tubarão de arame, anteriormente conhecido como Ethereal, é um poderoso programa de código aberto que me ajuda a monitorar e analisar as informações que viajam de e para uma rede específica. Graças à sua capacidade de processar dados complexos de centenas de protocolos em diferentes tipos de redes e organizá-los em pacotes de dados, posso acompanhar o que está acontecendo na minha rede.
Um dos recursos mais úteis do Wireshark é sua capacidade de filtrar grandes quantidades de informações de forma rápida e fácil. Em vez de ter que revisar manualmente todos os arquivos capturados, posso aplicar filtros que me permitem acessar diretamente os dados que desejo verificar.
Filtros Wireshark
Existem dois tipos de filtros no Wireshark: filtros de captura e filtros de exibição. Cada um tem sua própria sintaxe e finalidade específica.
Os filtros de captura são definidos antes de iniciar uma captura de dados. Esses filtros registram e armazenam apenas o tráfego que estou interessado em analisar. Depois que a captura é iniciada, não consigo modificar esse tipo de filtro.
Por outro lado, os filtros de exibição são aplicados a todos os pacotes capturados. Posso definir esses filtros antes ou durante uma captura, e eles me permitem focar na informação que quero ver, ocultando o tráfego que não me interessa.
O Wireshark possui uma vasta biblioteca de filtros integrados que me ajudam a monitorar minha rede com mais eficiência. Para usar um filtro existente, basta inserir seu nome na seção “Aplicar um filtro de exibição” abaixo da barra de ferramentas do programa. Se eu quiser encontrar e aplicar um filtro de captura de tela, posso usar a seção “Inserir uma captura de tela” na tela de boas-vindas.
Embora o Wireshark tenha recursos de filtragem muito abrangentes, lembrar a sintaxe correta pode ser complicado e demorado. Mas você está com sorte! Aqui está uma lista dos melhores filtros do Wireshark para ajudá-lo a usar o programa com mais eficiência e eliminar as suposições ao analisar grandes quantidades de dados.
Melhores Filtros Wireshark
Aqui estão alguns filtros úteis que permitirão que você domine o programa:
1. ip.address == xxxx
Este filtro mostrará apenas os pacotes capturados que incluem o endereço IP que você definir. É uma ferramenta útil para inspecionar um tipo específico de tráfego. Você pode usar a variante ip.dst == xxxx para filtrar por destino e a variante ip.src == xxxx para filtrar por origem.
2. Endereço IP == xxxx && endereço IP == xxxx
Este filtro estabelece uma conversa entre dois endereços IP predefinidos. É muito útil para verificar dados entre duas redes ou hosts selecionados, pois ignora dados desnecessários e foca nas informações que mais lhe interessam. Para filtrar por destino, você pode usar a string ip.src == xxxx && ip.dst == xxxx.
3. http ou dns
Ao aplicar este filtro, serão exibidos todos os pacotes com protocolos HTTP ou DNS. É uma maneira rápida e fácil de se concentrar no protocolo que deseja examinar. Por exemplo, se você precisar encontrar tráfego de FTP suspeito, basta definir o filtro para “ftp”. Se você deseja investigar por que uma página da Web não é exibida, pode definir o filtro como “dns”.
4. tcp.port==xxx
Este filtro limita a pesquisa a uma porta específica. Em vez de revisar todo o pacote capturado, o filtro mostra apenas o tráfego entrando ou saindo de uma única porta. É especialmente útil quando você está com pouco tempo.
5.tcp.flags.reset==1
A aplicação desse filtro mostrará todas as redefinições de TCP. Quando o valor desse campo é definido como um, indica que a conexão TCP foi finalizada. É um dos filtros mais impressionantes do Wireshark, pois permite identificar rapidamente as conexões encerradas.
6. TCP contém xxx
Este filtro encontrará todos os pacotes capturados que contenham o termo especificado. Por exemplo, se você deseja encontrar pacotes que contenham a palavra “tráfego”, basta escrever “tráfego” em vez de “xxx”. É útil para procurar IDs de usuário ou strings específicos.
7. !(arp ou icmp ou dns)
Este filtro permite excluir protocolos específicos que você não precisa. Você pode bloquear dados desnecessários e focar na análise das informações mais urgentes.
8. tcp.time_delta > .250
Este filtro mostra pacotes TCP com tempo delta maior que 250 ms em sua transmissão. Antes de usar este filtro, você deve calcular o timestamp de conversão TCP, o que requer um conhecimento mais avançado do Wireshark.
9. tcp.analysis.flags && !tcp.analysis.window_update
Com esse filtro, você pode ver retransmissões, zero janelas e ataques duplicados em um único rastreamento. É uma ótima maneira de detectar baixo desempenho de aplicativos ou perda de pacotes.
Dicas para usar filtros no Wireshark
É frustrante não lembrar a sintaxe correta de um filtro e perder um tempo valioso procurando por dados importantes. Mas não se preocupe, existem algumas ferramentas que podem te ajudar.
O recurso de preenchimento automático do Wireshark pode ser muito útil. Por exemplo, se você sabe que o filtro deve começar com “tcp”, você pode digitar essa informação no campo de pesquisa correspondente e o Wireshark irá gerar uma lista de filtros que começam com “tcp”. Você só precisa percorrer a lista até encontrar o que precisa.
Outra maneira de encontrar filtros é usando a opção “marcador” ao lado do campo de entrada. Ao selecionar “Gerenciar filtros de exibição” ou “Gerenciar expressões de filtro”, você poderá modificar, adicionar ou remover filtros. Essa opção é especialmente útil se você não se lembrar de abreviações de sintaxe complexa.
Além disso, você pode salvar seus filtros favoritos para uso futuro. Aqui estão os passos para fazê-lo:
- Seu tubarão de arame e vá para a opção “marcador”.
- Clique em “Gerenciar filtros de exibição” para abrir a caixa de diálogo.
- Encontre o filtro que deseja salvar, selecione-o e pressione o botão “+” para salvá-lo como favorito.
Essas etapas permitirão que você acesse de maneira rápida e fácil seus filtros favoritos no futuro.
O Wireshark e seus filtros são uma ferramenta inestimável para analisar dados em redes. Você pode economizar tempo e encontrar rapidamente os parâmetros específicos de que precisa, como endereços IP ou valores HEX. Se estiver tendo problemas para lembrar os diferentes filtros que você usa, salve seus favoritos para usar mais tarde.
Quanto você usa filtros no Wireshark? Você confia mais em filtros de captura ou filtros de exibição? Você já usou alguma das opções mencionadas acima? Conte-nos na seção de comentários!
