Como usar o Wireshark [Tutorial]

O que o Wireshark faz?

Nos últimos anos, a Wireshark desenvolveu uma reputação de um dos analisadores de rede mais confiáveis ​​disponíveis no mercado. Usuários de todo o mundo têm usado esse aplicativo de código aberto como uma ferramenta completa de análise de rede. Através do Wireshark, os usuários podem solucionar problemas de rede, examinar problemas de segurança, depurar protocolos e aprender processos de rede.

Neste tutorial, você descobrirá como o Wireshark funciona. Nós o guiaremos pelas etapas de localização do programa Wireshark e instalação no seu computador. Você descobrirá como iniciar uma captura de pacote e quais informações você pode esperar obter dela. O tutorial do Wireshark também mostrará como tirar o melhor proveito das funções de manipulação de dados na interface. Você também aprenderá como obter melhores funções de análise de dados do que aquelas que são nativas do Wireshark.

Como usar o Wireshark

Como mencionado acima, o Wireshark é uma ferramenta de análise de rede. Na sua essência, o Wireshark foi projetado para quebrar pacotes de dados sendo transferidos por diferentes redes. O usuário pode procurar e filtrar pacotes de dados específicos e analisar como eles são transferidos pela rede. Esses pacotes podem ser usados ​​para análise em tempo real ou offline.

O usuário pode usar essas informações para gerar estatísticas e gráficos. O Wireshark era originalmente conhecido como Ethereal, mas se estabeleceu como uma das principais ferramentas de análise de rede do mercado. Esta é a ferramenta essencial para usuários que desejam visualizar dados gerados por diferentes redes e protocolos.

O Wireshark é adequado para usuários iniciantes e especialistas. A interface do usuário é incrivelmente simples de usar depois que você aprende as etapas iniciais para capturar pacotes. Usuários mais avançados podem usar as ferramentas de descriptografia da plataforma para quebrar pacotes criptografados também.

Recursos principais do Wireshark

Abaixo está um detalhamento dos principais recursos do Wireshark:

•  Capturar dados de pacotes ao vivo
•  Importar pacotes de arquivos de texto
•  Exibir dados de pacote e informações de protocolo
•  Salvar dados de pacote capturados
•  Exibir pacotes
•  Pacotes de filtro
•  Pesquisar pacotes
•  Colorir pacotes
•  Gerar estatísticas

A maioria dos usuários usa o Wireshark para detectar problemas de rede e testar seu software. Como um projeto de código aberto, o Wireshark é mantido por uma equipe única, mantendo altos padrões de serviço. Neste guia, detalhamos como usar o Wireshark. Mais informações podem ser encontradas no guia oficial do usuário da Wireshark.

Como baixar e instalar o Wireshark

Antes de usar o Wireshark, a primeira coisa que você precisa fazer é baixar e instalar. Você pode baixar o Wireshark gratuitamente no site da empresa. Para ter a melhor experiência de execução, é recomendável baixar a versão mais recente disponível em sua plataforma na seção “release estável”.

Instale no Windows

Depois de baixar o programa, você pode iniciar o processo de configuração. Durante a instalação, você pode ser solicitado a instalar o WinPcap. É importante instalar o WinPcap, pois sem ele você não conseguirá capturar o tráfego de rede ao vivo. Sem o WinPcap, você poderá abrir apenas os arquivos de captura salvos. Para instalar, basta verificar o Instale o WinPcap caixa.

Instale no Mac

Para instalar o Wireshark no Mac, você primeiro precisa baixar um instalador. Para fazer isso, baixe um instalador como o exquartz. Depois de fazer isso, abra o Terminal e insira o seguinte comando:

<% /Applications/Wireshark.app/Contents/Mac0S/Wireshark>

Depois aguarde o Wireshark iniciar.

Instale no Unix

Para executar o Wireshark no Unix, você precisa primeiro de algumas outras ferramentas instaladas no seu sistema. Esses são:

• GTK+, O GIMP Tool Kit e Glib, ambos da mesma fonte.
• Você também vai precisar Glib. Você pode se familiarizar com as duas ferramentas em https://www.gtk.org/
• libpcap, que você obtém de http://www.tcpdump.org/.

