LabEx
EntrarJunte-se

Monitorar Tráfego em Tempo Real no Tshark

WiresharkBeginner
Pratique Agora

Introdução

Neste laboratório, você aprenderá a monitorar o tráfego de rede em tempo real usando a ferramenta de linha de comando tshark do Wireshark. Você praticará a captura de pacotes na interface eth1, configurando atualizações de estatísticas em tempo real e analisando a saída resumida com comandos-chave como -i e --update-interval.

Através de exercícios práticos, você observará handshakes TCP (apertos de mão TCP), terminará sessões e interpretará detalhes de tráfego em tempo real, incluindo endereços IP e protocolos. Este laboratório oferece experiência prática com técnicas essenciais de análise de rede.

Iniciar Captura com -i eth1

Nesta etapa, você aprenderá como iniciar uma captura de pacotes de rede usando a ferramenta de linha de comando tshark do Wireshark na interface eth1. Esta é a operação fundamental para a análise de tráfego de rede.

Interfaces de rede são os pontos físicos ou virtuais onde seu computador se conecta a uma rede. A flag -i no tshark especifica de qual interface de rede capturar os pacotes. Na maioria dos sistemas Linux, eth1 representa a primeira interface Ethernet, que normalmente é sua conexão de rede com fio principal. No nosso ambiente de VM LabEx, eth1 é a interface Ethernet padrão conectada à rede.

Quando você executa o tshark sem nenhum filtro, ele capturará todo o tráfego de rede que passa pela interface especificada. Isso inclui pacotes de entrada e saída. O comando que estamos prestes a usar fornece uma visão em tempo real desse tráfego.

Siga estas etapas para começar a capturar:

  1. Abra o terminal em sua VM LabEx (você já deve estar no diretório ~/project)
  2. Execute o seguinte comando para iniciar a captura em eth1:
tshark -i eth1

Este comando diz ao tshark para ouvir na interface eth1 e exibir cada pacote à medida que ele é capturado. A saída mostrará informações detalhadas sobre cada pacote de rede em tempo real.

Você deve ver uma saída semelhante a esta à medida que os pacotes começam a ser capturados:

Capturing on 'eth1'
1 0.000000000 192.168.1.100 → 192.168.1.1    TCP 74 55942 → 80 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 SACK_PERM=1 TSval=123456789 TSecr=0 WS=128
2 0.000123456 192.168.1.1 → 192.168.1.100    TCP 74 80 → 55942 [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0 MSS=1460 SACK_PERM=1 TSval=987654321 TSecr=123456789 WS=128

Cada linha representa um pacote capturado, mostrando seu timestamp (carimbo de data/hora), endereços IP de origem e destino, tipo de protocolo (TCP neste caso) e vários detalhes específicos do protocolo. O primeiro pacote mostra uma iniciação de conexão TCP (flag SYN), enquanto o segundo mostra a resposta (SYN-ACK).

Para parar a captura, pressione Ctrl+C no terminal. Isso exibirá um resumo dos pacotes capturados antes de retornar ao prompt de comando. O resumo inclui estatísticas sobre quantos pacotes foram capturados e processados.

Definir Atualizações de 1 Segundo com --update-interval 1000

Nesta etapa, configuraremos o tshark para mostrar atualizações periódicas das estatísticas de tráfego de rede. Essa abordagem é particularmente útil para iniciantes porque fornece uma visão clara e gerenciável da atividade da rede sem sobrecarregá-lo com detalhes constantes dos pacotes.

O parâmetro --update-interval controla com que frequência o tshark atualiza sua exibição. O valor é especificado em milissegundos (ms), onde 1000 ms equivalem a 1 segundo. Isso significa que obteremos um instantâneo do nosso tráfego de rede a cada segundo, tornando mais fácil observar padrões e mudanças.

Antes de começarmos, vamos entender o que estamos fazendo:

  • Estamos monitorando a interface de rede eth1 (a porta Ethernet padrão na maioria dos sistemas)
  • Em vez de ver cada pacote individualmente, veremos contagens resumidas
  • A exibição será atualizada automaticamente a cada segundo

Veja como configurar isso:

  1. Primeiro, certifique-se de estar no diretório de trabalho correto. Abra seu terminal e navegue até:
cd ~/project
  1. Agora, execute este comando para iniciar o monitoramento com atualizações de 1 segundo:
tshark -i eth1 --update-interval 1000

Após executar isso, você verá uma saída semelhante a:

Capturing on 'eth1'
Packets: 15
Packets: 32
Packets: 47

Notas importantes sobre a saída:

  • A contagem de "Packets" (Pacotes) mostra o número total capturado desde o início do tshark
  • Cada nova linha representa uma atualização após o intervalo especificado (1 segundo)
  • Os números variarão dependendo da sua atividade de rede real
  • Números mais altos indicam mais tráfego de rede durante esse período

Este método oferece uma visão geral limpa e periódica da atividade da rede, o que é especialmente útil quando você está aprendendo sobre monitoramento de rede e deseja observar padrões de tráfego sem se perder em detalhes.

