Proponha uma correção, faça uma sugestão
4 dicas para ver o que passa na sua rede
Ao longo dos anos, fomos apresentando no Pplware as várias versões e respectivas novidades do sniffer mais popular para redes informáticas, o Wireshark.
Esta ferramenta permite a captação, em tempo real, de pacotes de dados e apresenta essa informação num formato legível para os utilizadores. Hoje reunimos aqui 4 dicas para que possam usar melhor o Wireshark e saber o que passa na vossa rede.
Para que é que eu preciso de um sniffer?
Para muitos, é uma poderosa ferramenta de trabalho, para outros é aquela ferramenta capaz de capturar umas passwords na rede (em plain text de preferência), alguns dados confidenciais, decifrar chaves de rede, etc, etc, se esses dados não são encriptados antes de serem enviados pela rede… maravilha… passam em “claro” na rede, perceptíveis por qualquer utilizador. Quanto ao Wireshark (antigo Ethereal), para mim é simplesmente o melhor sniffer grátis!!!. O Wireshark permite analisar os pacotes recebidos e transmitidos por qualquer interface de rede, sendo possível aplicar vários tipos filtros.
Dica 1 – Usar Filtros
Tal como nome sugere, os filtros permitem seleccionar, de um conjunto de informação, aquilo que pretendemos. Podemos filtrar por protocolo, por endereço de rede, por porta, por endereço MAC, etc, etc.
Dica 2 – Como detectar tráfego “abusivo”?
Um dos maiores inimigos de qualquer administrador de sistemas é o tráfego abusivo que deriva de torrents, streaming de dados, downloads ilegais, etc. Apesar de existirem várias ferramentas que permitem “controlar” o tráfego abusivo, o Wireshark também poderá dar uma ajuda.
De referir que o wireshark só consegue monitorizar e trafego unicast, broadcast e multicast no caso de estarmos ligados via switch (ver mais aqui).
Dica 3 – Hierarquia de Protocolos
Além da informação anterior, podemos ainda saber as estatísticas de utilização de um dado protocolo. Para isso, vamos a Statistics > Protocolo Hierarchy
Dica 4 – Esquema de cores nas linhas
Quando um utilizador vê pela primeira vez o funcionamento do wireshark, questionar-se-á qual o significado das cores no output. De uma forma geral e por omissão, as linhas a :
- Verde – significa tráfego TCP
- Azul escuro – Tráfego DNS
- Azul claro – Tráfego UDP
- Preto – Segmentos TCP com problema
E são estas algumas das dicas que podem desde já experimentar no poderoso Wireshark. Se têm problemas na vossa rede, especialmente na rede sem fios lá de casa, partilhem connosco pois podemos tentar ajudar a descobrir e a solucionar o problema. Já agora, o novo wireshark traz várias funcionalidades para avaliar redes e protocolos associados ao wireless (vamos explorar em novos artigos).
Este artigo tem mais de um ano
Loading ...
fantastico artigo, parabens!
Excelente artigo, parabéns.
Muito interessante este tema.
Podia fazer um artigo por cada dica, principalmente esses dois primeiros.
Bom dia,
Uma questao. O wire só monitoriza o trafego que entra e sai da minha placa de rede certo?
Ou monitoriza todo o trafego que anda na rede, como por exemplo quem ta a usar torrent´s na rede, ou o trafego de um pc para outro na rede,sem ser o meu?
Obrigado
Sim monitoriza a placa de rede, mas também apanha tudo que for “broadcasted”.
Protocolos que usem o broadcast, também aparecem no wireshark.
No caso do computador monitorizado ser um router, pode monitorizar comunicações que não são para o próprio (as que tem de passar por ele).
Bom, primeiramente é preciso saber que o Wireshark não é uma ferramenta de monitoramente de rede, é um capturador e analisador de pacote.
Pra responder tua pergunta depende de onde você está executando ele.
Se estiver executando na sua máquina vai capturar somente o tráfego de origem/destino da sua máquina.
Se estiver executando num computador que funcione como gateway da rede, você captura o tráfego de todo mundo.
Porém se o teu swtich permitir monitoramento, você pode configurar ele para espelhar todo o tráfego que passe por ele para a sua máquina. Aí nesse caso, à partir da sua máquina, você pode visualizar o que está acontecento em todos os dispositivos que estão conectados nele.
Nesse caso, é mais recomendável o uso do NETFLOW.
Para ver quem usa torrents tinhas que monitorizar um ponto de acesso físico do todo o tráfego: Switch central por exemplo. No switch podes, se der, configurar port mirror e ligar na porta mirror ao teu PC e com o wireshark vês tudo incluindo tráfego de todos os computadores.
Se estiver “na ponta” não consegues ver esse tráfego obviamente senão seria uma grande vulnerabilidade….
Ok Obrigado pelos esclarecimentos
vcs não deveriam mostrar estas coisas, depois o pessoal começa a utilizar https, e a cifrar os emails.
Wi-Fi públicos <3 adoro.
A internet toda devia ser https.
Boas,
Façam um tutorial para o Fidller4
🙂
Muito bom.
O wireshark é imenso, mas o que gosto mais é poder adicionar as bases de dados da GeoIP e exportar as ligações para captura.kml (Google Earth File)..
Para seguir…
Capturar passwords que sigam pela rede em plain text? Honestamente nunca procurei por elas, mas ainda há sw que as envie em aberto? 😮
Se a aplicação nao encriptar os dados consegues escutar em texto todos os pedidos/envios.
Isso é explicado pela organização do Modelo OSI, se as camadas superiores (AES,MD5…SSL/TLS) nao encriptarem as proximas camadas apenas as transportam.
Como a WIRESHARK trabalha nas camadas 3 e 4 apanha as mensagens, se precisares descodifica-las teras que inserir as chaves nas opções da Wireshark (IPv4/IPv6).
Passei a utilizar o Windows 10 Firewall Control. Não passa nada.
http://www.sphinx-soft.com/Vista/order.html
Excepto o tráfego da Microsoft que a Microsoft não quer que tu vejas. (os relatórios de utilização do windows 10 por ex.)