Laboratório: Captura de pacotes com Wireshark

O Wireshark é um programa que permite capturar e analisar o tráfego de rede.

Em uma rede local, com os computadores conectados através de hubs ou switches, o wireshark permite capturar todo o tráfego circulando.

Outro programa similar so wireshark é o tcpdump, o qual é utilizado diretamente em uma janela de textos e é útil para verificar o tráfego de rede em roteadores e outros dispositivos remotos.

Instalação

Somente o administrador (usuário root) pode instalar o Wireshark.

Para instalar, digite o comando:

sudo apt-get install wireshark

Captura de pacotes com Wireshark

Execução do Wireshark

Somente o administrador (usuário root) pode executar o Wireshark.

Para executar, digite o comando:

sudo wireshark&

Tela do Wiresark:

Captura de pacotes em modo promíscuo

A captura de pacotes em modo promíscuo, captura qualquer pacote circulando na rede local. Para tal, selecione a inteface na qual o wireshark deve realizar a captura:

• Selecione a guia Capture/Interfaces;
• Selecione a interface de rede apropriada.

Verifique a quantidade e o tipo dos pacotes sendo capturados. Procure identificar pacotes de protocolos conhecidos.

Para facilitar a análise dos pacotes, é importante utilizar filtros para protocolos específicos.

Captura de pacotes ICMP

Para facilitar a captura e visualização dos pacotes ICMP ajustar o filtro de pacotes:

• Selecione a guia Capture/Options e selecione o filtro ip ony;
• Edite o campo Filter e inclua ip and icmp;
• Inicie a captura de pacotes o Wireshark capturar pacotes;

Pacotes ICMP echo request e echo reply

Pacotes que implementam o ping.

• Execute um ping com uma máquina de um colega do laboratório;
• Análise pacotes capturados e identifique os pacotes echo request e echo reply.

--Evandro.cantu (discussão) 11h17min de 1 de setembro de 2014 (BRT)