O Wireshark é o analisador de protocolo de rede líder usado por profissionais de segurança em todo o mundo. Ele permite que você detecte anomalias em redes de computadores e encontre as causas subjacentes. Demonstraremos como usar o Wireshark nas seções a seguir.
Então, como isso funciona? E como você realmente usa o Wireshark para capturar pacotes de dados?
Como funciona o Wireshark?
O conjunto de recursos robustos do Wireshark o tornou um dos melhores ferramentas para solucionar problemas de rede. Muitas pessoas usam o Wireshark, incluindo administradores de rede, auditores de segurança, analistas de malware e até mesmo invasores.
Você tem um problema de rede? Ou apenas quer saber mais sobre sua rede doméstica? Essas sete ferramentas podem ajudá-lo a analisar e solucionar problemas de sua rede.
Ele permite que você execute inspeções profundas de pacotes de rede ativos ou armazenados. Ao começar a usar o Wireshark, você ficará fascinado com a quantidade de informações que ele pode oferecer. No entanto, muitas informações muitas vezes tornam difícil manter o controle.
Felizmente, podemos atenuar isso por meio dos recursos de filtragem avançada do Wireshark. Vamos discuti-los em detalhes mais tarde. O fluxo de trabalho consiste em capturar pacotes de rede e filtrar as informações necessárias.
Como usar o Wireshark para captura de pacotes
Depois de iniciar o Wireshark, ele exibirá as interfaces de rede conectadas ao seu sistema. Você deve observar as curvas que representam a comunicação de rede ao lado de cada interface.
Agora, você precisa escolher uma interface específica antes de começar a capturar pacotes. Para fazer isso, selecione o nome da interface e clique no botão azul barbatana de tubarão ícone. Você também pode fazer isso clicando duas vezes no nome da interface.
O Wireshark começará a capturar os pacotes de entrada e saída para a interface selecionada. Clique no vermelho pausa ícone para interromper a captura. Você deve ver uma lista de pacotes de rede obtidos durante este processo.
O Wireshark exibirá a origem e o destino de cada pacote junto com o protocolo. No entanto, na maioria das vezes, você se interessará pelo conteúdo do campo de informações.
Você pode inspecionar pacotes individuais clicando neles. Dessa forma, você pode visualizar todos os dados do pacote.
Como salvar pacotes capturados no Wireshark
Como o Wireshark captura muito tráfego, às vezes você pode querer salvá-lo para inspeção posterior. Felizmente, salvar pacotes capturados com o Wireshark é fácil.
Para salvar pacotes, pare a sessão ativa. Em seguida, clique no Arquivo ícone localizado no menu superior. Você também pode usar Ctrl + S para fazer isso.
O Wireshark pode salvar pacotes em vários formatos, incluindo pcapng, pcap e dmp. Você também pode salvar pacotes capturados em um formato que outro ferramentas de análise de rede pode usar mais tarde.
Como analisar pacotes capturados
Você pode analisar pacotes capturados anteriormente abrindo o arquivo de captura. Uma vez na janela principal, clique em Arquivo> Abrir e selecione o arquivo salvo relevante.
Você também pode usar Ctrl + O para fazer isso rapidamente. Depois de analisar os pacotes, saia da janela de inspeção indo para Arquivo> Fechar.
Como usar filtros Wireshark
O Wireshark oferece uma infinidade de recursos de filtragem robustos. Os filtros são de dois tipos - filtros de exibição e filtros de captura.
Usando filtros de exibição Wireshark
Filtros de exibição são usados para visualizar pacotes específicos de todos os pacotes capturados. Por exemplo, podemos usar o filtro de exibição icmp para ver todos os pacotes de dados ICMP.
Você pode escolher entre um grande número de filtros. Além disso, você também pode definir regras de filtragem personalizadas para tarefas triviais. Para adicionar filtros personalizados, vá para Analisar> Filtros de exibição. Clique no + ícone para adicionar um novo filtro.
