Descriptografia de tráfego TLS. O FSB, o Ministério das Telecomunicações e Comunicações de Massa e o Ministério da Indústria e Comércio vão descriptografar todo o tráfego de russos

Na descriptografia e análise de dados transmitidos nas redes das operadoras de telecomunicações em tempo real. Os departamentos estão agora a estudar possíveis soluções técnicas para implementar esta proposta.

Uma das opções de descriptografia em discussão é instalar nas redes das operadoras equipamentos capazes de realizar um ataque MITM (Man in o meio- o homem do meio). Para analisar o tráfego não criptografado e já descriptografado, propõe-se a utilização de sistemas DPI, que já são utilizados por empresas de telecomunicações para filtrar sites proibidos.

Literalmente imediatamente após o aparecimento desta informação, a iniciativa foi criticada pela comunidade da Internet. Em particular, o “perfil” do ombudsman numa conversa com uma estação de rádio "Moscou fala" chamou a descriptografia do tráfego do usuário inaceitável.

Fundador da Internet Defense Society em seu Conta do Facebook analisou detalhadamente os métodos propostos pelas autoridades.

"MITM é um tipo ataque de hackers, que consiste no fato do invasor P estar embutido em um canal criptografado entre os assinantes A e B, e quando A e B pensam que estão criptografando mensagens um para o outro, na verdade estão criptografando todas elas para P, que abre o mensagens, criptografa-as novamente e as envia”, explicou o especialista.

O problema para realizar esta tarefa, como escreve Volkov, é o fato de que para a Internet utilizada programas uma tentativa de falsificar um certificado para criptografar novamente o conteúdo parece uma fraude. Quando sistema operacional ou o navegador detectar que um certificado falso é apresentado, eles o bloquearão imediatamente.

Em conversa com o Gazeta.Ru, Volkov observou que a nova iniciativa dos departamentos parece mais realista do que o armazenamento completo de dados, mas “ainda está longe de ser viável aqui e agora”.

Por sua vez, o principal analista de vírus da ESET Rússia acredita que do ponto de vista técnico, as propostas do FSB, do Ministério das Telecomunicações e Comunicações de Massa e do Ministério da Indústria e Comércio são reais. “Até agora, as iniciativas se limitam à análise do tráfego não criptografado e à coleta de informações básicas sobre os usuários. A nova proposta poderá exigir que os fornecedores e os utilizadores instalem um sistema especial certificado digital para analisar tráfego criptografado, por exemplo HTTPS”, disse ele ao Gazeta.Ru.

Alienígenas criptografados

O diretor da agência de informação e análise TelecomDaily disse ao Gazeta.Ru que descriptografar o tráfego não é um processo fácil. “Os ministérios que assumem esta tarefa não compreendem totalmente que podem não ser capazes de lidar com isto”, acrescentou.

O analista observou que a questão das atividades das empresas estrangeiras responsáveis ​​pelas comunicações dos usuários ainda não foi resolvida. Em primeiro lugar, estamos falando de mensageiros com criptografia ponta a ponta.

“Não vejo nenhuma mudança no trabalho com organizações que, do ponto de vista jurídico, não estão na Rússia. Mas é mais fácil com as nossas empresas; você sempre pode pressioná-las”, observou Kuskov.

Além das operadoras de telecomunicações, o pacote de alterações antiterrorismo fala dos chamados organizadores da divulgação de informação. Desde 2014, a legislação russa prevê-lhes o seu próprio registo, que é mantido por .

Atualmente, a lista inclui cerca de 70 itens. Entre eles mídia social"VKontakte", "Odnoklassniki", "My Circle" e "Rambler", instalações de armazenamento "Yandex.Disk", "[email protected]", portais "Khakhbrahabr". “Roem”, site de namoro “Mamba”, serviço de vídeo RuTube, plataforma de blog LiveInternet, quadro de imagens “Dvach” e outros.

Durante todo o período de seu funcionamento, nenhum portal ou mensageiro estrangeiro foi incluído no cadastro.

“Se tais planos das autoridades começarem a ser implementados, prevê-se que aparecerão mensageiros que contenham proteção adicional contra ataques do tipo MITM. Por exemplo, misturar uma chave secreta na criptografia e distribuí-la entre os assinantes. Simplificando, a senha que os participantes da correspondência concordam”, disse ao Gazeta.Ru o diretor da divisão de segurança do grupo de empresas Softline.

Como quebrar HTTPS

Um método de criptografia bem conhecido não é apenas ponta a ponta, mas também HTTPS, um protocolo seguro usado por sites.

