A sua rede é segura? Como analisar o tráfego da rede com o Wireshark
O Wireshark é o analisador de protocolo de rede líder usado por profissionais de segurança em todo o mundo. Ele permite que você detecte anomalias em redes de computadores e encontre as causas subjacentes. Demonstraremos como usar o Wireshark nas seções a seguir.
Então, como isso funciona? E como você realmente usa o Wireshark para capturar pacotes de dados?
Como o Wireshark funciona?
O conjunto robusto de recursos do Wireshark o tornou uma das melhores ferramentas para solucionar problemas de rede . Muitas pessoas usam o Wireshark, incluindo administradores de rede, auditores de segurança, analistas de malware e até mesmo invasores.
Ele permite que você execute inspeções profundas de pacotes de rede ativos ou armazenados. Quando você começar a usar o Wireshark, ficará fascinado com a quantidade de informações que ele pode oferecer. No entanto, muitas informações muitas vezes tornam difícil manter o controle.
Felizmente, podemos atenuar isso por meio dos recursos de filtragem avançada do Wireshark. Vamos discuti-los em detalhes mais tarde. O fluxo de trabalho consiste em capturar pacotes de rede e filtrar as informações necessárias.
Como usar o Wireshark para captura de pacotes
Depois de iniciar o Wireshark, ele exibirá as interfaces de rede conectadas ao seu sistema. Você deve observar as curvas que representam a comunicação de rede ao lado de cada interface.
Agora, você precisa escolher uma interface específica antes de começar a capturar pacotes. Para fazer isso, selecione o nome da interface e clique no ícone de barbatana de tubarão azul. Você também pode fazer isso clicando duas vezes no nome da interface.
O Wireshark começará a capturar os pacotes de entrada e saída para a interface selecionada. Clique no ícone de pausa vermelho para interromper a captura. Você deve ver uma lista de pacotes de rede obtidos durante este processo.
O Wireshark exibirá a origem e o destino de cada pacote junto com o protocolo. Porém, na maioria das vezes, você se interessará pelo conteúdo do campo de informações.
Você pode inspecionar pacotes individuais clicando neles. Dessa forma, você pode visualizar todos os dados do pacote.
Como salvar pacotes capturados no Wireshark
Como o Wireshark captura muito tráfego, às vezes você pode querer salvá-lo para inspeção posterior. Felizmente, salvar pacotes capturados com o Wireshark é fácil.
Para salvar pacotes, pare a sessão ativa. Em seguida, clique no ícone do arquivo localizado no menu superior. Você também pode usar Ctrl + S para fazer isso.
O Wireshark pode salvar pacotes em vários formatos, incluindo pcapng, pcap e dmp. Você também pode salvar pacotes capturados em um formato que outras ferramentas de análise de rede podem usar posteriormente.
Como analisar pacotes capturados
Você pode analisar pacotes capturados anteriormente abrindo o arquivo de captura. Uma vez na janela principal, clique em Arquivo> Abrir e selecione o arquivo salvo relevante.
Você também pode usar Ctrl + O para fazer isso rapidamente. Depois de analisar os pacotes, feche a janela de inspeção acessando Arquivo> Fechar .
Como usar filtros Wireshark
O Wireshark oferece uma infinidade de recursos de filtragem robustos. Os filtros são de dois tipos – filtros de exibição e filtros de captura.
Usando filtros de exibição Wireshark
Filtros de exibição são usados para visualizar pacotes específicos de todos os pacotes capturados. Por exemplo, podemos usar o filtro de exibição icmp para visualizar todos os pacotes de dados ICMP.
Você pode escolher entre um grande número de filtros. Além disso, você também pode definir regras de filtragem personalizadas para tarefas triviais. Para adicionar filtros personalizados, vá para Analisar> Filtros de exibição . Clique no ícone + para adicionar um novo filtro.
Usando Filtros de Captura Wireshark
Filtros de captura são usados para especificar quais pacotes capturar durante uma sessão do Wireshark. Ele produz significativamente menos pacotes do que as capturas padrão. Você pode usá-los em situações em que precisa de informações específicas sobre determinados pacotes.
Insira seu filtro de captura no campo logo acima da lista de interfaces na janela principal. Selecione o nome da interface na lista e digite o nome do filtro no campo acima.
Clique no ícone da barbatana de tubarão azul para começar a capturar os pacotes. O exemplo a seguir utiliza o filtro arp para capturar apenas transações ARP.
Usando as regras de coloração do Wireshark
O Wireshark fornece várias regras de coloração, que anteriormente eram chamadas de filtros de cores. É um ótimo recurso para analisar o tráfego de rede extenso. Você também pode personalizá-los com base na preferência.
Para exibir as regras de colorir atuais, vá para Exibir> Regras de colorir . Aqui você pode encontrar as regras de coloração padrão para sua instalação.
Você pode modificá-los da maneira que quiser. Além disso, você também pode usar as regras de coloração de outras pessoas importando o arquivo de configuração.
Baixe o arquivo que contém as regras personalizadas e importe-o selecionando Exibir> Regras de colorir> Importar . Você pode exportar regras de forma semelhante.
Wireshark em ação
Até agora, discutimos alguns dos principais recursos do Wireshark. Vamos realizar algumas operações práticas para demonstrar como eles se integram.
Criamos um servidor Go básico para esta demonstração. Ele retorna uma mensagem de texto simples para cada solicitação. Quando o servidor estiver em execução, faremos algumas solicitações HTTP e capturaremos o tráfego ao vivo. Observe que estamos executando o servidor no host local.
Primeiro, iniciamos a captura do pacote clicando duas vezes na interface Loopback (localhost). A próxima etapa é iniciar nosso servidor local e enviar uma solicitação GET. Estamos usando o curl para fazer isso.
O Wireshark irá capturar todos os pacotes de entrada e saída durante esta conversa. Queremos ver os dados enviados pelo nosso servidor, então usaremos o filtro de exibição http.response para ver os pacotes de resposta.
Agora, o Wireshark irá ocultar todos os outros pacotes capturados e exibir apenas os pacotes de resposta. Se você observar atentamente os detalhes do pacote, deverá observar os dados de texto simples enviados por nosso servidor.
Comandos úteis do Wireshark
Você também pode usar vários comandos Wireshark para controlar o software de seu terminal Linux. Aqui estão alguns comandos básicos do Wireshark:
- wirehark inicia o Wireshark no modo gráfico.
- wirehark -h exibe as opções de linha de comando disponíveis.
- wirehark -i INTERFACE seleciona INTERFACE como interface de captura.
Tshark é a alternativa de linha de comando para o Wireshark. Ele oferece suporte a todos os recursos essenciais e é extremamente eficiente.
Analise a segurança da rede com o Wireshark
O rico conjunto de recursos do Wireshark e as regras de filtragem avançada tornam a análise de pacotes produtiva e direta. Você pode usá-lo para encontrar todos os tipos de informações sobre sua rede. Experimente suas funcionalidades mais básicas para aprender como usar o Wireshark para análise de pacotes.
O Wireshark está disponível para download em dispositivos com Windows, macOS e Linux.