Depois de instalar o software de suporte acima e fazer o download do software para o Wireshark, é necessário extraí-lo do arquivo tar.

gzip -d wireshark-1.2-tar.gz
tar xvf wireshark-1.2-tar

Mude para o diretório Wireshark e, em seguida, emita os seguintes comandos:

./ configure
faço
faça instalar

Agora você pode executar o programa Wireshark no seu computador Unix.

Como capturar pacotes de dados

Uma das principais funções do Wireshark como ferramenta de análise de rede é capturar pacotes de dados. Aprender a configurar o Wireshark para capturar pacotes é essencial para realizar análises detalhadas da rede. No entanto, é importante observar que pode ser difícil capturar pacotes quando você é novo no Wireshark. Antes de começar a capturar pacotes, há três coisas que você precisa fazer:

1. Verifique se você possui os privilégios administrativos para iniciar uma captura ao vivo no seu dispositivo
2. Escolha a interface de rede correta capturar dados de pacotes de
3. Capturar dados de pacote do local correto na sua rede

Depois de fazer essas três coisas, você está pronto para iniciar o processo de captura. Quando você usa o Wireshark para capturar pacotes, eles são exibidos em um formato legível por humanos para torná-los legíveis para o usuário. Você também pode quebrar pacotes com filtros e código de cores se você deseja ver informações mais específicas.

Ao abrir o Wireshark pela primeira vez, você será atendido pela seguinte tela de inicialização:

A primeira coisa que você precisa fazer é examinar as interfaces disponíveis para capturar. Para fazer isso, selecione Capturar > Opções. A caixa de diálogo “Capture Interfaces” será aberta como mostrado abaixo:

Marque a caixa da interface que você deseja capturar e pressione o botão Começar para iniciar. Você pode selecionar várias interfaces se desejar capturar dados de várias fontes simultaneamente.

No Unix ou Linux, a caixa de diálogo é mostrada em um estilo semelhante como este:

Você também pode iniciar o Wireshark usando a seguinte linha de comando:

<¢ wireshark -i eth0 –k>

Você também pode usar o botão de barbatana de tubarão na barra de ferramentas como um atalho para iniciar a captura de pacotes. Depois de clicar neste botão, o Wireshark iniciará o processo de captura ao vivo.

Se você deseja parar de capturar, clique no botão vermelho Pare botão ao lado da barbatana de tubarão.

Modo promíscuo

Se você deseja desenvolver uma visão geral das suas transferências de pacotes de rede, precisa ativar o “modo promíscuo”. O modo promíscuo é um modo de interface em que o Wireshark detalha todos os pacotes que vê. Quando esse modo é desativado, você perde a transparência da sua rede e apenas desenvolve um instantâneo limitado da sua rede (isso dificulta a realização de qualquer análise).

Para ativar o modo promíscuo, clique no Opções de captura caixa de diálogo e clique em modo promíscuo. Em teoria, isso deve mostrar todo o tráfego ativo na sua rede. A caixa do modo promíscuo é mostrada abaixo:

No entanto, isso geralmente não é o caso. Muitas interfaces de rede são resistentes ao modo promíscuo, portanto, você precisa verificar o site da Wireshark para obter informações sobre seu hardware específico.

No Windows, é útil abrir Gerenciador de Dispositivos e verifique se você tem suas configurações definidas para rejeitar o modo promíscuo. Por exemplo:

(Simplesmente clique na rede e verifique se a configuração do modo promíscuo está definida como Permitir todos).

Se você tiver definido as configurações para “rejeitar” o modo promíscuo, limitará o número de pacotes capturados pelo Wireshark. Portanto, mesmo se você tiver o modo promíscuo ativado no Wireshark, verifique o Gerenciador de dispositivos para garantir que sua interface não esteja impedindo a entrada de dados. O tempo necessário para verificar sua infraestrutura de rede garantirá que o Wireshark receba todos os pacotes de dados necessários.

Como analisar pacotes capturados

Depois de capturar seus dados de rede, convém examinar os pacotes capturados. Na captura de tela abaixo, você verá três painéis, o lista de pacotes painel, o bytes de pacote painel e o detalhes do pacote painel.

Se você deseja obter mais informações, pode clicar em qualquer um dos campos de cada pacote para ver mais. Quando você clica em um pacote, é mostrado um detalhamento de seus bytes internos na seção de exibição de bytes.

Lista de Pacotes

O painel da lista de pacotes é mostrado na parte superior da captura de tela. Cada peça é dividida em um número com tempo, fonte, destino, protocolo e informações de suporte.

