Usar Análise de Duas Passagens no Tshark

WiresharkBeginner
Pratique Agora

Introdução

Neste laboratório, você aprenderá a realizar análise de duas passagens usando o tshark, a ferramenta de linha de comando do Wireshark, para analisar o tráfego de rede a partir de um arquivo PCAP. Você praticará o uso de opções-chave como -r para leitura de arquivos, -2 para o modo de duas passagens e -V para saída verbose, enquanto examina pacotes de reconhecimento TCP com filtros de exibição.

Os exercícios o guiarão por operações fundamentais e avançadas do tshark, incluindo verificação de arquivos, aprimoramento da dissecação de protocolos por meio da análise de duas passagens e interpretação de padrões de tráfego de rede. Essas habilidades práticas o ajudarão a conduzir análises de rede mais precisas e eficientes usando os recursos poderosos do tshark.

Abrir Arquivo com -r capture.pcap

Nesta etapa, você aprenderá a abrir e examinar um arquivo de captura de pacotes usando a ferramenta de linha de comando do Wireshark, tshark. Essa habilidade fundamental é essencial para analisar o tráfego de rede pré-gravado antes de passar para técnicas de análise mais avançadas.

A opção -r é um dos parâmetros mais frequentemente usados do tshark. Ela significa "read" (ler) e especifica que o tshark deve processar pacotes de um arquivo em vez de capturar tráfego de rede ao vivo. Estaremos trabalhando com um arquivo de amostra chamado capture.pcap que contém dados de comunicação de rede gravados.

Antes de começarmos, vamos entender com o que estamos trabalhando:

  • Um arquivo .pcap é um formato padrão para armazenar pacotes de rede capturados
  • O arquivo contém dados brutos de tráfego de rede que analisaremos
  • Usar um arquivo de captura salvo nos permite estudar o comportamento da rede sem precisar de tráfego ao vivo

Siga estas etapas cuidadosamente:

  1. Primeiro, navegue até o diretório que contém nosso arquivo de captura:
cd ~/project
  1. Verifique se o arquivo de captura existe e verifique suas propriedades:
ls -l capture.pcap

Você deve ver uma saída semelhante a:

-rw-r--r-- 1 labex labex 12345 Jan 1 00:00 capture.pcap

Isso confirma que o arquivo existe e mostra seu tamanho e permissões.

  1. Agora, vamos abrir e exibir o conteúdo do arquivo de captura:
tshark -r capture.pcap

Este comando lê o arquivo e exibe um resumo de cada pacote capturado em seu terminal. Cada linha representa um pacote de rede, mostrando informações básicas como carimbo de data/hora, endereços de origem/destino e protocolo.

Para iniciantes: Ao começar com a análise de pacotes, trabalhar com arquivos de captura salvos é frequentemente mais fácil do que lidar com tráfego ao vivo. A opção -r nos dá essa capacidade. Nas próximas etapas, aprenderemos a filtrar e analisar aspectos específicos desse tráfego.

Habilitar Duas Passagens com -2

Nesta etapa, exploraremos como usar o tshark do Wireshark no modo de análise de duas passagens, adicionando a opção -2. Este recurso poderoso faz com que o tshark processe o arquivo de captura duas vezes, melhorando significativamente a precisão da análise de protocolo e os resultados dos filtros de exibição.

Para aqueles que são novos na análise de pacotes: Normalmente, o tshark lê os pacotes sequencialmente apenas uma vez. O modo de duas passagens muda isso por:

  1. Primeira passagem: Verifica rapidamente todo o arquivo para construir relacionamentos e dependências de protocolo
  2. Segunda passagem: Analisa cuidadosamente cada pacote com contexto completo da primeira passagem

Você vai querer usar o modo de duas passagens quando:

  • Estiver trabalhando com protocolos complexos onde pacotes posteriores explicam os anteriores
  • Aplicar filtros de exibição sofisticados que precisam de contexto completo do pacote
  • Gerar estatísticas e resumos precisos de protocolo

Vamos praticar com nosso arquivo de captura de amostra:

  1. Primeiro, navegue até o diretório do projeto (se você estiver continuando das etapas anteriores):
cd ~/project
  1. Agora, execute o tshark com a análise de duas passagens habilitada:
tshark -2 -r capture.pcap

Entendendo o que acontece: A flag -2 ativa o processo de varredura dupla. Durante a primeira passagem, o tshark observa detalhes importantes do protocolo, como números de sequência TCP e estados da sessão. Na segunda passagem, ele usa essas informações para reconstruir adequadamente as conversas e aplicar filtros com precisão. Isso é particularmente valioso para protocolos como TCP, onde os reconhecimentos afetam como interpretamos os pacotes de dados.

Filtrar Respostas com -R "tcp.flags.ack==1"

Nesta etapa, exploraremos como filtrar pacotes TCP ACK usando os poderosos recursos de filtragem de exibição do Wireshark. A opção -R no Tshark nos permite aplicar esses filtros para analisar o tráfego de rede capturado. Isso é particularmente útil quando você deseja se concentrar em tipos específicos de pacotes, como reconhecimentos TCP.

