O que saber
- O Wireshark é um aplicativo de código aberto que captura e exibe dados que viajam de um lado para outro em uma rede.
- Como ele pode detalhar e ler o conteúdo de cada pacote, é usado para solucionar problemas de rede e testar software.
As instruções neste artigo se aplicam ao Wireshark 3.0.3 para Windows e Mac.
O que é o Wireshark?
Originalmente conhecido como Ethereal, o Wireshark exibe dados de centenas de protocolos diferentes em todos os principais tipos de rede. Os pacotes de dados podem ser visualizados em tempo real ou analisados offline. O Wireshark oferece suporte a dezenas de formatos de arquivos de captura / rastreamento, incluindo CAP e ERF. As ferramentas de descriptografia integradas exibem os pacotes criptografados para vários protocolos comuns, incluindo WEP e WPA / WPA2.
Como baixar e instalar o Wireshark
O Wireshark pode ser baixado gratuitamente no site da Wireshark Foundation para macOS e Windows. Você verá a versão estável mais recente e a versão de desenvolvimento atual. A menos que você seja um usuário avançado, baixe a versão estável.
Durante o processo de configuração do Windows, escolha instalar WinPcap ou Npcap se solicitado, pois incluem bibliotecas necessárias para a captura de dados ao vivo.
Você deve estar conectado ao dispositivo como administrador para usar o Wireshark. No Windows 10, pesquise Wireshark e selecione Executar como administrador. No macOS, clique com o botão direito no ícone do aplicativo e selecione Obter informação. No Compartilhamento e permissões configurações, dê ao administrador Ler escrever privilégios.
O aplicativo também está disponível para Linux e outras plataformas semelhantes a UNIX, incluindo Red Hat, Solaris e FreeBSD. Os binários necessários para esses sistemas operacionais podem ser encontrados na parte inferior da página de download do Wireshark em Pacotes de terceiros seção. Você também pode baixar o código-fonte do Wireshark nesta página.
Como capturar pacotes de dados com o Wireshark
Quando você inicia o Wireshark, uma tela de boas-vindas lista as conexões de rede disponíveis em seu dispositivo atual. Exibido à direita de cada um é um gráfico de linha do estilo EKG que representa o tráfego ao vivo nessa rede. Para começar a capturar pacotes com o Wireshark:
-
Selecione uma ou mais redes, vá para a barra de menu e selecione Capturar. Para selecionar várias redes, segure o Mudança enquanto você faz sua seleção.
-
No Wireshark Capture Interfaces janela, selecione Começar. Existem outras maneiras de iniciar a captura de pacotes. Selecione os barbatana de tubarão no lado esquerdo da barra de ferramentas do Wireshark, pressioneCtrl + Eou clique duas vezes na rede.
-
Selecione Arquivo > Salvar como ou escolha um Exportar opção de registrar a captura.
-
Para parar a captura, pressione Ctrl + E. Ou vá para a barra de ferramentas do Wireshark e selecione o vermelho Pare botão que está localizado próximo à barbatana de tubarão.
Como visualizar e analisar o conteúdo do pacote
A interface de dados capturados contém três seções principais:
- O painel da lista de pacotes (a seção superior)
- O painel de detalhes do pacote (a seção do meio)
- O painel de bytes do pacote (a seção inferior)
Lista de Pacotes
O painel da lista de pacotes, localizado na parte superior da janela, mostra todos os pacotes encontrados no arquivo de captura ativo. Cada pacote tem sua própria linha e o número correspondente atribuído a ele, junto com cada um desses pontos de dados:
- Não: Este campo indica quais pacotes fazem parte da mesma conversa. Ele permanece em branco até que você selecione um pacote.
- Tempo: O carimbo de data / hora de quando o pacote foi capturado é exibido nesta coluna. O formato padrão é o número de segundos ou segundos parciais desde que este arquivo de captura específico foi criado pela primeira vez.
- Fonte: Esta coluna contém o endereço (IP ou outro) de onde o pacote foi originado.
- Destino: Esta coluna contém o endereço para o qual o pacote está sendo enviado.
- Protocolo: O nome do protocolo do pacote, como TCP, pode ser encontrado nesta coluna.
- Comprimento: O comprimento do pacote, em bytes, é exibido nesta coluna.
- Info: Detalhes adicionais sobre o pacote são apresentados aqui. O conteúdo desta coluna pode variar muito, dependendo do conteúdo do pacote.
