Captura de Pacotes

A captura de pacotes é uma técnica para análise e diagnóstico em redes de computadores, permitindo registrar e inspecionar dados que trafegam entre dispositivos. Essa prática consiste em interceptar pacotes que passam por uma determinada interface de rede e armazená-los para análise, seja em tempo real ou a partir de arquivos contendo tráfico salvo anteriormente. Com isto, é possível visualizar de forma detalhada informações como endereços de origem e destino, quais protocolos estão sendo utilizados, portas de comunicação e, em alguns casos, o conteúdo transmitido.

A captura de pacotes é realizada utilizando analisadores de pacotes, ou packet sniffers que capturam os pacotes trafegados utilizando recursos do sistema operacional para acessar os dados antes que eles sejam processados pelos softwares responsáveis pela implementação da pilha de protocolos.

Por padrão, uma interface de rede só processa pacotes que foram endereçados a ela, ou seja, que possuem a interface como endereço de destino. Para a captura de pacotes é possível colocar a interface em modo promíscuo, ou seja, fazer com que ela aceite todos os pacotes que receba no enlace, mesmo aqueles que sejam destinados a outros dispositivos.

As ferramentas de captura de pacotes utilizando bibliotecas de baixo nível que interceptam os pacotes que chegam pelos drivers de rede, antes de serem entreguem à pilha de protocolos. Uma biblioteca amplamente conhecida e utilizada a libpcap The Tcpdump Group, 2025

Ferramentas¶

Ferramentas de captura de pacotes são amplamente utilizadas por administradores de sistemas, analistas de segurança e pesquisadores. Elas auxiliam no diagnóstico de problemas de conectividade, otimização de desempenho, monitoramento de tráfego e detecção de atividades suspeitas ou maliciosas.

Além de seu uso profissional, essas ferramentas também são utilizadas no aprendizado de redes de computadores, permitindo que seja observado de forma prática a estrutura e o funcionamento dos protocolos em diferentes camadas do modelo de pilha de protocolos TCP/IP.

Wireshark¶

O Wireshark Wireshark Foundation, 2025 é uma ferramenta gratuita e de código aberto utilizada para capturar e analisar tráfego de rede em tempo real. Com ela é possível inspecionar de forma detalhada pacotes que circulam entre dispositivos utilizando interface gráfica. O Wireshark também possui uma versão para uso em linha de comando, o tshark.

O Wireshark permite visualizar pacotes em tempo real, e cada pacote capturado pode ser analisado de acorddo com cada camada do modelo TCP/IP.

• Camada Física: bits transmitidos.

• Camada de Enlace: Ethernet, Wi-Fi.

• Camada de Rede: IP, IPv6.

• Camada de Transporte: TCP, UDP.

• Camada de Aplicação: HTTP, HTTPS, DNS, FTP, etc.

Filtros¶

Como durante uma captura são capturados diversos pacotes, é conveniente filtrar esses pacotes, apresentando apenas aquele de interesse para o estudo ou análise. Entre os filtros mais comuns estão aqueles por protocolo ou por endereço. Também é possível utilizar expressões, utilizando operadores lógicos, como and ou or.

Ferramentas de linha de comando¶

Em ambientes sem interface gráfica ou em cenários que exigem automação, podem-se utilizar ferramentas de linha de comando para captura de pacotes. Elas permitem monitorar e analisar tráfego de rede diretamente no terminal, favorecendo o uso remoto, a criação de scripts e a integração com outras ferramentas de análise.

tcpdump¶

O tcpdump The Tcpdump Group, 2025 é uma das ferramentas mais tradicionais de captura e análise de pacotes em linha de comando. Baseado na biblioteca libpcap, permite filtrar tráfego por protocolos, portas e endereços, bem como de salvar capturas para análises posteriores utilizando outras ferramentas.

tshark¶

O tshark é a versão em linha de comando do Wireshark, permitindo as mesmas funções da ferramenta gráfica. Pode capturar pacotes em tempo real, aplicar filtros complexos e exportar resultados.

termshark¶

O termshark fornece uma interface em texto que emula a o Wireshark diretamente no terminal, utilizando o tshark para captura e filtros. Com ele é possível navegar pelos pacotes, aplicar filtros interativos e visualizar detalhes de cada camada de forma organizada.

pyshark¶

O pyshark é um wrapper em Python para o tshark, permitindo que a captura e análise de pacotes seja feita dentro de scripts ou notebooks Python. Com isto, permite automatizar a coleta de tráfego, aplicar filtros programáticos e extrair estatísticas em projetos de análise ou segurança de rede.

