Como usar o Wireshark, o melhor analisador de pacotes do mercado

O Wireshark é o melhor analisador de tráfego de rede e farejador de pacotes. Neste artigo, veremos isso em detalhes.

Wireshark é um analisador de rede que permite que você veja o que está acontecendo em sua rede. Ele permite dissecar seus pacotes de rede em um nível microscópico, fornecendo informações detalhadas sobre pacotes individuais.

O Wireshark foi lançado pela primeira vez em 1998 (e era chamado de Ethereal na época). Ele pode ser executado em todos os principais sistemas operacionais. A maioria das empresas e organizações governamentais agora preferem o Wireshark como seu analisador de rede padrão.

O Wireshark também é totalmente de código aberto, graças à comunidade de engenheiros de rede em todo o mundo. Enquanto a maioria das ferramentas de segurança são baseadas em CLI, o Wireshark vem com uma interface de usuário fantástica.

Modelo OSI

Suponho que você seja novo em redes, portanto, examinaremos alguns aspectos básicos do modelo OSI. Isso é importante para entender as funções centrais do Wireshark.

O modelo Open Systems Interconnection (OSI) padroniza a maneira como dois ou mais dispositivos se conectam. O modelo OSI segmenta a arquitetura de rede em 7 camadas: aplicativo, apresentação, sessão, transporte, rede, conexão de dados e física.

Aqui está o que cada camada faz:

• Camada física – responsável pela conexão física real entre os dispositivos. Os dados são transferidos na forma de bits.
• Camada de link de dados – garante que os dados estejam livres de erros. Os dados são transferidos em molduras.
• Camada de rede – Cuida de encontrar a melhor (e mais rápida) maneira de enviar os dados. Os endereços IP do remetente e do destinatário são adicionados ao cabeçalho nesta camada.
• Camada de transporte – atua como uma ponte entre a rede e a camada de sessão. Usa protocolos como TCP e UDP para enviar e receber dados. Os dados nesta camada são chamados de Segmento.
• Camada de sessão – estabelece e mantém uma sessão entre dispositivos.
• Camada de apresentação – os dados dos segmentos são convertidos em um formato mais amigável aqui. Cuida da criptografia e descriptografia.
• Camada de aplicativo – a camada que interage com o usuário. Se você estiver usando um navegador, ele está na camada do aplicativo.

O diagrama abaixo deve ajudá-lo a entender como esses componentes funcionam juntos.

Se você estiver interessado em aprender mais sobre o modelo OSI, aqui está um artigo detalhado para você.

Pacotes

Agora que você tem um conhecimento sólido do modelo OSI, vamos examinar os pacotes de rede. Quando os dados são transferidos de um computador para outro, o fluxo de dados consiste em unidades menores chamadas de pacotes.

Quando você baixa um arquivo da Internet, os dados são enviados do servidor como pacotes. Esses pacotes são remontados pelo seu computador para fornecer o arquivo original.

Um pacote pode conter os seguintes dados:

• endereços IP de origem e destino
• protocolo
• portas de origem e destino
• dados
• comprimento, sinalizadores, TTL e assim por diante

Cada pacote contém informações valiosas sobre os dispositivos envolvidos em uma transferência de pacote. Cada transferência de dados envolve milhares ou até milhões desses pacotes de dados sendo enviados entre a origem e os dispositivos de destino.

Agora você pode entender a importância do Wireshark. O Wireshark permite capturar cada um desses pacotes e inspecioná-los em busca de dados.

O Wireshark, para um engenheiro de rede, é semelhante a um microscópio para um biólogo. O Wireshark permite que você “escute” uma rede ativa (depois de estabelecer uma conexão com ela) e capture e inspecione pacotes em tempo real.

Como engenheiro de rede ou hacker ético, você pode usar o Wireshark para depurar e proteger suas redes. Como um hacker malicioso (o que eu não recomendo), você pode “farejar” pacotes na rede e capturar informações como transações de cartão de crédito.

