Wireshark (Português)

O Wireshark é um analisador de pacotes livre e de código aberto. Ele é usado para solucionar de problemas de rede, análise, desenvolvimento de software e protocolo de comunicação e educação.

Status de tradução: Esse artigo é uma tradução de Wireshark. Data da última tradução: 2019-10-08. Você pode ajudar a sincronizar a tradução, se houver alterações na versão em inglês.

Instalação

Instale o pacote wireshark-qt para a GUI do Wireshark ou wireshark-cli para apenas a CLI tshark.

Nota: A interface GTK obsoleta foi removida no Wireshark 3.0.

Privilégios de captura

Não execute Wireshark como root, é inseguro. O Wireshark implementou a separação de privilégios.

O script de instalação do wireshark-cli define as capacidades de captura de pacotes no executável /usr/bin/dumpcap.

/usr/bin/dumpcap só pode ser executado como root e membros do grupo wireshark, de forma que, para usar Wireshark como um usuário normal, você precisa adicionar seu usuário ao grupo de usuários wireshark (Veja Usuários e grupos#Gerenciamento de grupo).

Algumas técnicas de captura

Existem várias maneiras de capturar exatamente o que você está procurando no Wireshark, aplicando filtros de captura ou filtros de exibição.

Nota: Para aprender a sintaxe do filtro de captura, veja o man pcap-filter(7). Para os filtros de exibição, veja o man wireshark-filter(4).

Filtrando pacotes TCP

Se quiser ver todos os pacotes TCP atuais, digite tcp na barra "Filter" ou na CLI, digite:

$ tshark -f "tcp"

Filtrando pacotes UDP

Se quiser ver todos os pacotes UDP atuais, digite na barra "Filter" ou na CLI, digite:

$ tshark -f "udp"

Filtrar pacotes para um endereço IP específico

  • Se você quiser ver todo o tráfego indo para um endereço específico, digite o filtro de exibição , substituindo pelo endereço IP ao qual o tráfego de saída está sendo enviado.
  • Se você quiser ver todo o tráfego de entrada para um endereço específico, digite o filtro de exibição , substituindo pelo endereço IP ao qual o tráfego de entrada está sendo enviado.
  • Se você quiser ver todo o tráfego de entrada ou saída para um endereço específico, digite o filtro de exibição , substituindo pelo endereço IP relevante.

Excluir pacotes de um endereço IP específico

ip.addr != 1.2.3.4

Filtrar pacotes para LAN

Para ver apenas tráfego de LAN, nenhum tráfego de internet, execute

ip.src==192.168.0.0/16 and ip.dst==192.168.0.0/16

Filtrar pacotes por porta

Veja todo tráfego em duas portas ou mais:

tcp.port==80||tcp.port==3306
tcp.port==80||tcp.port==3306||tcp.port==443
gollark: Yep!
gollark: Yes?
gollark: They should be running the superior OS of ArchLinu x™
gollark: How odd.
gollark: No, -0.6, I'm the inverse of Erdős times 0.6.
This article is issued from Archlinux. The text is licensed under Creative Commons - Attribution - Sharealike. Additional terms may apply for the media files.