Wireshark: Como usar o melhor sniffer de rede

Se vocĂȘ tiver problemas com a sua conexĂŁo on-line e precisar de uma anĂĄlise mais profunda do que exatamente estĂĄ acontecendo na sua rede, vocĂȘ deve definitivamente usar o Wireshark. O Wireshark Ă© o aplicativo de fato em todo o mundo que se pode usar para os fins acima.

É uma solução de cĂłdigo aberto, originalmente conhecida como Ethereal, e tem como objetivo capturar e exibir pacotes e formatos em tempo real, facilmente legĂ­veis por seus usuĂĄrios. Inclui filtros, ilustraçÔes coloridas diferentes e outros recursos que ajudarĂŁo vocĂȘ a aprofundar seu ambiente da web e a analisar pacotes individuais.

Em algum lugar aqui tambĂ©m devemos mencionar a existĂȘncia da ferramenta tshark, ou seja, a versĂŁo do Wireshark apenas para terminal. TambĂ©m Ă© usado para capturar e analisar pacotes e Ă© bastante Ăștil para casos em que a interface grĂĄfica (GUI) nĂŁo estĂĄ disponĂ­vel. Mais informaçÔes sobre o tshark podem ser encontradas no site oficial do Wireshark.

Neste artigo, veremos alguns dos principais recursos desta ferramenta muito eficaz, a partir da qual vocĂȘ pode baixĂĄ-lo e como usĂĄ-lo.

Como o WIRESHARK funciona

Como jå dissemos, o Wireshark é um detector e analista de pacotes. Em outras palavras, ele captura o tråfego de rede da rede local e armazena os dados para anålises posteriores. Ele pode analisar pacotes de conexÔes Ethernet, Bluetooth, 802.11 (sem fio), Token Ring e Frame Relay.

O Wireshark permite o uso de filtros antes, durante ou mesmo apĂłs a captura de pacotes, a fim de ajudar seus usuĂĄrios a encontrar o que realmente estĂŁo procurando. Por exemplo, vocĂȘ pode definir um filtro que permita ver apenas a conexĂŁo TCP entre dois endereços IP especĂ­ficos. Sua caracterĂ­stica especĂ­fica, os filtros, tornou o Wireshark talvez a ferramenta mais Ăștil para anĂĄlise de pacotes.

Como instalĂĄ-lo

O Wireshark é suportado pelos sistemas operacionais Windows, Mac e Linux. A instalação é muito fåcil e sua versão båsica é oferecida gratuitamente.

janelas

A instalação do WIRESHARK em um ambiente Windows Ă© muito simples. Primeiro, vocĂȘ precisa conhecer o tipo de sistema (32 ou 64 bits). Em seguida, visite a pĂĄgina oficial do Wireshark, selecione o instalador apropriado, dependendo do tipo de sua mĂĄquina. Faça o download localmente no seu computador e execute-o selecionando a pasta de instalação desejada. O instalado jĂĄ inclui o Npcap, a ferramenta que serĂĄ responsĂĄvel pela captura dos pacotes.

Mac

O Wireshark estĂĄ disponĂ­vel no gerenciador de pacotes Homebrew. Para instalar o Homebrew, execute o seguinte comando em um terminal:

/ usr / bin / ruby ​​-e “$ (curl -fsSL https://raw.githubusercontent.com/Homebrew/install/master/install)”

Com o Homebrew instalado, vocĂȘ pode acessar vĂĄrios programas de cĂłdigo aberto para computadores Mac. Instale o Wireshark executando o seguinte comando no terminal:

O Hombrew tambĂ©m instalarĂĄ todas as dependĂȘncias relevantes no seu computador para que o Wireshark funcione corretamente.

Linux

Dependendo da sua distribuição Linux, a instalação do Wireshark no seu computador pode ser diferente. Execute os seguintes comandos em um terminal:

Ubuntu

sudo apt-get install wiresharksudo dpkg-reconfigure wireshark-commonsudo adduser $ USER wireshark

Os comandos acima farĂŁo o download do Wireshark, atualizarĂŁo e darĂŁo a vocĂȘ direitos de usuĂĄrio para que vocĂȘ possa usĂĄ-lo.

Red Hat / Fedora

sudo dnf instalar o wireshark-qtsudo usermod -a -G nome de usuĂĄrio do wireshark

Os comandos acima instalam as versÔes GUI e CLI (versão de comando / linha) do Wireshark, além de fornecer as permissÔes necessårias para seu uso.

Kali Linux

Como vocĂȘ pode esperar, o Wireshark estĂĄ prĂ©-instalado nesta versĂŁo do Linux. VocĂȘ pode encontrĂĄ-lo na categoria “Sniffing & Spoofing”

Como usĂĄ-lo

Agora que o Wireshark estĂĄ instalado em nosso computador, vamos ver como podemos primeiro capturar pacotes e depois analisar o trĂĄfego de rede.

Captura de pacotes

Ao abrir o Wireshark, veremos uma tela que inclui uma lista de todas as conexÔes da Web que podemos assistir. Também podemos usar o campo de filtro de captura para capturar apenas o tråfego da Web em que estamos interessados.

Selecionando a interface desejada (por exemplo, Ethernet), a anĂĄlise pode ser iniciada de uma das seguintes maneiras:

  • Clicando na barbatana azul na barra de ferramentas chamada “Iniciar a captura de pacotes”
  • Selecionando o menu Capturar e depois Iniciar
  • Pressionando Control e E.
  • Clicar duas vezes na interface em que estamos interessados
  • Agora podemos ver em tempo real todos os pacotes que o Wireshark capturou para nĂłs.

