pelo lado
cliente (End. IP 10.35.90.13) a partir do qual o site foi acessado como do lado servidor (End.
IP 216.245.205.125) onde o site está hospedado. A execução foi finalizada, através do
pressionamento do botão “Stop”, a partir do momento que se observou que a aplicação web
não estava mais gerando tráfego para o lado cliente. Em seguida, foi salvo (formato .pcap) o
tráfego de rede capturado pelo programa para se fazer as avaliações e, em fim, chegar as
metas propostas neste trabalho.
Os protocolos da arquitetura TCP/IP envolvidos nesta comunicação cliente-servidor,
como é mostrado na Figura 02, são: o Transmission Control Protocol – TCP – protocolo da
camada de transporte que realiza o transporte dos dados, e o Hypertext Transfer Protocol –
HTTP – protocolo da camada de aplicação responsável pela comunicação entre o lado cliente
e o lado servidor [7].
Figura 02 – Estatística dos protocolos.
4. A Figura 03 mostra todo o tráfego gerado durante o período de execução do programa
Wireshark. Nesta, pode-se observar os endereços das máquinas que originaram (source) o
processo de comunicação/transferência das informações envolvidas nesse tráfego, e também
os endereços das máquinas para as quais estas informações foram destinadas (destination).
Percebe-se ainda os protocolos (protocol) utilizados além das informações trocadas entre
origem e destino durante as transmissões.
Figura 03 – Tráfego gerado entre origem e destino.
A Figura 04 representa a lista dos objetos HTTP enviados pela aplicação web (source
216.245.205.125) para a estação cliente (destination 10.35.90.13). Esta mostra o nome do
endereço da aplicação web (cassio.orgfree.com), o tipo do conteúdo dos pacotes
representados por três imagens no formato “.gif”, o tamanho das imagens em bytes e seus
respectivos nomes (filename).
Figura 04 – Lista dos objetos HTTP.
5. As ações de conexão, as ações de transferência de dados e seus inter-relacionamentos são
exibidos na Figura 05.
Figura 05 – As ações e seus inter-relacionamentos.
Conclusão
Durante o desenvolvimento deste trabalho não foram encontrados problemas durante a
instalação e utilização do Wireshark na plataforma Windows XP. Este programa mostrou-se
ser eficiente para se avaliar o tráfego de uma aplicação web, permitindo apresentar o resultado
do tráfego capturado durante o período de execução de várias formas como, por exemplo,
HTTP Object list, Statistics Protocol Hierarchy, Statistics Conversations, facilitando sua
caracterização. Aprendeu-se, portanto, que em qualquer rede de computadores, com qualquer
plataforma, podemos monitorar e avaliar todo o tráfego gerado por uma aplicação web através
do uso de algum programa analisador de protocolo.
Referências Bibliográficas
[1] SPECIALSKI, Elizabeth Sueli. Necessidades de Gerenciamento de Aplicações de Rede.
[2] LIBERATO, Taiz. RELATÓRIO WIRESHARK. Disponível em:
<http://www.webartigos.com/articles/20062/1/wireshark/pagina1.html>. Acesso em: 30 de
setembro de 2009.
[3] Capturar agora todos os pacotes da rede com Wireshark - uma referência completa de
WireShark. Disponível em: <http://www.thecredence.com/lang/pt/now-capture-all-network-
packets-with-wireshark-a-complete-reference-of-wireshark>. Acesso em: 29 de setembro de
2009.
[4] FERRARI, Sandro Roberto. Wireshark – Artigo. Disponível em:
<http://www.vivaolinux.com.br/artigo/Wireshark-Artigo>. Acesso em: 29 de setembro de
2009.
[5] Mozilla Firefox. Disponível em: <http://pt.wikipedia.org/wiki/Mozilla_Firefox>. Acesso
em: 29 de setembro de 2009.
6. [6] Usando o Paint. Disponível em: <http://windowshelp.microsoft.com/Windows/pt-
BR/help/f5feb1df-8dd7-4ab0-9f65-3c1c89a329ab1046.mspx>. Acesso em: 02 de outuro de
2009.
[7] LOPES, Raquel Vigolvino. Melhores Práticas da Gerência de Redes – Apêndice 7.
![ANÁLISE DE TRÁFEGO COM WIRESHARK
Pedro Henrique Carvalho da Silva1
UNIVERSIDADE FEDERAL DO PARÁ – CAMPUS SANTARÉM
pcarvalhodasilva@yahoo.com.br
Resumo: Uma ferramenta bastante utilizada por gerentes de rede para monitorar
o tráfego dos diversos tipos de aplicações web (P2P, WWW, cliente-servidor)
existentes atualmente, chama-se Wireshark Este trabalho apresenta esta
ferramenta e sua aplicação no monitoramento de uma aplicação web a fim de
avaliar e descrever o tráfego que esta gera durante sua comunicação com o lado
cliente.
Palavras Chaves: Wireshark, Análise de Tráfego, Aplicação Web.
1 Introdução
Nos últimos anos houve um grande aumento do número de usuários que utilizam a
Internet para diversos fins, paralelamente a isto vem surgindo milhares de aplicações web que
são disponibilizadas na grande rede. Estas possuem serviços variados e uma série de
requisitos como interface web, protocolos de comunicação, protocolos de transporte entre
outros que as tornam muito utilizadas [1]. No entanto, aplicações web são vulneráveis a falhas
de segurança facilmente encontradas nos navegadores de Internet, mensageiros instantâneos
etc. Avaliar e caracterizar o tráfego que uma aplicação web gera na rede, portanto, é essencial
para se ter o conhecimento do que esta envia para os usuários (clientes) a fim de evitar, por
exemplo, possíveis invasões de arquivos maliciosos nas estações dos clientes.
