captura de informação em rede
DESCRIPTION
TRANSCRIPT
Captura de Informacao em Rede
Ulisses Araujo Costa
18 Fevereiro, 2010
Ulisses Araujo Costa Captura de Informacao em Rede
Sumario
1 NIDS
2 Snort
3 tcpdump
4 Parsing
5 tsharkEstatısticasSessoes HTTP
6 DescricaoUso da ferramenta
Ulisses Araujo Costa Captura de Informacao em Rede
NIDS - Network Intrusion Detection System
Sistema de deteccao de intrusao de rede
Tenta detectar actividade maliciosa (ataques DoS, DDos, portscans, tentativas de cracking)
Ulisses Araujo Costa Captura de Informacao em Rede
Como funciona
Analise de todos os pacotes
Tenta encontrar padroes suspeitos
Exemplo - port scanners
Se um grande numero de pedidos de coneccoes TCP para umgrande numero de portas diferentes num curto espaco de tempoentao o NIDS concluı que podemos estar a ser alvo de um scan deportos.
Ulisses Araujo Costa Captura de Informacao em Rede
Sumario
1 NIDS
2 Snort
3 tcpdump
4 Parsing
5 tsharkEstatısticasSessoes HTTP
6 DescricaoUso da ferramenta
Ulisses Araujo Costa Captura de Informacao em Rede
Definicao
SNORTr is an open source network intrusion preventionand detection system utilizing a rule-driven language,which combines the benefits of signature, protocol andanomaly based inspection methods. With millions ofdownloads to date, Snort is the most widely deployedintrusion detection and prevention technology worldwideand has become the de facto standard for the industry.
Modo passivo
Modo activo 6= firewall
Ulisses Araujo Costa Captura de Informacao em Rede
Abordagem - Snort
Usar o Snort para capturar todo o trafego que conseguir em modopassivo.
root@pig:# snort -u snort -g snort -D -d -l /var/log/snort -c /etc/snort/snort.debian.conf -S -i
eth0
Grava log em binario (formato tcpdump)
Ulisses Araujo Costa Captura de Informacao em Rede
Abordagem - Snort - Sintaxe Regras
O Snort usa regras para poder fazer o matching do trafego. Ocabecalho de uma regra contem os seguintes campos:
Accao (log, alert)
Protocolo (ip, tcp, udp, icmp, any)
IP origem e Porto
IP destino e Porto
Operador de direccao (− >, ”<>”)
Ulisses Araujo Costa Captura de Informacao em Rede
Abordagem - Snort - Sintaxe Regras
Os enderecos IP de destino ou de origem podem ser:
Variaveis ($HOME NET)
Enderecos de IP individuais
blocos CIDR
Listas do tipo: [192.168.3.12,192.168.3.9]
Os portos podem ser:
Portos individuais
Ranges de portos (”80:85”, ”:1024”, ”1025:”)
Ulisses Araujo Costa Captura de Informacao em Rede
Abordagem - Snort - Regras
alert tcp any any -> 192.168.1.0/24 21 (content: "user root"; msg: "FTP root
login ";)
alert tcp any any -> 192.168.1.0/24 21 (content: "USER root"; msg: "FTP root
login ";)
Estas duas regras dizem ao Snort para quando encontrar trafegovindo de qualquer host e em direccao ao IP 192.168.1.0/24 para oporto 21 e cujo conteudo tenha a string ”user root”ou ”USERroot”entao imprimir no ecran o alerta: ”FTP root login”.
Ulisses Araujo Costa Captura de Informacao em Rede
Abordagem - Snort - Regras
A seguinte regra encontra e grava em ficheiro todas as sessoesTelnet que se estabelecam com o host 192.168.1.0/24.
log !192.168.1.0/24 any <> 192.168.1.0/24 23
Ulisses Araujo Costa Captura de Informacao em Rede
Sumario
1 NIDS
2 Snort
3 tcpdump
4 Parsing
5 tsharkEstatısticasSessoes HTTP
6 DescricaoUso da ferramenta
Ulisses Araujo Costa Captura de Informacao em Rede
Abordagem - tcpdump
O tcpdump e um programa que corre num computador egrava todos os pacotes que chegam a um interface de rede.
Ouve tudo o que a interface recebe
Os ficheiros ficam guardados no formato libpcap.
