Dica do meu amigo super nerd Daniel Donda
O WireShark é o mais famoso e usado capturados de pacotes. Você pode baixar a mais recente versão em http://www.wireshark.org
Quando iniciamos a captura em poucos instantesteremos milhares de pacotes capturados.
para facilitar a leitura do dados capturados é importante conhecer alguns filtros:
Os filtros podem ser criados digitando diretamente no campo Filter
Por exemplo para filtrar todos os pacotes do protocolo HTTP, basta digitar http ou para filtrar os pacotes de DNS digite simplesmente DNS.
O jeito mais facil de fazer filtros é clicando em “Expression”
Na janela Expression você pode escolher inumeros campos para iniciar o filtro.
Se você procurar um determinado protocolo inicie digitando por exemplo “http” ou “IP”.
Neste exemplo vou iniciar digitando IP e logo uma lista de campos iniciando com IP aparece. Vou selecionar IPv4 e em IPv4 o campo ip.addr
Agora em Relation podemos escolher entre:
| Ispresent | Está presente |
| == | igual |
| != | Não igual |
| > | Maior que |
| < | Menor que |
| >= | Maior igual |
| <= | Menor igual |
Vou selecionar igual == e no campo Value basta digitar o endereço IP e clicar em OK.
Uma vez criado o filtro, basta selecionar Apply quando não desejar mais clique em Clear.
Quando estamos trabalhando com analise de pacotes, é importante filtrar o maximo e podemos fazer também uma combinação das expressões que criarmos.
Podemos usar:
| && | AND |
| || | OR |
| ^^ | XOR |
| ! | NOT |
Por exemplo, que “não” seja o ip 172.10.0.98 como origem ou destino e que seja http como protocolo.
ip.addr!=172.10.0.98 && http
Ip de origem 10.0.0.5 com as flags fin
ip.src==10.0.0.5 && tcp.flags.fin
Você pode baixar também uma lista de filtros pré-definidos http://packetlife.net/media/library/13/Wireshark_Display_Filters.pdf
Mundo Tecnológico 