5 Killer Tricks para tirar o máximo proveito do Wireshark
O Wireshark tem alguns truques na manga, desde capturar tráfego remoto até criar regras de firewall baseadas em pacotes capturados. Leia sobre algumas dicas mais avançadas se você quiser usar o Wireshark como um profissional.
Já cobrimos o uso básico do Wireshark, portanto, leia nosso artigo original para uma introdução a essa poderosa ferramenta de análise de rede..
Resolução de nomes de rede
Ao capturar pacotes, você pode ficar incomodado com o fato de o Wireshark exibir apenas endereços IP. Você pode converter os endereços IP em nomes de domínio, mas isso não é muito conveniente.
O Wireshark pode resolver automaticamente esses endereços IP para nomes de domínio, embora esse recurso não esteja habilitado por padrão. Quando você habilitar essa opção, verá nomes de domínio em vez de endereços IP sempre que possível. A desvantagem é que o Wireshark terá que pesquisar cada nome de domínio, poluindo o tráfego capturado com solicitações DNS adicionais.
Você pode ativar essa configuração abrindo a janela de preferências Editar -> Preferências, clicando no Resolução de nomes painel e clicando no botão “Ativar a resolução de nomes de redeCaixa de seleção.
Comece a capturar automaticamente
Você pode criar um atalho especial usando os argumentos da linha de comando de Wirshark se quiser iniciar a captura de pacotes sem atraso. Você precisará saber o número da interface de rede que deseja usar, com base na ordem em que o Wireshark exibe as interfaces.
Crie uma cópia do atalho do Wireshark, clique com o botão direito do mouse, vá para a janela Propriedades e altere os argumentos da linha de comando. Adicionar -eu # k até o final do atalho, substituindo # com o número da interface que você deseja usar. A opção -i especifica a interface, enquanto a opção -k diz ao Wireshark para iniciar a captura imediatamente.
Se você estiver usando Linux ou outro sistema operacional não-Windows, basta criar um atalho com o seguinte comando ou executá-lo a partir de um terminal para iniciar a captura imediatamente:
fioshark -i # -k
Para mais atalhos de linha de comando, confira a página de manual do Wireshark.
Capturando o tráfego de computadores remotos
O Wireshark captura o tráfego das interfaces locais do seu sistema por padrão, mas nem sempre é o local que você deseja capturar. Por exemplo, você pode querer capturar o tráfego de um roteador, servidor ou outro computador em um local diferente na rede. É aqui que entra o recurso de captura remota do Wireshark. Este recurso só está disponível no Windows no momento - a documentação oficial do Wireshark recomenda que os usuários do Linux usem um túnel SSH.
Primeiro, você terá que instalar o WinPcap no sistema remoto. O WinPcap vem com o Wireshark, então você não precisa instalar o WinPCap se você já tiver o Wireshark instalado no sistema remoto.
Depois que ele estiver instalado, abra a janela Serviços no computador remoto - clique em Iniciar, digite services.msc na caixa de pesquisa no menu Iniciar e pressione Enter. Localize o Protocolo de Captura de Pacotes Remotos serviço na lista e iniciá-lo. Este serviço está desativado por padrão.
Clique no Opção de capturas link no Wireshark, em seguida, selecione Controlo remoto da caixa de interface.
Digite o endereço do sistema remoto e 2002 como o porto. Você deve ter acesso à porta 2002 no sistema remoto para se conectar, então você pode precisar abrir essa porta em um firewall.
Após a conexão, você pode selecionar uma interface no sistema remoto na caixa suspensa Interface. Clique Começar depois de selecionar a interface para iniciar a captura remota.
Wireshark em um terminal (TShark)
Se você não tem uma interface gráfica em seu sistema, você pode usar o Wireshark de um terminal com o comando TShark.
Primeiro, emita o tshark -D comando. Este comando lhe dará os números de suas interfaces de rede.
Depois de ter, execute o tshark -i # comando, substituindo # pelo número da interface que você deseja capturar.
O TShark age como o Wireshark, imprimindo o tráfego capturado no terminal. Usar Ctrl-C quando você quer parar a captura.
Imprimir os pacotes no terminal não é o comportamento mais útil. Se quisermos inspecionar o tráfego com mais detalhes, podemos mandar o TShark para um arquivo que possamos inspecionar mais tarde. Use este comando para descarregar o tráfego para um arquivo:
tshark -i # -w nome do arquivo
O TShark não mostrará os pacotes enquanto eles estão sendo capturados, mas os contará quando forem capturados. Você pode usar o Arquivo -> Abrir opção no Wireshark para abrir o arquivo de captura mais tarde.
Para mais informações sobre as opções de linha de comando do TShark, confira sua página de manual.
Criando Regras de ACL do Firewall
Se você é um administrador de rede encarregado de um firewall e está usando o Wireshark para investigar, talvez seja melhor agir com base no tráfego que você vê, talvez para bloquear um tráfego suspeito. Wireshark's Regras de ACL do firewall ferramenta gera os comandos que você precisa para criar regras de firewall em seu firewall.
Primeiro, selecione um pacote para o qual você deseja criar uma regra de firewall, clicando nela. Depois disso, clique no Ferramentas menu e selecione Regras de ACL do firewall.
Use o produtos menu para selecionar seu tipo de firewall. O Wireshark suporta o Cisco IOS, diferentes tipos de firewalls Linux, incluindo o iptables e o firewall do Windows.
Você pode usar o Filtro caixa para criar uma regra com base no endereço MAC do sistema, no endereço IP, na porta ou no endereço IP e na porta. Você pode ver menos opções de filtro, dependendo do seu produto de firewall.
Por padrão, a ferramenta cria uma regra que nega o tráfego de entrada. Você pode modificar o comportamento da regra desmarcando o Entrada ou Negar caixas de seleção. Depois de criar uma regra, use o cópia de botão para copiá-lo e, em seguida, execute-o no firewall para aplicar a regra.
Você quer que escrevamos algo específico sobre o Wireshark no futuro? Deixe-nos saber nos comentários se você tiver quaisquer pedidos ou idéias.