- O que é Wireshark?
- Quais são as principais características da Wireshark?
- Como instalar ou baixar Wireshark?
- Como capturar e analisar pacotes de dados usando Wireshark?
- Como analisar os pacotes de rede capturados?
- Como a Wireshark ajuda no monitoramento do desempenho da rede?
- Qual é o papel dos filtros no Wireshark?
- Como usar codificação por cores no Wireshark?
- Como visualizar estatísticas de rede no Wireshark?
- Como visualizar pacotes de rede com gráficos IO?
- Como expandir as capacidades do Wireshark?
>
>
>
>
>
>
>
Com um aumento na demanda por serviços e aplicações acessíveis, uma boa rede se tornou mais importante do que nunca. Questões como perda de pacotes, latência, tempo de inatividade da rede, erros freqüentes e perturbações podem dificultar a experiência geral do usuário. O monitoramento da rede tornou-se um requisito crucial e fundamental para pequenas, médias e grandes empresas. É considerada a primeira linha de defesa quando o desempenho do servidor de rede começa a deteriorar-se. As ferramentas de monitoramento de rede ajudam as equipes a avaliar a disponibilidade dos dispositivos de rede, verificar a saúde geral da rede e solucionar problemas de desempenho, como consumo/utilização de banda e tempo de inatividade da rede.
Como o mercado está inundado por uma grande variedade de ferramentas de monitoramento de rede, torna-se um desafio tomar a decisão de escolher uma solução de monitoramento confiável. Diferentes ferramentas de monitoramento de rede oferecem diferentes graus de desempenho e capacidades de integração. Algumas oferecem uma arquitetura totalmente integrada, enquanto outras incluem múltiplos componentes como bancos de dados, mecanismos de votação, consoles de gerenciamento e muito mais. Pode ser confuso para os administradores de rede escolher a melhor solução com recursos de monitoramento confiáveis e eficazes. Portanto, antes de fazer uma seleção, as organizações precisam considerar fazer as seguintes perguntas aos administradores.
- Quais dispositivos precisam de monitoramento?
- Existe a necessidade de monitorar toda a rede da organização ou múltiplas redes?
- Como a ferramenta de monitoramento de rede irá se integrar com o sistema existente?
- Que tipo de funcionalidades centrais uma ferramenta deve ter?
Pesquisa minuciosa precisa ser feita para determinar qual ferramenta oferece as características mais benéficas para a organização a longo prazo. Este post cobre um dos analisadores de rede mais confiáveis disponíveis no mercado, conhecido como Wireshark. Vamos dar uma olhada no que é Wireshark, como ele ajuda na detecção de problemas de segurança, resolução de erros de rede, protocolos de depuração, e como as capacidades do Wireshark podem ser melhoradas para o monitoramento avançado da rede.
- O que é Wireshark?
- Como Funciona?
- Quais são as principais características da Wireshark?
- Como instalar ou baixar o Wireshark?
- Como capturar e analisar pacotes de dados usando Wireshark?
- Como analisar os pacotes de rede capturados?
- Packet List
- Packet Details
- Packet Bytes
- Como o Wireshark ajuda no monitoramento do desempenho da rede?
- Qual é o papel dos filtros no Wireshark?
- Como usar codificação por cores no Wireshark?
- Como ver as estatísticas da rede no Wireshark?
- Como visualizar pacotes de rede com gráficos IO?
- Como expandir as capacidades da Wireshark?
- SolarWinds Network Performance Monitor
- SolarWinds Response Time Viewer for Wireshark
- Cloudshark
- Sysdig
- Debooke
- Pensamentos Finais
O que é Wireshark?
Wireshark é conhecido como o analisador de tráfego de rede líder mundial. É a melhor ferramenta para administradores de sistema e profissionais de TI para solucionar problemas de erros de rede em tempo real. Wireshark detecta rapidamente problemas de rede, tais como latência, atividade suspeita e pacotes descartados. Ele pode detalhar o tráfego e descobrir a causa raiz de um problema. Normalmente, os administradores de rede usam Wireshark para resolver problemas de latência causados por equipamentos usados para encaminhar o tráfego ao redor do mundo e para monitorar as tentativas de exfiltração de dados contra as operações comerciais. Wireshark é uma ferramenta poderosa mas gratuita, que requer um conhecimento extensivo dos conceitos básicos da rede. Para fazer o melhor uso da ferramenta, os administradores precisam ter um sólido entendimento de protocolos como TCP/IP e DHCP.
Como Funciona?
Wireshark é uma ferramenta popular de código aberto para capturar pacotes de rede e convertê-los em formato binário legível por humanos. Ele fornece todos os detalhes da infra-estrutura de rede da organização. Consiste em dispositivos desenhados para ajudar a medir as entradas e saídas da rede. As informações coletadas através da Wireshark podem ser utilizadas para diversos fins, tais como análise da rede em tempo real ou offline, identificação do tráfego que entra em sua rede, sua freqüência e sua latência entre lúpulos específicos. Isto ajuda os administradores de rede a gerar estatísticas baseadas em dados em tempo real.
Besideside monitoramento de rede, as organizações usam Wireshark para depuração de programas, examinando questões de segurança, e aprendendo os internos do protocolo de rede. O Wireshark é projetado para executar eficientemente funções relacionadas a pacotes e analisar e exibir as métricas da rede através do console de gerenciamento.
- Exibir informações de pacotes na forma de gráficos, gráficos e mais
- Capturar, exportar, pesquisar, salvar, e importar pacotes de dados ao vivo
- Relatos do tipo biblia baseados em dados estatísticos em tempo real
- Pacotes de filtro baseados na prioridade
>
Wireshark também oferece uma ótima interface com o usuário, pois é fácil de usar, uma vez que as equipes se familiarizam com os conceitos básicos de captura de pacotes.
Quais são as principais características da Wireshark?
Wireshark consiste em um rico conjunto de características incluindo o seguinte:
- Captura em directo e análise offline
- Análise VoIP rica
- Ler/escrever muitos formatos diferentes de ficheiros de captura
- Capturar ficheiros comprimidos (gzip) e descomprimi-los em tempo real
- Inspecção detalhada de centenas de protocolos
- Terceiro padrãopane packet browser
- Pacotes de rede capturados podem ser navegados através de um utilitário GUI ou TShark
- Multi-plataforma facilmente executada no Linux, Windows, OS X e FreeBSD
- Potentes filtros de exibição
- Output pode ser exportado para XML, CSV, PostScript ou como texto simples
- Lista de pacotes pode usar regras de cores para uma análise rápida e intuitiva
>
>
>
>
Como instalar ou baixar o Wireshark?
Para usar o Wireshark, a primeira coisa que os usuários precisam fazer é baixar e instalar o Wireshark no sistema. Certifique-se de baixar a última versão da ferramenta diretamente do website da empresa para uma melhor experiência de execução. Abaixo estão alguns passos que podem ser facilmente baixados e instalados.
- Instalar no Mac
Para instalar o Wireshark com sucesso no Mac, os usuários precisam baixar um instalador como o xquartz. Uma vez que o instalador é baixado, abra o Terminal e digite o seguinte comando:
<% /Applications/Wireshark.app/Contents/Mac0S/Wireshark>
Espere apenas para o Wireshark iniciar. - Instalar no Windows
Para executar o Wireshark no Windows, visite o site da empresa (Wireshark) e baixe o programa. Uma vez terminado, basta iniciar o processo de instalação. Instale também o WinPcap quando ele pedir para fazê-lo durante o processo de instalação. WInPcap é importante para instalar pois ajuda na captura de tráfego de rede ao vivo, e sem ele, os usuários só podem acessar os arquivos de captura já salvos. Para instalar o WinPcap, selecione a caixa Install WinPcap.
- Instalar no Unix
Instalação do Wireshark no Unix envolve o download de um par de ferramentas como Glib, GTK+ e libcap. Ambos Glib e GTK+ podem ser instalados a partir do mesmo kit de ferramentas. Uma vez que todas essas três ferramentas de suporte, juntamente com o Wireshark, são baixadas, o Wireshark pode ser extraído do arquivo tar.
gzip -d wireshark-1.2-tar.gztar xvf wireshark-1.2-tar
Mude o arquivo tar para o diretório Wireshark e digite os seguintes comandos:./configure
make
make install
Inicie o Wireshark no sistema Unix.
Como capturar e analisar pacotes de dados usando Wireshark?
