Usando Wireshark no Ubuntu
Wireshark é um potente analisador de rede de código aberto que pode ser usado para capturar dados em uma rede, como um auxiliar na resolução de problemas de análise de tráfego de rede, mas também como uma ferramenta educacional para ajudar a entender os princípios de redes e protocolos de comunicação.
Ele está prontamente disponível para praticamente qualquer distribuição Linux e, para o Ubuntu, pode ser instalado via Centro de Software do Ubuntu ou pelo terminal:
sudo apt-get install wireshark Antes de usar o Wireshark, o utilitário dumpcap precisa receber permissão para rodar como root. Sem isso, o Wireshark não conseguirá capturar o tráfego de rede quando você estiver logado como um usuário normal (o que sempre acontece em distribuições como o Ubuntu). Para adicionar o bit “ setuid ” ao dumpcap, use o seguinte comando:
sudo chmod 4711 `which dumpcap` Observe que as aspas ao redor do “which dumpcap” não são aspas simples normais, mas sim o caractere de acento grave. Em sistemas semelhantes ao Unix, isso invoca a substituição de comando onde a saída do comando which se torna um parâmetro para o comando chmod, ou seja, o caminho completo do binário dumpcap.
Inicie o Wireshark e clique na interface de rede que você deseja usar para capturar os dados. Em uma rede com fio, provavelmente será eth0. Agora clique em Iniciar.
O Wireshark começará a capturar o tráfego e exibi-lo como uma lista codificada por cores na janela principal. O tráfego TCP é verde, os pacotes UDP são azul claro, as requisições ARP são amarelas e o tráfego DNS é mostrado em azul escuro.
Logo abaixo da barra de ferramentas está a caixa de Filtro. Para ver apenas certos tipos de pacotes de rede, insira o nome do protocolo na caixa de edição e clique em Aplicar. Por exemplo, para ver apenas a mensagem ARP (Protocolo de Resolução de Endereço), digite arp na caixa de Filtro e clique em Aplicar. A lista mudará para mostrar apenas mensagens ARP. O ARP é usado em uma LAN para descobrir qual máquina está utilizando um determinado endereço IP. Outros filtros de exemplo são HTTP, ICMP, SMTP, SMB e assim por diante.
O Wireshark pode filtrar usando critérios mais avançados do que apenas o tipo de protocolo. Por exemplo, para ver todo o tráfego relacionado a DNS que vem de um host específico, use o filtro ip.src==192.168.1.101 and dns onde 192.168.1.101 é o endereço de origem que você deseja filtrar.
Se você identificar uma interação interessante entre dois hosts que deseja ver na íntegra, o Wireshark possui uma opção de “seguir fluxo”. Clique com o botão direito em qualquer pacote da troca e, em seguida, clique em “Seguir Fluxo TCP” (ou Seguir Fluxo UDP, Seguir Fluxo SSL, dependendo do tipo de protocolo). O Wireshark então mostrará uma cópia completa da conversa.
Experimente isso
Usar o Wireshark pode ser tão complexo ou tão simples quanto você precisar, há muitos recursos avançados para especialistas em redes, mas aqueles que desejam aprender sobre redes também podem se beneficiar ao usá-lo. Aqui está algo para tentar se você quiser aprender mais sobre o Wireshark. Inicie uma captura e configure o filtro para ICMP. Agora faça um ping em sua máquina Linux usando um comando como este de outra máquina Linux ou até mesmo do terminal de linha de comando de um PC Windows:
ping 192.168.1.10Onde 192.168.1.10 é o endereço IP da máquina Linux. Agora observe a lista de pacotes e veja se você consegue identificar o tráfego de rede para o ping.
