O que é o Wireshark?

Wireshark é um analisador de pacotes de rede. Um analisador de pacotes de

rede irá tentar capturar pacotes da rede e mostrar com o máximo de detalhes as
variáveis envolvidas em uma conexão de rede.

Você poderia pensar em um analisador de pacotes de rede como um dispositivo

de medição utilizado para analisar o que está acontecendo dentro de um cabo de
rede, assim como um voltímetro é utilizado por um eletricista para examinar o que
está acontecendo dentro de um cabo elétrico (mas a um nível superior, é claro ).

No passado, essas ferramentas eram muito caras, proprietárias, ou ambos.

Entretanto com o advento do Wireshark tudo isso mudou.

Wireshark é talvez um dos melhores analisadores de pacotes de código aberto

disponíveis hoje no mercado e o mais utilizado por administradores de rede.

Alguns fins pretendidos

Aqui estão alguns exemplos de pessoas usam Wireshark para:

 Administradores de rede utilizam para solucionar problemas de rede

 Engenheiros de segurança de rede usá-lo para examinar os problemas de
segurança
 Desenvolvedores de usá-lo para depurar as implementações do protocolo .
 Estudantes utilizam para aprender mais sobre protocolos de rede.

Características

A seguir estão alguns dos muitos recursos Wireshark dispõe:

 Disponível para Unix e Windows.

 Capture pacotes de dados em tempo real de uma interface de rede.
 Pacotes Display com informações de protocolo muito detalhado.
 Pacotes de dados Abrir e Salvar capturado.
 Importação e Exportação de dados dos pacotes a partir e para outros
programas de captura.
 Filtro de pacotes em muitos critérios.
 Busca por pacotes em muitos critérios.
 Filtros coloridos baseados em filtros de pacotes.
 Criação de estatísticas.
 No entanto, para realmente entender , você tem que começar a usá-lo.
Na figura abaixo o Wireshark apresenta uma captura de pacotes para que você
examine seu conteúdo:
Captura on line de diferentes topologias de rede.

O wireshark pode capturar diversos pacotes de diferentes topologias de rede

incluindo redes sem fio, isso irá depender do sistema operacional utilizado e o
hardware compatível conforme tabela abaixo:

1. Linux Juntar Bluetooth só.

2. PPP não-quadros de controle apenas.
3. Últimas CVS libpcap exigido (versão que exatamente?).
4. Em algumas plataformas: WLAN não-quadros de controle só, com
cabeçalhos falsos Ethernet, e apenas o tráfego de e para a máquina de
fazer a captura.
5. Windows não tem uma interface loopback UNIX-style.
A seguir discutimos as várias topologias de rede e a compatibilidade do analisador
de pacotes em cada uma delas.

Interfaces físicas
 ATM - captura de tráfego ATM
 Bluetooth - capturar o tráfego de Bluetooth - actualmente limitado a apor
pilha no Linux
 Links CiscoHDLC - capturar nas ligações síncronas usando o
encapsulamento HDLC Cisco
 DOCSIS - captura primas Cisco DOCSIS tráfego de modem por cabo
transmitidos Ethernet
 Ethernet - captura de todas as topologias Ethernet, incluindo redes
comutadas .
 FrameRelay - capturar o tráfego frameRelay
 IrDA - capturar o tráfego IrDA - atualmente limitada a Linux.
 Ligações PPP - captação em linhas discadas, ligações ISDN e PPP-over-
Ethernet (PPPoE, por exemplo, ADSL)
 SS7 - captura SS7 tráfego na TDM (T1/E1/J1/T3/E3/J3) ligações
 TokenRing - capturar em TokenRing adaptadores, incluindo o modo
promíscuo e redes comutadas .
 USB - USB de captura de tráfego de impressão RAW .
 WLAN - captura de 802,11 (WLAN, Wi-Fi) interfaces, incluindo o "modo
monitor", informações primas 802,11 cabeçalhos e rádio.
 Importação de arquivos de outros programas

