Como detectar tráfego “abusivo”
Ao longo dos anos, fomos apresentando no Pplware as várias versões e respectivas novidades do sniffer mais popular para redes informáticas, o Wireshark. O Wireshark é uma ferramenta de analise protocolar, que permite a captação, em tempo real, de pacotes de dados, e apresenta essa informação num formato legível para os utilizadores.
O processo de captura de tráfego é realizado via placa de rede,, funcionando esta num modo especial que é designado de modo promíscuo (possibilidade de capturar todos os pacotes, independentemente do endereço de destino). Depois de termos apresentado aqui algumas funcionalidades básicas do wireshark, Esquema de cores nas linhas e Follow TCP Stream aqui, hoje vamos aprender a detectar tráfego abusivo.
Um dos maiores inimigos de qualquer administrador de sistemas é o tráfego abusivo que deriva de torrents, streaming de dados, downloads ilegais, etc. Apesar de existirem várias ferramentas que permitem “controlar” o tráfego abusivo, o Wireshark também poderá dar uma ajuda.
De referir que o wireshark só conhecer monitorizar trafego unicast, broadcast e multicast no caso de estarmos ligados via switch (ver mais aqui).
Vamos então a um exemplo para detectar a presença de downloads de torrents na rede. Para isso, vamos ao campo Filter e colocamos o nome do protocolo associado aos torrents: bittorrent
Além da informação anterior, podemos ainda saber as estatísticas de utilização de um dado protocolo. Para isso, vamos a Statistics > Protocolo Hierarchy
Como podemos ver pela imagem seguinte, o protocolo BitTorrent está com uma taxa de ocupação na ordem dos 0,90% (valor relativo ao período de captura).
Se pretendermos saber o endereço IP de todas as máquinas que estão a funcionar como peers, basta ir a Statistics > Endpoints e depois carregar no separador IPv4.
Esperamos que tenham gostado deste terceiro tutorial sobre o Wireshark. Por hoje resta-nos esperar pelo vosso feedback e sugestões para próximos tutoriais.