Como Usar Filtros de Exibição no Wireshark
Wireshark é um analisador de pacotes de rede baseado em GUI que permite inspecionar dados de pacotes de uma rede ao vivo, bem como de um arquivo previamente capturado. Embora seja uma ferramenta muito poderosa, um problema comum enfrentado por iniciantes é que ela exibe tantos dados que se torna realmente difícil para eles identificarem as informações reais que estão procurando. É aqui que os filtros de exibição do Wireshark ajudam.
Nota – Se você é completamente novo no Wireshark, é recomendado que primeiro passe por seu tutorial básico.
Filtros de exibição
Aqui está um exemplo de uma captura ao vivo no Wireshark:
Note que uma parte significativa da GUI é usada para exibir informações (como Hora, Fonte, Destino e mais) sobre todos os pacotes de entrada e saída. Para filtrar essas informações conforme sua necessidade, você precisa usar a caixa de Filtro presente na parte superior da janela.
1. Filtrar informações com base no protocolo
Para filtrar resultados com base em um protocolo específico, basta escrever seu nome na caixa de filtro e pressionar Enter. Por exemplo, a captura de tela a seguir exibe informações relacionadas ao protocolo HTTP:
Observe que a coluna Protocolo contém apenas entradas HTTP. Se informações relacionadas a mais de um protocolo forem necessárias, insira os nomes dos protocolos separados por um pipe duplo (ou um operador lógico OR) ||. Aqui está um exemplo:
http || arp || icmp
2. Filtrar informações com base no endereço IP
Para filtrar resultados com base no IP de origem, use o filtro ip.src. Aqui está um exemplo:
ip.src==50.116.24.50
Da mesma forma, use ip.dst para filtrar resultados com base no endereço IP de destino. Para exibir pacotes de origem e destino com um IP específico, use o filtro ip.addr. Aqui está um exemplo:
ip.addr==50.116.24.50
Observe que os pacotes com endereço IP de origem ou destino como 50.116.24.50 são exibidos na saída.
Para excluir pacotes com um endereço IP específico, use o operador !=. Aqui está um exemplo:
ip.src!=50.116.24.50
3. Filtrar informações com base na porta
Você também pode filtrar o tráfego capturado com base nas portas de rede. Por exemplo, para exibir apenas aqueles pacotes que contêm a porta de origem ou destino TCP 80, use o filtro tcp.port. Aqui está um exemplo:
tcp.port==80
Da mesma forma, você pode usar tcp.srcport e tcp.dstport para filtrar resultados separadamente com base nas portas de origem e destino TCP, respectivamente.
O Wireshark também tem a capacidade de filtrar resultados com base em sinalizadores TCP. Por exemplo, para exibir apenas aqueles pacotes TCP que contêm o sinalizador SYN, use o filtro tcp.flags.syn. Aqui está um exemplo:
Da mesma forma, você também pode filtrar resultados com base em outros sinalizadores como ACK, FIN e mais, usando filtros como tcp.flags.ack, tcp.flags.fin, e mais, respectivamente.
4. Alguns outros filtros úteis
O Wireshark exibe os dados contidos por um pacote (que está atualmente selecionado) na parte inferior da janela. Às vezes, ao debugar um problema, é necessário filtrar pacotes com base em uma sequência de bytes específica. Você pode fazer isso facilmente usando o Wireshark.
Por exemplo, pacotes TCP contendo a sequência de bytes 00 00 01 podem ser filtrados da seguinte maneira:
tcp contains 00:00:01
Prosseguindo, assim como você pode filtrar resultados com base em endereços IP (explicado anteriormente), você também pode filtrar resultados com base em endereços MAC, usando o filtro eth.addr. Por exemplo, para ver todo o tráfego entrando e saindo de uma máquina com o endereço MAC, digamos AA:BB:CC:DD:EE:FF, use o seguinte comando de filtro:
eth.addr == AA:BB:CC:DD:EE:FFConclusão
Mal arranhamos a superfície aqui, já que o Wireshark tem muito mais a oferecer. Para mais informações sobre filtros de exibição do Wireshark, visite o site oficial do Wireshark ou o site Wiki do Wireshark. Se você tiver alguma dúvida ou questionamento, deixe um comentário abaixo.
