Buscar
  • Bruno Lima Wanderley

Guia de Utilização do Wireshark


O Wireshark é um aplicativo gratuito que você usa para capturar e visualizar os dados que trafegam na sua rede. Muito chamam ele de sniffer (farejador). Ele fornece a capacidade de detalhar e ler o conteúdo de cada pacote, filtrando os dados para atender às suas necessidades específicas. É interessante que você tenha um conhecimento básico dos protocolos TCP/IP. Na nossa Formação em Redes de Computadores, explicamos esses protocolos.

Este software é comumente usado para solucionar problemas de rede e para desenvolver e testar software. Esse analisador de protocolo de código aberto é amplamente aceito como padrão do setor. Originalmente conhecido como Ethereal, o Wireshark possui uma interface que pode exibir dados de centenas de protocolos diferentes em todos os principais tipos de rede. Os pacotes de dados podem ser visualizados em tempo real ou analisados ​​off-line.

O Wireshark suporta dezenas de formatos de arquivos de captura / rastreamento suportados, incluindo "CAP" e "ERF". As ferramentas de decodificação integradas permitem que você visualize pacotes criptografados para vários protocolos populares, incluindo WEP e WPA / WPA2.

Baixando e Instalando o Wireshark

O Wireshark pode ser baixado gratuitamente no site da Fundação Wireshark para os sistemas operacionais MacOS e Windows. A menos que você seja um usuário avançado, é recomendável fazer o download da última versão estável.

Durante o processo de instalação do Windows, você deve optar por instalar o WinPcap, pois ele inclui uma biblioteca necessária para a captura de dados ao vivo. O aplicativo também está disponível para Linux e para a maioria das plataformas semelhantes ao UNIX, incluindo Red Hat, Solaris e FreeBSD. Os binários necessários para esses sistemas operacionais podem ser encontrados na parte inferior da página de download na seção Pacotes de terceiros. Você também pode baixar o código fonte do Wireshark a partir desta página.

Como Capturamos Pacotes

Quando você inicia o Wireshark pela primeira vez, uma tela de boas-vindas é exibida contendo uma lista de conexões de rede disponíveis no seu dispositivo atual.

Na figura acima, você notará as seguintes conexões:

Conexão de Rede Bluetooth, Ethernet, Rede de Host do VirtualBox e Wi - Fi.

Exibido à direita de cada um deles está um gráfico de linha que representa o tráfego ao vivo naquela rede respectiva.

Para começar a capturar pacotes, selecione uma ou mais das redes clicando em cima delas e usando as teclas Shift ou Ctrl se quiser gravar dados de várias redes simultaneamente. Depois que um tipo de conexão é selecionado para fins de captura, seu plano de fundo é sombreado em azul ou cinza. Clique em Capturar (Capture) no menu principal localizado na parte superior da interface do Wireshark, veja abaixo. Quando o menu suspenso aparecer, selecione a opção Iniciar (Start).

Você também pode iniciar a captura de pacotes por meio de um dos seguintes atalhos.

  • Teclado: pressione Ctrl + E.

  • Mouse: Para iniciar a captura de pacotes de uma rede específica, clique duas vezes no nome.

  • Barra de ferramentas: Clique no botão de barbatana de tubarão azul localizado no lado esquerdo da barra de ferramentas do Wireshark.

O processo de captura ao vivo é iniciado e o Wireshark exibe os detalhes do pacote à medida que são gravados. Para parar de capturar:

  • Teclado: pressione Ctrl + E

  • Barra de ferramentas: Clique no botão vermelho "Parar" localizado ao lado da barbatana de tubarão na barra de ferramentas do Wireshark.

Visualizando e Analisando o Conteúdo dos Pacotes

Depois de gravar alguns dados de rede, vamos dar uma olhada nos pacotes capturados. A interface de dados capturada contém três seções principais: o painel de lista de pacotes, o painel de detalhes de pacotes e o painel de bytes de pacote.

Lista de Pacotes (No): O painel de lista de pacotes, localizado na parte superior da janela, mostra todos os pacotes encontrados no processo de captura atual. Cada pacote tem sua própria linha e o número correspondente atribuído a ele, juntamente com cada um desses pontos de dados.

Hora (Time): O registro de data e hora de quando o pacote foi capturado é exibido nesta coluna. O formato padrão é o número de segundos ou segundos parciais desde que esse arquivo de captura específico foi criado pela primeira vez. Para modificar este formato para algo que possa ser um pouco mais útil, como a hora do dia, selecione a opção Time Display Format no menu View do Wireshark localizado no topo da interface principal.

Endereço de Origem (Source): Esta coluna contém o endereço (IP ou outro) de onde o pacote foi originado.

Endereço de Destino (Destination): esta coluna contém o endereço para o qual o pacote está sendo enviado.

Protocolo (Protocol): O nome do protocolo do pacote, como o TCP, pode ser encontrado nesta coluna.

Comprimento (Lenght): o tamanho do pacote, em bytes, é exibido nesta coluna.

Informações (Info): Detalhes adicionais sobre o pacote são apresentados aqui. O conteúdo desta coluna pode variar muito dependendo do conteúdo do pacote.