O Wireshark suporta formatos de vários programas de captura e análise de

pacotes tais como:

 libpcap, tcpdump and various other tools using tcpdump's capture format
 Sun snoop and atmsnoop
 Shomiti/Finisar Surveyor captures
 Novell LANalyzer captures
 Microsoft Network Monitor captures
 AIX's iptrace captures
 Cinco Networks NetXray captures
 Network Associates Windows-based Sniffer and Sniffer Pro captures
 Network General/Network Associates DOS-based Sniffer (compressed or uncompressed)
captures
 AG Group/WildPackets EtherPeek/TokenPeek/AiroPeek/EtherHelp/PacketGrabber
captures
 RADCOM's WAN/LAN Analyzer captures
 Network Instruments Observer version 9 captures
 Lucent/Ascend router debug output
 HP-UX's nettl
 Toshiba's ISDN routers dump output
 ISDN4BSD i4btrace utility
 traces from the EyeSDN USB S0
 IPLog format from the Cisco Secure Intrusion Detection System
 pppd logs (pppdump format)
 the output from VMS's TCPIPtrace/TCPtrace/UCX$TRACE utilities
 the text output from the DBS Etherwatch VMS utility
 Visual Networks' Visual UpTime traffic capture
 the output from CoSine L2 debug
 the output from Accellent's 5Views LAN agents
 Endace Measurement Systems' ERF format captures
 Linux Bluez Bluetooth stack hcidump -w traces
 Catapult DCT2000 .out files
 Gammu generated text output from Nokia DCT3 phones in Netmonitor mode
 IBM Series (OS/400) Comm traces (ASCII & UNICODE)
 Juniper Netscreen snoop captures
 Symbian OS btsnoop captures
 Tamosoft CommView captures
 Textronix K12xx 32bit .rf5 format captures
 Textronix K12 text file format captures
 Wireshark .pcapng captures (Experimental)

Para a lista completa acessar:

http://www.wireshark.org/docs/wsug_html_chunked/ChIOOpenSection.html#ChIOI
nputFormatsSection
 Exportação de arquivos para outros programas

Os formatos a seguir podem ser salvos pelo Wireshark inclusive com suas
respectivas extensões:

 libpcap, tcpdump and various other tools using tcpdump's capture format
(*.pcap,*.cap,*.dmp)
 Accellent 5Views (*.5vw)
 HP-UX's nettl (*.TRC0,*.TRC1)
 Microsoft Network Monitor - NetMon (*.cap)
 Network Associates Sniffer - DOS (*.cap,*.enc,*.trc,*fdc,*.syc)
 Network Associates Sniffer - Windows (*.cap)
 Network Instruments Observer version 9 (*.bfr)
 Novell LANalyzer (*.tr1)
 Sun snoop (*.snoop,*.cap)
 Visual Networks Visual UpTime traffic (*.*)

Para a lista completa acessar:

http://www.wireshark.org/docs/wsug_html_chunked/ChIOSaveSection.html#ChIOO
utputFormatsSection

Open Source Software

Wireshark é um projeto de software de fonte aberta, e é liberado sob a licença

GNU General Public License (GPL). Você pode usar livremente Wireshark em
qualquer número de computadores que deseja sem se preocupar com as chaves
de licença ou de taxas ou tal. Além disso, todo o código fonte está disponível
livremente sob a GPL. Por causa disso, é comum que pessoas possam adicionar
novos protocolos para Wireshark, quer como plugins, ou incorporada ao código
fonte.
 O que o Wireshark não é

Aqui estão algumas coisas Wireshark não fornece:

Wireshark não é um sistema de detecção de intrusão. Ele não vai avisar quando
alguém faz coisas estranhas em sua rede que ele / ela não está autorizada a
fazer. No entanto, se coisas estranhas acontecem, Wireshark pode ajudá-lo a
descobrir o que está realmente acontecendo.