Mostrar Resumo ao Vivo com -P

Nesta etapa, exploraremos como monitorar o tráfego de rede em um nível superior usando o modo de resumo do tshark. Isso é particularmente útil quando você deseja observar padrões de tráfego sem se sentir sobrecarregado pelos detalhes individuais dos pacotes. Pense nisso como observar o fluxo de tráfego de uma rodovia, em vez de examinar cada carro.

O parâmetro -P diz ao tshark para exibir estatísticas periódicas em vez de mostrar cada pacote. Quando combinado com --update-interval, ele cria uma visualização semelhante a um painel que é atualizada no tempo especificado. Essa abordagem é muito mais eficiente do que rolar pelos dados brutos dos pacotes quando você só precisa de uma visão geral.

Antes de começarmos, certifique-se de estar no diretório de trabalho correto, onde você tem permissão para capturar o tráfego de rede. O comando que usaremos se baseia no que você aprendeu nas etapas anteriores:

tshark -i eth1 --update-interval 1000 -P

Aqui está o que cada parte faz:

  • -i eth1 especifica a interface de rede a ser monitorada
  • --update-interval 1000 define a taxa de atualização para 1000 milissegundos (1 segundo)
  • -P habilita o modo de exibição de estatísticas periódicas

Após executar o comando, você verá uma saída que é atualizada a cada segundo, mostrando três métricas principais:

Capturing on 'eth1'
Packets: 15    Avg. packet size: 342 bytes    Packets/s: 5
Packets: 32    Avg. packet size: 356 bytes    Packets/s: 8
Packets: 47    Avg. packet size: 378 bytes    Packets/s: 7

Essas métricas informam:

  1. O número total de pacotes capturados desde o início
  2. O tamanho médio desses pacotes em bytes
  3. A taxa atual de pacotes que fluem pela interface

Essa visualização é especialmente útil para detectar picos repentinos de tráfego ou padrões incomuns em sua atividade de rede. Os números mudarão dinamicamente à medida que as condições da rede mudarem, fornecendo informações em tempo real sobre o que está acontecendo em sua rede.

Terminar com Ctrl+C

Nesta etapa, aprenderemos como interromper com segurança uma sessão de captura de pacotes tshark ativa. Como iniciante, é importante entender que simplesmente fechar o terminal ou encerrar o processo abruptamente pode resultar em perda de dados. O método adequado usa o mecanismo de interrupção padrão do Linux.

Quando você executa o tshark, ele monitora continuamente o tráfego de rede e grava dados na memória. Pressionar Ctrl+C envia um SIGINT (interrupção de sinal) que diz ao tshark para:

  1. Parar imediatamente de capturar novos pacotes
  2. Finalizar e exibir as estatísticas coletadas
  3. Sair limpo de volta para o seu prompt de comando

Aqui está exatamente o que fazer:

  1. Primeiro, certifique-se de que sua captura tshark esteja em execução (usando o mesmo comando de antes: -i eth1 --update-interval 1000 -P)
  2. No seu teclado, pressione e segure a tecla Ctrl
  3. Enquanto segura Ctrl, pressione a tecla C uma vez

Você verá uma saída como esta:

^C
47 packets captured

O símbolo ^C confirma que você pressionou Ctrl+C. O número mostra quantos pacotes foram capturados com sucesso durante sua sessão. Essa contagem ajuda a verificar se sua captura funcionou como esperado antes de interrompê-la.

Lembre-se de que este método preserva todos os dados capturados e oferece uma saída limpa, ao contrário da interrupção forçada, que pode perder pacotes sendo processados ​​quando interrompida.

Resumo

Neste laboratório, você aprendeu a monitorar o tráfego de rede em tempo real usando o Tshark, a interface de linha de comando do Wireshark. As principais técnicas incluíram a iniciação da captura de pacotes em eth1 com -i, a configuração de atualizações periódicas via --update-interval e a exibição de resumos de pacotes em tempo real usando -P.

Os exercícios forneceram experiência prática com a captura de pacotes brutos, a análise de handshakes TCP e o rastreamento de estatísticas de tráfego em tempo real. Essas habilidades fundamentais permitem o monitoramento e a solução de problemas de rede eficientes por meio da inspeção de pacotes baseada em terminal.

Relacionados Wireshark Cursos
Wireshark para Iniciantes

Wireshark para Iniciantes

cybersecuritywireshark
Análise de Cibersegurança com Wireshark e Tshark

Análise de Cibersegurança com Wireshark e Tshark

cybersecuritywireshark