Laboratrio - Uso do Wireshark para visualizar o trfego de rede

Topologia

Objetivos
Parte 1: (Opcional) Baixar e instalar o Wireshark
Parte 2: Capturar e analisar dados locais ICMP no Wireshark

Inicie e interrompa a captura de dados do trfego de ping para os hosts locais.

Localize informaes sobre o endereo IP e MAC em PDUs capturadas.

Parte 3: Capturar e analisar dados remotos ICMP no Wireshark

Inicie e interrompa a captura de dados do trfego de ping para os hosts remotos.

Localize informaes sobre o endereo IP e MAC em PDUs capturadas.

Explique por que os endereos MAC para hosts remotos so diferentes dos endereos MAC de hosts
locais.

Histrico/cenrio
O Wireshark um software de anlise de protocolo, ou aplicao de packet sniffer, usado para soluo de
problemas de rede, anlise, desenvolvimento de software e protocolo, e educao. medida que o fluxo de
dados viaja em uma rede, o sniffer captura cada unidade de dados de protocolo (PDU) e pode decodificar
e analisar seu contedo de acordo com o RFC apropriado ou com outras especificaes.
O Wireshark uma ferramenta til para quem trabalha com redes e pode ser usado com a maioria dos
laboratrios nos cursos CCNA para anlise de dados e soluo de problemas. Este laboratrio apresenta
instrues para baixar e instalar o Wireshark, embora talvez j esteja instalado. Neste laboratrio, voc usar
o Wireshark para capturar endereos IP do pacote de dados ICMP e endereos MAC do quadro Ethernet.

2014 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contm informaes pblicas da Cisco.

Pgina 1 de 20

Laboratrio - Uso do Wireshark para Visualizar o Trfego de Rede

Recursos necessrios

1 PC (Windows 7, Vista ou XP com acesso Internet)

Sero usados outros PCs em uma rede local (LAN) para responder s solicitaes de ping.

Parte 1: (Opcional) Baixar e instalar o Wireshark.

O Wireshark tornou-se o programa de sniffer de pacotes padro do setor usado por engenheiros de rede.
Este software aberto est disponvel para vrios sistemas operacionais diferentes, incluindo Windows, Mac
e Linux. Na parte 1 deste laboratrio, voc baixar e instalar o programa de software Wireshark em seu PC.
Observao: se o Wireshark j estiver instalado no PC, voc pode pular a parte 1 e ir direto para a parte 2.
Se o Wireshark no estiver instalado no PC, verifique com seu instrutor a poltica de download de software
de sua academia.

Etapa 1: Baixar o Wireshark.

a. O Wireshark pode ser baixado em www.wireshark.org.
b. Clique em Baixar o Wireshark.

c.

Escolha a verso de software necessria com base na arquitetura e no sistema operacional do PC. Por
exemplo, se voc tiver um PC de 64 bits executando o Windows, selecione Windows Installer (64-bit)
(Instalador do Windows (64 bits)).

2014 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contm informaes pblicas da Cisco.

Pgina 2 de 20

Laboratrio - Uso do Wireshark para Visualizar o Trfego de Rede

Depois de fazer uma seleo, o download ser iniciado. O destino do download do arquivo depende do
navegador e do sistema operacional usados. Para usurios do Windows, o local padro a pasta
Downloads.

Etapa 2: Instalar o Wireshark.

a. O arquivo baixado chamado Wireshark-win64-x.x.x.exe, em que x representa o nmero da verso.
Clique duas vezes no arquivo para iniciar o processo de instalao.
b. Responda a todas as mensagens de segurana que aparecerem na tela. Se j tiver uma cpia do
Wireshark em seu PC, ser solicitado que voc desinstale a verso anterior antes de instalar a nova
verso. Recomenda-se que voc remova a verso antiga do Wireshark antes de instalar outra verso.
Clique em Sim para desinstalar a verso anterior do Wireshark.

c.

Se esta for a primeira instalao do Wireshark, ou aps concluir o processo de desinstalao, voc
navegar para o assistente de configurao do Wireshark. Clique em Next (Prximo).

2014 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contm informaes pblicas da Cisco.

Pgina 3 de 20

Laboratrio - Uso do Wireshark para Visualizar o Trfego de Rede

d. Continue avanando no processo de instalao. Clique em I agree (Eu concordo) quando a janela do
contrato de licena for exibida.

e. Mantenha as configuraes padro na janela Escolher componentes e clique em Next (Prximo).

