Wireshark no Mac OSX
Pesquisei e testei vários programas de sniffing pra Mac OSX. Queria algo como o conhecido Wireshark, mas com uma “cara” mais Aqua. Achei vários, mas nenhum deles tinha saída em tempo real – geravam arquivos de log com as saídas – e isso não foi, pra mim, tão interessante como a saída em tempo real do Wireshark.
Resolvi então testar a versão do Wireshark que roda em X11 (existem versões anteriores que rodam via DarwinPorts e via Fink) . Foi relativamente fácil, mas encontrei algumas pedras no caminho.
Este tutorial é para o Wireshark 1.2 rodando no Leopard (Mac OS X 10.5). Pode ser que funcione para outras configurações… mas não garanto nada.
1 – Baixe o Wireshark 1.2 para Mac em http://www.wireshark.org/download.html
2 – Abra o .dmg e arraste o Wireshark.app para sua pasta de aplicativos.
3 – Abra o terminal e digite
open /etc/bin
Isso abrirá no Finder a pasta padrão onde ficam os aplicativos executáveis via terminal no Leopard. Em outras versões do OSX isso pode mudar!
4 – Arraste todos os arquivos da pasta Utilities/Command Line da imagem do Wireshark para a pasta /etc/bin recém aberta. Digite a senha de administrador quando pedido. Nesse passo, você já pode desmontar o disco do Wireshark.
Diretório Utilities > Command Line
5 – Abra o Wireshark (da pasta aplicativos). Isso abrirá o X11 e executará o Wireshark. Sim… aplicativos do X11 te fazem pensar que está no Windows 3.1…
6 – Se você está de fato no Leopard, ele reclamará que não achou um monte de arquivos, isso porquê esses arquivos mudaram de lugar no Leopard, mas não foram atualizados no Wireshark. Se isso não aconteceu, pule para o passo 13.
Pau! Bando de arquivos não encontrados
7 – Clique em OK na tela maravilhosa te avisando que deu tudo errado.
8 – No Wireshark, clique em Edit>Preferences. Selecione (do lado esquerdo) Name Resolution.
9 – Onde está escrito SMI (SMI and PIB) paths, clique em Edit…
10- Na janela que abrir, clique em New.
11 – Na outra mini janela, adicione (CTRL + V… já que o X11 roda num modo, digamos, meio estranho, com o CTRL fazendo tudo que você está acostumado a usar com CMD)
/usr/share/snmp/mibs/
que é o endereço correto dos arquivos que o Wireshark não encontra.
Caminho correto no Leopard na mini janelinha do Wireshark
12 – Ok, ok, ok… Feche o Wireshark e abra novamente. O pau de arquivos não encontrados não deve aparecer novamente.
13 – Agora é só usar o Wireshark, clicando no primeiro botão da interface.
Interface do Wireshark
14 – Pegadinha do malandro!!! Não tem nenhuma interface de rede pra sniffar né? Mais um bug do Wireshark, mas bem tranquilo (sem trema, pra que esse post dure muitos anos com português correto).
15 – Abra o terminal e digite
sudo chmod go+r /dev/bpf*
Isso apagará todos os arquiv… fará com que as interfaces de rede sejam reconhecidas normalmente pelo Wireshark.
16 – Feche e abra o Wireshark de novo.
17 – Pronto, agora é só escolher sua interface de rede e sniffar!
Interfaces de rede sendo mostradas corretamente no Wireshark
Formado em Engenharia de Computação pela Poli (2010) e em Design pela Belas Artes (2001), é um dos fundadores do Bit a Bit e gerente de produtos da Mowa.
obrigado irmao
abs
Rapaz, obrigado demais! Muito bom o post. E olhe que estou usando Snow Leopard!
Ao invés de executar o passo 15 e alterar as permissões de acesso ao driver BPF, pode-se executar o wireshark como root:
$ sudo wireshark