Correr o tcpdump ligado a um hub.
Ulisses Araujo Costa Captura de Informacao em Rede
Abordagem - tcpdump
Correr o tcpdump numa Gateway.
Ulisses Araujo Costa Captura de Informacao em Rede
Sumario
1 NIDS
2 Snort
3 tcpdump
4 Parsing
5 tsharkEstatısticasSessoes HTTP
6 DescricaoUso da ferramenta
Ulisses Araujo Costa Captura de Informacao em Rede
Depois de ter o ficheiro. . .
Implementacao de filtros segundo determinadas regras
Agregacao de pacotes segundo regras (onde o Snort naochega)
Ulisses Araujo Costa Captura de Informacao em Rede
Problema - parsing
Fazer parsing de tcpdump
Ulisses Araujo Costa Captura de Informacao em Rede
Exemplo - pacote SSH
Ulisses Araujo Costa Captura de Informacao em Rede
Implementacao em Haskell
getPacket :: [Word8] -> InPacket
getPacket bytes = toInPack $ listArray (0,Prelude.length bytes -1) $ bytes
-- Ethernet | IP | TCP | X
getPacketTCP :: [Word8] -> Maybe (NE.Packet (NI4.Packet (NT.Packet InPacket)))
getPacketTCP bytes = doParse $ getPacket bytes :: Maybe (NE.Packet (NI4.Packet (
NT.Packet InPacket)))
Ulisses Araujo Costa Captura de Informacao em Rede
Sumario
1 NIDS
2 Snort
3 tcpdump
4 Parsing
5 tsharkEstatısticasSessoes HTTP
6 DescricaoUso da ferramenta
Ulisses Araujo Costa Captura de Informacao em Rede
Exemplos
Mostrar todas as comunicacoes com o IP 192.168.74.242root@pig:# tshark -R "ip.addr == 192.168.74.242-r snort.log
...
7750 6079.816123 193.136.19.96 -> 192.168.74.242 SSHv2 Client: Key Exchange Init
7751 6079.816151 192.168.74.242 -> 193.136.19.96 TCP ssh > 51919 [ACK] Seq =37
Ack =825 Win =7424 Len=0 TSV =131877388 TSER =1789588
7752 6079.816528 192.168.74.242 -> 193.136.19.96 SSHv2 Server: Key Exchange Init
7753 6079.817450 193.136.19.96 -> 192.168.74.242 TCP 51919 > ssh [ACK] Seq =825
Ack =741 Win =7264 Len=0 TSV =1789588 TSER =131877389
7754 6079.817649 193.136.19.96 -> 192.168.74.242 SSHv2 Client: Diffie -Hellman
GEX Request
7755 6079.820784 192.168.74.242 -> 193.136.19.96 SSHv2 Server: Diffie -Hellman
Key Exchange Reply
7756 6079.829495 193.136.19.96 -> 192.168.74.242 SSHv2 Client: Diffie -Hellman
GEX Init
7757 6079.857490 192.168.74.242 -> 193.136.19.96 SSHv2 Server: Diffie -Hellman
GEX Reply
7758 6079.884000 193.136.19.96 -> 192.168.74.242 SSHv2 Client: New Keys
7759 6079.922576 192.168.74.242 -> 193.136.19.96 TCP ssh > 51919 [ACK] Seq =1613
Ack =1009 Win =8960 Len=0 TSV =131877415 TSER =1789605
...
Ulisses Araujo Costa Captura de Informacao em Rede
Exemplos
Mostrar um triplo com: (tempo,codigo http,tamanho do conteudohttp), separados por ’,’ e entre aspas.
root@pig:# tshark -r snort.log -R http.response -T fields -E header=y -E separator=’,’ -E
quote=d -e frame.time relative -e http.response.code -e http.content length
...
"128.341166000" ,"200" ,"165504"
"128.580181000" ,"200" ,"75332"
"128.711618000" ,"200" ,"1202"
"149.575548000" ,"206" ,"1"
"149.719938000" ,"304" ,
"149.882290000" ,"404" ,"338"
"150.026474000" ,"404" ,"341"
"150.026686000" ,"404" ,"342"
"150.170295000" ,"304" ,
"150.313576000" ,"304" ,
"150.456650000" ,"304" ,
...
