N 01 Agosto 2012 43

ESTUDO COMPARATIVO DE FERRAMENTAS

ANALISADORAS DE PACOTES EM REDE TPC/IP
Felipe Santos Couto, Alex Ferreira dos Santos e Agnaldo Volpe Lovato
Universidade Estadual do Sudoeste da Bahia (UESB)
felipe_couto@yahoo.com.br, afsantos@uesb.edu.br, agnaldovl@yahoo.com.br

Resumo
A segurana com as informaes trafegadas em redes de computadores tem se tornado um fator
de considervel preocupao, pois, com o aumento do uso de computadores e da Internet, houve
um crescimento do nmero de incidentes ocorridos nesses ambientes informatizados. Muitos
desses incidentes podem causar a lentido da rede ou at ao acesso a informaes confidenciais.
Para ter uma viso do que est acontecendo em uma rede, faz-se uso de softwares analisadores
de pacotes. Os analisadores de pacotes capturam e apresentam todo o fluxo de dados trafegados,
decodificando e exibindo o contedo dos pacotes para uma anlise detalhada. Existem diversas
ferramentas analisadoras de pacotes, tanto ferramentas livres quanto ferramentas proprietrias. O
presente trabalho apresenta um estudo comparativo envolvendo duas ferramentas analisadoras de
pacotes proprietrias e duas livres, com o objetivo de apresentar suas funcionalidades, assim
como, suas vantagens e desvantagens.

Palavras-chave: Incidentes de segurana. Segurana da Informao. Pacotes de rede. Analisador

de pacotes.
Abstract
The security of information traffic over networks of computers has become a factor of
considerable concern, because with the increasing use of computers and the Internet, there was a
growing number of incidents in these computing environments. Many of these incidents can
cause delays of the network or even provide access to confidential information. To get an
overview of what is happening on a network makes use of software packet analyzers. The packet
analyzers capture and present all the data traffics flow decoding and displaying the contents of
the package for detailed analysis. There are several tools packet analyzer, both free tools and
proprietary tools. This paper presents a comparative study involving two proprietary tools packet
analyzer and two free, in order to present the features and their advantages and disadvantages.

Keywords: Security Incidents. Information Security. Network Packets. Packet Analyzer.

