Docsity
Docsity

Prepare-se para as provas
Prepare-se para as provas

Estude fácil! Tem muito documento disponível na Docsity


Ganhe pontos para baixar
Ganhe pontos para baixar

Ganhe pontos ajudando outros esrudantes ou compre um plano Premium


Guias e Dicas
Guias e Dicas


art - wireshark HTTP, Notas de estudo de Redes de Computadores

Analisando trafego Http com Wireshark

Tipologia: Notas de estudo

2011

Compartilhado em 08/02/2011

victor-melo-araujo-3
victor-melo-araujo-3 🇧🇷

2 documentos

1 / 6

Toggle sidebar

Esta página não é visível na pré-visualização

Não perca as partes importantes!

bg1
São Paulo, 1 de Junho de 2009.
Analisando tráfego HTTP com wireshark
Rodrigo Ribeiro Montoro1
Dynsec
Resumo
Muitas vezes necessitamos analisar tráfego de determinada máquina ou destino para analisar
alguma anomalias ou detecção de problemas. O wireshark possui uma opção interessante no qual você
pode exportar os objetos http (arquivos, páginas) para um diretório baseado no tráfego que foi analisado.
Palavras Chaves: sniffer, wireshark, tcpdump
1 Rodrigo Montoro(Sp0oKeR) atua com infra-estrutura e segurança de rede a mais de 12 anos, sendo
certificado RHCE ( Redhat Certified Engineer) , LPI Nível I e SnortCP (Snort Certified Professional),
MCSO (Módulo Certified Security Officer). Participante do snort-br, slackware-br, ISSA-Brasil , OWASP-
BR entre outros. Palestrante em eventos como FISL , Conisli, CNASI .Para entrar em contato
www.dynsec.com.br 1/6
pf3
pf4
pf5

Pré-visualização parcial do texto

Baixe art - wireshark HTTP e outras Notas de estudo em PDF para Redes de Computadores, somente na Docsity!

São Paulo, 1 de Junho de 2009.

Analisando tráfego HTTP com wireshark

Rodrigo Ribeiro Montoro

1

Dynsec

Resumo

Muitas vezes necessitamos analisar tráfego de determinada máquina ou destino para analisar alguma anomalias ou detecção de problemas. O wireshark possui uma opção interessante no qual você pode exportar os objetos http (arquivos, páginas) para um diretório baseado no tráfego que foi analisado. Palavras Chaves: sniffer, wireshark, tcpdump 1 Rodrigo Montoro(Sp0oKeR) atua com infra-estrutura e segurança de rede a mais de 12 anos, sendo certificado RHCE ( Redhat Certified Engineer) , LPI Nível I e SnortCP (Snort Certified Professional), MCSO (Módulo Certified Security Officer). Participante do snort-br, slackware-br, ISSA-Brasil , OWASP- BR entre outros. Palestrante em eventos como FISL , Conisli, CNASI .Para entrar em contato [email protected]

Capture o tráfego

Para pegarmos o tráfego usaremos o tcpdump root@dynseclabs:/LABS# tcpdump -i eth1 port 80 and host www.dynsec.com.br -s0 -w analise-http.pcap -v Nesse comando temos:

  • -i eth1 – estamos monitorando interface eth
  • port 80 and host www.dynsec.com.br– estou analisando tráfego na porta 80 e com destino/origem o host www.dynsec.com.br
  • -s0 – opção MUITO importante pois seta o tcpdump para salvar o pacote todo, essencial para remontagem.
  • -w analise-http.pcap – nome do arquivo onde serão salvo os dados para posterior análise utilizando o wireshark
  • -v – para apontar quantos pacotes foram capturados Após simular alguns acessos ao host www.dynsec.com.br dei um CTRL+C para parar a captura de pacotes. tcpdump: listening on eth1, link-type EN10MB (Ethernet), capture size 65535 bytes 186 packets captured 188 packets received by filter 0 packets dropped by kernel root@dynseclabs:/LABS# Vemos que 186 pacotes no total foram capturados e agora vamos para análise via wireshark.

Nessa tela voce tem duas opções: a-) Clicar sobre o objeto do seu interesse e dar um Save As, dessa maneira será perguntado como quer salvar o arquivo e diretório. b-) Save All todos os objetos listados serão salvos em um diretório no qual será perguntado o nome e você terá opcão de analisar todos os arquivos (um alerta falando que nem todos os objetos poderão ser salvos podera aparecer). No nosso exemplo clicarei em Save All na pasta analise-http.

root@dynseclabs:/home/spooker/Desktop/analise-http# ls -lah total 136K drwxr-xr-x 2 root root 4.0K 2009-06-01 00:. drwxr-xr-x 8 spooker spooker 4.0K 2009-06-01 00: .. -rw-r--r-- 1 root root 2.9K 2009-06-01 00:00 artigos.php -rw-r--r-- 1 root root 63K 2009-06-01 00:00 ossec_local_parte1.pdf -rw-r--r-- 1 root root 50K 2009-06-01 00:00 ossec-snort-activeresponse_pt-BR.pdf root@dynseclabs:/home/spooker/Desktop/analise-http# file ossec_local_parte1.pdf ossec-snort- activeresponse_pt-BR.pdf artigos.php ossec_local_parte1.pdf: PDF document, version 1. ossec-snort-activeresponse_pt-BR.pdf: PDF document, version 1.