O Wireshark representa o analisador de protocolo mais usado do mundo. Ao usá-lo, você pode verificar tudo o que está acontecendo em sua rede, solucionar diferentes problemas, analisar e filtrar o tráfego de rede usando várias ferramentas, etc.
Se você quiser aprender mais sobre o Wireshark e como filtrar por porta, continue lendo.
O que exatamente é a filtragem de portas?
A filtragem de portas representa uma forma de filtrar pacotes (mensagens de diferentes protocolos de rede) com base em seu número de porta. Esses números de porta são usados para protocolos TCP e UDP, os protocolos mais conhecidos para transmissão. A filtragem de portas representa uma forma de proteção para o seu computador, pois, por meio da filtragem de portas, você pode escolher permitir ou bloquear certas portas para evitar diferentes operações na rede.
Existe um sistema bem estabelecido de portas usadas para diferentes serviços de Internet, como transferência de arquivos, e-mail, etc. Na verdade, existem mais de 65.000 portas diferentes. Eles existem no modo “permitir” ou “fechado”. Alguns aplicativos da internet podem abrir essas portas, deixando seu computador mais exposto a hackers e vírus.
Usando o Wireshark, você pode filtrar pacotes diferentes com base em seu número de porta. Por que você quer fazer isso? Porque, dessa forma, você pode filtrar todos os pacotes que não deseja em seu computador por diferentes motivos.
Quais são as portas importantes?
Existem 65.535 portas. Eles podem ser divididos em três categorias diferentes: as portas de 0 a 1023 são portas bem conhecidas e são atribuídas a serviços e protocolos comuns. Então, de 1024 a 49151 são portas registradas - são atribuídas pela ICANN a um serviço específico. E as portas públicas são portas 49152-65535, podem ser usadas por qualquer serviço. Portas diferentes são usadas para protocolos diferentes.
Se você quiser saber mais sobre os mais comuns, verifique a lista a seguir:
| Número da porta | Nome do Serviço | Protocolo |
| 20, 21 | Protocolo de transferência de arquivos - FTP | TCP |
| 22 | Shell seguro - SSH | TCP e UDP |
| 23 | Telnet | TCP |
| 25 | Protocolo de transferência de correio simples | TCP |
| 53 | Sistema de Nome de Domínio - DNS | TCP e UDP |
| 67/68 | Protocolo de configuração de host dinâmico - DHCP | UDP |
| 80 | Protocolo de transferência de hipertexto - HTTP | TCP |
| 110 | Post Office Protocol - POP3 | TCP |
| 123 | Protocolo de tempo de rede - NTP | UDP |
| 143 | Internet Message Access Protocol (IMAP4) | TCP e UDP |
| 161/162 | Protocolo de gerenciamento de rede simples - SNMP | TCP e UDP |
| 443 | HTTP com Secure Sockets Layer - HTTPS (HTTP sobre SSL / TLS) | TCP |
Análise no Wireshark
O processo de análise no Wireshark representa o monitoramento de diferentes protocolos e dados dentro de uma rede.
Antes de iniciarmos o processo de análise, certifique-se de saber o tipo de tráfego que está procurando analisar e os vários tipos de dispositivos que emitem tráfego:
- Você tem suporte para o modo promíscuo? Se você fizer isso, isso permitirá que seu dispositivo colete pacotes que não foram originalmente planejados para o seu dispositivo.
- Quais dispositivos você tem dentro de sua rede? É importante ter em mente que diferentes tipos de dispositivos transmitirão diferentes pacotes.
- Que tipo de tráfego você deseja analisar? O tipo de tráfego dependerá dos dispositivos em sua rede.
Saber usar diferentes filtros é extremamente importante para capturar os pacotes pretendidos. Esses filtros são usados antes do processo de captura de pacotes. Como eles funcionam? Ao definir um filtro específico, você remove imediatamente o tráfego que não atende aos critérios fornecidos.
Dentro do Wireshark, uma sintaxe chamada Berkley Packet Filter (BPF) é usada para criar diferentes filtros de captura. Uma vez que esta é a sintaxe mais comumente usada na análise de pacotes, é importante entender como ela funciona.
A sintaxe do Berkley Packet Filter captura filtros com base em diferentes expressões de filtragem. Essas expressões consistem em um ou vários primitivos, e os primitivos consistem em um identificador (valores ou nomes que você está tentando encontrar em pacotes diferentes), seguido por um ou vários qualificadores.
Os qualificadores podem ser divididos em três tipos diferentes:
- Tipo - com esses qualificadores, você especifica o tipo de coisa que o identificador representa. Os qualificadores de tipo incluem porta, rede e host.
- Dir (direção) - esses qualificadores são usados para especificar uma direção de transferência. Dessa forma, “src” marca a origem e “dst” marca o destino.
- Proto (protocolo) - com qualificadores de protocolo, você pode especificar o protocolo específico que deseja capturar.
Você pode usar uma combinação de diferentes qualificadores para filtrar sua pesquisa. Além disso, você pode usar operadores: por exemplo, você pode usar o operador de concatenação (& / e), o operador de negação (! / Não), etc.