Wireshark não vai manipular coisas na rede, como melhorar ou piorar o

desempenho dela, apenas lhe informa o que está se passando naquele
determinado momento da rede.

Wireshark não envia pacotes a rede, a função dele é passiva, ou seja, escuta a
rede e não toma iniciativa.

Requisitos de instalação

Observações gerais
Os valores abaixo são requisitos mínimos e apenas regras para uso em uma rede
moderada. Trabalhando com uma rede de tráfego intenso pode gerar um uso
excessivo de memória RAM e espaço em disco. Por exemplo capturando pacotes em
uma rede Ethernet bem saturada a 100Mbits/seg. poderá gerar aproximadamente
750MBytes/min. Nesse caso um bom processador e uma boa memória são bem
indicados.

Microsoft Windows
 Windows 2000, XP Home, XP Pro, XP Tablet PC, XP Media Center, Server
2003/2008, Windows Vista.
 Qualquer processador 32bits x86 ou 64bits AMD64/x86.
 256MB de RAM disponível, porém para grandes capturas requer muita
memória.
 O programa requer 75MB de espaço em disco, porém para armazenamento
de grandes capturas é recomendável HD acima de 250GB.
 Resolução padrão de vídeo 800x600 mas 1280x1024 é mais recomendável.
 Uma placa de rede que suporte capturas ( que trabalhe em modo
promíscuo ).
 Observações complementares
Qualquer placa de rede Ethernet deve ter suporte a capturas de pacote, porém
cabe resaltar que redes com switches tem aplicabilidade e configurações que
requerem atenção especial do administrador de redes como veremos mais
adiante, para maiores esclarecimentos :
http://wiki.wireshark.org/CaptureSetup/Ethernet

Captura em redes wireless também dependem da placa de rede wireless e dos

Access points envolvidos. http://wiki.wireshark.org/CaptureSetup/WLAN#head-
02456742c655394c9e948a4c9a59d3441c92782f

Windows 95/98 ou ME não tem mais suporte a utilização do Wireshark por ser
sistemas já antigos e com bibliotecas já não existentes, mas se for necessário
a utilização nesses ambientes pode-se utilizar a versão anterior chamada
Ethereal que inclui a versão 3.1 do WinCap ,
HTTP://www.ethereal.com/download.html

Unix / Linux

Wireshark funciona atualmente na maioria das plataformas UNIX

 Apple Mac OS X
 Debian GNU / Linux
 FreeBSD
 Gentoo Linux
 HP-UX
 Mandriva Linux
 NetBSD
 OpenPKG
 Red Hat Fedora / Enterprise Linux
 Linux rPath
 Sun Solaris/i386
 Sun Solaris / Sparc
 Canonical Ubuntu
 Instalação do Wireshark em Windows

Após baixar a última versão do programa Wireshark você está pronto para instalar
o programa em sua máquina de acordo com os requisitos mencionados
anteriormente.
O Analisador de Pacotes Wireshark trabalha em conjunto com um programa de
captura chamado Wincap, normalmente o executável de instalação já inclui o
pacote mais atualizado. Sem o Wincap você consegue abrir capturas já
realizadas mas não faze-las em tempo real, o Wincap também trabalha em
conjunto com vários programas de análise de redes como por exemplo o
CainAbel, MSNSniffer, etc.

A instalação é bem simples bastando acompanhar o Wizard .

Um detalhe importante é lembrar de instalar o Wincap caso for a primeira vez que
você instala o Wireshark:
Após instalado a tela principal da versão 1.2.3
 Procedimentos de captura de pacotes na rede
1- Rede Compartilhada – HUB
Antigamente as redes utilizavam equipamentos que compartilhavam a rede
através de repetidores de sinal chamados HUBS, com essa configuração
utilizando uma placa de rede em modo promíscuo era possível escutar todos
os pontos da rede.

