O Wireshark não é propriamente uma ferramenta desconhecida dos leitores do Pplware. Em 2014 apresentamos um conjunto de tutoriais que recordamos hoje. Para quem não conhece, o Wireshark é uma ferramenta de análise protocolar, que permite a captação, em tempo real, de pacotes de dados, e apresenta essa informação num formato legível para os utilizadores.
Mas afinal o que podemos fazer com o Wireshark?
Para que é que eu preciso de um sniffer?
Este tipo de ferramentas servem para muita coisa! Com o Wireshark pode analisar o tráfego que passa na rede, sendo possível aplicar vários tipos filtros, por exemplo, por protocolo. Para começar a usar o Wireshark basta escolher a interface da nossa máquina (a placa que está atualmente ligada à rede), para que a ferramenta comece a capturar o tráfego.
Depois de selecionada a placa, começamos de imediato a visualizar o tráfego que passam na rede. Saibam mais aqui.
Esquema de cores nas linhas
Quando um utilizador vê pela primeira vez o funcionamento do Wireshark, questionar-se-á qual o significado das cores no output. De uma forma geral e por omissão, as linhas:
- Verde – significa tráfego TCP
- Azul escuro – Tráfego DNS
- Azul claro – Tráfego UDP
- Preto – Segmentos TCP com problema
Protocol Hierarchy
Quer saber quais os protocolos mais usados na rede? O Wireshark disponibiliza a funcionalidade Protocol Hierarchy que permite obter uma lista de protocolos e respetiva percentagem de utilização. Esta opção está disponível em Statistics > Protocolo Hierarchy.
Filtros
Tal como nome sugere, os filtros permitem selecionar, de um conjunto de informação, aquilo que pretendemos. Podemos filtrar por protocolo, por endereço de rede, por porta, por endereço MAC, etc, etc. Podem ver aqui alguns exemplos.
Three Way Handshake
Querem ver o processo de Three-way Handshake, responsável pelo estabelecimento de ligações TCP? Com o Wireshark é possível. Para quem desconhece, no estabelecimento de ligação TCP entre emissor e recetor existe um “pré-acordo” denominado de Three Way Handshake (SYN, SYN-ACK, ACK).
- A sessão entre um cliente e um servidor é sempre iniciada pelo cliente, que envia um pedido de ligação pacote com a flag SYN ativada.
- O cliente envia também um numero sequencial aleatório
- O servidor responde com um pacote SYN,ACK com o seu próprio numero sequencial aleatório e um numero de confirmação (igual ao numero sequencial do cliente +1)
- Para finalizar o cliente responde com um pacote ACK com o numero de confirmação (igual ao número de sequência do servidor +1)
Saibam aqui quais os filtros que podem usar.
Por hoje resta-nos esperar pelo vosso feedback e sugestões para próximos tutoriais. O Wireshark é uma ferramenta extremamente poderosa e são várias as funcionalidades que oferece aos utilizadores. Experimentem!