Introduo ao Analisador de Protocolos Wireshark

1. Instalao
A instalao da GUI (Graphics User Interface) do wireshark no Ubuntu realizada atra s do se!uinte co"ando# sudo apt$!et install wireshark A instalao da %&I (co""and$line interface) do wireshark' feita atra s do co"ando abai(o# sudo apt$!et install tshark

1.1 )(ecutando o wireshark

*o ter"inal di!ite# sudo wireshark

+. GUI (Graphics User Interface)

, interface !r-fica do wireshark di idida e" . partes# 1) /enu de co"andos e barra de ferra"entas# , "enu de co"andos localizado no topo da 0anela' os 1cones dispostos na barra so as a2es "ais utilizadas' entre elas# escolher interface' op2es de captura' iniciar u"a captura' parar e reiniciar captura' abrir u" ar3ui o sal o' sal ar captura atual' i"presso e busca.

/enu File# a2es b-sicas de abrir u" ar3ui o de captura' sal ar' e(portar para os for"atos

suportados pelo wireshark. /enu Edit# "arcao de pacotes' a ano' busca' e altera2es na confi!urao do wireshark. /enu View# painis e "enus 3ue pode" ser isualizados e ocultados' confi!urao do te"po relati o' a adio de colunas no painel de pacotes capturados e definir as cores por protocolos capturados. /enu Analyze# 4iltros' e protocolos 3ue pode" ser utilizados tanto na captura 3uando na isualizao. /enu Capture# &ista as interface dispon1 eis para captura' op2es de captura' iniciar' parar' reiniciar e filtros de captura. /enu Statistics# )stat1sticas por protocolo' pacotes capturados' "dias' filtro por ta"anho do pacote' !r-ficos' contadores de pacotes' !r-ficos de flu(o' etc. /enu Telephony# oltado para os protocolos utilizados e" oz sobre ip' estat1sticas' strea"s' contadores' e 3ualidade da cha"ada. /enu Tools# ferra"entas para criar re!ras de filtro de pacotes ( pf' iptables' pf' ipfw' etc..) /enu Internals# protocolos e todos os filtros suportados pelo wireshark. /enu Help# a0uda online' e(e"plos de capturas' e erso da ferra"enta. +) 4iltros#

A aba filtro respons- el por receber os filtros dispon1 eis para o wireshark. )(iste" di ersos filtros e estes pode" ser conhecidos no site oficial do wireshark ordenados por protocolos. *esta aba inserido os filtros e estes aplicados no painel de pacotes isualizados. 5ispla6 4ilter 7eference# http#88www.wireshark.or!8docs8dfref8 )(e"plos# http#88wiki.wireshark.or!85ispla64ilters 9) :ainel pacotes capturados#

*este painel apresentado u" resu"o e" u"a linha para cada pacote capturado. As colunas cont" o n;"ero do pacote' te"po relati o' ori!e" e destino do pacote' protocolo

do pacote' ta"anho e infor"a2es !erais do pacote. personalizadas. <) :ainel detalhes do pacote#

)stas colunas pode" ser

/ostra os detalhes dos pacotes selecionados no painel pacotes capturados de for"a hier-r3uica. A 3uantidade de infor"a2es e(ibidas relacionada co" o protocolo selecionado. %aso se0a u" pacote =%: ou U5: detalhes destes so apresentados.

.) :ainel iso e" b6tes do pacote

/ostra o fra"e inteiro capturado nos for"atos A>%II ou he(adeci"al.

9. %apturando
/enu Capture ' cli3ue e" Interfaces. (%=7&?I)

>elecione a(s) interface(s) 3ue dese0a capturar. )" Options (%=7&?@) al!u"as op2es co"o' "odo pro"1scuo' resol er no"es' sal ar e" ";ltiplos ar3ui os.

ApAs as confi!ura2es' cli3ue e" Start (%=7&?)) para iniciar a captura. %aso e(ista al!u" pacote che!ando ou saindo pela interface selecionada' estes so ilustrados no painel de pacotes capturados.

<. >al ando' I"portando' )(portando

:ara sal ar u"a captura realizada necess-rio interro"per a captura' clicando no 1cone na barra de ferra"entas ou no "enu Capture e" Stop (%=7&?)) . 5ica# %aso o ar3ui o contenha u" per1odo de an-lise "uito !rande' pode ser i- el "arcar a opo de co"presso do ar3ui o' na 0anela sal ar (%o"press with !zip). :ara abrir u" ar3ui o sal o' basta clicar no "enu File' e" Open e apontar para o ar3ui o sal o. A e(portao pode ser realizada para os for"atos# te(to plano' %>B' :ost>cript' C/& e Arra6 %. A opo e(portar pode ser realizada para todos os pacotes capturados' so"ente os selecionados' ou ento para u" deter"inado inter alo de pacotes.

