LabEx
EntrarJunte-se

Exportar Pacotes Filtrados no Tshark

WiresharkBeginner
Pratique Agora

Introdução

Neste laboratório, você aprenderá como filtrar e exportar pacotes de rede específicos usando a ferramenta de linha de comando tshark do Wireshark. Você praticará a extração de pacotes UDP de um arquivo de captura de amostra (capture.pcap) e salvá-los em um novo arquivo (udp.pcap).

O exercício cobre operações-chave do tshark, incluindo a abertura de arquivos de captura com -r, a aplicação de filtros com -Y e a exportação de resultados usando -w. Você também verificará os pacotes exportados usando análise detalhada com a flag -V.

Abrir Arquivo com -r capture.pcap

Nesta etapa, você aprenderá como abrir um arquivo de captura de pacotes usando a ferramenta de linha de comando tshark do Wireshark. Este é o primeiro passo na análise do tráfego de rede a partir de um arquivo de captura pré-gravado. Tshark é a versão terminal do Wireshark, permitindo que você analise pacotes de rede sem a interface gráfica.

A opção -r no tshark permite que você leia pacotes de um arquivo de captura previamente salvo. O arquivo que usaremos (capture.pcap) contém dados de tráfego de rede de amostra para análise. Arquivos PCAP armazenam dados brutos de pacotes de rede que podem ser examinados posteriormente.

Siga estas etapas cuidadosamente:

  1. Primeiro, certifique-se de estar no diretório correto onde o arquivo de captura está localizado. Isso é importante porque o tshark precisa encontrar o arquivo:
cd ~/project
  1. Verifique se o arquivo de captura existe e verifique seu tamanho. Isso confirma que você está trabalhando com o arquivo certo:
ls -l capture.pcap

Você deve ver uma saída semelhante a esta, mostrando as permissões do arquivo, tamanho e tempo de modificação:

-rw-r--r-- 1 labex labex 123456 Jul 1 10:00 capture.pcap
  1. Agora, abra o arquivo de captura usando o tshark. Este comando básico lê o arquivo e exibe um resumo de cada pacote:
tshark -r capture.pcap

Isso exibirá o resumo do pacote no seu terminal. Cada linha representa um pacote de rede com informações-chave:

1 0.000000 192.168.1.1 → 192.168.1.2 TCP 74 443 → 54321 [SYN] Seq=0 Win=64240 Len=0
2 0.000123 192.168.1.2 → 192.168.1.1 TCP 74 54321 → 443 [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0
  1. Para ver informações mais detalhadas sobre os pacotes, incluindo todas as camadas de protocolo (como cabeçalhos Ethernet, IP, TCP), você pode adicionar a flag -V para saída verbose:
tshark -r capture.pcap -V

Isso mostrará os detalhes completos do pacote, o que é útil quando você precisa examinar campos específicos nos cabeçalhos do pacote.

Filtrar UDP com -Y "udp"

Nesta etapa, você aprenderá como filtrar pacotes UDP de uma captura de rede usando a sintaxe de filtro de exibição do Wireshark com a opção -Y no tshark. UDP (User Datagram Protocol) é um protocolo de rede fundamental que fornece uma maneira simples de enviar datagramas sem estabelecer conexões. Essa filtragem é particularmente útil quando você precisa se concentrar apenas no tráfego UDP de um arquivo de captura maior que pode conter vários protocolos.

A opção -Y no tshark funciona de forma semelhante ao campo de filtro de exibição do Wireshark. Ele permite que você especifique critérios de filtragem que mostrarão apenas os pacotes que correspondem a certas condições. Aqui, filtraremos especificamente os pacotes usando o protocolo UDP.

Siga estas etapas cuidadosamente:

  1. Primeiro, certifique-se de ainda estar no diretório do projeto onde seu arquivo de captura está localizado. Isso é importante porque o tshark precisa do caminho correto para acessar seu arquivo de captura:
cd ~/project
  1. Agora, aplique o filtro UDP para analisar apenas pacotes UDP no arquivo de captura. A estrutura básica do comando é tshark -r [arquivo] -Y [filtro]:
tshark -r capture.pcap -Y "udp"

Este comando processará o arquivo capture.pcap e exibirá apenas pacotes UDP. A saída mostrará os pacotes filtrados em um formato como este:

5 0.002345 192.168.1.1 → 192.168.1.2 UDP 82 5353 → 5353 Len=40
8 0.004567 192.168.1.2 → 192.168.1.1 UDP 82 5353 → 5353 Len=40

Cada linha representa um pacote UDP, mostrando seu número na captura, carimbo de data/hora, endereços IP de origem e destino, portas e comprimento do pacote.

  1. Para obter informações mais detalhadas sobre cada pacote UDP, você pode adicionar a flag -V (verbose). Isso exibirá a análise completa do protocolo para cada pacote:
tshark -r capture.pcap -Y "udp" -V

Esta saída verbose mostrará todas as camadas do pacote, incluindo os cabeçalhos Ethernet, IP e UDP com seus respectivos campos e valores.

  1. Se você só precisa saber quantos pacotes UDP existem em sua captura (sem ver seu conteúdo), você pode direcionar a saída para o comando de contagem de palavras:
tshark -r capture.pcap -Y "udp" | wc -l

Isso produzirá um único número representando a contagem total de pacotes UDP encontrados em seu arquivo de captura.

