Criar e Aplicar Regras de Colorização no Wireshark

Introdução

Neste laboratório, você aprenderá a criar e aplicar regras de colorização no Wireshark, um poderoso analisador de protocolos de rede. Essas regras permitem diferenciar visualmente vários tipos de tráfego de rede de acordo com critérios específicos, facilitando a identificação e a análise das atividades de rede que são importantes para você.

Ao final deste laboratório, você terá uma compreensão melhor de como aproveitar os recursos de colorização do Wireshark. Isso aprimorará suas habilidades de análise de rede e dará suporte às suas investigações de cibersegurança.

Explorar e Exportar Regras de Colorização

Nesta etapa, começaremos explorando as regras de colorização existentes no Wireshark. As regras de colorização no Wireshark são usadas para destacar diferentes tipos de pacotes de rede com base em critérios específicos. Isso ajuda a identificar e analisar rapidamente informações importantes no tráfego de rede capturado. Você também aprenderá como visualizar essas regras e exportá-las para uso futuro.

Primeiro, você precisa abrir o Wireshark em sua máquina Linux. Para fazer isso, abra o terminal e execute o seguinte comando. Este comando iniciará o aplicativo Wireshark, que você usará para trabalhar com as regras de colorização.
```
wireshark
```
Assim que o Wireshark estiver aberto, você precisará acessar as regras de colorização. Vá ao menu View na parte superior da janela do Wireshark e selecione Coloring Rules.... Isso abrirá a caixa de diálogo Wireshark Coloring Rules Default. É nesta caixa de diálogo que você pode gerenciar todas as regras de colorização no Wireshark.
Na caixa de diálogo Wireshark Coloring Rules Default, você verá uma lista de regras de colorização existentes. Cada regra possui uma condição específica e uma cor correspondente. Essas regras são aplicadas aos pacotes capturados na ordem em que aparecem na lista. Reserve um momento para examinar as regras e ler suas descrições. Compreender essas regras lhe dará uma ideia de como o Wireshark pode ajudá-lo a analisar o tráfego de rede de forma mais eficaz.
Você pode querer desativar ou ativar temporariamente uma regra específica sem excluí-la. Você pode fazer isso selecionando a regra na lista e clicando na checkbox ao lado dela. Se a caixa estiver marcada, a regra está ativada; se estiver desmarcada, a regra está desativada. Isso é útil quando você deseja testar o impacto de uma regra específica na colorização dos pacotes.
Agora, digamos que você queira salvar o conjunto atual de regras de colorização para uso posterior ou para compartilhar com outras pessoas. Para exportar essas regras, clique no botão Export... na caixa de diálogo Wireshark Coloring Rules Default.
Após clicar no botão Export..., uma caixa de diálogo de arquivo aparecerá. Você precisa escolher um local para salvar o arquivo de regras de colorização. Navegue até o diretório /home/labex/project. É uma boa prática dar ao arquivo um nome descritivo, como colorizing_rules.txt, para que você possa identificá-lo facilmente mais tarde.
Depois de selecionar o local e nomear o arquivo, clique em OK para fechar a caixa de diálogo Wireshark Coloring Rules Default. Você exportou as regras de colorização com sucesso.

Criar uma Nova Regra de Colorização

Nesta etapa, aprenderemos como criar uma nova regra de colorização no Wireshark. As regras de colorização são um recurso poderoso que permite destacar tráfego de rede específico, tornando mais fácil localizar e analisar pacotes importantes. Ao criar uma regra personalizada, você pode identificar rapidamente os tipos de tráfego de rede que são mais relevantes para você.

Primeiro, abra a caixa de diálogo Wireshark Coloring Rules Default. No Wireshark, vá em View > Coloring Rules.... Esta caixa de diálogo é onde você pode gerenciar todas as suas regras de colorização, incluindo criá-las, editá-las e excluí-las.
Para criar uma nova regra de colorização, clique no botão +. Esta ação adiciona uma entrada de regra em branco à lista de regras existentes.
Assim que você adicionar uma nova regra, uma entrada chamada New coloring rule aparecerá no topo da caixa de diálogo Coloring Rules. Clique duas vezes nesta entrada para editar o nome da regra. Por exemplo, se você quiser destacar o tráfego HTTP, pode nomear a regra como HTTP Traffic. No campo Filter, você precisa inserir uma expressão de filtro. Essa expressão diz ao Wireshark quais pacotes devem ser destacados por esta regra. Para o tráfego HTTP, você deve inserir http.
Agora, vamos falar sobre as opções de colorização. Existem dois botões importantes aqui: os botões foreground (primeiro plano) e background (segundo plano).

O botão foreground é usado para escolher a cor que será usada para destacar o texto dos pacotes que correspondem à regra. Por exemplo, se você quiser que o texto dos pacotes HTTP seja vermelho, pode selecionar vermelho usando este botão.

O botão background permite escolher a cor de fundo para os pacotes destacados. Você pode usar isso para fazer com que os pacotes se destaquem ainda mais. Por exemplo, você pode definir a cor de fundo como amarelo.
Opcionalmente, você pode ajustar a prioridade da regra. As regras no Wireshark são aplicadas com base na ordem em que aparecem na lista. Regras de maior prioridade têm precedência sobre as de menor prioridade. Para alterar a prioridade, basta arrastar a regra para cima ou para baixo na lista.
Após configurar a regra, você precisa ativá-la. Clique na checkbox ao lado da regra para ativar a regra de colorização recém-criada. Em seguida, clique em OK para salvar a nova regra. Isso aplicará a regra às suas capturas de pacotes.
Quando você abrir um arquivo de captura ou iniciar uma captura ao vivo no Wireshark, deverá ver os pacotes de rede que correspondem à expressão de filtro exibidos com as cores que você selecionou para a regra. Isso torna muito mais fácil identificar e analisar o tráfego específico em que você está interessado.

PS: Se você quiser gerar algum tráfego HTTP para testar sua regra, pode iniciar o navegador. Clique em Run Program... no botão Applications no canto inferior esquerdo e digite Firefox.

Modificar uma Regra de Colorização Existente

Nesta etapa, você aprenderá como modificar uma regra de colorização existente no Wireshark. As regras de colorização no Wireshark são usadas para destacar pacotes de rede com base em critérios específicos, o que ajuda a identificar e analisar rapidamente diferentes tipos de tráfego. Ao modificar essas regras, você pode personalizar a forma como os pacotes são exibidos, facilitando o foco nas informações necessárias para a análise de cibersegurança.

Primeiro, abra o Wireshark. No Wireshark, vá ao menu View na parte superior da janela. Em seguida, selecione Coloring Rules... no menu suspenso. Esta ação abrirá a caixa de diálogo Wireshark Coloring Rules Default. É nesta caixa de diálogo que você pode gerenciar todas as regras de colorização no Wireshark.
Na caixa de diálogo Wireshark Coloring Rules Default, você verá uma lista de regras de colorização existentes. Cada regra possui um nome, uma expressão de filtro e uma cor associada a ela. Selecione a regra de colorização que deseja modificar nesta lista. Você pode clicar na regra para destacá-la.
Depois de selecionar a regra que deseja modificar, existem duas maneiras principais de fazer alterações. Você pode clicar duas vezes na regra. Ao fazer isso, uma nova janela será aberta onde você poderá modificar o nome da regra, a expressão de filtro que determina a quais pacotes a regra se aplica e a cor usada para destacar os pacotes correspondentes. Além disso, você pode alterar a prioridade da regra. A prioridade determina qual regra tem precedência se várias regras corresponderem a um único pacote. Você pode alterar a prioridade arrastando a regra para cima ou para baixo na lista. Regras mais acima na lista têm maior prioridade.
Agora, vamos fazer algumas alterações específicas na regra. Você precisa modificar o nome da regra e a expressão de filtro conforme necessário. Por exemplo, altere o nome da regra de HTTP Traffic para Web Traffic. Este novo nome reflete com mais precisão o tipo de tráfego em que estamos interessados. Além disso, altere a expressão de filtro de http para http and tcp.port == 80. O filtro original http destacaria todo o tráfego HTTP, mas ao adicionar tcp.port == 80, estamos procurando especificamente por tráfego HTTP na porta 80, que é a porta padrão para tráfego web não criptografado.

