Wireshark (Português)

From ArchWiki
The printable version is no longer supported and may have rendering errors. Please update your browser bookmarks and please use the default browser print function instead.
Status de tradução: Esse artigo é uma tradução de Wireshark. Data da última tradução: 2019-10-08. Você pode ajudar a sincronizar a tradução, se houver alterações na versão em inglês.

O Wireshark é um analisador de pacotes livre e de código aberto. Ele é usado para solucionar de problemas de rede, análise, desenvolvimento de software e protocolo de comunicação e educação.

Instalação

Instale o pacote wireshark-qt para a GUI do Wireshark ou wireshark-cli para apenas a CLI tshark.

Nota: A interface GTK obsoleta foi removida no Wireshark 3.0.

Privilégios de captura

Não execute Wireshark como root, é inseguro. O Wireshark implementou a separação de privilégios.[1]

O script de instalação do wireshark-cli define as capacidades de captura de pacotes no executável /usr/bin/dumpcap.

/usr/bin/dumpcap só pode ser executado como root e membros do grupo wireshark, de forma que, para usar Wireshark como um usuário normal, você precisa adicionar seu usuário ao grupo de usuários wireshark (Veja Usuários e grupos#Gerenciamento de grupo).

Algumas técnicas de captura

Existem várias maneiras de capturar exatamente o que você está procurando no Wireshark, aplicando filtros de captura ou filtros de exibição.

Nota: Para aprender a sintaxe do filtro de captura, veja o man pcap-filter(7). Para os filtros de exibição, veja o man wireshark-filter(4).

Filtrando pacotes TCP

Se quiser ver todos os pacotes TCP atuais, digite tcp na barra "Filter" ou na CLI, digite:

$ tshark -f "tcp"

Filtrando pacotes UDP

Se quiser ver todos os pacotes UDP atuais, digite udp na barra "Filter" ou na CLI, digite:

$ tshark -f "udp"

Filtrar pacotes para um endereço IP específico

  • Se você quiser ver todo o tráfego indo para um endereço específico, digite o filtro de exibição ip.dst == 1.2.3.4, substituindo 1.2.3.4 pelo endereço IP ao qual o tráfego de saída está sendo enviado.
  • Se você quiser ver todo o tráfego de entrada para um endereço específico, digite o filtro de exibição ip.src == 1.2.3.4, substituindo 1.2.3.4 pelo endereço IP ao qual o tráfego de entrada está sendo enviado.
  • Se você quiser ver todo o tráfego de entrada ou saída para um endereço específico, digite o filtro de exibição ip.addr == 1.2.3.4, substituindo 1.2.3.4 pelo endereço IP relevante.

Excluir pacotes de um endereço IP específico

ip.addr != 1.2.3.4

Filtrar pacotes para LAN

Para ver apenas tráfego de LAN, nenhum tráfego de internet, execute

ip.src==192.168.0.0/16 and ip.dst==192.168.0.0/16

Filtrar pacotes por porta

Veja todo tráfego em duas portas ou mais:

tcp.port==80||tcp.port==3306
tcp.port==80||tcp.port==3306||tcp.port==443