1

Prefácio do guia de
Wireshark

1. Introdução ao guia
2. Conversão de MAC para IP
3. Suporte para diversos formatos de arquivo de captura
4. Exportação de resultados de análises
5. Estatísticas de Conversa
6. Estatísticas de Protocolo
7. Estatísticas de Fluxo
8. Estatísticas de Latência
9. Estatísticas de Tamanho de Pacote
10. Estatísticas de Taxa de Transmissão
11. Captura de pacotes em tempo real
12. Análise de protocolo de redes
13. Filtro de pacotes
14. Análise de estatísticas de rede
15. Visualização de pacotes capturados em tempo real
16. Análise de VoIP
17. Análise de pacotes criptografados
18. Análise de pacotes de aplicativos específicos
19. Análise de tráfego de rede em tempo real
20. Análise de erros de rede e problemas de desempenho
21. Análise de tráfego em redes de alta velocidade
22. Análise de pacotes em redes virtuais

2
23. Criação de perfis de tráfego de rede
24. Análise de ataques de rede

3
 1. Introdução ao guia

Bem-vindo ao guia completo de Wireshark! O Wireshark é uma

ferramenta de análise de pacotes de rede amplamente utilizada por
profissionais de TI em todo o mundo. Ele é capaz de capturar, analisar e
solucionar problemas de rede em tempo real, o que ajuda a melhorar o
desempenho e a segurança da rede.

Este guia foi criado por nós da Hackademia para ajudá-lo a entender
como usar o Wireshark para capturar e analisar pacotes de rede.
Aprender a usar o Wireshark pode parecer intimidador no começo, mas
com um pouco de prática, você poderá usá-lo para solucionar
problemas de rede complexos e entender como sua rede está
funcionando.

Neste guia, vamos abordar desde o básico, como surgiu o Wireshark e

capturar pacotes de rede, até recursos mais avançados, como filtragem,
análise de protocolos, estatísticas de rede e solução de problemas.
Também abordaremos alguns exemplos práticos para que você possa
ver como o Wireshark pode ser usado em situações reais de rede.

Com este guia, esperamos que você se sinta mais confiante em usar o
Wireshark para solucionar problemas de rede e melhorar o desempenho
e a segurança da sua rede. Vamos começar!

4
 2. Conversão de MAC para IP

O Wireshark é uma ferramenta poderosa para captura e análise de

pacotes de rede. Uma das funcionalidades mais úteis do Wireshark é a
capacidade de converter endereços MAC em endereços IP, o que pode
ser muito útil na identificação de dispositivos em uma rede.

Neste capítulo, iremos discutir como converter endereços MAC em

endereços IP usando o Wireshark.

Passo 1: Capturando os Pacotes de Rede

Antes de converter endereços MAC em endereços IP, é necessário

capturar os pacotes de rede. Para isso, abra o Wireshark e selecione a
interface de rede que deseja capturar os pacotes. Clique no botão
"Iniciar Captura" para começar a capturar os pacotes.

Passo 2: Identificando o Endereço MAC

Após capturar os pacotes, você deve encontrar um pacote que contenha

o endereço MAC que deseja converter. Para encontrar um pacote
específico, você pode usar a barra de filtro na parte superior da janela
do Wireshark.

Digite "eth.addr == [endereço MAC]" na barra de filtro, substituindo

[endereço MAC] pelo endereço MAC que você está procurando. O
Wireshark filtrará os pacotes e mostrará apenas aqueles que contêm o
endereço MAC especificado.

Passo 3: Identificando o Endereço IP

Uma vez que você tenha encontrado um pacote que contenha o

endereço MAC que deseja converter, é hora de identificar o endereço IP
correspondente.

5
Clique com o botão direito do mouse no pacote e selecione "Follow" >
"TCP Stream". Isso abrirá uma nova janela que mostra o conteúdo do
pacote.

No conteúdo do pacote, procure o cabeçalho "Internet Protocol" (IP). O

endereço IP correspondente ao endereço MAC estará listado neste
cabeçalho.

Passo 4: Converter o Endereço MAC em Endereço IP

Agora que você identificou o endereço IP correspondente ao endereço

MAC, é hora de converter o endereço MAC em um endereço IP.

Para fazer isso, abra o prompt de comando do Windows e digite "arp -a

[endereço MAC]". Isso mostrará o endereço IP correspondente ao
endereço MAC especificado.

Outra opção é usar uma ferramenta online de conversão de endereços

MAC para endereços IP.

Conclusão

Converter endereços MAC em endereços IP é uma tarefa essencial na

identificação de dispositivos em uma rede. Com o Wireshark, essa
tarefa pode ser realizada de forma rápida e fácil. Seguindo os passos
descritos neste capítulo, você pode converter facilmente endereços
MAC em endereços IP e identificar dispositivos em uma rede.

6
 3. Suporte para diversos formatos de
arquivos de captura

Uma das principais funcionalidades do Wireshark é sua capacidade de

capturar e analisar pacotes de rede em tempo real. No entanto, muitas
vezes é necessário analisar pacotes que foram capturados
anteriormente, seja para solucionar problemas passados ou para
realizar análises históricas. Para isso, é necessário que o Wireshark
suporte diversos formatos de arquivos de captura.

Felizmente, o Wireshark suporta uma ampla variedade de formatos de

arquivos de captura, incluindo os formatos de arquivo do tcpdump e do
Microsoft Network Monitor.

Para abrir um arquivo de captura em um desses formatos, basta seguir

os seguintes passos:

Abra o Wireshark.
Clique em "File" no menu superior e selecione "Open".
Navegue até o arquivo de captura que deseja abrir e selecione-o.
Clique em "Open".
O Wireshark irá carregar o arquivo de captura e exibir os pacotes
capturados na janela principal.

É importante notar que, dependendo do tamanho do arquivo de captura

e da capacidade de processamento do seu computador, a abertura de
um arquivo de captura pode levar algum tempo.

Além dos formatos de arquivo do tcpdump e do Microsoft Network

Monitor, o Wireshark suporta muitos outros formatos de arquivo de
captura, incluindo:

Arquivos de captura do Wireshark (.pcapng, .pcap, .cap)

Arquivos de captura do Network Instruments Observer (.enc)
Arquivos de captura do EtherPeek (.pkt)

7
Arquivos de captura do Cisco Secure IDS (.net)
Arquivos de captura do Sniffer Pro (.snp)
Arquivos de captura do NetScreen (.nsr)
Arquivos de captura do Novell LANalyzer (.trc)
Arquivos de captura do Visual Networks' Visual UpTime (.ag)
Para abrir um arquivo de captura em um desses formatos, basta seguir
os mesmos passos mencionados anteriormente.

Caso você tenha problemas para abrir um arquivo de captura em um

determinado formato, verifique se o Wireshark suporta esse formato. Se
o formato não estiver na lista acima, é possível que o Wireshark não o
suporte nativamente. Nesse caso, é possível converter o arquivo de
captura para um formato que o Wireshark suporte usando uma
ferramenta de conversão de arquivos de captura de terceiros.

Conclusão

O Wireshark suporta uma ampla variedade de formatos de arquivos de

captura, tornando possível analisar pacotes capturados anteriormente.
Com essa funcionalidade, é possível solucionar problemas passados e
realizar análises históricas para melhorar o desempenho e a segurança
da rede.

8
 4. Exportação de Resultados de
Análises

O Wireshark oferece muitas maneiras de exportar os resultados de suas

análises para outras ferramentas ou formatos de arquivo. Este capítulo
fornecerá um guia completo sobre as diferentes opções de exportação
disponíveis no Wireshark.

Exportando para Arquivos de Texto

A opção mais simples de exportação é salvar as informações de análise

como um arquivo de texto. Para fazer isso, basta clicar em "Arquivo" na
barra de menu e selecionar "Exportar Especial" e, em seguida, "Texto
Plano".

Em seguida, o Wireshark irá pedir que você selecione os campos que

deseja incluir no arquivo de texto. Depois de escolher seus campos,
você pode escolher o local para salvar o arquivo e o nome do arquivo.

Exportando para Arquivos CSV

Se você deseja analisar os dados do Wireshark em outras ferramentas,

como o Excel, você pode exportá-los como um arquivo CSV. Para fazer
isso, clique em "Arquivo" na barra de menu, selecione "Exportar
Especial" e, em seguida, "CSV".

O Wireshark irá pedir que você selecione os campos que deseja incluir
no arquivo CSV. Você também pode escolher o separador de campo, o
separador de registro e o local para salvar o arquivo.

Exportando para XML

O Wireshark também oferece suporte à exportação para o formato XML.

Isso é útil se você quiser importar os resultados da análise em outras
ferramentas que suportam o formato XML. Para exportar como XML,

9
clique em "Arquivo" na barra de menu, selecione "Exportar Especial" e,
em seguida, "XML".

Você pode escolher os campos que deseja incluir no arquivo XML e o

local para salvá-lo. O Wireshark também oferece opções avançadas de
exportação XML, permitindo que você escolha o tipo de codificação
XML e outros parâmetros.

Exportando para Arquivos PDML

O Wireshark também pode exportar os resultados de análise para o

formato PDML (Packet Details Markup Language), que é um formato
XML que contém informações detalhadas sobre cada pacote capturado.
Para exportar como PDML, clique em "Arquivo" na barra de menu,
selecione "Exportar Especial" e, em seguida, "PDML".

Você pode escolher os campos que deseja incluir no arquivo PDML e o

local para salvá-lo. O PDML é útil para análises mais detalhadas, como
a criação de scripts de análise automatizados.

Exportando para Arquivos JSON

O Wireshark também pode exportar os resultados de análise para o

formato JSON. Para fazer isso, clique em "Arquivo" na barra de menu,
selecione "Exportar Especial" e, em seguida, "JSON".

Você pode escolher os campos que deseja incluir no arquivo JSON e o

local para salvá-lo. O JSON é um formato popular para compartilhar
dados com outras ferramentas de análise.

Conclusão

O Wireshark oferece muitas opções de exportação para ajudá-lo a

compartilhar seus resultados de análise com outras ferramentas ou
pesquisadores. Este guia cobriu as opções mais populares, incluindo a
exportação para arquivos de texto, CSV, XML

10
 5. Estatísticas de Conversa

O Wireshark oferece uma série de recursos para visualizar e analisar as

conversas que ocorrem entre diferentes endereços IP na rede. As
estatísticas de conversa permitem que você entenda melhor o tráfego
de rede e identifique quais endereços estão se comunicando, o tipo de
tráfego e a quantidade de dados transmitidos. Este capítulo irá guiá-lo
através de como utilizar as estatísticas de conversa do Wireshark para
analisar o tráfego de rede.

Abrindo as estatísticas de conversa

Para abrir as estatísticas de conversa no Wireshark, selecione
"Estatísticas" no menu principal e, em seguida, "Conversas". Isso abrirá
a janela de estatísticas de conversa.

Visualizando as estatísticas de conversa

A janela de estatísticas de conversa exibe as conversas na rede com
base no endereço de origem e destino. Ela também inclui informações
sobre o protocolo utilizado, o número de pacotes trocados e a
quantidade de dados transmitidos em cada conversa.

Filtrando as estatísticas de conversa

Para filtrar as estatísticas de conversa com base em um endereço IP
específico, selecione a guia "IPv4" ou "IPv6", dependendo do tipo de
endereço que você deseja filtrar. Em seguida, digite o endereço IP na
caixa de pesquisa na parte inferior da janela de estatísticas de
conversa. Isso filtrará as conversas com base no endereço IP fornecido.

Salvando as estatísticas de conversa

Para salvar as estatísticas de conversa para um arquivo, selecione
"Arquivo" no menu principal e, em seguida, "Exportar Especial". Em
seguida, selecione "Estatísticas de Conversa" como o tipo de
exportação e escolha o formato de arquivo que deseja salvar. Isso
exportará as estatísticas de conversa para um arquivo que pode ser
aberto em outras ferramentas de análise de dados.

11
Utilizando os gráficos de estatísticas de conversa
O Wireshark também inclui gráficos de estatísticas de conversa que
permitem visualizar o tráfego de rede em um formato mais visual. Para
acessar os gráficos de estatísticas de conversa, selecione a guia
"Gráficos" na parte superior da janela de estatísticas de conversa. Isso
exibirá gráficos para cada protocolo detectado nas conversas
capturadas.

Utilizando filtros avançados de estatísticas de conversa

Além do filtro básico por endereço IP, o Wireshark também oferece a
capacidade de criar filtros avançados de estatísticas de conversa com
base em vários critérios. Para acessar os filtros avançados de
estatísticas de conversa, selecione "Estatísticas" no menu principal e,
em seguida, "Conversas". Em seguida, clique no botão "Adicionar um
filtro" na parte superior da janela de estatísticas de conversa. Isso abrirá
a caixa de diálogo de filtro, onde você pode selecionar os critérios pelos
quais deseja filtrar.

Conclusão

As Estatísticas de Conversa são uma poderosa ferramenta no

Wireshark que ajuda a analisar o tráfego de rede. Elas permitem
visualizar as conversas entre os hosts, identificar os protocolos usados
​e determinar a carga de tráfego. Além disso, as Estatísticas de
Conversa permitem a filtragem com base em conversas, o que ajuda a
focar em conversas específicas para uma análise mais aprofundada.

Ao utilizar as Estatísticas de Conversa, é importante entender os

diferentes tipos de conversas e como elas são representadas no
Wireshark. A seleção correta da conversa é crucial para uma análise
precisa do tráfego de rede.

Com este guia, esperamos ter fornecido um bom entendimento sobre as

Estatísticas de Conversa no Wireshark. Lembre-se de que as
estatísticas são apenas uma das muitas ferramentas disponíveis no
Wireshark para análise de tráfego de rede. Com a prática e a

12
experiência, você pode melhorar sua capacidade de análise e descobrir
insights valiosos sobre o tráfego da sua rede.

13
 6. Estatísticas de Protocolo

O Wireshark é uma ferramenta poderosa para analisar redes, e uma das

funcionalidades mais úteis é a capacidade de gerar estatísticas de
protocolo. As estatísticas de protocolo permitem visualizar o tráfego de
rede em termos de quantidades e proporções de diferentes protocolos.
Isso é especialmente útil para entender o tipo de tráfego de rede que
está ocorrendo em sua rede e para identificar possíveis problemas de
desempenho ou de segurança.

Neste capítulo, discutiremos como acessar e interpretar as estatísticas

de protocolo no Wireshark.

Acessando as estatísticas de protocolo

Para acessar as estatísticas de protocolo, vá para a barra de menu

principal do Wireshark e selecione "Statistics" (Estatísticas). Isso abrirá
uma lista de diferentes tipos de estatísticas disponíveis no Wireshark.

Clique em "Protocol Hierarchy" (Hierarquia de Protocolo) para visualizar

as estatísticas de protocolo. Isso exibirá um resumo dos protocolos
capturados no arquivo de captura, juntamente com o número de pacotes
e a porcentagem de tráfego que cada protocolo representa.

Interpretando as estatísticas de protocolo

As estatísticas de protocolo no Wireshark são exibidas em forma de

tabela e permitem que você veja o tráfego de rede em termos de
quantidades e proporções de diferentes protocolos. A tabela lista todos
os protocolos capturados no arquivo de captura, bem como o número de
pacotes e a porcentagem de tráfego que cada protocolo representa.

Por exemplo, se a tabela mostrar que o HTTP é responsável por 60%

do tráfego de rede em seu arquivo de captura, você pode concluir que a
maioria do tráfego em sua rede é tráfego da Web. Isso pode ser útil para

14
entender melhor os padrões de uso da rede e identificar gargalos de
tráfego.

Além disso, as estatísticas de protocolo permitem que você filtre os

pacotes com base no protocolo. Se você deseja analisar apenas o
tráfego de um protocolo específico, basta clicar no protocolo desejado
na tabela de estatísticas de protocolo. Isso filtrará a exibição de pacotes
para incluir apenas aqueles que usam o protocolo selecionado.

Conclusão

As estatísticas de protocolo são uma ferramenta útil para entender o

tráfego de rede e identificar possíveis problemas de desempenho ou de
segurança. Ao acessar e interpretar as estatísticas de protocolo no
Wireshark, você pode ter uma compreensão mais clara dos padrões de
tráfego em sua rede e identificar quaisquer problemas que possam estar
afetando a qualidade do serviço ou a segurança da rede.

15
 7. Estatísticas de Conversa

Uma das funcionalidades mais poderosas do Wireshark é a capacidade

de coletar e exibir estatísticas de fluxo de rede. Essas estatísticas
podem ajudar a identificar problemas de desempenho, anomalias de
tráfego e até mesmo possíveis ameaças de segurança. Neste capítulo,
você aprenderá como usar as estatísticas de fluxo do Wireshark para
analisar o tráfego da rede.

O que são estatísticas de fluxo?

As estatísticas de fluxo fornecem uma visão geral do tráfego da rede,
analisando os pacotes que pertencem a um determinado fluxo de
dados. Um fluxo de dados é definido como uma comunicação
unidirecional entre dois endereços IP em um determinado protocolo. As
estatísticas de fluxo permitem analisar o tráfego da rede em um nível
mais alto, permitindo que você identifique padrões de tráfego, identifique
possíveis gargalos e visualize as tendências do tráfego ao longo do
tempo.

Como visualizar as estatísticas de fluxo

Para exibir as estatísticas de fluxo no Wireshark, selecione "Statistics"
no menu principal e clique em "Flow Graph" ou "Endpoint" para exibir as
estatísticas de fluxo do gráfico ou do endpoint, respectivamente. O
gráfico de fluxo exibe um gráfico de barras horizontais para cada fluxo
de dados detectado, classificando-os por endereço IP de origem e
destino. O gráfico do endpoint exibe uma lista dos endereços IP de
origem e destino, com a quantidade de pacotes e bytes enviados e
recebidos em cada fluxo.

Como filtrar estatísticas de fluxo

Você pode filtrar as estatísticas de fluxo para exibir apenas os fluxos de
dados relevantes. Por exemplo, para exibir apenas os fluxos de dados
TCP, digite "tcp" na barra de filtro e clique em "Apply". Isso filtrará as
estatísticas de fluxo para exibir apenas os fluxos de dados TCP. Você
também pode filtrar as estatísticas de fluxo com base no tamanho do
pacote, no endereço IP de origem ou destino e em outras variáveis.

