Logo port.sync-computers.com
Android

Explore sua rede com o wireshark

Índice:

Vídeo: Como monitorar o tráfego de rede da sua banda larga - [Dicas] - Baixaki (Setembro 2024)

Vídeo: Como monitorar o tráfego de rede da sua banda larga - [Dicas] - Baixaki (Setembro 2024)
Anonim

O que é o Wireshark?

Links Rápidos

  • O que é o Wireshark?
  • Instalando o Wireshark
    • janelas
    • Mac
    • Linux
  • A interface
  • Opções de captura
  • Capturar tráfego
  • Lendo os dados
  • Filtrando pacotes
    • Filtrando durante a captura
    • Filtrando resultados
  • Após fluxos de pacotes
  • Pensamentos finais

O Wireshark é uma poderosa ferramenta de análise de rede que permite monitorar e capturar o tráfego de rede. Ele captura o tráfego em um nível de pacote, o que significa que você pode ver cada bit de informação que é transmitida pela sua rede, o que ela contém e para onde está indo.

Essa ferramenta permite visualizar e entender o fluxo de tráfego dentro de uma rede. Ao ver quais dados estão sendo transmitidos, você também pode obter informações sobre possíveis problemas de segurança que possa enfrentar, bem como qualquer tráfego potencialmente indesejado, como malware, programas que consomem muita largura de banda e até convidados indesejados no seu WiFi.

O Wireshark também é uma ferramenta importante porque permite que você veja exatamente como os dados que saem da sua rede são enviados para a Internet maior. Por exemplo, você pode ver e ler solicitações HTTP, permitindo ver quais dados estão sendo enviados sem criptografia. Isso pode ser um grande problema, especialmente se esses dados forem algo como uma senha do banco.

Instalando o Wireshark

O Wireshark é de código aberto e multiplataforma. Está disponível gratuitamente e para todos os principais sistemas operacionais. Os controles dentro do programa são exatamente os mesmos em todas as plataformas, portanto não há necessidade de se preocupar. As imagens são do Linux, mas tudo o que você verá também funcionará no Windows e no Mac.

janelas

Vá para a página de download do Wireshark e faça o download da versão mais recente da sua versão do Windows. Execute o .exe resultante. O instalador é bastante padrão. Você pode clicar na maioria e usar os padrões.

Há uma coisa que você deseja procurar, no entanto. Uma tela aparecerá perguntando se você deseja instalar o WinPcap. O WinPcap é um utilitário adicional para o Wireshark no Windows que permite capturar todo o tráfego em uma rede, em vez de apenas o tráfego do seu computador. Marque a caixa para instalar o WinPcap. Ele também perguntará sobre a versão USB. Isso não é necessário, mas você também pode incluí-lo.

Depois disso, a instalação será concluída. Uma nova instalação será iniciada para o WinPcap. Os padrões também são aceitáveis ​​lá.

Mac

Vá para a página de download do Wireshark e pegue o arquivo .dmg mais recente. Quando terminar o download, clique duas vezes no arquivo para abri-lo. Arraste o aplicativo aberto para a pasta / Aplicativos para instalar o Wireshark.

Linux

A maioria das distribuições Linux tem o Wireshark disponível em seus repositórios. Instale-o com o seu gerenciador de pacotes.

$ sudo apt instala o wireshark-gtk

Dependendo da sua distribuição, você será perguntado se deseja permitir que usuários comuns capturem pacotes. Você deve dizer "Sim". Após a instalação do pacote, adicione seu usuário ao grupo Wireshark. Saia e faça login novamente quando terminar.

$ sudo gpasswd -um usuário wireshark

A interface

Quando você abre o Wireshark pela primeira vez, verá uma tela semelhante à acima. Existem alguns botões acima nas barras de ferramentas e podem parecer impressionantes, mas é muito mais simples do que você provavelmente pensa.

A interface de captura padrão é meio estranha. Você pode alterar o layout para torná-lo mais confortável, clique em “Editar”. Encontre o menu “Preferências” e a parte inferior e abra-o. Sob as preferências, você verá uma guia "Layout" à esquerda. Selecione. Você verá vários ícones representando diferentes opções de layout. Escolha a que melhor lhe parecer. A primeira opção com o layout empilhado geralmente funciona bem.

Não se preocupe muito com as barras de ferramentas ainda. Os cinco primeiros ícones são os mais importantes. Em ordem, eles permitem selecionar uma interface para capturar, alterar as configurações de captura, iniciar uma captura, parar uma captura e retomar uma. Os próprios ícones são bastante intuitivos.

Opções de captura

Antes de começar a capturar o tráfego, você deve explorar as opções de captura para ver o que o Wireshark pode fazer. Clique no ícone de opções de captura. Deve parecer uma engrenagem.

A primeira coisa que você verá na parte superior da janela é uma tabela listando todas as suas interfaces de rede. Marque a caixa ao lado da interface na qual você deseja capturar. Na maioria dos casos, a interface que você deseja é aquela que você está usando para se conectar à rede. Será o que corresponder à sua porta Ethernet ou dispositivo WiFi.

Abaixo disso, você verá algumas caixas de seleção. Alguém perguntará se você deseja usar o modo promíscuo. O modo promíscuo é o que permite ver as trocas entre todos os dispositivos em uma rede, não apenas o seu próprio computador. As chances são de que você queira isso ativado. Tenha cuidado, no entanto. Usar o modo promíscuo em uma rede que você não possui ou tem permissão para testar é ilegal .

A próxima seção abaixo descreve os arquivos de captura. O Wireshark permite salvar seus dados capturados. O primeiro campo lá permite especificar um único destino para sua captura. Abaixo disso, você pode marcar a caixa para permitir que o Wireshark interrompa o log de captura. Os logs podem ficar muito grandes, especialmente em redes maiores. Esse recurso permite dividir seus dados de captura automaticamente com base no tempo ou no tamanho do arquivo. De qualquer forma, é um recurso conveniente quando você lida com verificações de longo prazo ou com uma rede ocupada.

Abaixo disso, você pode controlar a duração da sua captura. Novamente, as capturas podem ficar grandes, para que você possa definir um tamanho máximo. Você também pode exceder o tempo limite, o que é bom, pois permite tirar uma foto de um período de tempo específico na sua rede.

Capturar tráfego

Depois de ter suas configurações em ordem, você pode começar a capturar o tráfego na sua rede. Se você nunca fez esse tipo de coisa antes, esteja preparado para se surpreender. Há muito mais tráfego do que você imagina fluindo pela sua rede. Para iniciar a captura, clique no botão "Iniciar" na parte inferior da janela de configuração ou no ícone barbatana de tubarão. De qualquer maneira funciona.

Quando você inicia a gravação, a quantidade de tráfego que você vê depende de quais dispositivos estão na sua rede. Embora a maioria das pessoas não consiga acompanhar a carga de tráfego que vê, é perfeitamente possível que você veja quase nada. Se for esse o caso, abra um navegador da Web e comece a navegar. Sua captura começará rapidamente a ser preenchida.

Após a captura ter sido executada pelo tempo que você deseja testar, clique no botão Parar na barra de ferramentas. O que você tem deve se parecer com a imagem acima.

Lendo os dados

Clique em um dos pacotes que você capturou. Tente encontrar uma solicitação HTTP. Eles tendem a ser mais fáceis de ler. Quando você seleciona um pacote, as outras duas seções da tela são preenchidas com informações sobre a que você escolheu.

A seção na qual você precisa prestar atenção empilhou as guias dobráveis. Essas guias seguem o modelo OSI e são ordenadas do nível mais baixo ao mais alto, com as informações do nível mais baixo na parte superior. Isso significa que as informações mais relevantes para você provavelmente estão nas guias inferiores.

Cada guia contém informações diferentes sobre o pacote. Nos pacotes HTTP, você verá informações sobre a solicitação HTTP, incluindo a resposta, os cabeçalhos e, possivelmente, até algum HTML. Outros tipos de pacotes podem conter informações sobre quais portas estão em uso, criptografia em uso, protocolos e endereços MAC.

Filtrando pacotes

Pode ser difícil pesquisar cargas de dados de captura para encontrar exatamente o que você está procurando. É ineficiente e é uma enorme perda de tempo. O Wireshark possui uma funcionalidade de filtragem que permite classificar rapidamente pacotes para encontrar exatamente o que é relevante a qualquer momento.

Existem algumas maneiras básicas pelas quais o Wireshark permite filtrar resultados. Primeiro, ele possui muitos filtros embutidos. Quando você começa a digitar em um dos campos de filtro, o Wireshark os exibe como sugestões para o preenchimento automático. Se algum deles é o que você procura, ótimo! A filtragem será muito fácil.

O Wireshark também usa os chamados operadores booleanos. Operadores booleanos são usados ​​para avaliar se uma declaração é verdadeira ou não. Por exemplo, quando você deseja que duas condições sejam atendidas, você usaria o operador "and" entre elas, pois a condição 1 e a condição 2 precisam ser verdadeiras. O operador "ou" é semelhante, apenas requer que uma de suas condições seja verdadeira. Você provavelmente pode adivinhar que o operador "not" procura quando uma condição não existe.

Além dos operadores booleanos, o Wireshark suporta operadores de comparação. Como o nome sugere, os operadores de comparação comparam duas ou mais condições. Eles avaliam a equivalência de condições como maior que, menor que ou igual a.

Filtrando durante a captura

Filtrar seus resultados durante a captura é muito fácil. Abra o backup das opções de captura. Procure o botão "Opções de captura" no meio da janela. Também deve haver um campo de texto grande próximo a ele.

