Title: usando o ethereal
Post by: lcs on 29 de April , 2006, 01:39:50 PM
Post by: lcs on 29 de April , 2006, 01:39:50 PM
Usando o Ethereal
Além do Nessus, outro aliado importante é o Ethereal, um poderoso sniffer. Bem, assim como o Nessus, ele pode ser usado tanto para proteger seu sistema quanto para roubar dados dos vizinhos, uma faca de dois gumes, por isso ele é às vezes visto como uma "ferramenta hacker" quando na verdade o objetivo do programa é dar a você o controle sobre o que entra e sai da sua máquina e a possibilidade de detectar rapidamente qualquer tipo de trojan, spyware ou acesso não autorizado.
O Ethereal não costuma ser incluído nas distribuições, mas você pode baixá-lo no:
http://www.ethereal.com (http://www.ethereal.com)
Na página estão disponíveis tanto a versão .tar.gz, que deve ser instalada com os conhecidos "./configure", "make" e "make install", quanto pacotes prontos para várias distribuições. Está disponível também uma versão for Windows.
Depois de instalado, basta chamá-lo como root: ethereal
O Ethereal é um daqueles programas com tantas funções que você só consegue aprender realmente usando. Para começar, nada melhor do que capturar alguns pacotes. Clique em "Capture > Start".
(//http://www.guiadohardware.net/tutoriais/110/index_inc_m5211016a.png)
Aqui estão as opções de captura. A primeira opção importante é a "Capture packets in promiscuous mode", onde você decide se quer capturar apenas os pacotes endereçados à sua própria máquina, ou se quer tentar capturar também pacotes de outras máquinas da rede.
Isto é possível pois os hubs tradicionais apenas espelham as transmissões, enviando todos os pacotes para todas as estações. No início de cada pacote vai o endereço MAC do destino. Este é o endereço físico da placa de rede, que ao contrário do IP não pode ser facilmente alterado. Normalmente a placa escuta apenas os pacotes destinados a ele, ignorando os demais, mas no promiscuous mode ela passa a receber todas as comunicações, destinadas a todas as placas.
Em seguida, você tem a opção "Update list of packets in real time". Ativando esta opção, os pacotes vão aparecendo na tela conforme são capturados, em tempo real. Caso contrário, você precisa capturar um certo número de pacotes para só depois visualizar todo o bolo.
Mais abaixo estão também algumas opções para interromper a captura depois de um certo tempo ou depois de capturar uma certa quantidade de dados. O problema aqui é que o Ethereal captura todos os dados transmitidos na rede, o que pode rapidamente consumir toda a memória RAM do micro :-).
Dando o OK, será aberta a tela de captura de pacotes, onde você poderá acompanhar o número de pacotes capturados.
(//http://www.guiadohardware.net/tutoriais/110/index_inc_m7cdd1a0d.png)
Na tela principal temos a lista dos pacotes, com várias informações, como o remetente e o destinatário de cada pacote, o protocolo utilizado (TCP, FTP, HHTP, AIM, NetBIOS, etc.) e uma coluna com mais informações, que incluem a porta TCP a que o pacote foi destinado.
Os pacotes que aparecem com um micro da rede local como emissor e um domínio ou IP da internet como destinatário incluem requisições, upload de arquivos, e-mails enviados, mensagens de ICQ e MSN e, em muitos casos, também senhas de acesso. Os pacotes provenientes de micros da internet são respostas à estas requisições, incluindo páginas web e e-mails lidos, arquivos baixados e assim por diante.
Através do sniffer é possível capturar todo tipo de informação que trafegue de forma não encriptada pela rede.
(//http://www.guiadohardware.net/tutoriais/110/index_inc_m18cd7a28.png)
Clicando sobre um dos pacotes e em seguida em "Follow TCP Strean" o Ethereal mostrará uma janela com toda a conversão, exibida em modo texto.
(//http://www.guiadohardware.net/tutoriais/110/index_inc_m202502b7.png)
A maior parte do que você vai ver serão dados binários, incluindo imagens de páginas web, arquivos e assim por diante. Mesmo o html das páginas chega muitas vezes de forma compactada (para economizar banda), novamente num formato ilegível. Mas, garimpando, você vai encontrar muitas coisas interessantes, como por exemplo mensagens (MSN e ICQ) e e-mails, que por padrão são transmitidos em texto puro. Usando a opção "Follow TCP Strean", é possível rastrear toda a conversa.