Detalhes do pacote

Detalhes do pacote podem ser encontrados no meio, mostrando os protocolos do pacote escolhido. Você pode expandir cada seção clicando na seta ao lado da sua linha de escolha. Você também pode aplicar filtros adicionais clicando com o botão direito do mouse no item escolhido.

Bytes de Pacotes

O painel de bytes do pacote é mostrado na parte inferior da página. Este painel mostra os dados internos do seu pacote selecionado. Se você destacar parte dos dados nesta seção, suas informações correspondentes também serão destacadas no painel de detalhes do pacote. Por padrão, todos os dados são mostrados no formato hexadecimal. Se você deseja alterá-lo para o formato de bit, clique com o botão direito do mouse no painel e selecione essa opção no menu de contexto.

Como usar o Wireshark para analisar o desempenho da rede

Se você deseja usar o Wireshark para inspecionar sua rede e analisar todo o tráfego ativo, precisará fechar todos os aplicativos ativos em sua rede. Isso reduzirá o tráfego ao mínimo para que você possa ver o que está acontecendo na sua rede com mais clareza. No entanto, mesmo se você desativar todos os seus aplicativos, você ainda terá uma grande quantidade de pacotes sendo enviados e recebidos.

O uso do Wireshark para filtrar esses pacotes é a melhor maneira de fazer um balanço dos seus dados de rede. Quando sua conexão está ativa, milhares de pacotes são transferidos pela sua rede a cada segundo. Isso significa que é vital que você filtre as informações que não precisa para ter uma ideia clara do que está acontecendo.

Filtros de captura e filtros de exibição

Filtros de captura e Filtros de exibição Existem dois tipos de filtros distintos que podem ser usados ​​no Wireshark. Os filtros de captura são usados ​​para reduzir o tamanho da captura de pacotes recebidos, filtrando essencialmente outros pacotes durante a captura de pacotes ao vivo. Como resultado, os filtros de captura são definidos antes de você iniciar o processo de captura ao vivo.

Os filtros de captura não podem ser modificados após o início da captura. Por outro lado, Filtros de exibição pode ser usado para filtrar dados que já foram gravados. Os filtros de captura determinam quais dados você captura do monitoramento de rede ao vivo, e os filtros de exibição determinam os dados que você vê ao examinar pacotes capturados anteriormente.

Se você deseja começar a filtrar seus dados, uma das maneiras mais fáceis de fazer isso é usar a caixa de filtro abaixo da barra de ferramentas. Por exemplo, se você digitar HTTP na caixa de filtro, receberá uma lista de todos os pacotes HTTP capturados. Quando você começa a digitar, recebe um campo de preenchimento automático. A caixa de filtro é mostrada abaixo:

Você pode usar centenas de filtros diferentes para dividir as informações dos pacotes, de 104apci a zvt. Uma extensa lista pode ser encontrada no site da Wireshark aqui. Você também pode escolher um filtro clicando no ícone de marcador à esquerda do campo de entrada. Isso abrirá um menu de filtros populares.

Se você optar por definir um filtro de captura, suas alterações entrarão em vigor assim que você começar a gravar o tráfego ao vivo. Para ativar um filtro de exibição, basta clicar na seta à direita do campo de entrada. Como alternativa, você pode clicar em Analisar > Filtros de exibição e escolha um filtro na lista de padrões.

Depois de escolher um filtro, você pode visualizar a conversa TCP atrás de um pacote. Para fazer isso, clique com o botão direito do mouse no pacote e clique em Seguir > Fluxo TCP. Isso mostrará a troca TCP entre o cliente e o servidor.

Se você deseja obter mais informações sobre a filtragem do Wireshark, o guia do Wireshark para exibir filtros é um bom ponto de referência.

Usando código de cores

Além de filtrar quais pacotes são mostrados ou gravados, o recurso de código de cores da Wireshark facilita ao usuário a identificação de diferentes tipos de pacotes de acordo com sua cor. Por exemplo, o tráfego TCP é indicado por roxo claro e o tráfego UDP é indicado por azul claro. É importante observar que o preto é usado para destacar pacotes com erros.

Nas configurações padrão do Wireshark, você pode escolher entre cerca de 20 cores. Você pode editar, desativar ou excluir estes. Se você deseja desativar a coloração, clique no Visão menu e clique Colorir lista de pacotes campo para desativá-lo. Se você deseja ver mais informações sobre o código de cores no Wireshark, clique em Visão >Regras para Colorir.