Ao mesmo tempo, mais tarde, conversando com "Enxame", chefe da Fundação para a Democracia da Informação, que lida com questões de independência de TI do Runet na República Islâmica do Irã, chamou tal ideia de “absurda”.

Kuskov, em conversa com o Gazeta.Ru, também considerou improvável um possível passo em direção à substituição completa de importações.

“As comunicações celulares são atualmente 100% importadas. Não é fácil estações base, mas um complexo de hardware e software. No momento é impossível substituir tudo isso.

Até que seja dado um passo sério por parte do Ministério das Telecomunicações e Comunicações de Massa e do Ministério da Indústria e Comércio, nada de bom é esperado nesta direção. Não vejo quaisquer ações reais que nos permitam dizer que a Rússia pode mudar para equipamentos domésticos num futuro próximo”, concluiu o especialista em telecomunicações.

Operadores comunicações móveis se recusou a comentar. O Ministério das Telecomunicações e Comunicações de Massa não respondeu ao pedido do Gazeta.Ru.

Jornalistas da publicação Kommersant aprenderam como os departamentos governamentais veem a implementação da Lei Yarovaya na prática.

Segundo o Kommersant, o FSB, o Ministério das Telecomunicações e Comunicações de Massa e o Ministério da Indústria e Comércio estão atualmente discutindo um conjunto de soluções técnicas que permitirão a descriptografia e, consequentemente, o acesso a todo o tráfego da Internet dos russos, conforme exigido pelo Yarovaya Lei. Os jornalistas referem-se a informações recebidas de um gestor de topo de um dos fabricantes de equipamentos, um membro da Administração Presidencial (AP), bem como de uma fonte não identificada numa empresa de TI.

“Não faz sentido armazenar exabytes de tráfego criptografado da Internet - você não encontrará nada nele. O FSB defende a descriptografia de todo o tráfego em tempo real e sua análise de acordo com parâmetros-chave, relativamente falando, de acordo com a palavra “bomba”, e os ministérios insistem em descriptografar o tráfego apenas para os assinantes que atrairão a atenção das agências de aplicação da lei”, disse o representante da AP aos jornalistas.

Para analisar o tráfego não criptografado e já descriptografado, está prevista a utilização de sistemas DPI (Deep Packet Inspection), que ainda são utilizados por muitas operadoras, por exemplo, para filtragem de URLs com base em listas de sites proibidos.

O tráfego criptografado causa dificuldades para os departamentos governamentais. “Existe um grande número de sites na Internet que não são organizadores da divulgação de informação e utilizam uma ligação https segura”, explicam os interlocutores da publicação “Sem descodificar o tráfego, nem sempre é possível perceber qual site o usuário. visitou, sem falar no que ele fez lá " Assim, uma das opções discutidas para descriptografar o tráfego é a instalação de equipamentos nas redes das operadoras que realmente realizarão ataques MITM:

“Para o utilizador, este equipamento finge ser o site solicitado, e para o site, finge ser o utilizador. Acontece que o usuário irá estabelecer uma conexão SSL com este equipamento, e esta conexão com o servidor que o usuário acessou. O equipamento irá descriptografar o tráfego interceptado do servidor e, antes de enviá-lo ao usuário, irá criptografá-lo novamente com um certificado SSL emitido por uma autoridade de certificação (CA) russa. Para evitar que o navegador do usuário lhe envie notificações sobre uma conexão insegura, a CA russa deve ser adicionada à lista confiável. centros de raiz certificação no computador do usuário."

Os jornalistas escrevem que Ilya Massukh, chefe do subgrupo “TI + Soberania” da Administração Presidencial, confirmou anteriormente que existem de facto planos para criar tal centro de certificação. No entanto, ainda não se sabe se esta CA será utilizada para implementar a “Lei Yarovaya”.

Anton Sushkevich, fundador do Grupo NVision e coproprietário do fabricante de equipamentos de telecomunicações RDP.RU, também ouviu falar da proposta de descriptografar o tráfego.

“Os dois principais métodos de criptografia na Internet são ponta a ponta, muito populares em mensageiros instantâneos, e certificados SSL - com a ajuda deles, cerca de 80% do tráfego da Internet é criptografado. Para cumprir a tarefa da Lei Yarovaya, ou seja, combater o terrorismo, é necessário decifrar e analisar o tráfego em ao vivo, e não algum tempo depois. A organização do MITM é uma das formas possíveis”, afirma Sushkevich.

O Kommersant também pediu a opinião de especialistas sobre o assunto, e eles expressaram algum ceticismo em relação ao esquema descrito.