(//http://www.guiadohardware.net/tutoriais/110/index_inc_m7ae7d8c2.png)
Como disse, o Ethereal pode ser usado também pelo lado negro da força. Se você estiver numa rede local, com micros ligados através de um hub ou através de uma rede wireless, outro usuário pode usar o Ethereal para capturar todas as suas transmissões.
Isto é extremamente perigoso. Qualquer um, que tenha a chance de plugar um notebook na rede ou colocá-lo dentro da área de cobertura de sua rede wireless, poderá capturar dados e senhas suficientes para comprometer boa parte do sistema de sua empresa. Apenas conexões feitas através do SSH e outros programas que utilizam encriptação forte estariam a salvo.
Naturalmente, além de alguém de fora, existe a possibilidade de um dos seus próprios funcionários resolver começar a brincar de script kiddie, pregando peças nos outros e causando danos. Como vimos, isso não requer muita prática. Enfim, a menos que você esteja numa simples rede doméstica, onde exista uma certa confiança mútua, utilizar um hub burro é simplesmente um risco grande demais a correr.
A solução para o problema é substituir seus hubs por switchs. A diferença básica é, que enquanto o hub simplesmente repassa todos os pacotes para todos os micros ligados a ele, um switch analisa os pacotes baseados nos endereços físicos das placas de rede e envia cada pacote apenas para o seu destinatário correto. Isto faz com que os sniffers deixem de funcionar, pois passarão a capturar apenas o tráfego de broadcast, que representa uma pequena porção do tráfego de dados da rede.
Veja que isto serve apenas para melhorar a segurança, não torna a sua rede inviolável, já que alguém ainda poderia substituir o switch por outro hub caso tivesse acesso físico a ele, grampear os cabos de rede e assim por diante. Naturalmente, isto também pode ser feito fora da sua rede, capturando os dados transmitidos através do seu ADSL por exemplo. O ideal é sempre utilizar conexões encriptadas, via SSH ou algum tipo de VPN. A maioria dos ataques, principalmente os feitos por funcionários da própria empresa, baseiam-se justamente em capturar senhas transmitidas de forma não encriptada através da rede.
De qualquer forma, podem existir situações em que, embora você não deseja que ninguém possa ver o tráfego da rede, você mesmo, como chefe ou administrador da rede, deseja policiar o que os usuários estão fazendo durante o expediente na conexão da empresa. Neste caso, eu sugiro que você mantenha um servidor SSH ativo nas estações de trabalho. Assim, você pode de vez em quando se logar na máquina e rodar o Ethereal para acompanhar o tráfego de dados de cada máquina, sem que o usuário tome conhecimento. Outra possibilidade seria rodar o Ethereal na máquina que compartilha a conexão, assim você poderá observar os pacotes vindos de todas as máquinas da rede. Alguns modelos de switchs mais caros podem ser programados para direcionar todo o tráfego da rede para uma determinada porta, onde você poderia plugar o seu micro para "ver tudo".
No caso das redes wireless, a situação é um pouco mais complicada, pois o meio de transmissão é sempre compartilhado. Os pacotes trafegam pelo ar, por isso não é possível impedir que sejam capturados. Mas, você pode dificultar bastante as coisas ativando a encriptação, se possível usando o WPA e diminuindo a potência de transmissão do ponto de acesso, de forma a cobrir apenas a área necessária.
Lembre-se de que apenas informações não encriptadas podem ser capturadas. Utilizando protocolos seguros, como o SSH, as informações capturadas não terão utilidade alguma, pois estarão encriptadas.
Além do lado negativo, pessoas snifarem sua rede e assim descobrirem senhas e outros dados sigilosos, existe um lado positivo: monitorando sua conexão durante algum tempo, você vai logo perceber vários tipos de abusos, como sites que enviam requisições para várias portas da sua máquina ao serem acessados, banners de propaganda que enviam informações sobre seus hábitos de navegação para seus sites de origem, gente escaneando suas portas usando programas similares ao Nessus que vimos acima, programas que ficam continuamente baixando banners de propaganda e assim por diante.
Estas informações são úteis não apenas para decidir quais sites e serviços evitar, mas também para ajudar na configuração do seu firewall. Pode ser que no início você não entenda muito bem os dados fornecidos pelo Nessus, mas depois de alguns dias observando você vai começar a entender muito melhor como as conexões TCP funcionam.
fonte: guia do hardware.net
Além do Nessus, outro aliado importante é o Ethereal, um poderoso sniffer. Bem, assim como o Nessus, ele pode ser usado tanto para proteger seu sistema quanto para roubar dados dos vizinhos, uma faca de dois gumes, por isso ele é às vezes visto como uma "ferramenta hacker" quando na verdade o objetivo do programa é dar a você o controle sobre o que entra e sai da sua máquina e a possibilidade de detectar rapidamente qualquer tipo de trojan, spyware ou acesso não autorizado.