É por isso que não é aconselhável se conectar a uma rede pública como a Starbucks e realizar transações financeiras ou acessar dados privados. Mesmo que sites com HTTPS possam criptografar seus pacotes, ele ainda é visível na rede. Se alguém realmente quiser quebrá-lo, ele pode.

Wireshark Basics

Agora vamos ver como você pode jogar com o Wireshark. Baixe e instale o Wireshark aqui.

O Wireshark tem uma interface gráfica incrível, ao contrário da maioria das ferramentas de teste de penetração. Esta é a aparência do Wireshark quando você o carrega.

O Wireshark lista as redes às quais você está conectado e você pode escolher uma delas e começar a ouvir a rede.

Existem três painéis no Wireshark.

Painel de lista de pacotes

Este painel exibe os pacotes capturados. Cada linha representa um pacote individual que você pode clicar e analisar em detalhes usando os outros dois painéis.

Painel de Detalhes do Pacote

Você pode selecionar um pacote e ver as informações do pacote com mais detalhes usando o painel Detalhes do pacote. Ele exibe informações como endereços IP, portas e outras informações contidas no pacote.

Painel de Bytes de Pacote

Este painel fornece os dados brutos do pacote selecionado em bytes. Os dados são exibidos como um dump hexadecimal, que exibe dados binários em hexadecimal.

Filtros

O Wireshark tem filtros que ajudam a restringir o tipo de dados que você está procurando. Existem dois tipos principais de filtros: Filtro de captura e filtro de exibição.

Filtro de Captura

Você pode definir um filtro de captura antes de começar a analisar uma rede. Quando você define um filtro de captura, ele captura apenas os pacotes que correspondem ao filtro de captura.

Por exemplo, se você só precisa ouvir os pacotes enviados e recebidos de um endereço IP, pode definir um filtro de captura da seguinte maneira:

host 192.168.0.1

Depois de definir um filtro de captura, você não pode alterá-lo até que a sessão de captura atual seja concluída.

Filtros de exibição

Filtros de exibição são aplicados para capturar pacotes. Por exemplo, se você deseja exibir apenas as solicitações originadas de um determinado ip, pode aplicar um filtro de exibição da seguinte maneira:

ip.src==192.168.0.1

Como os filtros de exibição são aplicados aos dados capturados, eles podem ser alterados em tempo real.

Resumindo, os filtros de captura permitem que você filtre o tráfego enquanto os filtros de exibição aplicam esses filtros nos pacotes capturados. Como o Wireshark pode capturar centenas de pacotes em uma rede ocupada, eles são úteis durante a depuração.

Principais recursos do Wireshark

Agora que você tem uma boa compreensão dos fundamentos do Wireshark, vamos dar uma olhada em alguns recursos principais. Com o Wireshark, você pode:

• Identifique ameaças de segurança e atividades maliciosas em uma rede
• Observe o tráfego de rede para depurar redes complexas
• Filtre o tráfego com base em protocolos, portas e outros parâmetros
• Capture pacotes e salve-os em um arquivo Pcap para análise offline
• Aplique regras de coloração à lista de pacotes para uma melhor análise
• Exporte os dados capturados para XML, CSV ou arquivo de texto simples.

Conclusão

O Wireshark está sempre classificado entre as 10 principais ferramentas de segurança de rede todos os anos. Com sua interface de usuário simples, mas poderosa, o Wireshark é fácil de aprender e trabalhar. É um recurso valioso no kit de ferramentas de cada testador de penetração.

Espero que este artigo tenha ajudado você a obter uma compreensão sólida do Wireshark. Recentemente escrevi um artigo sobre o 10 principais ferramentas que você deve conhecer como engenheiro de segurança cibernética. Verifique se você gosta de segurança cibernética.

---

Eu escrevo regularmente sobre aprendizado de máquina, segurança cibernética e DevOps. Você pode se inscrever no meu boletim informativo semanal aqui.