2014 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contm informaes pblicas da Cisco.

Pgina 4 de 20

Laboratrio - Uso do Wireshark para Visualizar o Trfego de Rede

f.

Escolha suas opes de atalho desejadas e clique em Next (Prximo).

g. Voc pode alterar o local de instalao do Wireshark, porm a menos que voc tenha espao em disco
limitado, recomenda-se manter o local padro.

2014 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contm informaes pblicas da Cisco.

Pgina 5 de 20

Laboratrio - Uso do Wireshark para Visualizar o Trfego de Rede

h. Para capturar dados da rede ativa, o WinPcap deve estar instalado no PC. Se o WinPcap j estiver
instalado no PC, a caixa de seleo Instalar ser desmarcada. Se a verso instalada do WinPcap for
mais antiga que a verso que acompanha o Wireshark, recomenda-se que voc permita que a verso
mais recente seja instalada clicando na caixa de seleo Install WinPcap x.x.x (Instalar o WinPcap
x.x.x) (nmero da verso).
i.

Conclua o assistente de configurao do WinPcap se estiver instalando o WinPcap.

j.

O Wireshark comea a instalar seus arquivos e exibe uma janela separada com o status da instalao.
Clique em Next (Prximo) quando a instalao estiver concluda.

2014 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contm informaes pblicas da Cisco.

Pgina 6 de 20

Laboratrio - Uso do Wireshark para Visualizar o Trfego de Rede

k.

Clique em Finish (Concluir) para encerrar o processo de instalao do Wireshark.

Parte 2: Capturar e analisar dados locais ICMP no Wireshark

Na parte 2 deste laboratrio, voc efetuar ping em outro computador na LAN e capturar solicitaes
e respostas ICMP no Wireshark. Voc tambm ver quadros capturados para obter informaes especficas.
Essa anlise ajudar a esclarecer como os cabealhos dos pacotes so usados para transportar os dados
at o destino.

Etapa 1: Recupere seus endereos de interface do PC.

Neste laboratrio, voc precisar recuperar o endereo IP do PC e o endereo fsico da placa de rede (NIC),
tambm chamado de endereo MAC.

2014 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contm informaes pblicas da Cisco.

Pgina 7 de 20

Laboratrio - Uso do Wireshark para Visualizar o Trfego de Rede

a. Abra uma janela de comando, digite ipconfig /all e pressione Enter.
b. Observe o endereo IP da interface do PC e o endereo MAC (fsico).

c.

Solicite a um membro da equipe o endereo IP do PC dele e fornea-lhe o endereo IP do seu PC. No

fornea o seu endereo MAC a ele agora.

Etapa 2: Inicie o Wireshark e comece a capturar os dados.

a. Em seu computador, clique no boto Iniciar do Windows para ver o Wireshark listado como um dos
programas no menu pop-up. Clique duas vezes no Wireshark.
b. Aps iniciar o Wireshark, clique na Interface List (Lista de interface).

Observao: clicar no primeiro cone de interface na linha de cones tambm abre a lista de interface.

2014 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contm informaes pblicas da Cisco.

Pgina 8 de 20

Laboratrio - Uso do Wireshark para Visualizar o Trfego de Rede

c.

No Wireshark: na janela Capture Interfaces (interfaces de captura), clique na caixa de seleo ao lado da
interface conectada LAN.

Observao: se vrias interfaces estiverem listadas e voc no tiver certeza sobre qual interface
verificar, clique no boto Details (Detalhes) e na guia 802.3 (Ethernet). Verifique se o endereo MAC
corresponde ao que voc observou na etapa 1b. Feche a janela de Interface Details (detalhes da
interface) aps verificar a interface correta.

d. Depois de verificar a interface correta, clique em Start (Iniciar) para iniciar a captura de dados.

2014 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contm informaes pblicas da Cisco.

Pgina 9 de 20

Laboratrio - Uso do Wireshark para Visualizar o Trfego de Rede

As informaes comearo a rolar abaixo da seo superior no Wireshark. As linhas de dados sero
exibidas em cores diferentes com base no protocolo.

e. Essas informaes podem passar rapidamente dependendo da comunicao que estiver ocorrendo
entre o PC e a LAN. Podemos aplicar um filtro para facilitar a visualizao e o trabalho com os dados
que esto sendo capturados pelo Wireshark. Neste laboratrio, estamos apenas interessados em exibir
as PDUs do ICMP (ping). Digite icmp na caixa Filtro na parte superior do Wireshark e pressione Enter ou
clique no boto Apply (Aplicar) para exibir somente as PDUs do ICMP (ping).

2014 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contm informaes pblicas da Cisco.

Pgina 10 de 20

Laboratrio - Uso do Wireshark para Visualizar o Trfego de Rede

f.

Este filtro faz com que todos os dados na janela superior desapaream, mas voc ainda estar
capturando o trfego na interface. Exiba a janela do prompt de comando que voc abriu anteriormente
e efetue ping no endereo IP que voc recebeu de sua equipe. Observe que comea a ver novamente os
dados na janela superior do Wireshark.

Observao: se o PC de sua equipe no responde aos pings, isso pode acontecer porque o firewall do
PC est bloqueando as solicitaes. ConsulteAppendix A: Allowing ICMP Traffic Through a Firewall para
obter informaes sobre como permitir o trfego ICMP pelo firewall usando o Windows 7.
g. Pare a captura de dados clicando no cone Stop Capture (Parar a captura).

2014 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contm informaes pblicas da Cisco.

Pgina 11 de 20

Laboratrio - Uso do Wireshark para Visualizar o Trfego de Rede

Etapa 3: Examine os dados capturados.

Na etapa 3, examine os dados gerados pelas solicitaes ping do PC de sua equipe. Os dados do Wireshark
so exibidos em trs sees: 1) A seo superior exibe a lista de quadros de PDU capturada com um
resumo das informaes do pacote IP listadas, 2) a seo mdia mostra as informaes de PDU para
o quadro selecionado na parte superior da tela e separa um quadro PDU capturado pelas camadas de
protocolo, e 3) a seo inferior exibe os dados brutos de cada camada. Os dados so exibidos em formato
hexadecimal e decimal.

a. Clique nos primeiros quadros de PDU de solicitao ICMP na seo da parte superior do Wireshark.
Observe que a coluna Origem tem o endereo IP do PC, e a Destino contm o endereo IP do PC do
colega em que voc efetuou ping.

2014 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contm informaes pblicas da Cisco.

Pgina 12 de 20

Laboratrio - Uso do Wireshark para Visualizar o Trfego de Rede

b. Com esse quadro de PDU ainda selecionado na seo superior, v at a seo mdia. Clique no sinal
mais esquerda da linha Ethernet II para ver os endereos MAC origem e destino.

O endereo MAC origem corresponde interface do PC? ____

O endereo MAC destino no Wireshark corresponde ao endereo MAC de sua equipe?
_____
Como o endereo MAC do PC que recebeu ping obtido pelo seu PC?
___________________________________________________________________________________
Observao: no exemplo anterior de uma solicitao ICMP capturada, os dados do ICMP so
encapsulados dentro da PDU do pacote IPv4 (cabealho IPv4) que , ento, encapsulada em uma PDU
do quadro Ethernet II (cabealho Ethernet II) para transmisso na LAN.

Parte 3: Capturar e analisar dados ICMP remotos no Wireshark

Na parte 3, voc efetuar ping nos hosts remotos (no nos hosts da LAN) e examinar os dados gerados desses
pings. Voc determinar o que h de diferente nesses dados a partir dos dados pesquisados na parte 2.

Etapa 1: Inicie a captura de dados na interface.

a. Clique no cone Interface List (Lista de interface) para exibir novamente as interfaces do PC na lista.

2014 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contm informaes pblicas da Cisco.

Pgina 13 de 20

Laboratrio - Uso do Wireshark para Visualizar o Trfego de Rede

b. Verifique se a caixa de seleo ao lado da interface da LAN est marcada e clique em Start (Iniciar).

c.

Uma janela solicitar que salve os dados capturados anteriormente antes de iniciar outra captura. No
necessrio salvar esses dados. Clique em Continue without Saving (Continuar sem salvar).

2014 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contm informaes pblicas da Cisco.

Pgina 14 de 20

Laboratrio - Uso do Wireshark para Visualizar o Trfego de Rede

d. Com a captura ativa, efetue ping nos trs URLs de sites a seguir:
1) www.yahoo.com
2) www.cisco.com
3) www.google.com

Observao: quando voc efetuar ping nos URLs listados, observe que o Servidor de Nome de Domnio
(DNS) converte o URL para um endereo IP. Observe o endereo IP recebido para cada URL.
e. possvel parar a captura de dados clicando no cone Stop Capture (Parar a captura).

