Como capturar pacotes Wireshark (pcap) para análise?

Podemos usar o Wireshark com a função de LAN Port Mirror do router DrayTek para capturar pacotes na porta LAN do router.

Este tipo de pacotes (pcap) são úteis para análise de problemas entre um host/servidor LAN e o router/WAN, etc.

1 – Descarregue e instale o Wireshark (Wireshark · Go Deep.) no computador que vai ser usado para a captura de pacotes, e ligar esse computador a uma das portas LAN do router.

2 – Aceda ao menu “LAN >> LAN Port Mirror”:

• Activar captura em “Enable”
• Escolher Mirror Port como a respectiva porta LAN onde se encontra o computador a correr o Wireshark
• Escolher Mirrored Tx Port e Mirror Rx Port como a porta WAN (ou LAN) pretendida para monitorizar/capturar pacotes
• Carregar em OK.

3 – Executar o Wireshark no computador (pode ser necessário Executar como Administrador), e escolher a interface de rede que se encontra ligada ao router DrayTek. Depois, clicar em Start:

4 – Deverá começar a ver os pacotes da respectiva interface seleccionada (ex: WAN2):

5 – Depois de recolher os pacotes de que precisamos, clicar no botão Stop:

6 – Guarde o Ficheiro:

7 – No fim, não se esqueça de Desactivar a função de LAN Port Mirror.

NOTA: Para routers DrayTek que não suportem LAN Port Mirror ou porta WAN como porta espelhada, ligue um hub entre o modem ISP e a porta WAN do router DrayTek, e faça a captura de pacotes a partir do hub: