LabEx
EntrarJunte-se

Explore e Personalize a Interface do Wireshark

WiresharkBeginner
Pratique Agora

Introdução

Neste laboratório, você aprenderá sobre a interface do Wireshark e seus componentes, que são cruciais para a análise e solução de problemas de tráfego de rede. Você explorará as diferentes partes da GUI (Graphical User Interface) do Wireshark, entenderá suas funções e obterá experiência prática na personalização da interface.

Ao final deste laboratório, você estará familiarizado com o layout básico do Wireshark e bem preparado para começar a analisar o tráfego de rede.

Iniciando o Wireshark

Nesta etapa, vamos iniciar o Wireshark e familiarizá-lo com sua interface inicial. O Wireshark é uma ferramenta muito útil no campo da análise de rede. É um poderoso analisador de protocolo de rede, o que significa que pode capturar e examinar o tráfego de dados que flui através de sua rede. Isso é crucial para entender como diferentes dispositivos em sua rede se comunicam, detectar possíveis ameaças à segurança e solucionar problemas de rede.

Iniciando o Wireshark a partir do Terminal

Primeiro, aprenderemos como iniciar o Wireshark usando o terminal. O terminal é uma interface baseada em texto que permite interagir com seu computador digitando comandos.

  1. Certifique-se de estar no ambiente de Desktop da sua VM (Virtual Machine) LabEx. A Máquina Virtual (VM) é como um computador separado rodando dentro do seu computador real, e o ambiente de desktop é a interface gráfica onde você pode ver ícones e janelas.
  2. Abra um terminal. Você pode fazer isso de duas maneiras. Você pode clicar no ícone do terminal na barra de tarefas, que geralmente fica na parte inferior ou superior da tela. Ou, você pode usar um atalho de teclado: pressione Ctrl+Alt+T simultaneamente.
  3. Depois que o terminal estiver aberto, você precisará digitar um comando para iniciar o Wireshark. No terminal, digite o seguinte comando e pressione Enter:
wireshark

Este comando diz ao computador para iniciar o programa Wireshark.

  1. Depois de pressionar Enter, você precisa esperar alguns segundos para que o Wireshark inicie. Assim que estiver pronto, você deverá ver a janela principal do Wireshark aparecer na sua tela, conforme mostrado abaixo:
Wireshark Main Window

Entendendo a Tela Inicial

Quando o Wireshark abre pela primeira vez, existem vários elementos importantes na tela que você deve conhecer.

  • Há uma tela de boas-vindas que fornece algumas informações básicas sobre o Wireshark. Isso pode dar uma visão geral do que a ferramenta pode fazer.
  • Você verá uma lista de interfaces de rede disponíveis. As interfaces de rede são como portas pelas quais seu computador se conecta a uma rede. Você pode escolher uma dessas interfaces para capturar o tráfego que está entrando e saindo do seu computador.
  • Pode haver uma lista de arquivos de captura recentes. Se você usou o Wireshark antes e salvou alguns arquivos de captura, você pode abri-los aqui para revisar o tráfego de rede capturado anteriormente.
  • Existem também campos de entrada de filtro de exibição e filtro de captura. Os filtros são usados para focar em tipos específicos de tráfego de rede. Por exemplo, você pode usar um filtro para mostrar apenas o tráfego de um determinado endereço IP.

Reserve um momento para olhar para esta tela inicial. Este é o ponto de partida onde você geralmente seleciona uma interface de rede para começar a capturar tráfego ou abrir um arquivo de captura salvo anteriormente.

Identificando as Áreas Principais da Interface

Mesmo antes de começar a capturar o tráfego de rede, você pode identificar as áreas principais da interface do Wireshark. Essas áreas são importantes porque fornecem diferentes funções e controles para usar o Wireshark de forma eficaz.

