Wireshark è un analizzatore di collegamenti di comunicazione di rete gratuito e noto precedentemente come Ethereal. Presenta i dati dei pacchetti acquisiti nel modo più dettagliato possibile. Puoi considerare un analizzatore di pacchetti di rete come un dispositivo di misurazione per un esame incrociato di ciò che sta accadendo all'interno di un cavo di rete, proprio come un elettricista utilizza un voltmetro per controllare cosa c'è all'interno di un cavo elettrico.
Qualche tempo fa, Wireshark e gli strumenti simili erano costosi, proprietari o entrambi. Tuttavia, l'alba di Wireshark è cambiata enormemente al punto che ora è disponibile gratuitamente, open source e ha dimostrato di essere uno dei migliori analizzatori di pacchetti disponibili oggi sul mercato.
Funzioni di Wireshark
- Wireshark è disponibile per Unix e Windows.
- Acquisisce dati a pacchetto in tempo reale da un'interfaccia di rete.
- Filtra i pacchetti in base a molti criteri
- Crea varie statistiche.
- Apre i file contenenti i dati dei pacchetti acquisiti con tcpdump/WinDump.
- Wireshark e altri programmi di acquisizione di pacchetti.
- Salva i pacchetti di dati acquisiti.
- Utilizza un'interfaccia di rete per acquisire dati a pacchetto in tempo reale.
- Importa pacchetti da file di testo contenenti dump esadecimali di dati a pacchetto.
- Esporta alcuni o tutti i pacchetti in diversi formati di file di acquisizione.
Dopo aver esaminato quell'informazione vitale, rivolgiamo ora la nostra attenzione e guardiamo alla parte centrale dell'articolo che spiega come installare Wireshark su Debian 11, e vediamo anche come iniziare con questo analizzatore di pacchetti che ha dimostrato di essere utile per diverse funzionalità tra cui sniffing, risoluzione dei problemi di rete e molto altro.
Nel caso in cui non hai Debian installato sulla tua macchina, ti suggeriamo di dare un'occhiata al nostro altro articolo su Come installare Debian 11 prima di procedere con l'articolo.
Come installare Wireshark su Debian 11
Eseguiremo i seguenti comandi sulla nostra macchina Debian 11 per installare Wireshark. Tuttavia, come al solito, inizieremo aggiornando le informazioni sulla versione dei nostri pacchetti Debian 11 usando il seguente comando:
sudo apt update
Successivamente, il terminale ti avviserà del numero di pacchetti che richiedono un aggiornamento. Se ci sono, come nel nostro caso, 32 pacchetti, esegui il seguente comando per aggiornare i "32 pacchetti":
sudo apt upgrade
Nota: Dopo aver eseguito il comando, ti verrà chiesto di confermare la tua decisione di procedere con l'installazione. Qui digiterai "y/Y" oppure premi "Invio" e il processo continuerà.
Nel caso in cui tutti i tuoi pacchetti siano aggiornati, salta il processo di aggiornamento e vai direttamente all'installazione di Wireshark che eseguiremo utilizzando apt, un software di utilità da riga di comando utilizzato per installare, rimuovere, aggiornare e gestire in altro modo deb su Debian, Ubuntu e distribuzioni Linux simili come mostrato di seguito:
sudo apt install wireshark -y
Durante l'installazione del software, ti verrà chiesto se consentire o meno ai non superutenti di acquisire pacchetti; qui, selezionerai "sì" utilizzando i tasti freccia della tastiera e premi "Invio" per il completamento del processo.
Dopo l'installazione di Wireshark, puoi eseguire il seguente comando per confermare la versione installata:
apt policy wireshark
Lancio di Wireshark
Per raggiungere questo obiettivo, vai su "attività" menu sul lato sinistro del desktop di Debian 11 e cerca Wireshark dal menu delle applicazioni o dal Finder delle applicazioni. Dovresti trovare il software installato come mostrato nello screenshot qui sotto:
Per avviare Wireshark, seleziona il software facendo doppio clic su di esso:
Lì, verrà visualizzata una schermata di benvenuto. Quindi, andrai avanti e selezionerai il tuo dispositivo di rete per acquisire i pacchetti e premi l'icona della pinna di squalo come mostrato nell'istantanea qui sotto per avviare l'acquisizione del traffico di rete.
Dopo aver esaminato il processo di installazione di questo straordinario software, diamo ora un'occhiata a come iniziare con il software.
Iniziare con Wireshark
Puoi avviare il software dall'interfaccia grafica utilizzando il menu dell'applicazione o il Finder dell'applicazione, come spiegato in precedenza nell'articolo.
Nei casi in cui conosci già l'interfaccia di rete che utilizzerai per monitorare la rete, puoi avviare il software eseguendo il comando seguente, in cui
sudo wireshark -i <Device> -k
Nota: Puoi visitare questo link per trovare ulteriori opzioni di avvio.
L'interfaccia utente grafica (GUI) di Wireshark
Per una migliore comprensione di Wireshark, dividiamo lo schermo in sei sezioni:Menu, barra degli strumenti, barra degli strumenti dei filtri, riquadro dell'elenco dei pacchetti, riquadro dei dettagli dei pacchetti e riquadro dei byte dei pacchetti. L'istantanea sotto mostrava la posizione di ciascuna delle sei sezioni denominate.
Dove ogni sezione contiene quanto segue:
Menu: La sezione del menu comprende voci per gestire i file di acquisizione, salvare l'esportazione e stampare parte o tutte le acquisizioni. Nella scheda Modifica accanto a File, vengono visualizzate le opzioni per trovare i pacchetti, gestire i profili di configurazione e alcune preferenze. Infine, la scheda Visualizza sul lato opposto consente di gestire le opzioni di visualizzazione come la colorazione specifica dei pacchetti, finestre aggiuntive, caratteri e altro.
La scheda Vai consente di eseguire un'ispezione di pacchetti specifici. La scheda di acquisizione consente di avviare e interrompere l'acquisizione di file e la modifica dei filtri. Puoi disabilitare o abilitare la dissezione del protocollo, manipola i filtri delle visualizzazioni dalla scheda Analizza, tra le opzioni aggiuntive.
La scheda Telefonia consente di visualizzare le statistiche di telefonia. La scheda wireless mostra le statistiche Bluetooth e IEE 802.11. La scheda strumenti ha strumenti disponibili per Wireshark, mentre il menu Guida contiene pagine di manuale e di aiuto.
Barra degli strumenti: La barra degli strumenti principale ha pulsanti per avviare, riavviare e interrompere l'acquisizione dei pacchetti. È possibile salvare, chiudere e ricaricare i file acquisiti dalla barra degli strumenti. Questo menu consente inoltre di accedere a opzioni di acquisizione aggiuntive o di trovare pacchetti particolari. Puoi anche passare al pacchetto successivo o tornare a quello precedente. La barra degli strumenti include opzioni di visualizzazione per colorare i pacchetti con lo zoom avanti e indietro, tra gli altri.
Barra degli strumenti del filtro: Questa barra degli strumenti è fondamentale per specificare il tipo di pacchetto che si desidera acquisire, consentendo la flessibilità di specificare il tipo di pacchetto che si desidera eliminare. Ad esempio, per acquisire tutti i pacchetti la cui porta di origine è 36, puoi digitare "tcp src port 36". Allo stesso modo, per eliminare tutti i pacchetti arp, puoi digitare "not arp".
Elenco pacchetti: La categoria dell'elenco dei pacchetti mostra i pacchetti nel file di acquisizione. Le colonne disponibili visualizzano la quantità o dicono il numero di pacchetti nel file, gli indirizzi di destinazione, il timestamp del pacchetto, l'origine, la lunghezza del pacchetto e il protocollo. La colonna delle informazioni mostra le informazioni aggiunte. Se selezioni un pacchetto in questa sezione, maggiori dettagli su quel particolare pacchetto verranno mostrati in "Dettagli pacchetto" e "Byte pacchetto" riquadri.
Dettagli del pacchetto: Il riquadro Dettagli pacchetto mostra informazioni aggiuntive su protocollo, analisi TCP, tempo di risposta, geolocalizzazione IP e checksum. Questo riquadro mostra anche possibili collegamenti o una relazione tra diversi pacchetti.
Byte pacchetto: Questo riquadro qui mostra un dump esadecimale dei pacchetti, che include l'offset dei dati, sedici byte esadecimali, sedici byte ASCII.
Dopo aver esaminato queste informazioni vitali, concentriamoci sull'acquisizione di pacchetti con Wireshark.
Acquisizione di pacchetti utilizzando Wireshark
L'istanza seguente mostra come acquisire semplicemente i pacchetti appartenenti alla comunicazione tra due dispositivi particolari. Come si vede nell'istantanea sottostante, la barra degli strumenti del filtro contiene il filtro "ip.src==192.168.62.138 e ip.dst==162.159.200.1" che dice a Wireshark di acquisire file la cui origine è l'indirizzo IP 192.168.62.138 e la cui destinazione è l'IP 162.159.200.1.
Immediatamente hai finito di acquisire i pacchetti, premi l'icona di arresto dell'acquisizione mostrata nell'istantanea qui sotto per interrompere il processo di acquisizione.
Quindi, dopo aver interrotto il processo di acquisizione dei pacchetti, puoi procedere e salvare il file acquisito premendo su File>Salva o File>Salva con nome quindi salva usando il tuo nome preferito come mostrato nell'istantanea qui sotto:
E boom! Sei bravo ad andare. Questo è probabilmente tutto ciò che serve per iniziare a studiare come utilizzare Wireshark.
Pensieri finali
Come visto nella guida sopra, installare il software Wireshark su Debian 11 è semplice come eseguire un comando apt con un solo comando. È vero che qualsiasi utente di livello Linux può installarlo, sia esso un principiante, un intermediario o un guru. Allo stesso tempo, gli amministratori di sistema devono conoscere questo o strumenti simili per eseguire analisi di rete semplificate. Wireshark ha dimostrato di essere uno strumento molto flessibile che consente agli utenti di tutti i settori di acquisire e analizzare rapidamente i pacchetti. In scenari reali, Wireshark è utile per rilevare anomalie nel traffico di rete. Può anche essere adattato per annusare il traffico; gli hacker e gli amministratori di sistema che cercano traffico dannoso devono sapere come implementare questo strumento.
Detto questo, grazie per aver letto questa guida. Ci auguriamo che sia stato sufficientemente informativo.