Wireshark - Wireshark

Wireshark
Wireshark Logo.svg
GUI do Wireshark
GUI do Wireshark
Autor (es) original (is) Gerald Combs
Desenvolvedor (s) A equipe Wireshark
lançamento inicial 1998
Versão estável
3.4.7 / 14 de julho de 2021 ; 38 dias atrás ( 2021-07-14 )
Repositório Edite isso no Wikidata
Escrito em C , C ++
Sistema operacional Plataforma cruzada
Modelo Analisador de pacotes
Licença GPL-2.0 ou posterior
Local na rede Internet www .wireshark .org Edite isso no Wikidata

O Wireshark é um analisador de pacotes gratuito e de código aberto . É usado para solução de problemas de rede , análise, desenvolvimento de software e protocolo de comunicação e educação. Originalmente chamado de Ethereal , o projeto foi renomeado para Wireshark em maio de 2006 devido a questões de marcas registradas.

O Wireshark é multiplataforma , usando o kit de ferramentas de widget Qt em versões atuais para implementar sua interface de usuário e usando pcap para capturar pacotes; ele roda em Linux , macOS , BSD , Solaris , alguns outros sistemas operacionais do tipo Unix e Microsoft Windows . Também existe uma versão baseada em terminal (não GUI) chamada TShark. O Wireshark e os outros programas distribuídos com ele, como o TShark, são softwares livres , lançados sob os termos da GNU General Public License versão 2 ou qualquer versão posterior.

Funcionalidade

O Wireshark é muito semelhante ao tcpdump , mas tem um front-end gráfico e opções de classificação e filtragem integradas.

O Wireshark permite que o usuário coloque os controladores de interface de rede em modo promíscuo (se compatível com o controlador de interface de rede ), para que possam ver todo o tráfego visível nessa interface, incluindo o tráfego unicast não enviado para o endereço MAC do controlador de interface de rede . No entanto, ao capturar com um analisador de pacotes em modo promíscuo em uma porta em um switch de rede , nem todo o tráfego através do switch é necessariamente enviado para a porta onde a captura é feita, portanto, capturar em modo promíscuo não é necessariamente suficiente para ver toda a rede tráfego. O espelhamento de portas ou vários taps de rede estendem a captura a qualquer ponto da rede. As torneiras passivas simples são extremamente resistentes à violação.

No Linux, BSD e macOS, com libpcap 1.0.0 ou posterior, o Wireshark 1.4 e posterior também pode colocar controladores de interface de rede sem fio no modo monitor .

Se uma máquina remota captura pacotes e os envia para uma máquina executando o Wireshark usando o protocolo TZSP ou o protocolo usado pelo OmniPeek , o Wireshark disseca esses pacotes, para que possa analisar os pacotes capturados em uma máquina remota no momento em que são capturados.

História

No final da década de 1990, Gerald Combs, graduado em ciência da computação pela University of Missouri – Kansas City , trabalhava para um pequeno provedor de serviços de Internet . Os produtos de análise de protocolo comercial na época custavam cerca de US $ 1.500 e não rodavam nas plataformas primárias da empresa (Solaris e Linux), então Gerald começou a escrever Ethereal e lançou a primeira versão por volta de 1998. A marca Ethereal é propriedade da Network Integration Services.

Em maio de 2006, Combs aceitou um emprego na CACE Technologies. Combs ainda detinha os direitos autorais da maior parte do código-fonte do Ethereal (e o resto era redistribuível sob a GNU GPL), então ele usou o conteúdo do repositório Ethereal Subversion como base para o repositório Wireshark. No entanto, ele não possuía a marca registrada Ethereal, então ele mudou o nome para Wireshark. Em 2010, a Riverbed Technology comprou a CACE e assumiu como patrocinadora principal do Wireshark. O desenvolvimento do Ethereal foi interrompido e um aviso de segurança do Ethereal recomendou mudar para o Wireshark.

O Wireshark ganhou vários prêmios da indústria ao longo dos anos, incluindo eWeek , InfoWorld e PC Magazine . É também o farejador de pacotes com melhor classificação na pesquisa sobre ferramentas de segurança de rede Insecure.Org e foi o Projeto do Mês da SourceForge em agosto de 2010.

