Wireshark (Português)
O Wireshark é um analisador de pacotes livre e de código aberto. Ele é usado para solucionar de problemas de rede, análise, desenvolvimento de software e protocolo de comunicação e educação.
Contents
Instalação
Instale o pacote wireshark-qt para a GUI do Wireshark ou wireshark-cli para apenas a CLI tshark.
Para a interface GTK+ obsoleta, instale o pacote wireshark-gtk. Note que esse pacote será removido no futuro (Wireshark 3.0).
Capturando como um usuário normal
Não execute Wireshark como root, é inseguro. O Wireshark implementou a separação de privilégios.[1]
O script de instalação do wireshark-cli define as capacidades de captura de pacotes no executável /usr/bin/dumpcap.
/usr/bin/dumpcap só pode ser executado como root e membros do grupo wireshark.
Então, para usar Wireshark como um usuário normal, você só precisa adicionar seu usuário ao grupo wireshark:
# gpasswd -a nome-de-usuário wireshark
Faça login novamente para aplicar a alteração.
Algumas técnicas de captura
Existem várias maneiras de capturar exatamente o que você está procurando no Wireshark, aplicando filtros de captura ou filtros de exibição.
Filtrando pacotes TCP
Se quiser ver todos os pacotes TCP atuais, digite tcp na barra "Filter" ou na CLI, digite:
$ tshark -f "tcp"
Filtrando pacotes UDP
Se quiser ver todos os pacotes UDP atuais, digite udp na barra "Filter" ou na CLI, digite:
$ tshark -f "udp"
Filtrar pacotes para um endereço IP específico
- Se você quiser ver todo o tráfego indo para um endereço específico, digite o filtro de exibição
ip.dst == 1.2.3.4, substituindo1.2.3.4pelo endereço IP ao qual o tráfego de saída está sendo enviado.
- Se você quiser ver todo o tráfego de entrada para um endereço específico, digite o filtro de exibição
ip.src == 1.2.3.4, substituindo1.2.3.4pelo endereço IP ao qual o tráfego de entrada está sendo enviado.
- Se você quiser ver todo o tráfego de entrada ou saída para um endereço específico, digite o filtro de exibição
ip.addr == 1.2.3.4, substituindo1.2.3.4pelo endereço IP relevante.