16
Como analisar as estatísticas de fluxo
As estatísticas de fluxo permitem analisar padrões de tráfego, identificar
possíveis gargalos e visualizar as tendências do tráfego ao longo do
tempo. Por exemplo, você pode usar as estatísticas de fluxo para
identificar quais endereços IP estão consumindo a maior largura de
banda ou para identificar as portas de rede mais ativas em um
determinado período de tempo. As estatísticas de fluxo também podem
ser usadas para identificar comportamentos anormais de tráfego, como
uma grande quantidade de pacotes sendo enviados de um único
endereço IP para vários destinos diferentes.

Conclusão
As estatísticas de fluxo do Wireshark fornecem uma visão geral valiosa
do tráfego da rede, permitindo que você analise padrões de tráfego,
identifique possíveis gargalos e visualize as tendências do tráfego ao
longo do tempo. Usando as ferramentas de filtro e análise de
estatísticas de fluxo

17
 8. Estatísticas de Latência

A latência de rede é um aspecto crítico do desempenho da rede,

especialmente para aplicativos em tempo real, como VoIP, streaming de
vídeo e jogos online. O Wireshark oferece várias ferramentas e recursos
para ajudar a analisar e medir a latência da rede.

Neste capítulo, abordaremos as estatísticas de latência no Wireshark,

incluindo como visualizar a latência média, mínima e máxima, como
identificar gargalos de rede e como medir a latência entre dois
dispositivos.

Visualizando estatísticas de latência

Para visualizar as estatísticas de latência no Wireshark, siga estes
passos:

Abra o arquivo de captura no Wireshark.

Clique na guia "Statistics" na parte superior da tela.

Clique em "Latency" na barra lateral esquerda.

Selecione o intervalo de tempo para o qual você deseja visualizar as

estatísticas de latência.

As estatísticas de latência serão exibidas na janela principal, incluindo a

latência média, mínima e máxima.

Identificando gargalos de rede

Os gargalos de rede podem causar latência significativa e afetar o

desempenho da rede. Para identificar gargalos de rede usando o
Wireshark, siga estes passos:

Abra o arquivo de captura no Wireshark.

18
Clique na guia "Statistics" na parte superior da tela.

Clique em "IO Graph" na barra lateral esquerda.

Selecione o intervalo de tempo para o qual você deseja visualizar o

gráfico de I/O.

Clique em "Y Axis" e selecione "Round Trip Time" na lista suspensa.

Clique em "Graph" para visualizar o gráfico de I/O.

Identifique quaisquer picos ou quedas significativas no gráfico, pois eles

podem indicar gargalos de rede.

Medindo a latência entre dois dispositivos

Para medir a latência entre dois dispositivos usando o Wireshark, siga

estes passos:

Abra o arquivo de captura no Wireshark.

Clique em "Statistics" na parte superior da tela.
Clique em "Latency" na barra lateral esquerda.
Selecione o intervalo de tempo para o qual você deseja medir a latência.
Clique em "Endpoints" para exibir a lista de dispositivos no arquivo de
captura.
Selecione os dispositivos entre os quais você deseja medir a latência.
As estatísticas de latência entre os dispositivos selecionados serão
exibidas na janela principal.
Conclusão:

As estatísticas de latência são um aspecto crítico da análise de

desempenho da rede. O Wireshark oferece várias ferramentas e
recursos para ajudar a medir e analisar a latência da rede, incluindo a
visualização das estatísticas de latência, identificação de gargalos de
rede e medição da latência entre dois dispositivos. Ao usar essas
ferramentas, os administradores de rede podem identificar e corrigir
problemas de latência

19
 9. Estatísticas de Tamanho de Pacote

O Wireshark oferece uma variedade de estatísticas de tamanho de

pacote para ajudar na análise da rede. Essas estatísticas podem ser
úteis para identificar padrões de tráfego, verificar a conformidade com
políticas de rede e regulamentações, diagnosticar problemas de
desempenho e muito mais. Neste capítulo, vamos explorar as diferentes
estatísticas de tamanho de pacote disponíveis no Wireshark.

Estatísticas de Tamanho de Pacote Básicas

As estatísticas de tamanho de pacote básicas fornecem informações

sobre o tamanho dos pacotes capturados, incluindo o número total de
pacotes, o tamanho médio dos pacotes, o tamanho máximo e mínimo
dos pacotes e a distribuição do tamanho dos pacotes em relação ao
tempo. Essas estatísticas podem ser encontradas na janela de
estatísticas do Wireshark, que pode ser aberta clicando em "Statistics"
na barra de menu e selecionando "Summary".

Estatísticas de Tamanho de Pacote por Conversação

As estatísticas de tamanho de pacote por conversação fornecem

informações sobre o tamanho dos pacotes trocados entre dois
endereços IP específicos. Isso pode ser útil para identificar padrões de
tráfego entre dois hosts e identificar gargalos de rede. Essas estatísticas
podem ser encontradas na janela de estatísticas do Wireshark, que
pode ser aberta clicando em "Statistics" na barra de menu e
selecionando "Conversations". Selecione a guia "IP" para ver as
estatísticas de tamanho de pacote por conversação.

Estatísticas de Tamanho de Pacote por Protocolo

As estatísticas de tamanho de pacote por protocolo fornecem

informações sobre o tamanho dos pacotes por protocolo. Isso pode ser
útil para identificar o protocolo de rede que está gerando mais tráfego na
rede e verificar a conformidade com políticas de rede e

20
regulamentações. Essas estatísticas podem ser encontradas na janela
de estatísticas do Wireshark, que pode ser aberta clicando em
"Statistics" na barra de menu e selecionando "Protocol Hierarchy".
Selecione o protocolo de interesse para ver as estatísticas de tamanho
de pacote.

Estatísticas de Tamanho de Pacote por Endereço MAC

As estatísticas de tamanho de pacote por endereço MAC fornecem

informações sobre o tamanho dos pacotes enviados e recebidos por um
endereço MAC específico. Isso pode ser útil para identificar dispositivos
que estão gerando muito tráfego na rede e verificar a conformidade com
políticas de rede e regulamentações. Essas estatísticas podem ser
encontradas na janela de estatísticas do Wireshark, que pode ser aberta
clicando em "Statistics" na barra de menu e selecionando "Endpoints".
Selecione o endereço MAC de interesse para ver as estatísticas de
tamanho de pacote.

Conclusão

As estatísticas de tamanho de pacote são uma ferramenta poderosa

para a análise de redes e podem ser usadas para identificar padrões de
tráfego, diagnosticar problemas de desempenho.

21
 10. Estatísticas de taxa de transmissão

O Wireshark fornece várias estatísticas de taxa de transmissão que

podem ser acessadas na janela "Statistics" (Estatísticas). Para acessar
essas estatísticas, siga os passos abaixo:

Capture o tráfego de rede que deseja analisar.

Pare a captura quando tiver capturado dados suficientes.

Clique na guia "Statistics" (Estatísticas) na parte superior da janela do

Wireshark.

Selecione "Summary" (Resumo) na barra lateral esquerda.

Clique em "Rate" (Taxa) para classificar as conversas por taxa de

transmissão.

Clique em "Endpoints" (Pontos finais) para classificar as conversas por

endereço IP e porta.

Clique em "Conversations" (Conversas) para ver a taxa de transmissão

média para cada conversa.

Clique em "Protocol Hierarchy" (Hierarquia de protocolo) para ver a taxa

de transmissão média para cada protocolo.

Clique em "IO Graph" (Gráfico de E/S) para visualizar um gráfico que

mostra a taxa de bits ao longo do tempo.

As estatísticas de taxa de transmissão também podem ser exportadas

para um arquivo CSV para posterior análise. Para fazer isso, siga os
passos abaixo:

Clique na guia "Statistics" (Estatísticas) na parte superior da janela do

Wireshark.

22
Selecione "Summary" (Resumo) na barra lateral esquerda.

Clique no botão "Export Packet Summary" (Exportar resumo de

pacotes) na parte inferior da janela.

Escolha o formato CSV e selecione a opção "Packet rate" (Taxa de

pacote) na seção "Columns" (Colunas).

Escolha o local para salvar o arquivo e clique em "Save" (Salvar).

As estatísticas de taxa de transmissão são uma ferramenta valiosa para

analisar o desempenho da rede e identificar gargalos. Ao usar o
Wireshark para visualizar e analisar essas estatísticas, os usuários
podem tomar medidas para otimizar a rede e melhorar a eficiência da
transmissão de dados.

23
 11. Captura de pacotes em tempo real

A captura de pacotes em tempo real é uma das principais funções do

Wireshark. É a capacidade de capturar e analisar o tráfego de rede em
tempo real. Isso permite monitorar o tráfego de rede em tempo real e
solucionar problemas de rede em tempo real.

Neste capítulo, vamos discutir como usar a função de captura de

pacotes em tempo real do Wireshark e como aproveitá-la ao máximo.

Passo 1: Selecionar a interface de rede

Antes de começar a capturar pacotes, você precisa selecionar a

interface de rede a ser usada. O Wireshark detecta automaticamente as
interfaces de rede disponíveis em seu computador. Para selecionar a
interface de rede, vá para o menu "Captura" e selecione "Interfaces". A
janela "Interfaces" será exibida, mostrando todas as interfaces de rede
disponíveis em seu computador. Selecione a interface de rede desejada
e clique em "Iniciar".

Passo 2: Definir filtros

Ao capturar pacotes em tempo real, é importante definir filtros para

limitar o tráfego de rede capturado. Isso ajuda a reduzir o número de
pacotes capturados e torna mais fácil encontrar os pacotes relevantes.
O Wireshark permite definir filtros usando a linguagem de expressão de
filtro do Wireshark (Wireshark's display filter expression language).

Para definir filtros, vá para o menu "Captura" e selecione "Opções de

Captura". A janela "Opções de Captura" será exibida. Na guia "Captura",
você pode definir filtros usando a linguagem de expressão de filtro do
Wireshark. Por exemplo, se você quiser capturar apenas pacotes com
endereços IP de origem ou destino específicos, pode usar um filtro
como "ip.src == 192.168.1.1 or ip.dst == 192.168.1.1".

Passo 3: Iniciar a captura de pacotes

24
Depois de selecionar a interface de rede e definir filtros, é hora de iniciar
a captura de pacotes. Para fazer isso, clique no botão "Iniciar" na janela
"Interfaces". O Wireshark começará a capturar pacotes em tempo real e
exibirá os pacotes capturados na janela principal.

Passo 4: Analisar os pacotes capturados

Depois de capturar pacotes em tempo real, você pode analisá-los para

solucionar problemas de rede ou investigar atividades suspeitas na
rede. O Wireshark fornece uma ampla gama de ferramentas de análise
de pacotes para ajudá-lo a entender os pacotes capturados.

Algumas das ferramentas de análise mais úteis incluem:

Exibição de pacotes em várias visualizações (por exemplo, exibição de

árvore, exibição de pacotes resumidos, exibição de pacotes detalhados)
Busca por pacotes específicos usando filtros
Análise de protocolos de rede usando estatísticas de protocolos
Identificação de tráfego suspeito usando estatísticas de fluxo
Análise de latência de rede usando estatísticas de latência

Passo 5: Selecione a interface de rede que você deseja capturar. O

Wireshark mostrará todas as interfaces de rede disponíveis no seu
computador. Clique na interface que você deseja usar para capturar os
pacotes em tempo real.

Passo 6: Clique no botão "Iniciar" para começar a capturar pacotes em

tempo real. O Wireshark começará a capturar e exibir os pacotes na
janela de captura.

Passo 7: Analise os pacotes capturados em tempo real. A janela de

captura exibirá os pacotes conforme eles são capturados, e você poderá
visualizá-los em tempo real. Você pode clicar em um pacote para ver
mais detalhes, incluindo o cabeçalho do pacote e os dados transmitidos.

25
Passo 8: Filtre os pacotes capturados em tempo real. Se você estiver
procurando por um tipo específico de tráfego de rede, poderá filtrar os
pacotes para exibir apenas os que correspondem ao seu critério. Para
fazer isso, digite um filtro na caixa de filtro na parte superior da janela de
captura e pressione Enter. O Wireshark exibirá apenas os pacotes que
correspondem ao filtro.

Passo 9: Salve os pacotes capturados em tempo real. Se você quiser

salvar os pacotes capturados em tempo real para análise posterior,
clique no botão "Parar" para interromper a captura e, em seguida, clique
em "Arquivo" > "Salvar". O Wireshark salvará os pacotes capturados em
um arquivo de captura que você poderá abrir posteriormente para
análise.

Passo 10: Encerre a captura de pacotes em tempo real. Quando você

tiver terminado de capturar pacotes em tempo real, clique no botão
"Parar" para interromper a captura. O Wireshark deixará de exibir os
pacotes capturados na janela de captura.

Concluindo, a captura de pacotes em tempo real é uma ferramenta

essencial para solução de problemas em redes e também para análise
de tráfego em tempo real. O Wireshark é uma poderosa ferramenta de
captura e análise de pacotes que permite visualizar e interpretar o
tráfego de rede em tempo real. Ao seguir os passos descritos neste
guia, você aprendeu como iniciar uma captura de pacotes em tempo
real, escolher a interface correta, aplicar filtros para capturar apenas o
tráfego desejado, visualizar os pacotes capturados e, por fim, salvar a
captura para análise posterior. Agora você está pronto para utilizar a
captura de pacotes em tempo real do Wireshark em seus projetos de
rede.

26
 12. Análise de protocolo de redes

A análise de protocolo de redes é uma das principais funções do

Wireshark. Ela permite que você visualize o tráfego de rede em tempo
real e analise o comportamento dos protocolos que estão sendo usados.
Com a análise de protocolo, é possível identificar problemas de
desempenho, encontrar falhas de segurança e verificar a conformidade
com os padrões de rede.

Neste capítulo, vamos abordar os principais recursos do Wireshark para

análise de protocolo de redes.

Filtragem de protocolo
O Wireshark permite que você filtre o tráfego de rede com base nos
protocolos que estão sendo usados. Isso é útil para focar na análise de
um protocolo específico e pode ajudar a encontrar problemas
relacionados a um protocolo específico.

Análise de pacotes
O Wireshark permite que você visualize o conteúdo de cada pacote que
está passando pela rede. Isso pode ajudá-lo a entender como os
protocolos estão sendo usados e identificar possíveis problemas de
segurança.

Análise de fluxo de tráfego

Com a análise de fluxo de tráfego, é possível identificar quais hosts
estão se comunicando com quais outros hosts. Isso é útil para detectar
problemas de desempenho e também pode ajudar a identificar possíveis
ameaças de segurança.

Análise de pacotes criptografados

O Wireshark tem a capacidade de descriptografar o tráfego
criptografado. Isso é útil para analisar o conteúdo dos pacotes e
identificar possíveis ameaças de segurança.

Análise de pacotes de aplicativos específicos

27
O Wireshark pode analisar pacotes de aplicativos específicos, como
HTTP, DNS e FTP. Isso é útil para entender como os aplicativos estão
sendo usados na rede e identificar possíveis problemas de desempenho
e segurança.

Análise de VoIP
O Wireshark tem recursos para analisar o tráfego de voz sobre IP
(VoIP). Isso é útil para entender como a voz está sendo transmitida pela
rede e identificar possíveis problemas de desempenho e segurança.

Estatísticas de protocolo
O Wireshark gera estatísticas detalhadas sobre o uso dos protocolos na
rede. Isso é útil para identificar tendências e padrões de uso de
protocolos e detectar possíveis problemas de desempenho e segurança.

Conclusão:
A análise de protocolo de redes é uma das funções mais importantes do
Wireshark. Com ela, é possível entender como os protocolos estão
sendo usados na rede, identificar possíveis problemas de desempenho
e segurança e verificar a conformidade com os padrões de rede. Com
as ferramentas certas, é possível aproveitar ao máximo os recursos do
Wireshark para análise de protocolo de redes.

28
 13. Filtro de pacotes

Uma das características mais poderosas do Wireshark é a sua

capacidade de filtrar pacotes com base em critérios específicos. Isso
permite que os usuários analisem um tráfego específico em vez de
examinar todo o tráfego capturado, o que pode economizar tempo e
tornar a análise mais eficiente. Neste capítulo, vamos explorar como
usar o filtro de pacotes no Wireshark.

Passo 1: Acessando o filtro de pacotes

Para acessar o filtro de pacotes, clique na barra de filtros no topo da

janela principal do Wireshark. A barra de filtros está localizada abaixo da
barra de menus e acima da lista de pacotes capturados.

Passo 2: Entendendo a sintaxe de filtro

O filtro de pacotes usa uma sintaxe específica para filtrar pacotes com
base em critérios específicos. Os filtros são escritos na barra de filtros
na parte superior da janela principal do Wireshark. A sintaxe básica do
filtro de pacotes é:

campo operador valor

Onde campo é o campo específico que você deseja filtrar, operador é o

tipo de operação que você deseja realizar e valor é o valor que você
está procurando. Por exemplo, para filtrar pacotes com um endereço IP
de origem específico, use o filtro:

ip.src == 192.168.0.1

Passo 3: Exemplos de filtro de pacotes

Existem muitas maneiras de usar o filtro de pacotes no Wireshark.

Abaixo estão alguns exemplos comuns:

29
Filtrando por endereço MAC: eth.addr == 00:11:22:33:44:55
Filtrando por endereço IP de origem: ip.src == 192.168.0.1
Filtrando por endereço IP de destino: ip.dst == 192.168.0.1
Filtrando por número de porta de origem: tcp.srcport == 80
Filtrando por número de porta de destino: tcp.dstport == 80
Filtrando por tipo de protocolo: icmp
Você também pode usar vários filtros em conjunto usando os
operadores lógicos "e" e "ou". Por exemplo, para filtrar pacotes que
contenham um endereço IP de origem específico e um número de porta
de destino específico, use o filtro:

ip.src == 192.168.0.1 && tcp.dstport == 80

Passo 4: Salvando filtros

Se você usa um filtro com frequência, pode ser útil salvá-lo para uso
posterior. Para fazer isso, crie um filtro como faria normalmente, mas em
vez de clicar em "Aplicar", clique em "Salvar". Isso abrirá a janela de
diálogo "Gerenciar filtros" e você poderá atribuir um nome ao filtro para
uso posterior.

