Como capturar o tráfego HTTP no Wireshark

O Wireshark permite que você analise o tráfego dentro de sua rede com várias ferramentas. Se você quiser ver o que está acontecendo dentro de sua rede ou tiver problemas com tráfego de rede ou carregamento de página, você pode usar o Wireshark. Ele permite capturar o tráfego, para que você possa entender qual é o problema ou enviá-lo ao suporte para obter mais assistência. Continue lendo este artigo e você aprenderá como capturar o tráfego http no Wireshark.

Instalando o Wireshark

A instalação do Wireshark é um processo fácil. É uma ferramenta gratuita em diferentes plataformas, e aqui está como você pode baixá-la e instalá-la:

Usuários de Windows e Mac

1. Abra seu navegador.
2. Visite https://www.wireshark.org/download.html .
3. Selecione a versão para o seu dispositivo.
   
4. O Wireshark será baixado para o seu dispositivo.
5. Instale-o seguindo as instruções do pacote.
   

Usuários do Linux

Se você é um usuário do Linux, pode encontrar o Wireshark no Ubuntu Software Center. Baixe-o de lá e instale-o de acordo com as instruções do pacote.

Capturando tráfego HTTP no Wireshark

Agora que você instalou o Wireshark em seu computador, podemos passar para a captura do tráfego http. Aqui estão os passos para fazê-lo:

1. Abra seu navegador – Você pode usar qualquer navegador.
2. Limpar cache – Antes de capturar o tráfego, você precisa limpar o cache do seu navegador. Você pode fazer isso se acessar as configurações do seu navegador.
   
3. Abra o Wireshark.
   
4. Toque em "Capturar".
   
5. Toque em "Interfaces". Agora você verá uma janela pop-up na tela.
6. Escolha a interface. Você provavelmente deseja analisar o tráfego que passa pelo seu driver ethernet.
   
7. Depois de selecionar a interface, toque em “Iniciar” ou toque em “Ctrl + E”.
   
8. Agora volte para o seu navegador e visite o URL do qual deseja capturar o tráfego.
   
9. Quando terminar, pare de capturar o tráfego. Volte para o Wireshark e toque em “Ctrl + E”.
   
10. Salve o tráfego capturado. Se você tiver problemas de rede e quiser enviar o tráfego capturado para o suporte, salve-o em um arquivo de formato *.pcap.
    

Capturando pacotes no Wireshark

Além de capturar o tráfego http, você pode capturar quaisquer dados de rede necessários no Wireshark. Aqui está como você pode fazer isso:

1. Abra o Wireshark.
   
2. Você verá uma lista de conexões de rede disponíveis que você pode examinar. Selecione aquela em que está interessado. Se desejar, você pode analisar várias conexões de rede ao mesmo tempo pressionando "Shift + clique com o botão esquerdo".
   
3. Agora você pode começar a capturar pacotes. Você pode fazer isso de várias maneiras: A primeira é tocando no ícone de barbatana de tubarão no canto superior esquerdo. O segundo é tocar em “Capturar” e depois em “Iniciar”. A terceira maneira de iniciar a captura é pressionando “Ctrl + E”.
   

Durante a captura, o Wireshark exibirá todos os pacotes capturados em tempo real. Assim que terminar de capturar os pacotes, você pode usar os mesmos botões/atalhos para interromper a captura.

Filtros Wireshark

Uma das razões pelas quais o Wireshark é um dos analisadores de protocolo mais famosos atualmente é sua capacidade de aplicar vários filtros aos pacotes capturados. Os filtros Wireshark podem ser divididos em filtros de captura e exibição.

Filtros de Captura

Esses filtros são aplicados antes da captura dos dados. Se o Wireshark capturar dados que não correspondam aos filtros, ele não os salvará e você não os verá. Portanto, se você sabe o que está procurando, pode usar filtros de captura para restringir sua pesquisa.

Aqui estão alguns dos filtros de captura mais usados ​​que você pode usar:

• host 192.168.1.2 – Captura todo o tráfego associado a 192.168.1.2.
• porta 443 – Captura todo o tráfego associado à porta 443.
• port not 53 – Captura todo o tráfego, exceto aquele associado à porta 53.