2- Redes Chaveadas – Switching

Hoje praticamente todas as redes utilizam switches que segmentam o tráfego
melhorando o desempenho da rede porém impossibilitando o monitoramento
através de uma porta do switch.

Desse modo a máquina de monitoramento não consegue ouvir os pacotes que

passam entre o Host A e o Host B.
Para solucionar esse problema podemos utilizar algumas técnicas como estão
apresentadas a seguir.
3- Monitorando o próprio computador.
Se você deseja monitora um determinado host da rede instale o wireshark na
máquina a ser monitorada, o servidor de aplicação por exemplo.

Vantagem: Fácil utilização.

Desvantagem: Outros pontos da rede não estarão disponíveis.
4- Captura utilizando um HUB.
Se você tem um HUB disponível ele pode ser utilizando para separar a rede e
monitorar um tráfego com destino ao servidor por exemplo.

Vantagem: Flexibilidade para segmentar um ponto a ser monitorado.

Desvantagem: Hoje em dia HUBS são difíceis de encontrar, e uma vez
instalados em uma rede podem comprometer o tráfego da rede.
5- Utilizando portas de monitoramento.
Alguns switches possuem portas de monitoramento ou configurações que
permitem o espelhamento de uma determinada porta com as demais. Esse
recurso é chamado de port mirroring e está presente normalmente em switches
gerenciáveis.

Vantagem: De fácil utilização e flexível pois é possível monitorar qualquer

porta.
Desvantagem: Switches com esse recurso normalmente são bem mais caros
que os demais switches chegando a custar no mínimo o dobro dos switches
convencionais.
6- Captura utilizando uma máquina entre o meio “machine-in-the-
middle”
Utiliza-se uma máquina com 2 placas de rede servindo como ponte entre a
rede e o servidor a ser analisado.

Vantagem: Não requer instalação do wireshark na rede a ser analisada.

Desvantagem: Uma máquina dedicada para o fim específico e possibilidade
de monitoramento de apenas um ponto da rede que normalmente é o servidor.
7- Captura através de um programa “(Man-In-The-Middle)”
Na verdade é uma simulação de um ataque chamado ARP Poisoning ou
envenenamento da tabela ARP. Consiste em utilizar um programa que engana
o endereço MAC dos hosts a serem monitorados . Para maiores detalhes do
Man In The Middle consulte: http://ettercap.sourceforge.net/

Vantagem: Solução econômica.

Desvantagem: Os pacotes podem ser perdidos com tráfego intenso da rede.
8- Inflando a tabela MAC do switch.
Utilizando um programa que lota a tabela MAC do switch e em alguns deles
passam a funcionar como HUB , visto que os mesmos já não tem mais como
alocar esses endereços. Para maiores detalhes desse recurso procure pelo
programa MACOF na Internet.

Vantagem: Solução econômica.

Desvantagem: Pode travar o switch ou comprometer o desempenho da rede.
 Utilizando o Wireshark.
A janela principal do programa é composta pelas seguintes interfaces:

1– Barra de Menus onde se localizam todas as funções do programa.

2- Toolbar estão as principais funções utilizadas em uma captura.
3- A Barra de Filtros é possível determinar quais protocolos queremos destacar.
4- Painel principal ou lista de pacotes mostra cada pacote capturado.
5- Detalhes do pacote pode ser encontrados no painel central.
6- Painel de bytes do pacote mostra em formato hexadecimal.
 Painel da Lista de Pacotes

Cada linha na lista do pacote corresponde a um pacote no arquivo de captura. Se

você selecionar uma linha neste painel, mais detalhes serão exibidos no "Pacote
de dados" e "Packet Bytes" painéis.

Apesar de dissecar um pacote, Wireshark irá colocar as informações do protocolo

nas colunas. Como protocolos de nível superior poderiam substituir as
informações em níveis mais baixos, normalmente você vai ver as informações do
mais alto nível possível apenas.

