O Wireshark é uma das ferramentas de análise de rede mais famosas do mundo, tanto porque é gratuita quanto porque funciona bem e não é muito difícil de usar. Sua fama, no entanto, deriva do fato de que, com este programa, é possível filtrar, capturar e espionar pacotes e informações que passam dentro de uma rede de computadores .
Espionar os pacotes, como visto em um guia geral (entrar em uma rede wifi protegida para capturar pacotes e espionar o que você faz na internet), permite ler qualquer tipo de informação que passa descriptografada na comunicação entre o PC e a Internet.
Isso significa que, se duas pessoas estão no mesmo escritório ou em casa e se conectam à mesma rede (ou ao mesmo roteador) para acessar a Internet, os dois PCs podem ser vistos e, a partir de um deles, é possível, usando o Wireshark, capturar as informações do outro, incluindo os sites que você visita, senhas em texto sem formatação (em sites que não são https), e-mails, bate-papos etc.
O Wireshark, no entanto, é acima de tudo um programa de análise de rede muito poderoso, também usado por técnicos profissionais, e depois vamos ver como usá-lo seriamente.
Você pode baixar o Wireshark para Windows ou Mac OS X no site oficial.
Se você estiver usando Linux ou outro sistema semelhante ao UNIX, o Wireshark deve estar no repositório de software de distribuição.
Após baixar e instalar o Wireshark, você pode iniciá-lo e selecionar imediatamente a interface de rede correta para analisar .
Por exemplo, se você deseja obter tráfego na rede sem fio, clique na placa de rede wifi; caso contrário, se a rede usada estiver com fio, você deverá escolher a conexão LAN e assim por diante.
Assim que você selecionar uma interface, verá imediatamente que todas as informações que passam pela rede são visíveis em uma lista de rolagem contínua.
Se você ativar o controle em uma rede compartilhada por vários computadores (como um wifi) e tiver ativado a aquisição de dados no modo promíscuo, também verá os pacotes de outros computadores conectados à mesma rede .
A aquisição no modo promíscuo só é possível em um PC com Windows instalando os drivers WinPCap incluídos no pacote de instalação do Wireshark.
No canto superior esquerdo, você pode interromper o processo de captura em tempo real e interromper a aquisição do tráfego.
O Wireshark mostra dados interceptados de cores diferentes para ajudar a identificar tipos de tráfego com mais facilidade.
Por padrão, o tráfego TCP é verde, o tráfego DNS é azul escuro, o tráfego UDP é azul claro; os pretos são pacotes TCP com problemas.
Para começar e ver se funciona, você precisa garantir que, enquanto navega na Internet, abrindo alguns sites, dados e informações sejam capturados pelo Wireshark.
Chamadas HTTP são aquelas relacionadas ao tráfego da Internet que podem ser as mais interessantes se você pretende encontrar informações de navegação, como os sites visitados.
Você também pode fazer o download de um arquivo de amostra para análise no Wireshark for
Importante para não se perder no mar de dados gerados é usar regras de filtragem de pacotes.
A maneira mais fácil de aplicar um filtro é digitar uma chave de pesquisa na caixa de filtro na parte superior da janela e clicar em Aplicar.
Por exemplo, ao digitar " http ", você verá apenas as conexões feitas pelo navegador na Internet.
Cada pacote pode ser inspecionado e basta clicar nele com o botão direito para ver mais detalhes e o fluxo TCP ou o histórico das etapas executadas (por exemplo, se você pesquisar mais coisas no Google, poderá revisar todo o fluxo).
Filtros mais específicos podem ser aplicados no menu Analisar .
Ao adquirir pacotes, pode ser inconveniente e difícil entender o fluxo de dados e informações inalados na rede, porque apenas os endereços IP são exibidos.
No entanto, é possível converter endereços IP em nomes de domínio (para tráfego http, isso significa ver os nomes dos sites) ativando a funcionalidade no menu Editar -> Preferências -> Resolução de nomes e ativando " Ativar resolução de nomes de rede ".
Ao ativar esta opção, você verá nomes de domínio em vez de endereços IP, mas, como o Wireshark precisará procurar cada nome de domínio, as solicitações de DNS aumentam aumentando o fluxo de dados.
Se você deseja configurar uma captura automática de pacotes no seu computador, pode criar um atalho na área de trabalho para iniciar o Wireshark rapidamente.
Após criar o link, clique com o botão direito do mouse, insira as propriedades e, em que " Destino " está escrito, adicione um espaço à linha após as aspas finais e, em seguida, -i # -k .
em vez de #, você deve colocar o número da placa de rede a ser verificada, de acordo com a ordem que o Wireshark fornece durante a fase de seleção.
Capturar o tráfego de outros computadores conectados à mesma rede talvez seja seu objetivo mais engraçado, o que nos torna um pouco hackers à nossa maneira pequena (no entanto, não é tão fácil assim).
Se você deseja registrar o tráfego de rede e espionar as informações que passam por um roteador, servidor ou outro computador, use a captura remota do Wireshark que, no Windows, usa o driver WinPcap.
Após a instalação, você deve abrir a janela de serviços do Windows (clique em Iniciar e escreva o comando Services.msc na caixa Pesquisar ou Executar).
Na lista de serviços, localize e ative o que é chamado de Protocolo de Captura de Pacotes Remotos .
Este serviço está desativado por padrão.
Clique em Opções de captura na janela inicial do Wireshark e selecione Remoto na caixa Interface .
Em seguida, insira o endereço do sistema remoto (por exemplo, 192.168.2.3 ) e como porta 2002 .
Para funcionar, você deve ter acesso à porta 2002 no sistema remoto, para abrir essa porta no firewall ou roteador do seu computador.
Após a conexão, você pode selecionar uma interface no sistema remoto na caixa em que as placas de rede estão listadas e clicar em Iniciar para começar a gravar as conexões feitas nesse computador.
Neste vídeo, você pode ver um tutorial introdutório muito bem para aprender a usar o Wireshark.
O Wireshark é uma ferramenta extremamente poderosa, mesmo que apenas os mais experientes possam entendê-lo completamente e usá-lo para realizar qualquer tipo de operação em uma rede.
Este tutorial é apenas uma introdução a tudo o que você pode fazer (aqui está o manual completo em inglês); apenas saiba que os profissionais o utilizam para depurar instalações de protocolos de rede, analisar problemas de segurança e controlar o tráfego nas empresas.
Finalmente, uma última recomendação: muitas organizações não permitem que o Wireshark ou ferramentas similares atuem em suas redes (problema de privacidade), portanto você não deve arriscar usá-lo no escritório, a menos que tenha permissão.
Se você quiser experimentar programas mais simples, recomendo baixar as ferramentas Nirsoft para detectar a rede do PC e ver sites visitados, pesquisas na Internet e senhas .
