Utilização de Filtros no Wireshark para Cibersegurança
Wireshark é um analisador de rede de código aberto amplamente utilizado para capturar e exibir detalhes em tempo real do tráfego de rede. Se a rede de computadores fosse um prédio com múltiplas entradas e saídas, o Wireshark seria uma câmera de segurança de alta tecnologia instalada nesse prédio.
Assim como a câmera monitora e grava cada movimento para garantir a segurança e identificar qualquer atividade suspeita, o Wireshark captura e analisa cada pacote de dados que trafega pela rede. Ele permite que você veja exatamente o que está acontecendo, ajudando a identificar ameaças, e é muito utilizado em instituições acadêmicas, agências governamentais etc.
Entretanto, assim como as câmeras precisam ser configuradas e reguladas, o Wireshark possui filtros para análise e captura de comportamentos maliciosos. Neste artigo, iremos apresentar os principais, e detalhar como utilizar e elevar a segurança da rede.
O que são os filtros no Wireshark?
O Wireshark é uma ferramenta de código aberto gratuita, desenvolvida para analisar o tráfego de rede em tempo real, e funciona em sistemas Windows, Mac, Unix e Linux. Ele é como um sniffer de rede, que captura e traduz dados em informações importantes sobre a segurança da mesma.
Os filtros do Wireshark são formas de exibições diferentes, recursos para filtrar os protocolos que permitem aos usuários refinar e focar na análise de tráfego de rede. Eles ajudam a isolar pacotes de dados específicos de interesse, facilitando a investigação e diagnóstico de problemas de rede, a identificação de ameaças de segurança e a compreensão de comunicações específicas entre dispositivos.
Quais os tipos de filtros do Wireshark?
Além de ser uma ferramenta Open Source, o Wireshark foi desenvolvido para aprimorar e facilitar o processo de análise de tráfego de rede. Cada função é projetada para oferecer percepções e controles exclusivos sobre as atividades de rede.
Os filtros são divididos em filtros de captura e filtros de exibição, cada um deles possui uma sua função específica e são utilizados em diferentes etapas da análise de rede.
Filtros de captura
São usados para filtrar pacotes durante a captura e aplicados antes de iniciar a captura de dados. Eles determinam quais pacotes serão capturados pela ferramenta Wireshark, ou seja, eles restringem a captura apenas aos pacotes que atendem aos critérios especificados pelo filtro. Isso é útil para reduzir o volume de dados e focar naquilo que é relevante desde o início.
Uma forma de uso: Se você deseja capturar apenas pacotes HTTP, pode aplicar um filtro de captura que exclua todos os outros tipos de tráfego.
Filtro de exibição
Utilizados para ocultar pacotes de uma exibição de captura de dados, os filtros de exibição permitem a visualização apenas dos pacotes que correspondem a critérios específicos, sem descartar os pacotes que não correspondem a esses critérios. Todos os pacotes são capturados, mas o filtro de exibição facilita a análise, focando apenas no que é relevante para a investigação ou análise.
Uma forma de uso: caso você capture todo o tráfego de uma rede e deseje analisar apenas pacotes HTTPS, pode aplicar um filtro de exibição para mostrar apenas esses pacotes. Um detalhe importante é que os filtros de exibição usam uma sintaxe própria do Wireshark, que é mais expressiva e detalhada.
Filtros em tempo real
Um caminho para elevar o nível de captura do Wireshark é executar uma análise em tempo real, principalmente em sistemas que não dispõe de modo gráfico. Ao aplicar os filtros em tempo real no Wireshark, você visualiza pacotes específicos enquanto a captura está em andamento, sem precisar esperar que a captura termine para aplicar filtros de exibição.
E como utilizar esses filtros? A nossa próxima sessão apresenta algumas dicas e exemplos.
Como utilizar os filtros do Wireshark?
Usando os filtros de captura
Os filtros de captura são aplicados antes de iniciar a captura de pacotes e ajudam a restringir o tráfego capturado pela ferramenta. Para aplicar você deve:
- Abrir o Wireshark:
Inicie o Wireshark e selecione a interface de rede que deseja monitorar.
- Acessar o campo de filtro de captura:
Abaixo da lista de interfaces, você verá um campo de texto rotulado como “Capture Filter”.
- Inserir o filtro:
Digite o filtro desejado. Por exemplo:
tcp port 80: Para capturar apenas o tráfego TCP na porta 80 (HTTP).
host 192.168.1.1: Para capturar pacotes de ou para o IP 192.168.1.1.
net 192.168.0.0/16: Para capturar pacotes dentro de uma faixa de IP específica.
- Iniciar a captura:
Clique no ícone de “Iniciar Captura” (o símbolo de tubulação verde) para começar a capturar os pacotes que correspondem ao filtro aplicado.
