Análise de Protocolos • Redes • Packet Capture • Blue Team

Wireshark Vendo o que acontece na rede

Laboratório de análise de protocolos de rede utilizando Wireshark no Kali Linux — capturando e interpretando tráfego real de DNS, ARP, ICMP, TCP e HTTPS/TLS para compreender na prática como os dados se movem em uma rede.

Ver análises → Ver no GitHub

Protocolos analisados

Capturas do laboratório

DNS — Resolução de nomes ARP — Resolução de MACs ICMP — Ping Echo Request/Reply TCP — Three-Way Handshake HTTPS/TLS — Handshake criptografado

Índice

Navegue pelo conteúdo desta documentação.

Sobre o laboratório

Por que analisar tráfego de rede na prática.

O Wireshark é o analisador de protocolos de rede mais utilizado no mundo — tanto por profissionais de redes e segurança quanto em ambientes acadêmicos. Ele permite capturar pacotes em tempo real e inspecionar cada campo de cada protocolo, tornando visível algo que normalmente é invisível: o que realmente acontece na rede.

Neste laboratório, o Wireshark foi utilizado no Kali Linux para analisar cinco protocolos fundamentais — DNS, ARP, ICMP, TCP e HTTPS/TLS — construindo uma base sólida de compreensão do modelo de camadas e da comunicação entre dispositivos. Cada captura foi registrada, filtrada e documentada com evidências reais.

Ambiente

Onde as capturas foram realizadas.

Kali Linux

Sistema operacional utilizado para execução do Wireshark, captura de pacotes e análise dos protocolos em ambiente virtualizado.

Kali Linux 2026.2 Interface de rede Modo promíscuo

VMware Workstation

Hypervisor utilizado para isolar o ambiente de captura, garantindo que o tráfego analisado seja real e proveniente do laboratório.

VMware Bridge Mode Rede local real

Wireshark

Analisador de protocolos utilizado para captura, filtragem e inspeção de pacotes em tempo real, com interface gráfica e filtros de display avançados.

Wireshark Display Filters Packet Inspector

Repositório

Laboratório documentado no GitHub com capturas, notas técnicas e screenshots de cada protocolo analisado.

captures/ screenshots/ notes/

Protocolos analisados

Cinco protocolos fundamentais capturados e documentados.

Cada protocolo foi analisado com um objetivo específico — compreender o seu papel na comunicação de rede, identificar seus campos e interpretar o comportamento real dos pacotes capturados.

Protocolo 01

DNS — Domain Name System

O DNS é o protocolo responsável por traduzir nomes de domínio em endereços IP. Na captura, foi possível observar a consulta (Query) enviada pelo cliente para o servidor DNS e a resposta (Response) com o IP resolvido — visualizando na prática como um simples acesso a um site começa com uma pergunta ao DNS.

Filtro: dns Porta UDP 53 Query Type A Response com IP

Protocolo 02

ARP — Address Resolution Protocol

O ARP opera na camada 2 e resolve endereços IP em endereços MAC — necessário para que pacotes sejam entregues corretamente na rede local. Na captura, foram observados o ARP Request (broadcast perguntando "quem tem este IP?") e o ARP Reply (resposta com o MAC do dispositivo correspondente).

Filtro: arp Broadcast MAC Resolution Camada 2

Protocolo 03

ICMP — Internet Control Message Protocol

O ICMP é utilizado para diagnóstico de rede — o comando ping usa ICMP Echo Request e Echo Reply para testar conectividade. Na captura, foi possível visualizar os pacotes de ida e volta entre o Kali Linux e o servidor Wazuh (10.0.0.20), confirmando conectividade e medindo o tempo de resposta.

Filtro: icmp Echo Request / Reply TTL e RTT Diagnóstico

Protocolo 04

TCP — Three-Way Handshake

O TCP estabelece conexões confiáveis através do Three-Way Handshake: SYN → SYN-ACK → ACK. Na captura, foi possível visualizar cada etapa desse processo — o cliente enviando SYN, o servidor respondendo com SYN-ACK e o cliente confirmando com ACK — antes de qualquer dado ser trocado. Essa é a base de toda comunicação TCP na rede.

