Se você estiver interessado em aprender mais sobre o modelo OSI, aqui está um artigo detalhado para você.
Pacotes
Agora que você tem um conhecimento sólido do modelo OSI, vamos examinar os pacotes de rede. Quando os dados são transferidos de um computador para outro, o fluxo de dados consiste em unidades menores chamadas de pacotes.
Quando você baixa um arquivo da Internet, os dados são enviados do servidor como pacotes. Esses pacotes são remontados pelo seu computador para fornecer o arquivo original.
Um pacote pode conter os seguintes dados:
- endereços IP de origem e destino
- protocolo
- portas de origem e destino
- dados
- comprimento, sinalizadores, TTL e assim por diante
Cada pacote contém informações valiosas sobre os dispositivos envolvidos em uma transferência de pacote. Cada transferência de dados envolve milhares ou até milhões desses pacotes de dados sendo enviados entre a origem e os dispositivos de destino.
Agora você pode entender a importância do Wireshark. O Wireshark permite capturar cada um desses pacotes e inspecioná-los em busca de dados.
O Wireshark, para um engenheiro de rede, é semelhante a um microscópio para um biólogo. O Wireshark permite que você “escute” uma rede ativa (depois de estabelecer uma conexão com ela) e capture e inspecione pacotes em tempo real.
Como engenheiro de rede ou hacker ético, você pode usar o Wireshark para depurar e proteger suas redes. Como um hacker malicioso (o que eu não recomendo), você pode “farejar” pacotes na rede e capturar informações como transações de cartão de crédito.
É por isso que não é aconselhável se conectar a uma rede pública como a Starbucks e realizar transações financeiras ou acessar dados privados. Mesmo que sites com HTTPS possam criptografar seus pacotes, ele ainda é visível na rede. Se alguém realmente quiser quebrá-lo, ele pode.
Wireshark Basics
Agora vamos ver como você pode jogar com o Wireshark. Baixe e instale o Wireshark aqui.
O Wireshark tem uma interface gráfica incrível, ao contrário da maioria das ferramentas de teste de penetração. Esta é a aparência do Wireshark quando você o carrega.
O Wireshark lista as redes às quais você está conectado e você pode escolher uma delas e começar a ouvir a rede.
Existem três painéis no Wireshark.
Painel de lista de pacotes
Este painel exibe os pacotes capturados. Cada linha representa um pacote individual que você pode clicar e analisar em detalhes usando os outros dois painéis.
Painel de Detalhes do Pacote
Você pode selecionar um pacote e ver as informações do pacote com mais detalhes usando o painel Detalhes do pacote. Ele exibe informações como endereços IP, portas e outras informações contidas no pacote.
Painel de Bytes de Pacote
Este painel fornece os dados brutos do pacote selecionado em bytes. Os dados são exibidos como um dump hexadecimal, que exibe dados binários em hexadecimal.
Filtros
O Wireshark tem filtros que ajudam a restringir o tipo de dados que você está procurando. Existem dois tipos principais de filtros: Filtro de captura e filtro de exibição.
Filtro de Captura
Você pode definir um filtro de captura antes de começar a analisar uma rede. Quando você define um filtro de captura, ele captura apenas os pacotes que correspondem ao filtro de captura.
Por exemplo, se você só precisa ouvir os pacotes enviados e recebidos de um endereço IP, pode definir um filtro de captura da seguinte maneira:
host 192.168.0.1
Depois de definir um filtro de captura, você não pode alterá-lo até que a sessão de captura atual seja concluída.
Filtros de exibição
Filtros de exibição são aplicados para capturar pacotes. Por exemplo, se você deseja exibir apenas as solicitações originadas de um determinado ip, pode aplicar um filtro de exibição da seguinte maneira:
ip.src==192.168.0.1
Como os filtros de exibição são aplicados aos dados capturados, eles podem ser alterados em tempo real.
Resumindo, os filtros de captura permitem que você filtre o tráfego enquanto os filtros de exibição aplicam esses filtros nos pacotes capturados. Como o Wireshark pode capturar centenas de pacotes em uma rede ocupada, eles são úteis durante a depuração.
Principais recursos do Wireshark
Agora que você tem uma boa compreensão dos fundamentos do Wireshark, vamos dar uma olhada em alguns recursos principais. Com o Wireshark, você pode:
- Identifique ameaças de segurança e atividades maliciosas em uma rede
- Observe o tráfego de rede para depurar redes complexas
- Filtre o tráfego com base em protocolos, portas e outros parâmetros
- Capture pacotes e salve-os em um arquivo Pcap para análise offline
- Aplique regras de coloração à lista de pacotes para uma melhor análise
- Exporte os dados capturados para XML, CSV ou arquivo de texto simples.
Conclusão
O Wireshark está sempre classificado entre as 10 principais ferramentas de segurança de rede todos os anos. Com sua interface de usuário simples, mas poderosa, o Wireshark é fácil de aprender e trabalhar. É um recurso valioso no kit de ferramentas de cada testador de penetração.
Espero que este artigo tenha ajudado você a obter uma compreensão sólida do Wireshark. Recentemente escrevi um artigo sobre o 10 principais ferramentas que você deve conhecer como engenheiro de segurança cibernética. Verifique se você gosta de segurança cibernética.
Eu escrevo regularmente sobre aprendizado de máquina, segurança cibernética e DevOps. Você pode se inscrever no meu boletim informativo semanal aqui.