O estudo de capturas de pacotes (packet captures) é dos melhores métodos para se aprender o funcionamento de protocolos em cada uma das 7 camadas de rede. Não interessa se foram feitas no wireshark, tshark, tcpdump ou qualquer outro programa.
Graças ao trabalho de muito boa gente não precisamos nós próprios de criar as condições e fazer estas capturas. Há vários “bancos de capturas” disponíveis para podermos desfrutar:
Desde cedo que sou fascinado pelos detalhes “íntimos” dos procotolos, captura de pacotes e as capacidades de uma das ferramentas top 3 de troubleshooting: o Wireshark.
Conseguir capturas nos extremos (clientes/servidores) é fácil, mas as coisas podem complicar-se quando se quer capturar tráfego algures a meio do caminho principalmente se for difícil fazer port mirroring (SPAN) em algum switch remoto.
Packet Capture Capabilities of Cisco Routers and Switches é um video antigo (4 nos já é idoso net?) publicado no forum de suporte da Cisco que apresenta diferentes métodos de conseguir captura de pacotes nos próprios dispositivos, tanto em formato .pcap Wireshark como em texto.
Este video tem 1 hora mas se estiver com pressa facilitei o seu trabalho resumindo todo ele num mind map de “fácil leitura” agrupado por IOS, NX-OS and IOS XR. Continue reading
Wireshark é a minha ferramenta de preferência para troubleshooting. Há quem pense nela só no final da luta mas comigo está sempre no topo da lista.
Recentemente tive que olhar para um problema de uma aplicação de vendas em que os utilizadores reportavam como “estando lenta”. A aplicação foi desenvolvida in-house, não utilizava nenhum dos protocolos de aplicação conhecidos como HTTP, FTP e não era encriptada. No meio de tantas transacções e uma loja em funcionamento, como encontrar a conexão TCP com a transacção a analisar? Continue reading
Num post passado sobre a resolução de nomes no Wireshark deixei o pendente da visualização de pacotes de interesse alterando as cores.
Hoje volto para cumprir a promessa. Felizmente, a configuração é simples e basta que se tenha conhecimento de filtros para fazer a configuração na hora, sem necessidade de reiniciar o Wireshark.
Hoje decidi partilhar daquele tipo de informação sem utilidade mas que mesmo assim cuia p’ra caraças saber. Todo o blog tem que ter este tipo de posts tal como os bons albums têm músicas que nunca deveriam ser gravadas.
Há tempos fiquei a saber que o Wireshark permite fazer a resolução de nomes local e personalizada para vários parâmetros incluindo: