Conteúdo

O Wireshark, é uma ferramenta gratuita de análise de rede que captura os pacotes em tempo real das diferentes interfaces de rede (ethernet, wireless), e exibe em formato que possamos visualizar. O Wireshark inclui filtros, codificação por cores e outros recursos que permitem identificar o tráfego da rede e inspeccionar pacotes individuais.

Geralmente utilizo o Wireshark para analisar o trafego de rede para identificar as portas e ip’s de destino que determinados programas utilizam, para que possa abrir/permitir na firewall, resolvendo assim alguns constrangimentos relacionados com o acesso a serviços na internet. Ou simplesmente obter informação de programas mal intencionados na rede, permitindo identificar as portas / protocolos e IP’s para que possa configurar regras na firewall para bloquear esse tipo de trafego.

 

Obter o Wireshark

Podem encontrar o ficheiro de instalação do Wireshark para Windows e maOS, aceder a https://www.wireshark.org/ e efetuar o download e instalação da aplicação (instalação é identifica a qualquer aplicação).

Podem utilizar o Wireshark sistemas Linux e unix, sendo necessário associar o repositório e instalar os pacotes do Wireshark, segue abaixo exemplo em ubuntu:

 

Instalar Wireshark no Ubuntu

 

  1. Aceder ao Terminal Ctrl+Alt+T, e inserir o seguinte comando.

sudo add-apt-repository ppa:wireshark-dev/stable

  1. Efetuar o update ao repositório.

sudo apt-get update

  1. Instalar o Wireshark.

sudo apt-get install wireshark

  1. Executar o Wireshark.

sudo wireshark

 

Capturar Pacotes

 

Após iniciar o Wireshark, basta que clique duas vezes na interface de rede que pretende iniciar a captura de pacotes ou selecione a interface e pressione as teclas CTRL+E ou no Icon azul “barbatana do tubarão”.

Por exemplo, se pretender capturar o trafego da rede sem fios (WiFI), clique na interface Wifi.

wireshark capturar

 

Assim que clique sobre a interface escolhida, irá ver em tempo real, os pacotes recebidos e enviados pelo seu computador e na sua rede dado que por defeito o wireshark tem o modo promiscuo ativo.

Nota: para remover o modo promiscuo, aceder ao menu Captura > Options, e retirar o visto em Enable promiscuous mode on all interfaces.

wireshark opções de captura

 

Para parar a captura do trafego, clique no icon Vermelho “Stop capturing packets” na janela de captura.

wireshark stop capturing packets

 

 

Código de Cores

 

Os pacotes são apresentados com uma variedade de cores, Wireshark usa as cores para ajudar a identificar o tipo de trafego de forma rápida. Por defeito, as cores atribuídas são as abaixo, exemplo: trafego TCP violeta claro, UDP azul claro, e preto identifica pacotes com erros.

Para visualizar todos os códigos de cores, adicionar ou modificar caso deseje, aceder ao menu View > Coloring Rules.

wireshark codigo de cores

 

Guardar e Abrir a captura de tráfego

Para guardar uma captura no Wireshark, para abrir mais tarde, clique em File > Save As, escolher a localização no PC e clique em Guardar.

Se desejar abrir essa captura, no Wireshark, aceder ao menu File > Open  e escolha o ficheiro guardado anteriormente.

Na Wiki do Wireshark, é possível encontrar exemplos de capturas de diferentes protocolos / sistemas (MySQL, TFTP, Telnet,…, que pode utilizar para análise, ver aqui https://wiki.wireshark.org/SampleCaptures

 

 

Filtros de visualização

O Wireshark permite a utilização de Filtros de visualização, para exibir apenas determinados tipos de pacotes, com base num conjunto de critérios, IP de Origem / Destino, Tipo de pacote, Porta, etc…

No menu Analyze > Display Filters, é possível aplicar alguns filtros que são incluídos por default no Wireshark, podem também criar filtros customizados, que serão guardados para utilizar sempre que necessitar.

wireshark filtros de visualização

 

Podem encontrar exemplos de filtros de visualização em: https://wiki.wireshark.org/DisplayFilters

 

Segue alguns exemplos:

Mostrar apenas o trafego de LAN (192.168.1.x), entre os equipamentos na rede — sem Internet:

ip.src==192.168.1.0/24 and ip.dst==192.168.1.0/24

 

Mostrar apenas SMTP (porta 25) e trafego ICMP:

tcp.port eq 25 or icmp

 

Mostrar apenas trafego IP origem (ex. 192.168.1.1) / IP destino (ex. 62.28.167.4):

ip.src==192.168.1.1 and ip.dst==62.28.167.4

 

Mostrar apenas trafego TCP porta 80:

Tcp.port==80

 

Podemos visualizar toda a conversação entre o cliente e o servidor, para isso clique sobre o pacote com o botão direto do rato e selecionar Follow e respetivo protocolo do pacote (ex. TCP Stream).

wireshark follow

 

 

Filtros de Captura

Caso não se pretenda capturar todo o trafego, podemos utilizar Filtros de Captura, capturando apenas os tipos de pacotes desejados.

wireshark filtros de captura exemplos

 

 

No menu Analyze > Capture Filters…, é possível consular os filtros de captura default no Wireshark, podem também criar filtros customizados, que serão guardados para utilizar sempre que necessitar.

Podem encontrar filtros de captura em: https://wiki.wireshark.org/CaptureFilters

 

Podem encontrar mais informação para utilizar e configurar o Wireshark no Wireshark Wiki e Guia de Utilizador

 

Já conhecias o Wireshark? Tens alguma dica ou questão, deixa um comentário.

Este artigo foi útil?

Duarte Spínola

Deixe um Comentário