Combs continua mantendo o código geral do Wireshark e lançando novas versões do software. O site do produto lista mais de 600 autores contribuintes adicionais.

Recursos

Wireshark é um programa de captura de dados que "entende" a estrutura ( encapsulamento ) de diferentes protocolos de rede. Ele pode analisar e exibir os campos, junto com seus significados conforme especificado por diferentes protocolos de rede. O Wireshark usa pcap para capturar pacotes, portanto, ele só pode capturar pacotes nos tipos de redes que o pcap suporta.

  • Os dados podem ser capturados "do fio" de uma conexão de rede ativa ou lidos de um arquivo de pacotes já capturados.
  • Os dados ao vivo podem ser lidos em diferentes tipos de redes, incluindo Ethernet , IEEE 802.11 , PPP e loopback .
  • Os dados de rede capturados podem ser navegados por meio de uma GUI ou por meio da versão do terminal ( linha de comando ) do utilitário, TShark.
  • Os arquivos capturados podem ser editados programaticamente ou convertidos por meio de opções de linha de comando para o programa "editcap".
  • A exibição de dados pode ser refinada usando um filtro de exibição.
  • Plug-ins podem ser criados para dissecar novos protocolos.
  • As chamadas VoIP no tráfego capturado podem ser detectadas. Se codificado em uma codificação compatível, o fluxo de mídia pode até ser reproduzido.
  • O tráfego USB bruto pode ser capturado.
  • As conexões sem fio também podem ser filtradas, desde que atravessem a Ethernet monitorada.
  • Várias configurações, temporizadores e filtros podem ser definidos para fornecer a facilidade de filtrar a saída do tráfego capturado.

O formato de arquivo de rastreamento de rede nativo do Wireshark é o formato libpcap compatível com libpcap e WinPcap , para que possa trocar rastreamentos de rede capturados com outros aplicativos que usam o mesmo formato, incluindo tcpdump e CA NetMaster . Ele também pode ler capturas de outros analisadores de rede, como snoop , Network General 's Sniffer e Microsoft Network Monitor .

Segurança

Capturar tráfego de rede bruto de uma interface requer privilégios elevados em algumas plataformas. Por esse motivo, as versões mais antigas do Ethereal / Wireshark e tethereal / TShark geralmente rodavam com privilégios de superusuário . Considerando o grande número de dissecadores de protocolo que são chamados quando o tráfego é capturado e reconhecendo a possibilidade de um bug em um dissecador, um sério risco de segurança pode ser apresentado. Devido ao grande número de vulnerabilidades no passado (das quais muitas permitiam a execução remota de código) e às dúvidas dos desenvolvedores sobre um melhor desenvolvimento futuro, o OpenBSD removeu o Ethereal de sua árvore de portes antes do OpenBSD 3.6.

Privilégios elevados não são necessários para todas as operações. Por exemplo, uma alternativa é executar tcpdump ou o utilitário dumpcap que vem com o Wireshark com privilégios de superusuário para capturar pacotes em um arquivo e, posteriormente, analisar os pacotes executando o Wireshark com privilégios restritos. Para emular uma análise quase em tempo real, cada arquivo capturado pode ser mesclado por mergecap em um arquivo crescente processado pelo Wireshark. Em redes sem fio, é possível usar as ferramentas de segurança sem fio do Aircrack para capturar quadros IEEE 802.11 e ler os arquivos de despejo resultantes com o Wireshark.

A partir do Wireshark 0.99.7, o Wireshark e o TShark executam o dumpcap para realizar a captura de tráfego. As plataformas que requerem privilégios especiais para capturar o tráfego precisam apenas do dumpcap ser executado com esses privilégios. Nem o Wireshark nem o TShark precisam ou devem ser executados com privilégios especiais.

Codificação de cores

O Wireshark pode colorir pacotes com base em regras que correspondem a campos específicos nos pacotes, para ajudar o usuário a identificar os tipos de tráfego em um piscar de olhos. Um conjunto padrão de regras é fornecido; os usuários podem alterar as regras existentes para colorir pacotes, adicionar novas regras ou remover regras.

Simulação de captura de pacotes

O Wireshark também pode ser usado para capturar pacotes da maioria das ferramentas de simulação de rede, como ns , OPNET Modeler e NetSim .

Veja também

Notas

Referências

links externos