Você pode criar seu filtro a partir do zero nesse campo ou clicar no botão e usar os filtros internos do Wireshark. Tente clicar no botão Uma nova janela será aberta com uma lista de filtros. Clicar nesses filtros preenche os campos abaixo. O campo inferior é o filtro real que está sendo usado. Você pode modificar esse filtro como base de seus próprios filtros mais personalizados. Quando estiver pronto, clique em "Ok". Em seguida, execute sua verificação como faria normalmente. Em vez de capturar tudo, o Wireshark captura apenas pacotes que atendem às condições do seu filtro. Isso facilita a classificação e a categorização dos dados do pacote. Você não precisa procurar muitas informações extras para encontrar o que precisa.

Filtrando resultados

Se você fez uma captura completa ou uma captura mais robusta, mas deseja filtrá-la após o fato, também pode fazer isso. Depois de realizar uma captura, você verá uma barra de ferramentas adicional abaixo dos ícones de controle. Essa barra de ferramentas possui um campo "Filtro". Você pode digitar expressões no arquivo para filtrar quais resultados serão exibidos pelo Wireshark.

Como na filtragem durante a captura, há uma maneira fácil. Clique no botão "Expressão" para abrir uma janela que ajuda você a montar suas expressões de filtro. A coluna da esquerda contém uma lista de campos. Esses campos permitem escolher as informações que você deseja segmentar. A próxima coluna contém uma lista de possíveis relações. A maioria são os símbolos para menos que, maior que, igual a e combinações desses. A coluna final é para valores. Esses são os valores com os quais você está comparando. Dependendo do seu campo, você pode escolher ou escrever o valor com o qual deseja comparar.

Isso pode ficar mais complexo e você pode adicionar mais expressões. Isso vale para os operadores booleanos. Esses booleanos são diferentes, no entanto. Este campo de expressão usa os símbolos para e, ou, e não em vez das próprias palavras. || significa "ou". && é "e". Um simples! não é."

Por exemplo, se você deseja tudo menos UDP, use! Udp. Se você deseja HTTP ou TCP, tente http || tcp. Você pode combiná-los também em expressões mais complexas. Quanto mais complexa sua expressão, mais refinado será o seu filtro.

Após fluxos de pacotes

Depois de ter um pacote ou pacotes que lhe interessam, você pode usar uma ferramenta integrada incrível no Wireshark para acompanhar toda a "conversa" entre os dois computadores que trocam esses pacotes. Os fluxos de pacotes a seguir permitem que o Wirshark junte tudo e forme uma imagem resultante maior. No caso de pacotes HTTP, o Wireshark provavelmente reunirá a fonte HTML de uma página da web. Com certos programas VOIP não criptografados, o Wireshark pode até recuperar o áudio trocado. Sim, ele pode realmente ouvir conversas VOIP.

Clique com o botão direito do mouse no pacote que você deseja seguir. Selecione "Follow … Stream", com os pontos substituídos pelo protocolo do pacote. O Wireshark levará alguns segundos para unir tudo. Após a conclusão, o Wireshark apresentará o resultado completo. Esse recurso facilita muito a visualização exata do que está sendo trocado na sua rede. Ele também demonstra o quão importante é a criptografia de rede, pois esse recurso só reúne bobagens totais com pacotes criptografados.

Pensamentos finais

O Wireshark é uma ferramenta absolutamente incrível na análise de redes. Dá acesso para ver tudo o que acontece na sua rede. Com o Wireshark, você pode entender melhor onde estão os problemas com sua rede, tanto em termos de velocidade quanto de segurança. Lembre-se de sempre usar o Wireshark com cuidado e entenda que é muito intrusivo. Não espie pessoas e lembre-se de manter o uso do Wireshark dentro da lei.

Explore sua rede com o wireshark

Escolha dos editores

Como verificar se há rootkits no seu Mac

Se o seu Mac estiver agindo de forma estranha e você suspeitar de um rootkit, precisará começar a baixar e escanear com várias ferramentas diferentes. Vale a pena notar que você pode ter um rootkit instalado e nem saber

Como tornar o recurso de navegação privada do Safari&8217;s realmente privado

Assim que você abre seu navegador, toda a sua atividade online pode ser (e está sendo) rastreada. Os sites que você visita, as coisas que você compra online e os serviços nos quais você faz login

Como converter um arquivo MP3 ou M4A em um toque do iPhone

Então, o que é um toque de iPhone de qualquer maneira. Bem, na verdade, é apenas um iTunes normal

8 atalhos de teclado úteis do OS X

A Apple é a escolha certa para usuários que desejam ser mais produtivos e eficientes, e por um bom motivo. Afinal, o macOS está equipado com muitos atalhos de teclado que facilitam o trabalho

Atalhos de teclado do Mac para quando o Mac travar

Com os Macs sendo alguns dos computadores mais confiáveis ​​do mercado, poucos usuários experimentam aquela sensação que você tem quando vê a roda da morte girando na tela. Mas quando isso acontece e seu computador trava, é bom ter a opção de usar o atalho de teclado certo para resolver o problema.

Comece a usar o Subversion usando SvnX

Se você é um desenvolvedor, o software de controle de versão permite acompanhar as alterações em seu código. Isso é essencial em projetos nos quais você trabalha como parte de uma equipe, permitindo que você acompanhe as mudanças à medida que elas acontecem