Wireshark

De Wiki Cursos IFPR Foz
Ir para navegaçãoIr para pesquisar

Captura de pacotes com Wireshark

O Wireshark é um programa que permite capturar e analisar o tráfego de rede.

Em uma rede local, com os computadores conectados através de hubs o wireshark permite capturar todo o tráfego circulando, já que o hub se comporta como um barramento. Com o uso de switches o tráfego da rede local é segmentado entre as duas entidades que estão se comunicando, não sendo possível capturar o tráfego de terceiros.

Outro programa similar ao wireshark é o tcpdump, o qual é utilizado diretamente em uma janela de textos e é útil para verificar o tráfego de rede em roteadores e outros dispositivos remotos.

Instalação
Somente o administrador (usuário root) pode instalar o Wireshark.
Para instalar, digite o comando:
sudo apt-get install wireshark
Execução do Wireshark
Somente o administrador (usuário root) pode executar o Wireshark.
Como habilitar o wireshark para utilização por um usuário normal
[1]

Crie um grupo com o nome wireshark e inclua o seu usuário: 

groupadd wireshark
usermod -a -G wireshark user

Atribua o dumpcap ao grupo wireshark de forma que somente usuários deste grupo possam executá-lo: 

chgrp wireshark /usr/bin/dumpcap
chmod 750 /usr/bin/dumpcap

Setar as permissões para o setcap funcionar: 

setcap cap_net_raw,cap_net_admin=eip /usr/bin/dumpcap
Verifique se a mudança ocorreu:
getcap /usr/bin/dumpcap
A resposta deve ser:
/usr/bin/dumpcap = cap_net_admin,cap_net_raw+eip

Após isto o usuário poderá executar o wireshark!

Tela do Wiresark

Captura de pacotes em modo promíscuo

A captura de pacotes em modo promíscuo, captura qualquer pacote circulando na rede local. Para tal, selecione a inteface na qual o wireshark deve realizar a captura:

  • Selecione a guia Capture/Interfaces;
  • Selecione a interface de rede apropriada.

Verifique a quantidade e o tipo dos pacotes sendo capturados. Procure identificar pacotes de protocolos conhecidos.

Para facilitar a análise dos pacotes, é importante utilizar filtros para protocolos específicos.


--Evandro.cantu (discussão) 11h17min de 1 de setembro de 2014 (BRT)

  1. https://www.vivaolinux.com.br/dica/Sniffing-com-Wireshark-como-um-usuario-comum
Disponível em “http://wiki.foz.ifpr.edu.br/wiki/index.php?title=Wireshark&oldid=15012