1. Introduo estavam sendo trafegadas pela rede, a

O desenvolvimento de aplicaes que
utilizam redes de computadores juntamente
com o crescente nmero de usurios,
contribuiu e ainda contribui para o
crescimento da Internet. Com toda a
facilidade de comunicao oferecida pela
Internet, as organizaes passaram, cada vez
mais, a utilizar os servios oferecidos por
ela. Visto que, informaes confidenciais
preocupao com a segurana dessas
informaes foi despertada, pois estas
poderiam estar expostas a usurios mal-
intencionados. Alm do acesso improvvel e
indesejvel de usurios mal-intencionados, a
entrada de pacotes de dados maliciosos em
uma rede tambm de grande preocupao
quanto segurana da mesma (CORRA,
2011), (SILVA, 2009), (BANERJEE, 2010).
A anlise de pacotes poder auxiliar no
entendimento das caractersticas de rede,
 N 01 Agosto 2012
saber quem tem acesso, determinar quem
ou o que est utilizando largura de banda
disponvel, identificar horrios de mais
utilizao da rede, identificar possveis
ataques ou atividades maliciosas, dentre
outras coisas. Assim, faz-se indispensvel
um monitoramento sobre os eventos
anormais ocorridos nas redes de
computadores. Este monitoramento feito
atravs de ferramentas analisadoras de
pacotes (SANDERS, 2007).
Neste trabalho ser apresento um estudo
comparativo envolvendo duas ferramentas
analisadoras de pacotes proprietrias e duas
livres, com o objetivo de apresentar suas
funcionalidades, assim como, suas
vantagens e desvantagens.
As prximas sees deste artigo estaro
organizadas da seguinte maneira: Na seo 2
ser abordado aspectos da segurana da
informao. A seo 3descreve os
analisadoras de pacotes. Na seo 4
apresentamos as ferramentas utilizadas. Na
seo 5 ser apresentado o cenrio utilizado.
A seo 6 conter o estudo comparativo e na
seo 7 a anlise comparativa dos
resultados. Por fim, na seo 8 estaro as
consideraes finais.
2. Segurana da Informao
Um dos acontecimentos mais importantes da
dcada de 1990 foi o surgimento da World
Wide Web (WWW), tornando possvel o
acesso a Internet aos diversos tipos de
usurios espalhados pelo mundo. Alm
disso, a Web serviu tambm como meio para
habilitar e disponibilizar diversas novas
aplicaes, incluindo servios bancrios on-
line, servios multimdia em tempo real e
servios de recuperao de informaes
(KUROSE; ROSS, 2006).
No Brasil, o CERT.br (Centro de
Estudos, Resposta e Tratamento de
Incidentes de Segurana no Brasil) o rgo
responsvel por tratar incidentes de
segurana em computadores que envolvam
redes conectadas Internet brasileira. Alm
do processo de tratamento aos incidentes, o
CERT.br tambm atua conscientizando os
usurios da Internet sobre os problemas de
44
segurana, da anlise de tendncias e
correlao entre eventos na Internet no
Brasil. O objetivo estratgico dessas
atividades possibilitar o aumento dos
nveis de segurana e da capacidade de
tratamento de incidentes das redes no pas
(CERT.br, 2011).
A informao se tornou um bem essencial
tanto para uma organizao quanto para as
pessoas. Por este motivo, se faz necessrio a
utilizao de algum tipo de proteo. Com a
Internet os computadores esto cada vez
mais interconectados. Diante desse
exponencial crescimento, a informao se
torna vulnervel, diante de uma grande
variedade de ameaas (NBR ISO/IEC
27002, 2005).
Nakamura e Geus (2007), afirmam que a
necessidade de segurana um fato que vem
transcendendo o limite da produtividade e da
funcionalidade. Enquanto a velocidade e a
eficincia em todos os processos de
negcios significam uma vantagem
competitiva, a falta de segurana nos meios
que habilitam a velocidade e a eficincia
pode resultar em grandes prejuzos e falta de
novas oportunidades de negcios.
A Segurana da Informao se d atravs
da implementao de um conjunto de
controles adequados, que inclui polticas,
processos, procedimentos, estruturas
organizacionais e funes de software e
hardware. Estes controles precisam ser
estabelecidos, implementados, monitorados,
analisados criticamente e melhorados, onde
necessrio, para garantir que os objetivos do
negcio e de segurana da organizao
sejam atendidos (NBR ISO/IEC 27002,
2005).
Segundo Comer (2007), aspectos de
segurana devem ser levados em
considerao, como por exemplo:
Confidencialidade: Consiste na proteo
da informao contra o acesso no
autorizado;
Integridade: Consiste na proteo da
informao contra qualquer modificao
da mesma por algum no autorizado;
 N 01 Agosto 2012
Disponibilidade: Consiste em garantir
que a informao esteja sempre
disponvel para os usurios autorizados.
Logo, qualquer ambiente que possua
conexo com a Internet esta sujeito a riscos.
Assim, percebemos o quanto importante a
utilizao da segurana das informaes, e
mais especificamente, a importncia do uso
de ferramentas que auxiliam na deteco de
violaes de segurana.
3. Analisadores de Pacotes
Os analisadores de pacotes capturam e
apresentam todo o fluxo de dados trafegado
decodificando e exibindo o contedo dos
pacotes para uma anlise detalhada
(COMER, 2007). Existem diversos tipos de
ferramentas que capturam e analisam os
pacotes de dados trafegados na rede,
incluindo tanto as livres e as proprietrias.
A segurana de uma rede implica na
segurana dos pacotes de dados, que o
bloco mais bsico de comunicao, a fim de
transmitir informaes de um dispositivo
para outro. Um pacote de dados est contido
no segmento de dados que contm diversas
informaes, como o protocolo a ser
utilizado, o endereo de hardware de
destino, entre outras (BANERJEE, 2010).
A identidade de um pacote pode ser
detectada atravs do estudo do seu contedo.
Este estudo de detectar e visualizar o
contedo de um segmento de dados e seu
pacote denominado como packet
sniffing(BANERJEE, 2010).
A anlise de pacotes apresenta o processo
de captura e interpretao de dados que flui
atravs de uma rede, a fim de entender
