Como usar o Wireshark para detectar conexões maliciosas no meu computador

(Maio 2016)

É mais difícil do que costumava ser porque há tanto ruído (atividade de escaneamento) na internet (pelo menos, para dispositivos realmente na internet, que a maioria dos PCs domésticos não são), e tantas aplicações verificam por atualizações em segundo plano. Mesmo se você encontrar tráfego inesperado, provavelmente é algum aplicativo que foi pré-instalado no seu computador verificando atualizações ou status "por precaução", como o Skype esperando no caso de alguém ligar para você. Você pode com os filtros certos no Wireshark procurar apenas pelo tráfego originado no seu dispositivo - pacotes SYN de saída - mas pode ser necessária alguma pesquisa para determinar se é comunicação normal de um aplicativo baseado em nuvem, ou malware comunicando com um controlador baseado em nuvem.

No passado, os rootkits no Linux eram capazes de esconder algum tráfego para certos endereços IP do sistema, que eu assumo que incluiria wirehark, então se teria uma idéia melhor monitorando o roteador upstream. Eu não sei se isso ainda é um problema e vale a pena o inconveniente extra.

Wireshark é certamente uma ferramenta que pode ser usada; por exemplo, se você for informado que há tráfego malicioso originado no seu PC, você pode identificá-lo e lê-lo com wireshark e verificar se ele realmente é malicioso e não benigno, ou se alguém está falsificando o seu endereço. Se você identificar tráfego estranho ou arquivos com netstat ou lsof ou equivalente, você pode capturar e decodificar o tráfego - por exemplo, se um malware entrar em contato com um controlador na Internet, você pode procurar outros computadores também entrando em contato com esse mesmo controlador ou usando as mesmas portas.