Para muitos especialistas em TI, o Wireshark é a ferramenta para análise de pacotes de rede. O software de código aberto permite examinar de perto os dados coletados e determinar a raiz do problema com maior precisão. Além disso, o Wireshark opera em tempo real e usa codificação de cores para exibir os pacotes capturados, entre outros mecanismos bacanas.
Neste tutorial, explicaremos como capturar, ler e filtrar pacotes usando o Wireshark. Abaixo, você encontrará instruções passo a passo e detalhamentos das funções básicas de análise de rede. Depois de dominar essas etapas fundamentais, você poderá inspecionar o fluxo de tráfego da sua rede e solucionar problemas com mais eficiência.
Analisando pacotes
Depois que os pacotes são capturados, o Wireshark os organiza em um painel de lista de pacotes detalhado que é incrivelmente fácil de ler. Se você deseja acessar as informações referentes a um único pacote, basta localizá-lo na lista e clicar. Você também pode expandir ainda mais a árvore para acessar os detalhes de cada protocolo contido no pacote.
Para uma visão mais abrangente, você pode exibir cada pacote capturado em uma janela separada. Veja como:
remova a proteção contra gravação na unidade flash
- Selecione o pacote da lista com o cursor e clique com o botão direito.
- Abra a guia Exibir na barra de ferramentas acima.
- Selecione Mostrar pacote em nova janela no menu suspenso.
Nota: É muito mais fácil comparar os pacotes capturados se você os abrir em janelas separadas.
Como mencionado, o Wireshark usa um sistema de codificação de cores para visualização de dados. Cada pacote é marcado com uma cor diferente que representa diferentes tipos de tráfego. Por exemplo, o tráfego TCP geralmente é destacado em azul, enquanto o preto é usado para indicar pacotes que contêm erros.
Claro, você não precisa memorizar o significado por trás de cada cor. Em vez disso, você pode verificar no local:
- Clique com o botão direito do mouse no pacote que deseja examinar.
- Selecione a guia Exibir na barra de ferramentas na parte superior da tela.
- Escolha Regras de coloração no painel suspenso.
Você verá a opção de personalizar a coloração ao seu gosto. No entanto, se você quiser alterar as regras de coloração apenas temporariamente, siga estas etapas:
- Clique com o botão direito do mouse no pacote no painel da lista de pacotes.
- Na lista de opções, selecione Colorir com filtro.
- Escolha a cor com a qual você deseja rotulá-lo.
Número
O painel da lista de pacotes mostrará o número exato de bits de dados capturados. Como os pacotes são organizados em várias colunas, é bastante fácil de interpretar. As categorias padrão são:
- Não. (Número): Como mencionado, você pode encontrar o número exato de pacotes capturados nesta coluna. Os dígitos permanecerão os mesmos mesmo após a filtragem dos dados.
- Time: Como você deve ter adivinhado, o timestamp do pacote é exibido aqui.
- Fonte: Mostra a origem do pacote.
- Destino: Mostra o local onde o pacote será guardado.
- Protocolo: Exibe o nome do protocolo, normalmente em uma abreviação.
- Comprimento: Mostra o número de bytes contidos no pacote capturado.
- Info: A coluna inclui qualquer informação adicional sobre um determinado pacote.
Tempo
À medida que o Wireshark analisa o tráfego de rede, cada pacote capturado recebe um carimbo de data/hora. Os carimbos de data/hora são incluídos no painel da lista de pacotes e ficam disponíveis para inspeção posterior.
O Wireshark não cria os timestamps. Em vez disso, a ferramenta de análise os obtém da biblioteca Npcap. No entanto, a fonte do carimbo de data/hora é, na verdade, o kernel. É por isso que a precisão do carimbo de data/hora pode variar de arquivo para arquivo.
Você pode escolher o formato no qual os timestamps serão exibidos na lista de pacotes. Além disso, você pode definir a precisão preferencial ou o número de casas decimais exibidas. Além da configuração de precisão padrão, há também:
- Segundos
- Décimos de segundo
- Centésimos de segundo
- Milissegundos
- Microssegundos
- Nanossegundos
Fonte
Como o nome sugere, a origem do pacote é o local de origem. Se você deseja obter o código-fonte de um repositório Wireshark, pode baixá-lo usando um cliente Git. No entanto, o método exige que você tenha uma conta do GitLab. É possível fazê-lo sem um, mas é melhor se inscrever apenas no caso.
Depois de registrar uma conta, siga estas etapas:
- Certifique-se de que o Git esteja funcional usando este comando: |_+_|
- Verifique novamente se seu endereço de e-mail e nome de usuário estão configurados.
- Em seguida, faça um clone da fonte Workshark. Use o |_+_| URL SSH para fazer a cópia.
- Se você não tiver uma conta GitLab, tente o URL HTTPS: |_+_|
Todas as fontes serão posteriormente copiadas para o seu dispositivo. Tenha em mente que a clonagem pode demorar um pouco, especialmente se você tiver uma conexão de rede lenta.