Quando um pacote é selecionado no painel superior, você pode notar que um ou mais símbolos aparecem na primeira coluna. Os colchetes abertos ou fechados e uma linha horizontal reta indicam se um pacote ou grupo de pacotes faz parte da mesma conversa de troca de mensagens na rede. Uma linha horizontal quebrada significa que um pacote não faz parte daquela conexão. Veja abaixo um exemplo:

Detalhes do pacote

O painel de detalhes, encontrado no meio, apresenta os protocolos e campos de protocolo do pacote selecionado, ali vemos os campos do protocolo IP e Ethernet, por exemplo. Além de expandir cada seleção, você pode aplicar filtros Wireshark individuais com base em detalhes específicos e seguir fluxos de dados com base no tipo de protocolo através do menu de contexto de detalhes, que pode ser acessado clicando com o botão direito do mouse no item desejado nesse painel.

Bytes de pacote

Na parte inferior está o painel de bytes de pacote, que exibe os dados brutos do pacote selecionado em uma exibição hexadecimal. Esse monte de números hexadecimais contém 16 bytes hexadecimais e 16 bytes ASCII juntamente com o deslocamento de dados. A seleção de uma parte específica desses dados destaca automaticamente sua seção correspondente no painel de detalhes do pacote e vice-versa. Essa parte não é a mais usada para análise dos pacotes, mas não posso deixar de mencioná-la.

Usando Filtros Wireshark

Um dos conjuntos de recursos mais importantes do Wireshark é seu recurso de filtro, especialmente quando você está lidando com arquivos que são significativos em tamanho. Os filtros de captura podem ser definidos antes de iniciar a captura, preparando o Wireshark para registrar apenas os pacotes que atendem aos critérios especificados. Os filtros também podem ser aplicados a um arquivo de captura que já tenha sido criado, de modo que apenas determinados pacotes sejam exibidos. Estes são referidos como filtros de exibição.

O Wireshark fornece um grande número de filtros pré-definidos por padrão, permitindo que você reduza o número de pacotes visíveis com apenas algumas teclas ou cliques do mouse. Para usar um desses filtros existentes, vá em Capture/Capture Filters e selecione o filtro que deseja. Sugiro colocar o filtro HTTP TCP port (80), que vai te mostrar todo o tráfego do seu browser. Depois, clique em Aplicar um filtro de exibição (Apply a display filter) localizado diretamente abaixo da barra de ferramentas do Wireshark ou no campo de entrada Inserir um filtro de captura (Enter a capture filter) localizado no centro da tela de boas-vindas.

Existem várias maneiras de fazer um filtro. Se você já sabe o nome do seu filtro, digite-o no campo apropriado. Por exemplo, se você quiser apenas exibir pacotes TCP, digite "tcp". O recurso de preenchimento automático do Wireshark mostra nomes sugeridos à medida que você começa a digitar, facilitando a localização do nome de usuário correto para o filtro que você está procurando.

Outra maneira de escolher um filtro é clicar no ícone semelhante a um favorito, aquele amarelo do lado onde digitamos "tcp" na figura acima. Isso apresenta um menu contendo alguns dos filtros mais usados, bem como uma opção para Gerenciar Filtros de Captura (Manage Capture Filters) ou Gerenciar Filtros de Exibição (Manage Display Filters). Se você optar por gerenciar um dos tipos, uma interface será exibida, permitindo adicionar, remover ou editar filtros.

Você também pode acessar filtros usados ​​anteriormente selecionando a seta para baixo no lado direito do campo de entrada para exibir uma lista suspensa de histórico.

Depois de definidos, os filtros de captura são aplicados assim que você começa a registrar o tráfego da rede. Para aplicar um filtro de exibição, você clica no botão de seta para a direita localizado no lado direito do campo de entrada.

Regras de Cores

Enquanto os filtros de captura e exibição do Wireshark permitem que você limite quais pacotes são gravados ou mostrados na tela, sua funcionalidade de colorização leva as coisas um passo adiante, facilitando a distinção entre diferentes tipos de pacotes com base em sua matiz individual. Este prático recurso permite localizar rapidamente determinados pacotes dentro de um conjunto salvo pela cor da linha no painel da lista de pacotes.

O Wireshark vem com cerca de 20 regras de coloração padrão embutidas, cada uma das quais pode ser editada, desativada ou excluída, se desejar. Você também pode adicionar novos filtros baseados em sombra por meio da interface de regras de cores, acessível no menu Visualizar (View). Além de definir um nome e um critério de filtro para cada regra, também é solicitado que você associe uma cor de segundo plano e uma cor de texto.

A colorização de pacotes pode ser ativada e desativada através da opção Colorize Packet List, também encontrada no menu View.

Estatísticas

Além das informações detalhadas sobre os dados de sua rede mostrados na janela principal do Wireshark, várias outras métricas úteis estão disponíveis no menu suspenso Estatísticas, localizado na parte superior da tela. Estes incluem informações de tamanho e tempo sobre o próprio arquivo de captura, juntamente com dezenas de gráficos e tabelas, variando de tópicos, desde a quebra de conversas de pacotes até a distribuição de carga de solicitações HTTP.

Os filtros de exibição podem ser aplicados a muitas dessas estatísticas por meio de suas interfaces, e os resultados podem ser exportados para vários formatos de arquivo comuns, incluindo CSV, XML e TXT.

Bem pessoal, essa é só uma "palhinha" do que o Wireshark pode fazer. Mas, é preciso conhecer bem os protocolos de redes para usá-lo bem. Na Formação em Redes de Computadores, ensinamos em detalhes esses protocolos.

Grande abraço,

Bruno

Referências

https://www.wireshark.org/faq.html

https://www.lifewire.com/wireshark-tutorial-4143298

https://www.guru99.com/wireshark-passwords-sniffer.html


10,229 visualizações1 comentário
Tags

Curso Redes de Computadores, Redes Wireless, Redes Wi-Fi, curso redes wireless, curso de redes.