Como usar o Wireshark para capturar, filtrar e inspecionar pacotes

O Wireshark, uma ferramenta de análise de rede anteriormente conhecida como Ethereal, captura pacotes em tempo real e os exibe em formato legível. O Wireshark inclui filtros, codificação por cores e outros recursos que permitem que você explore profundamente o tráfego da rede e inspecione pacotes individuais.

Este tutorial o deixará atualizado com os fundamentos da captura, filtragem e inspeção de pacotes. Você pode usar o Wireshark para inspecionar o tráfego de rede de um programa suspeito, analisar o fluxo de tráfego em sua rede ou solucionar problemas de rede.

Obtendo Wireshark

Você pode baixar o Wireshark para Windows ou macOS de  seu site oficial . Se você estiver usando Linux ou outro sistema semelhante ao UNIX, provavelmente encontrará o Wireshark em seus repositórios de pacotes. Por exemplo, se estiver usando o Ubuntu, você encontrará o Wireshark no Ubuntu Software Center.

Apenas um aviso rápido: muitas organizações não permitem o Wireshark e ferramentas semelhantes em suas redes. Não use essa ferramenta no trabalho, a menos que tenha permissão.

Pacotes de captura

Depois de baixar e instalar o Wireshark, você pode iniciá-lo e clicar duas vezes no nome de uma interface de rede em Capture para começar a capturar pacotes nessa interface. Por exemplo, se você deseja capturar o tráfego em sua rede sem fio, clique em sua interface sem fio. Você pode configurar recursos avançados clicando em Capturar> Opções, mas isso não é necessário por enquanto.

Assim que clicar no nome da interface, você verá os pacotes começarem a aparecer em tempo real. O Wireshark captura cada pacote enviado de ou para o seu sistema.

Recomendado:  Como desativar o modo de economia de dados no Android

Se você tiver o modo promíscuo habilitado – ele é habilitado por padrão – você também verá todos os outros pacotes na rede, em vez de apenas os pacotes endereçados ao seu adaptador de rede. Para verificar se o modo promíscuo está ativado, clique em Capturar> Opções e verifique se a caixa de seleção “Ativar modo promíscuo em todas as interfaces” está ativada na parte inferior desta janela.

Clique no botão vermelho “Parar” próximo ao canto superior esquerdo da janela quando quiser parar de capturar o tráfego.

Codificação de Cores

Provavelmente, você verá pacotes destacados em uma variedade de cores diferentes. O Wireshark usa cores para ajudá-lo a identificar os tipos de tráfego rapidamente. Por padrão, roxo claro é o tráfego TCP, azul claro é o tráfego UDP e preto identifica pacotes com erros – por exemplo, eles podem ter sido entregues fora de ordem.

Para ver exatamente o que os códigos de cores significam, clique em Exibir> Regras para colorir. Você também pode personalizar e modificar as regras de coloração a partir daqui, se desejar.

Capturas de amostra

Se não houver nada de interessante em sua própria rede para inspecionar, o wiki do Wireshark o ajudará. O wiki contém uma  página de arquivos de captura de amostra  que você pode carregar e inspecionar. Clique em Arquivo> Abrir no Wireshark e navegue até o arquivo baixado para abrir um.

Você também pode salvar suas próprias capturas no Wireshark e abri-las mais tarde. Clique em Arquivo> Salvar para salvar seus pacotes capturados.

Pacotes de filtragem

Se você está tentando inspecionar algo específico, como o tráfego que um programa envia ao ligar para casa, é útil fechar todos os outros aplicativos que usam a rede para que você possa restringir o tráfego. Ainda assim, você provavelmente terá uma grande quantidade de pacotes para examinar. É aí que entram os filtros do Wireshark.

Recomendado:  Nintendo Switch OLED: a queima de tela é um problema?

A maneira mais básica de aplicar um filtro é digitando-o na caixa de filtro na parte superior da janela e clicando em Aplicar (ou pressionando Enter). Por exemplo, digite “dns” e você verá apenas pacotes DNS. Quando você começar a digitar, o Wireshark o ajudará a preencher automaticamente seu filtro.

Você também pode clicar em Analyze> Display Filters para escolher um filtro entre os filtros padrão incluídos no Wireshark. A partir daqui, você pode adicionar seus próprios filtros personalizados e salvá-los para acessá-los facilmente no futuro.

Para obter mais informações sobre a linguagem de filtragem de exibição do Wireshark, leia a página  Construindo expressões de filtro de exibição  na documentação oficial do Wireshark.

Outra coisa interessante que você pode fazer é clicar com o botão direito em um pacote e selecionar Seguir> Fluxo TCP.

Você verá a conversa TCP completa entre o cliente e o servidor. Você também pode clicar em outros protocolos no menu Seguir para ver as conversas completas para outros protocolos, se aplicável.

Feche a janela e você verá que um filtro foi aplicado automaticamente. O Wireshark está mostrando os pacotes que constituem a conversa.

Inspecionando Pacotes

Click a packet to select it and you can dig down to view its details.

You can also create filters from here — just right-click one of the details and use the Apply as Filter submenu to create a filter based on it.


Wireshark is an extremely powerful tool, and this tutorial is just scratching the surface of what you can do with it. Professionals use it to debug network protocol implementations, examine security problems and inspect network protocol internals.

You can find more detailed information in the official Wireshark User’s Guide and the other documentation pages on Wireshark’s website.

Recomendado:  Como encontrar e excluir links simbólicos quebrados no Linux