Como filtrar por IP no Wireshark

Os administradores de rede encontram uma ampla variedade de problemas de rede enquanto fazem seu trabalho. Sempre que houver uma ação suspeita ou a necessidade de avaliar um segmento de rede específico, ferramentas de analista de protocolo, como o Wireshark, podem ser úteis. Um recurso particularmente útil é a filtragem de pacotes de rede por endereços IP.

Como filtrar por IP no Wireshark

Se você for um usuário iniciante, pode achar um pouco desafiador configurar as etapas para fazer isso sozinho. Felizmente, reunimos este guia definitivo sobre como filtrar por IP no Wireshark. Você sairá sabendo a diferença entre suas duas linguagens de filtragem, aprendendo novas strings de filtro e muito mais.

A melhor coisa é que você só precisará de ajuda para executar essas etapas na primeira vez. Cada performance seguinte será moleza!

O que é o Wireshark?

O Wireshark é um analisador de pacotes de rede que domina o espaço da indústria há um bom tempo. Tem sido ótimo até o ponto de engavetar muitas ferramentas semelhantes, incluindo o Microsoft Network Monitor. As duas principais características que tornaram o Wireshark famoso são sua flexibilidade e facilidade de uso.

Analisadores de pacotes de rede são ferramentas que capturam e analisam o tráfego de dados com o máximo de detalhes possível em canais de comunicação específicos. Eles servem como ferramentas de diagnóstico definitivas para sistemas embarcados.

O Wireshark vem com a capacidade de primeira classe para filtrar pacotes durante a captura e na análise com diferentes níveis de complexidade. Isso o torna igualmente conveniente para iniciantes, bem como para profissionais de monitoramento de rede. O Wireshark também ingere e analisa o tráfego de vários outros analisadores de protocolo, tornando mais fácil revisar o tráfego passado em momentos específicos no passado.

Antes do Wireshark, as ferramentas de rastreamento de rede costumavam ser muito caras ou proprietárias. Tudo mudou com o advento deste aplicativo. O software é de código aberto e oferece suporte a todas as principais plataformas. Isso trouxe ao Wireshark muito apoio da comunidade, o que tirou o custo como uma barreira e abriu espaço para uma ampla gama de oportunidades de treinamento.

Aqui está o motivo pelo qual as pessoas podem querer usar o Wireshark:

  • Resolução de problemas de rede
  • Examinando problemas de segurança
  • Examinando aplicativos de rede
  • Implementações de protocolo de depuração
  • Aprendendo sobre os componentes internos do protocolo de rede

O download do Wireshark é gratuito. Caso ainda não tenha feito isso, você pode fazer isso aqui. Basta baixar o executável e clicar no arquivo para instalá-lo.

A interface do usuário do Wireshark

Depois de baixar e instalar o Wireshark, você pode acessá-lo de seu shell local ou gerenciador de janelas. Uma das primeiras coisas que você precisa fazer é escolher uma interface de rede na lista de redes em seus adaptadores de computador.

Você pode clicar em “Capturar”, depois em “Interfaces” no menu e escolher a opção apropriada.

A janela principal da interface do Wireshark consiste em várias partes:

  • Menu - usado para iniciar ações
  • Barra de ferramentas principal - acesso rápido aos itens que você costuma usar no menu
  • Barra de ferramentas de filtro - você pode definir filtros de exibição aqui
  • Painel de lista de pacotes - resumos de pacotes capturados
  • Painel de detalhes - mais informações sobre o pacote selecionado na faixa de pacotes
  • Painel de bytes - dados do pacote do painel da lista de pacotes, destacando o campo escolhido nesse painel
  • Barra de status - dados capturados e informações de estado do programa em andamento

Você pode controlar as listas de pacotes e navegar pelos detalhes inteiramente com o seu teclado. Há uma tabela mostrando comandos de atalho de teclado comuns aqui.

Como adicionar filtros no Wireshark?

A barra de ferramentas “Filtro” é onde você pode personalizar e executar novos filtros de exibição.

Para criar e editar filtros de captura, vá para “Gerenciar Filtros de Captura” no menu de favoritos ou navegue até “Capturar” e “Filtros de Captura” no menu principal.

Para criar e editar filtros de exibição, selecione "Gerenciar filtros de exibição" no menu de favoritos ou vá para o menu principal e selecione "Analisar" e "Filtros de exibição".

Você verá uma seção de entrada de filtro com um fundo verde. Esta é a área onde você insere e edita strings de filtro de exibição. Aqui também é onde você pode ver o filtro aplicado atualmente. Basta clicar no nome do filtro ou clicar duas vezes na string para editá-lo.

