Skip to content
Home Networking

Como usar o Wireshark: um tutorial completo

21 de abril de 2021

O que saber

  • O Wireshark é um aplicativo de código aberto que captura e exibe dados que viajam de um lado para outro em uma rede.
  • Como ele pode detalhar e ler o conteúdo de cada pacote, é usado para solucionar problemas de rede e testar software.

As instruções neste artigo se aplicam ao Wireshark 3.0.3 para Windows e Mac.

O que é o Wireshark?

Originalmente conhecido como Ethereal, o Wireshark exibe dados de centenas de protocolos diferentes em todos os principais tipos de rede. Os pacotes de dados podem ser visualizados em tempo real ou analisados ​​offline. O Wireshark oferece suporte a dezenas de formatos de arquivos de captura / rastreamento, incluindo CAP e ERF. As ferramentas de descriptografia integradas exibem os pacotes criptografados para vários protocolos comuns, incluindo WEP e WPA / WPA2.

Como baixar e instalar o Wireshark

O Wireshark pode ser baixado gratuitamente no site da Wireshark Foundation para macOS e Windows. Você verá a versão estável mais recente e a versão de desenvolvimento atual. A menos que você seja um usuário avançado, baixe a versão estável.

Durante o processo de configuração do Windows, escolha instalar WinPcap ou Npcap se solicitado, pois incluem bibliotecas necessárias para a captura de dados ao vivo.

Uma captura de tela da tela de instalação do Wireshark com a opção "Instalar Npcpap" destacada

Você deve estar conectado ao dispositivo como administrador para usar o Wireshark. No Windows 10, pesquise Wireshark e selecione Executar como administrador. No macOS, clique com o botão direito no ícone do aplicativo e selecione Obter informação. No Compartilhamento e permissões configurações, dê ao administrador Ler escrever privilégios.

Uma captura de tela da tela de informações do Wireshark no Windows 10 com o "Executar como administrador" opção destacada

O aplicativo também está disponível para Linux e outras plataformas semelhantes a UNIX, incluindo Red Hat, Solaris e FreeBSD. Os binários necessários para esses sistemas operacionais podem ser encontrados na parte inferior da página de download do Wireshark em Pacotes de terceiros seção. Você também pode baixar o código-fonte do Wireshark nesta página.

Como capturar pacotes de dados com o Wireshark

Quando você inicia o Wireshark, uma tela de boas-vindas lista as conexões de rede disponíveis em seu dispositivo atual. Exibido à direita de cada um é um gráfico de linha do estilo EKG que representa o tráfego ao vivo nessa rede. Para começar a capturar pacotes com o Wireshark:

  1. Selecione uma ou mais redes, vá para a barra de menu e selecione Capturar. Para selecionar várias redes, segure o Mudança enquanto você faz sua seleção.

    Uma captura de tela do Wireshark com o menu Capture destacado

  2. No Wireshark Capture Interfaces janela, selecione Começar. Existem outras maneiras de iniciar a captura de pacotes. Selecione os barbatana de tubarão no lado esquerdo da barra de ferramentas do Wireshark, pressioneCtrl + Eou clique duas vezes na rede.

    Uma captura de tela da janela da interface de captura do Wireshark com o botão Iniciar destacado

  3. Selecione Arquivo > Salvar como ou escolha um Exportar opção de registrar a captura.

    Uma captura de tela do Wireshark com o comando Salvar como e as opções de exportação destacadas

  4. Para parar a captura, pressione Ctrl + E. Ou vá para a barra de ferramentas do Wireshark e selecione o vermelho Pare botão que está localizado próximo à barbatana de tubarão.

    Uma captura de tela da interface de captura do Wireshark com o botão Parar destacado

Como visualizar e analisar o conteúdo do pacote

A interface de dados capturados contém três seções principais:

  • O painel da lista de pacotes (a seção superior)
  • O painel de detalhes do pacote (a seção do meio)
  • O painel de bytes do pacote (a seção inferior)

A interface de dados capturados contém três seções principais: o painel da lista de pacotes (a seção superior); o painel de detalhes do pacote (a seção intermediária); e o painel de bytes de pacote (a seção inferior).

Lista de Pacotes

O painel da lista de pacotes, localizado na parte superior da janela, mostra todos os pacotes encontrados no arquivo de captura ativo. Cada pacote tem sua própria linha e o número correspondente atribuído a ele, junto com cada um desses pontos de dados:

  • Não: Este campo indica quais pacotes fazem parte da mesma conversa. Ele permanece em branco até que você selecione um pacote.
  • Tempo: O carimbo de data / hora de quando o pacote foi capturado é exibido nesta coluna. O formato padrão é o número de segundos ou segundos parciais desde que este arquivo de captura específico foi criado pela primeira vez.
  • Fonte: Esta coluna contém o endereço (IP ou outro) de onde o pacote foi originado.
  • Destino: Esta coluna contém o endereço para o qual o pacote está sendo enviado.
  • Protocolo: O nome do protocolo do pacote, como TCP, pode ser encontrado nesta coluna.
  • Comprimento: O comprimento do pacote, em bytes, é exibido nesta coluna.
  • Info: Detalhes adicionais sobre o pacote são apresentados aqui. O conteúdo desta coluna pode variar muito, dependendo do conteúdo do pacote.

