Wireshark · 3 min read · Dec 17, 2025
Captura Remota com Wireshark
Captura Remota com Wireshark
Falko escreveu um bom tutorial com algumas capturas de tela sobre o uso básico do Wireshark.
Este curto tutorial não possui capturas de tela, mas é um caso de uso ligeiramente mais avançado do Wireshark, ou seja, fazer a captura em uma máquina e visualizar os dados capturados em tempo real em outra máquina.
Preliminares
O seguinte artigo descreve a maneira como instalei e usei o software, não dou garantia de que a mesma maneira funcione para você. Você deve ter algum conhecimento básico sobre como fazer coisas em um shell. Como o Wireshark funciona em uma ampla variedade de plataformas, isso deve funcionar em quase todas as plataformas suportadas pelo Wireshark e Open-SSH. No meu caso, Debian e Ubuntu estavam envolvidos.
1. O Problema
Aconteceu que tivemos alguns problemas sutis relacionados ao DNS, ou seja, em relação ao Reverse-DNS. Nossa configuração é simples, temos Servidores DNS locais que encaminham todas as consultas que não conseguem resolver para um DNS uplink, que deve cuidar da resolução de nomes posterior. O DNS uplink é administrado por outra organização, o que levou ao habitual apontar dedos “não somos culpados, nosso equipamento funciona bem, temos que cobrar os custos de vocês, blabla …”. Suspiro. Então pensei em como esse problema poderia ser analisado mais a fundo e rapidamente me lembrei do meu sistema descrito em https://www.howtoforge.com/trafficanalysis-using-debian-lenny. Perfeito, pensei, a máquina já está ao lado do uplink e deve ser fácil monitorar todo o tráfego que passa pelo uplink e dar uma olhada em todo o tráfego relacionado ao DNS, para ver o que está acontecendo.
Minha primeira ideia foi instalar o Wireshark diretamente nesta máquina e, com a ajuda de um pequeno encaminhamento X11, ver o que estava acontecendo no uplink. Mas não havia espaço em disco suficiente para instalar o Wireshark e todas as bibliotecas relacionadas ao X11.
2. A Solução
Minha próxima ideia foi capturar o tráfego na máquina de teste em um arquivo, copiar esse arquivo para minha máquina normal e lê-lo no Wireshark. Mas que trabalho, longo e complicado, copiando arquivos ou pelo menos montando drives pela rede. Mas a solução é tão simples. Instale o tshark (o irmão mais novo relacionado ao modo texto do Wireshark) na máquina de teste, chame-o remotamente com a ajuda do ssh e canalize diretamente a saída do tshark para o Wireshark! Esta solução é do Wiki do Wireshark, mas a simplicidade me entusiasmou e me surpreendeu a escrever este curto Tutorial.
- Configure o login ssh sem senha na máquina de teste como descrito, por exemplo, aqui, e verifique se está funcionando.
- Na sua máquina local onde o Wireshark está instalado e esperando para fazer algo benéfico, simplesmente chame-o com
wireshark -k -i <( ssh -l root IP-da-maquina-de-teste /usr/bin/tshark -i eth0 -w - port 53 )e aproveite. O tráfego é filtrado na máquina de teste, para que você não seja sobrecarregado pela vasta quantidade de pacotes que podem passar pelo seu uplink. O tráfego capturado é transportado por uma conexão ssh segura e criptografada da máquina de teste para a máquina de visualização e você pode ver em tempo real o que está acontecendo no uplink.
No meu caso, não precisei filtrar o tráfego ssh (como no exemplo do Wiki do Wireshark), porque a captura é feita na eth0, e o tráfego ssh passa pela eth1.
Existem outros métodos descritos no Wiki do Wireshark usando pipes nomeados, mas este método usando ssh parecia ser o mais fácil de configurar para mim.
Um pequeno problema que tive ao fazer isso foi que encerrar o Wireshark não encerrou o tshark na máquina de teste, mas um
pkill tsharkna máquina de teste ajudou, ou, se você não estiver logado na máquina de teste
ssh root@maquina-de-teste pkill tsharktambém deve funcionar.
Em relação ao nosso problema de DNS, pude imediatamente ver o que estava acontecendo. ;-)
3. URLs
- Tutorial de Wireshark do Falko: https://www.howtoforge.com/network-analysis-with-wireshark-on-ubuntu-9.10
- Minha máquina de teste ntop: https://www.howtoforge.com/trafficanalysis-using-debian-lenny
- Wireshark + tshark: http://www.wireshark.org/
- Wiki do Wireshark: http://wiki.wireshark.org/
- libpcap + tcpdump: http://www.tcpdump.org/
- SSH: http://www.openssh.org/
- SSH sem senha: http://www.debian-administration.org/articles/152
Receba novas postagens na sua caixa de entrada
Sem spam. Cancele a assinatura a qualquer momento.