“Quando esse fato for conhecido, o certificado dessa autoridade certificadora será removido de todos os softwares que funcionam com tráfego criptografado na próxima atualização. E isso será correto, porque a capacidade de criar certificados “errados” desacredita todo o comércio eletrônico: todos os cartões bancários, credenciais de todos os usuários em todos os sistemas são interceptados”, explica o chefe da ARSIENTEC, Denis Neshtun.

“O MITM funciona bem, e em alguns lugares legalmente, para tecnologias cliente-servidor baseadas em SSL. Mas eles começaram a abandoná-lo com mais frequência e a mudar para o TLS, para o qual o MITM não pode ser feito hoje. E no caso da criptografia ponta a ponta, na qual a maioria dos mensageiros instantâneos são construídos, o MITM geralmente não é implementável”, afirma Alexey Lukatsky, consultor de segurança de Internet da Cisco.

Gostaria de lembrar que de acordo com a Lei Yarovaya, os organizadores da divulgação de informações devem fornecer as informações necessárias para decodificar as mensagens eletrônicas recebidas, transmitidas, entregues e (ou) processadas dos usuários à unidade autorizada do FSB.

“Organizadores de divulgação de informações”, por sua vez, são considerados “pessoas que realizam atividades para garantir o funcionamento de sistemas de informação e (ou) programas” que são usados ​​para “receber, transmitir, entregar e (ou) processar mensagens eletrônicas de usuários da Internet”. Ou seja, trata-se de quase todos os serviços com a ajuda dos quais as mensagens são transmitidas, como mensagens instantâneas ou correio.

Os interlocutores do Kommersant acreditam que “as empresas estrangeiras simplesmente não cumprirão este requisito e as empresas russas poderão entregar as chaves após inúmeras exigências”.

Muitos usuários não percebem que ao preencher um login e senha ao se cadastrar ou fazer login em um recurso fechado da Internet e pressionar ENTER, esses dados podem ser facilmente interceptados. Muitas vezes eles são transmitidos pela rede de forma insegura. Portanto, se o site no qual você está tentando fazer login usa o protocolo HTTP, é muito fácil capturar esse tráfego, analisá-lo usando o Wireshark e, em seguida, usar filtros e programas especiais para localizar e descriptografar a senha.

O melhor local para interceptar senhas é o núcleo da rede, onde o tráfego de todos os usuários vai para recursos fechados (por exemplo, correio) ou na frente do roteador para acesso à Internet, ao se cadastrar em recursos externos. Montamos um espelho e estamos prontos para nos sentirmos como um hacker.

Passo 1. Instale e inicie o Wireshark para capturar tráfego

Às vezes, para isso, basta selecionar apenas a interface através da qual pretendemos capturar o tráfego e clicar no botão Iniciar. No nosso caso, estamos capturando através de uma rede sem fio.

A captura de tráfego já começou.

Etapa 2. Filtrando o tráfego POST capturado

Abrimos o navegador e tentamos fazer login em algum recurso usando nome de usuário e senha. Assim que o processo de autorização for concluído e o site aberto, paramos de capturar tráfego no Wireshark. A seguir, abra o analisador de protocolo e veja grande número pacotes. É neste ponto que a maioria dos profissionais de TI desiste porque não sabe o que fazer a seguir. Mas sabemos e estamos interessados ​​em pacotes específicos que contenham Dados POST, que são gerados em nossa máquina local ao preencher um formulário na tela e enviados para um servidor remoto quando clicamos no botão “Login” ou “Autorização” do navegador.

Entramos em um filtro especial na janela para exibir os pacotes capturados: http.solicitar.método == “PUBLICAR"

E vemos, em vez de milhares de pacotes, apenas um com os dados que procuramos.

Passo 3. Encontre o login e senha do usuário

Clique rápido botão direito mouse e selecione o item no menu Siga TCP Steam

Depois disso, o texto aparecerá em uma nova janela que restaura o conteúdo da página em código. Vamos encontrar os campos “senha” e “usuário”, que correspondem à senha e nome de usuário. Em alguns casos, ambos os campos serão facilmente legíveis e nem mesmo criptografados, mas se tentarmos capturar tráfego ao acessar recursos muito conhecidos como Mail.ru, Facebook, Vkontakte, etc., a senha será criptografada:

HTTP/1.1 302 encontrado

Servidor: Apache/2.2.15 (CentOS)

X-Powered-By: PHP/5.3.3

P3P: CP="NOI ADM DEV PSAI COM NAV NOSSO OTRo STP IND DEM"

