para muitos especialistas em TI, o Wireshark é a ferramenta ideal para análise de pacotes de rede. O software de código aberto permite examinar de perto os dados coletados e determinar a raiz do problema com maior precisão. Além disso, o Wireshark opera em tempo real e usa codificação por cores para exibir os pacotes capturados, entre outros mecanismos bacanas.

neste tutorial, explicaremos como capturar, ler e filtrar pacotes usando o Wireshark. Abaixo, você encontrará instruções passo a passo e quebras das funções básicas de análise de rede. Depois de dominar essas etapas fundamentais, você poderá inspecionar o fluxo de tráfego da sua rede e solucionar problemas com mais eficiência.

analisando pacotes

uma vez que os pacotes são capturados, o Wireshark os organiza em um painel detalhado de Lista de pacotes que é incrivelmente fácil de ler. Se você deseja acessar as informações sobre um único pacote, tudo o que você precisa fazer é localizá-lo na lista e clicar. Você também pode expandir ainda mais a árvore para acessar os detalhes de cada protocolo contido no Pacote.

para uma visão geral mais abrangente, você pode exibir cada pacote capturado em uma janela separada. Veja como:

1. selecione o pacote da lista com o cursor e clique com o botão direito do mouse.
   
2. abra a guia” Exibir ” na barra de ferramentas acima.
   
3. selecione “Mostrar pacote na nova janela” no menu suspenso.
   

nota: é muito mais fácil comparar os pacotes capturados se você os Abrir em janelas separadas.

como mencionado, o Wireshark usa um sistema de codificação de cores para visualização de dados. Cada pacote é marcado com uma cor diferente que representa diferentes tipos de tráfego. Por exemplo, o tráfego TCP é geralmente destacado com azul, enquanto o preto é usado para indicar pacotes contendo erros.

claro, você não precisa memorizar o significado por trás de cada cor. Em vez disso, você pode verificar no local:

1. clique com o botão direito do mouse no pacote que deseja examinar.
   
2. selecione a guia” Visualizar ” na barra de ferramentas na parte superior da tela.
   
3. escolha “regras de coloração” no painel suspenso.
   

você verá a opção de personalizar a colorização ao seu gosto. No entanto, se você quiser apenas alterar as regras de coloração temporariamente, siga estas etapas:

1. clique com o botão direito do mouse no pacote no painel Lista de pacotes.
2. na lista de Opções, selecione ” Colorir Com Filtro.”
   
3. escolha a cor com a qual deseja rotulá-la.
   

número

o painel Lista de pacotes mostrará o número exato de bits de dados capturados. Como os pacotes são organizados em várias colunas, é bastante fácil de interpretar. As categorias padrão são:

• não. (Número): como mencionado, você pode encontrar o número exato de pacotes capturados nesta coluna. Os dígitos permanecerão os mesmos mesmo depois de filtrar os dados.
• tempo: como você deve ter adivinhado, o carimbo de data / hora do pacote é exibido aqui.
• Fonte: mostra onde o pacote se originou.
• Destino: mostra o local onde o pacote será mantido.
• Protocolo: Ele exibe o nome do protocolo, normalmente em uma abreviatura.
• comprimento: mostra o número de bytes contidos no Pacote capturado.
• Info: A coluna inclui qualquer informação adicional sobre um determinado pacote.

tempo

como Wireshark analisa o tráfego de rede, cada pacote capturado é carimbado com o tempo. Os carimbos de data / hora são então incluídos no painel Lista de pacotes e disponíveis para inspeção posterior.O Wireshark não cria os próprios carimbos de data / hora. Em vez disso, a ferramenta analyzer os obtém da biblioteca Npcap. No entanto, a fonte do carimbo de data / hora é na verdade o kernel. É por isso que a precisão do carimbo de data / hora pode variar de arquivo para arquivo.

você pode escolher o formato no qual os carimbos de data / hora serão exibidos na lista de pacotes. Além disso, você pode definir a precisão preferida ou o número de casas decimais exibidas. Além da configuração de precisão padrão, há também:

• Segundos
• Décimos de segundo
• Centésimos de segundo
• Milissegundos
• Microssegundos
• Nanossegundos

Fonte

Como o nome sugere, a origem do pacote é o lugar de origem. Se você deseja obter o código – fonte de um repositório Wireshark, pode baixá-lo usando um cliente Git. No entanto, o método requer que você tenha uma conta GitLab. É possível fazer isso sem um, mas é melhor se inscrever apenas no caso.

depois de registrar uma conta, siga estas etapas:

1. verifique se o Git está funcional usando este comando: “$ git -–version.“
   
2. verifique se o seu endereço de E-mail e nome de usuário estão configurados.
3. em seguida, faça um clone da fonte do Workshark. Use o URL SSH” $ git clone -o upstream :wireshark/wireshark.git ” para fazer a cópia.
4. se você não tiver uma conta GitLab, tente o URL HTTPS: “$ git clone -o upstream https://gitlab.com/wireshark/wireshark.git.“
   

todas as fontes serão posteriormente copiadas para o seu dispositivo. Tenha em mente que a clonagem pode demorar um pouco, especialmente se você tiver uma conexão de rede lenta.