melhor o que est acontecendo nela. Essa
anlise de pacotes normalmente realizada
por uma ferramenta analisadora de pacotes
(SANDERS, 2004).
Um analisador de pacotes um software
ou hardware que cuja funcionalidade
monitorar, interceptar e capturar o fluxo de
trfego de uma rede. Geralmente, uma placa
de rede aceita apenas os pacotes de entrada
que so destinados especificamente para ela.
Porm quando a placa de rede colocada em
45
modo promscuo, ela aceitar todos os
pacotes de entrada, independentemente de
seus destinos pretendidos. possvel,
tambm, determinar quais pacotes capturar,
atravs do uso de filtros (MARCELLA,
2008).
A maioria dos analisadores de pacotes
tambm so analisadores de protocolos, ou
seja, podem montar fluxos de pacotes
individuais e decodificar as comunicaes
que utilizam de diferentes protocolos. Alm
de analisar o trfego atual da rede, os
arquivos de pacotes que foram gravados na
captura anterior tambm podero ser
analisados de maneira compreensvel
(MARCELLA, 2008).
4. Ferramentas utilizadas
Para a escolha das ferramentas proprietrias
foi observado relevncia (verificao das
ferramentas mais utilizadas no mercado) e
disponibilidade para download dessas
ferramentas. As ferramentas livres
escolhidas so as ferramentas mais
utilizadas.
Dentre as ferramentas listadas, foram
escolhidas quatro para a realizao do
estudo: TCPdump e Wireshark (software
livre),Capsa Network Analyzer e CommView
(software proprietrio).
A. Capsa Network Analyzer
Capsa Network Analyzer (Figura 1) um
analisador de pacotes, fornecido pela
Colasoft, que auxilia os administradores de
rede a detectar e solucionar problemas
ocorridos na rede, melhorar o seu
desempenho e aumentar a sua segurana. De
acordo com o seu manual, disponvel no site
da Colasoft (www.colasoft.com), o Capsa
Network Analyzer possui habilidades de
captura em tempo real de pacotes,
decodificao e anlise dos pacotes
capturados, gerao de diagnsticos
automticos de eventos na rede. Com um
poderoso filtro e exibio informaes
estatsticas, Capsa permite que o usurio
encontre, de forma rpida e eficiente, o que
deseja em sua rede.
 N 01 Agosto 2012
Para esse estudo foi utilizado o Capsa
Network Analyzer Enterprise (verso
Demo).
Figura 1. Tela do Capsa Network Analyzer
B. CommView
De acordo com o site da TamoSoft
(www.tamos.com), o CommView (Figura 2)
um poderoso monitor e analisador de
redes, destinados a administradores de redes,
profissionais de segurana, at mesmo um
simples usurio da Internet que queira uma
imagem completa do trfego de sua rede.
Com uma interface amigvel, CommView
combina performance e flexibilidade, com a
facilidade de uso.
Figura 2. Tela do CommView
Alm de funes como examinar,
armazenar, filtrar, importar e exportar
pacotes capturados, ver protocolos
decodificados, o CommView inclui um
analisador de VoIP para uma anlise
aprofundada deste tipo de servio.
Os pacotes capturados podem ser salvos em
arquivos de logs para anlise futura. Com o
sistema de filtragem de pacotes, torna-se
possvel descartar os pacotes que o usurio
no utiliza, ou at mesmo capturar somente
aqueles desejados. Alarmes configurveis
notificam sobre acontecimentos importantes,
tais como: pacotes suspeitos, utilizao de
largura de banda alta, ou endereos
desconhecidos.
46
Para esse estudo foi utilizado o
CommView 6.1 (verso para avaliao).
C. Tcpdump
OTcpdump (Figura 3) uma ferramenta cujo
principal objetivo analisar o trfego que
flui atravs da rede. Baseia-se na biblioteca
de captura pcap e funciona atravs de linha
de comando. Por ser flexvel s necessidades
do administrador, o Tcpdump permite que a
interface de rede desejada para a execuo
do monitoramento seja especificada, assim
como as de portas de origem ou destino e os
protocolos que sero monitorados. O
Tcpdump capaz de trabalhar com arquivos,
tornando possvel a analise dos pacotes
capturados utilizando filtros aps o
monitoramento do trfego da rede. Todas as
informaes e downloads do Tcpdumppode
ser encontrado em (www.tcpdump.org)
Figura 3. Tela do Tcpdump
D. Wireshark
Wireshark (Figura 4) um dos mais
populares analisadores de pacotes de rede.
Possui conjunto de poderosos recursos e
funciona na maioria das plataformas de
computao, incluindo Windows, OS X,
Linux e UNIX. Est disponvel
gratuitamente como open source em
(www.wireshark.org), e distribudo sob a
verso GNU General Public License 2
(BANERJEE, 2010).
capaz de capturar, visualizar e analisar
os pacotes de dados, alm de fornecer
suporte wireless que auxilia aos
administradores a solucionar problemas de
redes sem fio. Dessa forma, o Wireshark
capaz decodificar os pacotes em um formato
que ajuda os administradores a rastrear
problemas que esto causando o mau
desempenho na rede, a conectividade
 N 01 Agosto 2012
intermitente, e outros problemas comuns
(SANDERS, 2007).
Figura 4. Tela do Wireshark
5. Cenrio
As ferramentas escolhidas foram submetidas
ao monitoramento da rede, no qual, trs
computadores estaro conectados em um
servidor de compartilhamento de Internet.
As ferramentas foram instaladas no prprio
servidor a fim de capturar os pacotes das trs
mquinas clientes (Figura 5).
Pretende-se acessar sites e aplicaes
diversas para alimentar as ferramentas com
dados. Todas as ferramentas foram
configuradas para no utilizar filtros de
pacotes durante a captura.
No servidor de compartilhamento de
Internet est instalado o Ubuntu 10.10. Para
a execuo das ferramentas que trabalham
em ambiente Windows, foi feito a
virtualizao do Windows XPSP3 utilizando
a ferramenta VirtualBox.
Figura 5. Topologia da rede do cenrio
6. Estudo comparativo
Nesta seo sero descritas as
funcionalidades das ferramentas
47
analisadoras de pacotes escolhidas,
observando duas caractersticas principais: a
utilizao de filtros e gerao de estatsticas.