Passo 5: Aplicando filtros predefinidos

O Wireshark vem com uma série de filtros predefinidos que podem

ajudá-lo a encontrar facilmente determinados tipos de tráfego. Para
aplicar um filtro predefinido, clique em "Análise" na barra de menus e
selecione "Filtros de exibição". Isso abrirá a janela de diálogo "Filt

Aplicando Filtros de Pacotes

Depois de definir os filtros de pacotes que deseja aplicar, você pode
clicar em "Apply" ou pressionar Ctrl + E para aplicá-los. Isso fará com
que o Wireshark exiba apenas os pacotes que correspondem aos
critérios do filtro.

Salvando Filtros de Pacotes

Se você usar um determinado filtro de pacotes com frequência, poderá
salvá-lo para uso posterior. Para fazer isso, clique com o botão direito

30
do mouse na barra de filtro de pacotes e selecione "Save Filter". Dê um
nome descritivo ao filtro e salve-o.

Excluindo Filtros de Pacotes

Se você não precisar mais de um filtro de pacotes salvo, pode excluí-lo
facilmente. Clique com o botão direito do mouse na barra de filtro de
pacotes e selecione "Manage Filters". Selecione o filtro que deseja
excluir e clique no botão "Delete".

Exemplos de Filtros de Pacotes

Aqui estão alguns exemplos de filtros de pacotes comuns que você
pode usar para analisar o tráfego de rede:

ip.addr == 192.168.0.1: filtra todos os pacotes que têm um endereço IP

de origem ou destino de 192.168.0.1.
tcp.port == 80: filtra todos os pacotes que usam a porta TCP 80, que é a
porta padrão para o protocolo HTTP.
udp.port == 53: filtra todos os pacotes que usam a porta UDP 53, que é
a porta padrão para o protocolo DNS.
http.request.method == "GET": filtra todos os pacotes que contêm uma
solicitação HTTP GET.
tcp.flags.syn == 1: filtra todos os pacotes TCP que têm a flag SYN
definida, o que indica o início de uma conexão TCP.

Conclusão
O filtro de pacotes é uma das ferramentas mais poderosas do
Wireshark. Ele permite que você capture e analise facilmente o tráfego
de rede com base em uma variedade de critérios, como endereço IP,
protocolo, porta e muito mais. A aplicação de filtros de pacotes permite
que você reduza o ruído na análise de pacotes e concentre-se apenas
no tráfego que é relevante para o seu caso de uso. Com o
conhecimento e prática adequados, você pode se tornar um especialista
em filtragem de pacotes e melhorar significativamente sua eficiência na
análise de tráfego de rede.

31
 14. Análise de estatísticas de rede

A análise de estatísticas de rede é uma das principais funcionalidades

do Wireshark. Isso permite que você colete e analise informações sobre
o tráfego de rede em tempo real ou a partir de capturas de pacotes
anteriormente feitas. As estatísticas de rede podem ajudá-lo a entender
melhor a natureza do tráfego em sua rede e identificar possíveis
problemas de desempenho.

Neste capítulo, vamos cobrir os principais recursos do Wireshark para

análise de estatísticas de rede.

Estatísticas de Conversa
Uma das principais estatísticas de rede que o Wireshark oferece é a de
Conversa. Essa estatística exibe uma lista de todas as conversas
capturadas pelo Wireshark, classificadas por endereço de origem e
destino. Você pode ver informações como a quantidade total de bytes e
pacotes enviados em cada conversa e o tempo de duração da conversa.
Além disso, você pode classificar as conversas por critérios como bytes
transmitidos, pacotes transmitidos e tempo de duração.

Estatísticas de Protocolo
O Wireshark também permite analisar as estatísticas de protocolo. Essa
estatística fornece uma visão geral dos protocolos de rede utilizados no
tráfego capturado, incluindo o número total de pacotes de cada
protocolo. Além disso, você pode visualizar as estatísticas de protocolo
por endereço IP, tornando mais fácil identificar quais protocolos estão
sendo usados por cada host.

Estatísticas de Fluxo
As estatísticas de fluxo fornecem informações sobre o tráfego de rede
em um nível mais granular do que as estatísticas de conversa ou de
protocolo. Isso permite que você veja informações específicas sobre
cada fluxo de tráfego, como a quantidade de bytes e pacotes
transmitidos em cada fluxo e a duração do fluxo.

32
Estatísticas de Latência
As estatísticas de latência são úteis para identificar possíveis gargalos
na sua rede. Elas mostram o tempo necessário para que cada pacote
chegue ao seu destino, permitindo que você identifique problemas de
latência em sua rede.

Estatísticas de Tamanho de Pacote

As estatísticas de tamanho de pacote permitem que você veja a
distribuição de tamanhos de pacote em sua rede. Isso pode ajudá-lo a
identificar pacotes que estão sendo transmitidos com um tamanho maior
do que o necessário, o que pode afetar o desempenho da rede.

Estatísticas de Taxa de Transmissão

As estatísticas de taxa de transmissão mostram a taxa de transferência
em tempo real para o tráfego capturado, permitindo que você identifique
picos de tráfego e possíveis gargalos de rede.

Conclusão

As estatísticas de rede fornecidas pelo Wireshark são extremamente

úteis para monitorar e solucionar problemas em redes. Com elas, você
pode coletar informações importantes sobre o tráfego de rede em tempo
real ou a partir de capturas de pacotes anteriores e identificar problemas
de desempenho ou possíveis ameaças de segurança. Esperamos que
este capítulo tenha ajudado você a entender melhor como usar as
análises de estatisticas.

33
 15. Visualização de pacotes capturados
em tempo real

A visualização de pacotes capturados em tempo real é uma das

funcionalidades mais úteis e poderosas do Wireshark. Quando você
está capturando pacotes em tempo real, pode ver a atividade da rede
em tempo real e detectar problemas de desempenho ou de segurança
imediatamente. Neste capítulo, vamos explorar como visualizar pacotes
capturados em tempo real com o Wireshark.

Passo 1: Inicie a captura de pacotes

Antes de poder visualizar pacotes capturados em tempo real, você

precisa iniciar a captura de pacotes. Certifique-se de selecionar a
interface de rede correta e defina as opções de captura, como o filtro de
captura, o tamanho do buffer e o formato de captura. Clique em "Start"
para iniciar a captura de pacotes.

Passo 2: Visualize os pacotes capturados

Uma vez que a captura de pacotes esteja em andamento, você pode

começar a visualizar os pacotes capturados em tempo real. A janela
principal do Wireshark exibirá uma lista de todos os pacotes capturados,
com informações detalhadas sobre cada um deles. Você pode
selecionar um pacote na lista para ver detalhes adicionais na janela de
visualização de pacotes.

Passo 3: Aplique filtros para visualizar pacotes específicos

Para visualizar apenas pacotes específicos, você pode aplicar filtros

para filtrar a lista de pacotes capturados. Por exemplo, você pode filtrar
por endereço IP, protocolo, porta ou tipo de pacote. Para aplicar um
filtro, basta digitar o filtro desejado na caixa de filtro na parte superior da
janela do Wireshark e pressionar Enter.

34
Passo 4: Use gráficos para visualizar estatísticas de rede

O Wireshark também fornece gráficos para ajudá-lo a visualizar as

estatísticas de rede em tempo real. Na parte inferior da janela do
Wireshark, você encontrará gráficos que mostram a taxa de
transferência da rede, o tamanho dos pacotes e a taxa de pacotes por
segundo. Esses gráficos podem ser úteis para detectar gargalos de rede
e outros problemas de desempenho.

Passo 5: Use recursos de análise para visualizar informações adicionais

Além de visualizar pacotes capturados em tempo real, o Wireshark

também fornece recursos de análise para visualizar informações
adicionais sobre a atividade da rede. Por exemplo, você pode usar o
recurso "Follow TCP Stream" para visualizar uma conversa inteira em
um formato fácil de ler. Você também pode usar o recurso "Statistics"
para ver estatísticas adicionais sobre a atividade da rede.

Conclusão

A visualização de pacotes capturados em tempo real é uma das

funcionalidades mais úteis do Wireshark. Com ela, você pode detectar
problemas de desempenho ou de segurança em tempo real e tomar
medidas imediatas para corrigi-los. Ao seguir os passos descritos neste
capítulo, você estará bem equipado para visualizar pacotes capturados
em tempo real com o Wireshark e aproveitar ao máximo essa
funcionalidade poderosa.

35
 16. Análise de VoIP

A tecnologia de Voz sobre IP (VoIP) permite que as pessoas realizem

chamadas telefônicas através de redes IP, como a internet. Ao contrário
das chamadas telefônicas tradicionais, que usam circuitos dedicados
para transportar voz, a VoIP utiliza pacotes de dados que são
transmitidos pela rede em tempo real. Como resultado, a qualidade das
chamadas de VoIP pode variar, dependendo da qualidade da rede, da
largura de banda disponível e de outros fatores.

