Como usar o Wireshark para inspecionar o tráfego da rede

Posted on

Wireshark é um analisador de pacotes gratuito e de código aberto. Ele é usado para solução de problemas de rede, análise, software e desenvolvimento de protocolos de comunicação. Ele permite que você veja o que está acontecendo na sua rede em um nível microscópico e é o padrão de fato (e muitas vezes de jure) em muitas empresas comerciais e sem fins lucrativos, agências governamentais e instituições educacionais. Wireshark é uma ferramenta multiplataforma que roda em Linux, Microsoft Windows, MacOS, BSD, Solaris e outros sistemas operacionais do tipo Unix.

Conteúdo

Como instalar o Wireshark no Linux?

Para instalar Wireshark basta digitar o seguinte comando no seu terminal – sudo apt-get install Wireshark Wireshark será então instalado e estará disponível para uso. Se você executar o Wireshark como um usuário não-root (o que você deve) neste estágio você encontrará uma mensagem de erro que diz.
“Nenhuma interface pode ser usada para capturar neste sistema com a configuração atual”. 

sudo groupadd wireshark

Adicionar seu nome de usuário ao grupo Wireshark – 

sudo usermod -a -G wireshark USERNAME

Alterar a propriedade do grupo de arquivo dumpcap para wireshark – 

sudo chgrp wireshark /usr/bin/dumpcap

Alterar o modo do arquivo dumpcap para permitir a execução pelo grupo wireshark – 

sudo chmod 750 /usr/bin/dumpcap

Recursos derant com setcap – 

sudo setcap cap_net_raw,cap_net_admin=eip /usr/bin/dumpcap

Verificar a alteração – 

sudo getcap /usr/bin/dumpcap

Para que é usada a Wireshark?

Wireshark tem uma aplicação ou uso bastante extenso. Aqui estão alguns exemplos do que as pessoas usam Wireshark:

  • Os administradores da rede usam-no para resolver problemas de rede
  • Os engenheiros de segurança da rede usam-no para examinar problemas de segurança
  • Os desenvolvedores usam-no para depurar implementações de protocolo
  • Outros usam-no para aprender os internos do protocolo de rede

Características Num relance

As seguintes são algumas das muitas características que o Wireshark fornece:

  • Capturar dados de pacotes ao vivo a partir de uma interface de rede.
  • Arquivos abertos contendo dados de pacotes capturados com o tcpdump/WinDump, Wireshark, e vários outros programas de captura de pacotes.
  • Importar pacotes a partir de arquivos de texto contendo hex dumps de dados de pacotes.
  • Exibir pacotes com informações de protocolo muito detalhadas.
  • Salvar dados de pacotes capturados.
  • Exportar alguns ou todos os pacotes em vários formatos de arquivos de captura.
  • Filtrar pacotes com muitos critérios.
  • Procurar pacotes com muitos critérios.
  • Colorizar exibição de pacotes com base em filtros.
  • Criar várias estatísticas.

Como usar o Wireshark para inspecionar pacotes de rede no Linux?

Capturar Pacotes

Após baixar e instalar o Wireshark, você pode lançá-lo e clicar no nome de uma interface em Interface List para iniciar a captura de pacotes nessa interface. Por exemplo, se você quiser capturar o tráfego na rede sem fio, clique na sua interface sem fio. Você pode configurar recursos avançados, clicando em Opções de Captura.

Assim que você clicar no nome da interface, você verá os pacotes começarem a aparecer em tempo real. A Wireshark captura cada pacote enviado para ou do seu sistema. Se você estiver capturando em uma interface sem fio e tiver o modo promíscuo habilitado em suas opções de captura, você também verá os outros pacotes na rede.

Codificação por cores

Você provavelmente verá os pacotes destacados em verde, azul e preto. A Wireshark usa cores para ajudá-lo a identificar os tipos de tráfego em um relance. Por padrão, verde é tráfego TCP, azul escuro é tráfego DNS, azul claro é tráfego UDP, e preto identifica pacotes TCP com problemas – por exemplo, eles poderiam ter sido entregues fora de ordem.

Conclusão

Como mencionei anteriormente, o Wireshark está disponível em todas as plataformas mas nenhuma destas outras plataformas tem a paridade de características do Linux.

Wireshark é uma ferramenta extremamente poderosa, e este tutorial está apenas arranhando a superfície do que você pode fazer com ele. Os profissionais usam-no para depurar implementações de protocolo de rede, examinar problemas de segurança e inspecionar os internos do protocolo de rede. Confira esta DOCUMENTAÇÃO oficial para mais do que você pode fazer com Wireshark.


LinuxAndUbuntu hosting é patrocinado por massiveGRID

Deixe uma resposta

O seu endereço de email não será publicado.