Este tutorial irá ajudá-lo a aprender as noções básicas de como capturar pacotes, filtrá-los e inspecioná-los. Você pode usar o Wireshark para inspecionar o tráfego de rede de um programa suspeito, analisar o fluxo de tráfego em sua rede ou solucionar problemas de rede.
Obtendo o Wireshark
Você pode baixar o Wireshark para Windows ou macOS em seu site oficial. Se você usa o Linux ou outro sistema semelhante ao UNIX, provavelmente encontrará o Wireshark em seus repositórios de pacotes. Por exemplo, se você estiver usando o Ubuntu, encontrará o Wireshark no Ubuntu Software Center.
Apenas um aviso rápido: muitas organizações não permitem o Wireshark e ferramentas semelhantes em suas redes. Não use essa ferramenta no trabalho, a menos que você tenha permissão.
Capturando Pacotes
Depois de baixar e instalar o Wireshark, você pode iniciá-lo e clicar duas vezes no nome de uma interface de rede em Capture para iniciar a captura de pacotes nessa interface. Por exemplo, se você quiser capturar o tráfego na sua rede sem fio, clique na sua interface sem fio. Você pode configurar recursos avançados clicando em Capturar> Opções, mas isso não é necessário por enquanto.
Se você tiver o modo promíscuo ativado - ele está ativado por padrão - você também verá todos os outros pacotes na rede, em vez de apenas os pacotes endereçados ao seu adaptador de rede. Para verificar se o modo promíscuo está ativado, clique em Capturar> Opções e verifique se a caixa de seleção “Ativar o modo promíscuo em todas as interfaces” está ativada na parte inferior dessa janela.
Codificação de cores
Você provavelmente verá os pacotes destacados em uma variedade de cores diferentes. O Wireshark usa cores para ajudar você a identificar os tipos de tráfego rapidamente. Por padrão, roxo claro é tráfego TCP, azul claro é tráfego UDP e preto identifica pacotes com erros, por exemplo, eles poderiam ter sido entregues fora de ordem.
Para ver exatamente o que os códigos de cores significam, clique em Exibir> Regras para colorir. Você também pode personalizar e modificar as regras de coloração daqui, se quiser.
Capturas de Amostra
Se não houver nada de interessante em sua própria rede para inspecionar, o wiki do Wireshark tem cobertura. O wiki contém uma página de arquivos de captura de amostra que você pode carregar e inspecionar. Clique em Arquivo> Abrir no Wireshark e procure o arquivo baixado para abrir um.
Você também pode salvar suas próprias capturas no Wireshark e abri-las mais tarde. Clique em Arquivo> Salvar para salvar seus pacotes capturados.
Pacotes de Filtragem
Se você estiver tentando inspecionar algo específico, como o tráfego que um programa envia ao telefonar para casa, ajuda a fechar todos os outros aplicativos que usam a rede, para que você possa restringir o tráfego. Ainda assim, você provavelmente terá uma grande quantidade de pacotes para filtrar. É aí que entram os filtros do Wireshark.
A maneira mais básica de aplicar um filtro é digitando-o na caixa de filtro na parte superior da janela e clicando em Aplicar (ou pressionando Enter). Por exemplo, digite "dns" e você verá apenas os pacotes DNS. Quando você começar a digitar, o Wireshark o ajudará a completar automaticamente o seu filtro.
Para obter mais informações sobre o idioma de filtragem de exibição do Wireshark, leia a página Expressões de filtro de exibição do edifício na documentação oficial do Wireshark.
Você verá a conversa completa do TCP entre o cliente e o servidor. Você também pode clicar em outros protocolos no menu Seguir para ver as conversas completas de outros protocolos, se aplicável.
Inspecionando Pacotes
Clique em um pacote para selecioná-lo e você pode cavar para ver seus detalhes.
O Wireshark é uma ferramenta extremamente poderosa, e este tutorial está apenas começando a entender o que você pode fazer com ele. Profissionais o usam para depurar implementações de protocolo de rede, examinar problemas de segurança e inspecionar internamente os protocolos de rede.
Você pode encontrar informações mais detalhadas no Guia do usuário oficial do Wireshark e em outras páginas de documentação no site do Wireshark.