1. Uso do Wireshark para análise de tráfego em redes de
computadores
Luiz Felipe de Sousa
1 Universidade Federal do Pará (UFPA)
luizfelipe.mz@gmail.com
Abstract. This article describes the procedures for installation, configuration,
capture and analysis of traffic on a network of computers, seeking a better
understanding of the protocols used and their functions using the network tool
wireshark.
Resumo. Este artigo descreve os procedimentos para a instalação,
configuração, captura e análise de tráfego em uma rede de computadores,
visando um melhor compreendimento dos protocolos usados e suas funções
com o uso da ferramenta Wireshark.
Palavras chave: análise de tráfego.
1. Introdução
O objetivo deste artigo é demonstrar os procedimentos para a instalação, configuração,
captura e análise de tráfego em uma rede de computadores usando a ferramenta
Wireshark. Este artigo faz parte do trabalho da disciplina de Gerência de Redes
ministrada pelo prof. Msc. Cassio David pelo aluno Luiz Felipe de Sousa do curso de
Bacharelado em Sistemas de Informação.
A ferramenta Wireshark é considerada uma ferramenta de gerência de rede e serve para
analisar e monitorar os dados transmitidos através de seus protocolos. O objetivo do uso
desta ferramenta nesta atividade é o de identificar o tráfego gerado pela ação tomada
bem como os protocolos usados na transação.
2. Wireshark
O Wireshark ( desenvolvido pela Ethereal ) é comumente usado por administradores de
redes pois pode efetivamente realizar a verificação dos pacotes transmitidos pelo
dispositivo de comunicação (placa de fax modem, placa de rede, etc.) do computador.
Um sniffer que detecta problemas de rede, conexões suspeitas, auxilia no
desenvolvimento de aplicativos.
O programa é responsável por analisar o tráfego de pacotes recebidos e organiza-los por
protocolo. Todo o tráfego de entrada e saída é analisado e mostrado em uma lista de
fácil navegação.
È uma ferramenta livre, ou seja, pode-se efetuar o download e utilizar sem se preocupar
com questões como licenciamento ou registro da mesma, é baixar e usar. O Wireshark é
registrado pela GNU General Public License (GPL), as funcionalidades desta
ferramenta são parecidas com o TCPDUMP, mas com uma interface GUI, possui mais
informações e com possibilidade de aplicar filtros o que auxilia bastante na hora de
2. visualizar apenas o tráfego dejesado.
O wireshark está disponível para várias plataformas, entre elas estão:
● UNIX
● Linux
● Windows
● FreeBSDNetBSD
● OpenBSD
● MAC OS X
● Solaris
A instalação desta ferramenta é um procedimento bem intuitivo não tendo maiores
complicações, a seguir realizarei a demonstração da instalação em sistemas Linux e
Windows XP.
No Linux:
Primeiramente é necessário realizar o download da ferramenta em
http://www.wireshark.org/download.html
Para instalação desta ferramenta será necessário utilizar outro aplicativo para auxiliar a
instalação, o apt-get.
O apt-get é um recurso desenvolvido originalmente para a distribuição
Debian que permite a instalação e a atualização de pacotes (programas,
bibliotecas de funções, etc) para o Linux de maneira fácil e precisa. Antes de tudo
utilizaremos o comando abaixo:
# apt-get update
Antes de instalar um programa, é necessário executar o comando para o
computador ter todos os arquivos necessários para instalação do programa. Agora
será necessário entrar no diretório onde foi descompacto os arquivos e digitar o
seguinte comando, pois o pacote descompilado é de formato de tar.gz:
# tar -zxvf nome_do_pacote.tar.gz
Para finalizar a instalação, usaremos o apt-get para auxiliar a instalação.
# apt-get install wireshark
Pronto, agora a ferramenta esta instalada em seu computador. Para iniciar o programa é
necessário entrar como root no Shell e digitar o seguinte comando:
# wireshark
Instalação no WINDOWS XP
1º Efetuar o download do Wireshark. http://www.wireshark.org/download.html
2º Clicar no executável e instalar o Wireshark.
3º Executar o programa: Iniciar–> Programas –>Wireshark
3. Para capturar os pacotes que trafegam na rede, deve-se escolher a interface de rede a
ser monitorada. Para definir as interfaces ir a Capture->Interfaces.
Para começar o processo de sniffing, clicar start na interface que pretende ver os pacotes
a serem monitorados pelo programa.
3. Utilizando o Wireshark
O wireshark possui diversas funcionalidades interessantes a serem exploradas, mas para
ilustrar o básico irei descrever a ação de uma simples captura de pacotes.
Depois de instalado, é só abrir o programa. Se estiver usando ambiente Linux utilize o
comando:
#wireshark
Note que o comando roda com permissões de root (#), isto se faz necessário para a
utilização de algumas funções da ferramenta como a habilitação da interface em modo
promícuo.
Se estiver usando Windows basta procurar o ícone do programa localizado na área de
trabalho ou no menu Iniciar>Programas>Wireshark.
Esta tela será exibida:
4. Acesse o menu:
E selecione a interface a ser monitorada e clique em start:
Pronto, sua captura teve inicio e seus resultados serão exibidos em tempo real com
separação de protocolos e a possibilidade de aplicar filtros para tratamento dos dados
obtidos.
4. Experimento
Foi realizado um experimento baseado em acessar uma página web, sendo que o
programa wireshark estivesse rodando, capturando os pacotes envolvidos na transação,
a seguir serão apresentados os resultados obtidos.
Primeiramente foi constatado o uso do protocolo ARP que é o responsável pelo envio
de um frame em broadcasting com endereço IP do destino, o qual responde com um
datagrama contendo o seu endereço IP e o endereço físico
Foi constatado o estabelecimento de conexão onde o cliente inicia a ligação enviando
um pacote TCP com a flag SYN ativa e espera-se que o servidor aceite a ligação
enviando um pacote SYN+ACK
Na captura foi observado o uso do protocolo TCP, tendo como origem da requisição o
IP da máquina usada para o acesso e como destino da requisição a página que se
desejava acessar:
Neste mesmo pacote TCP pôde-se observar as informações reais em caracteres ascii
transmitidas pelo mesmo através do recurso Follow Tcp Stream presente no programa:
5. Nos pacotes subseqüentes pode-se observar o uso do protocolo HTTP o qual faz a
requisição através do método GET de informações da página requisitada tais como
imagens a serem carregadas na mesma:
GET /disciplinas/gredes/atividade1/1.gif HTTP/1.1
Host: cassio.orgfree.com
GET /disciplinas/gredes/atividade1/8.gif HTTP/1.1
Host: cassio.orgfree.com
Observa-se ainda a resposta de requisição bem sucedida que é uma mensagem de
estado de conexão representada pelo código 200 OK. Após os testes verificou-se a
existência do fechamento da sessão TCP onde o cliente envia um pacote TCP com a
flag FIN e recebe uma resposta ACK, e o outro lado da conexão procede da mesma
maneira.
5. Conclusão
O uso de redes cresce constantemente, juntamente com os seus recursos, novas
funcionalidades surgem e para um administrador de redes é de fundamental importância
saber o que trafega em sua rede, seja para documentação ou mesmo para a segurança. O
uso da ferramenta Wireshark auxilia bastante nesta tarefa provendo controle e
organização dos dados obtidos.
6. Referências
http://www.webartigos.com/articles/20062/1/wireshark/pagina1.html acessado em
05/10/2009
http://www.guiadohardware.net/tutoriais/wireshark/ acessado em 05/10/2009