Como usar o Wireshark: Uma Visão Geral

Modificado em Tue, 19 Mar 2024 na (o) 09:14 AM

O Wireshark, anteriormente conhecido como Ethereal, é uma ferramenta poderosa para análise de pacotes de rede. Ele permite visualizar e analisar o tráfego de rede em tempo real, ajudando a solucionar problemas, entender padrões de comunicação e até mesmo identificar atividades indesejadas, como tráfego abusivo.

Passo-a-Passo:

  1. Selecionando a Interface de Rede: Ao iniciar o Wireshark, escolha a placa de rede conectada à qual deseja monitorar o tráfego. Em alguns casos, o Wireshark pode mostrar o nome genérico da placa, como "Microsoft", especialmente para placas sem identificação de fabricante.




2. Identificando a Placa de Rede: Se a placa desejada não estiver claramente identificada, use o menu do Wireshark para verificar qual placa está enviando e recebendo pacotes. Normalmente, a segunda placa listada é a placa de rede wireless. 



3. Visualizando Pacotes: Após selecionar a placa de rede, você começará a visualizar os pacotes que trafegam pela rede em tempo real.


4. Parando a Captura: Para interromper a captura de pacotes, basta clicar no quarto ícone do menu do Wireshark.




5. Exemplo Prático - Snifar Pedidos e Respostas DNS: Para visualizar os pedidos e respostas DNS, insira "dns" no campo de filtro. Em seguida, execute o comando nslookup na linha de comando para consultar um servidor DNS, como "www.55pbx.com". 

 


6. Detectando Tráfego Abusivo: O Wireshark pode ajudar a identificar tráfego abusivo, como torrents ou streaming ilegal. No entanto, ele só pode monitorar tráfego unicast, broadcast e multicast em redes conectadas por switches. 



7. Filtrando Protocolos Associados aos Torrents: Use o campo de filtro e insira o nome do protocolo associado aos torrents, como "bittorrent".


8. Estatísticas de Utilização de Protocolos: Para ver as estatísticas de utilização de um protocolo, vá para Estatísticas > Hierarquia de Protocolos. 



9. Identificando Endereços IP dos Peers: Para visualizar os endereços IP das máquinas funcionando como peers, vá para Estatísticas > Endpoints e selecione o separador IPv4.



10. Explorando Funcionalidades Avançadas: Além das funcionalidades básicas, o Wireshark oferece recursos avançados, como esquemas de cores personalizáveis, Follow TCP Stream e análise detalhada de protocolos, como o Three-Way Handshake do TCP. 


11. Understanding Three-Way Handshake: O Three-Way Handshake é um procedimento de estabelecimento de conexão TCP entre um cliente e um servidor, composto por três etapas: SYN, SYN-ACK e ACK.


12. Exemplo Prático do Three-Way Handshake: Para entender melhor, considere uma conexão da sua máquina com um site, como Pplware. O processo envolve troca de pacotes SYN, SYN-ACK e ACK entre cliente e servidor.

SYN – Se activo, indica um pedido de estabelecimento de ligação e a confirmação da ligação;

ACK – Se activo, o campo Número de Confirmação deve ser interpretado;



13. Exemplo Prático do Three Way Handshake:

Veja como ocorre o Three Way Handshake em uma conexão com o site Pplware, acompanhando cada fase do processo.

Durante o estabelecimento de uma sessão entre um cliente e um servidor, o cliente inicia o processo enviando um pacote de solicitação de conexão com a flag SYN ativada, juntamente com um número sequencial aleatório. 

O servidor, por sua vez, responde com um pacote SYN,ACK contendo seu próprio número sequencial aleatório e um número de confirmação igual ao número sequencial do cliente mais um. 

Para finalizar a conexão, o cliente envia um pacote ACK com o número de confirmação igual ao número sequencial do servidor mais um. 



Na prática, a sequência de eventos é semelhante a isto: 




15. Vamos agora considerar um exemplo prático: uma conexão da nossa máquina com o site Pplware. 





Na primeira fase, o cliente (192.168.1.123) envia um pedido de sincronização (SYN) para o Pplware.com. Este segmento possui um número de sequência de 0 (zero). 




Na segunda fase, o servidor responde com um pacote SYN,ACK, onde o ACK=1, o que é igual ao número sequencial do cliente mais um. 





18. Na terceira fase, o cliente responde com um pacote ACK=1 e envia o número de sequência (Seq=1), que é igual ao número sequencial do servidor mais um.

Nota: Para facilitar a identificação dos registros, podem ser utilizados os seguintes filtros:

Filtro 1: tcp.flags.syn == 1 && tcp.flags.ack == 0 Filtro 2: tcp.flags.syn == 1 && tcp.flags.ack == 1 Filtro 3: tcp.seq == 1 && tcp.ack == 1 && tcp.len == 0 && !(tcp.flags.push == 1)

Além disso, para facilitar, a funcionalidade Follow TCP Stream pode ser usada. Esta opção permite visualizar streams TCP completas, permitindo ao usuário acompanhar toda a comunicação desde o primeiro SYN até o FIN-ACK.




Este artigo foi útil?

Que bom!

Obrigado pelo seu feedback

Desculpe! Não conseguimos ajudar você

Obrigado pelo seu feedback

Deixe-nos saber como podemos melhorar este artigo!

Selecione pelo menos um dos motivos
A verificação do CAPTCHA é obrigatória.

Feedback enviado

Agradecemos seu esforço e tentaremos corrigir o artigo