Capturar e analisar o tráfego de rede com o Wireshark para diagnóstico

Opções de download

  • PDF     (251.8 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (84.4 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (70.0 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:22 de outubro de 2025
ID do documento:225250

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Contents

Introdução

Este documento descreve como usar o Wireshark para capturar e analisar o tráfego de rede para fins de diagnóstico.

Overview

O Wireshark é um aplicativo gratuito que você pode usar para ler e analisar capturas de pacotes (também chamado de "dumps TCP"). As capturas de pacotes revelam todas as comunicações através de um adaptador de rede no nível do pacote, tornando possível ver DNS, HTTP, ping e outros tipos de tráfego. As capturas de pacotes são especialmente valiosas como uma etapa de diagnóstico para identificação e solução de problemas profunda e, com a introdução do SIG, são agora uma parte fundamental do processo de diagnóstico.

alt-tag-for-image

Note: O Wireshark captura todo o tráfego no adaptador selecionado. Como as capturas de pacotes geralmente contêm informações de identificação pessoal (PII), sempre use um método seguro, como um link de caixa, para compartilhar arquivos de captura com o suporte.

Obtenha o Wireshark

Você pode baixar o Wireshark para Windows, macOS ou Linux em: https://www.wireshark.org/

Coletar uma Captura de Pacotes

  1. Escolha o adaptador de rede conectado à Internet e inicie a captura no Wireshark.
  2. Durante a captura, reproduza o problema que você deseja diagnosticar.
  3. Pare a captura quando terminar e salve o arquivo como a.pcap.

Portas e protocolos básicos

  • A maioria dos pacotes se comunica nos protocolos TCP ou UDP da camada de transporte
    • Por exemplo, "DNS" executa "sobre" o UDP por padrão. Ele alterna para UDP se o TCP falhar.
  • HTTP e DNS são protocolos comuns executados em uma combinação de protocolo de transporte + portas.

Protocolo de camada de transporte

Porta

Nome do protocolo

Uso
TCP 22 SSH Acesso VA remoto
TCP 25 SMTP Monitoramento de VA
IP 50 ESP (Encapsulating Security Payload) Confidencialidade, integridade de dados, autenticação de origem
IP 51 AH (Cabeçalho de autenticação) Integridade de dados, autenticação de origem
UDP 53 DNS Padrão DNS
TCP 53 DNS Failover de DNS
TCP 80 HTTP Tráfego da Web (sem criptografia), APIs
UDP 123 NTP Sincronização de tempo VA
TCP 443 HTTPS Tráfego da Web criptografado, APIs e conectores AD para VAs
UDP 443 HTTPS Consultas de DNS criptografado RC
UDP 500 IKE Negociações de túnel IPsec
UDP 4500 NAT-T NAT traversal para túneis IPsec
TCP 8080 HTTP Conectores AD para comunicações de VAs

Conhecer nomes de protocolo, portas e seus usos ajuda a identificar e analisar o tráfego relevante no Wireshark.

Operadores básicos

Ao criar strings de filtro no Wireshark, use estes operadores:

  • ==: Igual a (Exemplo:ip.dst==1.2.3.4)
  • !=: Diferente de (Exemplo:ip.dst!=1.2.3.4)
  • &&: E (Exemplo:ip.dst==1.2.3.4 && ip.src==208.67.222.222)
  • ||: Ou (Exemplo:ip.dst==1.2.3.4 || ip.dst==1.2.3.5)

Para opções de filtro avançadas, consulte a documentação do Wireshark: 6.4. Criação de Expressões de Filtro de Exibição

Filtros

Capturas de pacotes podem conter milhares de pacotes. Os filtros ajudam você a se concentrar em tipos de tráfego específicos:

  • Por protocolo:

    • dns — Mostrar apenas o tráfego DNS
    • http || dns— Mostrar tráfego HTTP ou DNS

  • Por endereço IP:

    • ip.addr==<IP>— Todo o tráfego de/para<IP>
    • ip.src==<IP>— Todo o tráfego de<IP>
    • ip.dst==<IP>— Todo o tráfego para<IP>

  • Diversos:

    • tcp.flags.reset==1— Verificar redefinições TCP (timeouts)
    • dns.qry.name contém "[domain]"— Consultas DNS que correspondem a um domínio
    • tcp.port==80 || udp.port==80— Tráfego TCP ou UDP na porta 80

Exibindo e analisando pacotes

Depois de localizar um pacote, expanda os segmentos dentro do Wireshark para analisar os detalhes. A familiaridade com a estrutura do protocolo ajuda a interpretar esses detalhes e até mesmo reconstruir dados, se necessário.

Seguindo um fluxo de dados

Use a lista de pacotes para localizar pares de solicitação e resposta. Clique com o botão direito do mouse em um pacote e selecione Follow > TCP Stream, UDP Stream, TLS Stream ou HTTP Stream para exibir a sequência de solicitação e resposta relacionada.

  • Isso é mais útil com protocolos que têm várias trocas (por exemplo, HTTP) do que com protocolos de solicitação única (por exemplo, DNS).

Histórico de revisões

Revisão Data de publicação Comentários
1.0
22-Oct-2025
Versão inicial
TAC Authored

Colaborado por engenheiros da Cisco

  • TAC

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos