Introduo ao Analisador de

Protocolos Wireshark
1. Instalao
A instalao da GUI (Graphics User Interface) do wireshark no Ubuntu realizada atras
do se!uinte co"ando#
sudo apt$!et install wireshark
A instalao da %&I (co""and$line interface) do wireshark' feita atras do co"ando
abai(o#
sudo apt$!et install tshark
1.1 )(ecutando o wireshark
*o ter"inal di!ite#
sudo wireshark
+. GUI (Graphics User Interface)
, interface !r-fica do wireshark diidida e" . partes#
1) /enu de co"andos e barra de ferra"entas#
, "enu de co"andos localizado no topo da 0anela' os 1cones dispostos na barra so
as a2es "ais utilizadas' entre elas# escolher interface' op2es de captura' iniciar u"a
captura' parar e reiniciar captura' abrir u" ar3uio salo' salar captura atual' i"presso e
busca.
/enu File# a2es b-sicas de abrir u" ar3uio de captura' salar' e(portar para os for"atos
suportados pelo wireshark.
/enu Edit# "arcao de pacotes' aano' busca' e altera2es na confi!urao do
wireshark.
/enu View# painis e "enus 3ue pode" ser isualizados e ocultados' confi!urao do
te"po relatio' a adio de colunas no painel de pacotes capturados e definir as cores por
protocolos capturados.
/enu Analyze# 4iltros' e protocolos 3ue pode" ser utilizados tanto na captura 3uando na
isualizao.
/enu Capture# &ista as interface dispon1eis para captura' op2es de captura' iniciar'
parar' reiniciar e filtros de captura.
/enu Statistics# )stat1sticas por protocolo' pacotes capturados' "dias' filtro por
ta"anho do pacote' !r-ficos' contadores de pacotes' !r-ficos de flu(o' etc.
/enu Telephony# oltado para os protocolos utilizados e" oz sobre ip' estat1sticas'
strea"s' contadores' e 3ualidade da cha"ada.
/enu Tools# ferra"entas para criar re!ras de filtro de pacotes ( pf' iptables' pf' ipfw' etc..)
/enu Internals# protocolos e todos os filtros suportados pelo wireshark.
/enu Help# a0uda online' e(e"plos de capturas' e erso da ferra"enta.
+) 4iltros#
A aba filtro respons-el por receber os filtros dispon1eis para o wireshark. )(iste"
diersos filtros e estes pode" ser conhecidos no site oficial do wireshark ordenados por
protocolos. *esta aba inserido os filtros e estes aplicados no painel de pacotes
isualizados.
5ispla6 4ilter 7eference# http#88www.wireshark.or!8docs8dfref8
)(e"plos# http#88wiki.wireshark.or!85ispla64ilters
9) :ainel pacotes capturados#
*este painel apresentado u" resu"o e" u"a linha para cada pacote capturado. As
colunas cont" o n;"ero do pacote' te"po relatio' ori!e" e destino do pacote' protocolo
do pacote' ta"anho e infor"a2es !erais do pacote. )stas colunas pode" ser
personalizadas.
<) :ainel detalhes do pacote#
/ostra os detalhes dos pacotes selecionados no painel pacotes capturados de for"a
hier-r3uica. A 3uantidade de infor"a2es e(ibidas relacionada co" o protocolo
selecionado. %aso se0a u" pacote =%: ou U5: detalhes destes so apresentados.
.) :ainel iso e" b6tes do pacote
/ostra o fra"e inteiro capturado nos for"atos A>%II ou he(adeci"al.
9. %apturando
/enu Capture ' cli3ue e" Interfaces. (%=7&?I)
>elecione a(s) interface(s) 3ue dese0a capturar.
)" Options (%=7&?@) al!u"as op2es co"o' "odo pro"1scuo' resoler no"es' salar e"
";ltiplos ar3uios.
ApAs as confi!ura2es' cli3ue e" Start (%=7&?)) para iniciar a captura. %aso e(ista al!u"
pacote che!ando ou saindo pela interface selecionada' estes so ilustrados no painel de
pacotes capturados.
<. >alando' I"portando' )(portando
:ara salar u"a captura realizada necess-rio interro"per a captura' clicando no 1cone
na barra de ferra"entas ou no "enu Capture e" Stop (%=7&?)) .
5ica# %aso o ar3uio contenha u" per1odo de an-lise "uito !rande' pode ser i-el "arcar
a opo de co"presso do ar3uio' na 0anela salar (%o"press with !zip).
:ara abrir u" ar3uio salo' basta clicar no "enu File' e" Open e apontar para o ar3uio
salo.
A e(portao pode ser realizada para os for"atos# te(to plano' %>B' :ost>cript' C/& e
Arra6 %. A opo e(portar pode ser realizada para todos os pacotes capturados' so"ente os
selecionados' ou ento para u" deter"inado interalo de pacotes.
.. 4iltros
*o site do wireshark ( http#88www.wireshark.or!8docs8dfref8 ) e(iste a docu"entao
online de todos os filtros suportados na ferra"enta. %o" a adio de noos protocolos'
noos filtros so inseridos.
>e!ue a relao de al!uns operadores lA!icos 3ue pode" ser utilizados 0unto aos filtros
conhecidos#
,peradores
eq == Igual
ne != Diferente
gt > Maior
lt < Menor
ge >= Maior ou Igual
le <= Menor ou Igual
&A!icos
and && Lgico AND
or || Lgico OR
xor Logico !OR
not ! Logico NO"
)(e"plos#
eth.dst e3 ff#ff#ff#ff#ff#ff
eth.src DD ff#ff#ff#ff#ff#ff
ip.addr DD 1E+.1FG.1.1H
ip.dst DD +HH.1EE.++E.FF
http.host DD Iwww.uol.co".brI
http.host e3 Iwww.uol.co".brI
tcp.port DD GH and ip.src DD 1E+.1FG.1.1
tcp.port e3 GH JJ ip.src e3 1E+.1FG.1.1
not ip or ip.dst ne 1E+.1FG.1.1
Kip LL ip.dst KD 1E+.1FG.1.1
4onte# http#88www.wireshark.or!8docs8"an$pa!es8wireshark$filter.ht"l
Adicionando colunas
%licar no "enu Edit Preferences (shift?ctrl?:). %li3ue e" Columns
1) :ortas de ori!e" e destino no resolidas para o no"e do serio#
Adicionar u"a noa coluna e escolher a opo src port !unresol"ed#.
Adicionar u"a noa coluna e escolher a opo dst port !unresol"ed#.
+) Adicionar a so"a acu"ulatia dos pacotes filtrados.
Adicionar u"a noa coluna e escolher a opo Cumulati"e $ytes
9) Adicionar a diferena entre a "arcao de te"po do pacote atual e o anterior
capturado.
Adicionar u"a noa coluna e escolher e" field t6pe escolher a opo custom e e" field
name adicionar fra"e.ti"eMdelta
<) :ara adicionar a diferena entre os pacotes isualizados e no capturados use a field
fra"e.ti"eMdeltaMdispla6ed
.) ic"p.t6pe "ostra o tipo de pacote ic"p G D echo re3uest e H D echo repl6
F. Gr-ficos
/enu statistics $ N Protocol Hierarchy
/ostra de for"a hier-r3uica a cadeia de protocolos capturados' be" co"o a 3uantidade'
porcenta!e" e ta(a de transferOncia. Usado para conhecer a proporo de protocolos na
captura.
/enu statistics $ N Endpoints
/ostra estat1sticas de pacotes capturados entre todos os endereos enolidos. /ostra
por protocolos' sentido da co"unicao.