  • No topo da janela, há a Barra de Menu (Menu Bar). Ela contém opções como Arquivo (File), Editar (Edit), Visualizar (View), etc. Você pode usar essas opções para realizar várias ações, como salvar um arquivo de captura, alterar as configurações de visualização ou editar preferências.
  • Abaixo da barra de menu, há a Barra de Ferramentas (Toolbar). Ela possui botões para ações comuns. Por exemplo, pode haver um botão para iniciar ou parar uma captura, ou para salvar um arquivo rapidamente.
  • A Barra de Filtro (Filter Bar) é onde você pode inserir filtros de exibição. Como mencionado anteriormente, os filtros ajudam você a se concentrar em tipos específicos de tráfego. Você pode digitar uma expressão de filtro aqui para mostrar apenas o tráfego que atende aos seus critérios.
  • A área de conteúdo principal está atualmente mostrando a tela de boas-vindas. Mais tarde, quando você iniciar uma captura, esta área exibirá o tráfego de rede capturado.
Wireshark Main Window

Na próxima etapa, exploraremos esses componentes com mais detalhes.

Explorando a Interface do Wireshark

Nesta etapa, vamos dar uma olhada detalhada nas diferentes partes da interface do Wireshark. O Wireshark é uma ferramenta poderosa para análise de tráfego de rede, e entender seus componentes é essencial para examinar dados de rede de forma eficaz. Ao se familiarizar com esses elementos, você estará mais bem equipado para analisar o tráfego de rede e solucionar problemas.

Iniciando uma Captura de Amostra

Para facilitar a exploração da interface do Wireshark, começaremos capturando algum tráfego de rede de amostra. Veja como você pode fazer isso:

  1. Abra a janela principal do Wireshark. Nesta janela, você verá uma lista de interfaces de rede. Essas interfaces são como portas pelas quais seu computador se conecta a diferentes redes. Por exemplo, eth0 pode ser sua conexão de rede Ethernet, e lo é a interface de loopback. A interface de loopback é uma interface de rede especial que permite que um computador se comunique consigo mesmo.
loopback interface

  1. Encontre a interface chamada lo na lista e clique nela. Quando você clica em lo, o Wireshark começará a capturar todo o tráfego de rede que passa pela sua interface de loopback local. Esta é uma ótima maneira de começar porque é um ambiente simples e controlado.

  2. Após alguns segundos, olhe para a barra de ferramentas do Wireshark. Você verá um ícone de quadrado vermelho, que é o botão Parar (Stop). Clique nele para parar a captura de tráfego.

Depois de parar a captura, você deverá ver uma lista de pacotes capturados na janela do Wireshark. Esses pacotes nos ajudarão a explorar os diferentes componentes da interface do Wireshark.

Componentes Principais da Interface

A interface do Wireshark é dividida em várias áreas importantes. Cada área tem uma função específica e fornece diferentes tipos de informações sobre o tráfego de rede capturado.

No topo da janela do Wireshark, você encontrará a barra de menu. A barra de menu contém vários menus, cada um com um conjunto de comandos relacionados. Veja o que cada menu faz:

Menu Bar
  • Arquivo (File): Este menu é usado para operações básicas de arquivo. Você pode usá-lo para abrir arquivos de captura existentes, salvar a captura atual ou exportar os dados capturados em diferentes formatos.
  • Editar (Edit): O menu Editar tem comandos para copiar dados dos pacotes capturados, encontrar informações específicas dentro dos pacotes e definir suas preferências pessoais sobre como o Wireshark se comporta.
  • Visualizar (View): Este menu permite que você controle como os pacotes e elementos da interface são exibidos. Você pode alterar o layout, o tamanho da fonte e outros aspectos visuais da janela do Wireshark.
  • Capturar (Capture): O menu Capturar fornece opções para iniciar, parar e configurar o processo de captura de tráfego. Você pode definir filtros, escolher de quais interfaces de rede capturar e muito mais.
  • Analisar (Analyze): Este menu contém ferramentas para análise aprofundada dos dados dos pacotes. Você pode usar essas ferramentas para procurar padrões, detectar anomalias e entender o comportamento do tráfego de rede.
  • Estatísticas (Statistics): O menu Estatísticas oferece várias ferramentas estatísticas. Essas ferramentas podem ajudá-lo a entender as características gerais do tráfego capturado, como o número de pacotes enviados e recebidos, a distribuição de protocolos e muito mais.
  • Telefonia (Telephony): Se você estiver trabalhando com VoIP (Voice over Internet Protocol) ou outro tráfego de rede relacionado à telefonia, o menu Telefonia possui ferramentas de análise especificamente projetadas para esses tipos de protocolos.
  • Sem Fio (Wireless): Para análise de rede sem fio, o menu Sem Fio fornece ferramentas que são adaptadas às características exclusivas das redes sem fio, como intensidade do sinal, uso do canal e muito mais.
  • Ajuda (Help): O menu Ajuda contém documentação e recursos de assistência. Se você estiver com dificuldades ou precisar de mais informações sobre como usar um recurso específico no Wireshark, é aqui que você pode encontrar respostas.

