Escolar Documentos
Profissional Documentos
Cultura Documentos
Minicurso Wireshark
Minicurso Wireshark
Protocolos Wireshark
1. Instalao
A instalao da GUI (Graphics User Interface) do wireshark no Ubuntu realizada atravs
do seguinte comando:
sudo apt-get install wireshark
A instalao da CLI (command-line interface) do wireshark, feita atravs do comando
abaixo:
sudo apt-get install tshark
Menu File: aes bsicas de abrir um arquivo de captura, salvar, exportar para os formatos
A aba filtro responsvel por receber os filtros disponveis para o wireshark. Existem
diversos filtros e estes podem ser conhecidos no site oficial do wireshark ordenados por
protocolos. Nesta aba inserido os filtros e estes aplicados no painel de pacotes
visualizados.
Display Filter Reference: http://www.wireshark.org/docs/dfref/
Exemplos: http://wiki.wireshark.org/DisplayFilters
3) Painel pacotes capturados:
Neste painel apresentado um resumo em uma linha para cada pacote capturado. As
colunas contm o nmero do pacote, tempo relativo, origem e destino do pacote, protocolo
3. Capturando
Menu Capture , clique em Interfaces. (CTRL+I)
Aps as configuraes, clique em Start (CTRL+E) para iniciar a captura. Caso exista algum
pacote chegando ou saindo pela interface selecionada, estes so ilustrados no painel de
pacotes capturados.
5. Filtros
No site do wireshark ( http://www.wireshark.org/docs/dfref/ ) existe a documentao
online de todos os filtros suportados na ferramenta. Com a adio de novos protocolos,
novos filtros so inseridos.
Segue a relao de alguns operadores lgicos que podem ser utilizados junto aos filtros
conhecidos:
Operadores
eq
==
Igual
ne
!=
Diferente
gt
>
Maior
lt
<
Menor
ge
>=
Maior ou Igual
le
<=
Menor ou Igual
and
&&
Lgico AND
or
||
Lgico OR
xor
^^
Logico XOR
not
Logico NOT
Lgicos
Exemplos:
eth.dst eq ff:ff:ff:ff:ff:ff
eth.src == ff:ff:ff:ff:ff:ff
ip.addr == 192.168.1.10
ip.dst == 200.199.229.66
http.host == "www.uol.com.br"
http.host eq "www.uol.com.br"
tcp.port == 80 and ip.src == 192.168.1.1
tcp.port eq 80 && ip.src eq 192.168.1.1
not ip or ip.dst ne 192.168.1.1
!ip || ip.dst != 192.168.1.1
Fonte: http://www.wireshark.org/docs/man-pages/wireshark-filter.html
Adicionando colunas
Clicar no menu Edit Preferences (shift+ctrl+P). Clique em Columns.
6. Grficos
7. Praticando
Protocolo HTTP
Protocolo utilizado na World Wide Web (www) para distribuio e recuperao da
informao. A forma de conversao no estilo pedido-resposta entre o cliente (browser) e o
servidor (apache, tomcat, etc)
Usa o protocolo TCP para transporte.
Toda conversao entre cliente e servidor realizada em texto plano (ASCII) atravs de
comandos simples. Atravs de mtodos os objetos podem ser acessados. GET, POST so os
mais utilizados.
GET
Solicita algum recurso como um arquivo ou um script CGI (qualquer dado que estiver
identificado pelo URI) por meio do protocolo HTTP.
POST
Envia dados para serem processados (por exemplo, dados de um formulrio HTML) para o
recurso especificado.
Filtra trfego http:
http
Fonte: http://www.wireshark.org/docs/dfref/h/http.html
Protocolo ICMP
ICMP utilizado para verificar se um host est ativo ou no. Um pacote ICMP no contm
porta de origem nem porta de destino porque foi projetado para comunicao entre hosts e
roteadores diretamente na camada de rede.
Cada pacote ICMP tem um tipo e cdigo. As combinaes especificam a mensagem a ser
recebida.
1. Interfaces
1.1 Listando as interfaces de captura
tshark -D
1.
2.
3.
4.
5.
1. eth0
2. wlan0
3. nflog (Linux netfilter log (NFLOG) interface)
4. any (Pseudo-device that captures on all interfaces)
5. lo
2. Arquivos
2.1 Lendo um arquivo de captura
tshark -r /tmp/arquivo
2.2 Salvando em um arquivo de captura
tshark -w /tmp/arquivo
obs: o arquivo deve existir.
2.3 Salvando em arquivos definindo tempo(segundos) e tamanho(kilobytes) da captura.
tshark -a duration:60 -w arquivo.pcap
tshark -a filesize:1024 -w arquivo.pcap
2.4 Exportando
tshark -T pdml
onde:
pdml = Exporta os detalhes do pacote capturados em formato XML.
psml = Exporta as informaes da janela de pacotes capturados em formato XML.
text = Exporta em texto plano as informaes bsicas.
fields = Exporta as colunas especificadas.
tshark -T fields -e frame.number
onde:
frame.number = nmero do frame
frame.time_relative = tempo relativo do pacote
4. Tempo de captura
4.1 Ajustando o timestamp dos pacotes
tshark -t ad
onde:
ad = Data e tempo absoluto da captura do pacote
a = Somente tempo absoluto da captura do pacote
r = Tempo relativo decorrido desde o primeiro pacote ( opo default)
d= Tempo transcorrido desde que o pacote anterior foi capturado
dd = Tempo transcorrido desde que o pacote anterior foi apresentado na tela
e = Diferena de tempo entre a data atual e a data 01 de janeiro de 1970 00:00:00
5. Filtros
5.1 Filtro de captura usando a sintaxe da libpcap
Dica: otimiza a captura, pois o que no satisfazer a condio do filtro no capturado e
processado.
Fonte: http://wiki.wireshark.org/CaptureFilters#CaptureFilters-1
tshark -f "filtro"
exemplos:
Captura qualquer pacotes udp que use a porta 53
1. tshark -f "udp port 53"
Referncias Bibliogrficas
[1] http://penta2.ufrgs.br/gere96/testador/camadas.htm
[2] http://www.slideshare.net/jmmadruga/analisadores-de-protocolo-comparao-e-uso
[3] http://www.wireshark.org/docs/man-pages/wireshark-filter.html