Os pacotes TCP ACK desempenham um papel crucial na comunicação de rede. Sempre que seu computador recebe dados por meio de uma conexão TCP, ele envia de volta esses pacotes de reconhecimento para confirmar o recebimento bem-sucedido. Ao filtrá-los, podemos estudar como os sistemas confirmam a entrega de dados.

Vamos percorrer o processo passo a passo:

  1. Primeiro, precisamos navegar para nosso diretório de trabalho onde o arquivo de captura está armazenado:
cd ~/project
  1. Agora, usaremos o Tshark com a opção de análise de duas passagens (-2) e aplicaremos nosso filtro ACK:
tshark -2 -r capture.pcap -R "tcp.flags.ack==1"

Analisando o que está acontecendo neste comando:

  • -2 habilita a análise de duas passagens para resultados mais precisos
  • -r capture.pcap especifica nosso arquivo de captura de entrada
  • -R "tcp.flags.ack==1" aplica nosso filtro de exibição para pacotes ACK

Pontos-chave a serem entendidos:

  • A opção -R diz ao Tshark para mostrar apenas os pacotes que correspondem aos nossos critérios de filtro
  • tcp.flags.ack==1 corresponde precisamente aos pacotes onde a flag TCP ACK está definida como 1 (verdadeiro)
  • TCP ACKs são comportamento normal do protocolo - eles não indicam necessariamente problemas
  • A análise de duas passagens (-2) ajuda a garantir a dissecação e filtragem precisas do protocolo

Após executar o comando, você verá uma saída contendo apenas pacotes TCP com a flag ACK definida. Uma linha típica se parece com:

1 0.000000 192.168.1.1 → 192.168.1.2 TCP 54 443 → 49234 [ACK] Seq=1 Ack=1 Win=64240 Len=0

Isso mostra o número do pacote, carimbo de data/hora, IPs de origem/destino, portas e informações específicas do TCP, incluindo a flag [ACK] que filtramos.

Exibir Resultados com -V

Nesta etapa, exploraremos como visualizar detalhes abrangentes de pacotes usando a opção -V (verbose) do Wireshark. Ao analisar o tráfego de rede, entender a estrutura completa dos pacotes é crucial. A flag -V ajuda exibindo a hierarquia completa do protocolo e todos os valores dos campos, o que é especialmente útil ao examinar pacotes TCP ACK de nossa filtragem anterior.

A saída verbose (-V) revela três aspectos-chave de cada pacote:

  • Desagregação completa do protocolo, mostrando como diferentes camadas se encapsulam
  • Cada valor de campo dentro desses protocolos, incluindo detalhes técnicos frequentemente ocultos nas visualizações padrão
  • Organização hierárquica clara que espelha como os protocolos realmente se empilham na comunicação de rede

Vamos executar esta etapa a passo:

  1. Primeiro, navegue até nosso diretório de trabalho onde o arquivo de captura está armazenado. Isso garante que possamos acessar nossos dados de captura de pacotes:
cd ~/project
  1. Agora, execute o comando com saída verbose para nossos pacotes ACK filtrados. Observe que estamos combinando a análise de duas passagens (-2) com nosso filtro anterior (-R) e adicionando -V:
tshark -2 -r capture.pcap -R "tcp.flags.ack==1" -V

Para aqueles que são novos na análise de pacotes:

  • A opção -V ativa o modo "verbose", como mudar da tabela de conteúdo de um livro para ler capítulos completos
  • Ao contrário da visualização padrão que mostra resumos básicos de pacotes, o modo verbose expõe todos os detalhes técnicos
  • A saída organiza as informações por camadas de protocolo (Ethernet → IP → TCP etc.), exatamente como os pacotes são estruturados
  • Você verá valores específicos para cada campo de protocolo, ajudando a entender exatamente o que está acontecendo na troca de rede

Aqui está o que esperar na saída (exemplo simplificado):

Frame 1: 54 bytes on wire...
Ethernet II, Src: aa:bb:cc:dd:ee:ff...
Internet Protocol Version 4, Src: 192.168.1.1...
Transmission Control Protocol, Src Port: 443...
    [ACK] Seq=1 Ack=1 Win=64240 Len=0
    [TCP Flags: ·······A····]

Resumo

Neste laboratório, você aprendeu a realizar a análise de pacotes em duas passagens usando a ferramenta de linha de comando tshark do Wireshark. O processo envolveu a leitura de pacotes de um arquivo de captura (capture.pcap) usando a opção -r e a verificação de sua localização antes da análise.

Você explorou o modo de duas passagens habilitado pela opção -2, que aprimora a precisão da análise de protocolo, verificando os pacotes duas vezes. Essa técnica se mostra particularmente útil para filtros complexos e protocolos que exigem informações contextuais de pacotes subsequentes.