Filtragem de pacotes
Os filtros permitem mostrar apenas os
pacotes particulares em uma captura de
dados. Pode-se criar e usar uma expresso
para encontrar exatamente o que se deseja
em uma captura. Para facilitar o uso de filtro
imprescindvel o conhecimento da sintaxe.
A. Capsa Network Analyzer
A caixa de dilogo Filter (Figura 6)
dividida em trs partes:
Filterlist: lista todos os filtros
disponveis, incluindo os que foram
criados pelo usurio.
FilterFlow-chart: Mostra o fluxograma
dos filtros. atualizado a cada
modificao no Filterlist.
Buttons: Apresenta botes com a
finalidade de adicionar, modificar,
deletar, importar e exportar filtros. Alm
do boto para redefinir a lista de filtros.
possvel criar filtros simples baseados
em endereos, portas ou protocolos em um
nico filtro.
Os filtros avanados possuem mais
condies do que os filtros simples
permitindo definir parmetros precisos como
valores, tamanhos e padres dos pacotes que
sero capturados.
Figura 6. Tela da janela Filter do Capsa Network
Analyzer
B. CommView
As opes de filtragem no CommView se
localizam na aba Rules, que permite que
voc defina regras para a captura. Os
pacotes sero filtrados com base nas regras
definidas.
 N 01 Agosto 2012 48