Filtro: tcp.flags.syn==1 SYN → SYN-ACK → ACK Conexão confiável Camada 4

Protocolo 05

HTTPS / TLS — Comunicação criptografada

O TLS é o protocolo que criptografa a comunicação HTTPS. Na captura, foi possível observar o TLS Handshake — Client Hello, Server Hello, troca de certificados e estabelecimento das chaves de sessão — antes da comunicação criptografada iniciar. Após o handshake, os dados aparecem no Wireshark como Application Data ilegível, demonstrando na prática o que a criptografia faz.

Filtro: tls Client Hello / Server Hello Certificado TLS Application Data criptografado

Evidências

Capturas reais dos protocolos analisados.

Screenshots reais das capturas realizadas no Wireshark — cada imagem mostra os pacotes filtrados e os campos inspecionados de cada protocolo.

Análise DNS no Wireshark — DNS — Query e Response capturados, mostrando resolução de nome para IP.

Análise ARP no Wireshark — ARP — Request broadcast e Reply com endereço MAC resolvido.

Análise ICMP no Wireshark — ICMP — Echo Request e Echo Reply do ping entre as VMs do laboratório.

TCP Three-Way Handshake no Wireshark — TCP — Three-Way Handshake: SYN, SYN-ACK e ACK visíveis na captura.

Análise HTTPS/TLS no Wireshark — HTTPS/TLS — Handshake TLS com Client Hello, Server Hello e Application Data criptografado.

Ver repositório completo no GitHub

Competências desenvolvidas

O que este laboratório construiu na prática.

A análise de protocolos com Wireshark transforma conceitos teóricos de redes em observações práticas — vendo os pacotes reais, seus campos e seu comportamento em uma rede funcionando.

Packet Analysis

Captura e análise de pacotes em tempo real com Wireshark, utilizando filtros de display para isolar protocolos específicos e inspecionar campos individuais de cada pacote.

Modelo de Camadas

Compreensão prática do modelo TCP/IP — observando como cada camada encapsula os dados: Ethernet (L2), IP (L3), TCP/UDP (L4) e aplicação (L7) coexistindo em cada pacote.

Protocolos de Rede

Análise profunda de DNS, ARP, ICMP, TCP e TLS — identificando o papel de cada um na comunicação, seus campos específicos e o comportamento esperado versus anômalo.

Display Filters

Uso de filtros do Wireshark para isolar tráfego específico: dns, arp, icmp, tcp.flags.syn==1, tls — habilidade essencial para análise em ambientes reais.

Blue Team

Perspectiva defensiva na análise de tráfego — identificando padrões normais de comunicação para reconhecer anomalias, base para threat hunting e análise forense de rede.

Documentação técnica

Registro organizado das capturas, análises e aprendizados no GitHub — com estrutura de capturas, screenshots e notas técnicas por protocolo.

Resultados

O que foi entregue neste laboratório.

05Protocolos analisados

05Capturas documentadas

01Repositório público

L2→L7Camadas cobertas

Próximos passos

Como este laboratório continuará evoluindo.

DHCP

Capturar o processo DORA (Discover, Offer, Request, Acknowledge) do DHCP — visualizando como um dispositivo obtém automaticamente um endereço IP na rede.

HTTP

Analisar tráfego HTTP não criptografado — visualizando requests, responses, headers e o conteúdo trafegando em texto claro, contrastando com o HTTPS.

VLANs

Capturar tráfego com tags 802.1Q para compreender como VLANs são identificadas nos pacotes e como o trunking funciona em switches gerenciáveis.

Análise de ataques

Utilizar o Wireshark para analisar capturas de port scans e outros ataques gerados no laboratório — correlacionando com os alertas do Suricata e Wazuh.

Conclusão

Cinco protocolos. Cinco capturas. Redes visíveis.

Este laboratório construiu uma base fundamental para qualquer atuação em redes ou segurança — a capacidade de capturar e interpretar tráfego real. Combinado com o Suricata e o Wazuh, o Wireshark fecha o ciclo de visibilidade do laboratório: eventos de aplicação, tráfego de rede e logs centralizados.

Ver repositório no GitHub → Ver laboratório Suricata