LabEx
EntrarJunte-se

Capturar Quadros Wireless com Tshark

WiresharkBeginner
Pratique Agora

Introdução

Neste laboratório, você aprenderá a capturar e analisar quadros de rede sem fio usando o Tshark, o utilitário de linha de comando do Wireshark. Você praticará a habilitação do modo monitor em uma interface sem fio, a captura de pacotes com filtros específicos e o exame dos detalhes dos quadros por meio de exercícios práticos.

O laboratório cobre técnicas essenciais, incluindo configuração de interface, captura de pacotes em tempo real e análise direcionada de quadros beacon 802.11. Você obterá experiência prática com métodos de linha de comando e GUI para observar o tráfego sem fio, tipicamente invisível nos modos de rede padrão.

Habilitar Modo Monitor com -I

Nesta etapa, você aprenderá como habilitar o modo monitor no Wireshark usando a flag -I. O modo monitor é um modo especial de interface sem fio que permite que seu adaptador de rede capture todo o tráfego sem fio em um canal específico, incluindo pacotes que não são direcionados ao seu dispositivo. Isso é diferente do "modo gerenciado" normal, onde seu dispositivo recebe apenas pacotes destinados a ele.

Antes de começar, precisamos verificar se sua interface sem fio está disponível. A maioria dos sistemas Linux usa wlan0 como o nome da interface sem fio padrão. Usaremos o comando iwconfig para verificar:

iwconfig

Você deve ver wlan0 listado entre as interfaces. Se você vir um nome diferente, precisará substituí-lo nos comandos a seguir.

Em seguida, usaremos o airmon-ng do pacote aircrack-ng para habilitar o modo monitor. Esta ferramenta ajuda a gerenciar interfaces sem fio:

sudo airmon-ng start wlan0

Este comando cria uma nova interface virtual no modo monitor, normalmente chamada wlan0mon. O sufixo "mon" indica que está no modo monitor.

Vamos verificar se o modo está ativo verificando as propriedades da interface:

iwconfig wlan0mon

Na saída, procure por "Mode:Monitor", que confirma que a interface está configurada corretamente. Você também pode ver detalhes sobre frequência e canal aqui.

Agora estamos prontos para iniciar o Wireshark com o modo monitor habilitado:

wireshark -I -i wlan0mon

A flag -I informa especificamente ao Wireshark para usar o modo monitor, enquanto -i wlan0mon especifica nossa interface de monitoramento. Sem isso, o Wireshark tentaria capturar no modo gerenciado normal.

Quando o Wireshark abrir, verifique a lista de interfaces. Você deve ver wlan0mon com um indicador "(modo monitor)" ao lado dele. Essa confirmação visual ajuda a garantir que você está capturando todo o tráfego sem fio corretamente.

Iniciar Captura com -i wlan0

Nesta etapa, você capturará o tráfego de rede sem fio usando a interface de linha de comando do Wireshark. A flag -i é crucial, pois informa ao Wireshark qual interface de rede monitorar. Como estamos trabalhando com redes sem fio, usaremos a interface em modo monitor que preparamos anteriormente.

Antes de começar, vamos confirmar se nossa interface em modo monitor está configurada corretamente. Essa verificação garante que estamos capturando o tipo certo de dados sem fio:

iwconfig wlan0mon

Procure por "Mode:Monitor" na saída - isso confirma que sua interface está pronta para capturar todo o tráfego sem fio em sua vizinhança, não apenas o tráfego destinado ao seu dispositivo.

Agora, iniciaremos o Wireshark para começar a capturar pacotes:

wireshark -i wlan0mon

A parte -i wlan0mon informa especificamente ao Wireshark para usar nossa interface em modo monitor. Na janela do Wireshark que aparece:

  • A lista de pacotes será preenchida em tempo real à medida que os dispositivos ao seu redor transmitirem quadros sem fio
  • Verifique se "wlan0mon" aparece na barra de status para confirmar a seleção correta da interface
  • Observe o contador de pacotes aumentar, mostrando atividade de captura bem-sucedida

Para parar de capturar pacotes quando terminar:

  • Clique no botão vermelho "Parar" proeminente na barra de ferramentas
  • Alternativamente, pressione Ctrl+E para alternar a captura ligada/desligada

Para situações em que você prefere trabalhar no terminal ou precisa automatizar capturas, o Tshark (versão de linha de comando do Wireshark) é perfeito:

tshark -i wlan0mon -c 10

Este comando captura exatamente 10 pacotes e, em seguida, para automaticamente, exibindo os resultados diretamente no seu terminal. A flag -c controla quantos pacotes capturar antes de parar.

Filtrar Beacons com -Y "wlan.fc.type_subtype==0x08"

Nesta etapa, você aprenderá como filtrar quadros beacon no Wireshark usando a sintaxe de filtro de exibição. Quadros beacon são quadros de gerenciamento especiais (tipo 0x08) que os pontos de acesso sem fio transmitem continuamente para anunciar sua presença na rede. Esses quadros contêm informações essenciais, como o nome da rede (SSID), taxas de dados suportadas e configurações de segurança.

  1. Primeiro, certifique-se de que o Wireshark está em execução com a captura em wlan0mon (da etapa anterior):
wireshark -i wlan0mon

Este comando inicia o Wireshark e começa a capturar pacotes na interface wlan0mon, que já deve estar no modo monitor a partir da configuração anterior.