H oito tipos de regras que so exibidos e Tabela 4: Exemplo de expresses de filtro do

descritos na Tabela 1. Commview.
Regras Descrio C. Tcpdump
Protocols&Direction Permite capturar ou ignorar Uma das principais funcionalidades do
pacotes baseados nos Tcpdump o uso de filtros. possvel criar
protocolos e na sua direo. diversos tipos de filtros utilizando
MAC Addresses Permite capturar ou ignorar parmetros, como por exemplo, porta de
pacotes baseados nos
endereos MAC destino e origem, protocolos, endereos IP e
IP Addresses Permite capturar ou ignorar MAC. Alm disso, o Tcpdump possibilita a
pacotes baseados nos combinao dos filtros.
endereos Ips A Tabela 5apresenta os operadores
Ports Permite capturar ou ignorar lgicos. A Tabela 6exemplifica algumas
pacotes baseados nas portas
TCP Flags Permite capturar pacotes
expresses de filtragens que podem ser
baseados nas flags TCP utilizadas no Tcpdump.
Text Permite capturar pacotes que Operadores Descrio
contm determinado texto ! ounot Negao
Process Permite capturar pacotes && ou and Concatenao
baseados no nome do || ou or Alternao
processo Tabela 5: Operadores lgicos do Tcpdump.
Advanced Permite criar filtros
complexos utilizando lgica Expresses Descrio
boolena tcpdump -i eth0 -p net Mostra somente o
Tabela 1. Tipos de regras de filtragem do 192.168 trfego da rede 192.168
Commview que estiver passando na
As Tabelas 2, 3 e 4 mostram, interface eth0.
tcpdump -i eth0 -p net Mostra todo o trfego
respectivamente, os operadores de
192.168 and dst port 80 da rede 192.168 com
comparao, lgico e exemplos de destino a porta 80
expresses que so utilizados no tcpdump -i eth0 -p icmp Mostra somente os
CommView: pacotes icmp na rede
Operadores Descrio tcpdump -i eth0 -p net Mostra o trfego na
= Igual a 192.168 and not port 80 rede 192.168 com
!= e <> Diferente de exceo da porta 80
> Maior que Tabela 6: Exemplos de expresses de filtros do
< Menor que Tcpdump
>= Maior ou igual a D. Wireshark
<= Menor ou igual a O Wireshark oferece dois tipos de filtros: os
Tabela 2: Operadores de comparao do filtros de captura e os filtros de exibio. Os
Commview.
filtros de captura so aqueles que so
Operadores Descrio
and Ambas as condies devem ser configurados antes de iniciar o processo de
verdadeiras captura de pacotes. Ao invs de capturar
or Qualquer uma das condies deve todo o trfego da rede, somente sero
ser verdadeira capturados os pacotes relacionados ao filtro,
not Nenhuma codio verdadeira os demais sero descartados. Os filtros de
Tabela 3: Operadores lgicos do Commview. exibio so aqueles que so aplicados a um
Expresso Descrio arquivo de captura, uma vez que o arquivo
dir!=in Mostra todo o trfego de foi criado, com a finalidade de exibir apenas
chegada os pacotes que correspondem a esse filtro.
not Mostra tudo exceto o trfego Filtros de exibio so mais comumente
(ipproto=dns) DNS usados do que os filtros de captura, pois eles
size in 200..600 Mostra todos os pacotes com
permitem a filtragem de pacote sem
tamanhos entre 200 e 600 bytes
dip=192.168.0.1 Mostra todo o trfego destinado descartar o restante dos dados no arquivo de
para 192.168.0.1 captura. Assim, caso necessite voltar
 N 01 Agosto 2012 49