Conforme você escreve, o sistema fará uma verificação do sistema da string do filtro. Se você inserir um inválido, o fundo muda de verde para vermelho. Sempre pressione o botão “Aplicar” ou a tecla “Enter” para aplicar a string de filtro.

Você pode adicionar um novo filtro clicando no botão “Adicionar”, que é um sinal de mais preto em um fundo cinza claro. Outra forma de adicionar um novo filtro é clicar com o botão direito do mouse na área do botão do filtro. Para remover um filtro, clique no botão de menos. O botão menos ficará esmaecido se não houver nenhum filtro selecionado.

Como filtrar por endereço IP no Wireshark?

Um excelente recurso do Wireshark é que ele permite filtrar pacotes por endereços IP. Basta seguir as etapas abaixo para obter instruções sobre como fazer isso:

  1. Comece clicando no botão mais para adicionar um novo filtro de exibição.

  2. Execute a seguinte operação na caixa Filtro: ip.addr == [endereço IP] e pressione Enter.

  3. Observe que o Packet List Lane agora filtra apenas o tráfego que vai para (destino) e de (origem) para o endereço IP que você inseriu.

  4. Para limpar o filtro, clique no botão “Limpar” na barra de ferramentas Filtro.

IP fonte

Você pode restringir a visualização do pacote àqueles com endereços IP de origem específicos que aparecem nesse filtro. Basta executar o seguinte comando na caixa de filtro e pressionar Enter:

ip.src == [endereço IP]

IP de destino

Você pode aplicar filtros de destino para restringir a visualização do pacote àqueles com um IP de destino específico mostrado no filtro.

O comando é o seguinte:

ip.dst == [endereço IP]

Filtro de captura vs. Filtro de exibição

O Wireshark oferece suporte a duas linguagens de filtragem: filtros de captura e filtros de exibição. O primeiro é usado para filtrar durante a captura de pacotes. O último filtra os pacotes exibidos. Com os filtros de exibição, você pode se concentrar nos pacotes nos quais está interessado e ocultar os que não são importantes no momento. Você pode exibir pacotes com base em vários fatores:

  • Protocolo
  • Presença de campo
  • Valores de campo
  • Comparação de campo

Os filtros de exibição usam uma sintaxe de operador booleano e campos que descrevem os pacotes que você está filtrando. Depois de criar alguns filtros de exibição, fica fácil escrevê-los. Os filtros de captura são um pouco menos intuitivos, pois são enigmáticos.

Esta é uma visão geral dos recursos e usos de cada filtro:

Filtros de captura:

  • Eles são definidos antes de começar a capturar o tráfego
  • Impossível mudar durante a captura do tráfego
  • Usado para captura de tipo específico de tráfego

Filtros de exibição:

  • Eles reduzem os pacotes que estão sendo exibidos no Wireshark
  • Pode ser personalizado durante a captura de tráfego
  • Usado para ocultar o tráfego para avaliar tipos específicos de tráfego

Para obter mais informações sobre filtragem durante a captura, visite esta página.

FAQs adicionais

Como faço para filtrar o Wireshark por URL?

Você pode pesquisar URLs HTTP fornecidos na captura no Wireshark usando a seguinte string de filtro:

http contém “[URL]. “

Observe que você não pode usar os operadores "contém" em campos atômicos (números, endereços IP).

Como faço para filtrar o Wireshark por número de porta?

Você pode usar o seguinte comando para filtrar o Wireshark por número de porta:

Tcp.port eq [número da porta].

Como funciona o Wireshark?

O Wireshark é uma ferramenta de detecção de pacotes de rede. Ele analisa os pacotes de rede tomando uma conexão com a Internet e registrando os pacotes que trafegam por ela. Em seguida, ele fornece aos usuários as informações sobre esses pacotes, incluindo sua origem, destino, conteúdo, protocolos, mensagens, etc.

Indo 007 em Network Sniffing

Graças ao Wireshark, os engenheiros e administradores de rede não precisam mais se preocupar em perder ferramentas de diagnóstico para problemas essenciais de rede. Os recursos convenientes e facilmente acessíveis do programa tornam muito mais simples avaliar as vulnerabilidades da rede e solucionar problemas.

Depois de ler nosso artigo, você agora deve saber a diferença entre as diferentes opções de filtro no programa relacionadas à filtragem de IP. Você também aprendeu as expressões de string básicas para filtrar por IP e muito mais. Esperançosamente, isso ajudará a resolver quaisquer problemas de rede que você possa encontrar.

Que outros recursos você costuma usar no Wireshark? O que você acha que faz o Wireshark se destacar da concorrência? Compartilhe seus pensamentos na seção de comentários abaixo.