Destino
Se você deseja saber o endereço IP do destino de um pacote específico, pode usar o filtro de exibição para localizá-lo. Veja como:
- Digite |_+_| na caixa de filtro Wireshark. Em seguida, clique em Entrar.
- O painel da lista de pacotes será reconfigurado apenas para mostrar o destino do pacote. Encontre o endereço IP de seu interesse percorrendo a lista.
- Quando terminar, selecione Limpar na barra de ferramentas para reconfigurar o painel da lista de pacotes.
Protocolo
Um protocolo é uma diretriz que determina a transmissão de dados entre diferentes dispositivos que estão conectados à mesma rede. Cada pacote do Wireshark contém um protocolo e você pode ativá-lo usando o filtro de exibição. Veja como:
- Na parte superior da janela do Wireshark, clique na caixa de diálogo Filtro.
- Digite o nome do protocolo que deseja examinar. Normalmente, os títulos dos protocolos são escritos em letras minúsculas.
- Clique em Enter ou Apply para habilitar o filtro de exibição.
Comprimento
O comprimento de um pacote Wireshark é determinado pelo número de bytes capturados nesse trecho de rede específico. Esse número geralmente corresponde ao número de bytes de dados brutos listados na parte inferior da janela do Wireshark.
Se você deseja examinar a distribuição de comprimentos, abra a janela Comprimentos de pacote. Todas as informações estão divididas nas seguintes colunas:
- Comprimentos de pacotes
- Contar
- Média
- Val mín. / Val máx.
- Avaliar
- Por cento
- Taxa de explosão
- Início rápido
Informações
Se houver alguma anomalia ou item semelhante em um determinado pacote capturado, o Wireshark o notará. As informações serão exibidas no painel da lista de pacotes para análise adicional. Dessa forma, você terá uma visão clara do comportamento atípico da rede, o que resultará em reações mais rápidas.
Perguntas frequentes adicionais
Como posso filtrar os dados do pacote?
A filtragem é um recurso eficiente que permite examinar as especificidades de uma determinada sequência de dados. Existem dois tipos de filtros Wireshark: captura e exibição. Os filtros de captura existem para restringir a captura de pacotes para atender a demandas específicas. Em outras palavras, você pode filtrar diferentes tipos de tráfego aplicando um filtro de captura. Como o nome sugere, os filtros de exibição permitem que você aprimore um elemento específico do pacote, desde o comprimento do pacote até o protocolo.
A aplicação de um filtro é um processo bastante simples. Você pode digitar o título do filtro na caixa de diálogo na parte superior da janela do Wireshark. Além disso, o software geralmente completa automaticamente o nome do filtro.
Como alternativa, se você quiser vasculhar os filtros padrão do Wireshark, faça o seguinte:
1. Abra a guia Analyze na barra de ferramentas na parte superior da janela do Wireshark.
o switch joga os jogos wii
2. Na lista suspensa, selecione Filtro de exibição.
3. Navegue pela lista e clique no que deseja aplicar.
Finalmente, aqui estão alguns filtros comuns do Wireshark que podem ser úteis:
• Para visualizar apenas o endereço IP de origem e destino, use: |_+_|
• Para visualizar apenas o tráfego SMTP, digite: |_+_|
• Para capturar todo o tráfego de sub-rede, aplique: |_+_|
• Para capturar tudo menos o tráfego ARP e DNS, use: |_+_|
Como faço para capturar os dados do pacote no Wireshark?
Depois de baixar o Wireshark para o seu dispositivo, você pode começar a monitorar sua conexão de rede. Para capturar pacotes de dados para uma análise abrangente, veja o que você precisa fazer:
1. Inicie o Wireshark. Você verá uma lista de redes disponíveis, então clique na que deseja examinar. Você também pode aplicar um filtro de captura se quiser identificar o tipo de tráfego.
2. Se você deseja inspecionar várias redes, use o controle shift + clique com o botão esquerdo.
3. Em seguida, clique no ícone de barbatana de tubarão à esquerda na barra de ferramentas acima.
4. Você também pode iniciar a captura clicando na guia Capturar e selecionando Iniciar na lista suspensa.
5. Outra maneira de fazer isso é usar a tecla Control – E.
À medida que o software captura os dados, você os verá no painel da lista de pacotes em tempo real.
Byte de Tubarão
Embora o Wireshark seja um analisador de rede altamente avançado, é surpreendentemente fácil de interpretar. O painel da lista de pacotes é extremamente abrangente e bem organizado. Todas as informações são distribuídas em sete cores diferentes e marcadas com códigos de cores claros.
Além disso, o software de código aberto vem com uma série de filtros de fácil aplicação que facilitam o monitoramento. Ao habilitar um filtro de captura, você pode identificar que tipo de tráfego deseja que o Wireshark analise. E uma vez que os dados são capturados, você pode aplicar vários filtros de exibição para pesquisas específicas. Em suma, é um mecanismo altamente eficiente que não é muito difícil de dominar.
Você usa o Wireshark para análise de rede? O que você acha da função de filtragem? Deixe-nos saber nos comentários abaixo se há um recurso útil de análise de pacotes que ignoramos.