captura original, basta apagar a expresso de destinado para 192.168.0.1

filtro. Tabela 9: Exemplo de expresses de filtro do
Wireshark.
A caixa de dilogo Capture Filter (Figura
7), apresenta uma lista de todos os campos

Gerao de Estatsticas
possveis de protocolo no lado esquerdo da
janela. Estes campos especificam todos os As estatsticas podem determinar qual o
possveis critrios de filtro. Para usurios tamanho dos pacotes sendo transmitidos,
mais experientes, poder ser criado um filtro detalhes das conversas realizadas entre os
personalizado, seguindo a regra da sintaxe hosts, a largura de banda utilizada, assim,
do programa. como o tempo de resposta das solicitaes e
As Tabelas 7, 8 e 9 mostram os grficos do fluxo de pacotes trafegados.
operadores de comparao, lgico e A. Capsa Network Analyzer
exemplos de expresses que so utilizados O Capsa Network apresenta diversos
no Wireshark. relatrios de estatsticas. Cada aba do
programa apresenta informao sobre a rede.
A seguir ser apresentado alguns relatrios
de estatsticas importantes.
A aba Dashboard (Figura 8) exibe
grficos e estatsticas que possibilitam uma
viso geral do fluxo de dados que trafega
pela rede.
A aba Summary (Figura 9) fornece
estatsticas gerais sobre a rede. Ao
selecionar o n raiz ser possvel obter as
Figura 7: Tela de configurao de filtros do estatsticas globais da rede. Ao selecionar
Wireshark. apenas um n especfico, sero apresentadas
Operadores Descrio informaes especficas daquele n, como
== Igual a por exemplo, nmero de pacotes trafegados
|= Diferente de
e seus respectivos tamanhos em bytes, e
> Maior que
< Menor que quantidade bytes e pacotes por segundo.
>= Maior ou igual a Na aba Protocol exibido uma estrutura
<= Menor ou igual a hierrquica dos protocolos. Cada protocolo
Tabela 7: Operadores de comparao do tem sua prpria cor facilitando a sua
Wireshark. identificao. Informaes como total de
bytes e quantidade de pacotes de cada
Operadores Descrio
and Ambas as condies devem ser
protocolo so exibidas de acordo com a
verdadeiras Figura 10.
or Qualquer uma das condies
deve ser verdadeira
xor Apenas uma condio deve ser
verdadeira
not Nenhuma codio verdadeira
Tabela 8: Operadores lgicos do Wireshark.