Aqui estão alguns exemplos de filtros de captura que você pode usar no Wireshark:
| Filtros | Descrição |
| host 192.168.1.2 | Todo o tráfego associado a 192.168.1.2 |
| porta tcp 22 | Todo o tráfego associado à porta 22 |
| src 192.168.1.2 | Todo o tráfego proveniente de 192.168.1.2 |
É possível criar filtros de captura nos campos de cabeçalho do protocolo. A sintaxe é semelhante a esta: proto [offset: size (opcional)] = value. Aqui, proto representa o protocolo que você deseja filtrar, deslocamento representa a posição do valor no cabeçalho do pacote, o tamanho representa o comprimento dos dados e o valor são os dados que você está procurando.
Filtros de exibição no Wireshark
Ao contrário dos filtros de captura, os filtros de exibição não descartam pacotes, eles simplesmente os ocultam durante a visualização. Esta é uma boa opção, pois depois de descartar os pacotes, não será possível recuperá-los.
Filtros de exibição são usados para verificar a presença de um determinado protocolo. Por exemplo, se você gostaria de exibir pacotes que contenham um protocolo específico, você pode digitar o nome do protocolo na barra de ferramentas “Display filter” do Wireshark.
Outras opções
Existem várias outras opções que você pode usar para analisar pacotes no Wireshark, dependendo de suas necessidades.
- Na janela “Estatísticas” no Wireshark, você pode encontrar diferentes ferramentas básicas que você pode usar para analisar pacotes. Por exemplo, você pode usar a ferramenta “Conversas” para analisar o tráfego entre dois endereços IP diferentes.
- Na janela “Expert Infos”, você pode analisar as anomalias ou comportamentos incomuns em sua rede.
Filtrando por porta no Wireshark
Filtrar por porta no Wireshark é fácil graças à barra de filtro que permite aplicar um filtro de exibição.
Por exemplo, se você deseja filtrar a porta 80, digite o seguinte na barra de filtro: “tcp.port == 80. ” O que você também pode fazer é digitar “eq”Em vez de“ == ”, uma vez que“ eq ”se refere a“ igual ”.
Você também pode filtrar várias portas de uma vez. O || sinais são usados neste caso.
Por exemplo, se você deseja filtrar as portas 80 e 443, digite o seguinte na barra de filtro: “tcp.port == 80 || tcp.port == 443", ou "tcp.port eq 80 || tcp.port eq 443.”
FAQs adicionais
Como faço para filtrar o Wireshark por endereço IP e porta?
Existem várias maneiras de filtrar o Wireshark por endereço IP:
1. Se você estiver interessado em um pacote com um endereço IP específico, digite o seguinte na barra de filtro: “ip.adr == x.x.x.x.”
2. Se você estiver interessado em pacotes vindos de um endereço IP específico, digite o seguinte na barra de filtro: “ip.src == x.x.x.x.”
3. Se você estiver interessado em pacotes que vão para um endereço IP específico, digite isto na barra de filtro: “ip.dst == x.x.x.x.”
Se você deseja aplicar dois filtros, como endereço IP e número da porta, verifique o próximo exemplo: “ip.adr == 192.168.1.199. && tcp.port eq 443.”Uma vez que“ && ”representam símbolos para“ e ”, ao escrever isto, você pode filtrar sua pesquisa por endereço IP (192.168.1.199) e por número de porta (tcp.port eq 443).
Como o Wireshark captura o tráfego de portas?
O Wireshark captura todo o tráfego da rede conforme ele acontece. Ele irá capturar todo o tráfego da porta e mostrar todos os números das portas nas conexões específicas.
Se desejar iniciar a captura, siga estas etapas:
1. Abra o “Wireshark.”
2. Toque em “Capturar”.
3. Selecione “Interfaces”.
4. Toque em “Iniciar”.
Se você quiser se concentrar em um número de porta específico, pode usar a barra de filtro.
Quando quiser parar a captura, pressione ‘’ Ctrl + E. ’’
O que é o filtro de captura para uma opção DHCP?
A opção Dynamic Host Configuration Protocol (DHCP) representa um tipo de protocolo de gerenciamento de rede. É usado para atribuir endereços IP automaticamente a dispositivos que estão conectados à rede. Ao usar uma opção de DHCP, você não precisa configurar manualmente vários dispositivos.
Se você quiser ver apenas os pacotes DHCP no Wireshark, digite “bootp” na barra de filtros. Por que bootp? Porque representa a versão mais antiga do DHCP, e ambos usam os mesmos números de porta - 67 e 68.
Por que devo usar o Wireshark?
Usar o Wireshark tem inúmeras vantagens, algumas das quais são:
1. É grátis - você pode analisar o tráfego da sua rede de forma totalmente gratuita!
2. Ele pode ser usado para diferentes plataformas - você pode usar o Wireshark no Windows, Linux, Mac, Solaris, etc.
3. É detalhado - o Wireshark oferece uma análise profunda de vários protocolos.
4. Oferece dados ao vivo - esses dados podem ser coletados de várias fontes, como Ethernet, Token Ring, FDDI, Bluetooth, USB, etc.
5. É amplamente utilizado - o Wireshark é o analisador de protocolo de rede mais popular.
Wireshark não morde!
Agora você aprendeu mais sobre o Wireshark, suas habilidades e opções de filtragem. Se você quiser ter certeza de que pode solucionar e identificar qualquer tipo de problema de rede ou inspecionar os dados que entram e saem de sua rede, mantendo-a segura, você definitivamente deve tentar o Wireshark.
Você já usou o Wireshark? Conte-nos sobre isso na seção de comentários abaixo.