Como capturar pacotes no WireShark

O Wireshark é uma ferramenta de análise de rede inestimável que traduz os dados que viajam por suas redes em um formato legível. Você pode identificar problemas de rede ou segurança, depurar implementações de protocolo ou simplesmente monitorar o tráfego capturando pacotes com o Wireshark.

Veja mais de perto o que está acontecendo em sua rede capturando as informações exatas de que você precisa. Veja como capturar diferentes tipos de pacotes no Wireshark.

Como capturar pacotes

Iniciar o processo de captura no Wireshark leva apenas alguns cliques. Tudo o que você precisa fazer é iniciar o modo de captura e os dados começarão a chegar sem filtro. Embora esse modo não filtrado seja ótimo quando você precisa de um relatório completo do que está acontecendo, a quantidade de dados capturados dessa forma pode ser esmagadora. Para torná-lo mais gerenciável, você pode usar filtros e capturar apenas um tipo específico de dados. Você encontrará as etapas para fazer isso mais abaixo.

Por enquanto, vamos ver como começar a capturar todos os pacotes no Wireshark:

1. Certifique-se de ter a versão mais recente do Wireshark instalada. Você pode obter o programa gratuitamente no site oficial do Wireshark .
   
   
2. Lance o programa. Você será saudado pela tela de boas-vindas, com a lista de suas redes detectadas.
   
3. Comece a capturar pacotes de uma das seguintes maneiras:
   • Clique duas vezes na rede de sua escolha na lista.
     
   • Selecione uma ou mais interfaces de rede e clique no ícone de barbatana de tubarão na barra de ferramentas ou em “Capturar” e depois em “Iniciar” na barra de menus.
     
     

Observação: você pode ajustar as opções de captura - como o modo promíscuo - antes de começar clicando em "Capturar" e depois em "Opções" também.

Assim que você clicar na interface de rede ou no botão iniciar, você será levado para a tela de captura. Você verá o Wireshark capturando pacotes de dados em tempo real. Quando estiver satisfeito com a quantidade de dados coletados, você pode interromper a captura clicando no botão vermelho de parada na barra de ferramentas superior. Comece a analisar os dados imediatamente ou salve-os para mais tarde clicando em “Arquivo” e depois em “Salvar como…” na barra de menu.

Como capturar pacotes UDP

Seguir as etapas acima solicitará que o programa capture todos os pacotes. Embora diferentes tipos de tráfego sejam facilmente distinguíveis no Wireshark graças ao código de cores, você ainda precisará filtrar muitos dados. Se você está procurando apenas informações sobre determinados pacotes, pode usar filtros para facilitar seu trabalho.

O Wireshark suporta filtros de captura e exibição. Usar um filtro de captura significa que o programa captura apenas os pacotes que você definir. Os filtros de exibição apenas filtram os pacotes já capturados. Os dois filtros funcionam de maneira diferente e usam comandos diferentes, portanto, você precisará decidir qual deles atende melhor às suas necessidades.

Se você deseja capturar apenas o tráfego UDP, use um filtro de captura antes de iniciar o processo de captura.

1. Inicie o Wireshark.
   
2. Procure a barra Filtro de captura na tela de boas-vindas. É aquele diretamente acima da sua lista de redes.
   
3. Digite “udp” na barra Filtro de captura e pressione Enter para iniciar a captura do tráfego UDP. Você também pode adicionar uma porta específica após “udp” se desejar especificar seu filtro ainda mais.
   

Dica: Outra maneira de ajustar seus filtros de captura é clicar em “Capturar” e depois em “Opções” no menu. A barra de filtro estará na parte inferior da interface de captura.

Wireshark Como capturar pacotes DHCP

Para capturar pacotes DHCP exclusivamente, você precisará inserir o número da porta correspondente no filtro de captura. Use o filtro de captura “porta 67” ou “porta 68” ou a combinação dos dois “porta 67 ou porta 68” para capturar pacotes DHCP.

Da mesma forma, um filtro de exibição pode filtrar pacotes DHCP em sua tela de captura. No entanto, lembre-se de que os filtros de exibição usam uma sintaxe diferente dos filtros de captura. Você terá que inserir “udp.port == 68” na barra de filtro de exibição.

Como capturar pacotes de ping

A melhor maneira de capturar pacotes de ping (também conhecido como tráfego de eco do protocolo de mensagem de controle da Internet (ICMP)) no Wireshark é usando um filtro de exibição no modo de captura. Aqui está o processo.

1. Abra o Wireshark e inicie o processo de captura conforme descrito acima.
   
2. Abra seu prompt de comando e faça ping no endereço de sua escolha.
   
3. Volte para o Wireshark e pare o processo de captura.
   
4. Crie um filtro para pacotes de ping digitando “icmp” na barra de filtro de exibição e pressione Enter.
   

Você verá as solicitações e as respostas ao ping na lista de pacotes.

Wireshark Como capturar pacotes de um endereço IP específico

Se você deseja focar sua captura em um endereço IP específico, insira o seguinte filtro de captura antes de iniciar sua captura: “host [o endereço IP que você deseja gravar]”. Por exemplo, capturar pacotes relacionados ao endereço IP 111.11.1.1 exigiria o filtro “host 111.11.1.1” na barra de filtros de captura.

Você também pode definir se deseja capturar o tráfego de ou para um endereço IP específico adicionando “src” para origem ou “dst” para destino no início, em vez de “host:”

• digite “src 111.11.1.1” para pacotes provenientes do endereço IP em questão
• digite “dst 111.11.1.1” para pacotes enviados para o endereço IP em questão

Naturalmente, você pode combinar esses filtros para especificar o tráfego que deseja capturar ainda mais. Conecte os dois filtros com “e” para obter os pacotes que trafegam entre os dois endereços IP que você definir. Por exemplo, “src 111.11.1.1 and dst 222.22.2.2” irá capturar apenas os pacotes enviados de 111.11.1.1 a 222.22.2.2.

Use filtros de exibição para filtrar pacotes relacionados a um endereço IP específico em um conjunto de dados já capturado. Para o endereço IP mencionado acima, digite “ip.addr == 111.11.1.1” na barra de filtro de exibição e assim por diante.

perguntas frequentes

Como faço para capturar pacotes do roteador no Wireshark?

Você só pode capturar pacotes do roteador com o Wireshark se tiver um roteador que suporte espelhamento de porta. Primeiro, você precisará espelhar o tráfego em uma porta LAN. O processo pode ser diferente dependendo do seu dispositivo.

1. Vá para LAN e, em seguida, LAN Port Mirror.

2. Ative o espelhamento de porta.

3. Configure os pontos de origem e destino.

Se você puder espelhar seu tráfego dessa maneira, poderá capturar os pacotes do roteador normalmente no modo de captura do Wireshark.

Por que não consigo capturar pacotes no Wireshark?

Se o seu Wireshark não estiver capturando nenhum pacote, verifique as seguintes possibilidades para solucionar o problema:

• Certifique-se de não ter ativado nenhum filtro de captura muito específico.

• Procure atualizações do Wireshark no menu Ajuda.

• Verifique se um firewall não está bloqueando seu aplicativo Wireshark.

Se nenhum dos fatores acima se aplicar a você, o problema provavelmente está no seu hardware.

Tem que capturar tudo

Capturar pacotes com o Wireshark leva apenas alguns cliques. Provavelmente será a parte mais fácil de sua tarefa de solução de problemas. Capture todo o tráfego e filtre pacotes posteriormente ou use filtros de captura para registrar apenas um tipo de dados específico.

Você conseguiu capturar os pacotes que queria usando essas dicas? Quais filtros de captura do Wireshark você acha mais úteis? Deixe-nos saber na seção de comentários abaixo.