2. Barra de Ferramentas

A barra de ferramentas está localizada logo abaixo da barra de menu. Ela fornece acesso rápido a algumas das funções mais usadas no Wireshark.

Quando você move o mouse sobre a barra de ferramentas, você verá uma dica de ferramenta com o nome do botão.

Toolbar

Veja o que cada grupo de botões na barra de ferramentas faz:

  • Iniciar/Parar Captura (Start/Stop Capture): Esses botões permitem que você inicie e pare facilmente o processo de captura de tráfego sem ter que passar pelo menu Capturar.
  • Abrir/Salvar (Open/Save): Os botões Abrir e Salvar são atalhos para as operações de arquivo no menu Arquivo. Você pode usá-los para abrir rapidamente um arquivo de captura existente ou salvar a captura atual.
  • Zoom (+/-): As ferramentas de Zoom permitem que você aumente e diminua o zoom da visualização de pacotes. Isso é útil quando você deseja dar uma olhada mais de perto em um determinado pacote ou ver mais pacotes de uma vez.
  • Ir Para (Go To): Os botões Ir Para são usados para navegação. Você pode usá-los para se mover rapidamente entre diferentes pacotes na lista capturada.
  • Colorir (Colorize): Os controles Colorir permitem que você altere a coloração dos pacotes na lista de pacotes. A coloração pode ajudá-lo a identificar rapidamente diferentes tipos de pacotes com base em suas características.

3. Painel de Lista de Pacotes

O Painel de Lista de Pacotes é uma das partes mais importantes da interface do Wireshark. Ele exibe uma lista de todos os pacotes capturados, juntamente com algumas informações resumidas importantes sobre cada pacote. Veja o que cada coluna no Painel de Lista de Pacotes significa:

Packet List Pane
  • (No.): Este é o número do pacote na captura. É um número sequencial que ajuda você a acompanhar a ordem em que os pacotes foram capturados.
  • Tempo (Time): A coluna Tempo mostra o carimbo de data/hora de quando o pacote foi capturado. Isso pode ser útil para entender o tempo dos eventos de rede.
  • Origem (Source): A coluna Origem exibe o endereço IP do dispositivo que enviou o pacote. Isso ajuda você a identificar de onde o tráfego de rede está vindo.
  • Destino (Destination): A coluna Destino mostra o endereço IP do dispositivo para o qual o pacote se destina. Ele informa para onde o tráfego de rede está indo.
  • Protocolo (Protocol): A coluna Protocolo indica o protocolo da camada mais alta detectado no pacote. Por exemplo, pode ser TCP (Transmission Control Protocol), UDP (User Datagram Protocol) ou HTTP (Hypertext Transfer Protocol).
  • Comprimento (Length): A coluna Comprimento mostra o comprimento do pacote em bytes. Isso pode dar uma ideia do tamanho dos dados que estão sendo transmitidos.
  • Informações (Info): A coluna Informações fornece um resumo do conteúdo do pacote. Ele fornece uma visão geral rápida do que o pacote está fazendo, como uma solicitação de uma página da web ou uma resposta de um servidor.

Para ver informações mais detalhadas sobre um pacote específico, clique nele no Painel de Lista de Pacotes. Quando você fizer isso, os outros painéis na interface do Wireshark serão atualizados para mostrar detalhes sobre o pacote selecionado.

