Siga um pacote HTTP através de uma rede usando Wireshark
From Wireshark.101.Essential.Skills.for.Network.Analysis.2nd.Edition
Para ser um bom analista, você deve conhecer o TCP / IP[1] muito bem. Além disso, a chave para a análise de comunicações é uma sólida compreensão de como os pacotes viajam através de uma rede e como vários dispositivos de rede afetam o tráfego. Vejamos um caminho de rede que inclui um cliente, dois switches, um roteador padrão, um roteador que executa a tradução de endereço de rede (NAT) e um servidor.
Na Figura 3, nosso cliente envia uma solicitação HTTP GET para a página principal no servidor HTTP. Nós usamos simples Letras para representar os endereços MAC (também conhecidos como endereços de hardware) dos dispositivos. Para saber como os dispositivos afetam o conteúdo do quadro, veremos como esse quadro é alterado à medida que viajam através de switches, roteadores e até mesmo um roteador / dispositivo NAT.
Muitas vezes você precisa capturar em mais de um local. Por exemplo, quando você quer saber como um dispositivo afeta o conteúdo de um quadro, você precisa capturar o quadro antes e depois que ele viaja pelo dispositivo. Você também pode capturar o tráfego em dois locais para determinar qual dispositivo de internet está descartando pacotes. Como a captura em vários locais é uma tarefa de análise comum, você deve ter Wireshark (ou, pelo menos, Dumpcap[2]) carregado em mais de um laptop ou estar preparado para capturar usando a extensão de porta ou na forma de full-duplex.[3]
----------------
Follow an HTTP Packet through a Network
To be a good analyst, you must know TCP/IP very well. In addition, the key to communications analysis is a solid understanding of how packets travel through a network and how various network devices affect the traffic. Let’s look at a network path that includes a client, two switches, one standard router, a router that performs Network Address Translation (NAT) and a server.
Figure 3. How will these devices affect the format of the frame along the path?
In Figure 3, our client sends an HTTP GET request for the main page on the HTTP server. We’ve used simple letters to represent the MAC addresses (aka hardware addresses) of the devices. To know how devices affect the contents of the frame, we will look at how this frame is altered as it travels through switches, routers, and even a router/NAT device.
There are many times when you will need to capture at more than one location. For example, when you want to know how a device affects the contents of a frame, you need to capture the frame both before and after it travels through the device. You may also want to capture traffic at two locations to determine which internetworking device is dropping packets. Because capturing at multiple locations is a common analysis task, you should have Wireshark (or at least Dumpcap) loaded on more than one laptop or be prepared to capture using port spanning or a full-duplex tap.
Wireshark.101.Essential.Skills.for.Network.Analysis.2nd.Edition
[1] Aqui o autor se refere sobre o OSI model e como devemos entender o Network Layer como o processo de encapsular e desencapsular os dados.
[2] Outro programa que captura *.cap ou *.pcap. *.cap é o formato Network Geral do Sniffer/capturador de pacotes enquanto ".pcap" é o formato TCPDump/ Wireshark, embora muitos analisadores nomeiem seu formato ".cap". A principal diferença está nos cabeçalhos dos arquivos e quadros, o que significa que eles contêm diferentes quantidades de informações sobre quadros. Todos eles têm pelo menos informações de dimensionamento e cronograma, bem como o conteúdo do quadro capturado (tanto bytes como a configuração de corte de quadros permitida).
[3] Novamente aqui, é necessário entender a diferença entre full-duplex e half-duplex.