Wireshark (Português)

From ArchWiki
Jump to: navigation, search

O Wireshark é um analisador de pacotes livre e de código aberto. Ele é usado para solucionar de problemas de rede, análise, desenvolvimento de software e protocolo de comunicação e educação.

Instalação

Instale o pacote wireshark-qt para a GUI do Wireshark ou wireshark-cli para apenas a CLI tshark.

Para a interface GTK+ obsoleta, instale o pacote wireshark-gtk. Note que esse pacote será removido no futuro (Wireshark 3.0).

Capturando como um usuário normal

Não execute Wireshark como root, é inseguro. O Wireshark implementou a separação de privilégios.[1]

O script de instalação do wireshark-cli define as capacidades de captura de pacotes no executável /usr/bin/dumpcap.

/usr/bin/dumpcap só pode ser executado como root e membros do grupo wireshark.

Então, para usar Wireshark como um usuário normal, você só precisa adicionar seu usuário ao grupo wireshark:

sudo gpasswd -a $USER wireshark

Faça login novamente para aplicar a alteração e usar newgrp wireshark para abrir um shell com o novo grupo e iniciar o Wireshark ali.

Algumas técnicas de captura

Existem várias maneiras de capturar exatamente o que você está procurando no Wireshark, aplicando filtros de captura ou filtros de exibição.

Nota: Para aprender a sintaxe do filtro de captura, veja o man pcap-filter(7). Para os filtros de exibição, veja o man wireshark-filter(4).

Filtrando pacotes TCP

Se quiser ver todos os pacotes TCP atuais, digite tcp na barra "Filter" ou na CLI, digite:

$ tshark -f "tcp"

Filtrando pacotes UDP

Se quiser ver todos os pacotes UDP atuais, digite udp na barra "Filter" ou na CLI, digite:

$ tshark -f "udp"

Filtrar pacotes para um endereço IP específico

  • Se você quiser ver todo o tráfego indo para um endereço específico, digite o filtro de exibição ip.dst == 1.2.3.4, substituindo 1.2.3.4 pelo endereço IP ao qual o tráfego de saída está sendo enviado.
  • Se você quiser ver todo o tráfego de entrada para um endereço específico, digite o filtro de exibição ip.src == 1.2.3.4, substituindo 1.2.3.4 pelo endereço IP ao qual o tráfego de entrada está sendo enviado.
  • Se você quiser ver todo o tráfego de entrada ou saída para um endereço específico, digite o filtro de exibição ip.addr == 1.2.3.4, substituindo 1.2.3.4 pelo endereço IP relevante.