Utilizando Filtros

Como explicamos anteriormente, o Wireshark permite que você utilize filtros para selecionar quais pacotes serão capturados, ou para selecionar entre os pacotes já capturados quais serão exibidos na tela. Para o primeiro caso, utilize o menu “Edit->FindPacket”, e depois clique no botão “Filter”. Para o segundo caso, clique no menu “Capture->Options” e depois clique no botão “Filter”.

O Wireshark já vem com uma série de filtros e você ainda pode criar seus próprios filtros através do menu “Capture-> Capture Filters”.

Um filtro nada mais é do que uma regra contendo nomes de campos dos protocolos contidos nos pacotes e os valores que cada campo deve conter. Se um pacote contém o valor especificado no filtro para o referido campo, ele “casa” com o filtro.

Um exemplo de filtro simples pode ser que o endereço IP do pacote seja X.X.X.X (substituindo X.X.X.X pelo endereço desejado). Outro filtro simples pode ser que o protocolo seja TCP e a porta seja 80.

A tela onde se escolhe um filtro para aplicar ou se permite a criação de um novo filtro é a mesma, e está mostrada na Figura 15.

Veja ainda na Figura 15 que ao clicarmos sobre um filtro na parte inferior da tela aparece o texto (string) que equivale a esse filtro.

Com o tempo, você pode começar a aprender esta “linguagem” e preferir escrever as regras do filtro ao invés de selecioná-las na tela mostrada na Figura 15. Conforme mostrado na Figura 16, existe um campo na interface do Wireshark que lhe permite escrever os filtros usados para selecionar os pacotes exibidos. No exemplo, o filtro faz com que sejam exibidos apenas os pacotes do protocolo ARP.

Nos vídeos abaixo, mais explicações sobre o Wireshark.