Visualizando estatísticas da rede

Para visualizar mais informações em sua rede, o menu suspenso de estatísticas é incrivelmente útil. O menu de estatísticas pode estar localizado na parte superior da tela e fornecerá várias métricas, desde informações de tamanho e tempo até tabelas e gráficos plotados. Você também pode aplicar filtros de exibição a essas estatísticas para restringir informações importantes.

O menu de estatísticas do Wireshark é mostrado abaixo:

Neste menu, há uma variedade de opções para ajudá-lo a dividir as informações da sua rede.

Seleções do menu Estatísticas

Aqui estão algumas das seções principais:

• Hierarquia de Protocolo – A opção Hierarquia de protocolo gera uma janela com uma tabela completa de todos os protocolos capturados. Os filtros de exibição ativos também são exibidos na parte inferior.
• Conversas – Revela a conversa na rede entre dois pontos de extremidade (por exemplo, troca de tráfego de um endereço IP para outro).
• Pontos finais – Exibe uma lista de pontos de extremidade (um ponto de extremidade de rede é onde o tráfego de protocolo de uma camada de protocolo específica termina).
• Gráficos IO – Exibe gráficos específicos do usuário, visualizando o número de pacotes durante a troca de dados.
• RTP_statistics – Permite ao usuário salvar o conteúdo de um fluxo de áudio RTP diretamente em um arquivo Au.
• Tempo de resposta do serviço – Exibe o tempo de resposta entre uma solicitação e a resposta da rede.
• TcpPduTime – Exibe o tempo necessário para transferir dados de uma unidade de dados de protocolo. Pode ser usado para encontrar retransmissões TCP.
• VoIP_Calls – Mostra chamadas VoIP obtidas de capturas ao vivo.
• Fluxo de difusão seletiva – Detecta fluxos multicast e mede o tamanho das rajadas e os buffers de saída de determinadas velocidades.

Visualizando pacotes de rede com gráficos IO

Se você deseja criar uma representação visual de seus pacotes de dados, é necessário abrir os gráficos de E / S. Basta clicar no Estatisticas menu e selecione Gráficos IO. Você será recebido por uma janela de gráfico:

Você pode configure gráficos de E / S com suas próprias configurações de acordo com os dados que você deseja exibir. Por padrão, apenas o gráfico 1 está ativado, portanto, se você deseja ativar 2-5, precisa clicar neles. Da mesma forma, se você deseja aplicar um filtro de exibição a um gráfico, clique no ícone de filtro ao lado do gráfico com o qual deseja interagir. A coluna de estilo permite alterar a estrutura do gráfico. Você pode escolher entre Linha, FBar, Ponto, ou Impulso.

Você também pode interagir com as métricas dos eixos X e Y em seu gráfico. No eixo X, as seções do intervalo de escala permitem determinar quanto tempo o intervalo é, de minutos a segundos. Você também pode verificar o visualizar como hora do dia caixa de seleção para alterar a hora do eixo X.

Na seção do eixo Y, você pode alterar a unidade de medida de qualquer uma das seguintes opções: Pacotes / Tick, Bytes / Tick, Bits / Tick, ou Avançado. A escala permite escolher a escala de medição para o eixo Y do gráfico.

Depois de pressionar salvar, o gráfico é armazenado em um formato de arquivo de sua escolha

Como usar capturas de amostra

Se você deseja praticar o uso do Wireshark, mas sua própria rede não está disponível por qualquer motivo, usar “capturas de amostra” é uma ótima alternativa. Capturas de amostra fornecem dados de pacotes de outra rede. Você pode baixar uma captura de amostra acessando o site wiki do Wireshark.

O site wiki do Wireshark apresenta uma variedade de arquivos de captura de amostra que podem ser baixados no site. Depois de baixar uma captura de amostra, você pode usá-la clicando em Arquivo > Abra e clique no seu arquivo.

Os arquivos de captura também podem ser encontrados nas seguintes fontes:

• ICIR
• OpenPacket
• PacketLife

Expandindo os recursos do Wireshark

Embora o Wireshark seja um ótimo farejador de pacotes, não é o conjunto de ferramentas de análise de rede. Você pode expandir o Wireshark e apoiá-lo com ferramentas complementares. Uma ampla comunidade de plugins e plataformas de suporte pode aprimorar os recursos do Wireshark.