4. Painel de Detalhes do Pacote

O Painel de Detalhes do Pacote mostra informações detalhadas sobre o pacote selecionado em um formato hierárquico. Quando você clica em um pacote no Painel de Lista de Pacotes, este painel exibirá todas as informações sobre esse pacote, divididas por camadas de protocolo.

Packet Details Pane
  • O pacote é dividido em diferentes camadas de protocolo, como a camada Frame, camada Ethernet, camada IP, camada TCP e assim por diante. Cada camada representa uma parte diferente do processo de comunicação de rede.
  • Ao lado de cada camada, há uma seta. Você pode clicar nesta seta para expandir ou recolher a camada. Quando você expande uma camada, você verá todos os campos e valores dentro dessa camada, que fornecem informações específicas sobre o pacote.

Tente clicar nas setas ao lado de diferentes camadas de protocolo para ver como você pode detalhar os detalhes específicos de um pacote. Esta é uma ótima maneira de entender como os protocolos de rede funcionam e como os dados são transmitidos pela rede.

5. Painel de Bytes do Pacote

O Painel de Bytes do Pacote exibe os bytes brutos do pacote selecionado nos formatos hexadecimal e ASCII. Este painel oferece uma visão de baixo nível dos dados do pacote.

Packet Bytes Pane
  • A coluna esquerda no Painel de Bytes do Pacote mostra o deslocamento (offset), que é a posição de cada byte no pacote.
  • As colunas do meio exibem os valores hexadecimais dos bytes. Hexadecimal é um sistema de numeração comumente usado em ciência da computação para representar dados binários de uma forma mais legível para humanos.
  • A coluna direita mostra a representação ASCII dos bytes. ASCII é um padrão de codificação de caracteres que mapeia dados binários para caracteres.

Quando você seleciona um campo específico no Painel de Detalhes do Pacote, os bytes correspondentes no Painel de Bytes do Pacote serão realçados. Isso ajuda você a ver a relação entre as informações de protocolo de alto nível no Painel de Detalhes do Pacote e os dados binários brutos no Painel de Bytes do Pacote.

Redimensionando Painéis

Você pode ajustar o tamanho de cada painel na interface do Wireshark para se concentrar nas informações que são mais importantes para sua análise. Veja como você pode fazer isso:

  1. Mova o cursor para o divisor entre dois painéis. Quando você fizer isso, o cursor mudará para um cursor de redimensionamento, que se parece com uma seta de duas pontas. Isso indica que você pode redimensionar os painéis.

  2. Clique e segure o botão do mouse e arraste o divisor para redimensionar os painéis de acordo com sua preferência. Você pode tornar um painel maior e o outro menor.

  3. Por exemplo, se você quiser ver mais pacotes de uma vez, pode tornar o Painel de Lista de Pacotes maior. Se você quiser ver informações mais detalhadas sobre um pacote sem ter que rolar, pode tornar o Painel de Detalhes do Pacote maior.

  4. Você também pode clicar duas vezes em um divisor. Quando você fizer isso, o Wireshark redimensionará automaticamente os painéis para um tamanho padrão ou ideal.

A capacidade de redimensionar painéis é muito útil, especialmente quando você está analisando capturas de rede complexas com um grande número de pacotes ou informações detalhadas do protocolo. Ele permite que você personalize a interface do Wireshark para atender às suas necessidades específicas de análise.

Personalizando a Interface do Wireshark

Nesta etapa, exploraremos como personalizar a interface do Wireshark. Personalizar a interface é crucial, pois permite que você adapte o Wireshark às suas preferências pessoais, tornando suas tarefas de análise de rede mais eficientes. O Wireshark vem com uma ampla gama de opções de personalização que podem aprimorar significativamente seu fluxo de trabalho.

Personalizando o Layout

O Wireshark oferece diferentes opções de layout que determinam como os painéis principais são organizados. Esses painéis são essenciais, pois exibem diferentes aspectos dos dados de rede capturados.