Set-Cookie: senha= ; expira = qui, 07 de novembro de 2024 23:52:21 GMT; caminho=/

Localização: logado.php

Comprimento do conteúdo: 0

Conexão: fechar

Tipo de conteúdo: texto/html; conjunto de caracteres=UTF-8

Assim, no nosso caso:

Nome de usuário: networkguru

Senha:

Etapa 4. Determine o tipo de codificação para descriptografar a senha

Por exemplo, acesse o site http://www.onlinehashcrack.com/hash-identification.php#res e digite nossa senha na janela de identificação. Recebi uma lista de protocolos de codificação em ordem de prioridade:

Etapa 5. Descriptografando a senha do usuário

Nesta fase podemos usar o utilitário hashcat:

~# hashcat -m 0 -a 0 /root/wireshark-hash.lf /root/rockyou.txt

Na saída recebemos uma senha descriptografada: simplepassword

Assim, com a ajuda do Wireshark, podemos não só resolver problemas no funcionamento de aplicações e serviços, mas também nos testar como hackers, interceptando senhas que os usuários inserem em formulários web. Você também pode descobrir senhas para caixas de correio usuários usando filtros simples para exibir:

• O protocolo POP e o filtro são assim: pop.request.command == "USER" || pop.request.command == "PASS"
• O protocolo e filtro IMAP serão: imap.request contém "login"
• Protocolo SMTP e você precisará inserir o seguinte filtro: smtp.req.command == "AUTH"

e utilitários mais sérios para descriptografar o protocolo de codificação.

Etapa 6: e se o tráfego for criptografado e usar HTTPS?

Existem várias opções para responder a esta pergunta.

Opção 1. Conectar quando a conexão entre o usuário e o servidor for interrompida e capturar o tráfego no momento em que a conexão for estabelecida (SSL Handshake). Quando uma conexão é estabelecida, a chave da sessão pode ser interceptada.

Opção 2: você pode descriptografar o tráfego HTTPS usando o arquivo de log da chave de sessão registrado pelo Firefox ou Chrome. Para fazer isso, o navegador deve estar configurado para gravar essas chaves de criptografia em um arquivo de log (exemplo baseado no Firefox) e você deverá receber esse arquivo de log. Essencialmente, você precisa roubar o arquivo da chave da sessão disco rígido outro usuário (o que é ilegal). Bem, então capture o tráfego e use a chave resultante para descriptografá-lo.

Esclarecimento. Estamos falando do navegador de uma pessoa cuja senha ela está tentando roubar. Se quisermos descriptografar nosso próprio tráfego HTTPS e quisermos praticar, essa estratégia funcionará. Se você estiver tentando descriptografar o tráfego HTTPS de outros usuários sem acesso aos seus computadores, isso não funcionará - isso é criptografia e privacidade.

Após receber as chaves conforme opção 1 ou 2, é necessário cadastrá-las no WireShark:

1. Vá para o menu Editar - Preferências - Protocolos - SSL.
2. Defina o sinalizador “Remontar registros SSL abrangendo vários segmentos TCP”.
3. “Lista de chaves RSA” e clique em Editar.
4. Insira os dados em todos os campos e escreva o caminho no arquivo com a chave

Bom dia! Hoje falaremos sobre o que é tráfego? Esta palavra se aplica a diferentes áreas, mas pode ser encontrada com frequência na Internet. Na verdade, todos os ganhos online são baseados nele.

O tráfego é essencialmente movimento, atividade, transição de um lugar para outro. Pode ser muito ou pouco, pode ser rápido ou lento. A palavra tráfego em si significa traduzida de língua Inglesa Significa apenas movimento!

Agora vamos pensar por que precisamos de tráfego?? Cada área precisa disso para suas próprias necessidades especiais. Por exemplo, na área de TI denota o número de megabytes. Se estiverem, você pode ficar online, mas fará o download de um filme ou música, ou qualquer outra coisa, dependendo do volume que precisa comprar.

Os webmasters geralmente precisam disso para ganhar dinheiro e todos se esforçam para ter o máximo possível desse movimento valioso em seus sites!

Tipos de tráfego

Agora vamos dar uma olhada em todos os tipos de tráfego que consegui encontrar!

Tráfego de carros

Esse tráfego significa o número de carros em qualquer ponto. Por exemplo, durante a hora do almoço, 500 deles podem passar em uma determinada rua em uma hora. E este é um tráfego de carros muito grande.

Os proprietários de lojas de automóveis às vezes podem se perguntar como atrair tráfego para uma concessionária de automóveis. Com isso eles se referem a clientes comuns, compradores. Para atrair você só precisa usar publicidade, só isso!