Uma das principais funções do Wireshark é capturar pacotes de dados para conduzir uma análise detalhada da rede. No entanto, pode ser complicado para iniciantes que não estão familiarizados com os passos envolvidos. Há principalmente três passos importantes:
- Acesso a privilégios administrativos para começar a capturar os dados em tempo real diretamente no dispositivo
- Selecionar a interface de rede certa para capturar pacotes de dados
- Selecionar a localização certa dentro da rede para capturar pacotes de dados
Após seguir os passos acima, o Wireshark está pronto para capturar pacotes. Normalmente, existem dois modos de captura: promíscuo e monitor. O modo promíscuo define a interface da rede para capturar apenas os pacotes para os quais está designado. O modo monitor é usado por sistemas Unix/Linux e define a interface sem fio para capturar o máximo da rede que puder. Os dados coletados durante a captura de pacotes são exibidos em um formato legível por humanos, para que seja mais fácil de entender. Como o Wireshark quebra os pacotes capturados em um formato legível, os usuários podem realizar várias outras tarefas, como selecionar filtros para encontrar informações precisas e código de cores as informações cruciais. Com o Wireshark, os administradores também podem monitorar várias redes simultaneamente.
Usualmente, o modo promíscuo é usado pelos administradores de sistema para obter uma visão aérea da transferência dos pacotes de rede. Ao desativar este modo, apenas um pequeno instantâneo da rede é fornecido, o que não é suficiente para conduzir uma análise de qualidade. O modo promíscuo pode ser facilmente ativado ao clicar nas opções de captura fornecidas na caixa de diálogo. No entanto, o modo promíscuo não está disponível em todos os softwares ou sistemas operacionais. Portanto, os usuários precisam confirmar a compatibilidade do software visitando o site da Wireshark ou usando o gerenciador de dispositivos para verificar as configurações (caso você seja um usuário Windows).
Como analisar os pacotes de rede capturados?
Após a captura dos dados da rede, a lista de pacotes de rede é exibida no console de gerenciamento centralizado ou no painel de controle. A tela consiste em três painéis: lista de pacotes, bytes de pacotes e detalhes dos pacotes. Entretanto, para obter informações importantes sobre pacotes individuais, os usuários precisam clicar em qualquer um dos painéis mencionados acima.
Packet List
O painel lista de pacotes consiste de pacotes de rede capturados navegáveis baseados no carimbo da hora para mostrar exatamente quando o pacote foi capturado, o nome do protocolo do pacote, a origem e destino do pacote, e informações de suporte.
Packet Details
Packet details pane provides information about the chosen packet. Os usuários podem expandir cada seção e aplicar filtros para obter informações sobre itens específicos.
Packet Bytes
Packet bytes pane consiste nos dados internos do pacote que o usuário seleciona. Os dados são exibidos em um formato hexadecimal por padrão.
Como o Wireshark ajuda no monitoramento do desempenho da rede?
Após os pacotes de rede serem capturados, o próximo passo é monitorá-los e analisá-los. Wireshark é uma ótima ferramenta para analisar e monitorar a rede ativa da organização. Antes de fazer isso, é importante fechar todas as aplicações ativas na rede para reduzir o tráfego, o que ajuda a dar uma imagem clara da rede. Desligar todas as aplicações não resultará em perda de pacotes; na verdade, o envio e recebimento de pacotes ainda é um processo contínuo.
No entanto, conceituar a enorme quantidade de dados no total não é mais fácil. Portanto, a Wireshark quebra esses componentes em diferentes formas para ver o que está acontecendo dentro da rede. Para ajudar os usuários a entender e analisar rapidamente os dados que chegam, Wireshark usa codificação por cores, filtros, estatísticas de rede para segregar os dados da rede.
Qual é o papel dos filtros no Wireshark?
Filtros são benéficos ao analisar arquivos grandes e uma quantidade considerável de dados. Os filtros ajudam os administradores a encontrar dados específicos da rede de milhares de pacotes viajando pela rede a cada segundo. Wireshark usa os dois tipos mais comuns de filtros: Captura e Visualização, para segregar dados com base na sua relevância. O filtro de captura reúne os dados de monitoramento ao vivo, reduzindo o tamanho dos pacotes de entrada. Isto ajuda na filtragem dos pacotes não essenciais durante a captura ao vivo. Entretanto, os filtros de captura são definidos antes do início do processo de filtragem e não podem ser modificados uma vez que o processo tenha começado. Filtros de exibição, por outro lado, são usados para filtrar os dados já registrados.
Como usar codificação por cores no Wireshark?
Codificação por cores é feita para destacar os diferentes pacotes com base em certos fatores. Isso ajuda os usuários a identificar os pacotes com base nas cores. Por exemplo, o UDP é denotado por azul claro, ICMP com rosa claro, tráfego TCP por roxo claro, e os pacotes com erros são destacados com preto. As configurações padrão da Wireshark usam vinte cores diferentes para indicar vários parâmetros. Os usuários podem modificar, editar, adicionar ou excluir as configurações de acordo com suas necessidades. A colorização também pode ser desabilitada desligando o campo Colorize Packet List.