O Ethereal não costuma ser incluído nas distribuições, mas você pode baixá-lo no:
http://www.ethereal.com (http://www.ethereal.com)
Na página estão disponíveis tanto a versão .tar.gz, que deve ser instalada com os conhecidos "./configure", "make" e "make install", quanto pacotes prontos para várias distribuições. Está disponível também uma versão for Windows.
Depois de instalado, basta chamá-lo como root: ethereal
O Ethereal é um daqueles programas com tantas funções que você só consegue aprender realmente usando. Para começar, nada melhor do que capturar alguns pacotes. Clique em "Capture > Start".
(//http://www.guiadohardware.net/tutoriais/110/index_inc_m5211016a.png)
Aqui estão as opções de captura. A primeira opção importante é a "Capture packets in promiscuous mode", onde você decide se quer capturar apenas os pacotes endereçados à sua própria máquina, ou se quer tentar capturar também pacotes de outras máquinas da rede.
Isto é possível pois os hubs tradicionais apenas espelham as transmissões, enviando todos os pacotes para todas as estações. No início de cada pacote vai o endereço MAC do destino. Este é o endereço físico da placa de rede, que ao contrário do IP não pode ser facilmente alterado. Normalmente a placa escuta apenas os pacotes destinados a ele, ignorando os demais, mas no promiscuous mode ela passa a receber todas as comunicações, destinadas a todas as placas.
Em seguida, você tem a opção "Update list of packets in real time". Ativando esta opção, os pacotes vão aparecendo na tela conforme são capturados, em tempo real. Caso contrário, você precisa capturar um certo número de pacotes para só depois visualizar todo o bolo.
Mais abaixo estão também algumas opções para interromper a captura depois de um certo tempo ou depois de capturar uma certa quantidade de dados. O problema aqui é que o Ethereal captura todos os dados transmitidos na rede, o que pode rapidamente consumir toda a memória RAM do micro :-).
Dando o OK, será aberta a tela de captura de pacotes, onde você poderá acompanhar o número de pacotes capturados.
(//http://www.guiadohardware.net/tutoriais/110/index_inc_m7cdd1a0d.png)
Na tela principal temos a lista dos pacotes, com várias informações, como o remetente e o destinatário de cada pacote, o protocolo utilizado (TCP, FTP, HHTP, AIM, NetBIOS, etc.) e uma coluna com mais informações, que incluem a porta TCP a que o pacote foi destinado.
Os pacotes que aparecem com um micro da rede local como emissor e um domínio ou IP da internet como destinatário incluem requisições, upload de arquivos, e-mails enviados, mensagens de ICQ e MSN e, em muitos casos, também senhas de acesso. Os pacotes provenientes de micros da internet são respostas à estas requisições, incluindo páginas web e e-mails lidos, arquivos baixados e assim por diante.
Através do sniffer é possível capturar todo tipo de informação que trafegue de forma não encriptada pela rede.
(//http://www.guiadohardware.net/tutoriais/110/index_inc_m18cd7a28.png)
Clicando sobre um dos pacotes e em seguida em "Follow TCP Strean" o Ethereal mostrará uma janela com toda a conversão, exibida em modo texto.
(//http://www.guiadohardware.net/tutoriais/110/index_inc_m202502b7.png)
A maior parte do que você vai ver serão dados binários, incluindo imagens de páginas web, arquivos e assim por diante. Mesmo o html das páginas chega muitas vezes de forma compactada (para economizar banda), novamente num formato ilegível. Mas, garimpando, você vai encontrar muitas coisas interessantes, como por exemplo mensagens (MSN e ICQ) e e-mails, que por padrão são transmitidos em texto puro. Usando a opção "Follow TCP Strean", é possível rastrear toda a conversa.
(//http://www.guiadohardware.net/tutoriais/110/index_inc_m7ae7d8c2.png)
Como disse, o Ethereal pode ser usado também pelo lado negro da força. Se você estiver numa rede local, com micros ligados através de um hub ou através de uma rede wireless, outro usuário pode usar o Ethereal para capturar todas as suas transmissões.
Isto é extremamente perigoso. Qualquer um, que tenha a chance de plugar um notebook na rede ou colocá-lo dentro da área de cobertura de sua rede wireless, poderá capturar dados e senhas suficientes para comprometer boa parte do sistema de sua empresa. Apenas conexões feitas através do SSH e outros programas que utilizam encriptação forte estariam a salvo.