  1. Primeiro, localize a barra de menus na parte superior da janela do Wireshark. Clique em Edit e, em seguida, selecione Preferences no menu suspenso. Isso abrirá a janela de Preferências, onde você pode fazer várias alterações de configuração.
  2. Na janela de Preferências, observe a barra lateral esquerda. Navegue até Appearance e clique em Layout. Aqui, você encontrará as configurações relacionadas ao layout da interface.
  3. Você tem várias opções de layout para escolher:
    • Packet List, Packet Details e Packet Bytes em uma coluna (padrão): Este é o layout padrão, onde todas as informações importantes são empilhadas em uma única coluna.
    • Packet List no topo, Packet Details e Packet Bytes em uma coluna abaixo: Neste layout, a Lista de Pacotes fica no topo, e os outros dois painéis ficam abaixo dela em uma única coluna.
    • Packet List no topo, Packet Details e Packet Bytes lado a lado abaixo: Aqui, a Lista de Pacotes fica no topo, e os painéis Packet Details e Packet Bytes são organizados lado a lado abaixo dela.
    • Layout personalizado: Esta opção permite que você organize os painéis em uma grade de acordo com suas necessidades específicas.
  4. Tente selecionar um layout diferente, por exemplo, "Packet List no topo, Packet Details e Packet Bytes lado a lado abaixo". Isso pode lhe dar uma melhor visualização dos dados, dependendo dos seus requisitos de análise.
  5. Após selecionar o layout, clique em OK para aplicar as alterações.
  6. Observe como o layout da interface muda. Diferentes layouts podem ser mais adequados para diferentes tarefas de análise ou tamanhos de tela. Por exemplo, se você tiver uma tela grande, o layout lado a lado pode ser mais conveniente para análise detalhada.
Wireshark layout options

Personalizando Colunas na Lista de Pacotes

O Painel da Lista de Pacotes exibe uma lista de pacotes capturados. Você pode modificar quais colunas aparecem neste painel para exibir as informações mais relevantes para sua análise.

  1. Clique com o botão direito em qualquer cabeçalho de coluna no Painel da Lista de Pacotes. Um menu de contexto aparecerá com várias opções.
  2. No menu de contexto, selecione Column Preferences. Isso abrirá uma janela onde você pode gerenciar as colunas no Painel da Lista de Pacotes.
  3. Na janela de Preferências que se abre:
    • Para adicionar uma nova coluna: Clique no botão +. Um menu suspenso aparecerá onde você pode selecionar um tipo de coluna. Após selecionar o tipo, forneça um título para a nova coluna.
    • Para remover uma coluna: Selecione a coluna que deseja remover da lista e clique no botão -.
    • Para reordenar colunas: Selecione uma coluna e use os botões de seta para cima/para baixo para movê-la para cima ou para baixo na lista.
    • Para modificar uma coluna: Clique duas vezes na coluna. Isso permitirá que você edite suas propriedades, como o título ou o campo que ela exibe.
  4. Vamos tentar adicionar uma nova coluna:
    • Clique no botão +.
    • Para "Field type", selecione "Custom". Isso lhe dá a flexibilidade de escolher um campo específico para exibir.
    • Para "Field name", insira "ip.src". Isso mostrará os endereços IP de origem dos pacotes.
    • Para "Title", insira "Source IP". Este será o título da nova coluna.
    • Clique em OK para confirmar as configurações.
  5. Clique em OK na janela de Preferências para aplicar suas alterações.
  6. Agora você deve ver sua nova coluna no Painel da Lista de Pacotes. Esta nova coluna o ajudará a identificar rapidamente os endereços IP de origem dos pacotes capturados.
Packet List Column Preferences

Configurando Regras de Cores

O Wireshark usa cores para ajudá-lo a identificar rapidamente diferentes tipos de tráfego. Ao personalizar essas regras de cores, você pode tornar ainda mais fácil distinguir entre vários tipos de pacotes.