Etapa 2: Examinar e analisar os dados dos hosts remotos.

a. Analise os dados capturados no Wireshark, examine os endereos IP e MAC dos trs locais em que
voc efetuou ping. Liste os endereos IP e MAC destino para todos os trs locais no espao fornecido.
1 Local:

IP: _____._____._____._____ MAC: ____:____:____:____:____:____

IP: _____._____._____._____ MAC: ____:____:____:____:____:____

IP: _____._____._____._____ MAC: ____:____:____:____:____:____

2 Local:
3 Local:

2014 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contm informaes pblicas da Cisco.

Pgina 15 de 20

Laboratrio - Uso do Wireshark para Visualizar o Trfego de Rede

b. Qual a importncia dessas informaes?
____________________________________________________________________________________
c.

Como essas informaes diferem das informaes do ping local que voc recebeu na parte 2?
____________________________________________________________________________________
____________________________________________________________________________________

Reflexo
Por que o Wireshark mostra o endereo MAC real dos hosts locais, mas no o endereo MAC real para os
hosts remotos?
_______________________________________________________________________________________
_______________________________________________________________________________________

Anexo A: Permitir o trfego ICMP pelo firewall

Se os membros de sua equipe no conseguirem efetuar ping em seu PC, o firewall pode estar bloqueando
essas solicitaes. Este anexo descreve como criar uma regra no firewall para permitir solicitaes de ping.
Tambm descreve como desativar a nova regra ICMP depois que voc tiver concludo o laboratrio.

Etapa 1: Crie uma regra de entrada nova permitindo o trfego ICMP pelo firewall.
a. No Painel de controle, clique na opo Sistema e Segurana.

b. Na janela Sistema e Segurana, clique em Firewall do Windows.

2014 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contm informaes pblicas da Cisco.

Pgina 16 de 20

Laboratrio - Uso do Wireshark para Visualizar o Trfego de Rede

c.

No painel esquerdo da janela de firewall do Windows, clique em Configuraes avanadas.

d. Na janela Segurana avanada, selecione a opo Regras de Entrada na barra lateral esquerda e
clique em Nova regra na barra lateral direita.

2014 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contm informaes pblicas da Cisco.

Pgina 17 de 20

Laboratrio - Uso do Wireshark para Visualizar o Trfego de Rede

e. Isso inicia o assistente Nova regra de entrada. Na tela Tipo de regra, clique no boto de opo
Personalizar e em Avanar.

f.

No painel esquerdo, clique na opo Protocolo e Portas e, usando o menu suspenso Tipo de protocolo,
selecione ICMPv4 e clique em Avanar.

2014 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contm informaes pblicas da Cisco.

Pgina 18 de 20

Laboratrio - Uso do Wireshark para Visualizar o Trfego de Rede

g. No painel esquerdo, clique na opo Nome e, no campo Nome, digite Permitir solicitaes do ICMP.
Clique em Concluir.

Essa nova regra deve permitir que os membros da equipe recebam respostas de ping no PC.

Etapa 2: Desativar ou excluir a nova regra do ICMP.

Aps o laboratrio ser concludo, voc talvez queira desativar ou at mesmo excluir a nova regra criada na
etapa 1. Usar a opo Desativar Regra permite que posteriormente a regra seja ativada de novo. Excluir
a regra permanentemente a exclui da lista de Regras de entrada.
a. Na janela Segurana avanada, no painel esquerdo, clique em Regras de Entrada e localize a regra
que voc criou na etapa 1.

2014 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contm informaes pblicas da Cisco.

Pgina 19 de 20

Laboratrio - Uso do Wireshark para Visualizar o Trfego de Rede

b. Para desativar a regra, clique na opo Desativar Regra. Ao escolher essa opo, voc a ver mudar
para Ativar Regra. Voc pode alternar entre Desativar Regra e Ativar Regra; o status da regra tambm
exibido na coluna Ativado na lista de Regras de entrada.

c.

Para excluir permanentemente a regra do ICMP, clique em Excluir. Se voc selecionar essa opo,
voc pode recriar a regra novamente para permitir respostas ICMP.

2014 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contm informaes pblicas da Cisco.

Pgina 20 de 20