Wireshark - Parte 3 - Recriando arquivos transmitidos pela rede
por
em 15-01-2013 às 14:06 (15586 Visualizações)
Dando sequência aos artigos de Wireshark, vamos agora aprender como recriar arquivos transmitidos pela rede apenas pelo tráfego capturado. Este tipo de ação pode ser muito útil para detectar possíveis ataques, ou ainda confirmar a exploração de uma vulnerabilidade. Imagine que você recebeu um alerta de seu IDS que seu servidor de arquivos interno está abrindo conexões com um host externo, e você não conhece este host. Utilizando esta técnica ,você será capaz de saber exatamente o conteúdo que foi transmitido.
Neste artigo, ao invés de criar screenshots com o passo a passo executado, resolvi criar vídeos; creio que assim o conteúdo ficará mais dinâmico e mais fácil de se compreender.
Neste primeiro exemplo capturei o tráfego de uma sessão FTP, e recriei o arquivo transmitido através destes pacotes capturados:
Por ser um arquivo texto, foi possível visualizar seu conteúdo diretamente através da opção Follow TCP Stream, explicada com mais detalhes no primeiro artigo.
Você deve estar pensando: “TXT fácil, quero ver o que acontece com outro tipo de arquivo”.
Na verdade é bem simples também, desde que os pacotes não estejam criptografados ou protegidos por uma sessão SSL, o procedimento será o mesmo.
Vejamos um exemplo de como recriar uma imagem:
Em ambos os casos foram utilizadas sessões de transferência de dados via FTP, apenas para ficar mais simples de exemplificar, visualizar...mas esta operação pode ser executada com qualquer tipo de transferência de arquivos, seja um share windows, tftp, etc.
Resumo da ópera:
Os pacotes não mentem, podemos utilizar esta técnica em vários cenários diferentes, vou utilizar o mesmo exemplo que falam no livro Pratical Packet Analysis. Imagine que os desenvolvedores de sua empresa estão “culpando” a rede pelo mal funcionamento de um software (quem nunca passou por isso?), você não conhece nada da programação deste software, sabe apenas que ele faz o upload de um arquivo para um outro servidor e este servidor utiliza este arquivo para popular uma base de dados.
Analisando o tráfego, foi possível identificar que toda operação da rede estava funcionando como o esperado, que o problema na verdade era o conteúdo do arquivo que estava errado. Mais uma vez, conhecer a ferramenta e utilizar as técnicas corretas salvou o dia.
Comentários
+ Enviar Comentário