// INICIALIZANDO SISTEMA...
Falar no WhatsApp

Utilizamos cookies essenciais para o funcionamento do site. Ao continuar, você concorda com nossa Política de Privacidade e com a LGPD.

CyberZ
Fale Conosco
CyberWiki / Ferramentas / Wireshark — Análise de Tráfego de Rede
● Iniciante 20 min de leitura Wireshark Tshark PCAP Sniffing Protocolo Network Analysis Forense

Wireshark — Análise de Tráfego de Rede

Wireshark é o analisador de protocolo de rede mais usado no mundo. Captura e inspeciona pacotes em tempo real, decodifica centenas de protocolos e é essencial para análise de malware, troubleshooting, forense de rede e testes de segurança.

Filtros de Captura (BPF)

Filtros aplicados antes de capturar — reduzem o volume de dados.

host 192.168.1.10          -- tráfego de/para IP
net 192.168.1.0/24         -- faixa de IPs
port 80                    -- porta específica
tcp port 443               -- protocolo + porta
not port 22                -- excluir SSH
port 80 or port 443        -- múltiplas portas
tcp and not port 22        -- TCP exceto SSH
ether host 00:11:22:33:44  -- filtro por MAC
icmp                       -- apenas ICMP
udp                        -- apenas UDP

Filtros de Exibição (Display Filters)

Filtros aplicados sobre captura existente — não descartam dados.

-- Por protocolo
http
dns
tcp
udp
icmp
arp
smb
ftp
telnet
ssl ou tls

-- Por IP
ip.src == 192.168.1.10
ip.dst == 8.8.8.8
ip.addr == 192.168.1.10    -- src ou dst

-- Por porta
tcp.port == 80
udp.port == 53
tcp.dstport == 443

-- HTTP
http.request.method == "POST"
http.response.code == 200
http.host contains "alvo.com"
http.request.uri contains "/login"
http contains "password"      -- busca no payload

-- DNS
dns.qry.name contains "alvo.com"
dns.flags.rcode != 0           -- respostas com erro

-- TCP
tcp.flags.syn == 1 and tcp.flags.ack == 0   -- SYN scan
tcp.flags.rst == 1                           -- RST packets
tcp.analysis.retransmission                  -- retransmissões
tcp.stream == 5                              -- stream específico

-- Tamanho de pacote
frame.len > 1000
frame.len < 100

-- Tempo
frame.time_delta > 5    -- pacotes com mais de 5s de delay

-- Combinações
http.request.method == "POST" and http.host contains "bank"
ip.src == 10.0.0.5 and tcp.dstport == 445
not arp and not icmp and ip.addr == 192.168.1.1

Análise de Tráfego HTTP

-- Seguir stream TCP
Click direito em pacote HTTP → Follow → TCP Stream
-- Mostra conversa completa em texto legível

-- Exportar objetos HTTP (arquivos baixados)
File → Export Objects → HTTP
-- Salva todos os arquivos transferidos via HTTP

-- Estatísticas de HTTP
Statistics → HTTP → Requests by Server
Statistics → HTTP → Load Distribution

-- Filtrar credenciais em POST
http.request.method == "POST"
-- No TCP Stream procurar: username=, password=, pass=, passwd=

Análise de DNS

-- Todas as queries DNS
dns

-- DNS para domínio específico
dns.qry.name contains "malware.com"

-- Exfiltração de dados via DNS (DGA/Tunneling)
dns.qry.name.len > 50    -- queries longas = suspeito
DNS query para: c2.attacker.com, data.exfil.domain

-- Estatísticas DNS
Statistics → DNS

Análise de Credenciais em Texto Claro

-- FTP (credenciais em texto claro)
ftp
-- Seguir stream: USER e PASS visíveis

-- Telnet
telnet
-- Seguir stream: toda sessão em texto claro

-- HTTP Basic Auth
http.authorization
-- Base64 decode do campo Authorization: Basic BASE64

-- POP3/IMAP
pop or imap
-- USER e PASS visíveis em texto claro

-- SMB (NTLM hashes)
smb2
-- NTLM authentication challenge/response
-- Extrair hashes para uso com hashcat

Identificando Port Scans

-- SYN scan (Nmap padrão)
tcp.flags == 0x002 and tcp.window_size <= 1024
-- Muitos SYN sem ACK correspondente

-- Detectar host fazendo scan
-- Statistics → Conversations → TCP
-- Ordenar por Packets (host com muitas conexões para portas diferentes)

-- ICMP scan
icmp.type == 8    -- echo request (ping)

-- UDP scan
udp and icmp.type == 3   -- ICMP Port Unreachable (porta fechada)

tshark — Wireshark na Linha de Comando

# Listar interfaces
tshark -D

# Capturar em interface específica
tshark -i eth0
tshark -i eth0 -w captura.pcap

# Com filtro de captura
tshark -i eth0 -f "port 80"

# Ler arquivo PCAP
tshark -r captura.pcap

# Com filtro de exibição
tshark -r captura.pcap -Y "http.request.method == POST"

# Extrair campos específicos
tshark -r captura.pcap -T fields -e ip.src -e ip.dst -e http.host -e http.request.uri

# Extrair credenciais HTTP POST
tshark -r captura.pcap -Y 'http.request.method == "POST"' -T fields -e http.file_data

# Contar por protocolo
tshark -r captura.pcap -q -z io,phs

# Top talkers
tshark -r captura.pcap -q -z conv,ip

Uso em Forense e Análise de Malware

-- Identificar C2 (Command and Control)
-- Procurar:
-- Conexões regulares/periódicas (beaconing)
-- DNS para domínios DGA (gerados algoritmicamente)
-- HTTP com User-Agent incomum
-- Dados codificados em base64 em parâmetros
-- Conexões para IPs em países incomuns

-- Filtro para beaconing
-- Statistics → I/O Graphs → filtrar por IP suspeito
-- Padrão regular de pacotes = C2 beacon

-- Extrair executáveis de PCAP
-- File → Export Objects → HTTP
-- Procurar: Content-Type: application/octet-stream
-- Procurar: MZ header (PE executável Windows)

-- Análise de TLS/HTTPS (se tiver chave privada)
-- Edit → Preferences → Protocols → TLS → RSA Keys
-- Adicionar: IP, port, protocolo, arquivo de chave privada

Ferramentas Complementares

  • NetworkMiner — extrai arquivos, imagens, credenciais de PCAPs automaticamente
  • Zeek (Bro) — framework de análise de rede com logs estruturados
  • Suricata/Snort — IDS que analisa tráfego e gera alertas por assinatura
  • tcpdump — alternativa CLI leve para captura rápida
  • CapLoader — análise de grandes PCAPs com filtros avançados
Quer testar isso na prática?
A CyberZ realiza testes autorizados de segurança usando as técnicas descritas neste artigo — e muito mais. Identifique suas vulnerabilidades antes que os invasores o façam.
Falar com Especialista