Num post passado sobre a resolução de nomes no Wireshark deixei o pendente da visualização de pacotes de interesse alterando as cores.
Hoje volto para cumprir a promessa. Felizmente, a configuração é simples e basta que se tenha conhecimento de filtros para fazer a configuração na hora, sem necessidade de reiniciar o Wireshark.
Em primeiro lugar é preciso pensar no que queremos marcar de forma diferente.
Marcando “conversas”
Se a intenção for identificar uma conversa IP/TCP/UDP/eth… o Wireshark torna o processo muito simples e semelhante ao “Follow TCP streams”.
Vejamos uma captura com tráfego HTTP.
Para colorir determinada conversa basta:
- Clique direito num pacote da conversa
- “Colorize Conversation“
- Escolher o protocolo (as opções disponíveis variam de acordo com o pacote clicado)
- Escolher o template de cor
Na imagem abaixo, o template 8 (amarelo) foi escolhido para a conversa IPv4 com o site www.angola.gov.ao.
Os filtros pre-definidos são um bom começo, mas podem não ser suficientes tanto pelas cores possíveis como pela baixa flexibilidade. Aí entram em cena as Coloring Rules do Wireshark.
Coloring Rules
No Menu View > Coloring Rules é possível definir filtros de cores sem restrições. Cada filtro é composto por:
- Cor do texto (foreground)
- Cor de fundo (background)
- Filtro que determina que pacotes a colorir (segue as mesmas regras que os display filters)
Para testar esta funcionalidade foi criada uma regra para colorir todos os pacotes com hostname contendo “angola.gov.ao” (ip.host == “www.angola.gov.ao”)
O resultado de aplicação da regra é claro!
Na imagem é possível ver rapidamente os pacotes com o host www.angola.gov.ao. Este foi filtro foi usado como exemplo mas as regras são limitadas somente pela capacidade dos filtros de visualização (display filters) do Wireshark.
Configuração
A janela de configuração consiste numa lista de 2 colunas: Name e Filter. Ao abrir a primeira vez é possível ver as regras default definindo as cores padrão do programa. Estas podem ser alteradas à vontade.
Para editar o nome (Name) basta um duplo click no campo à esquerda da linha correspondente à regra que quer alterar.
Editar o filtro (Filter) é com um duplo click no campo à direita da linha correspondente à regra que quer alterar.
Em baixo à esquerda é possível adicionar (+), apagar (-) e duplicar as regras.
O checkmark à esquerda habilita ou desabilita a regra sem ter que a apagar.
E em caso de confiltos? O primeiro match de cima para baixo é que vale. O conceito é semelhante às Access Control Lists do Cisco IOS. Por este motivo recomenda-se que as configurações mais específicas fiquem mais acima.
Há também a possibilidade de exportar e importar as configurações de regras de coloração. Não experimentei mas poderá ser útil para a criação de templates e partilha. Há algumas regras disponíveis para download no wiki do Wireshark.
Qual a regra aplicada?
Se tiver dúvidas sobre qual a regra de cores aplicada a qualquer pacote, basta expandir a camada 2 (frame) nos detalhes do pacote e descer até “Coloring Rule Name:” e “Coloring Rule String:”
Notas importantes:
- Para poder fazer filtros por hostname deverá ter activa a resolução de nomes seja local ou por DNS.
- Se tentou fazer sozinho as configurações deve ter notado que depois de aplicar a regra os pacotes angola.gov.ao mantiveram-se em amarelo. Isto aconteceu por causa da regra anterior de colorir a conversa e que toma precedência sobre todas as outras. Cancelar uma regra de cores de conversação é possível no menu View > Colorize Conversation > Reset Colorization ou simplesmente Ctrl + Espaço.
———–
As referências usadas para este artigo:
https://www.wireshark.org/docs/wsug_html_chunked/ChCustColorizationSection.html
https://wiki.wireshark.org/ColoringRules