Para alterar o formato da hora para algo mais útil (como a hora real do dia), selecione Visualizar > Formato de exibição de hora.

Uma captura de tela do Wireshark com o comando Time Display Format e opções destacadas

Quando um pacote é selecionado no painel superior, você pode notar que um ou mais símbolos aparecem no Não. coluna. Os colchetes abertos ou fechados e uma linha horizontal reta indicam se um pacote ou grupo de pacotes faz parte da mesma conversa de ida e volta na rede. Uma linha horizontal interrompida significa que um pacote não faz parte da conversa.

Uma captura de tela do Wireshark com o painel de pacotes destacado

Detalhes do pacote

O painel de detalhes, localizado no meio, apresenta os protocolos e campos de protocolo do pacote selecionado em um formato recolhível. Além de expandir cada seleção, você pode aplicar filtros Wireshark individuais com base em detalhes específicos e seguir fluxos de dados com base no tipo de protocolo clicando com o botão direito do mouse no item desejado.

Uma captura de tela do Wireshark com o painel Detalhes do pacote destacado

Bytes de pacote

Na parte inferior está o painel de bytes do pacote, que exibe os dados brutos do pacote selecionado em uma exibição hexadecimal. Esse dump hexadecimal contém 16 bytes hexadecimais e 16 bytes ASCII junto com o deslocamento de dados. A seleção de uma parte específica desses dados destaca automaticamente sua seção correspondente no painel de detalhes do pacote e vice-versa. Todos os bytes que não podem ser impressos são representados por um ponto.

Uma captura de tela do Wireshark com o painel Packet Bytes destacado

Para exibir esses dados em formato de bits em oposição a hexadecimal, clique com o botão direito em qualquer lugar do painel e selecione como bits.

Uma captura de tela da janela Packet Bytes do Wireshark com o "Como bits" opção destacada

Como usar filtros Wireshark

Os filtros de captura instruem o Wireshark a registrar apenas os pacotes que atendem aos critérios especificados. Os filtros também podem ser aplicados a um arquivo de captura que foi criado para que apenas determinados pacotes sejam mostrados. Eles são chamados de filtros de exibição. O Wireshark fornece um grande número de filtros predefinidos por padrão. Para usar um desses filtros existentes, insira seu nome no Aplicar um filtro de exibição campo de entrada localizado abaixo da barra de ferramentas Wireshark ou no Insira um filtro de captura campo localizado no centro da tela de boas-vindas. Por exemplo, se você deseja exibir os pacotes TCP, digite tcp. O recurso de preenchimento automático do Wireshark mostra nomes sugeridos conforme você começa a digitar, tornando mais fácil encontrar o moniker correto para o filtro que você está procurando.

Uma captura de tela do Wireshark com a barra de filtros em destaque

Outra maneira de escolher um filtro é selecionar o marca páginas no lado esquerdo do campo de entrada. Escolher Gerenciar Expressões de Filtro ou Gerenciar filtros de exibição para adicionar, remover ou editar filtros.

Uma captura de tela do Wireshark com os comandos Manage Display Filters e Manage Filter Expressions destacados

Você também pode acessar os filtros usados ​​anteriormente selecionando a seta para baixo no lado direito do campo de entrada para exibir uma lista suspensa de histórico.

Uma captura de tela do Wireshark com a seta do histórico destacada

Os filtros de captura são aplicados assim que você começa a registrar o tráfego da rede. Para aplicar um filtro de exibição, selecione a seta para a direita no lado direito do campo de entrada.

Regras de cores do Wireshark

Enquanto os filtros de captura e exibição do Wireshark limitam quais pacotes são gravados ou mostrados na tela, sua função de colorização leva as coisas um passo adiante: ele pode distinguir entre diferentes tipos de pacotes com base em seus matizes individuais. Isso localiza rapidamente certos pacotes em um conjunto salvo por sua cor de linha no painel da lista de pacotes.

Janela de regras de coloração do Wireshark aberta na frente da janela principal do Wireshark

O Wireshark vem com cerca de 20 regras de coloração padrão, cada uma pode ser editada, desabilitada ou excluída. Selecione Visualizar > Regras para colorir para uma visão geral do que cada cor significa. Você também pode adicionar seus próprios filtros baseados em cores.

Uma captura de tela do menu Exibir do Wireshark com o comando Regras de colorir destacado

Selecione Visualizar > Lista de Pacotes Colorize para ativar e desativar a colorização do pacote.

Estatísticas no Wireshark

Outras métricas úteis estão disponíveis por meio do Estatisticas menu suspenso. Isso inclui informações de tamanho e tempo sobre o arquivo de captura, junto com dezenas de tabelas e gráficos variando em tópicos, desde análises de conversação de pacotes até distribuição de carga de solicitações HTTP.

Várias outras métricas úteis estão disponíveis no menu suspenso Estatísticas, localizado na parte superior da tela.

Filtros de exibição podem ser aplicados a muitas dessas estatísticas por meio de suas interfaces e os resultados podem ser exportados para formatos de arquivo comuns, incluindo CSV, XML e TXT.

Recursos avançados do Wireshark

O Wireshark também oferece suporte a recursos avançados, incluindo a capacidade de escrever dissetores de protocolo na linguagem de programação Lua.

Recomendado: Como monitorar o tráfego da rede