O tráfego de automóveis precisa ser medido para vários estudos. Existem ambos métodos automáticos e métodos de medição manuais.

O tráfego rodoviário ou o tráfego rodoviário podem mostrar o nível de poluição em um determinado local. Afinal, quanto mais carros passam por lá, maior é o acúmulo de gases nessa área.

Tráfego de pedestres

Esta espécie é composta exclusivamente por quem usa zebras. Acho que os animais também podem ser classificados como esta espécie. Afinal, às vezes eles também se mudam para um local especialmente designado.

O tráfego de pedestres consiste essencialmente em pessoas caminhando por uma estrada listrada - uma passadeira!

Por vezes, o tráfego intenso de pedestres pode causar dificuldades aos motoristas, por isso existem serviços que monitoram o seu volume. Embora eu pessoalmente não tenha visto nada parecido na prática.

Tráfego marítimo

Este é o movimento de vários navios em condições de navegar. Por exemplo, como barcos, navios, navios a vapor e outros! Muitas vezes as pessoas pesquisam essa frase na Internet para descobrir o movimento. tráfego marítimo em tempo real! Surpreendentemente, existe realmente uma exibição de mapa na Internet. Você pode entrar e ver onde está localizado o barco desejado!

O que é tráfego na negociação?

Essa frase se refere à quantidade de clientes que vieram até a loja e compraram alguma coisa. O mesmo pode ser dito sobre o tráfego nos negócios. São apenas pessoas que vieram e pegaram alguma coisa, dando seu dinheiro em troca.

Na maioria das vezes, o tráfego é negociado na Internet, mas também pode ser vendido na vida cotidiana. Por exemplo, recomendando a uma pessoa um produto que é vendido em uma determinada loja. Além disso, você deve ter um acordo com o dono da loja, e ele deve entender qual cliente virá de você hoje. Se for bem-sucedido, o dono do estabelecimento pagará uma porcentagem pela chegada do comprador!

O que é tráfego na Internet?

Sob esta palavra na Internet, duas designações podem ser distinguidas:

1. Número de megabytes, gigabytes.
2. O número de visitantes de um dos sites.

O primeiro tráfego da Internet, também conhecido como tráfego de rede- é quando você deseja ficar online. Para fazer isso, você precisa de um pacote com as unidades de medida acima mencionadas. Muitas vezes é limitado operadoras móveis. Para computador doméstico você pode conectar internet com fio por uma taxa fixa taxa de assinatura. Por exemplo, por 400 rublos você pode baixar quantos filmes, músicas e outros arquivos desejar. Aqui a limitação só pode ser de velocidade de acordo com o seu tarifário. Você paga esse valor uma vez por mês!

Na Internet móvel, com esse dinheiro você pode comprar, por exemplo, 3 a 5 GB por mês e pronto. Se acabar, aqui você pode comprar mais por não muito preço favorável ou aguarde até que o período de conexão expire. Por exemplo, você conectou 2 GB no dia primeiro de maio, mas esgotou no dia 7 do mesmo mês. Isto significa que nos restantes 23 dias terá que ficar sem Internet, pagar a mais ou alterar o tarifário.

Meu tráfego de Internet é de 7 GB por semana, tarifa Zabugorishche! Esta é a Internet da MTS por 600 rublos. Pagamento uma vez a cada sete dias por 150 rublos. Essas condições me agradam muito, especialmente porque sete gigabytes são para novos usuários. Conectei-me anteriormente e posso baixar o quanto quiser, sem restrições, em velocidade moderada.

Segundo tráfego da Internet mostrado ou web é o tráfego para qualquer recurso na Internet. Por exemplo, cerca de 400 a 450 pessoas visitam meu blog na Internet todos os dias! Como resultado, posso dizer que meu tráfego é de quatrocentos visitantes por dia!

Acho que agora o que é o tráfego na Internet está claro até para os manequins!

O que é tráfego móvel?

Essencialmente, são pessoas que chegam até você por meio de um dispositivo – um telefone! Algumas pessoas também podem perguntar o que é o tráfego internet móvel? Bem, esta é a quantidade de tráfego da Internet discutida acima!

Se você receber uma notificação de que resta pouco tráfego, isso significa que a Internet será desligada em breve. Geralmente isso acontece depois que o número de megabytes é 10 ou 50.