No. É a sequência dos pacotes capturados.

Time: Corresponde ao intervalo de tempo entre os frames capturados.

Source: Endereço de origem do pacote.

Destination: Endereço de destino do pacote.

Protocolo: Protocolo segundo a biblioteca do Wireshark.

Info: Informações adicionais sobre o conteúdo do pacote.

 Pacote de Dados do Painel

Esse painel mostra os protocolos e campos do pacote selecionado da lista do

painel de pacotes. Os protocolos e os campos do pacote são exibidos através de
uma árvore hierárquica que pode ser expandida para maiores detalhes. Nesse
menu observamos as portas de saída e entrada de uma determinada conexão,
além dos flags do pacote a ser analisado. Também é possível determinar se o
protocolo de transporte é orientado a conexão TCP ou não UDP.

Painel de Bytes do Pacote

Aqui encontramos o pacote na forma hexadecimal do lado esquerdo e do lado

direito em modo ASCII . Muitos detalhes da informação pode ser encontrada aqui
inclusive os dados do pacote transmitido, mesmo que criptografado.
 File Menu

Como qualquer Menu de Arquivos , funções como Abrir capturas realizadas, salvar
capturas correntes, exportar para outros formatos , imprimir e sair.
 Edit Menu

Recursos de encontrar um determinado pacote, marcar , desmarcar, além de

editar as preferências da captura, como cor, formato do painel, protocolo a ser
incluído, etc.
 View Menu

Opções de visualização da interface, menus a serem mostrados expansão da

coluna, detalhes do pacote e demais formatos.
 Go Menu

Opções de Navegação do Painel Frente, Anterior, Ir a determinado Pacote.

 Capture Menu

Interfaces: Mostra as interfaces de rede da máquina.

Options: Detalhes individuais da interface a ser utilizada para captura.

Start: Inicia uma captura.

Stop: Interrompe uma captura.

Restart: Interrompe uma captura inicializada e recomeça novamente.

Capture Filters: Permite atribuir filtros a captura.

 Analyze Menu

Funções de filtro e seleção e análise da captura.

 Statistics Menu

O Wireshark pode gerar estatísticas de determinadas capturas e pacotes.

 Capturando os primeiros Pacotes.

1- Protocolo ARP ( Address Resolution Protocol )

Preparar o Wireshark para captura.

Abrir um console de comando ( cmd ).

Inicializar a captura de pacotes.

Digitar o comando arp –d isso apagará a tabela ARP do micro.

Digitar o comando arp –a até a tabela ARP do micro ser exibida.

2- Protocolo DHCP – Dynamic Host Configuration Protocol.

Preparar o Wireshark para captura.

Abrir um console de comando ( cmd ).

Inicializar a captura de pacotes.

Digitar o comando ipconfig /release.

Digitar o comando ipconfig /renew e aguardar receber o IP.

3- Protocolo DNS ( Domain Name Server )

Preparar o Wireshark para captura.

Abrir o Navegador Internet

Inicializar a captura de pacotes.

Acessar algum site no exemplo abaixo o site do Google.

4- Protocolo ICMP ( Internet Control Message Protocol ) ping.

Preparar o Wireshark para captura.

Abrir um console de comando ( cmd ).

Inicializar a captura de pacotes.

Digitar ping 192.168.1.1.

5- Ping da morte.

Repita o procedimento anterior mas com o seguinte comando:

Ping 192.168.1.1 –t –l 50000

Compare os resultados e comente com o instrutor.

6- Protocolo http ( Hiper Text Transfer Protocol )

7- Protocolo HTTPS ( Hiper Text Transfer Protocol Secure )

8- Protocolo FTP ( File Transfer Protocol )

9- Protocolo Telnet
10- Protocolo POP ( Post Office Protocol )

11- Protocolo SMTP ( Simple Mail Transfer Protocol )