O Wireshark é uma ferramenta útil para a análise de tráfego de VoIP,

permitindo que os analistas de rede identifiquem e resolvam problemas
relacionados à qualidade da chamada, bem como a identificação de
potenciais ameaças de segurança. Neste guia, abordaremos como
realizar análise de tráfego de VoIP usando o Wireshark.

Passo 1: Capturando o Tráfego de VoIP

Para começar a análise de tráfego de VoIP, é necessário capturar o
tráfego de rede que contém as chamadas de VoIP. O Wireshark pode
capturar o tráfego de VoIP de várias maneiras, como por exemplo:

Capturando todo o tráfego da rede

Capturando apenas o tráfego VoIP usando um filtro de captura
Capturando o tráfego de um dispositivo específico, como um telefone IP
Passo 2: Identificando Pacotes de VoIP
Após a captura do tráfego de VoIP, é preciso identificar quais pacotes
contêm chamadas de VoIP. Para fazer isso, é necessário saber quais
protocolos de VoIP estão sendo usados. Os protocolos de VoIP mais
comuns incluem SIP (Session Initiation Protocol), RTP (Real-time
Transport Protocol) e RTCP (RTP Control Protocol).

Para identificar pacotes de VoIP, é possível utilizar o recurso de filtro do

Wireshark. Por exemplo, para filtrar pacotes SIP, pode-se utilizar o filtro
"sip" na barra de filtro do Wireshark.

Passo 3: Analisando a Qualidade da Chamada

36
Após a identificação dos pacotes de VoIP, é possível analisar a
qualidade da chamada. O Wireshark possui recursos que permitem
analisar vários aspectos da chamada, como jitter, latência e perda de
pacotes.

Uma das ferramentas mais úteis do Wireshark para análise de

qualidade de chamada é o "Gráfico de fluxo de RTP". O gráfico de fluxo
de RTP exibe a latência, o jitter e a perda de pacotes para cada fluxo de
RTP em uma chamada de VoIP.

Passo 4: Analisando os fluxos de áudio

Ao selecionar uma chamada VoIP específica, podemos analisar os
fluxos de áudio dessa chamada. O Wireshark oferece uma opção para
reproduzir os fluxos de áudio, permitindo que você ouça a chamada em
tempo real ou salve-a para ouvir mais tarde. Para fazer isso, selecione
um dos pacotes do fluxo de áudio e clique com o botão direito do
mouse, escolha a opção "Follow" e depois "UDP Stream". Em seguida,
você pode escolher a opção "Save Payload" para salvar o arquivo de
áudio em seu computador ou "Play Stream" para reproduzi-lo
imediatamente.

Passo 5: Analisando a qualidade da chamada

Além de analisar os fluxos de áudio, é importante analisar a qualidade
geral da chamada VoIP. O Wireshark pode exibir a qualidade da
chamada com base em uma variedade de métricas, como atraso de ida
e volta (RTT), atraso de pacote, perda de pacote, taxa de jitter e outras.
Para visualizar essas métricas, selecione um pacote de chamada VoIP e
clique na guia "Telephony" no painel de detalhes do pacote. Lá você
pode encontrar informações sobre a qualidade da chamada e métricas
relevantes para diagnóstico de problemas.

Passo 6: Usando filtros para analisar chamadas VoIP específicas

Assim como na análise de protocolos de rede, os filtros podem ser
usados ​para ajudar na análise de chamadas VoIP específicas. O
Wireshark oferece uma ampla variedade de filtros para ajudar a
encontrar chamadas VoIP específicas, como filtros baseados em
endereços IP, portas UDP e protocolos. Por exemplo, para encontrar

37
todas as chamadas VoIP que utilizam o protocolo SIP, basta digitar "sip"
na barra de filtro e pressionar Enter.

Com esses passos, é possível analisar chamadas VoIP em detalhes e

identificar problemas de qualidade de chamada, latência e outros
problemas relacionados à rede. O Wireshark é uma ferramenta
poderosa para análise de VoIP, e seus recursos avançados podem
ajudar a solucionar problemas complexos em ambientes de rede.

38
 17. Análise de pacotes criptografados

Com o aumento da segurança nas redes, é cada vez mais comum a

utilização de criptografia para proteger informações sensíveis durante a
transmissão de dados. Porém, isso pode dificultar a análise de tráfego
de rede em situações de troubleshooting ou investigações de
segurança. Neste capítulo, vamos explorar como o Wireshark pode ser
utilizado para análise de pacotes criptografados.

Passo 1: Capturando o tráfego criptografado

Antes de iniciar a análise de tráfego criptografado, é necessário
capturá-lo. Para isso, é preciso ter acesso à chave de criptografia para
descriptografar os pacotes posteriormente. Existem várias maneiras de
se obter a chave, como acessá-la diretamente do dispositivo que está
gerando o tráfego, ou utilizar técnicas de quebra de criptografia (como
ataques de força bruta). No entanto, é importante lembrar que o uso
dessas técnicas pode ser ilegal e/ou antiético, portanto, deve-se sempre
buscar autorização prévia antes de tentar obter a chave.

Passo 2: Importando a chave de criptografia

Com a chave de criptografia em mãos, o próximo passo é importá-la
para o Wireshark. Isso pode ser feito através do menu Editar ->
Preferências -> Protocolos -> TLS. No campo "Arquivos de chave
privada", selecione o arquivo contendo a chave.

Passo 3: Descriptografando os pacotes

Uma vez que a chave de criptografia foi importada, o Wireshark pode
ser utilizado para descriptografar os pacotes capturados. Para fazer
isso, basta selecionar os pacotes criptografados e clicar com o botão
direito do mouse. Em seguida, selecione a opção "Protocol Preferences"
e depois selecione o protocolo criptografado utilizado (como TLS ou
SSL). Na janela de preferências do protocolo, selecione a opção
"Decryption Keys" e adicione a chave de criptografia.

Passo 4: Analisando o tráfego descriptografado

39
Com os pacotes criptografados descriptografados, é possível analisar o
tráfego da mesma forma que se faz com pacotes não criptografados. É
possível aplicar filtros, visualizar estatísticas e realizar outras análises
para identificar problemas ou comportamentos suspeitos.

Passo 5: Exportando os resultados

Após realizar as análises, é possível exportar os resultados para
compartilhar com outras pessoas ou armazenar para referência futura.
O Wireshark oferece várias opções de exportação, como salvar o
resultado em um arquivo de texto, gerar um gráfico ou exportar em
formato CSV.

Conclusão:
A análise de tráfego criptografado pode ser um desafio, mas o
Wireshark oferece várias ferramentas para ajudar a descriptografar e
analisar pacotes criptografados. É importante lembrar que, em alguns
casos, pode ser necessário obter autorização prévia antes de tentar
descriptografar o tráfego, e que a análise de pacotes criptografados
pode ser mais complexa do que a análise de pacotes não
criptografados.

40
 18. Análise de pacotes de aplicativos
específicos

Além de analisar os protocolos de rede padrão, o Wireshark também

pode ser usado para analisar pacotes de aplicativos específicos. Isso
pode ser útil para depuração de problemas em aplicativos ou para
entender melhor como um aplicativo funciona em nível de rede.

Neste capítulo, exploraremos como usar o Wireshark para analisar

pacotes de aplicativos específicos.

Passo 1: Identificar o aplicativo

Antes de começar a analisar os pacotes, é importante identificar qual

aplicativo você deseja analisar. Para fazer isso, você pode observar o
tráfego de rede usando o Wireshark enquanto o aplicativo está em
execução.

Ao observar o tráfego, você pode procurar por informações que possam

identificar o aplicativo. Isso pode incluir o endereço IP e porta de origem
e destino, bem como o conteúdo dos pacotes.

Passo 2: Filtrar o tráfego

Depois de identificar o aplicativo, é hora de filtrar o tráfego para que

você possa se concentrar apenas nos pacotes relacionados ao
aplicativo. Para fazer isso, você pode usar os recursos de filtro do
Wireshark.

Por exemplo, você pode criar um filtro que inclua apenas pacotes que
usem a porta específica que o aplicativo está usando. Para fazer isso,
digite "tcp.port == <porta>" na barra de filtro do Wireshark, substituindo
"<porta>" pela porta específica que o aplicativo está usando.

Passo 3: Analisar os pacotes

41
Agora que você filtrou o tráfego, pode começar a analisar os pacotes
relacionados ao aplicativo. Para fazer isso, examine o conteúdo dos
pacotes em detalhes, prestando atenção especial a campos que podem
ser específicos do aplicativo.

Por exemplo, se você estiver analisando o tráfego do aplicativo de

bate-papo, poderá procurar mensagens de texto específicas que foram
enviadas ou recebidas. Se estiver analisando um aplicativo de jogos
online, poderá procurar informações sobre ações específicas do jogo.

Passo 4: Usar as ferramentas de análise do Wireshark

Além de examinar o conteúdo dos pacotes manualmente, o Wireshark

também oferece várias ferramentas de análise que podem ajudá-lo a
entender melhor o tráfego do aplicativo.

