Como usar o Wireshark: um tutorial completo

Índice:

Como usar o Wireshark: um tutorial completo
Como usar o Wireshark: um tutorial completo
Anonim

O que saber

  • Wireshark é um aplicativo de código aberto que captura e exibe dados que trafegam em uma rede.
  • Como ele pode detalhar e ler o conteúdo de cada pacote, é usado para solucionar problemas de rede e testar software.

As instruções neste artigo se aplicam ao Wireshark 3.0.3 para Windows e Mac.

Linha de fundo

Originalmente conhecido como Ethereal, o Wireshark exibe dados de centenas de protocolos diferentes em todos os principais tipos de rede. Os pacotes de dados podem ser visualizados em tempo real ou analisados offline. O Wireshark suporta dezenas de formatos de arquivo de captura/rastreamento, incluindo CAP e ERF. As ferramentas de descriptografia integradas exibem os pacotes criptografados para vários protocolos comuns, incluindo WEP e WPA/WPA2.

Como baixar e instalar o Wireshark

Wireshark pode ser baixado gratuitamente no site da Wireshark Foundation para macOS e Windows. Você verá a versão estável mais recente e a versão de desenvolvimento atual. A menos que você seja um usuário avançado, baixe a versão estável.

Image
Image

Durante o processo de configuração do Windows, escolha instalar WinPcap ou Npcap se solicitado, pois incluem bibliotecas necessárias para captura de dados ao vivo.

Image
Image

Você deve estar logado no dispositivo como administrador para usar o Wireshark. No Windows 10, procure por Wireshark e selecione Executar como administrador No macOS, clique com o botão direito do mouse no ícone do aplicativo e selecione Get InfoNas configurações Compartilhamento e Permissões, conceda ao administrador privilégios Ler e Gravar.

Image
Image

O aplicativo também está disponível para Linux e outras plataformas do tipo UNIX, incluindo Red Hat, Solaris e FreeBSD. Os binários necessários para esses sistemas operacionais podem ser encontrados na parte inferior da página de download do Wireshark na seção Pacotes de terceiros. Você também pode baixar o código fonte do Wireshark nesta página.

Como capturar pacotes de dados com o Wireshark

Quando você inicia o Wireshark, uma tela de boas-vindas lista as conexões de rede disponíveis no seu dispositivo atual. Exibido à direita de cada um é um gráfico de linha estilo eletrocardiograma que representa o tráfego ao vivo nessa rede.

Para começar a capturar pacotes com o Wireshark:

  1. Selecione uma ou mais redes, vá para a barra de menu e selecione Capture.

    Para selecionar várias redes, mantenha pressionada a tecla Shift enquanto faz sua seleção.

    Image
    Image
  2. Na janela Wireshark Capture Interfaces, selecione Start.

    Existem outras maneiras de iniciar a captura de pacotes. Selecione shark fin no lado esquerdo da barra de ferramentas do Wireshark, pressione Ctrl+E ou clique duas vezes na rede.

    Image
    Image
  3. Selecione Arquivo > Salvar como ou escolha uma opção Export para gravar a captura.

    Image
    Image
  4. Para interromper a captura, pressione Ctrl+E. Ou vá para a barra de ferramentas do Wireshark e selecione o botão vermelho Stop que está localizado ao lado da barbatana de tubarão.

    Image
    Image

Como visualizar e analisar o conteúdo do pacote

A interface de dados capturados contém três seções principais:

  • O painel da lista de pacotes (a seção superior)
  • O painel de detalhes do pacote (a seção do meio)
  • O painel de bytes do pacote (a seção inferior)
Image
Image

Lista de Pacotes

O painel da lista de pacotes, localizado na parte superior da janela, mostra todos os pacotes encontrados no arquivo de captura ativo. Cada pacote tem sua própria linha e número correspondente atribuído a ele, juntamente com cada um destes pontos de dados:

  • No: Este campo indica quais pacotes fazem parte da mesma conversa. Ele permanece em branco até que você selecione um pacote.
  • Time: O timestamp de quando o pacote foi capturado é exibido nesta coluna. O formato padrão é o número de segundos ou segundos parciais desde que este arquivo de captura específico foi criado pela primeira vez.
  • Fonte: Esta coluna contém o endereço (IP ou outro) de onde o pacote se originou.
  • Destination: Esta coluna contém o endereço para o qual o pacote está sendo enviado.
  • Protocol: O nome do protocolo do pacote, como TCP, pode ser encontrado nesta coluna.
  • Length: O comprimento do pacote, em bytes, é exibido nesta coluna.
  • Info: Detalhes adicionais sobre o pacote são apresentados aqui. O conteúdo desta coluna pode variar muito dependendo do conteúdo do pacote.