Este trabalho tem como objetivo caracterizar o tráfego gerado por uma aplicação web
(site) para uma estação cliente, utilizando para isto um analisador de protocolo totalmente
livre (free) denominado Wireshark.
Este é um trabalho de laboratório em que se irá descrever o processo de avaliação e
caracterização do tráfego de uma aplicação web previamente escolhida, utilizando a Internet
como principal fonte de informação além de uma ferramenta instalada em um computador
com sistema operacional Windows XP conectado à Internet através de uma rede local com 26
computadores, sendo que a ferramenta realizará o monitoramento e avaliação do tráfego
gerado pela aplicação.
Uma das metas deste trabalho é avaliar o tráfego de rede entre o lado cliente
(computador com o programa Wireshark instalado) e o lado servidor (local onde o site está
hospedado), utilizando a captura de pacotes em modo não promíscuo, isto é, pacotes
endereçados à interface de rede do cliente. Outras metas são: caracterizar os protocolos
envolvidos, os objetos transmitidos, as ações de conexão, as ações de transferência de dados e
também seus inter-relacionamentos.
2 Ferramentas Utilizadas
As ferramentas utilizadas durante o desenvolvimento deste trabalho foram as
seguintes:
2.1 Wireshark (antigo Ethereal) – programa escolhido para analisar o tráfego de rede
gerado pela aplicação web. Ele é um analisador de protocolo para redes de computadores
1
Acadêmico do Curso Bacharelado em Sistemas de Informação. Turma: 2004](https://image.slidesharecdn.com/atividade1-pedro-091007092131-phpapp01/85/ANALISE-DE-TRAFEGO-COM-WIRESHARK-1-320.jpg)
![(Ethernet, FDDI, PPP, Token-Ring, IEEE 802.11 entre outras) muito utilizado para capturar e
analisar todo o tráfego que passa através do meio físico (placa de fax modem, placa de rede,
etc.) onde ele está conectado. Este detecta problemas de rede, conexões suspeitas, auxilia no
desenvolvimento de aplicativos, possui uma interface gráfica além de algumas ferramentas
para facilitar a análise [2].
O Wireshark analisa o tráfego de pacotes recebidos e os organiza por protocolo. Todo
o tráfego de entrada e saída é analisado e mostrado em uma lista de fácil navegação. Os
arquivos capturados podem ser editados e convertidos via linha de comando; centenas de
protocolos podem ser inspecionados; permite a captura online e análise offline; a saída pode
ser salva ou impressa em texto plano ou PostScript; a exibição de dados pode ser refinada
usando um filtro; filtros de exibição podem ser usados para destacar seletivamente e exibir
informações coloridas no sumário além de que todas as partes dos traços de rede capturados
podem ser salvas no disco [3].
O programa Wireshark é totalmente livre (Free), registrado pela GNU General Public
License (GPL). Pode ser baixado e instalado livremente sem limitações ou prazo de validade.
Utiliza também PCAP para capturar pacotes, de forma que ele só pode capturar pacotes em
redes apoiadas por PCAP além de ser multi-plataforma (UNIX, Linux, Solaris, FreeBSD,
NetBSD, OpenBSD, MAC OS X, Windows) [4].
2.2 Mozilla Firefox – é um navegador de Internet livre, multi-plataforma, desenvolvido pela
Mozilla Foundation com ajuda de centenas de colaboradores. A intenção da fundação é
desenvolver um navegador leve, seguro, intuitivo e altamente extensível [5]. Este possui
simplicidade na sua interface, tem suporte à navegação através de abas/separadores além de
disponibilizar bloqueamento personalizado de janelas pop-up.
2.3 Paint – programa da Microsoft usado para desenhar, colorir e editar imagens. Este pode
ser usado como um bloco de desenho digital para criar imagens simples e projetos criativos
ou adicionar texto e designs a outras imagens [6]. Neste trabalho este programa foi adotado
para editar e salvar as imagens das telas capturadas através do pressionamento da tecla
“PrintScreen SysRq”.
3 Atividades executadas
Apresentadas as ferramentas utilizadas na realização deste trabalho, a seguir serão
mostradas as atividades executadas objetivando realizar a caracterização do tráfego gerado
pela aplicação web.
Inicialmente foi realizado o download (www.baixaki.com.br) e instalação do programa
Wireshark numa máquina rodando o sistema operacional Windows XP SP2, conectada à
Internet e que pertence a uma rede local com 26 computadores. Em seguida, o programa
Wireshark foi configurado para capturar pacotes no modo não promíscuo (a caixa de seleção
ao lado de “Capture packets in promiscuous mode” foi deixada desmarcada), a interface de
rede Realtek RTL8139 foi selecionada e tendo como endereço IP 10.35.90.13 a máquina
cliente onde o programa foi executado, como mostra a Figura 01.
Após a preparação do programa Wireshark e antes deste ser executado, a aplicação
web a ser analisada (http://cassio.orgfree.com/disciplinas/gredes/atividade1/atividade.htm) foi
acessada através do navegador de Internet Firefox. Logo após, foi feito a limpeza dos
elementos de cache do navegador, utilizando um recurso do navegador. Em seguida o número
de matrícula 04057002308 foi preenchido no espaço solicitado pelo site acessado; o processo
de execução do Wireshark foi iniciado a partir do pressionamento do botão “Start”, exibido na
figura 01 e, também, foi pressionado o botão “Vai...” localizado no site.](data:image/gif;base64,R0lGODlhAQABAIAAAAAAAP///yH5BAEAAAAALAAAAAABAAEAAAIBRAA7)