Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Resumo
A segurana com as informaes trafegadas em redes de computadores tem se tornado um fator
de considervel preocupao, pois, com o aumento do uso de computadores e da Internet, houve
um crescimento do nmero de incidentes ocorridos nesses ambientes informatizados. Muitos
desses incidentes podem causar a lentido da rede ou at ao acesso a informaes confidenciais.
Para ter uma viso do que est acontecendo em uma rede, faz-se uso de softwares analisadores
de pacotes. Os analisadores de pacotes capturam e apresentam todo o fluxo de dados trafegados,
decodificando e exibindo o contedo dos pacotes para uma anlise detalhada. Existem diversas
ferramentas analisadoras de pacotes, tanto ferramentas livres quanto ferramentas proprietrias. O
presente trabalho apresenta um estudo comparativo envolvendo duas ferramentas analisadoras de
pacotes proprietrias e duas livres, com o objetivo de apresentar suas funcionalidades, assim
como, suas vantagens e desvantagens.
Para esse estudo foi utilizado o Capsa Para esse estudo foi utilizado o
Network Analyzer Enterprise (verso CommView 6.1 (verso para avaliao).
Demo). C. Tcpdump
OTcpdump (Figura 3) uma ferramenta cujo
principal objetivo analisar o trfego que
flui atravs da rede. Baseia-se na biblioteca
de captura pcap e funciona atravs de linha
de comando. Por ser flexvel s necessidades
do administrador, o Tcpdump permite que a
interface de rede desejada para a execuo
do monitoramento seja especificada, assim
como as de portas de origem ou destino e os
Figura 1. Tela do Capsa Network Analyzer protocolos que sero monitorados. O
B. CommView Tcpdump capaz de trabalhar com arquivos,
De acordo com o site da TamoSoft tornando possvel a analise dos pacotes
(www.tamos.com), o CommView (Figura 2) capturados utilizando filtros aps o
um poderoso monitor e analisador de monitoramento do trfego da rede. Todas as
redes, destinados a administradores de redes, informaes e downloads do Tcpdumppode
profissionais de segurana, at mesmo um ser encontrado em (www.tcpdump.org)
simples usurio da Internet que queira uma
imagem completa do trfego de sua rede.
Com uma interface amigvel, CommView
combina performance e flexibilidade, com a
facilidade de uso.
Filtragem de pacotes
Os filtros permitem mostrar apenas os
pacotes particulares em uma captura de
dados. Pode-se criar e usar uma expresso
para encontrar exatamente o que se deseja
em uma captura. Para facilitar o uso de filtro
imprescindvel o conhecimento da sintaxe.
Figura 4. Tela do Wireshark
A. Capsa Network Analyzer
5. Cenrio A caixa de dilogo Filter (Figura 6)
dividida em trs partes:
As ferramentas escolhidas foram submetidas Filterlist: lista todos os filtros
ao monitoramento da rede, no qual, trs disponveis, incluindo os que foram
computadores estaro conectados em um criados pelo usurio.
servidor de compartilhamento de Internet. FilterFlow-chart: Mostra o fluxograma
As ferramentas foram instaladas no prprio dos filtros. atualizado a cada
servidor a fim de capturar os pacotes das trs modificao no Filterlist.
mquinas clientes (Figura 5). Buttons: Apresenta botes com a
Pretende-se acessar sites e aplicaes finalidade de adicionar, modificar,
diversas para alimentar as ferramentas com deletar, importar e exportar filtros. Alm
dados. Todas as ferramentas foram do boto para redefinir a lista de filtros.
configuradas para no utilizar filtros de possvel criar filtros simples baseados
pacotes durante a captura. em endereos, portas ou protocolos em um
No servidor de compartilhamento de nico filtro.
Internet est instalado o Ubuntu 10.10. Para Os filtros avanados possuem mais
a execuo das ferramentas que trabalham condies do que os filtros simples
em ambiente Windows, foi feito a permitindo definir parmetros precisos como
virtualizao do Windows XPSP3 utilizando valores, tamanhos e padres dos pacotes que
a ferramenta VirtualBox. sero capturados.
Expresso Descrio
host Mostra todo o trfego do
www.exemplo.com host www.exemplo.com
!dns Mostra tudo exceto o
trfego DNS
not broadcast and not Apenas mostra o trfego
multicast unicast Figura 8: Aba Dashboard do Capsa Network
ip.dst==192.168.0.1 Mostra todo o trfego Analyzer.
N 01 Agosto 2012 50
Figura 12: tem General da janela Statistics do Figura 16: Opo By IP do tem Matrix da janela
CommView. Statistics do CommView.
Figura 19: janela da opo Protocol Hierarchy do Figura 21: Janela da opo IO Graphs do
Wireshark Wireshark.
A opo Conversation apresenta o
trfego entre dois pontos especficos, cada 7. Anlise Comparativa
linha na lista mostra os valores estatsticos
de cada conversa. O presente estudo mostra diversas
Em uma conversa entre endereos IP, por funcionalidades de cada ferramenta. A
exemplo, contm informaes dos pacotes Tabela 10 apresenta a comparao dessas
enviados e recebidos entre eles. Informaes funcionalidades.
como, quantidade de pacotes, o seu tamanho A ferramenta Capsa Network Analyser,
em bytes e o tempo em segundos entre o apresenta qualidade em sua interface grfica
incio da captura e no incio da conversa. por ser semelhante aos softwares do pacote
Essa janela atualizada com frequncia e Microsoft Office 2007, facilitando e
exibida na Figura 20. tornando intuitivo o seu uso. O usurio pode
A opo Endpoints apresenta todos os facilmente mudar de uma estatstica geral
pontos finais do trfego da rede representado para os detalhes de um n de rede especfico
por endereos IP, assim como, a quantidade atravs de um clique. Possibilita a
de pacotes e seu tamanho em bytes. configurao de regras de alarmes e suas
A opo IO Graphs apresenta um grfico notificaes. Seu uso exclusivo da
de todo o fluxo de pacotes trafegados na plataforma Windows.
rede. possvel realizar configuraes de O CommView composto por uma
visualizao, como por exemplo, definir at interface grfica simples e bastante amigvel
cinco grficos com cores e filtros diferentes, composta por seis guias que permitem a
alterar o estilo de exibio e a escala de visualizao dos dados. Possibilita a
tempo e a unidade de medida. Alm disso, configurao de alarmes, importao e
possivel salvar o grfico como uma imagem. exportao de arquivos capturados em
A janela do IO Graphs exibida na diversos formatos, relatrios HTML,
Figura 21. reconstruo de sees TCP, gerao de
pacotes personalizados e monitoramento
remoto. Assim como o Capsa
N 01 Agosto 2012 53
CERT.br Sobre o CERT.br. Disponvel em: < SANDERS C. Practical Packet Analysis -
http://www.cert.br/sobre >. Acesso em 27 de Using Wireshark to Solve Real- World
ago. 2011. Network Problems.So Francisco: No
Starch Press, 2007
KUROSE, JAMES F.; ROSS, KEITH W.
Redes de Computadores e a Internet: SILVA, GILSON MARQUES DA,
Uma abordagem top-down. 3. ed. So LORENS, EVANDRO MRIO.Extrao e
Paulo: Pearson Addison Wesley, 2006. Anlise de Dados em Memria na Percia
Forense Computacional. In: Proceeeding
MARCELLA, ALBERT J.; MENENDEZ, of the Fourth International Conference of
D. Cyber Forensics A Field Manual for Forensic Computer Science (ICoFCS2009),
Colleting, Examining, and Preserving p. 29-36, Natal, 2009.
Evidence of Computer Crimes.2. ed. Boca
Raton: AuerbachPublication, 2008. www.cert.br