/enu Statistics $ N Pac%et &en'hts ( =a"anho dos :acotes )
/ostra a 3uantidade de pacotes por interalo de ta"anhos e" b6tes
/enu Statistics $ N IO (raphs
:er"ite criar !r-ficos dos pacotes capturados. P poss1el aplicar os "es"os filtros de
isualizao do wireshark. ,s !r-ficos pode" ser e(portados para for"atos pn!' 0pe!' b"p.
&i"ite de . filtros.
/enu Statistics $ N Flow (raph ! 'r)fico de flu*o #
/ostra o flu(o das cone(2es entre os hosts enolidos.
Q. :raticando
:rotocolo R==:
:rotocolo utilizado na Sorld Side Seb (www) para distribuio e recuperao da
infor"ao. A for"a de conersao no estilo pedido$resposta entre o cliente (browser) e o
seridor (apache' to"cat' etc)
Usa o protocolo =%: para transporte.
=oda conersao entre cliente e seridor realizada e" te(to plano (A>%II) atras de
co"andos si"ples. Atras de "todos os ob0etos pode" ser acessados. G)=' :,>= so os
"ais utilizados.
GET
>olicita al!u" recurso co"o u" ar3uio ou u" script %GI (3ual3uer dado 3ue estier
identificado pelo U7I) por "eio do protocolo R==:.
POST
)nia dados para sere" processados (por e(e"plo' dados de u" for"ul-rio R=/&) para o
recurso especificado.
4iltra tr-fe!o http#
http
4iltra os dados recebidos
http.contentMt6pe
4iltra todas re3uisi2es do "todo G)=
http.re3uest."ethodDDG)=
4iltra respostas de p-!inas no encontradas
http.response.code DD <H<
4onte# http#88www.wireshark.or!8docs8dfref8h8http.ht"l
:rotocolo I%/:
I%/: utilizado para erificar se u" host est- atio ou no. U" pacote I%/: no cont"
porta de ori!e" ne" porta de destino por3ue foi pro0etado para co"unicao entre hosts e
roteadores direta"ente na ca"ada de rede.
%ada pacote I%/: te" u" tipo e cAdi!o. As co"bina2es especifica" a "ensa!e" a ser
recebida.
1) Inicie a captura no wireshark
+) Abra u" ter"inal do linu( e di!ite#
pin! $c < www.!oo!le.co".br
9) :are a captura e a"os filtrar os pacotes do tipo I%/:' di!itando no filtro Iic"pI
<) Analise os pacote e encontre os alores do te"po de resposta encontrado pelo
aplicatio pin!.
7esposta# o te"po de resposta u"a infor"ao contida no pacote do tipo echo repl6.
4iltro# ic"p.t6pe DD H
%a"po 7esponse =i"e(ic"p.respti"e)
%&I ( %o""and &ine Interface )
+ Interfaces
1.1 &istando as interfaces de captura
tshark $5
1. 1. ethH
2. +. wlanH
3. 9. nflo! (&inu( netfilter lo! (*4&,G) interface)
4. <. an6 (:seudo$deice that captures on all interfaces)
5. .. lo
:ode"os utilizar o no"e da interface ou o n;"ero associado a ela.
1.+ >elecionando a(s) interface(s) de captura
tshark $i ethH
tshark $i ethH $i wlanH
tshark $i +
1.9 5esabilitar o "odo pro"1scuo da interface
tshark $p
, Ar-ui"os
+.1 &endo u" ar3uio de captura
tshark $r 8t"p8ar3uio
+.+ >alando e" u" ar3uio de captura
tshark $w 8t"p8ar3uio
obs# o ar3uio dee e(istir.
