Wireshark é uma ferramenta incrível para visualizar pacotes que trafegam em sua rede, abaixo algumas dicas de filtros para melhorar a visualizações das informações que deseja obter.
Filtrar por IP de origem:
ip.src==192.168.1.5
Filtrar por IP de destino:
ip.dst==192.168.1.7
Filtrar por requisições GET do http:
http.request.method == "GET"
Filtrar por requisições POST do http:
http.request.method == "POST"
Filtrar por GET e POST:
http.request
Filtrar pelo host do http:
http.host=="192.168.10.11"
Filtrar pela URI:
http.request.uri=="/app/login.xhtml"
Filtrar pela porta TCP:
tcp.port==443
Filtrar pela porta UDP:
tcp.port==4562
Exemplo:
Com alguns filtros ´você é capaz de por exemplo visualizar um usuário e senha digitados em uma página de login de um serviço rodando sem o https, mostra a importancia de trafegar dados sensíveis de forma segura:
http.request.method == “POST” && http.host==”192.168.10.11″ && http.request.uri==”/app/login.xhtml”
http.request.method == “POST” && http.host==”192.168.10.11″ && http.request.uri==”/app/login.xhtml”
Dicas:
O Wireshark vai monitorar todo o tráfego que passa por alguma interface de sua máquina, lembrando que em uma rede cabeado atual, você só conseguira ver os pacotes que saem de sua maquina ou que chegam, já que o switch de sua rede é inteligente o bastante para não te mandar pacotes que não são para você.
Já em uma rede wifi, sua placa de rede recebe tudo que trafega nessa rede, o Wireshark veem por padrão com essa opção desabilitada, você pode alterar em:
Capure Options > duplo clique na wlan > habilitar ‘Capture packets in monitor mode’
Capure Options > duplo clique na wlan > habilitar ‘Capture packets in monitor mode’