Expresso Descrio
host Mostra todo o trfego do
www.exemplo.com host www.exemplo.com
!dns Mostra tudo exceto o
trfego DNS
not broadcast and not Apenas mostra o trfego
multicast unicast Figura 8: Aba Dashboard do Capsa Network
ip.dst==192.168.0.1 Mostra todo o trfego Analyzer.
 N 01 Agosto 2012
Figura 9: Aba Summary do Capsa Network
Analyzer.
Figura 10: Aba Protocol do Capsa Network
Analyzer
A aba Matrix (Figura 11) apresenta a
visualizao da anlise das estatsticas de
trfego de rede em tempo real. Os ns so
dispostos em uma elipse alongada e a
espessura da linha indicar o volume de
trfego entre os ns. Alm de possibilitar a
visualizao para uma rede global,
possvel visualizar os ns de rede especfica.
Figura 11: Aba Matrix do Capsa Network
Analyzer.
As abas Physical Endpoints e IP
Endpoints apresentam todos os hosts na
rede. Todos os ns so divididos pelo
endereo fsico e o endereo IP.
50
Na aba Pshysical Endpoints fornecido
um grande nmero de estatsticas que auxilia
a encontrar informaes teis sobre os
endereos MAC. Na aba IP Edpoints
fornecido um grande nmero de estatsticas
sobre os terminais IP auxiliando a encontrar
informaes teis sobre os endereos IP.
A aba Physical Conversation e a aba IP
Conversation fornecem estatsticas das
conversas entre endereos MAC e IP,
respectivamente. Cada conversa apresenta o
respectivo endereo de origem e destino, os
pacotes enviados e recebidos, tamanhos dos
pacotes e a durao de comunicao.
A aba TCP Conversation e a aba UDP
Conversation fornecem estatsticas das
conversas TCP e UDP respectivamente.
Cada conversa apresenta o endereo IP de
origem e destino, a porta de origem e
destino, os pacotes enviados e recebidos,
tamanhos de pacotes e a durao de
comunicao.
B. CommView
O tem General (Figura 12) exibe os pacotes
por segundo, um medidor da utilizao de
banda da rede, bem como a contagem de
pacotes e bytes geral da captura.
A opo Protocol apresenta a distribuio
dos protocolos Ethernet, tais como ARP, IP,
entre outros. A opo IP Protocol (Figura
13) apresenta a distribuio dos protocolos
IP. J a opo IP Sub-protocol (Figura 14)
apresenta a distribuio das principais sub-
protoolos da camada de aplicao: HTTP,
FTP, POP3, SMTP, NetBIOS, HTTPS e
DNS.
A opo By MAC do tem Hosts listas
todos os hosts ativos na rede pelo seu
endereo MAC e exibe as estatsticas de
transferncia de dados, como apresenta a
Figura 15.
A opo My IP do tem Matrix apresenta
a matriz grfica das conversas entre os hosts
com base em seus endereos IP. Os hosts
so colocados em crculo, e as sesses entre
eles so mostradas como linhas que ligam os
hosts, como apresentado na Figura 16.
O item Errors (Figura 17) exibe as
informaes sobre os erros ocorridos na
rede.
 N 01 Agosto 2012
Figura 12: tem General da janela Statistics do
CommView.
Figura 13: Opo IP Protocol da janela Statistics
do CommView.
Figura 14: Opo IP Sub-protocol da janela
Statistics do CommView.
Figura 15: Opo By MACdo tem Hosts da janela
Statistics do CommView.
51
Figura 16: Opo By IP do tem Matrix da janela
Statistics do CommView.
Figura 17: tem Errors da janela Statistics do
CommView.
C. Tcpdump
O Tcpdump, por ser uma ferramenta que
funciona atravs de linha de comando, no
oferece a gerao de estatsticas.
D. Wireshark
O Summary apresenta informaes gerais
sobre os dados da captura, como por
exemplo, o tamanho em bytes da captura, o
tempo quando o primeiro e o ltimo pacote
foram capturados, qual interface de rede
utilizada, se foi feito o uso de filtros e o total
de pacotes capturados. A Figura 18exibe a
janela do Summary do Wireshark.
Figura 18: Janela do Summary do Wireshark
 N 01 Agosto 2012
A opo Protocol Hierarchy apresenta
uma janela com a rvore de todos os
protocolos capturados. Alm de possuir
dados e valores estatsticos, como por
exemplo, o nome do protocolo, a
porcentagem de pacotes correspondente em
relao a todos os pacotes na captura, o
nmero absoluto de pacotes e a largura de
banda utilizada por cada protocolo. A janela
da opo Protocol Hierarchy, exibida na
Figura 19.
Figura 19: janela da opo Protocol Hierarchy do
Wireshark
A opo Conversation apresenta o
trfego entre dois pontos especficos, cada
linha na lista mostra os valores estatsticos
de cada conversa.
Em uma conversa entre endereos IP, por
exemplo, contm informaes dos pacotes
enviados e recebidos entre eles. Informaes
como, quantidade de pacotes, o seu tamanho
em bytes e o tempo em segundos entre o
incio da captura e no incio da conversa.
Essa janela atualizada com frequncia e
exibida na Figura 20.
A opo Endpoints apresenta todos os
pontos finais do trfego da rede representado
por endereos IP, assim como, a quantidade
de pacotes e seu tamanho em bytes.
A opo IO Graphs apresenta um grfico
de todo o fluxo de pacotes trafegados na
rede. possvel realizar configuraes de
visualizao, como por exemplo, definir at
cinco grficos com cores e filtros diferentes,
alterar o estilo de exibio e a escala de
tempo e a unidade de medida. Alm disso,
possivel salvar o grfico como uma imagem.
A janela do IO Graphs exibida na
Figura 21.
52
Figura 20: janela da opo Conversations do
Wireshark
Figura 21: Janela da opo IO Graphs do
Wireshark.
7. Anlise Comparativa
O presente estudo mostra diversas
funcionalidades de cada ferramenta. A
Tabela 10 apresenta a comparao dessas
funcionalidades.
A ferramenta Capsa Network Analyser,
apresenta qualidade em sua interface grfica
por ser semelhante aos softwares do pacote
Microsoft Office 2007, facilitando e
tornando intuitivo o seu uso. O usurio pode
facilmente mudar de uma estatstica geral
para os detalhes de um n de rede especfico
atravs de um clique. Possibilita a
configurao de regras de alarmes e suas
notificaes. Seu uso exclusivo da
plataforma Windows.
O CommView composto por uma
interface grfica simples e bastante amigvel
composta por seis guias que permitem a
visualizao dos dados. Possibilita a
configurao de alarmes, importao e
exportao de arquivos capturados em
diversos formatos, relatrios HTML,
reconstruo de sees TCP, gerao de
pacotes personalizados e monitoramento
remoto. Assim como o Capsa
 N 01 Agosto 2012
NetworkAnalyzer, uma ferramenta para o
ambiente Windows.
O Tcpdump uma ferramenta que atua
atravs de linha de comando, portanto no
possui recursos grficos que facilitam a sua
execuo. Porm exige menos
processamento da mquina ao ser submetida
a execuo evitando a perda de pacote.
uma ferramenta livre, gratuita e prpria para
ambiente Linux. Todavia, apesar de operar
em linha de comando, seus comandos e a
sintaxe dos filtros so simples e fceis de
utilizar. A sua utilizao em conjunto com
outras ferramentas analisadoras de pacotes
se torna eficaz, por possibilitar uma maior
integridade nos pacotes capturados.
O Wireshark uma ferramenta livre,
multiplataforma, gratuita, que opera tanto
em ambiente Linux como em ambiente
Windows. Possui uma interface grfica
bastante simples e intuitiva. A visualizao
dos pacotes capturados baseada em um
sistema de cores, no qual cada cor
corresponde a um protocolo diferente,
recurso que no foi encontrado nas outras
ferramentas. Com a ferramenta Wireshark, a
empresa evitar custos com a compra de
licena, e poder utilizar de funcionalidades
como a decodificao de pacotes, a
montagem de sesses TCP, diagrama de
toda conexo TCP, entre outros. Possibilita
um completo e eficiente troubleshooting dos
problemas de rede, dos mais bsicos at os
mais avanados. Para isso necessita-se de
um grande entendimento dos protocolos
envolvidos na comunicao dos dados entre
os dispositivos, tais como computadores,
switches e roteadores.
8. Consideraes Finais.
Tendo em vista as caractersticas das
ferramentas proprietrias, conclui-se que
dentre as apresentadas, a ferramenta que
obteve melhor destaque em termos de
execuo, funcionalidade e usabilidade, foi a
Capsa Network Analyzer. Esta fornece ao
usurio maior facilidade em relao
compreenso dos grficos, estatsticas e
contedo dos pacotes trafegados na rede, em
comparao com o CommView.
53
Ao observar as caractersticas das
ferramentas livres, conclui-se que o
Tcpdump, apesar de operar em linha de
comando, capaz de capturar os pacotes de
rede com maior integridade, evitando
possveis perdas desses pacotes. Entretanto,
o Wireshark, por possuir interface grfica,
facilita a visualizao e entendimento dos
pacotes de rede capturados atravs de
grficos. Assim, para obter uma anlise mais
precisa, sugere-se a utilizao em conjunto
dessas duas ferramentas.
Notou-se que as funcionalidades
disponveis nas ferramentas livres podem
atender com eficcia a realizao das
atividades de captura e anlise de pacotes.
Quanto s ferramentas proprietrias, que
necessitam de licena, caractersticas
comuns s gratuitas foram observadas,
entretanto foi observada, tambm, a
presena de recursos que facilitam a
atividade de anlise dos pacotes, como por
exemplo, a gerao de relatrios de todo o
trfego passado pela rede.
Diante disso, considerando as reais
necessidades da empresa, a escolha de uma
ferramenta deve proporcionar a melhor
relao custo x benefcio.
Referncias
BANERJEE, USHA; VASHISHTHA,
ASHUTOSH; SAXENA, MUKUL.
Evaluation of the Capabilities of
WireShark as a tool for Intrusion
Detection.In: InternationalJournalof
Computer Applications. v. 6, n. 7, 2010.
COMER, DOUGLAS E. Redes de
Computadores e a Internet - Abrange
transmisso de dados, ligaes inter-
redes, web e aplicaes. 4. ed. Rio de
Janeiro: Bookman, 2007
CORRA, JORGE L.; PROTO, ANDR;
CANSIAN, ADRIANO M. Modelo de
armazenamento de fluxos de rede para
anlises de trfego e de segurana. In: VIII
Simpsio Brasileiro em Segurana da
Informao e de Sistemas Computacionais.
Anais. 2008. Disponvel em:
<http://sbseg2008.inf.ufrgs.br/anais/data/pdf
 N 01 Agosto 2012 54