Ulisses Araujo Costa Captura de Informacao em Rede
Exemplos
Mostrar um tuplo de aridade 4 com: (tempo,ip origem,ip destino,tamanho do pacote tcp).
root@pig:# tshark -r snort.log -R "tcp.len>0-T fields -e frame.time relative -e ip.src -e ip.dst
-e tcp.len
...
551.751252000 193.136.19.96 192.168.74.242 48
551.751377000 192.168.74.242 193.136.19.96 144
551.961545000 193.136.19.96 192.168.74.242 48
551.961715000 192.168.74.242 193.136.19.96 208
552.682260000 193.136.19.96 192.168.74.242 48
552.683955000 192.168.74.242 193.136.19.96 1448
552.683961000 192.168.74.242 193.136.19.96 1448
552.683967000 192.168.74.242 193.136.19.96 512
555.156301000 193.136.19.96 192.168.74.242 48
555.158474000 192.168.74.242 193.136.19.96 1448
555.158481000 192.168.74.242 193.136.19.96 1400
556.021205000 193.136.19.96 192.168.74.242 48
556.021405000 192.168.74.242 193.136.19.96 160
558.874202000 193.136.19.96 192.168.74.242 48
558.876027000 192.168.74.242 193.136.19.96 1448
...
Ulisses Araujo Costa Captura de Informacao em Rede
Exemplos
Mostrar um triplo com: (ip origem,ip destino, porto do ip destino).
root@pig:# tshark -r snort.log -Tfields -e ip.src -e ip.dst -e tcp.dstport
...
192.168.74.242 193.136.19.96 37602
192.168.74.242 193.136.19.96 37602
193.136.19.96 192.168.74.242 22
192.168.74.242 193.136.19.96 37602
193.136.19.96 192.168.74.242 22
193.136.19.96 192.168.74.242 22
192.168.74.242 193.136.19.96 37602
192.168.74.242 193.136.19.96 37602
192.168.74.242 193.136.19.96 37602
193.136.19.96 192.168.74.242 22
193.136.19.96 192.168.74.242 22
193.136.19.96 192.168.74.242 22
193.136.19.96 192.168.74.242 22
192.168.74.242 193.136.19.96 37602
192.168.74.242 193.136.19.96 37602
...
Ulisses Araujo Costa Captura de Informacao em Rede
Sumario
1 NIDS
2 Snort
3 tcpdump
4 Parsing
5 tsharkEstatısticasSessoes HTTP
6 DescricaoUso da ferramenta
Ulisses Araujo Costa Captura de Informacao em Rede
Estatısticas
Hierarquia de protocolosroot@pig:# tshark -r snort.log -q -z io,phs
frame frames :7780 bytes :1111485
eth frames :7780 bytes :1111485
ip frames :3992 bytes :848025
tcp frames :3908 bytes :830990
ssh frames :2153 bytes :456686
http frames :55 bytes :19029
http frames :5 bytes :3559
http frames :3 bytes :2781
http frames :2 bytes :2234
http frames :2 bytes :2234
data -text -lines frames :10 bytes :5356
tcp.segments frames :3 bytes :1117
http frames :3 bytes :1117
media frames :3 bytes :1117
udp frames :84 bytes :17035
nbdgm frames :50 bytes :12525
smb frames :50 bytes :12525
mailslot frames :50 bytes :12525
browser frames :50 bytes :12525
dns frames :34 bytes :4510
llc frames :3142 bytes :224934
stp frames :3040 bytes :182400
cdp frames :102 bytes :42534
loop frames :608 bytes :36480
data frames :608 bytes :36480
arp frames :38 bytes :2046
Ulisses Araujo Costa Captura de Informacao em Rede
Estatısticas - Conversations
Usa-se: -z conv,<tipo>,<filtro>
Tipo pode ser: eth,tr,fc,fddi,ip,ipx,tcp,udpOs filtros servem para restringir as estatisticas
root@pig:# tshark -r snort.log -q -z conv,ip,tcp.port==80
================================================================================
IPv4 Conversations
