O Wireshark é um dos analisadores de tráfego de rede mais poderosos e amplamente utilizados no mundo da segurança cibernética e administração de redes. Ele permite capturar, filtrar e analisar pacotes de dados em tempo real, sendo essencial para diagnóstico de problemas, detecção de ameaças e monitoramento do tráfego.
Neste guia detalhado, você aprenderá a instalar, configurar e utilizar o Wireshark de forma profissional para analisar redes e diagnosticar falhas de comunicação.
1. Instalação do Wireshark
O Wireshark está disponível para Windows, Linux e macOS.
No Windows
-
Baixe o instalador no site oficial do Wireshark.
-
Execute o instalador (
.exe) e siga os passos do assistente de instalação. -
Importante: Durante a instalação, marque a opção para instalar o Npcap. Ele é essencial para capturar pacotes no Windows.
-
Após a instalação, reinicie o computador.
No Linux
-
No Ubuntu/Debian, use:
sudo apt update && sudo apt install wireshark -
No Fedora, use:
sudo dnf install wireshark -
No Arch Linux, use:
sudo pacman -S wireshark-qt -
Adicione seu usuário ao grupo
wiresharkpara capturar pacotes sem privilégios de root:sudo usermod -aG wireshark $USERDepois, reinicie a sessão para aplicar as mudanças.
No macOS
-
Instale via Homebrew:
brew install --cask wireshark
2. Capturando Pacotes de Rede
Passo 1: Iniciar o Wireshark
-
Abra o Wireshark e selecione a interface de rede que deseja monitorar.
-
As interfaces disponíveis serão listadas na tela inicial.
Passo 2: Escolher a Interface de Rede
-
Selecione a interface correta:
-
Wi-Fi: Para capturar tráfego de redes sem fio.
-
Ethernet: Para capturar tráfego de redes cabeadas.
-
Loopback (
lo): Para capturar tráfego local no próprio computador.
-
Passo 3: Iniciar a Captura
-
Clique no botão azul Start Capture para iniciar a captura de pacotes.
-
O Wireshark começará a exibir pacotes de dados em tempo real.
3. Aplicação de Filtros de Captura
Os filtros de captura permitem coletar apenas os pacotes relevantes para sua análise.
Exemplos de Filtros de Captura
-
Capturar apenas tráfego HTTP:
port 80 -
Capturar tráfego HTTPS:
port 443 -
Capturar tráfego de um IP específico:
host 192.168.1.10 -
Capturar tráfego de um MAC Address específico:
ether host 00:1A:2B:3C:4D:5E -
Capturar apenas pacotes ICMP (Ping):
icmp -
Capturar tráfego DNS:
port 53
Para aplicar esses filtros, insira o comando no campo de Capture Filter antes de iniciar a captura.
4. Aplicação de Filtros de Exibição
Os filtros de exibição ajudam a refinar os pacotes capturados para análise mais precisa.
Exemplos de Filtros de Exibição
-
Exibir apenas tráfego HTTP:
http -
Exibir pacotes de um IP específico:
ip.addr == 192.168.1.10 -
Exibir pacotes enviados para um IP específico:
ip.dst == 8.8.8.8 -
Exibir pacotes TCP com a flag SYN (tentativas de conexão):
tcp.flags.syn == 1 -
Exibir tráfego de login FTP:
ftp.request.command == "USER" -
Exibir tráfego de login SMTP:
smtp -
Exibir tráfego TLS (exemplo de conexões HTTPS seguras):
tls
Para aplicar esses filtros, insira o comando no campo de Display Filter após capturar os pacotes.
5. Análise de Pacotes
Após capturar os pacotes, é importante entender como analisar os dados.
Passo 1: Inspecionar Pacotes
-
Clique em qualquer pacote para visualizar detalhes.
-
A tela inferior mostrará informações detalhadas, incluindo os cabeçalhos do protocolo.
Passo 2: Analisar Fluxos de Conexão
-
Clique com o botão direito em um pacote e escolha Follow TCP Stream para visualizar toda a conversa entre cliente e servidor.
-
Para conexões HTTPS, a maioria dos dados será criptografada.
Passo 3: Diagnosticar Problemas de Rede
-
Pacotes Perdidos: Verifique pacotes TCP retransmission para detectar problemas de perda de pacotes.
-
Latência: Analise os tempos entre pacotes SYN, SYN-ACK e ACK para medir atrasos.
-
Conexões Encerradas: Pacotes TCP com RST ou FIN indicam que uma conexão foi fechada.
6. Identificação de Tráfego Suspeito
O Wireshark pode ser usado para detectar tráfego malicioso e atividades suspeitas.
Passo 1: Detectar Tentativas de Ataque
-
Ataques de varredura de portas:
tcp.flags.syn == 1 and tcp.flags.ack == 0Se muitos pacotes SYN sem resposta forem detectados de um único IP, pode indicar um port scan.
-
Ataques de DDoS:
ip.src == <IP suspeito>Se houver muitos pacotes de um único IP em um curto período, pode ser um ataque de negação de serviço.
Passo 2: Detectar Comunicação com Servidores Maliciosos
-
Analise conexões DNS e veja solicitações suspeitas.
dns.qry.name contains "malicious-site.com" -
Exiba todas as conexões DNS feitas pelo computador.
dns
Passo 3: Detectar Transferência de Senhas Não Criptografadas
-
Senhas enviadas sem criptografia podem ser encontradas em tráfego FTP, HTTP e Telnet.
-
Use o filtro:
ftp or http or telnet -
Clique em Follow TCP Stream para visualizar credenciais enviadas.
7. Exportação e Análise Posterior
Se precisar salvar a captura para análise posterior:
-
Vá até File > Save As e salve como
.pcapng(formato padrão do Wireshark). -
Para compartilhar logs de rede com colegas, use File > Export Packet Dissections e exporte em CSV ou JSON.
8. Conclusão
O Wireshark é uma ferramenta essencial para qualquer profissional de redes e segurança cibernética. Ele permite capturar, filtrar e analisar pacotes de rede em tempo real, ajudando no diagnóstico de problemas e na identificação de ameaças.
Resumo das principais habilidades aprendidas:
Agora que você domina os conceitos básicos e avançados do Wireshark, pode utilizá-lo para fortalecer a segurança e otimizar o desempenho de redes. 🚀
.jpeg){kind=logo}
0 Comentários