Filtros de Exibição

Dependendo do que você está analisando, seus pacotes capturados podem ser muito difíceis de passar. Se você sabe o que está procurando ou se deseja restringir sua pesquisa e excluir os dados desnecessários, pode usar os filtros de exibição.

Aqui estão alguns dos filtros de exibição que você pode usar:

• http – Se você capturou vários pacotes diferentes, mas deseja ver apenas o tráfego baseado em http, pode aplicar este filtro de exibição e o Wireshark mostrará apenas esses pacotes.
• http.response.code == 404 – Se você está tendo problemas para carregar certas páginas da web, este filtro pode ser útil. Se você aplicá-lo, o Wireshark mostrará apenas os pacotes onde “404: Página não encontrada” foi uma resposta.

É importante observar a diferença entre os filtros de captura e exibição. Como você viu, você aplica os filtros de captura antes e exibe os filtros após a captura dos pacotes. Com os filtros de captura, você descarta todos os pacotes que não se encaixam nos filtros. Com os filtros de exibição, você não descarta nenhum pacote. Você apenas os esconde da lista no Wireshark.

Recursos adicionais do Wireshark

Embora capturar e filtrar pacotes seja o que torna o Wireshark famoso, ele também oferece diferentes opções que podem facilitar sua filtragem e solução de problemas, especialmente se você for novo nisso.

Opção de Colorização

Você pode colorir pacotes na Lista de Pacotes de acordo com diferentes filtros de exibição. Isso permite que você enfatize os pacotes que deseja analisar.

Existem dois tipos de regras de coloração: temporárias e permanentes. As regras temporárias são aplicadas somente até você fechar o programa e as regras permanentes são salvas até que você as altere novamente.

Você pode baixar exemplos de regras de coloração aqui ou pode criar as suas próprias.

Modo promíscuo

O Wireshark captura o tráfego vindo de ou para o dispositivo onde está sendo executado. Ao habilitar o modo promíscuo, você pode capturar a maior parte do tráfego em sua LAN.

Linha de comando

Se você estiver executando seu sistema sem uma GUI (interface gráfica do usuário), você pode usar a interface de linha de comando do Wireshark. Você pode capturar pacotes e revisá-los em uma GUI.

Estatisticas

O Wireshark oferece um menu “Estatísticas” que você pode usar para analisar os pacotes capturados. Por exemplo, você pode visualizar as propriedades do arquivo, analisar o tráfego entre dois endereços IP, etc.

perguntas frequentes

Como faço para ler os dados capturados no WireShark?

Assim que terminar de capturar os pacotes, o Wireshark mostrará todos eles em um painel de lista de pacotes. Se você quiser se concentrar em uma captura específica, clique duas vezes nela e poderá ler mais informações sobre ela.

Você pode decidir abrir uma captura específica em uma janela separada para facilitar a análise:

1. Escolha o pacote que deseja ler.

2. Clique com o botão direito nele.

3. Toque em “Visualizar”.

4. Toque em “Mostrar pacote em nova janela”.

Aqui estão alguns detalhes do painel da lista de pacotes que o ajudarão com as capturas de leitura:

1. No. – O número de um pacote capturado.

2. Hora – Isso mostra quando o pacote foi capturado em relação a quando você começou a capturar. Você pode personalizar e ajustar o valor no menu “Configurações”.

3. Origem – É a origem de um pacote capturado na forma de um endereço.

4. Destination – O endereço de destino de um pacote capturado.

5. Protocolo – O tipo de pacote capturado.

6. Comprimento – Isso mostra o comprimento de um pacote capturado. Isso é expresso em bytes.

7. Info – Informações adicionais sobre um pacote capturado. O tipo de informação que você vê aqui depende do tipo de pacote capturado.

Todas as colunas acima podem ser reduzidas com o uso de filtros de exibição. Dependendo do seu interesse, você pode interpretar as capturas do Wireshark de maneira mais fácil e rápida aplicando diferentes filtros.

Em um mundo de peixes, seja um Wireshark

Agora você aprendeu como capturar tráfego http no Wireshark, juntamente com informações úteis sobre o programa. Se você deseja inspecionar sua rede, solucionar problemas ou garantir que tudo esteja em ordem, o Wireshark é a ferramenta certa para você. É fácil de usar e interpretar, e é gratuito.

Você já usou o Wireshark antes? Diga nos na seção de comentários abaixo.