Filter:tcp.port ==80
| <- | | -> | | Total |
|Frames Bytes | |Frames Bytes | |Frames Bytes |
193.136.19.148 <-> 192.168.74.242 141 13091 202 259651 343 272742
192.168.74.242 <-> 128.31.0.36 22 6858 28 4784 50 11642
================================================================================
Ulisses Araujo Costa Captura de Informacao em Rede
Estatısticas - IO
Usa-se: -z io,stat,<int>,<filtro>,. . . ,<filtro>
root@pig:# tshark -r snort.log -q -z io,stat,300,’not (tcp.port=22)’
===================================================================
IO Statistics
Interval: 300.000 secs
Column #0:
| Column #0
Time |frames| bytes
000.000 -300.000 2161 543979
300.000 -600.000 1671 264877
600.000 -900.000 508 46224
900.000 -1200.000 185 12885
1200.000 -1500.000 201 14607
1500.000 -1800.000 187 13386
1800.000 -2100.000 189 13887
2100.000 -2400.000 187 13386
2400.000 -2700.000 189 13887
2700.000 -3000.000 187 13386
3000.000 -3300.000 185 12885
3300.000 -3600.000 189 13887
3600.000 -3900.000 210 15546
3900.000 -4200.000 189 13887
4200.000 -4500.000 187 13386
4500.000 -4800.000 185 12885
4800.000 -5100.000 189 13887
===================================================================
Ulisses Araujo Costa Captura de Informacao em Rede
Sumario
1 NIDS
2 Snort
3 tcpdump
4 Parsing
5 tsharkEstatısticasSessoes HTTP
6 DescricaoUso da ferramenta
Ulisses Araujo Costa Captura de Informacao em Rede
Sessoes HTTP
Quando queremos obter determinada informacao, se for muitoespecifica, o tshark sozinho pode nao conseguir la chegar. Assimusamos como apoio outras linguagens que suportem o tshark afimde conseguir a informacao que pretendemos.Neste caso queremos mostrar as sessoes HTTP de um determinadoutilizador.
Ulisses Araujo Costa Captura de Informacao em Rede
Sessoes HTTP- implementacao
#!/ usr/bin/bash
file=$1
user=$2
for cookie in ‘tshark -r $file -R "http.request and http contains $user" -T
fields -e http.cookie | tr " " "_"‘
do
sid=‘echo $cookie | cut -d ’_’ -f 2 | tr -d "\015" ‘
tmpfile ="tmp_ ‘echo $sid | cut -d ’=’ -f 2‘.cap"
echo "Processing session cookie $sid to $tmpfile"
tshark -r $file -w $tmpfile -R ‘tshark -r $file "http.request and http.cookie
contains \"$sid \"" -T fields -e tcp.srcport | awk ’{printf ("% stcp.port
==%s",sep ,$1);sep="||"}’‘
done
mergecap -w $user.cap ‘ls -1 tmp_*.cap ‘
rm ‘ls -1 tmp_*.cap ‘
Ulisses Araujo Costa Captura de Informacao em Rede
Sumario
1 NIDS
2 Snort
3 tcpdump
4 Parsing
5 tsharkEstatısticasSessoes HTTP
6 DescricaoUso da ferramenta
Ulisses Araujo Costa Captura de Informacao em Rede
Ferramenta
Apos analise de varias ferramentas
Necessidade de criar uma linguagem menor que a quedescreve frames de rede
Cada linha representa o estado de uma ligacao
Ulisses Araujo Costa Captura de Informacao em Rede
Ferramenta - Sintaxe do input
2010 -01 -01 -01:18:25.2246 tcp (6) E 82.3.10.27 4885 192.168.1.50 445: 4207 0
2010 -01 -01 -01:33:23.8935 tcp (6) S 82.155.39.149 4827 192.168.1.50 23
2010 -01 -01 -01:33:26.9242 tcp (6) E 82.155.39.149 4827 192.168.1.50 23: 0 62
2010 -01 -01 -03:26:11.9261 tcp (6) S 124.120.7.119 4900 192.168.1.50 23