Destino

se você quiser saber o endereço IP do destino de um determinado pacote, você pode usar o filtro de exibição para localizá-lo. Veja como:

1. digite” ip.addr == 8.8.8.8 “na caixa de filtro Wireshark”.”Em seguida, clique em” Enter.”
   
2. o painel Lista de pacotes será reconfigurado apenas para mostrar o destino do pacote. Encontre o endereço IP de seu interesse percorrendo a lista.
   
3. quando terminar, selecione “Limpar” na barra de ferramentas para reconfigurar o painel Lista de pacotes.

Protocolo

um protocolo é uma diretriz que determina a transmissão de dados entre diferentes dispositivos conectados à mesma rede. Cada pacote Wireshark contém um protocolo, e você pode trazê-lo usando o filtro de exibição. Veja como:

1. na parte superior da janela do Wireshark, clique na caixa de diálogo “Filtrar”.
2. digite o nome do protocolo que deseja examinar. Normalmente, os títulos do protocolo são escritos em letras minúsculas.
3. clique em “Enter” ou “Apply” para ativar o filtro de exibição.

comprimento

o comprimento de um pacote Wireshark é determinado pelo número de bytes capturados nesse trecho de rede específico. Esse número geralmente corresponde ao número de bytes de dados brutos listados na parte inferior da janela do Wireshark.

se você quiser examinar a distribuição de comprimentos, abra a janela “comprimentos de pacotes”. Todas as informações são divididas nas seguintes colunas:

• Pacote de comprimentos
• Count
• Média
• Val Min/Max Val
• Taxa de
• Porcentagem
• taxa de Burst
• Seq início

Info

Se existem quaisquer anomalias ou itens semelhantes dentro de um determinado pacote capturado, O Wireshark irá observação. As informações serão exibidas no painel Lista de pacotes para um exame mais aprofundado. Dessa forma, você terá uma imagem clara do comportamento atípico da rede, o que resultará em reações mais rápidas.

Perguntas Frequentes adicionais

Como posso filtrar os dados do pacote?

a filtragem é um recurso eficiente que permite examinar as especificidades de uma sequência de dados específica. Existem dois tipos de filtros Wireshark: captura e exibição. Os filtros de captura estão lá para restringir a captura de pacotes para atender a demandas específicas. Em outras palavras, você pode filtrar diferentes tipos de tráfego aplicando um filtro de captura. Como o nome sugere, os filtros de exibição permitem que você aprimore um elemento específico do pacote, do comprimento do pacote ao protocolo.

aplicar um filtro é um processo bastante simples. Você pode digitar o título do filtro na caixa de diálogo na parte superior da janela do Wireshark. Além disso, o software geralmente completará automaticamente o nome do filtro.

alternadamente, se você quiser Vasculhar os filtros Wireshark padrão, faça o seguinte:

1. Abra a guia” Analisar ” na barra de ferramentas na parte superior da janela do Wireshark.

2. Na lista suspensa, selecione ” Exibir Filtro.”

3. Navegue pela lista e clique na que deseja aplicar.

Finalmente, aqui estão algumas Wireshark filtros que podem vir a calhar:

• Para exibir apenas a origem e o endereço IP de destino, use: “ip.src==IP-address and ip.dst==IP-address“

• Para exibir somente o tráfego de SMTP, digite: “tcp.port eq 25“

• Para capturar todo o tráfego de sub-rede, aplicar: “net 192.168.0.0/24“

• Para capturar tudo, mas o ARP e o tráfego de DNS, utilize: “port not 53 and not arp“

Como faço para captura de dados em pacotes no Wireshark?

depois de baixar o Wireshark para o seu dispositivo, você pode começar a monitorar sua conexão de rede. Para capturar pacotes de dados para uma análise abrangente, aqui está o que você precisa fazer:

1. Lançamento Wireshark. Você verá uma lista de redes disponíveis, então clique no que você deseja examinar. Você também pode aplicar um filtro de captura se quiser identificar o tipo de tráfego.

2. Se você quiser inspecionar várias redes, use o controle “shift + clique com o botão esquerdo”.

3. Em seguida, clique no ícone de barbatana de tubarão de extrema esquerda na barra de ferramentas acima.

4. Você também pode iniciar a captura clicando na guia ” capturar “e selecionando” Iniciar ” na lista suspensa.

5. Outra maneira de fazer isso é usar o pressionamento de tecla “Control – e”.

à medida que o software agarra os dados, você os verá aparecer no painel Lista de pacotes em tempo real.

Shark Byte

embora o Wireshark seja um analisador de rede altamente avançado, é surpreendentemente fácil de interpretar. O painel Lista de pacotes é extremamente abrangente e bem organizado. Todas as informações são distribuídas em sete cores diferentes e marcadas com códigos de cores claras.

além disso, o software de código aberto vem com uma série de filtros facilmente aplicáveis que facilitam o monitoramento. Ao ativar um filtro de captura, você pode identificar que tipo de tráfego deseja que o Wireshark analise. E uma vez que os dados são agarrados, você pode aplicar vários filtros de exibição para pesquisas especificadas. Em suma, é um mecanismo altamente eficiente que não é muito difícil de dominar.