Tráfego incentivado

Esse tipo de aparência significa que a pessoa fez algo a pedido de alguém. Por exemplo, você se registrou em um dos programas afiliados, jogos on-line. Para trazer 1 pessoa, você receberá 20 rublos. Como resultado, você vai e faz a tarefa para serviço especial. Peça às pessoas que se registrem para receber uma recompensa de 5 rublos. Seu lucro será de 15 lucro líquido! A pessoa se infiltrou no jogo porque você pediu para ela fazer isso por dinheiro.

Tráfego direcionado ou temático

Vou falar sobre essa opção usando o exemplo de um grupo ou comunidade VKontakte. Um homem criou algo semelhante e reuniu todos os interessados ​​​​no lançamento de um novo iPhone. Muitas pessoas estão simplesmente ansiosas para comprá-lo! Digamos que havia 20.000 pessoas! E assim ele entrou no mercado, sem pensar duas vezes o autor encontrou uma loja de verdade com programa de afiliados de 5%, geralmente royalties em lojas oficiais pequeno. Mas, além disso, fiz barulho e encontrei uma cópia de afiliado. Nem todos podem pagar pelo original. Ofereci à comunidade duas opções! E como resultado, recebi uma boa renda de mais de 100.000 rublos! E porque todas essas pessoas estavam interessadas em comprar, elas venceram tráfego direcionado ou temático!

Bem, não direcionado, isso significa, por exemplo, que um anúncio de um laptop DNS vai para uma pessoa que sonha com um computador da MSI. Na verdade, isso é uma besteira, um desperdício de dinheiro, porque ele não aceita.

O que é tráfego de porta?

Vou demonstrar novamente com um exemplo! Existe muita concorrência na Internet na venda de quase todos os produtos ou serviços. Portanto, algumas pessoas, para contornar esse obstáculo e ganhar dinheiro com programas de afiliados, seguem o seguinte caminho:

1. Eles escolhem o produto com o qual desejam ganhar dinheiro.
2. Eles não procuram uma frase muito competitiva desse nicho, mas sim que ela seja inserida na busca com frequência.
3. Eles criam um site com um domínio apenas para esta palavra-chave.

Como resultado, o site é especificamente dedicado a um produto, por exemplo, uma câmera de ação ou uma mangueira de água. Pois bem, se for esse o caso, o motor de busca, em particular o Yandex, tenta colocá-lo o mais alto possível. Como resultado, as pessoas entram e algumas delas compram tráfego.

Resumindo, o tráfego vem da porta de entrada ou de um site feito sob medida para um programa de afiliados específico.

Tráfego de referência

Certamente os proprietários de programas afiliados usam esta frase! Eles contam quantas vendas diretas realizaram e quanto veio do tráfego de referência, também conhecido como tráfego de afiliados.

Ou seja, se você é parceiro e atrai visitantes para o produto, o product owner irá te chamar de indicação.

Ou podemos dizer que se trata de um usuário que acessou o serviço através do link de indicação de alguém. E então ele trouxe mais pessoas para o mesmo projeto usando o link dele! Que mais tarde pode ser chamado de tráfego de referência.

Saída e entrada

Na maioria das vezes, isso se aplica à tarifa de Internet do seu computador. Se você usa um programa para contabilizá-lo ou possui um modem móvel, por exemplo, da MTS, provavelmente notou que há um gráfico ali. Além disso, há inscrições recebidas e tráfego de saída. Bem, enquanto você navega na Internet, você troca dados com um servidor em outro computador. Alguns deles desaparecem e a outra parte chega até você na forma de software, filmes, fotos, música, etc.

Tráfego de vídeo

Estas são essencialmente conversões de usuários usando conteúdo de vídeo. Por exemplo, no YouTube você pode fornecer links abaixo do vídeo ou inserir links no próprio clipe. YouTubers ativos e populares são capazes de atrair um grande número de usuários-alvo!

Tráfego de pesquisa ou orgânico

Ou seja, este é o tráfego de motores de busca! Digamos que uma pessoa esteja procurando um pen drive e o mecanismo de busca retorne muitos sites. Pois bem, se ele for a algum deles, então para o site esse visitante será considerado orgânico! Transições semelhantes podem vir de diferentes mecanismos de pesquisa, por exemplo, do Yandex, Google, Mail, etc.

Tráfego direto

Começarei imediatamente com um exemplo. Você tem um amigo e ele comprou recentemente um espremedor de frutas em uma loja online. Este serviço deu-lhe um desconto de 20% e ainda lhe deu um conjunto de chávenas! Olhando para o seu amigo, você também queria comprar algo nesta loja com essa promoção. E, portanto, peça a ele o endereço exato. Ele naturalmente dá e então você vai ao site, faz uma visita direta sem nenhum sistema. Digitei o endereço e fui para página inicial projeto. Isso significa que você se tornou tráfego direto para esta loja.

