🔍 ANÁLISE DE REDE

Wireshark

Análise de tráfego de rede, captura de pacotes, diagnóstico de problemas e deteção de anomalias.

← Voltar ao início

Interface do Wireshark

Packet List

  • Lista todos os pacotes capturados
  • Código de cores por protocolo
  • Número, tempo, source, dest
  • Protocolo e informação
  • Clique para detalhar

Packet Details

  • Estrutura detalhada do pacote
  • Camadas: Frame, Eth, IP, TCP
  • Expanded/collapse nós
  • Campos decoded
  • Bytes correspondentes

Packet Bytes

  • Raw bytes do pacote
  • Hex e ASCII view
  • Highlighting sincronizado
  • Endereços e ports
  • Dados transferidos

Filtros de Captura & Visualização

# Filtros de captura (terminal)
sudo tshark -i eth0 -f "port 80" # Apenas porta 80
sudo tshark -i eth0 host 192.168.1.1 # Apenas host
sudo tshark -i eth0 -c 100 # 100 pacotes e para

# Filtros de visualização (display)
tcp.port == 80 # Porta TCP 80
ip.addr == 192.168.1.1 # Endereço IP
http.request # Requests HTTP
tcp.flags.syn == 1 "> SYN flags
dns # Tráfego DNS
ssl # Tráfego encriptado

Análise de Protocolos

Estrutura de um pacote HTTP sobre TCP/IP:
Frame: Ethernet II, Src: 00:11:22... (74 bytes on wire)
Ethernet II, Src: aa:bb:cc..., Dst: dd:ee:ff...
Internet Protocol Version 4, Src: 192.168.1.100, Dst: 93.184.216.34
Transmission Control Protocol, Src Port: 54321, Dst Port: 80
Sequence Number: 0, Acknowledge Number: 1
Flags: 0x002 (SYN)
Hypertext Transfer Protocol
GET / HTTP/1.1\r\n

TCP

  • Three-way handshake
  • Sequence/Ack numbers
  • Window size
  • Flags (SYN, ACK, FIN, RST)
  • Retransmissions

DNS

  • Queries e Responses
  • Tipos: A, AAAA, MX, CNAME
  • Resolução de nomes
  • DNS over TCP/UDP
  • DNSSEC validation

HTTP/HTTPS

  • Methods: GET, POST, PUT
  • Status codes: 200, 404, 500
  • Headers
  • Cookies, sessions
  • TLS handshake analysis

Casos de Uso

Diagnóstico de Rede

  • Lentidão de conexão
  • Perda de pacotes
  • Latência
  • Problemas de conectividade
  • QoS issues

Segurança

  • Tráfego malicioso
  • Data exfiltration
  • C&C communications
  • Vulnerability scanning
  • Brute force attempts

Debugging

  • API calls analysis
  • Database queries
  • Application errors
  • Authentication issues
  • Integration problems

TShark (Linha de Comandos)

# Captura básica
tshark -i eth0 -c 100

# Filtros e output JSON
tshark -i eth0 -Y "http.request" -T json

# Estatísticas
tshark -r captura.pcap -q -z io,phs

# Exportar apenas HTTP
tshark -r captura.pcap -Y http -w http_only.pcap

# Ver fluxos TCP
tshark -r captura.pcap -q -z flow,tcp

Dicas Importantes

# Cores no Wireshark
Black : Erros
Red : TCP errors
Dark yellow: Routing (IP)
Light purple: UDP
Light green: HTTP

# Atalhos úteis
Ctrl+F : Procurar bytes
Ctrl+M : Marcar pacote
Ctrl+E : Exportar objetos
: : Ir para pacote