.. 4iltros
*o site do wireshark ( http#88www.wireshark.or!8docs8dfref8 ) e(iste a docu"entao online de todos os filtros suportados na ferra"enta. %o" a adio de no os protocolos' no os filtros so inseridos. >e!ue a relao de al!uns operadores lA!icos 3ue pode" ser utilizados 0unto aos filtros conhecidos# ,peradores
eq ne gt lt ge le == != > < >= <= Igual Diferente Maior Menor Maior ou Igual Menor ou Igual

&A!icos
and or xor not ! && || Lgico AND Lgico OR Logico !OR Logico NO"

)(e"plos# eth.dst e3 ff#ff#ff#ff#ff#ff eth.src DD ff#ff#ff#ff#ff#ff

ip.addr DD 1E+.1FG.1.1H ip.dst DD +HH.1EE.++E.FF http.host DD Iwww.uol.co".brI http.host e3 Iwww.uol.co".brI tcp.port DD GH and ip.src DD 1E+.1FG.1.1 tcp.port e3 GH JJ ip.src e3 1E+.1FG.1.1 not ip or ip.dst ne 1E+.1FG.1.1 Kip LL ip.dst KD 1E+.1FG.1.1

4onte# http#88www.wireshark.or!8docs8"an$pa!es8wireshark$filter.ht"l

Adicionando colunas %licar no "enu Edit Preferences (shift?ctrl?:). %li3ue e" Columns

1) :ortas de ori!e" e destino no resol idas para o no"e do ser io# Adicionar u"a no a coluna e escolher a opo src port !unresol"ed#. Adicionar u"a no a coluna e escolher a opo dst port !unresol"ed#. +) Adicionar a so"a acu"ulati a dos pacotes filtrados. Adicionar u"a no a coluna e escolher a opo Cumulati"e $ytes 9) Adicionar a diferena entre a "arcao de te"po do pacote atual e o anterior capturado. Adicionar u"a no a coluna e escolher e" field t6pe escolher a opo custom e e" field name adicionar fra"e.ti"eMdelta <) :ara adicionar a diferena entre os pacotes isualizados e no capturados use a field fra"e.ti"eMdeltaMdispla6ed .) ic"p.t6pe "ostra o tipo de pacote ic"p G D echo re3uest e H D echo repl6

F. Gr-ficos

/enu statistics $ N Protocol Hierarchy

/ostra de for"a hier-r3uica a cadeia de protocolos capturados' be" co"o a 3uantidade' porcenta!e" e ta(a de transferOncia. Usado para conhecer a proporo de protocolos na captura. /enu statistics $ N Endpoints

/ostra estat1sticas de pacotes capturados entre todos os endereos en ol idos. /ostra por protocolos' sentido da co"unicao.

/enu Statistics $ N Pac%et &en'hts ( =a"anho dos :acotes ) /ostra a 3uantidade de pacotes por inter alo de ta"anhos e" b6tes

/enu Statistics $ N IO (raphs :er"ite criar !r-ficos dos pacotes capturados. P poss1 el aplicar os "es"os filtros de isualizao do wireshark. ,s !r-ficos pode" ser e(portados para for"atos pn!' 0pe!' b"p. &i"ite de . filtros.

/enu Statistics $ N Flow (raph ! 'r)fico de flu*o # /ostra o flu(o das cone(2es entre os hosts en ol idos.

Q. :raticando
:rotocolo R==: :rotocolo utilizado na Sorld Side Seb (www) para distribuio e recuperao da infor"ao. A for"a de con ersao no estilo pedido$resposta entre o cliente (browser) e o ser idor (apache' to"cat' etc) Usa o protocolo =%: para transporte. =oda con ersao entre cliente e ser idor realizada e" te(to plano (A>%II) atra s de co"andos si"ples. Atra s de "todos os ob0etos pode" ser acessados. G)=' :,>= so os "ais utilizados. GET >olicita al!u" recurso co"o u" ar3ui o ou u" script %GI (3ual3uer dado 3ue esti er identificado pelo U7I) por "eio do protocolo R==:. POST )n ia dados para sere" processados (por e(e"plo' dados de u" for"ul-rio R=/&) para o recurso especificado. 4iltra tr-fe!o http# http

4iltra os dados recebidos http.contentMt6pe 4iltra todas re3uisi2es do "todo G)= http.re3uest."ethodDDG)= 4iltra respostas de p-!inas no encontradas http.response.code DD <H<

4onte# http#88www.wireshark.or!8docs8dfref8h8http.ht"l

:rotocolo I%/: I%/: utilizado para erificar se u" host est- ati o ou no. U" pacote I%/: no cont" porta de ori!e" ne" porta de destino por3ue foi pro0etado para co"unicao entre hosts e roteadores direta"ente na ca"ada de rede. %ada pacote I%/: te" u" tipo e cAdi!o. As co"bina2es especifica" a "ensa!e" a ser recebida.

