Em uma rede de computadores, um Sniffer (farejador), ou também conhecido como Analisador de Pacotes, é um programa de computador ou hardware que pode interceptar e registrar tráfego que passa sobre uma rede digital ou parte de uma rede. Captura de pacotes é o processo de interceptação e registro de tráfego.
Importante entender também como realizar um ataque MITM, para que esse processo Sniffer funcione corretamente.
DICA: Sempre que estiver no Wireshark e pegar alguma algum HTTP codificado (anexo / compressão), clique o botão direito em cima de alguma solicitação ou resposta HTTP e vá em Follow > HTTP Stream. Assim o Wireshark irá decodificar e mostrar em texto limpo e organizado.
UUDECODE
Esse tipo de Decode é útil quando estamos "sniffando" uma rede e pegamos por exemplo, o conteúdo de um arquivo anexado em um e-mail (SMTP). Este começa com begin e termina com end. Pode também ser feito utilizando ferramentas como Wireshark ou Tcpdump.
uudecode<file_encode>
DICA: Ao executar esse comando, não é exibido nada, no entando será extraído o seu conteúdo em formato zip.
Wireshark
# Filtra por determinado IP (Origem ou Destino)ip.addr==<ip># Filtra por determinado IP de Origemip.src==<ip># Filtra por determinado IP de Destinoip.dst==<ip># Filtra por determinada portatcp.port==<port># Pesquisa por determinada strings dentro dos pacotestcpcontains<find># Exibe somente requisições HTTPhttp.request# Pesquisa por URL's que contém determinada stringshttp.request.uricontains<find>
TCPDump
Filtros em Tempo Real
# Hosttcpdump-i<interface>-nhost<ip># Filtrando por mais de 1 hosttcpdump-i<interface><host1>and<host2># Portatcpdump-i<interface>port<port># Filtrando por IP e Portasudotcpdump-p-s0-w<file_output.pcap>port<port>andhost<ip># Range de Portastcpdump-i<interface>tcpdumpportrange21-80# ICMPtcpdump-i<interface>-nicmp# ICMP, mas que não seja do tipo icmp-echo e icmp-echoreplytcpdump-i<interface>'icmp[icmptype] != icmp-echo and icmp[icmptype] != icmp-echoreply'# Pegando Credenciais FTPtcpdump-i<interface>-nportftporftp-datatcpdump-i<interface>portftp-l-A|egrep-i-B5'pass=|pwd=|log=|login=|user=|username=|pw=|passw=|passwd=|password=|pass:|user:|username:|password:|login:|pass |user '# Definindo a quantidade de pacotes que serão sniffadostcpdump-i<interface>-c<qtde_pacotes>
Gravando Arquivo pcap
# Salvando tudotcpdump-i<interface>-w<file.pcap># Salva o tráfego icmptcpdump-v-i<interface>icmp-w<file.pcap>
Lendo Arquivo pcap
# Lendo arquivotcpdump-i<interface>-tttt-r<file.pcap># Com resolução de IPtcpdump-r<file.pcap># Sem resolução de IPtcpdump-nr<file.pcap># Ativa o modo verbosetcpdump-vnr<file.pcap># Mostra detalhes do Ethernet, para detalhes da parte física (MAC Address)tcpdump-venr<file.pcap># Filtra por determinado IP (Origem ou Destino)tcpdump-vnr<file.pcap>host<ip># Filtra por determinado IP de Origemtcpdump-vnr<file.pcap>srchost<ip># Filtra por determinado IP de Destinotcpdump-vnr<file.pcap>dsthost<ip># Filtra por determinado IP de Origem e outro IP de Destinotcpdump-vnr<file.pcap>srchost<ip>anddsthost<ip># Filtra por determinado IP de Origem que utilizou ICMPtcpdump-vnr<file.pcap>srchost<ip>andicmp# Filtra por um determinado protocolo, como udp, tcp, icmp, etctcpdump-vnr<file.pcap><protocol># Filtra por portastcpdump-vnr<file.pcap>port<port># Resultado em Asciitcpdump-vnAr<file.pcap># Resultado em Hexadecimaltcpdump-vnXr<file.pcap>