Tráfego do contexto

Muitas pessoas que tentam vender seus serviços ou produtos não conseguem publicidade contextual na Internet. Este é um anúncio que você provavelmente já viu ao ler artigos na Internet.

Bem, se uma pessoa clicou em um anúncio no texto e foi até o produto, isso será chamado de tráfego do contexto!

O que é tráfego fraudulento?

Este tipo indica tráfego não totalmente limpo. Traduzido do inglês, a palavra fraude significa fraude. Para os anunciantes, esse tipo de visita significa perda de dinheiro. Como isso pode acontecer?

Wireshark é um poderoso analisador de rede que pode ser usado para analisar o tráfego que passa pela interface de rede do seu computador. Você pode precisar dele para detectar e resolver problemas de rede, depurar seus aplicativos web, programas de rede ou sites. O Wireshark permite visualizar completamente o conteúdo de um pacote em todos os níveis, para que você possa entender melhor como a rede funciona em um nível baixo.

Todos os pacotes são capturados em tempo real e fornecidos em formato de fácil leitura. O programa suporta um sistema de filtragem muito poderoso, realce de cores e outros recursos que ajudarão você a encontrar pacotes necessários. Neste tutorial, veremos como usar o Wireshark para analisar tráfego. Recentemente, os desenvolvedores começaram a trabalhar na segunda ramificação do programa Wireshark 2.0, muitas mudanças e melhorias foram feitas nele, principalmente na interface. É isso que usaremos neste artigo.

Antes de considerar maneiras de analisar o tráfego, você precisa considerar com mais detalhes quais recursos o programa suporta, com quais protocolos ele pode trabalhar e o que pode fazer. Aqui estão os principais recursos do programa:

• Capturar pacotes em tempo real de interfaces de rede cabeadas ou de qualquer outro tipo, bem como ler de um arquivo;
• São suportadas as seguintes interfaces de captura: Ethernet, IEEE 802.11, PPP e interfaces virtuais locais;
• Os pacotes podem ser filtrados com base em vários parâmetros usando filtros;
• Todos os protocolos conhecidos são destacados na lista em cores diferentes, por exemplo TCP, HTTP, FTP, DNS, ICMP e assim por diante;
• Suporte para captura de tráfego de chamadas VoIP;
• A descriptografia do tráfego HTTPS será suportada se um certificado estiver disponível;
• Descriptografia de tráfego WEP e WPA redes sem fio com chave e aperto de mão;
• Exibindo estatísticas de carga de rede;
• Visualize o conteúdo do pacote para todas as camadas da rede;
• Exibe o horário de envio e recebimento de pacotes.

O programa possui muitas outras funcionalidades, mas estas foram as principais que podem lhe interessar.

Como usar o Wireshark

Presumo que você já tenha o programa instalado, mas caso não tenha, você pode instalá-lo a partir dos repositórios oficiais. Para fazer isso, digite o comando no Ubuntu:

sudo apto instalar wireshark

Após a instalação, você poderá encontrar o programa no menu principal da distribuição. Você precisa executar o Wireshark com direitos de superusuário, caso contrário ele não será capaz de analisar pacotes de rede. Isso pode ser feito no menu principal ou através do terminal usando o comando do KDE:

E para Gnome/Unidade:

A janela principal do programa está dividida em três partes: a primeira coluna contém uma lista de interfaces de rede disponíveis para análise, a segunda - opções para abertura de arquivos e a terceira - ajuda.

Análise de tráfego de rede

Para iniciar a análise, selecione uma interface de rede, por exemplo eth0, e clique no botão Começar.

Após isso, será aberta a seguinte janela, já com um fluxo de pacotes que passam pela interface. Esta janela também está dividida em várias partes:

• Parte superior- são menus e painéis com vários botões;
• Lista de pacotes- o fluxo é exibido a seguir pacotes de rede que você irá analisar;
• Conteúdo do pacote- logo abaixo está o conteúdo da embalagem selecionada, ela está dividida em categorias dependendo do nível de transporte;
• Desempenho real- na parte inferior, o conteúdo da embalagem é exibido em formato real, bem como em formato HEX.

Você pode clicar em qualquer pacote para analisar seu conteúdo:

Aqui vemos um pacote de solicitação DNS para obter o endereço IP do site, na própria solicitação o domínio é enviado e no pacote de resposta recebemos nossa pergunta e também a resposta.

