O Wireshark é um poderoso analisador de protocolo de rede que se destaca na análise do tráfego TCP e UDP. Veja como usá -lo para análise TCP/UDP:

1. Captura de tráfego:

* Seleção de interface: Inicie o Wireshark. Você receberá uma lista de interfaces de rede. Escolha a interface em que o tráfego TCP/UDP que você deseja analisar está fluindo. Isso é crucial. A escolha da interface errada capturará dados irrelevantes. Se você não tiver certeza, veja os nomes e descrições da interface-um adaptador Wi-Fi será claramente rotulado como tal.

* Comece a capturar: Clique no botão "Iniciar" para começar a capturar pacotes. O Wireshark começará a capturar todo o tráfego na interface selecionada. Deixe a captura funcionar por um tempo suficiente para garantir que você capture os eventos relevantes.

* filtragem (opcional, mas altamente recomendado): Para evitar sobrecarregar -se com dados irrelevantes, use filtros. Você pode filtrar:
* Protocolo : `tcp` ou` udp` mostrará apenas pacotes TCP ou UDP, respectivamente.
* Endereço IP: `ip.addr ==192.168.1.100` mostrará apenas pacotes de ou para este endereço IP.
* porta: `tcp.port ==80` mostrará apenas tráfego TCP na porta 80 (http). `udp.port ==53` mostrará apenas tráfego UDP na porta 53 (DNS).
* Combinação: Você pode combinar filtros. Por exemplo, `tcp e porta 80 e ip.addr ==192.168.1.100` mostrará apenas tráfego TCP na porta 80 para ou de 192.168.1.100. Use `||` (ou) para combinar diferentes critérios de filtro.
* Filtros de exibição: Esses filtros são aplicados * após a conclusão da captura e afeta o que é exibido. Eles são aplicados no campo "Filtro de exibição" na parte superior da janela Wireshark.
* Capture Filters: Esses filtros são aplicados * antes mesmo da captura começar, dizendo ao Wireshark para capturar apenas pacotes que correspondem aos critérios de filtro. Eles estão definidos na caixa de diálogo "Capture Filters".


2. Analisando o tráfego capturado:

Depois de capturar o tráfego relevante, o Wireshark apresenta os pacotes em uma lista. Cada linha representa um único pacote. As colunas -chave incluem:

* no.: Número do pacote.
* tempo: Timestamp da chegada de pacotes.
* Fonte: Endereço IP de origem e porta.
* Destino: Endereço IP de destino e porta.
* Protocolo : Protocolo usado (TCP, UDP, etc.).
* Comprimento: Comprimento do pacote.

Análise TCP específica:

* TCP Stream: Clique com o botão direito do mouse em um pacote TCP e selecione "Siga" -> "Stream TCP". Isso mostrará toda a conversa entre a fonte e o destino, geralmente reconstruindo os dados no nível do aplicativo (por exemplo, solicitações e respostas HTTP).
* sinalizadores do segmento TCP: Examine os sinalizadores TCP (SYN, ACK, FIN, RST, PSH, etc.) dentro dos detalhes do pacote. Esses sinalizadores são cruciais para entender o estado da conexão TCP.
* Números de sequência e reconhecimento: Analise os números de sequência e reconhecimento para entender o fluxo de dados e identificar possíveis retransmissões (devido à perda de pacotes).
* Tamanho da janela: Observe o tamanho da janela para diagnosticar possíveis problemas de controle de congestionamento.


Análise UDP específica:

* Siga o fluxo UDP: Clique com o botão direito do mouse em um pacote UDP e selecione "Siga" -> "fluxo UDP". Ao contrário do TCP, o UDP não garante a entrega ou o pedido. O fluxo simplesmente mostrará os dados brutos enviados em cada pacote UDP.
* Inspeção da carga útil: Examine a carga útil do pacote UDP para entender os dados no nível do aplicativo (por exemplo, consultas e respostas DNS). Muitas vezes, você precisa conhecer o protocolo de aplicativo (DNS, DHCP, etc.) para interpretar a carga útil corretamente. O protocolo de Wireshark dissector ajuda com isso.


3. Usando os recursos do Wireshark:

* Hierarquia de protocolo: O painel Detalhes do pacote mostra uma quebra hierárquica da estrutura do pacote, permitindo que você examine cada camada (Ethernet, IP, TCP/UDP, Aplicativo).
* codificação de cores: O Wireshark usa codificação de cores para destacar diferentes aspectos do tráfego de rede, como retransmissões de TCP.
* Informações de especialistas: Procure avisos e erros sinalizados na seção "Informações de especialistas". Isso pode destacar problemas em potencial, como pacotes caídos ou problemas de conexão.
* Estatísticas: O Wireshark fornece várias estatísticas que podem fornecer resumos do tráfego capturado.


cenários de exemplo:

* Solução de problemas de uma conexão de site: Capture o tráfego ao tentar acessar um site, filtrar por `TCP e Porta 80` ou` TCP e Port 443` e examine as solicitações e respostas HTTP no fluxo TCP para identificar problemas.
* Analisando consultas DNS: Capture tráfego, filtre por `udp e porta 53` e examine as consultas e respostas do DNS para ver quais servidores DNS estão sendo contatados e quais registros estão sendo solicitados.
* Investigando o congestionamento da rede: Capture o tráfego e analise os tamanhos da janela e retransmissões do TCP para identificar possíveis pontos de congestionamento.


Ao usar efetivamente a filtragem, seguir os fluxos e examinar os detalhes dos pacotes, o Wireshark o capacita a analisar profundamente o tráfego TCP e UDP, ajudando a diagnosticar problemas de rede e a entender o comportamento da rede. Lembre -se de consultar a extensa documentação do Wireshark para obter técnicas mais avançadas.