Análise de Tráfego de Rede
vagnerfonseca
Muitas vezes nos deparamos com momentos esquisitos em nossas redes, aí tentamos mexer nos switchs, cabos, etc. Mas o problema nem sempre está nos equipamentos, mas no tipo de tráfego que está passando por ela, geralmente indo para internet.
Geralmente nossos servidores, eu espero que os seus sejam assim, não têm servidor gráfico instalado, assim fazer análise de tráfego capturado pelo tcpdump não é nada fácil ou amigável.
Por isso utilizar ferramentas gráficas como Wireshark ou Xplico (muito usado por peritos forenses) é a melhor forma de obter informações mais claras e organizadas sobre os dados capturados.
Vamos instalar esses programas em nosso DESKTOP (letras garrafais para você ver que não é no servidor 🙂 ).
root # apt-get install wireshark
Simples assim pois esse programa está nos repositórios oficiais da maioria das distribuições, inclusive do Ubuntu que eu uso :-).
Para instalar o Xplico precisaremos adicionar um repositório, faremos o que vem explicado no próprio site do Xplico:
1 2 3 4 | sudo bash -c 'echo "deb http://repo.xplico.org/ $(lsb_release -s -c) main" >> /etc/apt/sources.list' sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 791C25CE sudo apt-get update sudo apt-get install xplico</strong> |
Assim instalamos o Xplico:
Vamos ao trabalho.
No servidor abra um terminal e digite (para capturar sem filtro nenhum):
root # tcpdump -w rede.pcap
Ele irá capturar todo o tráfego de todas interfaces, o tcpdump tem vários parâmetros de filtros para captura de dados, mas vamos ficar no básico.
Dependendo do tráfego de sua rede, pode ser que gere mais de 1Mb por segundo, portanto capture por cerca de um minuto e depois encerre com Control+C, se ficar muito pequeno capture novamente por mais tempo, mas não exceda 100Mb pois o Xplico vem configurado por padrão para arquivos pcap de no máximo 100Mb.
Após gerar o arquivo copie para seu desktop e comece a análise.
Abra o Wireshak pelo menu de aplicativos ou pelo Terminal digitando: wireshark
Clique em Abrir e selecione o arquivo que você gerou. Quando terminar de abrir você terá uma tela como essa:
Nesta tela você tem o tráfego geral, podendo fazer filtros de visualização, pode selecionar por pacote e ver o conteúdo do mesmo. Assim podemos ver o que está sendo trafegado na rede, qual o protocolo mais usado e até saber se tráfego não autorizado está acontecendo.
Já no Xplico o processo é mais complicado pois é mais detalhado. Abra seu browser e digite:
http://127.0.0.1:9876
Agora você pode logar como Administrador (usuário admin com senha xplico) ou como usuário (usuário xplico com senha xplico). Mude as senhas é claro :-).
Após logar como administrador configure o que achar necessário (não mudei nada além da senha aqui para analisar o tráfego).
Ao logar como usuário, primeiro crie um Caso de uso:
Clique no Caso e crie uma Sessão:
Agora clique na Sessão criada e faça upload o arquivo pcap em Pcap set.
Após isso basta selecionar o que você quer ver, podem ser gráficos de DNS, lista de protocolos Web, até conversas de Facebook, MSN, etc…
Podemos ver todo o tráfego HTTP aqui:
E quando selecionamos um item podemos ver o info.xml dele detalhando a comunicação:
Esses programas, principalmente o Xplico, me ajudaram a detectar:
– Tráfego duplicado de máquinas (loop em um dos switchs)
– Comunicação não autorizada pela empresa (MSN, facebook chat) (incluido em alguns casos o conteúdo das mesmas)
– Excesso de erros de tráfego ARP e requisições externas de DNS, que não eram para acontecer pois temos DNS internos.
– etc…
Com paciência e atenção podemo resolver muitos problemas da rede e otimizar nosso tráfego dados para aquilo que é realmente necessário na empresa.
Não esqueçam de comentar e curtir nossa página no Facebook.
Vagner, excelente post, valeu!
Salve, salve Vagner, deu as caras hein , estava sumido !!
Bruno,
Sumido nada, mas estou envolvido em um projeto com Apache e Proxy reverso que me consome muito tempo, pois como é pra orgão de Governo deve ser tudo muito certo. Estou aplicando Itil e segurança no projeto que me deixa com pouco tempo pra gravar. Mas logo volto ao ritmo normal.
Muito bom o post Wagner !! Parabéns !! Agora eu não estou conseguindo fazer o upload do arquivo pcap em Pcap set, pois eu não estou conseguindo achar esse diretório. Eu estou usando o Ubuntu 12.04. Abraço
Raphael,
Você copiou o arquivo pcap para sua máquina?
Grande Vagner,
Ótimo post, estou testando por aqui e tenho excelentes resultados.
Um abraço.
Muito bom!! Parabéns e obrigado pelo excelente post!!
na instalação do xplico esta dando erro: impossível encontrar o pacote xplico
ubuntu 12.10. Alguém pode me ajudar?
Douglas, você rodou esses comandos antes?
do bash -c ‘echo “deb http://repo.xplico.org/ $(lsb_release -s -c) main” >> /etc/apt/sources.list’
sudo apt-key adv –keyserver keyserver.ubuntu.com –recv-keys 791C25CE
sudo apt-get update
Pois se não rodar gera esse erro ai mesmo 😉
Vagner,
Ótimos post, estou com uma dificuldade em que não aparece o botão Case New, sabe o que pode ser?
Vagner, desculpe pelos comentários duplicados.. deu um problema aqui
Vagner, estou tentando postar minha pergunta mais já é a terceira vez que ela some.
Estou com um problema ao criar um novo caso pois após instalar o botão New Case não aparece, alguem tem ideia do que possa ser?
desde já grato
Vagner,
Estou com um problema ao criar um novo caso pois após instalar o botão New Case não aparece, alguem tem ideia do que possa ser? obs: segui os passos da instalação e ocorreu tudo normal
desde já grato
Vagner,
Descobri o que acontece e aproveito para compartilhar conhecimento, com usuário Administrador a opção Case New não aparece, após logar com usuário xplico senha xplico aparece.
Abraços