Escolar Documentos
Profissional Documentos
Cultura Documentos
Wiresharkdetalhes PDF
Wiresharkdetalhes PDF
Protocolos Wireshark
1. Instalao
No terminal digite:
sudo wireshark
Menu File: aes bsicas de abrir um arquivo de captura, salvar, exportar para os formatos
suportados pelo wireshark.
Menu Edit: marcao de pacotes, avano, busca, e alteraes na configurao do
wireshark.
Menu View: painis e menus que podem ser visualizados e ocultados, configurao do
tempo relativo, a adio de colunas no painel de pacotes capturados e definir as cores por
protocolos capturados.
Menu Analyze: Filtros, e protocolos que podem ser utilizados tanto na captura quando na
visualizao.
Menu Capture: Lista as interface disponveis para captura, opes de captura, iniciar,
parar, reiniciar e filtros de captura.
Menu Statistics: Estatsticas por protocolo, pacotes capturados, mdias, filtro por
tamanho do pacote, grficos, contadores de pacotes, grficos de fluxo, etc.
Menu Telephony: voltado para os protocolos utilizados em voz sobre ip, estatsticas,
streams, contadores, e qualidade da chamada.
Menu Tools: ferramentas para criar regras de filtro de pacotes ( pf, iptables, pf, ipfw, etc..)
Menu Internals: protocolos e todos os filtros suportados pelo wireshark.
Menu Help: ajuda online, exemplos de capturas, e verso da ferramenta.
2) Filtros:
A aba filtro responsvel por receber os filtros disponveis para o wireshark. Existem
diversos filtros e estes podem ser conhecidos no site oficial do wireshark ordenados por
protocolos. Nesta aba inserido os filtros e estes aplicados no painel de pacotes
visualizados.
Neste painel apresentado um resumo em uma linha para cada pacote capturado. As
colunas contm o nmero do pacote, tempo relativo, origem e destino do pacote, protocolo
do pacote, tamanho e informaes gerais do pacote. Estas colunas podem ser
personalizadas.
3. Capturando
Aps as configuraes, clique em Start (CTRL+E) para iniciar a captura. Caso exista algum
pacote chegando ou saindo pela interface selecionada, estes so ilustrados no painel de
pacotes capturados.
4. Salvando, Importando, Exportando
Para salvar uma captura realizada necessrio interromper a captura, clicando no cone
na barra de ferramentas ou no menu Capture em Stop (CTRL+E) .
Dica: Caso o arquivo contenha um perodo de anlise muito grande, pode ser vivel marcar
a opo de compresso do arquivo, na janela salvar (Compress with gzip).
Para abrir um arquivo salvo, basta clicar no menu File, em Open e apontar para o arquivo
salvo.
A exportao pode ser realizada para os formatos: texto plano, CSV, PostScript, XML e
Array C. A opo exportar pode ser realizada para todos os pacotes capturados, somente os
selecionados, ou ento para um determinado intervalo de pacotes.
5. Filtros
Operadores
eq == Igual
ne != Diferente
gt > Maior
lt < Menor
ge >= Maior ou Igual
le <= Menor ou Igual
Lgicos
Exemplos:
eth.dst eq ff:ff:ff:ff:ff:ff
eth.src == ff:ff:ff:ff:ff:ff
ip.addr == 192.168.1.10
ip.dst == 200.199.229.66
http.host == "www.uol.com.br"
http.host eq "www.uol.com.br"
Fonte: http://www.wireshark.org/docs/man-pages/wireshark-filter.html
Adicionando colunas
Permite criar grficos dos pacotes capturados. possvel aplicar os mesmos filtros de
visualizao do wireshark. Os grficos podem ser exportados para formatos png, jpeg, bmp.
Limite de 5 filtros.
Menu Statistics - > Flow Graph ( grfico de fluxo )
7. Praticando
Protocolo HTTP
GET
Solicita algum recurso como um arquivo ou um script CGI (qualquer dado que estiver
identificado pelo URI) por meio do protocolo HTTP.
POST
Envia dados para serem processados (por exemplo, dados de um formulrio HTML) para o
recurso especificado.
Fonte: http://www.wireshark.org/docs/dfref/h/http.html
Protocolo ICMP
ICMP utilizado para verificar se um host est ativo ou no. Um pacote ICMP no contm
porta de origem nem porta de destino porque foi projetado para comunicao entre hosts e
roteadores diretamente na camada de rede.
Cada pacote ICMP tem um tipo e cdigo. As combinaes especificam a mensagem a ser
recebida.
ping -c 4 www.google.com.br
3) Pare a captura e vamos filtrar os pacotes do tipo ICMP, digitando no filtro "icmp"
Resposta: o tempo de resposta uma informao contida no pacote do tipo echo reply.
Filtro: icmp.type == 0
Campo Response Time(icmp.resptime)
CLI ( Command Line Interface )
1. Interfaces
1. 1. eth0
2. 2. wlan0
3. 3. nflog (Linux netfilter log (NFLOG) interface)
4. 4. any (Pseudo-device that captures on all interfaces)
5. 5. lo
2. Arquivos
2.4 Exportando
tshark -T pdml
onde:
pdml = Exporta os detalhes do pacote capturados em formato XML.
psml = Exporta as informaes da janela de pacotes capturados em formato XML.
text = Exporta em texto plano as informaes bsicas.
fields = Exporta as colunas especificadas.
onde:
onde:
/s = espao
/t = tabulao
3. Contedo dos Pacotes
4. Tempo de captura
tshark -t ad
onde:
ad = Data e tempo absoluto da captura do pacote
a = Somente tempo absoluto da captura do pacote
r = Tempo relativo decorrido desde o primeiro pacote ( opo default)
d= Tempo transcorrido desde que o pacote anterior foi capturado
dd = Tempo transcorrido desde que o pacote anterior foi apresentado na tela
e = Diferena de tempo entre a data atual e a data 01 de janeiro de 1970 00:00:00
5. Filtros
Fonte: http://wiki.wireshark.org/CaptureFilters#CaptureFilters-1
tshark -f "filtro"
exemplos:
Captura qualquer pacote que o endereo de origem ou destino esteja na rede 192.168.0
1. tshark -f "net 192.168.0.0/24"
Fonte: http://www.wireshark.org/docs/dfref/
exemplos:
[1] http://penta2.ufrgs.br/gere96/testador/camadas.htm
[2] http://www.slideshare.net/jmmadruga/analisadores-de-protocolo-comparao-e-uso
[3] http://www.wireshark.org/docs/man-pages/wireshark-filter.html