Wireshark (Português)

From ArchWiki
Status de tradução: Esse artigo é uma tradução de Wireshark. Data da última tradução: 2019-10-08. Você pode ajudar a sincronizar a tradução, se houver alterações na versão em inglês.

O Wireshark é um analisador de pacotes livre e de código aberto. Ele é usado para solucionar de problemas de rede, análise, desenvolvimento de software e protocolo de comunicação e educação.

Instalação

Instale o pacote wireshark-qt para a GUI do Wireshark ou wireshark-cli para apenas a CLI tshark.

Nota: A interface GTK obsoleta foi removida no Wireshark 3.0.

Privilégios de captura

Não execute Wireshark como root, é inseguro. O Wireshark implementou a separação de privilégios.[1]

O script de instalação do wireshark-cli define as capacidades de captura de pacotes no executável /usr/bin/dumpcap.

/usr/bin/dumpcap só pode ser executado como root e membros do grupo wireshark, de forma que, para usar Wireshark como um usuário normal, você precisa adicionar seu usuário ao grupo de usuários wireshark (Veja Usuários e grupos#Gerenciamento de grupo).

Algumas técnicas de captura

Existem várias maneiras de capturar exatamente o que você está procurando no Wireshark, aplicando filtros de captura ou filtros de exibição.

Nota: Para aprender a sintaxe do filtro de captura, veja o man pcap-filter(7). Para os filtros de exibição, veja o man wireshark-filter(4).

Filtrando pacotes TCP

Se quiser ver todos os pacotes TCP atuais, digite tcp na barra "Filter" ou na CLI, digite: 

$ tshark -f "tcp"

Filtrando pacotes UDP

Se quiser ver todos os pacotes UDP atuais, digite udp na barra "Filter" ou na CLI, digite: 

$ tshark -f "udp"

Filtrar pacotes para um endereço IP específico

  • Se você quiser ver todo o tráfego indo para um endereço específico, digite o filtro de exibição ip.dst == 1.2.3.4, substituindo 1.2.3.4 pelo endereço IP ao qual o tráfego de saída está sendo enviado.
  • Se você quiser ver todo o tráfego de entrada para um endereço específico, digite o filtro de exibição ip.src == 1.2.3.4, substituindo 1.2.3.4 pelo endereço IP ao qual o tráfego de entrada está sendo enviado.
  • Se você quiser ver todo o tráfego de entrada ou saída para um endereço específico, digite o filtro de exibição ip.addr == 1.2.3.4, substituindo 1.2.3.4 pelo endereço IP relevante.

Excluir pacotes de um endereço IP específico 

ip.addr != 1.2.3.4

Filtrar pacotes para LAN

Para ver apenas tráfego de LAN, nenhum tráfego de internet, execute 

ip.src==192.168.0.0/16 and ip.dst==192.168.0.0/16

Filtrar pacotes por porta

Veja todo tráfego em duas portas ou mais: 

tcp.port==80||tcp.port==3306
tcp.port==80||tcp.port==3306||tcp.port==443