- Visualizar os pacotes capturados:
Apenas os pacotes que correspondem ao filtro de captura serão mostrados na tela do Wireshark.
H3- Usando filtros de exibição
Os filtros de exibição são aplicados após a captura dos pacotes e ajudam a focar apenas nos dados relevantes para sua análise.
- Capturar pacotes:
Se você não aplicou um filtro de captura, inicie a captura sem filtro ou use um filtro de captura mais amplo.
- Acessar o campo de filtro de exibição:
No topo da janela do Wireshark, você verá um campo de texto rotulado como “Display Filter”.
- Inserir o filtro:
Digite o filtro desejado para visualizar apenas os pacotes que lhe interessam:
http: Para mostrar apenas pacotes HTTP.
ip.addr == 192.168.1.1: Para mostrar pacotes onde o IP 192.168.1.1 é o endereço de origem ou destino.
tcp.flags.syn == 1: Para mostrar pacotes que estão tentando iniciar uma conexão TCP.
- Aplicar o filtro:
Pressione “Enter” ou clique na seta verde ao lado do campo de filtro para aplicar o filtro de exibição.
- Analisar os pacotes filtrados:
Agora você verá apenas os pacotes que atendem ao critério do filtro. Isso facilita a análise, permitindo que você se concentre apenas no tráfego relevante.
Além disso, você pode salvar filtros de exibição para uso futuro. Isso é especialmente útil quando usado regularmente os mesmos filtros. Para salvar um filtro, clique no ícone de “+” ao lado do campo de filtro de exibição, após digitar o filtro desejado, dê um nome e salve.
Você também pode realizar análises de rede complexas ou recorrentes, pode criar scripts que aplicam automaticamente filtros de captura e de exibição.
Além dos filtros, o Wireshark possui outras funcionalidades adicionais, que podem elevar essas práticas de monitoramento da rede, como as configurações por cores, pare evidenciar informações, o modo “run Wireshark in Promiscuous Mode” para as configurações de captura, que possibilita capturar a maioria do tráfego na rede local (LAN) e outros diversos comandos.
Você pode conferir mais funcionalidades e possibilidades da ferramenta no site oficial do Wireshark.
As melhores práticas para usar filtros no Wireshark
Utilizar filtros no Wireshark de maneira eficiente pode fazer uma grande diferença na análise de tráfego de rede. Aqui estão algumas das melhores práticas para maximizar a eficácia dos filtros no Wireshark:
Estabeleça seus objetivos antes de capturar
Saber o que você está procurando ajuda a definir os filtros corretos desde o início. Se você está procurando por problemas de desempenho em uma aplicação web, por exemplo, use filtros que isolem o tráfego HTTP ou HTTPS.
Utilize filtros de captura para reduzir o volume de dados
Capturar tudo pode resultar em grandes volumes de dados, o que pode ser difícil de manejar e analisar. Você pode utilizar os filtros de captura para isolar tráfego relevante, como tcp port 443 para capturar apenas tráfego HTTPS.
Aproveite os filtros de exibição para análise pós-captura
Mesmo se você capturar muitos pacotes, os filtros de exibição permitem que você se concentre nos dados que realmente importam. Após capturar os dados, use filtros como ip.src == 192.168.1.100 para analisar o tráfego de um IP específico.
Combine filtros com operadores lógicos
Combinar filtros pode ajudar a refinar a análise. Use && para combinar condições (e.g., ip.src == 192.168.1.100 && tcp.port == 80) ou || para ampliar (e.g., ip.src == 192.168.1.100 || ip.dst == 192.168.1.100).
Evite capturas excessivamente restritas
Filtros de captura muito restritivos podem fazer você perder pacotes relevantes. Em vez de capturar apenas pacotes de uma porta específica, considere capturar pacotes TCP ou UDP e depois filtrar na exibição.
Pratique a simplicidade
Filtros complicados podem ser difíceis de entender e depurar. Comece com filtros simples e vá adicionando complexidade conforme necessário. Prefira filtros diretos e fáceis de interpretar.
O Wireshark é uma ferramenta excelente para analisar o tráfego, que pode facilitar muito o trabalho da equipe e dos profissionais de segurança. Entretanto, é essencial saber o que se deseja encontrar e analisar, devido aos inúmeros ruídos da rede. Entender como os filtros funcionam e como aplica-lós é um ótimo caminho, mas é fundamental começar compreendendo a situação geral da rede, para depois se aprofundar nas análises.
Caso deseje aprender mais sobre redes, ameaças e segurança, acesse nosso artigo sobre infraestrutura, clicando aqui.
Comments are closed.