Guia Rápido do Wireshark
Referência completa de análise de rede
Filtros de exibição • Filtros de captura • Análise de protocolos • Investigação de tráfego
📑 Navegação rápida
O que é o Wireshark?
Wireshark é o analisador de protocolos de rede mais importante e amplamente utilizado no mundo. Ele permite capturar e navegar interativamente pelo tráfego de rede em um computador. É usado para troubleshooting de rede, análise, desenvolvimento de software e protocolos, e auditoria de segurança.
Download em wireshark.org. Pré-instalado no Kali Linux. Versão linha de comando: tshark.
🔍 Tipos de filtros
Filtros de captura (BPF)
Aplicados ANTES da captura. Usa sintaxe Berkeley Packet Filter. Reduz o tamanho do arquivo de captura.
Filtros de exibição
Aplicados APÓS a captura. Sintaxe mais poderosa. Filtra o que você vê, não o que é capturado.
🔣 Operadores de filtros de exibição
| Operador | Descrição | Exemplo |
|---|---|---|
| == | Igual | ip.addr == 192.168.1.1 |
| != | Diferente | ip.addr != 10.0.0.1 |
| > | Maior que | tcp.port > 1024 |
| < | Menor que | frame.len < 100 |
| >= | Maior ou igual | tcp.window_size >= 65535 |
| <= | Menor ou igual | ip.ttl <= 64 |
| contains | Contém string | http contains "password" |
| matches | Correspondência regex | http.host matches ".*\.com" |
| && | E lógico | ip.src == 10.0.0.1 && tcp.port == 80 |
| || | OU lógico | tcp.port == 80 || tcp.port == 443 |
| ! | NÃO lógico | !arp |
🌐 Filtros de endereço IP
| Filtro | Descrição |
|---|---|
| ip.addr == 192.168.1.1 | IP origem ou destino |
| ip.src == 192.168.1.1 | Apenas IP origem |
| ip.dst == 192.168.1.1 | Apenas IP destino |
| ip.addr == 192.168.1.0/24 | Sub-rede (notação CIDR) |
| !(ip.addr == 192.168.1.1) | Excluir IP específico |
| ip.ttl == 64 | Valor TTL |
| ip.version == 4 | Apenas IPv4 |
| ipv6.addr == ::1 | Endereço IPv6 |
🔌 Filtros TCP
| Filtro | Descrição |
|---|---|
| tcp | Todo o tráfego TCP |
| tcp.port == 80 | Porta origem ou destino |
| tcp.srcport == 443 | Porta origem |
| tcp.dstport == 22 | Porta destino |
| tcp.flags.syn == 1 | Flag SYN ativado |
| tcp.flags.ack == 1 | Flag ACK ativado |
| tcp.flags.fin == 1 | Flag FIN ativado |
| tcp.flags.reset == 1 | Flag RST ativado |
| tcp.analysis.retransmission | Retransmissões TCP |
| tcp.stream eq 5 | Seguir stream TCP #5 |
📡 Filtros UDP
| udp | Todo o tráfego UDP |
| udp.port == 53 | Porta DNS |
| udp.srcport == 67 | Porta servidor DHCP |
| udp.length > 1000 | Pacotes UDP grandes |
🌐 Filtros HTTP
| Filtro | Descrição |
|---|---|
| http | Todo o tráfego HTTP |
| http.request | Apenas requisições HTTP |
| http.response | Apenas respostas HTTP |
| http.request.method == "GET" | Requisições GET |
| http.request.method == "POST" | Requisições POST |
| http.response.code == 200 | Respostas OK |
| http.response.code == 404 | Respostas não encontrado |
| http.response.code >= 400 | Respostas de erro |
| http.host contains "example" | Host contém string |
| http.request.uri contains "login" | URI contém string |
| http.user_agent contains "Mozilla" | Filtro User Agent |
| http.cookie | Pacotes com cookies |
| http.content_type contains "image" | Conteúdo de imagem |
🔤 Filtros DNS
| dns | Todo o tráfego DNS |
| dns.qry.name contains "example" | Nome da consulta contém string |
| dns.qry.type == 1 | Registros A |
| dns.qry.type == 28 | Registros AAAA |
| dns.flags.response == 0 | Apenas consultas DNS |
| dns.flags.response == 1 | Apenas respostas DNS |
📦 Filtros de outros protocolos
| Filtro | Descrição |
|---|---|
| icmp | Tráfego ICMP (ping) |
| arp | Tráfego ARP |
| dhcp | Tráfego DHCP |
| tls | Tráfego TLS/SSL |
| ssh | Tráfego SSH |
| ftp | Tráfego FTP |
| smb || smb2 | Tráfego SMB |
| rdp | Tráfego RDP |
| kerberos | Tráfego Kerberos |
📹 Filtros de captura (sintaxe BPF)
Aplicados antes da captura em Captura → Opções. Usa sintaxe diferente dos filtros de exibição.
| Filtro | Descrição |
|---|---|
| host 192.168.1.1 | Tráfego de/para IP |
| src host 192.168.1.1 | Tráfego do IP |
| dst host 192.168.1.1 | Tráfego para IP |
| net 192.168.1.0/24 | Tráfego de/para sub-rede |
| port 80 | Tráfego na porta 80 |
| tcp port 443 | Porta TCP 443 |
| udp port 53 | Porta UDP 53 |
| portrange 1-1024 | Faixa de portas |
| not arp | Excluir ARP |
| tcp and port 80 | TCP na porta 80 |
⌨️ Atalhos e recursos úteis
| Ação | Atalho/Método |
|---|---|
| Seguir stream TCP | Clique direito → Seguir → Stream TCP |
| Seguir stream HTTP | Clique direito → Seguir → Stream HTTP |
| Exportar objetos (arquivos) | Arquivo → Exportar objetos → HTTP/SMB/etc. |
| Hierarquia de protocolos | Estatísticas → Hierarquia de protocolos |
| Conversas | Estatísticas → Conversas |
| Endpoints | Estatísticas → Endpoints |
| Gráfico I/O | Estatísticas → Gráfico I/O |
| Iniciar captura | Ctrl+E |
| Parar captura | Ctrl+E |
| Encontrar pacote | Ctrl+F |
| Próximo pacote | Ctrl+N |
🖥️ TShark (linha de comando)
# Capturar em uma interfacetshark -i eth0# Capturar com filtrotshark -i eth0 -f "port 80"# Ler arquivo pcaptshark -r capture.pcap# Aplicar filtro de exibiçãotshark -r capture.pcap -Y "http"# Extrair campos específicostshark -r capture.pcap -Y "http.request" -T fields -e http.host -e http.request.uri# Gravar em arquivotshark -i eth0 -w output.pcap# Capturar N pacotestshark -i eth0 -c 100
📚 Recursos adicionais
🦈 Guia rápido do Wireshark completo!
Você agora tem uma referência completa para o analisador de protocolos de rede mais popular do mundo. De filtrar tráfego a extrair arquivos, esses comandos são essenciais para análise de rede e investigações de segurança.
Pronto para analisar sua próxima captura!