Como ver as estatísticas da rede no Wireshark?
Os dados estatísticos são benéficos para fornecer informações detalhadas sobre a sua rede. Para ver essas estatísticas, clique no menu suspenso de estatísticas fornecendo métricas que vão desde tempo e tamanho até gráficos e gráficos de plotagem. Os usuários também podem aplicar um filtro de exibição para restringir a lista de opções e descobrir as informações relevantes. O menu suspenso de estatísticas exibe as seguintes métricas:
- Conversations: Mostra as conversas de dois pontos terminais como dois endereços IP diferentes
- Pontos terminais: Exibe a lista de endpoints
- Gráficos IO: Exibe todos os gráficos
- Hierarquia de protocolos: Exibe a tabela de pacotes capturados
- Estatísticas RTP_statistics: Ajuda os usuários a salvar o conteúdo do fluxo de áudio RTP em arquivo Au-
- Multicast Stream: Mede a velocidade de outros componentes identificando os streams multicast
- TcpPduTime: O tempo necessário para transmitir dados da Unidade de Protocolo de Dados
- Chamadas VoIP_: O número de chamadas VolP recebidas de capturas ao vivo
- Service Response Time: O tempo que a rede leva para responder a uma solicitação
Como visualizar pacotes de rede com gráficos IO?
Pacotes de dados ou o tráfego de rede pode ser representado em um formato visual conhecido como gráficos IO. Os usuários podem visualizar os gráficos IO clicando no menu de estatísticas e selecionando a aba gráfico IP. Uma vez aberta a janela do gráfico, os usuários podem visualizar os dados que desejam, configurando as configurações do gráfico de acordo. Devido às configurações padrão da Wireshark, apenas um gráfico é exibido de cada vez. Se os usuários quiserem ativar mais gráficos simultaneamente, basta ativá-los. Além disso, os usuários também podem personalizar os gráficos usando filtros e códigos de cores para descobrir as informações relevantes para o propósito. Os usuários também podem modificar a estrutura dos gráficos a partir da coluna de estilo e podem escolher qualquer um deles: Line, Dot, Impulse, Fbar. Os usuários também podem não só ajustar o estilo dos gráficos como também interagir com as métricas dos eixos X e Y dos gráficos. Uma vez feitas as configurações, os gráficos podem ser armazenados em um formato de arquivo para propósitos futuros.
Como expandir as capacidades da Wireshark?
Sem dúvida, a Wireshark é um grande farejador de pacotes, mas faltam-lhe alguns avanços quando se trata de satisfazer as crescentes necessidades de monitorização da rede. As capacidades de monitoramento da Wireshark podem ser melhoradas usando ferramentas complementares como SolarWinds® Response Time Viewer for Wireshark, Show Traffic, Cloudshark, e NetworkMiner. Abaixo estão descritas as características, capacidades, funções dessas ferramentas e como elas ajudam a melhorar as capacidades de monitoramento de rede do Wireshark.
SolarWinds Network Performance Monitor
>
SolarWinds Network Performance Monitor (NPM) é um poderoso software de monitoramento de rede usado para detectar, diagnosticar e resolver problemas e interrupções de rede. A ferramenta foi especialmente concebida para a resolução avançada de problemas de rede para serviços no local, híbridos e em nuvem, e detecta problemas com a sua análise “hop-by-hop”. Ela não só ajuda a tornar a rede escalável, mas também segura. O NPM também é capaz de reduzir o tempo de inatividade, resultando em maior eficiência operacional, disponibilidade de rede e aplicações de alto desempenho. Ele oferece recursos prontos para uso, incluindo painéis de controle intuitivos, sistemas avançados de alerta, relatórios personalizados, análise de pacotes, e muito mais. Além da análise hop-by-hop, o NPM oferece monitoramento de disponibilidade, correlação de dados de rede cross-stack, topologia personalizável, descoberta de rede, recursos de mapeamento, análise de captura de pacotes, gráficos de desempenho de rede de arrastar e descobrir, linhas de base estatísticas de desempenho de rede e monitoramento da saúde do hardware. Com o NPM, áreas com sinais fracos ou zonas mortas da rede podem ser identificadas rapidamente usando mapas de calor Wi-Fi. Experimente-o com uma avaliação gratuita e totalmente funcional.
