×
Outbyte PC Repair
Outbyte Driver Updater

Como capturar pacotes no WireShark?

2022/07/15
Como capturar pacotes no WireShark?

O Wireshark é uma ferramenta de análise de rede inestimável que traduz os dados que passam por suas redes em um formato legível por humanos. Você pode solucionar problemas de rede ou segurança, depurar uma implementação de protocolo ou simplesmente monitorar o tráfego capturando pacotes com o Wireshark.

Observe atentamente o que está acontecendo em sua rede, coletando exatamente as informações de que você precisa. Veja como capturar diferentes tipos de pacotes no Wireshark.

Como capturar pacotes

Iniciar o processo de captura no Wireshark leva apenas alguns cliques. Tudo o que você precisa fazer é iniciar o modo de captura e os dados começarão a chegar sem filtragem. Embora esse modo não filtrado seja ótimo quando você precisa de um relato completo do que está acontecendo, a quantidade de dados coletados dessa maneira pode ser esmagadora. Para torná-lo mais gerenciável, você pode usar filtros e coletar apenas um determinado tipo de dados. Abaixo você encontrará instruções para isso.

Por enquanto, vamos ver como começar a capturar todos os pacotes no Wireshark:

  • Certifique-se de ter a versão mais recente do Wireshark instalada. Você pode baixar o programa gratuitamente no site oficial do Wireshark.
  • Execute o programa. Você será saudado com uma tela de boas-vindas com uma lista de redes descobertas.
  • Comece a capturar pacotes de uma das seguintes maneiras:
    • Clique duas vezes na rede selecionada na lista.
    • Selecione uma ou mais interfaces de rede e clique no ícone da barbatana de tubarão na barra de ferramentas ou em “Capturar” e depois em “Iniciar” na barra de menu.

Observação. Você pode configurar opções de captura—como o modo promíscuo—antes de começar clicando em Capturar e depois em Opções.

Assim que você pressionar a interface de rede ou o botão iniciar, você será levado para a tela de captura. Você verá como o Wireshark captura pacotes de dados em tempo real. Quando estiver satisfeito com a quantidade de dados coletados, você poderá interromper a captura clicando no botão vermelho de parada na barra de ferramentas superior. Comece a analisar seus dados agora ou salve-os para mais tarde clicando em “Arquivo” e depois em “Salvar como…” na barra de menu.

Como capturar pacotes UDP

Seguir as etapas acima solicitará que o programa capture todos os pacotes. Embora diferentes tipos de tráfego sejam facilmente distinguíveis no Wireshark graças ao código de cores, você ainda precisa filtrar muitos dados. Se você estiver procurando apenas informações sobre determinados pacotes, poderá usar filtros para facilitar seu trabalho.

Wireshark suporta filtros de captura e exibição. Usar um filtro de captura significa que o programa captura apenas os pacotes que você definir. Os filtros de exibição simplesmente filtram os pacotes que já foram capturados. Os dois filtros funcionam de maneira diferente e usam comandos diferentes, portanto, você precisa decidir qual deles atende melhor às suas necessidades.

Se você deseja capturar apenas o tráfego UDP, use um filtro de captura antes de iniciar o processo de captura.

  • Inicie o Wireshark.
  • Localize o painel do filtro de captura na tela de boas-vindas. É aquele logo acima da sua lista de redes.
  • Digite “udp” no campo “Capture Filter” e pressione Enter para iniciar a captura de tráfego UDP. Você também pode adicionar uma porta específica após “udp” se quiser especificar ainda mais seu filtro.

Adendo. Outra maneira de configurar filtros de captura é clicar em “Capturar” e depois em “Opções” no menu. O painel de filtro estará na parte inferior da interface de captura.

Wireshark Como capturar pacotes DHCP

Para capturar pacotes DHCP exclusivamente, você precisa inserir o número de porta apropriado no filtro de captura. Use o filtro de captura “porta 67” ou “porta 68” ou uma combinação das duas “porta 67 ou porta 68” para capturar pacotes DHCP.