Por exemplo, o recurso de análise de fluxo do Wireshark pode ajudá-lo

a entender como os pacotes estão sendo trocados entre as partes
envolvidas no aplicativo. O recurso de análise de gráfico de sequência
pode ajudá-lo a visualizar como os pacotes estão sendo trocados em
relação ao tempo.

Passo 5: Correlacionar com o comportamento do aplicativo

Por fim, ao analisar os pacotes de um aplicativo específico, é importante

correlacionar o comportamento do aplicativo com o tráfego de rede que
você está vendo. Isso pode ajudá-lo a entender como o aplicativo está
usando a rede e a identificar possíveis problemas.

Por exemplo, se o aplicativo estiver demorando para enviar uma

mensagem específica, você poderá procurar por atrasos
correspondentes no tráfego de rede.
l. No entanto

42
 19. Análise de tráfego de rede em tempo
real

A análise de tráfego de rede em tempo real é uma técnica essencial

para monitorar e solucionar problemas em uma rede em tempo real. Ela
permite que os administradores de rede identifiquem rapidamente
problemas de desempenho, identifiquem padrões de uso da rede e
respondam a incidentes de segurança. Neste capítulo, vamos explorar
algumas ferramentas e técnicas para realizar a análise de tráfego de
rede em tempo real.

Passo 1: Escolhendo a ferramenta certa

Existem várias ferramentas disponíveis para realizar a análise de

tráfego de rede em tempo real. Algumas das ferramentas mais
populares incluem o tcpdump, Wireshark, tshark, ngrep e tcpflow. Cada
ferramenta tem seus próprios recursos e habilidades, portanto, é
importante escolher a ferramenta correta para a tarefa em questão.

Passo 2: Identificando o tráfego de rede relevante

Uma vez que você tenha escolhido a ferramenta de análise de tráfego

de rede em tempo real, o próximo passo é identificar o tráfego de rede
relevante para a análise. Isso pode incluir tráfego de rede de uma
determinada fonte ou destino, tráfego de rede que corresponde a um
protocolo específico ou tráfego de rede que corresponde a um aplicativo
específico.

Passo 3: Configurando a captura de pacotes

Depois de identificar o tráfego de rede relevante, é hora de configurar a

captura de pacotes. Isso envolve especificar as interfaces de rede que
deseja capturar, bem como quaisquer filtros de pacotes que deseja
aplicar.

43
Passo 4: Visualizando o tráfego de rede em tempo real

Com a captura de pacotes em andamento, é hora de visualizar o tráfego

de rede em tempo real. A maioria das ferramentas de análise de tráfego
de rede em tempo real permite visualizar o tráfego de rede em tempo
real por meio de uma interface gráfica do usuário (GUI) ou por meio de
saída de linha de comando.

Passo 5: Análise de estatísticas de rede em tempo real

Além de visualizar o tráfego de rede em tempo real, as ferramentas de

análise de tráfego de rede em tempo real também podem fornecer
estatísticas em tempo real sobre o tráfego de rede. Isso pode incluir
informações sobre a largura de banda utilizada, a taxa de transferência,
o número de pacotes transmitidos e recebidos, o tamanho médio dos
pacotes e muito mais.

Passo 6: Identificando problemas de desempenho da rede

A análise de tráfego de rede em tempo real é uma ferramenta valiosa

para identificar problemas de desempenho da rede em tempo real. Por
exemplo, se você notar uma queda na largura de banda ou uma taxa de
transferência mais lenta do que o esperado, poderá usar as estatísticas
de rede em tempo real para identificar a causa do problema.

Passo 7: Respondendo a incidentes de segurança em tempo real

A análise de tráfego de rede em tempo real também é essencial para

responder a incidentes de segurança em tempo real.

44
 20. Análise de erros de rede e
problemas de desempenho

Uma rede de computadores pode apresentar diversos problemas que

afetam seu desempenho, tais como congestionamento, perda de
pacotes, latência e jitter. Além disso, também é possível ocorrer erros de
rede, como falhas na transmissão de dados e problemas de
autenticação. A análise desses problemas é fundamental para a
identificação de suas causas e para a implementação de soluções
eficazes. Neste capítulo, discutiremos técnicas para a análise de erros
de rede e problemas de desempenho.

Identificação de erros de rede

Erros de rede podem ser identificados através da análise de pacotes
capturados. A presença de pacotes corrompidos ou perdidos indica a
ocorrência de erros de transmissão. Além disso, erros de autenticação
podem ser identificados através da análise de pacotes de autenticação,
como o EAP (Extensible Authentication Protocol).

Análise de congestionamento de rede

Congestionamento de rede pode ser causado pelo envio excessivo de
pacotes, o que leva a uma diminuição da largura de banda disponível
para cada pacote. Isso pode resultar em um aumento da latência e da
perda de pacotes. A análise de congestionamento de rede envolve a
identificação do número de pacotes transmitidos em um determinado
intervalo de tempo, bem como a avaliação do tamanho dos pacotes e da
largura de banda disponível.

Análise de perda de pacotes

A perda de pacotes pode ser causada por diversas razões, como
congestionamento de rede, falhas no hardware de rede, interferência
eletromagnética e interferência de sinais de outras redes sem fio. A
análise de perda de pacotes envolve a identificação do número de
pacotes perdidos em relação ao número total de pacotes transmitidos. É

45
possível utilizar ferramentas de análise de pacotes, como o Wireshark,
para identificar os pacotes perdidos.

Análise de latência de rede

Latência é o tempo que um pacote leva para percorrer a rede, desde o
momento em que é enviado até o momento em que é recebido. A
latência pode ser afetada por diversos fatores, como a largura de banda
disponível, a distância percorrida pelo pacote e a velocidade de
processamento dos dispositivos de rede. A análise de latência de rede
envolve a identificação do tempo de resposta da rede em relação ao
tempo de envio dos pacotes.

Análise de jitter
Jitter é a variação no tempo de chegada dos pacotes à sua destinação.
Isso pode ser causado por diversos fatores, como congestionamento de
rede, rotas alternativas e diferenças na capacidade de processamento
dos dispositivos de rede. A análise de jitter envolve a identificação da
variação no tempo de chegada dos pacotes.

Análise de problemas de desempenho

A análise de problemas de desempenho envolve a identificação das
causas dos problemas de rede e a implementação de soluções eficazes.
Para isso, é necessário analisar dados como o tráfego de rede, a
largura de banda disponível, a latência, a perda de pacotes

Conclusão:

A análise de erros de rede e problemas de desempenho é uma tarefa

crítica para qualquer profissional de rede. Com as ferramentas e
técnicas adequadas, é possível identificar e resolver problemas que
afetam o desempenho da rede, reduzindo o tempo de inatividade e
aumentando a produtividade.

Neste guia, exploramos algumas das principais ferramentas e técnicas

utilizadas na análise de erros de rede e problemas de desempenho. A
partir da captura de pacotes e análise de estatísticas, até a resolução de

46
problemas específicos de aplicativos e criptografia, esperamos ter
fornecido uma visão geral útil sobre a análise de rede.

Ao lidar com problemas de desempenho e erros de rede, é importante

lembrar que a colaboração e a comunicação eficazes são essenciais.
Trabalhar em equipe para coletar informações e analisar os dados pode
ajudar a identificar problemas mais rapidamente e encontrar soluções
mais eficazes.

Por fim, recomendamos que os profissionais de rede se mantenham

atualizados sobre as últimas tecnologias e tendências, bem como sobre
as melhores práticas para análise de rede. Com a prática e o
conhecimento adequado, você estará pronto para lidar com os desafios
mais complexos de análise de rede.

47
 21. Análise de tráfego em redes de alta
velocidade

Com o aumento da velocidade das redes, a análise de tráfego se torna

cada vez mais desafiadora. A captura e análise de tráfego de alta
velocidade pode ser difícil, especialmente quando se trata de encontrar
gargalos de desempenho ou problemas de latência. Neste guia, vamos
explorar como usar o Wireshark para analisar o tráfego de redes de alta
velocidade.

Passo 1: Preparação

Antes de começar a capturar e analisar o tráfego de redes de alta

velocidade, é importante preparar adequadamente a infraestrutura.
Certifique-se de ter hardware adequado que possa lidar com a taxa de
transferência esperada e forneça armazenamento suficiente para
armazenar as capturas. Além disso, é importante selecionar o local
correto para a captura, o que significa que deve estar o mais próximo
possível dos pontos problemáticos da rede.

Passo 2: Configurando o Wireshark

O Wireshark é uma ferramenta de análise de tráfego de rede

amplamente usada. Para começar a analisar o tráfego de rede de alta
velocidade, abra o Wireshark e selecione a interface que deseja
capturar. Selecione a opção "Capturar em Tempo Real" e, em seguida,
comece a capturar o tráfego.

Passo 3: Configurando o Filtro de Captura

Para garantir que a captura de tráfego de alta velocidade seja

gerenciável, é importante configurar filtros de captura adequados. Por
exemplo, você pode filtrar por endereços MAC específicos, protocolos
específicos ou fluxos de tráfego específicos. Isso ajudará a reduzir o
volume de tráfego capturado e a tornar a análise mais gerenciável.