  1. Na barra de menus, selecione View e, em seguida, clique em Coloring Rules. Isso abrirá a janela de Regras de Cores.
  2. Na janela de Regras de Cores, você verá uma lista de regras de cores existentes. Cada regra tem três componentes principais:
    • Um nome: Este é um rótulo para a regra, facilitando a identificação.
    • Um filtro de exibição: Isso determina a quais pacotes a regra se aplica. Por exemplo, um filtro pode ser definido para corresponder apenas a pacotes de um determinado protocolo.
    • Cores de primeiro plano e de fundo: Estas são as cores usadas para destacar os pacotes correspondentes.
  3. Para adicionar uma nova regra de cor:
    • Clique no botão +.
    • Insira um nome para sua regra, como "ICMP Packets". Isso o ajudará a reconhecer facilmente a regra mais tarde.
    • Insira um filtro de exibição, por exemplo, "icmp". Este filtro garantirá que a regra se aplique apenas a pacotes ICMP.
    • Clique nos botões de cor de primeiro plano e de fundo para escolher as cores que deseja usar para destacar esses pacotes.
    • Clique em OK para salvar a nova regra.
  4. Para alterar a prioridade das regras, selecione uma regra e use os botões para cima/para baixo. As regras no topo têm prioridade maior do que as abaixo. Isso significa que, se um pacote corresponder a várias regras, a regra com a maior prioridade será aplicada.
  5. Clique em OK para aplicar suas alterações.
  6. Observe como os pacotes que correspondem ao seu filtro agora aparecem com as cores escolhidas. Isso torna muito mais fácil identificar rapidamente tipos específicos de tráfego nos dados capturados.
Wireshark coloring rules setup

Salvando Seu Perfil

Após personalizar o Wireshark ao seu gosto, você pode salvar sua configuração como um perfil. Os perfis são úteis porque permitem que você alterne rapidamente entre diferentes configurações de interface, dependendo do tipo de tarefa de análise de rede em que está trabalhando.

  1. Na barra de menus, selecione Edit e, em seguida, clique em Configuration Profiles. Isso abrirá a janela de Perfis de Configuração.
  2. Na janela de Perfis de Configuração, clique em + para criar um novo perfil.
  3. Insira um nome para seu perfil, como "Meu Perfil Personalizado". Este nome o ajudará a identificar facilmente o perfil mais tarde. Em seguida, clique em OK.
  4. Suas configurações de configuração atuais são agora salvas neste perfil. Isso significa que sempre que você selecionar este perfil, o Wireshark carregará as configurações que você personalizou.
  5. Você pode alternar entre diferentes perfis indo em Edit > Configuration Profiles e selecionando um perfil da lista. Por exemplo, você pode ter um perfil para navegação geral e outro para análise detalhada de protocolos.

Restaurando Configurações Padrão

Se você quiser retornar às configurações padrão do Wireshark após fazer muitas alterações, a maneira correta é voltar ao perfil de configuração padrão. Este perfil é integrado e preserva as configurações originais.

  1. Na barra de menus, selecione Edit e, em seguida, clique em Configuration Profiles. Isso abrirá a janela de Perfis de Configuração.
  2. Na lista de perfis, selecione o perfil Default.
  3. Clique em OK. Isso restaurará imediatamente o layout, as colunas e as cores ao seu estado padrão.

Uma maneira mais rápida de fazer isso é clicar com o botão direito no nome do perfil na barra de status no canto inferior direito da janela do Wireshark e selecionar Default no menu de contexto.

Seu perfil personalizado não é excluído por esta ação. Você pode voltar a ele a qualquer momento.

Resumo

Neste laboratório, você aprendeu sobre a interface do Wireshark e seus componentes, que são essenciais para análise e solução de problemas de tráfego de rede. Você explorou o processo de lançamento do Wireshark, se familiarizou com seus cinco componentes principais e aprendeu a iniciar uma captura básica e gerar tráfego para análise.

Você também dominou métodos para navegar pelos pacotes capturados, personalizar a interface e criar perfis de configuração. Essas habilidades estabelecem uma base sólida para análise de rede avançada. À medida que você progride em segurança cibernética e administração de rede, sua capacidade de usar e personalizar o Wireshark será inestimável para solução de problemas, análise de incidentes e compreensão de protocolos de rede.

Relacionados Wireshark Cursos
Wireshark para Iniciantes

Wireshark para Iniciantes

cybersecuritywireshark
Análise de Cibersegurança com Wireshark e Tshark

Análise de Cibersegurança com Wireshark e Tshark

cybersecuritywireshark