Wireshark um Analisador de Pacotes

Introdução
A ferramenta Wireshark possibilita a captura e a análise de pacotes. Esta ferramenta é
utilizada por administradores de redes e usuários avançados que desejam monitorar o
tráfego de uma rede, analisando e dissecando os pacotes de dados.

Um Analisador de Pacotes
Um analisador de pacotes (packet sniffer) é uma aplicação que captura os pacotes que
trafegam na rede, permitindo a sua análise. Diferentemente de outras aplicações que apenas
analisam os pacotes a si destinados, um sniffer pode atuar em modo promíscuo, analisando
todo o tráfego que passa no ponto da rede onde está ligado. A correta utilização desta
aplicação permite identificar problemas na rede, que de outra forma seriam de difícil
detecção.
De forma análoga pode-se pensar em um analisador de pacotes como um dispositivo
de medição utilizado para analisar o que está acontecendo dentro de uma rede, assim como
um voltímetro é usado por um eletricista para analisar o que está acontecendo dentro de um
cabo elétrico.

Cuidados na Utilização de um Sniffer
Tal como quase todas as ferramentas, um sniffer pode também ser usado para fins menos
próprios. O fato de poder capturar tráfego que não lhe é destinado faz com que possa por
em causa a privacidade de quem utiliza a rede, se for utilizado de forma indevida.
Protocolos de comunicação que utilizam métodos pouco seguros para envio de
informação importante, por exemplo, a validação por palavra-chave em um servidor de email
POP3 que é enviada sem proteção, pode-se capturar informações importantes
facilmente, que podem ser usada para fins indevidos.
A captura de pacotes de rede é uma técnica muito poderosa, mas a captura de
pacotes destinados a outras máquinas ou outras pessoas é uma forma de invasão de
privacidade, o que pode ser ilegal. Um bom administrador de sistemas sabe onde ficam os
limites entre a depuração de rede e a violação da privacidade de seus usuários

Histórico
No final de 1997, Gerald Combs necessitou de uma ferramenta de monitoramento de
problemas de rede fixa, e assim começou a escrever o Ethereal (o antigo nome do projeto
Wireshark).
Ethereal teve sua primeira disponibilização em julho 1998 com a versão 0.2.0 após
diversas pausas durante o processo de desenvolvimento. Dentro de dias, patches, relatórios
de bug e palavras de encorajamento começaram a surgir, assim Ethereal seguiu para o
caminho de sucesso.
Pouco depois, Gilbert Ramírez viu o potencial da ferramenta e contribuiu-lhe com
um dissecador de baixo nível.
Em outubro de 1998, Guy Harris da Network Appliance foi à procura de algo
melhor do que o tcpview, e então começou a aplicar patches e contribuir com dissecadores
para o Ethereal.
No final de 1998, Richard Sharpe, que ministrava cursos de TCP/IP, passou a
perceber o potencial do Ethereal em tais cursos, e começou a analisar se o mesmo daria
suporte aos protocolos abordados nos cursos. Percebendo que não havia suporte,
desenvolveu novos protocolos para que pudessem ser adicionados ao mesmo.
A lista de pessoas que contribuíram com o Ethereal cresceu muito desde então. A
maioria dessas pessoas começou contribuindo com um protocolo que necessitava e que o
Ethereal não tratava. Para isso eles adquiriam uma cópia do código existente da ferramenta
e devolviam o código com suas contribuições de volta à equipe.
Há não muito tempo, em maio de 2006, o autor original do Ethereal foi trabalhar na
CACE Technologies. Todas as marcas registradas do Ethereal permaneceram com seus
antigos empregadores; todavia, o Ethereal não é mais mantido ativamente. Um novo
capturador de pacotes chamado Wireshark, análogo ao Ethereal, é mantido por seu
desenvolvedor original.

Características do Wireshark
Software Livre
Wireshark é um projeto do software livre, e é liberado sob a licença GNU General Public
Licence (GPL). Pode-se usar livremente Wireshark no número de computadores que forem
necessários, sem preocupar-se sobre chaves de licença ou possíveis taxas. Devido o código
fonte estar livremente disponível sob o GPL, é muito fácil para as pessoas adicionarem
novos protocolos para o Wireshark, quer como plugins, ou incorporados no código-fonte.

Disponível em Muitas Plataformas
É escrita em C++, usando a biblioteca GTK, que também é portável em várias plataformas.
As plataformas que o WireShark suporta são: UNIX, Linux, Solaris, FreeBSD, NetBSD,
OpenBSD , MAC OS X, Windows.
6.3. Análise de Dados de Diferentes Fontes
Os dados geralmente são obtidos através da placa de rede, podendo ser lidos em tempo real
das seguintes fontes: Ethernet, FDDI, PPP, Token-Ring, IEEE 802.11, Classical IP over
ATM e interfaces loopback.

Análise por Protocolo
O Wireshark permite analisar os pacotes recebidos e transmitidos organizados por
protocolo (TCP, UDP, ICMP, etc).

O que o Wireshark não é
Wireshark não é um sistema de detecção de intrusos. Ele somente “mede” coisas apartir da
rede, ou seja, não avisará quando alguém não autorizado estiver fazendo coisas estranhas na
mesma. No entanto, caso esteja acontecendo coisas estranhas na rede, o Wireshark poderá
ajudar a descobrir o que realmente está acontecendo.

Utilidades
Situações onde pode ser útil o uso de analisadores de protocolos são:
- Detecção de problemas na configuração da rede;
- Análise de segurança de redes;
- Desenvolvimento de novos protocolos ou aplicações;
- Interesse na aprendizagem sobre o funcionamento de uma rede

Onde Obter o Wireshark?
É possível obter as últimas cópias do programa a partir do site do Wireshark:
http://www.wireshark.org/download.html.
Em um intervalo de quatro a oito semanas é disponibilizado a comunidade uma nova
versão do Wireshark. O usuário tem a possibilidade de ser notificado sobre novos
lançamentos, inscrevendo-se na lista wireshark-announce.


fonte de consulta: Centro Politécnico – Universidade Católica de Pelotas (UCPel)
Pelotas – RS – Brasil
Autor: Iverton A. da S. dos Santos, Rodrigo B. da Silva