    Para finalizar a captura de pacotes, podemos pressionar a aba vermelha na barra de ferramentas ou navegar no menu, especificamente Capturar e, em seguida, Parar.

    Wireshark

    AnĂĄlise de Pacotes

    O Wireshark consiste em trĂȘs janelas bĂĄsicas de anĂĄlise. Se selecionarmos um pacote especĂ­fico, veremos que as duas janelas inferiores estĂŁo configuradas para nos mostrar mais informaçÔes sobre este pacote. Vamos ver os detalhes de cada coluna na janela superior:

  • NĂŁo.: A ordem em que os pacotes foram capturados. Nosso suporte mostra que o pacote faz parte de uma “discussĂŁo”.
  • Tempo: Intervalo de tempo desde o inĂ­cio da captura atĂ© a captura do pacote especĂ­fico
  • Fonte: o endereço IP do sistema que enviou o pacote.
  • Destino: o endereço IP do sistema que recebeu o pacote.
  • Protocolo: O tipo de cada pacote, por exemplo TCP, DNS, DHCPv6, ARP, etc.
  • comprimento: O tamanho do pacote em bytes.
  • Info: Mais informaçÔes sobre o conteĂșdo de cada pacote.
  • A janela do meio chamada “Detalhes do pacote” mostra informaçÔes relacionadas ao pacote da forma mais legĂ­vel possĂ­vel. A janela inferior, chamada “Packet Bytes”, mostra o prĂłprio pacote em formato hexadecimal. Nesta janela, se olharmos para um pacote que faz parte de uma “discussĂŁo”, podemos clicar com o botĂŁo direito do mouse, selecionar Seguir e ver apenas os pacotes nessa “conversa”.

    Filtros WIRESHARK

    Duas das melhores caracterĂ­sticas do Wireshark sĂŁo: Filtros Wireshark Capture e Wireshark Display. Os filtros nos permitem controlar os pacotes que capturamos como queremos e precisamos vĂȘ-los para corrigir melhor o problema de rede que podemos estar enfrentando.

    Filtros de captura Wireshark

    Esse recurso é usado para filtrar os pacotes que capturamos. Praticamente se os pacotes não atenderem às condiçÔes que definiremos, o Wireshark nem mesmo os armazenarå.Alguns exemplos de filtros que podemos usar são:

  • Endereço IP do host: filtragem com base no endereço IP.
  • net168.0.0 / 24: filtra todo o trĂĄfego da web na sub-rede.
  • dsthostIP-address: filtre os pacotes enviados para o host especĂ­fico.
  • Porta 22: Filtragem baseada no movimento da porta 22.
  • Portnot 22 e 22: filtro baseado no movimento e nĂŁo shh e arp.
  • Filtros de exibição Wireshark

    O filtro de exibição do Wireshark altera a imagem do movimento que capturamos durante a anålise. Depois que paramos de capturar os pacotes, podemos usar esta função para facilitar nossa anålise para corrigir o problema. Esses filtros podem ser os seguintes:

  • ip.src == endereço IPandip.dst == endereço IP: Este filtro nos mostra os pacotes que iniciam em um computador e terminam no outro.
  • tcp.porteq 80: Ele nos mostrarĂĄ todo o movimento na porta 80.
  • Icmp: este filtro nos mostra apenas o movimento icmp.
  • ip.addr! = IP_address: Ele nos mostrarĂĄ todo o trĂĄfego, exceto o que inicia ou se destina ao computador especĂ­fico.
  • Mais ferramentas do WIRESHARK

    Além de empacotar e filtrar, existem muitas outras ferramentas no Wireshark que podem facilitar muito para nós.

    Podemos configurar o Wireshark para que meus pacotes sejam capturados e coloridos de acordo com os filtros que definimos. Podemos ver mais exemplos disso aqui.

    Wireshark

    Por padrĂŁo, o Wireshark captura apenas pacotes de ou enviados para o computador local. Indo para o menu Capturar e depois para OpçÔes, podemos ver a caixa de seleção “ativar o modo promĂ­scuo para todas as interfaces”. Essa opção nos permite capturar pacotes que se movem pela rede Ă  qual estamos conectados.

    O Wireshark também fornece interface de linha de comando (CLI) para que possamos uså-lo em um sistema que não suporta interface gråfica.

    Wireshark

    Nesse ambiente, poderĂ­amos executar os seguintes comandos:

  • Wireshark: para iniciar o wirehark no ambiente da GUI
  • Wireshark -h: para ver todos os parĂąmetros disponĂ­veis que o Wireshark pode receber.
  • wireshark –ururation: 300 –ieth1 –wwireshark.: para capturar o movimento da Ethernet por 5 minutos.
  • AlĂ©m disso, para praticar, podemos fazer o download de arquivos prontos oferecidos pelo prĂłprio Wireshark e conter pacotes de diferentes movimentos da web. Em seguida, podemos carregar esses arquivos na ferramenta selecionando Arquivo, depois Abrir e selecionando o arquivo desejado para anĂĄlise.

    Como dissemos, o WIRESHARK é uma ferramenta muito poderosa e o que fizemos neste artigo é ver algumas das possibilidades que ele oferece. Os profissionais o utilizam para analisar aplicativos de protocolo de rede, considerar questÔes de segurança, mas também para ter uma melhor visibilidade do tråfego de rede. Mais informaçÔes sobre o WIRESHARK podem ser encontradas em seu guia oficial do usuårio.

    Estamos aguardando seus comentårios e impressÔes.