Para uma visualização mais conveniente, você pode abrir o pacote em uma nova janela clicando duas vezes na entrada:

Filtros Wireshark

Percorrer manualmente os pacotes para encontrar os que você precisa é muito inconveniente, especialmente com um thread ativo. Portanto, para esta tarefa é melhor usar filtros. Há uma linha especial no menu para inserir filtros. Você pode clicar Expressão para abrir o designer de filtros, mas existem muitos deles, então veremos os mais básicos:

• ip.dst- endereço IP de destino;
• ip.src- endereço IP do remetente;
• ip.addr- IP do remetente ou destinatário;
• ip.proto- protocolo;
• tcp.dstport- porto de destino;
• tcp.srcport- porta do remetente;
• ip.ttl- Filtro TTL, determina a distância da rede;
• http.request_uri- o endereço do site solicitado.

Para especificar o relacionamento entre um campo e um valor em um filtro, você pode usar os seguintes operadores:

• == - iguais;
• != - não é igual;
• < - menos;
• > - mais;
• <= - menor ou igual a;
• >= - maior ou igual a;
• partidas- expressão regular;
• contém- contém.

Para combinar múltiplas expressões você pode usar:

• && - ambas as expressões devem ser verdadeiras para o pacote;
• || - uma das expressões pode ser verdadeira.

Agora vamos dar uma olhada em vários filtros usando exemplos e tentar entender todos os sinais de relacionamento.

Primeiro, vamos filtrar todos os pacotes enviados para 194.67.215.. Digite uma string no campo de filtro e clique Aplicar. Por conveniência, os filtros do Wireshark podem ser salvos usando o botão Salvar:

ip.dst == 194.67.215.125

E para receber não apenas os pacotes enviados, mas também os recebidos em resposta deste nó, você pode combinar duas condições:

ip.dst == 194.67.215.125 || ip.src == 194.67.215.125

Também podemos selecionar arquivos grandes transferidos:

http.content_length > 5000

Ao filtrar o Content-Type, podemos selecionar todas as imagens que foram carregadas; Vamos analisar o tráfego do Wireshark, pacotes que contém a palavra imagem:

http.content_type contém imagem

Para limpar o filtro, você pode pressionar o botão Claro. Acontece que nem sempre você conhece todas as informações necessárias para a filtragem, mas deseja apenas explorar a rede. Você pode adicionar qualquer campo de um pacote como uma coluna e visualizar seu conteúdo na janela geral de cada pacote.

Por exemplo, quero exibir o TTL (time to live) de um pacote como uma coluna. Para fazer isso, abra as informações do pacote, encontre este campo na seção IP. Então ligue menu de contexto e selecione a opção Aplicar como coluna:

Da mesma forma, você pode criar um filtro baseado em qualquer campo desejado. Selecione-o e abra o menu de contexto e clique em Aplicar como filtro ou Prepare como filtro e selecione Selecionado para exibir apenas os valores selecionados ou Não selecionado para removê-los:

O campo especificado e seu valor serão aplicados ou, no segundo caso, inseridos no campo de filtro:

Desta forma, você pode adicionar um campo de qualquer pacote ou coluna ao filtro. Também existe esta opção no menu de contexto. Para filtrar protocolos, você pode usar mais condições simples. Por exemplo, vamos analisar o tráfego do Wireshark para os protocolos HTTP e DNS:

Mais um oportunidade interessante programas - usando o Wireshark para rastrear uma sessão específica entre o computador do usuário e o servidor. Para fazer isso, abra o menu de contexto do pacote e selecione Siga o fluxo TCP.

Será aberta uma janela na qual você encontrará todos os dados transferidos entre o servidor e o cliente:

Diagnosticando problemas do Wireshark

Você pode estar se perguntando como usar o Wireshark 2.0 para detectar problemas de rede. Para isso, existe um botão redondo no canto inferior esquerdo da janela; ao clicar nele, uma janela se abre; Ferramentas Expet. Nele, o Wireshark coleta todas as mensagens de erro e problemas de rede:

A janela é dividida em abas como Erros, Avisos, Avisos, Bate-papos. O programa pode filtrar e encontrar muitos problemas de rede, e aqui você pode vê-los muito rapidamente. Filtros Wireshark também são suportados aqui.

Análise de tráfego Wireshark

Você pode entender facilmente o que os usuários baixaram e quais arquivos eles visualizaram se a conexão não estivesse criptografada. O programa faz um ótimo trabalho de extração de conteúdo.

Para fazer isso, primeiro você precisa interromper a captura de tráfego usando o quadrado vermelho no painel. Em seguida, abra o menu Arquivo -> Exportar objetos -> HTTP: