Wireshark: Analisador de rede em detalhes

Wireshark: Analisador de rede em detalhes

Desta vez, vamos falar sobre um dos analisadores de rede mais comuns que existem no momento, Analisador de Rede Wireshark, que tem mais de 500.000 downloads por mês, e por isso mostra sua eficácia, confiança e suporte na análise de uma infraestrutura de rede.

Dentro do Recursos do Wireshark podemos destacar o seguinte:

  • Disponível para sistemas Windows e Unix.
  • Podemos filtrar os pacotes de acordo com os critérios estabelecidos.
  • É possível capturar instantâneos de pacotes em uma interface de rede.
  • É possível importar pacotes em formato de texto.
  • Podemos pesquisar pacotes usando uma variedade de critérios.
  • Permite criar estatísticas, entre outras.

Para execute o Wireshark em ambientes Windows precisamos dos seguintes requisitos:

  • 400 MB de RAM
  • Pode ser executado em qualquer versão do Windows, tanto no nível do servidor quanto da área de trabalho
  • 300 MB de espaço no disco rígido

Para ambientes UNIX, o Wireshark pode funcionar nas seguintes plataformas:

  • Debian
  • Apple OS X
  • FreeBSD
  • Sun solaris
  • Mandriva Linux, entre outros.

Antes de começarmos como o Wireshark funciona, vamos lembrar alguns conceitos sobre redes, já que tudo isso está submerso neste mundo. Vamos lembrar que a principal função de rede é permitir a transferência de dados entre dois ou mais dispositivos e tudo isso graças a um trabalho conjunto entre hardware e software.

O projeto de uma rede pode ser estruturado de duas maneiras:

  • Servidor cliente
  • Pessoa para pessoa

O Wireshark foi projetado para exibir suas informações entre as camadas 2 a 7 do modelo OSI. Com o Wireshark poderemos realizar o monitoramento ao vivo do tráfego de rede de nossa organização, permitindo-nos determinar problemas, realizar análises e mais algumas tarefas permitindo o correto funcionamento do ambiente de rede. Como tal, podemos concluir que Wireshark é um analisador de pacotes.

Para este estudo, vamos usar um ambiente Windows 7. Depois de fazer o download do Wireshark, prosseguimos com a instalação da seguinte maneira:

1. Baixe e instale o Wireshark


O software Wireshark pode ser baixado do seguinte link:

Lá encontraremos os arquivos de download compatíveis para os sistemas:

  • janelas
  • MAC
  • Linux

Executamos o arquivo para instalá-lo e o processo começará. Nós aceitamos. Vamos clicar no botão eu concordo Para aceitar os termos da licença, uma vez feito isso, devemos selecionar os componentes para instalar o Wireshark.

Nós clicamos em Próximo e podemos escolher se vamos adicionar ou não os ícones de atalho e, incidentalmente, determinar as extensões de arquivo associadas ao Wireshark. Então, onde o Wireshark será instalado. Em seguida, a ferramenta nos diz se queremos ou não instalar WinPcap (isso é necessário para capturas de pacotes ao vivo), selecionamos a caixa, por padrão, e clicamos em Próximo.

Então podemos escolher se vamos ou não instalar a ferramenta USBPcap, Está permite que o tráfego USB seja capturado, o mais aconselhável é instalá-lo, marcamos a caixa e clicamos no Instalar para iniciar o processo de instalação.

Uma vez terminado, já teremos nosso aplicativo Wireshark Network Analyzer instalado pronto para ir. Agora, em lnos, conhecemos o uso e a essência deste ótimo aplicativo.

2. Como usar o Wireshark

Veremos que as capturas de pacotes que temos que fazer são baseadas em uma conexão de área local, outros tipos de conexões podem aparecer como Wi Fi, Bluetooth, etc. Ao clicar duas vezes em nossa interface, veremos que todo o tráfego atual é exibido:

Ao clicar no ícone Podemos editar todas as opções da nossa rede, vamos ver qual janela nos mostra quando pressionamos este ícone:

PROLONGAR

Podemos ver que temos o endereço IP atual do sistema, o tamanho do buffer, etc. Na guia Opções Temos alternativas que podemos selecionar como atualização de pacotes em tempo real, resolução de nomes de rede, entre outras.

Assim que fizermos as alterações, pressionaremos Começar. Deve-se notar que nesta opção configuramos as características mais importantes do Wireshark, por exemplo habilitar o modo promíscuo (habilitar todos os pacotes) ou limite o tamanho do pacote para captura. Vamos dar uma olhada no ambiente Wireshark um pouco.

Na primeira linha, antes de conhecermos um pouco o cardápio, vemos o seguinte:

Esta linha é composta pelo seguinte:

  • N °: Identifique o número interno do processo.
  • Tempo: Tempo de conexão entre origem e destino
  • Fonte: IP fonte
  • Destino: IP de destino
  • Protocolo: Protocolo usado para transferência
  • Comprimento: Tamanho do pacote
  • Info: Informações adicionais de destino

Se quisermos salvar o trabalho atual, podemos fazê-lo através do menu Arquivo, opção Salvar ou Salvar Como. Para abrir este arquivo usaremos a opção Abrir do menu Arquivo.

Como vemos no analisador de pacotes temos muitas informações, por exemplo, se revisarmos o Coluna de protocolo Veremos que existem protocolos ARP, HTTP, TCP entre outros, se quisermos apenas ver os protocolos TCP usaremos o filtro, para isso inserimos o termo TCP na caixa "Aplicar um filtro de exibição" localizado na parte superior e darmos Enter ou pressionar o botão Aplicar este filtro, veremos que na coluna Protocolo existem apenas os Protocolos TCP.

PROLONGAR

PROLONGAR

Podemos exportar nossos dados para diferentes tipos de formato para uma melhor análise, estes podem ser exportados para HTTP, SMB, TFTP, etc. Para realizar a exportação iremos ao menu Arquivo e escolheremos Exportar Objetos, escolheremos a opção HTTP.

Este é o resultado de nossa exportação:

Vamos dar uma olhada nas diferentes opções da barra de menu no Wireshark.

Arquivo> Arquivo
Dentro deste menu encontramos opções básicas como abrir, salvar, exportar, imprimir, entre outras. Acabamos de observar o processo de exportação de um arquivo.

Editar> Editar
A partir deste menu, podemos executar tarefas como copiar, encontrar pacotes, estabelecer comentários, etc. Vamos revisar algumas dessas opções em detalhes.

Por exemplo, se quisermos encontre todos os pacotes DNS dentro do quadro, vamos abrir o Opção de encontrar e inseriremos a palavra DNS ou podemos usar a combinação CTRL + F:

PROLONGAR

Podemos ver que todos os pacotes DNS estão destacados. Para adicionar um comentário, usaremos o Opção de comentário de pacote.

Veremos isso refletido no menu principal:

PROLONGAR

Ver> Ver
A partir desta opção podemos definir os tipos de visão que nosso Wireshark terá, bem como definir o formato da hora, o tamanho das colunas, as regras de cores, etc.

Podemos executar o Opção Colorize Rules para determinar, e se queremos editar, as cores atribuídas aos diferentes protocolos.

Se quiser criar um novo protocolo, basta clicar em +, definir o nome e a cor e clicar em OK.

Capturar> Capturar
Com esta opção, podemos iniciar, parar ou reiniciar uma captura de pacote

No Opção de captura de filtros podemos definir os parâmetros da captura.

Analisar> Análise
Dentro deste menu podemos criar filtros, editar filtros, habilitar ou desabilitar protocolos, entre outras tarefas.

Podemos implantar o Opção de filtros de exibição para observar e, se necessário, modificar os filtros atuais.

Se quisermos adicionar mais filtros, pressionamos o botão +, se quisermos remover um filtro, pressionamos o botão -. Podemos analisar a lista completa de todos os protocolos habilitados usando a opção Protocolos Ativados ou usando a combinação de teclas:

Ctrl + Shift + E

PROLONGAR

Lá observamos o protocolo e sua descrição.

Estatísticas> Estatísticas
É talvez um dos menus mais completos já que a partir dele podemos fazer relatórios, gráficos e outras utilidades para ver o estado dos pacotes.

Como podemos ver, temos várias alternativas para ver suas estatísticas, por exemplo, vamos criar um gráfico de entrada e saída Gráfico I / O.

No gráfico, podemos criar configurações como a cor da linha, o intervalo de frequência, dia específico, etc. Se selecionarmos a opção Propriedades do arquivo de captura Veremos as propriedades dos arquivos de captura como seu tamanho, o tipo de criptografia, o primeiro e o último pacote, entre outros detalhes.

Se você selecionar a opção Estatísticas IPv4 e nós escolhemos Todos os endereços Veremos o seguinte relatório detalhado:

Se quisermos ver o comportamento do Streaming TCP podemos usar a opção Gráficos de fluxo TCP e selecione o tipo de gráfico, veremos o seguinte:

No Digite FastTab podemos modificar o tipo de gráfico. Com opção Hierarquia de protocolo Podemos ver em detalhes os pacotes enviados, o tamanho, etc.

Telefonia> Telefonia
Nesta opção podemos analisar tudo o que se relaciona com os protocolos associados aos meios telefónicos (quando utilizamos este meio), podemos ver informações como:

  • Mensagens UCP
  • Mensagens ISUP
  • Estatísticas SIP, etc.

Podemos abrir qualquer uma dessas opções, mas como não estamos trabalhando com protocolos de telefone, o resultado será zero (0).

Sem fio
Dentro deste menu, encontramos informações relacionadas ao Dispositivos sem fio pareados com Wireshark (por exemplo, quando trabalhamos com um laptop, celular etc.)

Como neste estudo estamos trabalhando mais com a rede LAN (não com WiFi) todas as opções neste menu aparecerão como zero ou vazias.

Ferramentas> Ferramentas
Dentro deste menu, encontraremos tudo relacionado a App LUA, este é um console que permite aos desenvolvedores criar scripts para aprimorar ou estender os aplicativos.

Ajuda> Ajuda
A partir deste menu podemos acessar a ajuda do Wireshark, ver as telas de como executá-lo, acessar o site da empresa, entre outros. Podemos perceber isso com a opção Sobre o Wireshark Podemos ver os atalhos de teclado incluídos nele, o que pode nos ajudar a acelerar certos processos.

Por exemplo, quando usamos filtros, devemos ter em mente que podemos usar alguns parâmetros como:

  • Igual a: eq ou ==
  • Não é o mesmo: ne ou! =
  • Maior do que: gt ou>
  • Menor que: lt ou <
  • Maior ou igual: ge ou> =
  • Menor ou igual: ele ou <=

Podemos fazer uma pesquisa usando a seguinte sintaxe: 

 tcp contém "solvetic.com"
Em relação aos protocolos, podemos citar que os seguintes são os mais comuns e com alguns de seus acréscimos:
  • ssl > Protocolo SSL (Socket Secure Layer).
  • telnet > Telnet.
  • dns > DNS. (Sistema de Nome de Domínio)
  • msnms > Mensagens instantâneas (Messenger).
  • ftp > Protocolo FTP (podemos ver o nome de usuário e a senha).
  • ftp-data > Permite a visualização dos dados do protocolo FTP.
  • ip > Protocolo IP.
  • ip.src == 192.168.1.10 > Endereço IP de origem.
  • ip.dst == 192.168.1.30 > Endereço IP de destino.
  • tcp > Protocolo TCP
  • tcp.port == 80 > Indicamos os pacotes com a porta desejada.
  • tcp.srcport == 80 > Indicamos o porto de origem.
  • tcp.dstport == 80 > Indicamos a porta de destino.
  • http > Protocolo HTTP
  • http.host == ”www.solvetic.com” > Queremos ver os pacotes que têm o Solvetic como host.
  • http.date == "Quarta, 25 de maio de 2016 17:08:35 GMT" > Pacotes relativos a uma data
  • http.content_type == ”application / json” > O tipo de aplicação pode variar
  • http.content_type == ”image / png” > Imagens PNG
  • http.content_type == ”imagem / gif.webp” > Imagens GIF.webp
  • http.content_type == ”image / jpeg.webp” > Imagens JPEG.webp
  • http.content_type == ”text / html” > Arquivos HTML
  • http.content_type == "text / css" > Folhas de estilo CSS
  • http.content_type == ”video / quicktime” > Vídeos
  • http.content_type == ”application / zip” > Arquivos ZIP
  • http.request.method == ”GET” > Tipo de solicitação GET
  • http.request.method == ”POST” > Tipo de solicitação POST
  • http.user_agent contém "Mozilla" > Navegador Mozilla
  • http.request.uri corresponde a "[0-9]" > Uso de expressões regulares.

Podemos ver a grande abrangência que temos com o Wireshark para monitorar nosso tráfego de pacotes, um exemplo simples para finalizar, abrimos o site da Solvetic.

Podemos ver no Wireshark (Filtragem por DNS) a consulta que acabamos de fazer (Abra a página do Solvetic).

PROLONGAR

Se clicarmos duas vezes nessa linha, podemos ver informações mais detalhadas sobre a rota:

Poderemos ver detalhes como o id da interface, o tempo aproximado de chegada da solicitação, o tipo de placa de rede de origem e destino, etc.

Vemos que temos à nossa disposição uma ferramenta muito valiosa (e gratuita) que nos permitirá como administradores realizar monitoramento constante de todo o tráfego da rede garantir a qualidade da comunicação e a entrega correta e segura de todas as informações.

Corrigir DNS no Windows, Linux e Mac

Você vai ajudar o desenvolvimento do site, compartilhando a página com seus amigos

wave wave wave wave wave

Publicações Populares

wave
1
post-title
Alterar o aplicativo padrão ou padrão do Galaxy S8 e Plus
2
post-title
▷ HOST DO PROVEDOR WMI Windows 10 - wrmipvre.exe
3
post-title
▷ O Windows não conseguiu detectar automaticamente as configurações de proxy de rede - SOLUÇÃO
4
post-title
▷ Configure o controle dos pais PS5
5
post-title
▷ Não consigo mudar a cor da barra de tarefas do Windows 10 ✔️ SOLUÇÃO

Recomendado

wave
- Sponsored Ad -

Escolha Do Editor

wave
- Sponsored Ad -