Exportar Pacotes com -w udp.pcap

Nesta etapa, você aprenderá como exportar pacotes UDP filtrados para um novo arquivo de captura usando a opção -w do Wireshark. Isso é particularmente útil quando você deseja isolar tráfego de rede específico para análise focada ou para compartilhar com colegas.

A opção -w diz ao Tshark para escrever pacotes em um arquivo no formato pcap, que é o formato padrão para arquivos de captura de pacotes. Quando combinado com o filtro -Y que usamos anteriormente, podemos salvar seletivamente apenas os pacotes UDP do nosso arquivo de captura original.

Vamos detalhar o processo passo a passo:

  1. Primeiro, certifique-se de estar no diretório do projeto onde seu arquivo de captura está localizado:
cd ~/project
  1. Agora, vamos exportar todos os pacotes UDP para um novo arquivo chamado udp.pcap:
tshark -r capture.pcap -Y "udp" -w udp.pcap

Este comando faz três coisas importantes:

  • -r capture.pcap especifica o arquivo de entrada para leitura
  • -Y "udp" aplica nosso filtro para selecionar apenas pacotes UDP
  • -w udp.pcap diz ao Tshark onde salvar os pacotes filtrados
  1. Após executar o comando, vamos verificar se nosso novo arquivo foi criado:
ls -l udp.pcap

Você deve ver uma saída semelhante a esta, mostrando que o arquivo existe e seu tamanho:

-rw-r--r-- 1 labex labex 12345 Jul 1 10:05 udp.pcap
  1. Para verificar quantos pacotes UDP foram realmente exportados para nosso novo arquivo:
tshark -r udp.pcap | wc -l

Este comando conta todos os pacotes no novo arquivo. O número deve corresponder aos pacotes UDP da sua captura original.

  1. Finalmente, vamos confirmar que apenas pacotes UDP foram exportados, verificando se há algum pacote não-UDP:
tshark -r udp.pcap -Y "not udp" | wc -l

Isso deve retornar 0, o que significa que nosso filtro funcionou corretamente e apenas pacotes UDP foram salvos em udp.pcap.

Verificar com -r udp.pcap -V

Nesta etapa final de verificação, examinaremos o conteúdo do arquivo de pacotes UDP exportados (udp.pcap) usando o modo de saída detalhada do Wireshark. A flag -V significa "verbose" (verboso) e exibe informações abrangentes do protocolo para cada pacote, ajudando-nos a confirmar que nossas operações anteriores de filtragem e exportação funcionaram corretamente.

Ao trabalhar com capturas de pacotes, a verificação é crucial porque garante que extraímos exatamente o que pretendíamos. Vamos percorrer vários métodos de verificação:

  1. Primeiro, navegue até o diretório do projeto onde seu arquivo de captura de pacotes está armazenado:
cd ~/project
  1. Visualize os primeiros pacotes UDP com informações detalhadas do protocolo. O comando head -20 limita a saída às primeiras 20 linhas para facilitar a leitura:
tshark -r udp.pcap -V | head -20

A saída mostrará detalhes do pacote como este exemplo, onde você pode verificar as informações do protocolo UDP:

Frame 1: 82 bytes on wire (656 bits), 82 bytes captured (656 bits)
Ethernet II, Src: 00:11:22:33:44:55, Dst: 66:77:88:99:aa:bb
Internet Protocol Version 4, Src: 192.168.1.1, Dst: 192.168.1.2
User Datagram Protocol, Src Port: 5353, Dst Port: 5353
  1. Para confirmar que todos os pacotes no arquivo são pacotes UDP, examinaremos os campos do protocolo. Este comando extrai e conta os tipos de protocolo exclusivos:
tshark -r udp.pcap -T fields -e frame.protocols | sort | uniq -c

Em uma captura devidamente filtrada, você só deve ver os protocolos relacionados ao UDP listados.

  1. Para uma verificação completa, vamos verificar se há algum pacote não-UDP que possa ter sido incluído acidentalmente. Este comando filtra o tráfego não-UDP e deve retornar resultados vazios:
tshark -r udp.pcap -Y "not udp" -V
  1. Finalmente, conte o número total de pacotes UDP em seu arquivo exportado para verificar se a quantidade corresponde às suas expectativas:
tshark -r udp.pcap | wc -l

Isso fornece a contagem total de pacotes no arquivo de captura, que devem ser todos pacotes UDP após nosso processo de filtragem.

Resumo

Neste laboratório, você aprendeu como usar a ferramenta de linha de comando tshark do Wireshark para analisar, filtrar e exportar pacotes de rede. Os exercícios cobriram a abertura de arquivos de captura com -r, a visualização de informações detalhadas do pacote usando -V e a aplicação de filtros de exibição com -Y para isolar tráfego específico, como UDP.

Você praticou a exportação de pacotes filtrados para um novo arquivo usando -w e verificou os resultados relendo a saída. Essas técnicas fornecem habilidades essenciais para análise eficiente de tráfego de rede e extração seletiva de dados em ambientes de linha de comando.

Relacionados Wireshark Cursos
Wireshark para Iniciantes

Wireshark para Iniciantes

cybersecuritywireshark
Análise de Cibersegurança com Wireshark e Tshark

Análise de Cibersegurança com Wireshark e Tshark

cybersecuritywireshark