Atividade prática¶

Como realizar capturas de pacotes¶

1. Feche todos os navegadores de internet abertos;

2. Abra o Wireshark;

3. Selecione a interface de rede ativa (Ethernet ou Wi-Fi);

4. Clique em Start Capturing Packets (ícone da barbatana azul);

5. Capture os pacotes;

6. Pare a captura de pacotes (ícone stop - botão do quadrado vermelho);

7. Aplique filtros e observe os pacotes capturados.

Atividades¶

Capturando pacotes de um ping¶

O ping utiliza o protocolo ICMP (Internet Connection Message Protocol). Aqui observaremos o funcionamento.

1. Inicie a captura de pacotes no Wireshark.

2. No terminal envie quatro pacotes ping para outro destino, como o Endereço IP de um colega. Exemplo: ping -c 4 8.8.8.8;

3. Pare a captura de pacotes;

4. Filtre por icmp.

Responda:

1. Quantas mensagem de requisição (Echo Request) e resposta (Echo Reply) foram capturadas?

2. Quais camadas são exibidas para cada pacote?

3. Qual o tamanho aproximado de cada frame capturado?

Troca de mensagens com netcat¶

Realize esta atividade em dupla onde um aluno será o Servidor e outro o Cliente. Antes do início da atividade, ambos devem conhecer seus endereços IP.

Desenvolva a atividade nesta ordem:

1. Servidor: No terminal, abra um servidor com netcat.

nc -l 10100

2. Servidor: Abra o Wireshark, e na barra de filtros inclua o endereço IP do colega para facilitar a visualização.

ip.addr == <IP Cliente>

3. Cliente: Conecte ao servidor netcat, e envie uma única mensagem (“Ola servidor. Aqui e o cliente.”, p.ex.)

nc -l <IP Servidor> 10100

4. Servidor: No terminal, responda a mensagem do cliente.

5. Servidor: Pare a captura de pacotes.

RSobre os pacotes capturados, responda:

1. Quantos pacotes foram trocados?

2. Identifique os pacotes de ida e volta

3. Quais protocolos aparecem nas camadas de enlace, rede, transporte e aplicação?

Acesso a uma página web (HTTP)¶

Atividade individual.

1. Inicie a captura de pacotes;

2. Abra um navegador web;

3. Acesse este website:

http://example.com

4. No Wireshark, pare a captura de pacotes;

5. Filtre por http.

Responda:

1. Qual método HTTP foi utilizado?

2. Quais portas de origem e destino foram usadas?

3. Quais endereços IP e MAC aparecem?

Filtrando Pacotes¶

HTTP¶

• Filtre pelo protocolo HTTP para ver requisições e respostas.

http

Observe os itens a seguir. Responda-os e também informe a qual camada cada item pertence.

• protocolo, método (GET, POST), caminho e parâmetros da URL. Cabeçalhos HTTP.

• portas de origem e destino.

• endereços IP.

• endereços MAC.

Mapeamento de URL para Pilha TCP/IP¶

Acesse o seguinte site e capture os pacotes trafegados:

curl "http://www.example.com/produtos?id=15"

Com base nos pacotes capturados, responda:

• Protocolo da camada de aplicação.

• Porta utilizada.

• Caminho e parâmetros da URL

• Tipo de conexão na camada de enlace (Ethernet/Wi-Fi).

Captura e Exportação¶

• Capture todo o processo de acesso a um site via HTTP.

• Salve o arquivo .pcapng.

• Apresente uma tabela com:

  • Nome do site.

  • URL completa.

  • IPs de origem e destino.

  • Camadas envolvidas, com os protocolos utilizados em cada camada.