+.9 >alando e" ar3uios definindo te"po(se!undos) e ta"anho(kilob6tes) da captura.
tshark $a duration#FH $w ar3uio.pcap
tshark $a filesize#1H+< $w ar3uio.pcap
+.9 >alando e" u" ar3uio u"a captura de C pacotes.
tshark $c 1HHH $w ar3uio.pcap
+.< )(portando
tshark $= pd"l
onde#
pd"l D )(porta os detalhes do pacote capturados e" for"ato C/&.
ps"l D )(porta as infor"a2es da 0anela de pacotes capturados e" for"ato C/&.
te(t D )(porta e" te(to plano as infor"a2es b-sicas.
fields D )(porta as colunas especificadas.
tshark $= fields $e fra"e.nu"ber
onde#
fra"e.nu"ber D n;"ero do fra"e
fra"e.ti"eMrelatie D te"po relatio do pacote
fra"e.ti"eMdelta D (fra"e atual T fra"e anterior ' capturado .
fra"e.ti"eMdeltaMdispla6ed D fra"e atual T fra"e anterior ' "ostrado no filtro8displa6.
fra"e.len D ta"anho do pacote e" b6tes
ip.src D endereo ip de ori!e"
ip.dst D endereo ip de destino
I"pri"e o cabealho da coluna
tshark $) headerD6
5efine u" caracter separador entre as colunas
tshark $) separatorDUVU
onde#
8s D espao
8t D tabulao
9. %onte;do dos :acotes
9.1 ,culta os pacotes capturados na tela.
tshark $3
9.+ /ostra detalhes dos pacotes
tshark $B
<. =e"po de captura
<.1 A0ustando o ti"esta"p dos pacotes
tshark $t ad
onde#
ad D 5ata e te"po absoluto da captura do pacote
a D >o"ente te"po absoluto da captura do pacote
r D =e"po relatio decorrido desde o pri"eiro pacote ( opo default)
dD =e"po transcorrido desde 3ue o pacote anterior foi capturado
dd D =e"po transcorrido desde 3ue o pacote anterior foi apresentado na tela
e D 5iferena de te"po entre a data atual e a data H1 de 0aneiro de 1EQH HH#HH#HH
.. 4iltros
..1 Filtro de captura usando a sinta(e da libpcap
5ica# oti"iza a captura' pois o 3ue no satisfazer a condio do filtro no capturado e
processado.
4onte# http#88wiki.wireshark.or!8%apture4iltersW%apture4ilters$1
tshark $f IfiltroI
e(e"plos#
%aptura 3ual3uer pacotes udp 3ue use a porta .9
1. tshark $f Iudp port .9I
%aptura 3ual3uer pacote co" o ip 1E+.1FG.1.1 tanto na ori!e" co"o destino
1. tshark $f Ihost 1E+.1FG.1.1I
%aptura 3ual3uer pacote 3ue o endereo de ori!e" ou destino este0a na rede 1E+.1FG.H
1. tshark $f Inet 1E+.1FG.H.H8+<I
%aptura pacotes co" ori!e" o endereo de rede especificado
1. tshark $f Isrc net 1E+.1FG.H.H8+<I
..+ Filtro de &eitura./isplay usando a sinta(e do wireshark
4onte# http#88www.wireshark.or!8docs8dfref8
tshark $7 IfiltroI $r ar3uio.pcap
e(e"plos#
4iltra pacotes U5:
1. tshark -R IudpI $r ar3uio.pcap
4iltra pacotes R==:
1. tshark -R IhttpI
4iltra respostas R==: <H< (p-!ina no encontrada)
1. tshark $7 Ihttp.response.code DD <H<I
4iltra respostas R==: +HH (p-!ina encontrada)
1. tshark $7 Ihttp.response.code DD +HHI
4iltra "etodos R==: (:,>= e G)=)
1. tshark $7 Ihttp.re3uest."ethod DD I:,>=I LL http.re3uest."ethod DD IG)=I I
7eferOncias Xiblio!r-ficas
Y1Z http#88penta+.ufr!s.br8!ereEF8testador8ca"adas.ht"
Y+Z http#88www.slideshare.net80""adru!a8analisadores$de$protocolo$co"parao$e$uso
Y9Z http#88www.wireshark.or!8docs8"an$pa!es8wireshark$filter.ht"l