Para alterar o formato da hora para algo mais útil (como a hora real do dia), selecione Visualizar > Formato de exibição de hora.
Quando um pacote é selecionado no painel superior, você pode notar que um ou mais símbolos aparecem no Não. coluna. Os colchetes abertos ou fechados e uma linha horizontal reta indicam se um pacote ou grupo de pacotes faz parte da mesma conversa de ida e volta na rede. Uma linha horizontal interrompida significa que um pacote não faz parte da conversa.
Detalhes do pacote
O painel de detalhes, localizado no meio, apresenta os protocolos e campos de protocolo do pacote selecionado em um formato recolhível. Além de expandir cada seleção, você pode aplicar filtros Wireshark individuais com base em detalhes específicos e seguir fluxos de dados com base no tipo de protocolo clicando com o botão direito do mouse no item desejado.
Bytes de pacote
Na parte inferior está o painel de bytes do pacote, que exibe os dados brutos do pacote selecionado em uma exibição hexadecimal. Esse dump hexadecimal contém 16 bytes hexadecimais e 16 bytes ASCII junto com o deslocamento de dados. A seleção de uma parte específica desses dados destaca automaticamente sua seção correspondente no painel de detalhes do pacote e vice-versa. Todos os bytes que não podem ser impressos são representados por um ponto.
Para exibir esses dados em formato de bits em oposição a hexadecimal, clique com o botão direito em qualquer lugar do painel e selecione como bits.
Como usar filtros Wireshark
Os filtros de captura instruem o Wireshark a registrar apenas os pacotes que atendem aos critérios especificados. Os filtros também podem ser aplicados a um arquivo de captura que foi criado para que apenas determinados pacotes sejam mostrados. Eles são chamados de filtros de exibição. O Wireshark fornece um grande número de filtros predefinidos por padrão. Para usar um desses filtros existentes, insira seu nome no Aplicar um filtro de exibição campo de entrada localizado abaixo da barra de ferramentas Wireshark ou no Insira um filtro de captura campo localizado no centro da tela de boas-vindas. Por exemplo, se você deseja exibir os pacotes TCP, digite tcp. O recurso de preenchimento automático do Wireshark mostra nomes sugeridos conforme você começa a digitar, tornando mais fácil encontrar o moniker correto para o filtro que você está procurando.
Outra maneira de escolher um filtro é selecionar o marca páginas no lado esquerdo do campo de entrada. Escolher Gerenciar Expressões de Filtro ou Gerenciar filtros de exibição para adicionar, remover ou editar filtros.
Você também pode acessar os filtros usados anteriormente selecionando a seta para baixo no lado direito do campo de entrada para exibir uma lista suspensa de histórico.
Os filtros de captura são aplicados assim que você começa a registrar o tráfego da rede. Para aplicar um filtro de exibição, selecione a seta para a direita no lado direito do campo de entrada.
Regras de cores do Wireshark
Enquanto os filtros de captura e exibição do Wireshark limitam quais pacotes são gravados ou mostrados na tela, sua função de colorização leva as coisas um passo adiante: ele pode distinguir entre diferentes tipos de pacotes com base em seus matizes individuais. Isso localiza rapidamente certos pacotes em um conjunto salvo por sua cor de linha no painel da lista de pacotes.
O Wireshark vem com cerca de 20 regras de coloração padrão, cada uma pode ser editada, desabilitada ou excluída. Selecione Visualizar > Regras para colorir para uma visão geral do que cada cor significa. Você também pode adicionar seus próprios filtros baseados em cores.
Selecione Visualizar > Lista de Pacotes Colorize para ativar e desativar a colorização do pacote.
Estatísticas no Wireshark
Outras métricas úteis estão disponíveis por meio do Estatisticas menu suspenso. Isso inclui informações de tamanho e tempo sobre o arquivo de captura, junto com dezenas de tabelas e gráficos variando em tópicos, desde análises de conversação de pacotes até distribuição de carga de solicitações HTTP.
Filtros de exibição podem ser aplicados a muitas dessas estatísticas por meio de suas interfaces e os resultados podem ser exportados para formatos de arquivo comuns, incluindo CSV, XML e TXT.
Recursos avançados do Wireshark
O Wireshark também oferece suporte a recursos avançados, incluindo a capacidade de escrever dissetores de protocolo na linguagem de programação Lua.