  1. Na interface do Wireshark:
    • Localize a barra de ferramentas "Filtro" na parte superior (logo abaixo do menu principal)
    • Insira a expressão de filtro:
wlan.fc.type_subtype == 0x08

Este filtro informa ao Wireshark para exibir apenas pacotes onde o tipo/subtipo do quadro corresponde aos quadros beacon (0x08 em hexadecimal).

  • Pressione Enter ou clique em Aplicar para ativar o filtro

  1. Você agora deve ver apenas quadros beacon na lista de pacotes. Estes normalmente mostram:

    • Endereço MAC de origem do ponto de acesso (identifica o dispositivo físico)
    • SSID (nome da rede) nos detalhes do pacote (o que os usuários veem como o nome do WiFi)
    • Intervalos regulares (geralmente a cada 100ms, que é o intervalo beacon padrão)

  2. Para examinar um quadro beacon em detalhes:

    • Selecione qualquer quadro beacon na lista de pacotes clicando nele
    • Expanda a seção "IEEE 802.11 Wireless LAN Management Frame" no painel do meio
    • Aqui você pode visualizar detalhes importantes como:
      • SSID (em Tagged Parameters)
      • Taxas de dados suportadas
      • Informações do canal
      • Recursos de segurança

  3. Para filtragem de linha de comando com tshark (útil para capturas automatizadas):

tshark -i wlan0mon -Y "wlan.fc.type_subtype==0x08" -c 5

Este comando captura exatamente 5 quadros beacon (-c 5) que correspondem ao nosso filtro (-Y) da interface wlan0mon e, em seguida, sai automaticamente. A flag -Y no tshark funciona de forma semelhante ao filtro de exibição do Wireshark.

Exibir Frames com -V

Nesta etapa, você aprenderá como usar o modo de saída detalhada do Wireshark com a flag -V para exibir informações detalhadas do quadro no terminal. Isso é particularmente útil ao trabalhar com ferramentas de linha de comando como o tshark, pois fornece informações mais abrangentes do que a visualização de resumo padrão.

  1. Primeiro, certifique-se de ter alguns quadros beacon capturados (da etapa anterior). Usaremos o tshark para exibi-los com todos os detalhes:
tshark -r /tmp/capture.pcap -Y "wlan.fc.type_subtype==0x08" -V

Este comando lê do seu arquivo de captura salvo (/tmp/capture.pcap) e filtra por quadros beacon (type_subtype 0x08). A flag -V informa ao tshark para mostrar todos os detalhes disponíveis sobre cada quadro.

  1. A flag -V fornece saída detalhada mostrando:

    • Cabeçalhos de quadro completos (incluindo todos os campos do quadro 802.11)
    • Todas as camadas de protocolo (da camada física até os dados da aplicação)
    • Valores de campo detalhados (com explicações do que cada valor significa)
    • Dumps de payload hexadecimal (úteis para analisar o conteúdo bruto do pacote)

  2. Para capturar e exibir quadros ao vivo com saída detalhada:

tshark -i wlan0mon -Y "wlan.fc.type_subtype==0x08" -V -c 5

Isso irá:

  • Capturar da interface wlan0mon (sua interface em modo monitor)
  • Filtrar apenas por quadros beacon (usando o mesmo filtro de antes)
  • Mostrar saída detalhada (com todos os detalhes explicados acima)
  • Parar após 5 quadros (o parâmetro -c 5 limita a captura)

  1. Informações-chave a serem observadas na saída detalhada:

    • Valores do campo Frame Control (mostra o tipo de quadro, direção e outras flags)
    • Endereços MAC (origem, destino e BSSID)
    • Intervalo beacon (com que frequência o AP envia quadros beacon)
    • Informações de capacidade (quais recursos o AP suporta)
    • Taxas suportadas (as taxas de dados que o AP pode lidar)

  2. Para melhor legibilidade, especialmente com saídas longas, você pode canalizar para less:

tshark -i wlan0mon -Y "wlan.fc.type_subtype==0x08" -V -c 5 | less

Isso permite que você role pela saída página por página usando as setas do teclado, em vez de ter tudo despejado no seu terminal de uma vez. Pressione 'q' para sair do visualizador less quando terminar.

Resumo

Neste laboratório, você aprendeu como capturar quadros sem fio usando o Wireshark no modo monitor. As etapas principais incluíram a ativação do modo monitor com airmon-ng, a verificação do status da interface com iwconfig e o lançamento do Wireshark com a flag -I para captura em modo monitor. Você também praticou a especificação da interface de monitoramento com -i e a observação do tráfego em tempo real.

Além disso, você explorou técnicas de filtragem usando -Y para quadros beacon e -V para análise detalhada. O laboratório cobriu métodos GUI e de linha de comando, incluindo tshark para operações sem interface gráfica (headless), fornecendo uma base sólida para análise de quadros sem fio.

Relacionados Wireshark Cursos
Wireshark para Iniciantes

Wireshark para Iniciantes

cybersecuritywireshark
Análise de Cibersegurança com Wireshark e Tshark

Análise de Cibersegurança com Wireshark e Tshark

cybersecuritywireshark