🦈 Wireshark: Decifrando o "Barulho" da Sua Rede Local
Ao iniciar uma captura de pacotes no Wireshark, muitos administradores se assustam com a quantidade de tráfego UDP em segundo plano, mesmo quando ninguém está navegando. Isso não é necessariamente um problema; é a sua rede "conversando". Dispositivos modernos usam protocolos de descoberta para se autoconfigurarem (Zero-Conf).
| 📊 Protocolos de Descoberta: Guia Rápido | |
|---|---|
| 🖨️ SSDP | Busca de dispositivos UPnP (Impressoras, Roteadores). Porta 1900. |
| 🍎 mDNS | Protocolo da Apple/Google (Bonjour/Chromecast). Porta 5353. |
| 🪟 LLMNR | Resolução de nomes Windows (Sucessor do NetBIOS). Porta 5355. |
1. Configurando o Wireshark: De IP para Nomes
Antes de analisar os protocolos, é útil fazer o Wireshark traduzir os IPs para nomes, facilitando a leitura.
- Vá em Edit > Preferences.
- Selecione Name Resolution no menu lateral.
- Marque a caixa "Resolve Network (IP) Addresses".
Nota: Isso pode deixar o Wireshark um pouco mais lento, pois ele fará consultas DNS reversas.
2. SSDP (Simple Service Discovery Protocol)
O SSDP é a base do UPnP (Universal Plug and Play). É como seus dispositivos dizem "Estou aqui!". Ele usa mensagens HTTP sobre UDP (HTTPU).
Você conecta uma Smart TV na rede. Imediatamente, ela envia um pacote multicast SSDP para o IP
239.255.255.250. O Windows detecta esse pacote e exibe a TV no "Explorador de Arquivos" sob "Locais de Rede", sem você configurar nada.
udp.port == 1900
3. mDNS (Multicast DNS)
Conhecido no mundo Apple como Bonjour e no Linux como Avahi. É essencial para redes domésticas e IoT onde não há um servidor DNS central (Windows Server/Bind).
Seu iPhone procura uma impressora. Ele não sabe o IP dela, então grita na rede: "Quem é impressora.local?". A impressora ouve e responde diretamente com seu IP. Isso é crucial para Chromecast, AirPlay e Spotify Connect.
udp.port == 5353
4. LLMNR (Link-Local Multicast Name Resolution)
O "filho" do antigo NetBIOS. É o método padrão do Windows para resolver nomes quando o DNS falha. Funciona em IPv4 e IPv6 (o NetBIOS só funcionava em IPv4).
Você digita
\\servidor-arquivos no Windows Explorer.
- O Windows pergunta ao DNS: "Quem é servidor-arquivos?". (Falha/Não existe)
- O Windows usa LLMNR e pergunta para a rede toda (Broadcast): "Alguém é servidor-arquivos?".
- Um atacante na rede pode responder: "Sou eu, me mande sua senha!". (Ataque LLMNR Poisoning).
udp.port == 5355
- DNS 53
- DHCP 67 Client and 68 Server
- SSDP 1900
- mDNS 5353
- LLMNR 5355
- HTTP 80 e 443
- Wins Server 137 - Name Registration and Query
- UDP 138 - NetBIOS Datagram Service (used for browsing)
- TCP 42 - WINS Replication (between WINS servers)
- TCP 445 (Direct Host): The standard port for modern Windows file sharing (SMB/CIFS). It allows communication directly over TCP/IP without needing NetBIOS.
- TCP 139 (NetBIOS Session Service): Used for older SMB/NetBIOS communication, necessary for backward compatibility.
- UDP 137 (NetBIOS Name Service): Used for name resolution on local networks or wins server.
- UDP 138 (NetBIOS Datagram Service): Used for browsing and networking, commonly with 137/139
- TCP 135 (RPC): Used by Windows for remote procedure calls, which are crucial for directory services and file sharing management.
- TCP 20/21 (FTP): Used for File Transfer Protocol.
- TCP 5985/5986 (WinRM): Used for Windows Remote Management.
Sua Rede Está Lenta ou Insegura?
Tráfego excessivo de broadcast pode derrubar o Wi-Fi e protocolos legados (LLMNR) abrem brechas de segurança. Realizamos uma análise profunda de pacotes (Sniffing) para otimizar e blindar sua infraestrutura.
Diagnóstico Avançado de RedeAuditoria Wireshark, Hardening de GPO e Segmentação de VLAN.