48
Passo 4: Análise de Desempenho

Com a captura em andamento, é hora de começar a analisar o

desempenho da rede. O Wireshark fornece várias ferramentas para
isso, incluindo estatísticas de fluxo, estatísticas de protocolo, estatísticas
de taxa de transmissão e muito mais. É importante usar essas
ferramentas para identificar gargalos de desempenho e problemas de
latência na rede.

Passo 5: Análise de Segurança

Além da análise de desempenho, a captura e análise de tráfego de alta

velocidade também pode ser usada para fins de segurança. O
Wireshark fornece recursos de análise de segurança, como detecção de
intrusão e análise de tráfego criptografado. É importante usar essas
ferramentas para garantir que sua rede esteja segura e protegida contra
ameaças.

Conclusão

A captura e análise de tráfego em redes de alta velocidade pode ser

desafiadora, mas com o Wireshark, é possível obter informações
valiosas sobre o desempenho e a segurança da rede. Certifique-se de
preparar adequadamente a infraestrutura, configurar filtros de captura

49
 22. Análise de Pacotes em Redes
Virtuais

Com o aumento do uso de ambientes virtuais, é importante que os

analistas de rede sejam capazes de analisar o tráfego de rede nesses
ambientes. Neste guia, vamos cobrir os passos para realizar análises de
pacotes em redes virtuais usando o Wireshark.

Passo 1: Configurar o ambiente virtual

Antes de começar a capturar pacotes em uma rede virtual, é necessário

configurar o ambiente virtual corretamente. Certifique-se de que a placa
de rede virtual esteja configurada corretamente e tenha acesso à rede
que deseja analisar.

Passo 2: Capturar pacotes da rede virtual

Com o ambiente virtual configurado, abra o Wireshark e selecione a

placa de rede virtual a ser usada para capturar pacotes. Em seguida,
comece a capturar pacotes.

Passo 3: Filtrar o tráfego de rede

Após a captura dos pacotes, é importante filtrar o tráfego de rede para

focar na análise específica que está sendo realizada. O Wireshark
possui diversos filtros pré-definidos que podem ser utilizados, além de
permitir a criação de filtros personalizados.

Passo 4: Analisar os pacotes capturados

Com os filtros definidos, comece a análise dos pacotes capturados.

Observe os cabeçalhos dos pacotes para identificar o tipo de protocolo
e o endereço IP de origem e destino. Em seguida, analise o conteúdo
dos pacotes para entender a natureza do tráfego de rede.

50
Passo 5: Identificar problemas de rede

Durante a análise dos pacotes, é possível identificar problemas de rede,

como pacotes perdidos, tempos de resposta lentos e falhas de conexão.
Use o Wireshark para identificar esses problemas e resolvê-los.

Conclusão

A análise de pacotes em redes virtuais é essencial para identificar

problemas de rede e garantir que o ambiente virtual esteja funcionando
corretamente. Usando o Wireshark, os analistas de rede podem
capturar, filtrar e analisar pacotes em redes virtuais, identificar
problemas de rede e tomar as medidas necessárias para resolvê-los.
Com esses passos, é possível realizar análises eficientes em redes
virtuais e manter o ambiente funcionando com alta disponibilidade e
desempenho.

51
 23. Criação de perfis de tráfego de rede

A criação de perfis de tráfego de rede é uma parte importante da análise

de rede, pois permite que você entenda como o tráfego flui através da
rede e identifique possíveis gargalos ou problemas de desempenho.
Neste capítulo, você aprenderá como criar perfis de tráfego de rede
usando o Wireshark.

Passo 1: Selecione a interface de rede

Abra o Wireshark e selecione a interface de rede que você deseja
analisar. Certifique-se de que o modo de captura esteja definido para
"Capture packets in promiscuous mode".

Passo 2: Inicie a captura de pacotes

Clique no botão "Start" na barra de ferramentas do Wireshark para
iniciar a captura de pacotes na interface selecionada.

Passo 3: Capture o tráfego de rede

Deixe o Wireshark capturar o tráfego de rede por um período de tempo
suficiente para capturar uma quantidade significativa de dados.

Passo 4: Crie um filtro para o perfil de tráfego

Crie um filtro para selecionar o tráfego que você deseja incluir no perfil
de tráfego. Por exemplo, você pode criar um filtro para excluir o tráfego
de controle, como o ARP ou o DNS, e incluir apenas o tráfego de dados.

Passo 5: Salve o perfil de tráfego

Clique em "Statistics" na barra de menu e selecione "Conversations"
para abrir a janela de Conversations. Selecione a guia "TCP" para
visualizar as estatísticas de tráfego TCP. Clique em "Export Packet
Dissections" e selecione "As CSV..." para salvar o perfil de tráfego em
um arquivo CSV.

Passo 6: Analise o perfil de tráfego

Abra o arquivo CSV do perfil de tráfego em uma planilha e analise os
dados para identificar padrões ou problemas de desempenho.

52
Conclusão:
A criação de perfis de tráfego de rede é uma habilidade importante para
os analistas de rede, pois permite que eles entendam melhor como o
tráfego flui através da rede e identifiquem possíveis problemas de
desempenho. Usando o Wireshark, é possível capturar e filtrar o tráfego
de rede, criar um perfil de tráfego e analisar os dados para identificar
padrões ou problemas. Com estas habilidades, os analistas de rede
podem melhorar o desempenho da rede e evitar possíveis interrupções.

53
 24. Análise de ataques de rede

A segurança de rede é uma das principais preocupações dos

administradores de rede, e a análise de ataques é uma parte essencial
para garantir a proteção contra ameaças externas e internas. Neste
guia, vamos explorar como o Wireshark pode ser usado para analisar
ataques de rede e identificar suas fontes.

Passo 1: Preparando o ambiente de captura

Antes de começar a analisar um ataque, é importante configurar o

ambiente de captura corretamente para garantir que todas as
informações relevantes sejam registradas. Aqui estão algumas
considerações a serem feitas:

Certifique-se de que o Wireshark esteja instalado e configurado

corretamente.
Selecione a interface de rede apropriada para capturar o tráfego.
Certifique-se de que a interface esteja configurada para capturar todos
os pacotes, independentemente do tamanho.
Ative a resolução de nomes de domínio e endereços MAC.
Passo 2: Identificando o ataque

O próximo passo é identificar o tipo de ataque. Os ataques mais comuns

incluem:

Ataque de negação de serviço (DoS)

Ataque de inundação de pacotes
Ataque de força bruta
Ataque de negação de serviço distribuída (DDoS)
Ataque de spoofing
Ao identificar o tipo de ataque, você pode usar filtros para exibir apenas
os pacotes relacionados a ele.

Passo 3: Analisando o tráfego

54
Agora é hora de analisar o tráfego capturado em busca de sinais do
ataque. Aqui estão algumas coisas a serem observadas:

Examine os cabeçalhos dos pacotes em busca de informações

relevantes, como endereços IP, portas e números de sequência.
Procure por padrões de tráfego incomuns, como um grande número de
pacotes enviados de um único endereço IP.
Procure por pacotes com payloads incomuns, como payloads com
muitos zeros.
Analise a linha do tempo do tráfego em busca de mudanças repentinas
no tráfego.
Passo 4: Identificando a fonte do ataque

Agora que você identificou o ataque e analisou o tráfego, o próximo

passo é identificar a fonte do ataque. Aqui estão algumas coisas a
serem observadas:

Identifique o endereço IP do atacante e verifique se ele está presente

em outros pacotes relacionados ao ataque.
Procure por informações adicionais no tráfego capturado que possam
ajudar a identificar o atacante, como informações de autenticação ou de
cabeçalho HTTP.
Passo 5: Tomando medidas

Depois de identificar a fonte do ataque, é hora de tomar medidas para

proteger sua rede. Aqui estão algumas coisas a serem consideradas:

Bloqueie o endereço IP do atacante.

Atualize suas políticas de segurança e configure suas ferramentas de
segurança para evitar futuros ataques semelhantes.
Reporte o ataque às autoridades apropriadas, se necessário.

Conclusão:
Conforme descrito neste guia, a análise de ataques de rede com o uso
do Wireshark é uma prática importante e necessária para garantir a
segurança da rede. A identificação de possíveis ataques pode ajudar a

55
evitar grandes problemas e garantir a integridade dos dados e
dispositivos conectados à rede.

Ao utilizar as técnicas e ferramentas descritas neste guia, é possível

obter uma visão mais clara e detalhada do tráfego de rede e identificar
possíveis atividades maliciosas, como tentativas de acesso não
autorizado, atividades de phishing, malware, entre outros.

No entanto, é importante destacar que a análise de ataques de rede é

um processo contínuo, e que é necessário manter-se atualizado com as
novas técnicas e ferramentas utilizadas pelos invasores, para garantir a
segurança da rede e minimizar os riscos de ataques.

Por fim, o Wireshark é uma das principais ferramentas para a análise de

tráfego de rede e detecção de ataques, mas não deve ser a única. É
importante que os profissionais de segurança também sejam
proficientes em outras ferramentas e técnicas para garantir a proteção
da rede e dos dados nela contidos.

56