Experimente estas adições ao Wireshark para melhorar seus recursos analíticos:

• Visualizador do tempo de resposta do SolarWinds para Wireshark permite que os usuários calculem seus aplicativos e o tempo de resposta da rede. Isso pode ser usado junto com o Wireshark para exibir dados e volume de transações. Isso ajuda a avaliar o desempenho da rede e a identificar possíveis melhorias.
• Cloudshark é uma ferramenta analítica que foi escrita especificamente para trabalhar com capturas de wireshark. No entanto, também pode importar dados de outros farejadores de pacotes. Um plugin Cloudshark para Wireshark facilita a transferência de dados para a ferramenta analítica.
• NetworkMiner é outra ferramenta analítica que atua nos feeds do Wireshark. Esta ferramenta vem em uma versão gratuita e paga.
• Mostrar tráfego exibe dados de tráfego ao vivo, identificando pacotes por protocolo.

SolarWinds Response Time Viewer for WiresharkFaça o download da ferramenta 100% GRATUITA

Uma ferramenta de análise de rede completa, como o monitor SolarWinds explicado abaixo, também seria uma boa adição ao seu kit de ferramentas de administração de TI.

SolarWinds Network Performance Monitor: Gerenciamento de rede em 360 graus – (TESTE GRÁTIS)

Como uma das principais soluções de gerenciamento de rede do mercado, o SolarWinds Network Performance Monitor fornece ao usuário amplas funções de monitoramento de rede para manter sua rede segura. Do monitoramento da largura de banda à latência em uma rede, o usuário pode acompanhar todas as alterações em tempo real através do painel de análise de desempenho.

O painel de análise de desempenho ao vivo fornece uma visão geral da infraestrutura de rede em tempo real do usuário. Uma exibição visual mostra todas as conexões e dispositivos de rede ativos. Isso facilita para o usuário detectar dispositivos não autorizados.

A interface amigável permite que os usuários definam seus próprios alertas para que possam ser notificados quando ocorrerem alterações incomuns em sua rede. Se um novo dispositivo tentar se conectar, isso poderá ser sinalizado pelo sistema. Os dados ao vivo gerados no painel de análise também podem ser convertidos em relatórios para gerar informações adicionais.

• Monitoramento de rede de vários fornecedores – Identifique e resolva problemas de desempenho de vários fornecedores.
• Monitoramento de rede sem fio – Veja métricas de desempenho de pontos de acesso, dispositivos sem fio e clientes.
• Identificar zonas inoperantes da rede – Visualize o mapa de calor da rede sem fio e identifique áreas com sinal fraco.
• Painel de Análise de Desempenho – Veja todo o desempenho da sua rede em uma linha do tempo. Arraste e solte dados de desempenho da rede para criar uma visualização de dados ao vivo.
• Alertas inteligentes – Os usuários definem como os alertas são gerados. Escolha quais condições de acionamento gerarão um alerta no painel.

SolarWinds Network Performance MonitorFaça o download da versão de avaliação gratuita de 30 dias no SolarWinds.com

Wireshark: Simples e Versátil

Isso conclui nossa análise de como usar o Wireshark. Seja você um novo usuário ou um veterano do Wireshark, esta plataforma é uma ferramenta de análise de rede extremamente versátil. Se você deseja tirar o máximo proveito do Wireshark, é altamente recomendável que você faça pesquisas adicionais no site do Wireshark..

Isso é ainda mais importante se você deseja usar recursos mais avançados e criar seus próprios dissecadores de protocolo. O guia oficial do usuário da Wireshark oferece o mais abrangente conjunto de orientações sobre o assunto.

Não se esqueça de usar plug-ins externos e programas de suporte da SolarWinds, pois eles podem aumentar drasticamente a profundidade de seus futuros esforços de análise. Se você deseja obter mais informações sobre como otimizar sua rede, consulte nosso guia detalhado sobre analisadores de rede.

Outros tutoriais:

• Folha de dicas do Wireshark
• Como descriptografar SSL com o Wireshark
• Usando o Wireshark para obter o endereço IP de um host desconhecido
• Executando uma captura remota com Wireshark e tcpdump
• Erro “sem interface encontrada” do Wireshark
• Identifique o hardware com pesquisa OUI no Wireshark
• Melhores alternativas para Wireshark