Tutorial: Como Usar o Wireshark

O Wireshark é uma das ferramentas de análise de protocolo mais populares e poderosas disponíveis. É usado para capturar e analisar o tráfego de rede em tempo real. Neste tutorial, você aprenderá os conceitos básicos de como usar o Wireshark para monitorar e inspecionar o tráfego de rede.

Introdução ao Wireshark

Wireshark é um analisador de pacotes de rede que permite a captura e inspeção detalhada dos dados que trafegam em uma rede. Ele é usado para:

• Diagnosticar problemas de rede
• Analisar tráfego de rede
• Monitorar a segurança da rede

Instalação do Wireshark

Instalação no Windows

1. Baixe o instalador do Wireshark no site oficial: Wireshark Download
2. Execute o instalador e siga as instruções na tela.
3. Durante a instalação, você será solicitado a instalar o Npcap, que é necessário para a captura de pacotes.

Instalação no macOS

1. Baixe o instalador do Wireshark no site oficial: Wireshark Download
2. Execute o instalador e siga as instruções na tela.
3. Instale o Npcap quando solicitado.

Instalação no Linux

Para distribuições baseadas em Debian/Ubuntu, use:

sudo apt-get update
sudo apt-get install wireshark

Para distribuições baseadas em Red Hat/CentOS, use:

sudo yum install wireshark

Captura de Pacotes

Iniciando uma Captura

1. Abra o Wireshark.
2. Selecione a interface de rede que você deseja monitorar (por exemplo, eth0, wlan0).
3. Clique no ícone de “tubarão” azul para iniciar a captura de pacotes.

Filtrando a Captura

Durante a captura, você verá uma grande quantidade de pacotes. Para filtrar e visualizar apenas os pacotes de interesse, use filtros de captura. Por exemplo, para capturar apenas pacotes HTTP:

tcp port 80

Análise de Pacotes

Navegando nos Pacotes

Após capturar os pacotes, você pode analisá-los na janela principal do Wireshark. A interface é dividida em três painéis:

1. Lista de Pacotes: Exibe todos os pacotes capturados.
2. Detalhes do Pacote: Mostra detalhes do pacote selecionado.
3. Dados do Pacote: Exibe os dados brutos do pacote.

Usando Filtros de Exibição

Os filtros de exibição ajudam a focar nos pacotes que são relevantes para a análise. Exemplos de filtros de exibição:

• HTTP: http
• TCP: tcp
• IP de origem específico: ip.src == 192.168.1.1
• IP de destino específico: ip.dst == 192.168.1.2

Análise de Pacotes HTTP

Para analisar pacotes HTTP:

1. Use o filtro de exibição http.
2. Selecione um pacote HTTP na lista de pacotes.
3. No painel de detalhes do pacote, expanda a seção HTTP para visualizar os detalhes da requisição ou resposta HTTP.

Análise de Pacotes TCP

Para analisar pacotes TCP:

1. Use o filtro de exibição tcp.
2. Selecione um pacote TCP na lista de pacotes.
3. No painel de detalhes do pacote, expanda a seção TCP para visualizar informações sobre portas de origem e destino, flags e números de sequência.

Recursos Avançados

Reconstrução de Sessões TCP

Wireshark permite reconstruir sessões TCP para visualizar a comunicação completa entre cliente e servidor.

1. Use o filtro de exibição tcp.
2. Selecione um pacote TCP.
3. Clique com o botão direito e selecione “Follow” > “TCP Stream”.

Exportação de Pacotes

Você pode exportar pacotes capturados para análise posterior.

1. Vá para File > Export Packet Dissections.
2. Selecione o formato desejado (por exemplo, CSV, JSON).
3. Salve o arquivo exportado.

Captura Remota

Wireshark permite capturar pacotes de uma máquina remota utilizando o protocolo RPCAP.

1. No computador remoto, instale o rpcapd.
2. Inicie o serviço rpcapd.
3. No Wireshark, vá para Capture > Options.
4. Adicione o endereço do servidor remoto e inicie a captura.

Filtros Avançados

Para criar filtros avançados, você pode combinar múltiplos critérios usando operadores lógicos:

• AND: ip.src == 192.168.1.1 && tcp.port == 80
• OR: http || dns
• NOT: !arp

Análise de VoIP

Wireshark suporta a análise de tráfego VoIP.

1. Use o filtro de exibição rtp.
2. Selecione um pacote RTP.
3. Vá para Telephony > VoIP Calls para visualizar e reproduzir chamadas VoIP.

Dicas e Truques

Salvando Capturas

Para salvar uma captura de pacotes:

1. Vá para File > Save As.
2. Escolha o local e o formato do arquivo (por exemplo, PCAP).

Utilizando Marcadores

Você pode marcar pacotes importantes para referência futura.

1. Selecione um pacote.
2. Clique com o botão direito e selecione “Mark/Unmark Packet”.

Colorindo Pacotes

Wireshark permite aplicar cores aos pacotes com base em critérios específicos para facilitar a análise visual.

1. Vá para View > Coloring Rules.
2. Adicione regras de coloração baseadas em filtros de exibição.

Dicas de Segurança

• Certifique-se de ter as permissões adequadas para capturar tráfego na rede.
• Não capture tráfego em redes que você não tem permissão para monitorar.

Conclusão

O Wireshark é uma ferramenta incrivelmente útil para qualquer pessoa interessada em entender o tráfego de rede. Este tutorial cobriu os conceitos básicos de como usar o Wireshark, mas há muito mais que você pode fazer com ele. Consulte a documentação oficial para aprender mais sobre suas capacidades avançadas.

Lucas Catão de Moraes

Amante por tecnologia Especialista em Cibersegurança e Big Data, Formado em Administração de Infraestrutura de Redes, Pós-Graduado em Ciências de Dados e Big Data Analytics e Machine Learning, Com MBA em Segurança da Informação, Escritor do livro ” Cibersegurança: Protegendo a sua Reputação Digital”.