Da mesma forma, um filtro de exibição pode filtrar pacotes DHCP na tela de captura. No entanto, esteja ciente de que os filtros de exibição usam uma sintaxe diferente dos filtros de captura. Você precisará inserir “udp.port == 68” na linha de filtro de exibição.

Como capturar pacotes de ping

A melhor maneira de capturar pacotes de ping (também conhecido como tráfego de eco do protocolo ICMP (Internet Control Message Protocol)) no Wireshark é usar um filtro de exibição no modo de captura. Aqui está o processo.

  • Abra o Wireshark e inicie o processo de captura conforme descrito acima.
  • Abra um prompt de comando e faça ping no endereço de sua escolha.
  • Retorne ao Wireshark e pare o processo de captura.
  • Crie um filtro de ping digitando “icmp” na linha de filtro de exibição e pressionando Enter.

Você verá solicitações e respostas de ping na lista de pacotes.

Wireshark Como capturar pacotes de um endereço IP específico

Se você deseja focar a captura em um endereço IP específico, insira o seguinte filtro de captura antes de iniciar a captura: “host [endereço IP que você deseja capturar]”. Por exemplo, para capturar pacotes associados ao endereço IP 111.11.1.1, você precisaria do filtro “host 111.11.1.1” no painel Filtros de captura.

Você também pode especificar se deseja capturar o tráfego de ou para um endereço IP específico adicionando “src” para origem ou “dst” para destino no início em vez de “host:”

  • digite “src 111.11.1.1” para pacotes vindos do endereço IP em questão
  • digite “dst 111.11.1.1” para pacotes enviados para o endereço IP em questão

Naturalmente, você pode combinar esses filtros para especificar o tráfego que deseja capturar em seguida. Conecte os dois filtros com “e” para mover pacotes entre os dois endereços IP que você especificar. Por exemplo, “src 111.11.1.1 e dst 222.22.2.2” capturarão apenas os pacotes enviados de 111.11.1.1 a 222.22.2.2.

Use filtros de exibição para filtrar pacotes associados a um endereço IP específico em um conjunto de dados já capturado. Para o endereço IP acima, digite “ip.addr == 111.11.1.1” na linha de filtro de exibição e assim por diante.

Perguntas frequentes

Como capturar pacotes de roteador no Wireshark?

Você só pode capturar pacotes do roteador com o Wireshark se o seu roteador suportar espelhamento de porta. Primeiro, você precisa espelhar o tráfego para a porta LAN. O processo pode variar dependendo do seu dispositivo.

1. Vá para a seção LAN e depois para o espelho da porta LAN.

2. Ative o espelhamento de porta.

3. Configure os pontos inicial e final.

Se você puder espelhar seu tráfego dessa maneira, poderá capturar os pacotes do roteador normalmente no modo de captura do Wireshark.

Por que não consigo capturar pacotes no Wireshark?

Se o seu Wireshark não estiver capturando pacotes, considere as seguintes opções de solução de problemas:

• Certifique-se de não ter filtros de captura muito específicos ativados.

• Procure atualizações para o Wireshark no menu Ajuda.

• Verifique se o firewall não está bloqueando seu aplicativo Wireshark.

Se nenhum dos fatores acima se aplicar a você, o problema provavelmente está relacionado ao seu hardware.

Tenho que assumir tudo

Capturar pacotes com o Wireshark leva apenas alguns cliques. Essa provavelmente será a parte mais fácil de sua tarefa de solução de problemas. Capture todo o tráfego e filtre os pacotes posteriormente ou use filtros de captura para capturar apenas um tipo específico de dados.

Você conseguiu capturar os pacotes certos com essas dicas? Quais filtros de captura do Wireshark você acha mais úteis? Deixe-nos saber nos comentários abaixo.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *