O Wireshark tem alguns truques na manga, desde a captura de tráfego remoto até a criação de regras de firewall baseadas em pacotes capturados. Continue lendo para obter mais dicas avançadas se quiser usar o Wireshark como um profissional.
Já cobrimos uso básico do Wireshark , portanto, certifique-se de ler nosso artigo original para obter uma introdução a essa poderosa ferramenta de análise de rede.
Resolução de nome de rede
Ao capturar pacotes, você pode ficar chateado porque o Wireshark exibe apenas endereços IP. Você mesmo pode converter os endereços IP em nomes de domínio, mas isso não é muito conveniente.
O Wireshark pode resolver automaticamente esses endereços IP para nomes de domínio, embora esse recurso não esteja habilitado por padrão. Ao ativar esta opção, você verá nomes de domínio em vez de endereços IP sempre que possível. A desvantagem é que o Wireshark terá que pesquisar cada nome de domínio, poluindo o tráfego capturado com solicitações DNS adicionais.
Você pode habilitar esta configuração abrindo a janela de preferências de Editar -> Preferências , clicando no Resolução de Nomes painel e clicando no botão “ Habilitar resolução de nome de rede ”Caixa de seleção.
Comece a capturar automaticamente
Você pode criar um atalho especial usando os argumentos de linha de comando do Wirshark se quiser começar a capturar pacotes sem demora. Você precisará saber o número da interface de rede que deseja usar, com base na ordem em que o Wireshark exibe as interfaces.
Crie uma cópia do atalho do Wireshark, clique com o botão direito nele, vá para a janela de Propriedades e altere os argumentos da linha de comando. Adicionar -i # -k ao final do atalho, substituindo # com o número da interface que deseja usar. A opção -i especifica a interface, enquanto a opção -k diz ao Wireshark para iniciar a captura imediatamente.
Se você estiver usando Linux ou outro sistema operacional não Windows, basta criar um atalho com o seguinte comando ou executá-lo em um terminal para iniciar a captura imediatamente:
wirehark -i # -k
Para mais atalhos de linha de comando, verifique Página de manual do Wireshark .
Capturando tráfego de computadores remotos
O Wireshark captura o tráfego das interfaces locais do seu sistema por padrão, mas nem sempre é o local de onde você deseja capturar. Por exemplo, você pode querer capturar o tráfego de um roteador, servidor ou outro computador em um local diferente na rede. É aqui que entra o recurso de captura remota do Wireshark. Este recurso está disponível apenas no Windows no momento - a documentação oficial do Wireshark recomenda que os usuários do Linux usem um Túnel SSH .
Primeiro, você terá que instalar WinPcap no sistema remoto. O WinPcap vem com o Wireshark, então você não precisa instalar o WinPCap se já tiver o Wireshark instalado no sistema remoto.
Depois de instalado, abra a janela Serviços no computador remoto - clique em Iniciar, digite services.msc na caixa de pesquisa no menu Iniciar e pressione Enter. Localize o Protocolo de captura remota de pacotes serviço na lista e inicie-o. Este serviço está desabilitado por padrão.
Clique no Opção de Captura s link no Wireshark e selecione Controlo remoto na caixa de interface.
Insira o endereço do sistema remoto e 2002 como a porta. Você deve ter acesso à porta 2002 no sistema remoto para se conectar, portanto, pode ser necessário abrir essa porta em um firewall.
Após conectar, você pode selecionar uma interface no sistema remoto na caixa suspensa Interface. Clique Começar após selecionar a interface para iniciar a captura remota.
Wireshark em um Terminal (TShark)
Se você não tem uma interface gráfica em seu sistema, pode usar o Wireshark de um terminal com o comando TShark.
Primeiro, emita o tshark -D comando. Este comando fornecerá os números de suas interfaces de rede.
Depois de fazer isso, execute o tshark -i # , substituindo # pelo número da interface que você deseja capturar.
O TShark atua como o Wireshark, imprimindo o tráfego que captura para o terminal. Usar Ctrl-C quando você quiser parar a captura.
Imprimir os pacotes no terminal não é o comportamento mais útil. Se quisermos inspecionar o tráfego com mais detalhes, podemos fazer com que o TShark despeje em um arquivo que possamos inspecionar mais tarde. Em vez disso, use este comando para despejar o tráfego em um arquivo:
tshark -i # -w nome do arquivo
O TShark não mostrará os pacotes conforme eles estão sendo capturados, mas os contará conforme os captura. Você pode usar o Arquivo -> Abrir opção no Wireshark para abrir o arquivo de captura mais tarde.
Para obter mais informações sobre as opções de linha de comando do TShark, confira sua página de manual .
Criação de regras de ACL de firewall
Se você é um administrador de rede encarregado de um firewall e está usando o Wireshark para bisbilhotar, você pode querer tomar medidas com base no tráfego que vê - talvez para bloquear algum tráfego suspeito. Wireshark’s Regras de firewall ACL ferramenta gera os comandos de que você precisa para criar regras de firewall em seu firewall.
Primeiro, selecione um pacote no qual deseja criar uma regra de firewall, clicando nele. Depois disso, clique no Ferramentas menu e selecione Regras de firewall ACL .
Use o produtos menu para selecionar o tipo de firewall. O Wireshark suporta Cisco IOS, diferentes tipos de firewalls Linux, incluindo iptables e o firewall do Windows.
Você pode usar o Filtro caixa para criar uma regra com base no endereço MAC do sistema, endereço IP, porta ou ambos o endereço IP e porta. Você pode ver menos opções de filtro, dependendo do seu produto de firewall.
Por padrão, a ferramenta cria uma regra que nega o tráfego de entrada. Você pode modificar o comportamento da regra desmarcando o De entrada ou Negar caixas de seleção. Depois de criar uma regra, use o cópia de para copiá-lo e, em seguida, execute-o no firewall para aplicar a regra.
Você quer que escrevamos algo específico sobre o Wireshark no futuro? Deixe-nos saber nos comentários se você tiver algum pedido ou ideia.
