Iniciante Redes Atualizado em 25 de jun. de 2025

Sniffing de tráfego com Wireshark

Sniffing é a captura de pacotes que trafegam em uma rede. É uma técnica essencial tanto para analistas de segurança quanto para atacantes. Profissionais de segurança usam sniffing em ambientes autorizados para diagnosticar problemas e identificar ameaças.

O que é Wireshark

Wireshark é um analisador de protocolo de rede open source. Ele captura pacotes em tempo real e decodifica centenas de protocolos, exibindo cada campo de cabeçalho.

Para instalar:

# Linux (Debian/Ubuntu)
sudo apt install wireshark

# macOS
brew install --cask wireshark

Capturar em interface específica

# Via linha de comando com tshark (versão CLI do Wireshark)
tshark -i eth0 -w captura.pcap

# Parar após 100 pacotes
tshark -i eth0 -c 100 -w captura.pcap

Na interface gráfica: selecione a interface de rede → botão de captura (tubarão azul).

Filtros de exibição essenciais

# Filtrar por protocolo
http
dns
tcp
udp

# Filtrar por IP
ip.addr == 192.168.1.50
ip.src == 192.168.1.10
ip.dst == 192.168.1.1

# Filtrar por porta
tcp.port == 80
tcp.port == 443

# Combinar filtros
http and ip.src == 192.168.1.50

# Ver apenas pacotes com credenciais em HTTP
http.request.method == "POST" and http contains "password"

Analisar uma requisição HTTP

Em tráfego não criptografado, o Wireshark mostra o conteúdo completo:

Packet 142 — HTTP POST /login
  Host: example.com
  Content-Type: application/x-www-form-urlencoded
  Body: username=joao&password=senha123

Isso demonstra por que HTTPS é obrigatório — sem ele, qualquer pessoa na rede local vê esse conteúdo.

Reconstruir sessão TCP

No Wireshark: clique com botão direito em um pacote TCP → “Follow → TCP Stream”. Isso reconstrói a conversa completa entre cliente e servidor.

Cliente → Servidor:
GET /admin HTTP/1.1
Cookie: session=eyJhbGciOiJIUzI1NiJ9...

Servidor → Cliente:
HTTP/1.1 200 OK
<html>Painel admin...</html>

Filtros de captura (antes da captura)

Diferente dos filtros de exibição, filtros de captura reduzem o volume coletado:

# Capturar só DNS
port 53

# Capturar só tráfego de um host
host 192.168.1.50

# Capturar HTTP e HTTPS
port 80 or port 443

Uso defensivo: o que procurar

Tráfego não criptografado com credenciais (HTTP, FTP, Telnet)
Consultas DNS suspeitas (domínios gerados aleatoriamente → DGA)
Conexões para IPs externos desconhecidos
Picos de tráfego UDP (possível exfiltração via DNS)
Pacotes ARP fora do padrão (possível ARP spoofing)

Lembre-se: capturar tráfego em redes que você não tem autorização é ilegal. Sempre obtenha permissão por escrito antes de realizar qualquer análise.