Wireshark, uno strumento di analisi di rete precedentemente noto come Ethereal, cattura i pacchetti in tempo reale e li visualizza in un formato leggibile dall'uomo. Wireshark include filtri, codici colore e altre funzionalità che ti consentono di scavare in profondità nel traffico di rete e di ispezionare i singoli pacchetti.
Questo tutorial ti consentirà di apprendere le nozioni di base per acquisire pacchetti, filtrarli e ispezionarli. Puoi utilizzare Wireshark per ispezionare il traffico di rete di un programma sospetto, analizzare il flusso di traffico sulla rete o risolvere i problemi di rete.
Ottenere Wireshark
Puoi scaricare Wireshark per Windows o macOS da il suo sito ufficiale . Se stai usando Linux o un altro sistema simile a UNIX, probabilmente troverai Wireshark nei suoi repository di pacchetti. Ad esempio, se utilizzi Ubuntu, troverai Wireshark nell'Ubuntu Software Center.
Solo un breve avvertimento: molte organizzazioni non consentono Wireshark e strumenti simili sulle loro reti. Non utilizzare questo strumento al lavoro se non hai l'autorizzazione.
Acquisizione di pacchetti
Dopo aver scaricato e installato Wireshark, è possibile avviarlo e fare doppio clic sul nome di un'interfaccia di rete in Acquisizione per avviare l'acquisizione di pacchetti su tale interfaccia. Ad esempio, se desideri acquisire il traffico sulla tua rete wireless, fai clic sulla tua interfaccia wireless. Puoi configurare le funzionalità avanzate facendo clic su Cattura> Opzioni, ma per ora non è necessario.
Non appena fai clic sul nome dell'interfaccia, vedrai i pacchetti iniziare ad apparire in tempo reale. Wireshark acquisisce ogni pacchetto inviato al o dal tuo sistema.
Se hai abilitato la modalità promiscua, è abilitata per impostazione predefinita, vedrai anche tutti gli altri pacchetti sulla rete invece che solo i pacchetti indirizzati alla tua scheda di rete. Per verificare se la modalità promiscua è abilitata, fare clic su Cattura> Opzioni e verificare che la casella di controllo "Abilita modalità promiscua su tutte le interfacce" sia attivata nella parte inferiore di questa finestra.
Fare clic sul pulsante rosso "Stop" vicino all'angolo superiore sinistro della finestra quando si desidera interrompere l'acquisizione del traffico.
Codificazione del colore
Probabilmente vedrai i pacchetti evidenziati in una varietà di colori diversi. Wireshark utilizza i colori per aiutarti a identificare i tipi di traffico a colpo d'occhio. Per impostazione predefinita, il viola chiaro è il traffico TCP, l'azzurro è il traffico UDP e il nero identifica i pacchetti con errori, ad esempio potrebbero essere stati consegnati fuori ordine.
Per visualizzare esattamente il significato dei codici colore, fare clic su Visualizza> Regole di colorazione. Puoi anche personalizzare e modificare le regole di colorazione da qui, se lo desideri.
Acquisizioni di campioni
Se non c'è nulla di interessante da ispezionare sulla tua rete, il wiki di Wireshark ti ha coperto. Il wiki contiene un file pagina di file di acquisizione di esempio che puoi caricare e ispezionare. Fare clic su File> Apri in Wireshark e cercare il file scaricato per aprirne uno.
Puoi anche salvare le tue acquisizioni in Wireshark e aprirle in un secondo momento. Fare clic su File> Salva per salvare i pacchetti acquisiti.
Pacchetti di filtraggio
Se stai cercando di ispezionare qualcosa di specifico, come il traffico che un programma invia quando telefona a casa, è utile chiudere tutte le altre applicazioni che utilizzano la rete in modo da poter restringere il traffico. Tuttavia, probabilmente avrai una grande quantità di pacchetti da setacciare. È qui che entrano in gioco i filtri di Wireshark.
Il modo più semplice per applicare un filtro è digitarlo nella casella del filtro nella parte superiore della finestra e fare clic su Applica (o premere Invio). Ad esempio, digita "dns" e vedrai solo i pacchetti DNS. Quando inizi a digitare, Wireshark ti aiuterà a completare automaticamente il filtro.
Puoi anche fare clic su Analizza> Visualizza filtri per scegliere un filtro tra i filtri predefiniti inclusi in Wireshark. Da qui, puoi aggiungere i tuoi filtri personalizzati e salvarli per accedervi facilmente in futuro.
Per ulteriori informazioni sul linguaggio di filtraggio del display di Wireshark, leggi il Creazione di espressioni di filtro di visualizzazione pagina nella documentazione ufficiale di Wireshark.
Un'altra cosa interessante che puoi fare è fare clic con il pulsante destro del mouse su un pacchetto e selezionare Segui> TCP Stream.
Vedrai l'intera conversazione TCP tra il client e il server. Puoi anche fare clic su altri protocolli nel menu Segui per vedere le conversazioni complete per altri protocolli, se applicabile.
Chiudi la finestra e troverai che un filtro è stato applicato automaticamente. Wireshark ti mostra i pacchetti che compongono la conversazione.
Ispezione dei pacchetti
Fai clic su un pacchetto per selezionarlo e puoi scavare per visualizzarne i dettagli.
Puoi anche creare filtri da qui: fai clic con il pulsante destro del mouse su uno dei dettagli e utilizza il sottomenu Applica come filtro per creare un filtro basato su di esso.
Wireshark è uno strumento estremamente potente e questo tutorial sta solo grattando la superficie di ciò che puoi fare con esso. I professionisti lo usano per eseguire il debug delle implementazioni del protocollo di rete, esaminare i problemi di sicurezza e ispezionare gli interni del protocollo di rete.
Puoi trovare informazioni più dettagliate nel sito ufficiale Guida per l'utente di Wireshark e il altre pagine di documentazione sul sito web di Wireshark.
