Muitas vezes nos deparamos com momentos esquisitos em nossas redes, aí tentamos mexer nos switchs, cabos, etc. Mas o problema nem sempre está nos equipamentos, mas no tipo de tráfego que está passando por ela, geralmente indo para internet.
Geralmente nossos servidores, eu espero que os seus sejam assim, não têm servidor gráfico instalado, assim fazer análise de tráfego capturado pelo tcpdump não é nada fácil ou amigável.
Por isso utilizar ferramentas gráficas como Wireshark ou Xplico (muito usado por peritos forenses) é a melhor forma de obter informações mais claras e organizadas sobre os dados capturados.
Vamos instalar esses programas em nosso DESKTOP (letras garrafais para você ver que não é no servidor 🙂 ).
root # apt-get install wireshark
Simples assim pois esse programa está nos repositórios oficiais da maioria das distribuições, inclusive do Ubuntu que eu uso :-).
Para instalar o Xplico precisaremos adicionar um repositório, faremos o que vem explicado no próprio site do Xplico:
1 2 3 4 |
sudo bash -c 'echo "deb http://repo.xplico.org/ $(lsb_release -s -c) main" >> /etc/apt/sources.list' sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 791C25CE sudo apt-get update sudo apt-get install xplico</strong> |
Assim instalamos o Xplico:
Vamos ao trabalho.
No servidor abra um terminal e digite (para capturar sem filtro nenhum):
root # tcpdump -w rede.pcap
Ele irá capturar todo o tráfego de todas interfaces, o tcpdump tem vários parâmetros de filtros para captura de dados, mas vamos ficar no básico.
Dependendo do tráfego de sua rede, pode ser que gere mais de 1Mb por segundo, portanto capture por cerca de um minuto e depois encerre com Control+C, se ficar muito pequeno capture novamente por mais tempo, mas não exceda 100Mb pois o Xplico vem configurado por padrão para arquivos pcap de no máximo 100Mb.
Após gerar o arquivo copie para seu desktop e comece a análise.
Abra o Wireshak pelo menu de aplicativos ou pelo Terminal digitando: wireshark
Clique em Abrir e selecione o arquivo que você gerou. Quando terminar de abrir você terá uma tela como essa:
Nesta tela você tem o tráfego geral, podendo fazer filtros de visualização, pode selecionar por pacote e ver o conteúdo do mesmo. Assim podemos ver o que está sendo trafegado na rede, qual o protocolo mais usado e até saber se tráfego não autorizado está acontecendo.
Já no Xplico o processo é mais complicado pois é mais detalhado. Abra seu browser e digite:
http://127.0.0.1:9876
Agora você pode logar como Administrador (usuário admin com senha xplico) ou como usuário (usuário xplico com senha xplico). Mude as senhas é claro :-).
Após logar como administrador configure o que achar necessário (não mudei nada além da senha aqui para analisar o tráfego).
Ao logar como usuário, primeiro crie um Caso de uso:
Clique no Caso e crie uma Sessão:
Agora clique na Sessão criada e faça upload o arquivo pcap em Pcap set.
Após isso basta selecionar o que você quer ver, podem ser gráficos de DNS, lista de protocolos Web, até conversas de Facebook, MSN, etc…
Podemos ver todo o tráfego HTTP aqui:
E quando selecionamos um item podemos ver o info.xml dele detalhando a comunicação:
Esses programas, principalmente o Xplico, me ajudaram a detectar:
– Tráfego duplicado de máquinas (loop em um dos switchs)
– Comunicação não autorizada pela empresa (MSN, facebook chat) (incluido em alguns casos o conteúdo das mesmas)
– Excesso de erros de tráfego ARP e requisições externas de DNS, que não eram para acontecer pois temos DNS internos.
– etc…
Com paciência e atenção podemo resolver muitos problemas da rede e otimizar nosso tráfego dados para aquilo que é realmente necessário na empresa.
Não esqueçam de comentar e curtir nossa página no Facebook.