Para alterar o formato da hora para algo mais útil (como a hora real do dia), selecione View > Time Display Format.

Image
Image

Quando um pacote é selecionado no painel superior, você pode notar que um ou mais símbolos aparecem na coluna No.. Parênteses abertos ou fechados e uma linha horizontal reta indicam se um pacote ou grupo de pacotes faz parte da mesma conversa de ida e volta na rede. Uma linha horizontal quebrada significa que um pacote não faz parte da conversa.

Image
Image

Detalhes do pacote

O painel de detalhes, localizado no meio, apresenta os protocolos e campos de protocolo do pacote selecionado em um formato recolhível. Além de expandir cada seleção, você pode aplicar filtros Wireshark individuais com base em detalhes específicos e seguir fluxos de dados com base no tipo de protocolo clicando com o botão direito do mouse no item desejado.

Image
Image

Bytes de pacote

Na parte inferior está o painel de bytes de pacote, que exibe os dados brutos do pacote selecionado em uma visualização hexadecimal. Este dump hexadecimal contém 16 bytes hexadecimais e 16 bytes ASCII ao lado do deslocamento de dados.

Selecionar uma parte específica desses dados automaticamente destaca sua seção correspondente no painel de detalhes do pacote e vice-versa. Quaisquer bytes que não podem ser impressos são representados por um ponto.

Image
Image

Para exibir esses dados em formato de bits em vez de hexadecimal, clique com o botão direito em qualquer lugar dentro do painel e selecione as bits.

Image
Image

Como Usar Filtros Wireshark

Os filtros de captura instruem o Wireshark a gravar apenas os pacotes que atendem aos critérios especificados. Os filtros também podem ser aplicados a um arquivo de captura que foi criado para que apenas determinados pacotes sejam exibidos. Eles são chamados de filtros de exibição.

Wireshark fornece um grande número de filtros predefinidos por padrão. Para usar um desses filtros existentes, digite seu nome no campo de entrada Aplicar um filtro de exibição localizado abaixo da barra de ferramentas do Wireshark ou no campo Insira um filtro de capturacampo localizado no centro da tela de boas-vindas.

Por exemplo, se você deseja exibir pacotes TCP, digite tcp. O recurso de preenchimento automático do Wireshark mostra nomes sugeridos à medida que você começa a digitar, tornando mais fácil encontrar o apelido correto para o filtro que você está procurando.

Image
Image

Outra maneira de escolher um filtro é selecionar o bookmark no lado esquerdo do campo de entrada. Escolha Manage Filter Expressions ou Manage Display Filters para adicionar, remover ou editar filtros.

Image
Image

Você também pode acessar filtros usados anteriormente selecionando a seta para baixo no lado direito do campo de entrada para exibir uma lista suspensa do histórico.

Image
Image

Os filtros de captura são aplicados assim que você começa a gravar o tráfego de rede. Para aplicar um filtro de exibição, selecione a seta para a direita no lado direito do campo de entrada.

Regras de cores do Wireshark

Enquanto os filtros de captura e exibição do Wireshark limitam quais pacotes são gravados ou exibidos na tela, sua função de colorização leva as coisas um passo adiante: ele pode distinguir entre diferentes tipos de pacotes com base em sua tonalidade individual. Isso localiza rapidamente certos pacotes dentro de um conjunto salvo pela cor da linha no painel da lista de pacotes.

Image
Image

Wireshark vem com cerca de 20 regras de coloração padrão, cada uma pode ser editada, desabilitada ou excluída. Selecione Visualizar > Regras de Coloração para obter uma visão geral do significado de cada cor. Você também pode adicionar seus próprios filtros baseados em cores.

Image
Image

Selecione View > Colorize Packet List para ativar e desativar a colorização de pacotes.

Estatísticas no Wireshark

Outras métricas úteis estão disponíveis no menu suspenso Estatísticas. Isso inclui informações de tamanho e tempo sobre o arquivo de captura, juntamente com dezenas de tabelas e gráficos que variam em tópicos, desde detalhamentos de conversas de pacotes até distribuição de carga de solicitações

Image
Image

Os filtros de exibição podem ser aplicados a muitas dessas estatísticas por meio de suas interfaces, e os resultados podem ser exportados para formatos de arquivo comuns, incluindo CSV, XML e TXT.

Recursos avançados do Wireshark

Wireshark também suporta recursos avançados, incluindo a capacidade de escrever dissectores de protocolo na linguagem de programação Lua.

Recomendado: