Wireshark è il principale analizzatore di protocolli di rete utilizzato dai professionisti della sicurezza in tutto il mondo. Ti consente di rilevare anomalie nelle reti di computer e trovare le cause sottostanti. Dimostreremo come utilizzare Wireshark nelle sezioni seguenti.
Quindi, come funziona? E come si utilizza effettivamente Wireshark per acquisire pacchetti di dati?
Come funziona Wireshark?
Il robusto set di funzionalità di Wireshark lo ha reso uno dei migliori strumenti per risolvere i problemi di rete. Molte persone usano Wireshark, inclusi amministratori di rete, revisori della sicurezza, analisti di malware e persino aggressori.
Hai un problema di rete? O vuoi semplicemente saperne di più sulla tua rete domestica? Questi sette strumenti possono aiutarti ad analizzare e risolvere i problemi della tua rete.
Consente di eseguire ispezioni approfondite dei pacchetti di rete live o archiviati. Quando inizi a utilizzare Wireshark, rimarrai affascinato dalla quantità di informazioni che può offrire. Tuttavia, troppe informazioni spesso rendono difficile rimanere in pista.
Fortunatamente, possiamo mitigare questo problema tramite le funzionalità di filtro avanzate di Wireshark. Ne discuteremo in dettaglio più avanti. Il flusso di lavoro consiste nell'acquisizione di pacchetti di rete e nel filtraggio delle informazioni richieste.
Come utilizzare Wireshark per l'acquisizione di pacchetti
Una volta avviato Wireshark, verranno visualizzate le interfacce di rete connesse al tuo sistema. Notare le curve che rappresentano la comunicazione di rete accanto a ciascuna interfaccia.
Ora, è necessario scegliere un'interfaccia specifica prima di poter iniziare a catturare i pacchetti. Per fare ciò, seleziona il nome dell'interfaccia e fai clic sul blu Pinna di squalo icona. Puoi farlo anche facendo doppio clic sul nome dell'interfaccia.
Wireshark inizierà a catturare i pacchetti in entrata e in uscita per l'interfaccia selezionata. Fare clic sul rosso pausa icona per interrompere l'acquisizione. Dovresti vedere un elenco di pacchetti di rete presi durante questo processo.
Wireshark mostrerà l'origine e la destinazione di ogni pacchetto insieme al protocollo. Tuttavia, la maggior parte delle volte, sarai interessato ai contenuti del campo delle informazioni.
È possibile ispezionare i singoli pacchetti facendo clic su di essi. In questo modo è possibile visualizzare tutti i dati del pacchetto.
Come salvare i pacchetti acquisiti in Wireshark
Poiché Wireshark cattura molto traffico, a volte potresti volerli salvare per un'ispezione successiva. Fortunatamente, salvare i pacchetti acquisiti con Wireshark è semplicissimo.
Per salvare i pacchetti, interrompere la sessione attiva. Quindi fare clic sul file file icona situata nel menu in alto. Puoi anche usare Ctrl + S per farlo.
Wireshark può salvare pacchetti in diversi formati, inclusi pcapng, pcap e dmp. Puoi anche salvare i pacchetti catturati in un formato diverso strumenti di analisi della rete può essere utilizzato in seguito.
Come analizzare i pacchetti acquisiti
È possibile analizzare i pacchetti acquisiti in precedenza aprendo il file di acquisizione. Una volta nella finestra principale, fare clic su File> Apri e quindi selezionare il file salvato pertinente.
Puoi anche usare Ctrl + O per farlo rapidamente. Dopo aver analizzato i pacchetti, esci dalla finestra di ispezione andando su File> Chiudi.
Come utilizzare i filtri di Wireshark
Wireshark offre una miriade di solide capacità di filtraggio. I filtri sono di due tipi: filtri di visualizzazione e filtri di acquisizione.
Utilizzo dei filtri di visualizzazione di Wireshark
I filtri di visualizzazione vengono utilizzati per visualizzare pacchetti specifici da tutti i pacchetti catturati. Ad esempio, possiamo utilizzare il filtro di visualizzazione icmp per visualizzare tutti i pacchetti di dati ICMP.
Puoi scegliere tra un gran numero di filtri. Inoltre, puoi anche definire regole di filtro personalizzate per attività banali. Per aggiungere filtri personalizzati, vai a Analizza> Visualizza filtri. Clicca sul + icona per aggiungere un nuovo filtro.
Utilizzo dei filtri di acquisizione di Wireshark
I filtri di acquisizione vengono utilizzati per specificare quali pacchetti acquisire durante una sessione di Wireshark. Produce un numero significativamente inferiore di pacchetti rispetto alle acquisizioni standard. Puoi usarli in situazioni in cui hai bisogno di informazioni specifiche su determinati pacchetti.
Immettere il filtro di acquisizione nel campo appena sopra l'elenco delle interfacce nella finestra principale. Seleziona il nome dell'interfaccia dall'elenco e digita il nome del filtro nel campo sopra.
Fare clic sul blu Pinna di squalo icona per iniziare a catturare i pacchetti. L'esempio seguente utilizza l'estensione arp filtro per acquisire solo le transazioni ARP.
Utilizzo delle regole di colorazione di Wireshark
Wireshark fornisce diverse regole di colorazione, che in precedenza venivano definite filtri di colore. È un'ottima funzionalità da avere quando si analizza un traffico di rete esteso. Puoi anche personalizzarli in base alle preferenze.
Per visualizzare le regole di colorazione correnti, vai a Visualizza> Regole per la colorazione. Qui puoi trovare le regole di colorazione predefinite per la tua installazione.
Puoi modificarli come preferisci. Inoltre, puoi anche utilizzare le regole di colorazione di altre persone importando il file di configurazione.
Scarica il file contenente le regole personalizzate e importalo selezionando Visualizza> Regole per colorare> Importa. Puoi esportare le regole in modo simile.
Wireshark in azione
Finora abbiamo discusso alcune delle funzionalità principali di Wireshark. Eseguiamo alcune operazioni pratiche per dimostrare come questi si integrano.
Abbiamo creato un server Go di base per questa dimostrazione. Restituisce un semplice messaggio di testo per ogni richiesta. Una volta che il server è in esecuzione, effettueremo alcune richieste HTTP e acquisiremo il traffico in tempo reale. Nota che stiamo eseguendo il server sul localhost.
Innanzitutto, iniziamo l'acquisizione del pacchetto facendo doppio clic sull'interfaccia Loopback (localhost). Il prossimo passo è avviare il nostro server locale e inviare una richiesta GET. Stiamo usando curl per farlo.
Wireshark acquisirà tutti i pacchetti in entrata e in uscita durante questa conversazione. Vogliamo visualizzare i dati inviati dal nostro server, quindi utilizzeremo il file http.response filtro di visualizzazione per la visualizzazione dei pacchetti di risposta.
Ora, Wireshark nasconderà tutti gli altri pacchetti catturati e visualizzerà solo i pacchetti di risposta. Se osservi attentamente i dettagli del pacchetto, dovresti notare i dati in chiaro inviati dal nostro server.
Comandi utili di Wireshark
Puoi anche utilizzare vari comandi Wireshark per controllare il software dal tuo terminale Linux. Ecco alcuni comandi di base di Wireshark:
- WireShark avvia Wireshark in modalità grafica.
- wirehark -h visualizza le opzioni della riga di comando disponibili.
- WireShark -i INTERFACCIA seleziona INTERFACCIA come interfaccia di acquisizione.
Tshark è l'alternativa da riga di comando per Wireshark. Supporta tutte le funzionalità essenziali ed è estremamente efficiente.
Analizza la sicurezza di rete con Wireshark
Il ricco set di funzionalità di Wireshark e le regole di filtraggio avanzate rendono l'analisi dei pacchetti produttiva e semplice. Puoi usarlo per trovare tutti i tipi di informazioni sulla tua rete. Prova le sue funzionalità di base per imparare a utilizzare Wireshark per l'analisi dei pacchetti.
Wireshark è disponibile per il download sui dispositivi che eseguono Windows, macOS e Linux.
Vuoi monitorare la tua rete o i tuoi dispositivi remoti? Ecco come trasformare il tuo Raspberry Pi in uno strumento di monitoraggio della rete usando Nagios.
- Linux
- Mac
- finestre
- Sicurezza
- Sicurezza in linea
Rubaiat è un laureato in informatica con una forte passione per l'open source. Oltre ad essere un veterano di Unix, è anche appassionato di sicurezza di rete, crittografia e programmazione funzionale. È un appassionato collezionista di libri di seconda mano e ha un'ammirazione infinita per il rock classico.
Iscriviti alla nostra Newsletter
Iscriviti alla nostra newsletter per suggerimenti tecnici, recensioni, ebook gratuiti e offerte esclusive!
Ancora un passo…!
Conferma il tuo indirizzo e-mail nell'e-mail che ti abbiamo appena inviato.