Funcionalidades Capsa Network CommView Tcpdump Wireshark

Analyzer
Plataforma Windows Sim Sim No Sim
Plataforma Linux No No Sim Sim
Captura de pacotes Sim Sim Sim Sim
Armazenamento dos pacotes Sim Sim Sim Sim
Exibio dos pacotes Sim Sim Sim Sim
Utilizao de filtragem de pacotes Sim Sim Sim Sim
Exibio da durao da captura Sim Sim No Sim
Dados da utilizao da banda Sim Sim No Sim
utilizada
Contagem de pacotes Sim Sim Sim Sim
Estatstica dos protocolos Sim Sim No Sim
Estatsticas dos endereos MAC Sim Sim No Sim
Estatsticas dos endereos IP Sim Sim No Sim
Estatsticas dos endereos MAC Sim Sim No Sim
Estatsticas das conversas entre Sim Sim No Sim
endereos MAC e IP
Estatsticas das conversas TCP e Sim Sim No Sim
UDP
Gerao de grficos Sim No No Sim
Matriz do trfego da rede Sim Sim No No
Gerao de logs Sim Sim No No
Alarmes Sim Sim No No
Preo U$999,00 U$ 499,00 R$0,00 R$0,00
Tabela 10. Comparativo das Funcionalidades das Ferramentas

/st02_03_artigo.pdf >. Acesso em 20 de Tecnologias, Estratgias. So Paulo:

agosto de 2011. Novatec, 2007.

CERT.br Sobre o CERT.br. Disponvel em: <
http://www.cert.br/sobre >. Acesso em 27 de
ago. 2011.
KUROSE, JAMES F.; ROSS, KEITH W.
Redes de Computadores e a Internet:
Uma abordagem top-down. 3. ed. So
Paulo: Pearson Addison Wesley, 2006.
MARCELLA, ALBERT J.; MENENDEZ,
D. Cyber Forensics A Field Manual for
Colleting, Examining, and Preserving
Evidence of Computer Crimes.2. ed. Boca
Raton: AuerbachPublication, 2008.
SANDERS C. Practical Packet Analysis -
Using Wireshark to Solve Real- World
Network Problems.So Francisco: No
Starch Press, 2007
SILVA, GILSON MARQUES DA,
LORENS, EVANDRO MRIO.Extrao e
Anlise de Dados em Memria na Percia
Forense Computacional. In: Proceeeding
of the Fourth International Conference of
Forensic Computer Science (ICoFCS2009),
p. 29-36, Natal, 2009.
www.cert.br

NBR ISO/IEC 27002. Tecnologia da www.colasoft.com/

informao Tcnicas de Segurana
www.tamos.com/
Cdigo de prtica para a gesto da
segurana da informao. Rio de Janeiro, www.tcpdump.org/
2005.
www.wireshark.org/
NAKAMURA, EMILIO T.; GEUS, PAULO
L. Segurana de Redes em Ambientes
Coorporativos Fundamentos, Tcnicas,