Neste artigo revisaremos algumas funcionalidades do Wireshark que permitem analisar capturas de tráfego de rede de forma mais eficiente; descobriremos como obter arquivos de captura de tráfego de rede e quais são os requisitos básicos; e, por fim, veremos se é possível automatizar a captura e a análise do tráfego em subestações digitais.
Três funcionalidades do Wireshark para aumentar a eficiência da análise de tráfego
O Wireshark é um dos instrumentos mais populares para captura e análise de tráfego de rede. Possui muitas funcionalidades que permitem uma análise fácil e detalhada dos dados de rede.
Filtros de exibição na barra de ferramentas
Uma das funções mais conhecidas e úteis do Wireshark é o Display filter (filtro de exibição). Com ele, o usuário pode instruir o Wireshark a exibir apenas os quadros que correspondem à expressão do filtro. Os demais dados de captura são ocultados mas não excluídos.
Por exemplo, ao analisar uma captura de rede de uma subestação digital, o usuário pode fazer o Wireshark exibir apenas mensagens GOOSE — excluindo o tráfego Sampled Values — ou apenas as comunicações cliente-servidor (MMS).
Se você utiliza alguns filtros com frequência, pode adicionar botões de filtro à barra de menus. Para isso, insira a expressão do filtro no campo de texto e clique no botão de mais (+) à direita.
Ao clicar em OK, o botão do filtro aparecerá na barra de menus. Clicar nele aplicará o filtro.
Usando essas funcionalidades, você não precisará mais inserir manualmente expressões de filtro de exibição usadas com frequência.
Marcação e comentários de quadros
Quando o usuário encontrar quadros de interesse, eles podem ser marcados. Os quadros marcados são facilmente identificáveis — exibidos com fundo preto. Uma função útil é criar um novo arquivo de captura baseado no original que inclua apenas os quadros marcados (Arquivo → Exportar Pacotes Especificados).
Para marcar um quadro, clique nele no painel Packet List e pressione Ctrl+M.
O único inconveniente da marcação é que ela não é armazenada nos arquivos pcap/pcapng.
Para indicar os resultados da investigação aos colegas, use a funcionalidade de comentários de pacotes. Clique com o botão direito no quadro específico, escolha Packet Comment e insira o texto da nota. Salve o arquivo como pcapng. Os colegas podem usar o filtro frame.comment para exibir todos os quadros com comentários.
Exibição de nomes de IED definidos pelo usuário em vez de endereços MAC e IP
É possível fazer o Wireshark usar regras personalizadas para substituir endereços MAC específicos por nomes definidos pelo usuário? Por exemplo, exibir em vez de 00:26:57:01:34:6e — Protection_IED. A resposta é sim.
No Windows: Ajuda → Sobre; no macOS: Wireshark → Sobre o Wireshark. Na caixa de diálogo, escolha a aba Pastas e clique no link ao lado de Configuração pessoal. Na pasta que abrir, crie um arquivo de texto chamado ethers. Especifique os endereços MAC e os nomes definidos pelo usuário (separados por espaço). Salve as alterações.
De forma similar, crie ou edite um arquivo de texto chamado hosts com os endereços IP e nomes definidos pelo usuário.
Em Preferências → Resolução de nomes, certifique-se de que as opções Resolver endereços MAC e Resolver endereços de rede (IP) estejam marcadas. Reinicie o Wireshark.
Exportação para CSV/JSON e outros formatos
O Wireshark fornece funcionalidade de exportação para vários formatos de dados — CSV, JSON, texto simples, XML, etc.
Para exportar dados, expanda o quadro, selecione o campo de interesse, clique com o botão direito e escolha Aplicar como coluna. Em seguida, selecione Arquivo → Exportar Dissecções de Pacotes e escolha o formato necessário.
De onde obter arquivos de captura de tráfego?
Para uma pequena subestação de 110 kV com 22 fluxos Sampled Values e 120 mensagens GOOSE, você precisará de aproximadamente 100 TB/mês de armazenamento. Armazenar dados por 6 meses requereria 600 TB.
A alternativa é realizar a captura de tráfego de forma semelhante aos registradores de distúrbios — iniciar a gravação com base em eventos de comunicação (perda de mensagem, mudanças na qualidade de sincronização de tempo, etc.). Com essa abordagem, é possível armazenar e processar arquivos PCAP por vários anos.
Essa funcionalidade está disponível no sistema de gerenciamento do ciclo de vida de subestações digitais Tekvel Park, que possui estrutura modular: um servidor e dispositivos de monitoramento de rede chamados Live View Box.
É possível automatizar a análise do tráfego da subestação digital?
Sim. É para isso que o Tekvel Park foi criado. Em comparação com o Wireshark, oferece:
- Monitoramento online e automático do tráfego IEC 61850 em relação ao arquivo SCD. O usuário obtém informações detalhadas sobre os parâmetros de mensagens que não correspondem à configuração do arquivo SCD.
- Detecção automática de falhas de comunicação IEC 61850 (falhas de contadores de mensagens, mudanças no status de sincronização de tempo, perda de mensagens, etc.).
- Detecção automática de mudanças de dados em mensagens GOOSE/Sampled Values.
- Gravação de tráfego iniciada por eventos identificados pelo Tekvel Park, com captura de tráfego antes e após o evento como um único arquivo PCAP.
- Visualização de formas de onda baseadas em dados GOOSE e Sampled Values com descrição de sinais no idioma nativo.
Não se perca nas redes das subestações digitais!