2010 -01 -01 -03:26:13.8581 tcp (6) E 124.120.7.119 4900 192.168.1.50 23: 0 62
2010 -01 -01 -03:26:13.8606 tcp (6) - 124.120.7.119 4900 192.168.1.50 23: 40 R
2010 -01 -01 -03:36:25.6577 tcp (6) S 82.155.157.249 4268 192.168.1.50 23
2010 -01 -01 -03:36:28.6923 tcp (6) E 82.155.157.249 4268 192.168.1.50 23: 0 78
2010 -01 -01 -04:34:39.6524 tcp (6) S 82.155.251.43 3641 192.168.1.50 23
2010 -01 -01 -04:34:42.7348 tcp (6) E 82.155.251.43 3641 192.168.1.50 23: 0 62
2010 -01 -01 -05:45:06.4542 tcp (6) S 82.155.249.73 64436 192.168.1.50 139
2010 -01 -01 -05:45:15.6469 tcp (6) E 82.155.249.73 64436 192.168.1.50 139: 0 0
2010 -01 -01 -05:57:06.7332 tcp (6) S 79.25.93.226 44973 192.168.1.50 139
2010 -01 -01 -05:57:14.3509 tcp (6) E 79.25.93.226 44973 192.168.1.50 139: 0 0
2010 -01 -01 -05:57:28.0971 tcp (6) S 79.25.93.226 46984 192.168.1.50 80
2010 -01 -01 -05:58:40.3750 tcp (6) E 79.25.93.226 46984 192.168.1.50 80: 150 1008
2010 -01 -01 -06:05:42.1734 tcp (6) S 82.155.249.73 64894 192.168.1.50 139
2010 -01 -01 -06:05:46.1496 tcp (6) E 82.155.249.73 64894 192.168.1.50 139: 0 0
2010 -01 -01 -06:15:14.8449 tcp (6) S 82.155.249.73 53952 192.168.1.50 139
2010 -01 -01 -06:15:14.8841 tcp (6) E 82.155.249.73 53952 192.168.1.50 139: 0 0
2010 -01 -01 -06:23:25.5025 tcp (6) S 82.155.249.73 53934 192.168.1.50 139
2010 -01 -01 -06:23:26.5404 tcp (6) E 82.155.249.73 53934 192.168.1.50 139: 0 0
Ulisses Araujo Costa Captura de Informacao em Rede
Ferramenta - Sintaxe do input
Data Protocolo T IPOrig PortOrig IPDst PortDst Info2009-12-09-06:31:59.3902 tcp(6) S 88.44.123.210 3637 192.168.1.50 1392009-12-07-16:06:28.9343 tcp(6) S 82.155.0.49 22617 192.168.1.50 1392009-12-09-11:41:25.6859 tcp(6) E 82.155.1.160 4399 192.168.1.50 445: 0 02009-12-07-16:20:04.5996 tcp(6) - 82.155.122.18 61582 192.168.1.50 139: 40 R2009-12-14-09:04:38.2678 icmp(1) - 80.236.5.27 192.168.1.50: 3(13): 562009-12-17-01:11:47.6209 tcp(6) - 82.154.64.174 34507 192.168.1.50 445: 40 RA2009-12-19-18:25:03.3130 tcp(6) - 124.8.74.33 1806 192.168.1.50 25: 70 FPA2009-12-14-09:54:27.6131 tcp(6) - 168.167.152.228 58274 192.168.1.50 445: 52 FA2009-12-14-09:54:27.6131 tcp(6) - 168.167.152.228 58274 192.168.1.50 445: 52 FA2009-12-14-09:54:27.6131 tcp(6) - 82.155.57.245 58274 192.168.1.50 445: 52 PA2009-12-14-09:54:27.6131 tcp(6) - 193.136.19.149 58274 192.168.1.50 445: 52 PA2009-12-07-20:59:29.6910 tcp(6) - 88.175.73.149 4332 192.168.1.50 139: 40 R2009-12-09-11:57:04.2741 tcp(6) - 82.155.137.139 1230 192.168.1.50 445: 40 A2009-12-07-18:35:28.4232 tcp(6) - 82.155.7.176 2794 192.168.1.50 445: 40 A2009-12-07-15:34:49.0070 tcp(6) - 82.155.116.238 3578 192.168.1.50 23: 60 S2009-12-07-16:06:29.2781 tcp(6) - 124.207.41.198 48804 192.168.1.50 23: 40 S2009-12-15-22:59:03.4039 udp(17) - 192.168.1.254 67 192.168.1.50 68: 298
Ulisses Araujo Costa Captura de Informacao em Rede
Ferramenta - Sintaxe do input
A coluna da Date tem uma marca temporal de quando acomunicacao ocorreu.A coluna Protocolo contem informacao sobre o protocolo detransporte que foi usado, TCP, UDP ou ICMP. Mesmo assimquando e feita uma pesquisa nao comum de rede pode ser umoutro qualquer protocolo de internet.
