# Lendo uma captura do BIG-IP: o trailer da F5 no Wireshark

> Uma captura feita com o sufixo de detalhe da TMM carrega bytes extras após cada pacote. Sozinho, isso parece ruído. Com o dissecador f5ethtrailer, o Wireshark transforma isso em campos legíveis que dizem exatamente como o BIG-IP tratou cada fluxo.

Source: https://ronutz.com/pt-BR/learn/reading-a-bigip-capture  
Updated: 2026-06-30  
Related tools: https://ronutz.com/pt-BR/tools/f5-bigip-tcpdump-builder

---

Capturar os pacotes é metade do trabalho; lê-los é a outra metade. Uma captura do BIG-IP feita com um sufixo de detalhe (`:n`, `:nn` ou `:nnn`) contém os quadros padrão mais um trailer Ethernet da F5 em cada um. Este artigo é sobre transformar esse trailer em respostas. Você monta a própria captura com o [construtor de tcpdump para BIG-IP](https://ronutz.com/pt-BR/tools/f5-bigip-tcpdump-builder).

## Abra no Wireshark

Grave a captura em um arquivo com `-w` e transfira-a para fora do dispositivo, depois abra no Wireshark. O Wireshark moderno já inclui o dissecador `f5ethtrailer`, que reconhece o marcador mágico do trailer e o decodifica automaticamente. Se você não vir os campos da F5, confirme que o dissecador está habilitado nas preferências de protocolo.

## O que o trailer informa

Dependendo do nível de detalhe com que você capturou, o trailer decodificado pode mostrar:

- Direção: se o BIG-IP viu o pacote em ingresso ou egresso.
- Slot e TMM: qual blade e qual instância da TMM o processou, o que importa em plataformas com múltiplas TMMs e em chassis.
- Virtual server: o nome do virtual que detém o fluxo (em detalhe médio e alto).
- IDs de fluxo e de peer-flow: os identificadores internos que permitem ligar as metades de cliente e de servidor de uma conexão.
- Causa do reset: em detalhe alto, o motivo pelo qual o BIG-IP resetou uma conexão, que muitas vezes é o campo mais útil quando uma conexão cai inesperadamente.

## Ligando os dois fluxos

É aqui que os peer flows compensam. Se você capturou com o modificador `p`, as duas metades da conexão estão no arquivo. Usando os identificadores de fluxo e de peer-flow do trailer, você pode seguir uma requisição do cliente, através do BIG-IP, até o pool member escolhido, e de volta, mesmo que os endereços mudem na fronteira do proxy. O artigo sobre [níveis de detalhe e peer flows](https://ronutz.com/pt-BR/learn/tmm-detail-and-peer-flows) explica como essas metades se relacionam.

## Filtrando dentro do Wireshark

Uma vez aberto, os filtros de exibição comuns do Wireshark se aplicam: filtre por `ip.addr`, `tcp.port`, `tcp.flags.reset` e assim por diante. O trailer da F5 acrescenta seus próprios campos filtráveis sob o namespace `f5ethtrailer`, então você pode, por exemplo, isolar cada pacote que uma TMM específica tratou, ou cada fluxo que terminou em reset. Combinar um filtro de captura restrito no dispositivo com um filtro de exibição focado no Wireshark é como você passa de um arquivo grande para os três pacotes que explicam o problema.

## Uma nota sobre o keylog

O mecanismo do trailer da F5 é apenas metadado de diagnóstico. Lê-lo não expõe os segredos de sessão do TLS; decifrar o conteúdo da aplicação é um passo separado e deliberado, que exige seu próprio material de chave. O trailer sozinho diz como o BIG-IP roteou e tratou um fluxo, não o que havia dentro de um conteúdo cifrado.