SolarWinds Response Time Viewer for Wireshark
SolarWinds Response Time Viewer for Wireshark permite aos usuários detectar e analisar as capturas de pacotes da Wireshark e solucionar falhas de desempenho da rede em tempo real. Ele pode executar várias tarefas, como identificar mais de 1200 aplicativos, calcular seu tempo de resposta de rede, exibir dados e valor de transação, visualização de caminho crítico com o Netpath e monitoramento e gerenciamento de rede sem fio. A avaliação desses parâmetros ajuda os usuários a determinar falhas e falhas de rede.
Cloudshark
Cloudshark é uma plataforma projetada para exibir arquivos de captura de rede diretamente no navegador, sem a necessidade de aplicativos ou ferramentas desktop. Basta carregar, enviar por e-mail ou link os arquivos de captura e obter os resultados. Ele ajuda a resolver problemas de rede de forma mais rápida e sem falhas. Além disso, ele inclui recursos como arquivos de captura de arrastar e soltar, atividade do tipo drop-box, permite o compartilhamento de links com colegas de trabalho e oferece análise avançada.
Sysdig
Sysdig é um poderoso sistema de monitoramento de rede flexível, multiplataforma e open-source, projetado especificamente para Linux. Ele também funciona para Windows e Mac OSX, mas com funcionalidades limitadas, como inspeção, depuração e análise do sistema. Sysdig usa várias ferramentas de monitoramento e solução de problemas para o desempenho do sistema Linux, como por exemplo:
- Strace (para descobrir chamadas de sistema)
- htop (para monitoramento de processos em tempo real)
- iftop (para real-monitoramento de largura de banda de tempo)
- netstat (para monitoramento de conexão de rede)
- tcpdump (para monitoramento de tráfego de rede bruto)
- Isof (para conhecer o processo usado para visualizar os arquivos abertos)
Sysdig integra todas as ferramentas mencionadas acima e as oferece em um único programa. Os usuários podem facilmente capturar, filtrar, salvar, modificar, rastrear e examinar o tráfego de rede e o comportamento real dos sistemas Linux. As características do Sysdig incluem:
- Integrações do Orchestrator
- Dashboards intuitivos
- Cloud-integrações de plataformas
- Integrações de aplicações
- Alerta e gestão de eventos
- Gestão de vulnerabilidades
- Geração de relatórios de conformidade/ auditoria
- Mapas de topologia
- Detecção de erros de tempo de execução
- Arquivos de captura
- Sinal único…on
>
>
>
>
>
>
>
>
Debooke
Debooke é uma das mais simples e poderosas ferramentas de monitoramento de rede e analisador de tráfego para MacOS. A ferramenta permite aos usuários interceptar e monitorar o tráfego de rede de qualquer dispositivo na mesma sub-rede. Ela ajuda a capturar dados de pacotes de rede de dados de qualquer dispositivo, como um celular, impressora, Mac, TV, e muito mais, sem usar um proxy. Características do Debooke:
- Pista de uso e consumo de largura de banda Wi-Fi
- Ajuda com monitoramento de rede e análise profunda
- Exibe os clientes Wi-Fi e as APIs às quais eles estão associados
- Scan IP, LAN para acompanhar todos os dispositivos ativos e conectados
Pensamentos Finais
Wireshark é uma ferramenta simples, porém versátil e poderosa de monitoramento de rede. É fácil de usar e fácil de aprender. Além do monitoramento, a Wireshark oferece recursos adicionais de análise de rede, tais como:
- Gráficos de IO para ajudar os usuários a compreender visualmente sua rede
- Código de cores para destacar diferentes parâmetros ou informações de rede para uso futuro
- Filtros para obter as informações relevantes necessárias para a finalidade
No entanto, para os novos usuários que estão dispostos a experimentar o Wireshark, é aconselhável fazer algumas pesquisas adicionais e obter informações detalhadas sobre o Wireshark visitando o site. Para os usuários existentes que estão procurando por recursos mais avançados de monitoramento e análise da rede e querem criar seus dissetores de protocolo, tente usar os plugins externos e programas de suporte destacados acima.
SolarWinds Network Performance Monitor e Response Time Viewer for Wireshark são ferramentas profissionais e funcionam de forma surpreendente. Eles podem não apenas identificar e solucionar problemas de rede em tempo real, mas também executar várias tarefas simultaneamente, como exibir dados essenciais, calcular o tempo de resposta da rede, e muito mais. Estas ferramentas aumentam drasticamente a profundidade dos esforços de análise da rede.