Wireskark é um dos mais conhecidos sniffer, sniffer (farejador, em tradução livre) é um software ou hardware que permite ao usuário “farejar” ou monitorar o tráfego de internet em tempo real, capturando todos os dados que entram e saem de um computador.
Usos legítimos de softwares sniffers
Especialistas posicionam sniffers dentro de uma rede para se conectar ao tráfego e rastrear o que está sendo enviado. Você provavelmente viu pelo menos um filme em que um detetive grampeia o telefone de um suspeito para ouvir todas as coisas ilegais em que ele está metido. Basicamente sniffers são a mesma coisa, mas na internet.
Aqui vai uma lista de pessoas que usam analisadores de rede:
- Engenheiros de rede: Ao analisar o tipo e o nível de tráfego em uma rede, engenheiros podem usar os dados para otimizar a estrutura da rede com o objetivo de torná-la mais eficiente e veloz.
- Administradores de sistemas: Analisadores de rede são ótimas ferramentas para a solução de problemas. Administradores de sistemas podem mergulhar nos gargalos ou em outros problemas que causam lentidão em uma rede no momento em que acontecem e, assim, examinar a questão.
- Empresas: Técnicos de TI em escritórios corporativos podem usar sniffers para monitorar os funcionários enquanto trabalham. As empresas podem descobrir os sites que seus colaboradores visitam, quanto tempo gastam neles ou se estão assistindo ou baixando conteúdo indevido.
- Profissionais de segurança: Tipo ou volume de tráfego fora do normal podem indicar que nada está do jeito que parece. Equipes de segurança podem identificar padrões de uso atípicos na internet, o que pode indicar a presença de cibercriminosos ou malwares. Falando sobre isso…
O Wireshark é uma das melhores ferramentas de análise protocolar, que permite a captação, em tempo real, do tráfego de rede. Hoje deixamos aqui 5 dicas para usar este sniffer.
#1 – Escolha da Interface
A utilização do Wireshark é relativamente simples. Para começar basta escolher a interface pela qual se pretende fazer sniffing do tráfego. Depois é só fazer start e todo o tráfego será apresentado na aplicação.
#2 – Esquema de cores nas linhas
Quando um utilizador vê pela primeira vez o funcionamento do wireshark, questionar-se-á qual o significado das cores no output. De uma forma geral e por omissão, as linhas:
- Verde – significa tráfego TCP
- Azul escuro – Tráfego DNS
- Azul claro – Tráfego UDP
- Preto – Segmentos TCP com problema
Caso o utilizador pretenda ver o esquema de cores completo do wireshark, basta aceder a View—>Coloring Rules
#3 – Follow TCP Stream
Uma das funcionalidades interessantes do Wireshark é o Follow TCP Stream. Esta funcionalidade permite visualizar streams TCP completas, isto é, com esta opção o utilizador poderá acompanhar toda uma comunicação desde o primeiro SYN até ao FIN-ACK.
#4 – Protocolo Hierarchy
Além da análise de tráfego em tempo real, podemos ainda saber as estatísticas de utilização de um dado protocolo. Para isso, vamos a Statistics > Protocolo Hierarchy
#5 – Filtros
Tal como nome sugere, os filtros permitem selecionar, de um conjunto de informação, aquilo que pretendemos. Podemos filtrar por protocolo, por endereço de rede, por porta, por endereço MAC, etc. Aqui ficam alguns exemplos:
- Filtrar por IP – No caso das pesquisas por IP podemos, por exemplo, pesquisar pelo endereço de origem (ip.addr) e endereço de destino (ip.dst).
- Filtrar por porto lógico – Filtrar por porto é semelhante aos exemplos anteriores. Podemos simplesmente filtrar por um porto TCP (ex. tcp.port) mas podemos também ser mais específicos e filtrar por porto de origem(tcp.srcport) ou porto de destino (tcp.dstport).
- Filtrar por MAC – A pesquisa por MAC é feita recorrendo ao parâmetro eth.addr seguido do endereço MAC.
De referir também que é possível usar operadores lógicos. Isto permite-nos melhorar o filtro no caso de pretendermos informação de mais do que um protocolo.
Gostou? Se tiverem algumas sugestões, dica ou se ficou com alguma dúvida sobre este tutorial, não tem problema! Basta comentar no post que iremos responder suas dúvidas assim que for possível.