Como usar o Wireshark para capturar, filtrar e inspecionar pacotes
O Wireshark, uma ferramenta de análise de rede anteriormente conhecida como Ethereal, captura pacotes em tempo real e os exibe em formato legível por humanos. O Wireshark inclui filtros, codificação por cores e outros recursos que permitem que você mergulhe fundo no tráfego de rede e inspecione pacotes individuais.
Este tutorial irá ajudá-lo a aprender o básico sobre como capturar pacotes, filtrá-los e inspecioná-los. Você pode usar o Wireshark para inspecionar o tráfego de rede de um programa suspeito, analisar o fluxo de tráfego em sua rede ou solucionar problemas de rede.
Obtendo o Wireshark
Você pode baixar o Wireshark para Windows ou macOS em seu site oficial. Se você estiver usando Linux ou outro sistema semelhante ao UNIX, provavelmente encontrará o Wireshark em seus repositórios de pacotes. Por exemplo, se você estiver usando o Ubuntu, você encontrará o Wireshark no Ubuntu Software Center.
Apenas um aviso rápido: muitas organizações não permitem o Wireshark e ferramentas similares em suas redes. Não use essa ferramenta no trabalho, a menos que você tenha permissão.
Capturando Pacotes
Depois de baixar e instalar o Wireshark, você pode iniciá-lo e clicar duas vezes no nome de uma interface de rede em Capture para iniciar a captura de pacotes nessa interface. Por exemplo, se você deseja capturar o tráfego na sua rede sem fio, clique na sua interface sem fio. Você pode configurar recursos avançados clicando em Capturar> Opções, mas isso não é necessário por enquanto.
Assim que você clicar no nome da interface, verá os pacotes começarem a aparecer em tempo real. O Wireshark captura cada pacote enviado para ou do seu sistema.
Se você tiver o modo promíscuo ativado - ele está ativado por padrão - você também verá todos os outros pacotes na rede, em vez de apenas os pacotes endereçados ao seu adaptador de rede. Para verificar se o modo promíscuo está ativado, clique em Capturar> Opções e verifique se a caixa de seleção “Ativar o modo promíscuo em todas as interfaces” está ativada na parte inferior desta janela..
Clique no botão vermelho "Parar" próximo ao canto superior esquerdo da janela quando quiser parar de capturar o tráfego.
Codificação de cores
Você provavelmente verá pacotes destacados em uma variedade de cores diferentes. O Wireshark usa cores para ajudar você a identificar os tipos de tráfego rapidamente. Por padrão, roxo claro é tráfego TCP, azul claro é tráfego UDP e preto identifica pacotes com erros, por exemplo, eles poderiam ter sido entregues fora de ordem.
Para ver exatamente o que os códigos de cores significam, clique em Exibir> Regras para colorir. Você também pode personalizar e modificar as regras de coloração daqui, se quiser.
Capturas de Amostra
Se não há nada de interessante em sua própria rede para inspecionar, o wiki do Wireshark o cobre. O wiki contém uma página de arquivos de captura de amostra que você pode carregar e inspecionar. Clique em Arquivo> Abrir no Wireshark e procure o arquivo baixado para abrir um.
Você também pode salvar suas próprias capturas no Wireshark e abri-las mais tarde. Clique em Arquivo> Salvar para salvar seus pacotes capturados.
Pacotes de Filtragem
Se você estiver tentando inspecionar algo específico, como o tráfego que um programa envia ao telefonar para casa, ajuda a fechar todos os outros aplicativos que usam a rede, para que você possa restringir o tráfego. Ainda assim, você provavelmente terá uma grande quantidade de pacotes para filtrar. É aí que entram os filtros do Wireshark.
A maneira mais básica de aplicar um filtro é digitando-o na caixa de filtro na parte superior da janela e clicando em Aplicar (ou pressionando Enter). Por exemplo, digite "dns" e você verá apenas os pacotes DNS. Quando você começar a digitar, o Wireshark o ajudará a completar automaticamente o seu filtro.
Você também pode clicar em Analisar> Exibir filtros para escolher um filtro entre os filtros padrão incluídos no Wireshark. A partir daqui, você pode adicionar seus próprios filtros personalizados e salvá-los para acessá-los facilmente no futuro.
Para mais informações sobre a linguagem de filtragem de display do Wireshark, leia a página Construindo expressões de filtro de exibição na documentação oficial do Wireshark.
Outra coisa interessante que você pode fazer é clicar com o botão direito do mouse em um pacote e selecionar Seguir> TCP Stream.
Você verá a conversa TCP completa entre o cliente e o servidor. Você também pode clicar em outros protocolos no menu Seguir para ver as conversas completas de outros protocolos, se aplicável.
Feche a janela e você verá que um filtro foi aplicado automaticamente. O Wireshark está mostrando os pacotes que compõem a conversa.
Inspecionando Pacotes
Clique em um pacote para selecioná-lo e você pode cavar para ver seus detalhes.
Você também pode criar filtros aqui - basta clicar com o botão direito do mouse em um dos detalhes e usar o submenu Aplicar como Filtro para criar um filtro baseado nele.
O Wireshark é uma ferramenta extremamente poderosa, e este tutorial está apenas arranhando a superfície do que você pode fazer com ele. Profissionais o usam para depurar implementações de protocolo de rede, examinar problemas de segurança e inspecionar internals de protocolo de rede.
Você pode encontrar informações mais detalhadas no Guia do Usuário oficial do Wireshark e em outras páginas de documentação no site do Wireshark..