nome da regra: HTTP Traffic -> Web Traffic
expressão de filtro: http -> http and tcp.port == 80
Depois de fazer todas as alterações desejadas na regra, clique no botão OK na caixa de diálogo. Isso salvará a regra modificada, e o Wireshark começará a usar as novas configurações para destacar os pacotes.
Para ver os efeitos da regra modificada, você pode abrir um arquivo de captura existente no Wireshark ou iniciar uma captura ao vivo. Assim que os pacotes forem exibidos, você deverá ver os pacotes de rede que correspondem à regra modificada exibidos na cor atualizada ou de acordo com a nova expressão de filtro. Dessa forma, você pode identificar facilmente o tráfego web específico na porta 80 em que está interessado.

Importar Regras de Colorização

Nesta etapa, aprenderemos como importar regras de colorização para o Wireshark. As regras de colorização no Wireshark são um recurso poderoso que pode ajudá-lo a identificar rapidamente diferentes tipos de tráfego de rede, atribuindo cores distintas a eles. Isso torna mais fácil analisar e compreender os dados que você está capturando.

Primeiro, abra o Wireshark. Assim que estiver aberto, você precisa acessar as configurações de regras de colorização. Para fazer isso, vá ao menu View na parte superior da janela do Wireshark. No menu suspenso, selecione Coloring Rules.... Isso abrirá a caixa de diálogo Wireshark Coloring Rules Default. É nesta caixa de diálogo que você pode gerenciar todas as suas regras de colorização no Wireshark.
Agora que a caixa de diálogo Wireshark Coloring Rules Default está aberta, você verá vários botões. Para importar regras de colorização, procure e clique no botão Import.... Este botão permite que você traga regras de colorização pré-definidas de um arquivo externo.
Após clicar no botão Import..., uma nova caixa de diálogo chamada Wireshark Import Coloring Rules aparecerá. Nesta caixa de diálogo, você precisa encontrar o arquivo que contém as regras de colorização que deseja importar. Navegue até o diretório /home/labex/project. Este é o local onde o arquivo colorizing_rules.txt que você exportou anteriormente está armazenado. Assim que estiver no diretório correto, selecione o arquivo colorizing_rules.txt.
Depois de selecionar o arquivo colorizing_rules.txt, clique no botão Open. Isso carrega as regras de colorização na caixa de diálogo Wireshark Coloring Rules Default.
Antes de fechar a caixa de diálogo, clique no botão OK na parte inferior da janela principal Wireshark Coloring Rules Default. Esta confirmação final salva as regras importadas no arquivo de configuração do Wireshark, para que a regra ARP importada permaneça disponível para verificação.
Após clicar em OK, reabra View > Coloring Rules... se quiser confirmar a importação. Role até o final da lista e você deverá ver a regra de colorização recém-importada. Isso indica que a importação foi salva com sucesso, e agora você pode usar essas regras para codificar por cores seu tráfego de rede no Wireshark.

Resumo

Neste laboratório, você aprendeu como criar, modificar, importar e exportar regras de colorização no Wireshark. Ao usar essas regras, você pode diferenciar visualmente vários tipos de tráfego de rede de acordo com critérios específicos, o que simplifica a identificação e a análise das atividades de rede. Essa habilidade é extremamente útil em investigações de cibersegurança, resolução de problemas de rede e análise de protocolos.

Por meio de exercícios práticos, você ganhou experiência no gerenciamento do conjunto de regras. Dominar essas técnicas pode aprimorar seu fluxo de trabalho de análise de rede e melhorar sua capacidade de identificar e priorizar rapidamente padrões de tráfego de rede interessantes.