26Aug
Wireshark, uma ferramenta de análise de rede anteriormente conhecida como Ethereal, captura pacotes em tempo real e exibi-los em formato legível para humanos. O Wireshark inclui filtros, codificação de cores e outros recursos que permitem cavar profundamente no tráfego de rede e inspecionar pacotes individuais.
Este tutorial o levará à velocidade com os conceitos básicos de captura de pacotes, filtragem e inspecionando-os. Você pode usar o Wireshark para inspecionar o tráfego de rede de um programa suspeito, analisar o fluxo de tráfego em sua rede ou solucionar problemas de rede.
Obtendo o Wireshark
Você pode baixar o Wireshark para Windows ou o MacOS a partir do seu site oficial. Se você estiver usando o Linux ou outro sistema semelhante a UNIX, você provavelmente encontrará o Wireshark em seus repositórios de pacotes. Por exemplo, se você estiver usando o Ubuntu, você encontrará o Wireshark no Ubuntu Software Center.
Apenas um aviso rápido: muitas organizações não permitem o Wireshark e ferramentas similares em suas redes. Não use esta ferramenta no trabalho, a menos que você tenha permissão.
Capturar pacotes
Depois de baixar e instalar o Wireshark, você pode iniciá-lo e clique duas vezes no nome de uma interface de rede em Capturar para começar a capturar pacotes nessa interface. Por exemplo, se você quiser capturar o tráfego em sua rede sem fio, clique na sua interface sem fio. Você pode configurar recursos avançados clicando em Capturar & gt;Opções, mas isso não é necessário por enquanto.
Assim que você clicar no nome da interface, você verá os pacotes começarem a aparecer em tempo real. O Wireshark captura cada pacote enviado para ou do seu sistema.
Se você tiver habilitado o modo promíscuo - está habilitado por padrão - você também verá todos os outros pacotes na rede em vez de apenas pacotes direcionados ao seu adaptador de rede. Para verificar se o modo promíscuo está habilitado, clique em Capturar & gt;As opções e verificar a caixa de seleção "Ativar modo promíscuo em todas as interfaces" são ativadas na parte inferior desta janela.
Clique no botão vermelho "Parar" perto do canto superior esquerdo da janela quando quiser parar de capturar o tráfego.
Codificação de cores
Você provavelmente verá pacotes destacados em uma variedade de cores diferentes. O Wireshark usa cores para ajudá-lo a identificar os tipos de tráfego de relance. Por padrão, o roxo claro é o tráfego TCP, o azul claro é o tráfego UDP e o preto identifica pacotes com erros - por exemplo, eles poderiam ter sido entregues fora de ordem.
Para ver exatamente o que significam os códigos de cores, clique em Exibir & gt;Regras de coloração. Você também pode personalizar e modificar as regras de coloração aqui, se desejar.
Sample Captura
Se não houver nada interessante em sua própria rede para inspecionar, o wiki do Wireshark você cobriu. O wiki contém uma página de arquivos de captura de amostra que você pode carregar e inspecionar. Clique em Arquivo & gt;Abra no Wireshark e procure o seu arquivo baixado para abrir um.
Você também pode salvar suas próprias capturas em Wireshark e abri-las mais tarde. Clique em Arquivo & gt;Salve para salvar os pacotes capturados.
Filtragem de pacotes
Se você está tentando inspecionar algo específico, como o tráfego que um programa envia quando telefona para casa, ajuda a fechar todas as outras aplicações usando a rede para que você possa reduzir o tráfego. Ainda assim, você provavelmente terá uma grande quantidade de pacotes para examinar.É aí que os filtros de Wireshark entram.
A maneira mais básica de aplicar um filtro é digitando-o na caixa de filtro na parte superior da janela e clicando em Aplicar( ou pressionando Enter).Por exemplo, digite "dns" e você verá apenas pacotes DNS.Quando você começa a digitar, o Wireshark irá ajudá-lo a preencher automaticamente o seu filtro.
Você também pode clicar em Analisar & gt;Exibir Filtros para escolher um filtro entre os filtros padrão incluídos no Wireshark. A partir daqui, você pode adicionar seus próprios filtros personalizados e salvá-los para acessá-los facilmente no futuro.
Para obter mais informações sobre o idioma de filtragem de exibição do Wireshark, leia a página de expressões do filtro de exibição do edifício na documentação oficial do Wireshark.
Outra coisa interessante que você pode fazer é clicar com o botão direito do mouse em um pacote e selecionar Seguir & gt;TCP Stream.
Você verá a conversação TCP completa entre o cliente e o servidor. Você também pode clicar em outros protocolos no menu Seguir para ver as conversas completas para outros protocolos, se aplicável.
Feche a janela e você encontrará um filtro aplicado automaticamente. Wireshark está mostrando os pacotes que compõem a conversa.
Inspecionando pacotes
Clique em um pacote para selecioná-lo e você pode cavar para baixo para ver seus detalhes.
Você também pode criar filtros a partir daqui - basta clicar com o botão direito do mouse em um dos detalhes e usar o submenu Aplicar como filtro para criar um filtro com base nisso.
O Wireshark é uma ferramenta extremamente poderosa, e este tutorial é apenas arranhando a superfície do que você pode fazer com isso. Os profissionais usam-no para depurar implementações de protocolos de rede, examinar problemas de segurança e inspecionar internos de protocolo de rede.
Você pode encontrar informações mais detalhadas no guia oficial do usuário do Wireshark e nas outras páginas de documentação no site da Wireshark.