Conteúdo
O Wireshark, é uma ferramenta gratuita de análise de rede que captura os pacotes em tempo real das diferentes interfaces de rede (ethernet, wireless), e exibe em formato que possamos visualizar. O Wireshark inclui filtros, codificação por cores e outros recursos que permitem identificar o tráfego da rede e inspeccionar pacotes individuais.
Geralmente utilizo o Wireshark para analisar o trafego de rede para identificar as portas e ip’s de destino que determinados programas utilizam, para que possa abrir/permitir na firewall, resolvendo assim alguns constrangimentos relacionados com o acesso a serviços na internet. Ou simplesmente obter informação de programas mal intencionados na rede, permitindo identificar as portas / protocolos e IP’s para que possa configurar regras na firewall para bloquear esse tipo de trafego.
Obter o Wireshark
Podem encontrar o ficheiro de instalação do Wireshark para Windows e maOS, aceder a https://www.wireshark.org/ e efetuar o download e instalação da aplicação (instalação é identifica a qualquer aplicação).
Podem utilizar o Wireshark sistemas Linux e unix, sendo necessário associar o repositório e instalar os pacotes do Wireshark, segue abaixo exemplo em ubuntu:
Instalar Wireshark no Ubuntu
- Aceder ao Terminal Ctrl+Alt+T, e inserir o seguinte comando.
sudo add-apt-repository ppa:wireshark-dev/stable
- Efetuar o update ao repositório.
sudo apt-get update
- Instalar o Wireshark.
sudo apt-get install wireshark
- Executar o Wireshark.
sudo wireshark
Capturar Pacotes
Após iniciar o Wireshark, basta que clique duas vezes na interface de rede que pretende iniciar a captura de pacotes ou selecione a interface e pressione as teclas CTRL+E ou no Icon azul “barbatana do tubarão”.
Por exemplo, se pretender capturar o trafego da rede sem fios (WiFI), clique na interface Wifi.
Assim que clique sobre a interface escolhida, irá ver em tempo real, os pacotes recebidos e enviados pelo seu computador e na sua rede dado que por defeito o wireshark tem o modo promiscuo ativo.
Nota: para remover o modo promiscuo, aceder ao menu Captura > Options, e retirar o visto em Enable promiscuous mode on all interfaces.
Para parar a captura do trafego, clique no icon Vermelho “Stop capturing packets” na janela de captura.
Código de Cores
Os pacotes são apresentados com uma variedade de cores, Wireshark usa as cores para ajudar a identificar o tipo de trafego de forma rápida. Por defeito, as cores atribuídas são as abaixo, exemplo: trafego TCP violeta claro, UDP azul claro, e preto identifica pacotes com erros.
Para visualizar todos os códigos de cores, adicionar ou modificar caso deseje, aceder ao menu View > Coloring Rules.
Guardar e Abrir a captura de tráfego
Para guardar uma captura no Wireshark, para abrir mais tarde, clique em File > Save As, escolher a localização no PC e clique em Guardar.
Se desejar abrir essa captura, no Wireshark, aceder ao menu File > Open e escolha o ficheiro guardado anteriormente.
Na Wiki do Wireshark, é possível encontrar exemplos de capturas de diferentes protocolos / sistemas (MySQL, TFTP, Telnet,…, que pode utilizar para análise, ver aqui https://wiki.wireshark.org/SampleCaptures
Filtros de visualização
O Wireshark permite a utilização de Filtros de visualização, para exibir apenas determinados tipos de pacotes, com base num conjunto de critérios, IP de Origem / Destino, Tipo de pacote, Porta, etc…
No menu Analyze > Display Filters, é possível aplicar alguns filtros que são incluídos por default no Wireshark, podem também criar filtros customizados, que serão guardados para utilizar sempre que necessitar.
Podem encontrar exemplos de filtros de visualização em: https://wiki.wireshark.org/DisplayFilters
Segue alguns exemplos:
Mostrar apenas o trafego de LAN (192.168.1.x), entre os equipamentos na rede — sem Internet:
ip.src==192.168.1.0/24 and ip.dst==192.168.1.0/24
Mostrar apenas SMTP (porta 25) e trafego ICMP:
tcp.port eq 25 or icmp
Mostrar apenas trafego IP origem (ex. 192.168.1.1) / IP destino (ex. 62.28.167.4):
ip.src==192.168.1.1 and ip.dst==62.28.167.4
Mostrar apenas trafego TCP porta 80:
Tcp.port==80
Podemos visualizar toda a conversação entre o cliente e o servidor, para isso clique sobre o pacote com o botão direto do rato e selecionar Follow e respetivo protocolo do pacote (ex. TCP Stream).
Filtros de Captura
Caso não se pretenda capturar todo o trafego, podemos utilizar Filtros de Captura, capturando apenas os tipos de pacotes desejados.
No menu Analyze > Capture Filters…, é possível consular os filtros de captura default no Wireshark, podem também criar filtros customizados, que serão guardados para utilizar sempre que necessitar.
Podem encontrar filtros de captura em: https://wiki.wireshark.org/CaptureFilters
Podem encontrar mais informação para utilizar e configurar o Wireshark no Wireshark Wiki e Guia de Utilizador
Já conhecias o Wireshark? Tens alguma dica ou questão, deixa um comentário.