1) Inicie a captura no wireshark +) Abra u" ter"inal do linu( e di!ite# pin! $c < www.!oo!le.co".br 9) :are a captura e a"os filtrar os pacotes do tipo I%/:' di!itando no filtro Iic"pI <) Analise os pacote e encontre os aplicati o pin!. alores do te"po de resposta encontrado pelo

7esposta# o te"po de resposta u"a infor"ao contida no pacote do tipo echo repl6. 4iltro# ic"p.t6pe DD H %a"po 7esponse =i"e(ic"p.respti"e)

%&I ( %o""and &ine Interface )

+ Interfaces 1.1 &istando as interfaces de captura tshark $5 1. 2. 3. 4. 5. 1. ethH +. wlanH 9. nflo! (&inu( netfilter lo! (*4&,G) interface) <. an6 (:seudo$de ice that captures on all interfaces) .. lo

:ode"os utilizar o no"e da interface ou o n;"ero associado a ela. 1.+ >elecionando a(s) interface(s) de captura tshark $i ethH tshark $i ethH $i wlanH tshark $i + 1.9 5esabilitar o "odo pro"1scuo da interface tshark $p

, Ar-ui"os +.1 &endo u" ar3ui o de captura tshark $r 8t"p8ar3ui o +.+ >al ando e" u" ar3ui o de captura tshark $w 8t"p8ar3ui o obs# o ar3ui o de e e(istir. +.9 >al ando e" ar3ui os definindo te"po(se!undos) e ta"anho(kilob6tes) da captura. tshark $a duration#FH $w ar3ui o.pcap tshark $a filesize#1H+< $w ar3ui o.pcap

+.9 >al ando e" u" ar3ui o u"a captura de C pacotes. tshark $c 1HHH $w ar3ui o.pcap

+.< )(portando tshark $= pd"l onde# pd"l D )(porta os detalhes do pacote capturados e" for"ato C/&. ps"l D )(porta as infor"a2es da 0anela de pacotes capturados e" for"ato C/&. te(t D )(porta e" te(to plano as infor"a2es b-sicas. fields D )(porta as colunas especificadas. tshark $= fields $e fra"e.nu"ber onde# fra"e.nu"ber D n;"ero do fra"e fra"e.ti"eMrelati e D te"po relati o do pacote

fra"e.ti"eMdelta D (fra"e atual T fra"e anterior ' capturado . fra"e.ti"eMdeltaMdispla6ed D fra"e atual T fra"e anterior ' "ostrado no filtro8displa6. fra"e.len D ta"anho do pacote e" b6tes ip.src D endereo ip de ori!e" ip.dst D endereo ip de destino

I"pri"e o cabealho da coluna tshark $) headerD6 5efine u" caracter separador entre as colunas tshark $) separatorDUVU onde# 8s D espao 8t D tabulao

9. %onte;do dos :acotes 9.1 ,culta os pacotes capturados na tela. tshark $3 9.+ /ostra detalhes dos pacotes tshark $B

<. =e"po de captura <.1 A0ustando o ti"esta"p dos pacotes tshark $t ad onde# ad D 5ata e te"po absoluto da captura do pacote a D >o"ente te"po absoluto da captura do pacote r D =e"po relati o decorrido desde o pri"eiro pacote ( opo default) dD =e"po transcorrido desde 3ue o pacote anterior foi capturado dd D =e"po transcorrido desde 3ue o pacote anterior foi apresentado na tela e D 5iferena de te"po entre a data atual e a data H1 de 0aneiro de 1EQH HH#HH#HH

.. 4iltros ..1 Filtro de captura usando a sinta(e da libpcap 5ica# oti"iza a captura' pois o 3ue no satisfazer a condio do filtro no capturado e processado. 4onte# http#88wiki.wireshark.or!8%apture4iltersW%apture4ilters$1 tshark $f IfiltroI e(e"plos# %aptura 3ual3uer pacotes udp 3ue use a porta .9 1. tshark $f Iudp port .9I

%aptura 3ual3uer pacote co" o ip 1E+.1FG.1.1 tanto na ori!e" co"o destino 1. tshark $f Ihost 1E+.1FG.1.1I %aptura 3ual3uer pacote 3ue o endereo de ori!e" ou destino este0a na rede 1E+.1FG.H 1. tshark $f Inet 1E+.1FG.H.H8+<I %aptura pacotes co" ori!e" o endereo de rede especificado 1. tshark $f Isrc net 1E+.1FG.H.H8+<I

..+ Filtro de &eitura./isplay usando a sinta(e do wireshark 4onte# http#88www.wireshark.or!8docs8dfref8 tshark $7 IfiltroI $r ar3ui o.pcap e(e"plos# 4iltra pacotes U5: 1. tshark -R IudpI $r ar3ui o.pcap 4iltra pacotes R==: 1. tshark -R IhttpI 4iltra respostas R==: <H< (p-!ina no encontrada) 1. tshark $7 Ihttp.response.code DD <H<I 4iltra respostas R==: +HH (p-!ina encontrada) 1. tshark $7 Ihttp.response.code DD +HHI 4iltra "etodos R==: (:,>= e G)=) 1. tshark $7 Ihttp.re3uest."ethod DD I:,>=I LL http.re3uest."ethod DD IG)=I I

7eferOncias Xiblio!r-ficas
Y1Z http#88penta+.ufr!s.br8!ereEF8testador8ca"adas.ht" Y+Z http#88www.slideshare.net80""adru!a8analisadores$de$protocolo$co"parao$e$uso Y9Z http#88www.wireshark.or!8docs8"an$pa!es8wireshark$filter.ht"l