Usando filtros de captura Wireshark
Filtros de captura são usados para especificar quais pacotes capturar durante uma sessão do Wireshark. Ele produz significativamente menos pacotes do que as capturas padrão. Você pode usá-los em situações em que precisa de informações específicas sobre determinados pacotes.
Insira seu filtro de captura no campo logo acima da lista de interfaces na janela principal. Selecione o nome da interface na lista e digite o nome do filtro no campo acima.
Clique no azul barbatana de tubarão ícone para começar a capturar pacotes. O exemplo a seguir utiliza o arp filtro para capturar apenas transações ARP.
Usando as regras de coloração do Wireshark
O Wireshark fornece várias regras de coloração, que anteriormente eram chamadas de filtros de cores. É um ótimo recurso para analisar o tráfego de rede extenso. Você também pode personalizá-los com base na preferência.
Para exibir as regras de coloração atuais, vá para Exibir> Regras para colorir. Aqui você pode encontrar as regras de coloração padrão para sua instalação.
Você pode modificá-los da maneira que desejar. Além disso, você também pode usar as regras de coloração de outras pessoas importando o arquivo de configuração.
Baixe o arquivo que contém as regras personalizadas e importe-o selecionando Exibir> Regras de coloração> Importar. Você pode exportar regras de forma semelhante.
Wireshark em ação
Até agora, discutimos alguns dos principais recursos do Wireshark. Vamos realizar algumas operações práticas para demonstrar como eles se integram.
Criamos um servidor Go básico para esta demonstração. Ele retorna uma mensagem de texto simples para cada solicitação. Assim que o servidor estiver em execução, faremos algumas solicitações HTTP e capturaremos o tráfego ao vivo. Observe que estamos executando o servidor no host local.
Primeiro, iniciamos a captura do pacote clicando duas vezes na interface Loopback (localhost). A próxima etapa é iniciar nosso servidor local e enviar uma solicitação GET. Estamos usando o curl para fazer isso.
O Wireshark irá capturar todos os pacotes de entrada e saída durante esta conversa. Queremos ver os dados enviados por nosso servidor, então usaremos o http.response filtro de exibição para visualizar os pacotes de resposta.
Agora, o Wireshark irá ocultar todos os outros pacotes capturados e exibir apenas os pacotes de resposta. Se você olhar atentamente para os detalhes do pacote, você deve notar os dados de texto simples enviados por nosso servidor.
Comandos úteis do Wireshark
Você também pode usar vários comandos Wireshark para controlar o software de seu terminal Linux. Aqui estão alguns comandos básicos do Wireshark:
- wirehark inicia o Wireshark no modo gráfico.
- wirehark -h exibe as opções de linha de comando disponíveis.
- wirehark -i INTERFACE seleciona INTERFACE como a interface de captura.
Tshark é a alternativa de linha de comando para o Wireshark. Ele oferece suporte a todos os recursos essenciais e é extremamente eficiente.
Analise a segurança da rede com o Wireshark
O rico conjunto de recursos do Wireshark e as regras de filtragem avançada tornam a análise de pacotes produtiva e direta. Você pode usá-lo para encontrar todos os tipos de informações sobre sua rede. Experimente suas funcionalidades mais básicas para aprender como usar o Wireshark para análise de pacotes.
Wireshark está disponível para download em dispositivos que executam Windows, macOS e Linux.
Quer monitorar sua rede ou dispositivos remotos? Veja como transformar seu Raspberry Pi em uma ferramenta de monitoramento de rede usando o Nagios.
- Linux
- Mac
- janelas
- Segurança
- Segurança Online
Rubaiat é um graduado em CS com uma forte paixão por código aberto. Além de ser um veterano do Unix, ele também trabalha com segurança de rede, criptografia e programação funcional. Ele é um colecionador ávido de livros de segunda mão e tem uma admiração sem fim pelo rock clássico.
Assine a nossa newsletter
Junte-se ao nosso boletim informativo para dicas de tecnologia, análises, e-books grátis e ofertas exclusivas!
Mais um passo…!
Confirme o seu endereço de e-mail no e-mail que acabamos de enviar.