Naturalmente, além de alguém de fora, existe a possibilidade de um dos seus próprios funcionários resolver começar a brincar de script kiddie, pregando peças nos outros e causando danos. Como vimos, isso não requer muita prática. Enfim, a menos que você esteja numa simples rede doméstica, onde exista uma certa confiança mútua, utilizar um hub burro é simplesmente um risco grande demais a correr.
A solução para o problema é substituir seus hubs por switchs. A diferença básica é, que enquanto o hub simplesmente repassa todos os pacotes para todos os micros ligados a ele, um switch analisa os pacotes baseados nos endereços físicos das placas de rede e envia cada pacote apenas para o seu destinatário correto. Isto faz com que os sniffers deixem de funcionar, pois passarão a capturar apenas o tráfego de broadcast, que representa uma pequena porção do tráfego de dados da rede.
Veja que isto serve apenas para melhorar a segurança, não torna a sua rede inviolável, já que alguém ainda poderia substituir o switch por outro hub caso tivesse acesso físico a ele, grampear os cabos de rede e assim por diante. Naturalmente, isto também pode ser feito fora da sua rede, capturando os dados transmitidos através do seu ADSL por exemplo. O ideal é sempre utilizar conexões encriptadas, via SSH ou algum tipo de VPN. A maioria dos ataques, principalmente os feitos por funcionários da própria empresa, baseiam-se justamente em capturar senhas transmitidas de forma não encriptada através da rede.
De qualquer forma, podem existir situações em que, embora você não deseja que ninguém possa ver o tráfego da rede, você mesmo, como chefe ou administrador da rede, deseja policiar o que os usuários estão fazendo durante o expediente na conexão da empresa. Neste caso, eu sugiro que você mantenha um servidor SSH ativo nas estações de trabalho. Assim, você pode de vez em quando se logar na máquina e rodar o Ethereal para acompanhar o tráfego de dados de cada máquina, sem que o usuário tome conhecimento. Outra possibilidade seria rodar o Ethereal na máquina que compartilha a conexão, assim você poderá observar os pacotes vindos de todas as máquinas da rede. Alguns modelos de switchs mais caros podem ser programados para direcionar todo o tráfego da rede para uma determinada porta, onde você poderia plugar o seu micro para "ver tudo".
No caso das redes wireless, a situação é um pouco mais complicada, pois o meio de transmissão é sempre compartilhado. Os pacotes trafegam pelo ar, por isso não é possível impedir que sejam capturados. Mas, você pode dificultar bastante as coisas ativando a encriptação, se possível usando o WPA e diminuindo a potência de transmissão do ponto de acesso, de forma a cobrir apenas a área necessária.
Lembre-se de que apenas informações não encriptadas podem ser capturadas. Utilizando protocolos seguros, como o SSH, as informações capturadas não terão utilidade alguma, pois estarão encriptadas.
Além do lado negativo, pessoas snifarem sua rede e assim descobrirem senhas e outros dados sigilosos, existe um lado positivo: monitorando sua conexão durante algum tempo, você vai logo perceber vários tipos de abusos, como sites que enviam requisições para várias portas da sua máquina ao serem acessados, banners de propaganda que enviam informações sobre seus hábitos de navegação para seus sites de origem, gente escaneando suas portas usando programas similares ao Nessus que vimos acima, programas que ficam continuamente baixando banners de propaganda e assim por diante.
Estas informações são úteis não apenas para decidir quais sites e serviços evitar, mas também para ajudar na configuração do seu firewall. Pode ser que no início você não entenda muito bem os dados fornecidos pelo Nessus, mas depois de alguns dias observando você vai começar a entender muito melhor como as conexões TCP funcionam.
fonte: guia do hardware.net
Title: Re: usando o ethereal
Post by: Ðark$pawn on 29 de April , 2006, 05:45:52 PM
Post by: Ðark$pawn on 29 de April , 2006, 05:45:52 PM
O Ethereal é super interessante e complexo, muito bom tuto... Vlws!!! 
Title: Re: usando o ethereal
Post by: Cloudy on 29 de April , 2006, 06:08:44 PM
Post by: Cloudy on 29 de April , 2006, 06:08:44 PM
Bem, tem outros Sniffers bem melhores.
Como por exemplo o Hunt, que possue, além de ferramentas de sniffer, ferramentas para Captura de Seção (Hijacking).
...by Cloudy
Como por exemplo o Hunt, que possue, além de ferramentas de sniffer, ferramentas para Captura de Seção (Hijacking).
...by Cloudy