Ulisses Araujo Costa Captura de Informacao em Rede
Ferramenta - Sintaxe do input
A terceira coluna (T) contem a informacao do tipo de conexao:
S significa que a ligacao comecou (Start)
E significa que a ligacao terminou (End)
- significa que o package nao corresponde a nenhumaconexao.
As proximas quatro colunas correspondem a informacao sobre o IPde destino, o porto de destino, o IP de origem e o porto de origem.Para o protocolo ICMP as colunas das portas estao vazias porqueeste protocolo nao usa portas.A coluna Info contem informacao relativa a uma conexao ou umpacote. Quando uma conexao termina este contem o numero debytes recebidos e enviados.
Ulisses Araujo Costa Captura de Informacao em Rede
Ferramenta - Sintaxe do input
Para os pacotes de sondagem estes contem informacao adicional:
TCP O tamanho do pacote e as flags que estao no header.
F (Fin) - Nao existe mais informacao paraenviar
S (Syn) - Sincroniza numeros de sequenenciaR (Rst) - Faz Reset a conexao
P (Push) - Esta flag diz ao host receptor parafazer um push a toda a informacaopara a aplicacao que vai receber ainformacao, basicamente diz: ”chegapor agora”.
A (Ack) - Indica que o campo ACKnowledgmentesta preenchido, com o valor doACKnowledgment
Ulisses Araujo Costa Captura de Informacao em Rede
Ferramenta - Sintaxe do input
U (Urg) - Indica que o campo URGent esta preenchido. Estaflag serve para indicar que a informacao contidaneste campo tera de ser tratada com uregencia, antesdos pacotes normais serem tratados.
E (ECE) - Indica que o protocolo TCP e capaz de ExplicitCongestion Notification durante o 3-way handshake.
C (CWR) - Flag de Congestion Window Reduced e usada paraindicar que foi recebida um segmento TCP com aflag ECE
ICMP O codigo, o tipo e o tamanho do pacote.
UDP Tamanho do pacote
Ulisses Araujo Costa Captura de Informacao em Rede
Ferramenta - Sintaxe do input
O cabecalho de um pacote TCP contem espaco para todas estasflags que foram descritas. Como podemos ver na imagem:
Ulisses Araujo Costa Captura de Informacao em Rede
Sumario
1 NIDS
2 Snort
3 tcpdump
4 Parsing
5 tsharkEstatısticasSessoes HTTP
6 DescricaoUso da ferramenta
Ulisses Araujo Costa Captura de Informacao em Rede
Ferramenta - output
Com este programa conseguimos gerar por exemplo ascomunicacoes entre o host 193.136.19.96 e o host 192.168.74.242pelo porto 80 (HTTP), em bytes:
As linhas que separam a linha do grafico, quebram as maioresunidades de tempo, ou seja, caso tenhamos apenas 4 horas dehistorial de trafego, poderemos esperar ter 4 separacoes.
Ulisses Araujo Costa Captura de Informacao em Rede
Ferramenta - output
No seguinte grafico conseguimos ver o numero de ligacoes quehouve durante um periodo de tempo a maquina 192.168.74.242por IP de origem:
Ulisses Araujo Costa Captura de Informacao em Rede
Ferramenta - output
Mostra a quantidade de trafego recebido pela maquina193.136.19.96 no porto 80 (HTTP), vindo de todos os IP’s quecomunicaram consigo:
Ulisses Araujo Costa Captura de Informacao em Rede
Ferramenta - output
Numero de hits no porto 80 do IP 192.168.1.50:
Ulisses Araujo Costa Captura de Informacao em Rede
Ferramenta - output
Numero de hits nos portos do IP 192.168.1.50:
Ulisses Araujo Costa Captura de Informacao em Rede
Conclusoes
tshark e o verdadeiro canivete suico de frames de rede
Todas as ferramentas tiveram pontos fortes
Nenhuma resolveu totalmente o nosso problema
Software esta reparado para ser extendido e suportar outrosprotocolos de qualquer Layer.
Desenvolver conversor libpcap para a linguagem utilizada, verrelatorio para sugestoes de implementacao.
Ulisses Araujo Costa Captura de Informacao em Rede
Fim
?
Ulisses Araujo Costa Captura de Informacao em Rede