Laboratório: Captura de pacotes com Wireshark

O Wireshark é um programa que permite capturar e analisar o tráfego de rede.

Em uma rede local, com os computadores conectados através de hubs ou switches, o wireshark permite capturar todo o tráfego circulando.

Outro programa similar so wireshark é o tcpdump, o qual é utilizado diretamente em uma janela de textos e é útil para verificar o tráfego de rede em roteadores e outros dispositivos remotos.

Instalação e execução

Somente o administrador (usuário root) pode instalar e executar o aplicativo Wireshark.

Instalação:

sudo apt-get install wireshark

Execução:

sudo wireshark&

Tela do Wiresark:

Captura de pacotes com Wireshark

Captura de pacotes em modo promíscuo

A captura de pacotes em modo promíscuo, captura qualquer pacote circulando na rede local. Para tal, selecione a inteface na qual o wireshark deve realizar a captura:

• Selecione a guia Capture/Interfaces;
• Selecione a interface de rede apropriada.

Verifique a quantidade e o tipo dos pacotes sendo capturados. Procure identificar pacotes de protocolos conhecidos.

Para facilitar a análise dos pacotes, é importante utilizar filtros para protocolos específicos.

Captura de pacotes ICMP

Para facilitar a captura e visualização dos pacotes ICMP ajustar o filtro de pacotes:

• Selecione a guia Capture/Options;
• Selecione o filtro TCP only;
• Deixe o Wireshark capturar alguns pacotes e interrompa a captura;
• Análise pacotes capturados:
  • Identifique o encapsulamento dos pacotes de cada camada de protocolo da arquitetura Internet;
  • Identifique as características dos pacotes de cada camada.

--Evandro.cantu (discussão) 11h17min de 1 de setembro de 2014 (BRT)