Wireshark (precedentemente Ethereal) è un FOSS (software gratuito e open source) per l'analizzatore di protocolli di rete. Puoi usarlo per risolvere problemi di rete, analizzare protocolli di comunicazione come TCP, DNS, HTTP ecc. Ci sono molte caratteristiche che rendono Wireshark diverso da molte delle sue controparti:
- Acquisizione di pacchetti in tempo reale e analisi offline.
- Dettagli del pacchetto in un formato leggibile dall'uomo.
- Regole di colorazione per i pacchetti.
Cosa tratteremo?
In questa guida impareremo "Come utilizzare Wireshark per acquisire e analizzare i pacchetti". Stiamo usando Kali Linux come sistema operativo di base per questa guida. Iniziamo ora.
Acquisizione di pacchetti con Wireshark
Dopo aver avviato Wireshark, vedrai un elenco di dispositivi da cui acquisire i pacchetti.
Seleziona un dispositivo per iniziare a catturare i pacchetti facendo doppio clic sul suo nome. Selezioniamo l'interfaccia 'eth01' nel nostro caso. Come puoi vedere dopo aver selezionato il dispositivo, sullo schermo iniziano a comparire alcuni pacchetti.
In modalità promiscua, Wireshark mostrerà anche pacchetti diversi da quelli indirizzati alla nostra interfaccia di rete. Questa modalità è abilitata per impostazione predefinita, altrimenti puoi andare su ' Acquisisci> Opzioni' e seleziona "Abilita modalità promiscua su tutte le interfacce" casella di controllo (nella parte inferiore della finestra).
Per interrompere la cattura del traffico, premi l'icona del quadrato rosso nella parte in alto a sinistra della finestra . Se desideri esaminare le tue acquisizioni in un secondo momento, puoi semplicemente salvarle facendo clic su ' File> Salva'. Allo stesso modo puoi scaricare i file acquisiti e aprirli per esaminarli facendo clic su "File> Apri" . Individua il tuo file e aprilo.
Codifica colore di Wireshark
Wireshark utilizza diverse combinazioni di colori per denotare diversi tipi di traffico. Per es. il colore azzurro è usato per UDP, viola per TCP e nero per i pacchetti in errore. Per vedere il significato e modificare questi colori, vai su ' Visualizza> Regole di colorazione ' .
Filtraggio pacchetti con Wireshark
Wireshark ha una funzione di filtraggio per filtrare il traffico specifico per il tuo interesse. Il modo più semplice per utilizzare questa funzionalità è utilizzare la barra di ricerca situata all'inizio dell'elenco dei pacchetti o la tabella che illustra il riepilogo del traffico come mostrato di seguito. Per es. se vuoi filtrare il traffico 'TCP', inserisci TCP nella barra di ricerca. Vedremo questo processo più avanti in questo tutorial.
Wireshark include anche filtri predefiniti nella sezione 'Analizza> Visualizza filtri'. Puoi sceglierne uno da qui e puoi anche salvare qui i tuoi filtri personalizzati per il futuro.
Oltre a filtrare il traffico, puoi anche visualizzare le conversazioni TCP complete tra il client e il server . Per questo fai clic con il pulsante destro del mouse su un pacchetto e premi 'Segui> Stream TCP' opzione. Quando chiudi questa finestra, apparirà automaticamente un filtro nella barra di ricerca dei filtri.
Ispezione pacchetto con Wireshark
Nella tabella che illustra il riepilogo del traffico, fai clic su un pacchetto per vederne i vari dettagli. Ecco un altro modo per creare un filtro personalizzato. Quando fai clic con il pulsante destro del mouse su qualsiasi dettaglio, vedrai l'opzione "Applica come filtro" e il suo sottomenu. Seleziona qualsiasi sottomenu per creare quel filtro:
Wireshark Test Drive
Facciamo ora un esempio pratico per acquisire e ispezionare il traffico su un'interfaccia di rete utilizzando Wireshark. Nel nostro caso abbiamo installato Wireshark su Kali Linux e stiamo interagendo con l'interfaccia ethernet 'eth0'. Ora esegui i seguenti passaggi:
1. Dopo aver avviato Wireshark, selezionare l'interfaccia dall'elenco dei dispositivi nella pagina iniziale. Fare clic sull'icona blu nella barra in alto a sinistra o fare doppio clic sul nome dell'interfaccia per avviare l'acquisizione.
2. Ora avvia un browser web e apri una pagina web come 'www.howtoforge.com' . Una volta caricata la pagina, interrompi l'acquisizione premendo l'icona rossa vicino al pulsante di avvio.
3. La finestra di acquisizione ora contiene tutti i pacchetti che sono stati trasferiti da e verso il sistema. Diversi tipi di traffico vengono visualizzati con codici colore diversi come blu, nero, giallo chiaro ecc.
4. Se stai cercando pacchetti di un protocollo specifico come TCP, usa la barra dei filtri per filtrare quelle connessioni. Esistono molti processi in background in esecuzione su un sistema che utilizza l'accesso alla rete e quindi scambia pacchetti con una rete esterna. Possiamo filtrare i pacchetti destinati al nostro sistema utilizzando la funzione di filtraggio di Wireshark. Per es. per filtrare i pacchetti TCP destinati al nostro sistema, usa il filtro:
ip.dst =='tuo_ip_sistema' &&tcp
Sostituisci l'etichetta 'your_system_ip' con l'IP del tuo sistema. Nel nostro caso, è 192.168.18.161. Esaminiamo ora il contenuto di questi pacchetti, facciamo clic con il pulsante destro del mouse su qualsiasi pacchetto e dall'elenco delle opzioni andiamo a: 'Segui -> Segui flusso TCP' . Una nuova finestra dovrebbe essere simile alla finestra mostrata di seguito:
Se non sei in grado di utilizzare Wireshark per la connessione di rete in tempo reale, puoi anche utilizzare un file di traccia del pacchetto scaricato.
Conclusione
Wireshark è uno strumento molto importante per analizzare cosa sta succedendo nella tua rete. Ha ottenuto un'ampia accettazione tra vari settori IT come agenzie governative, organizzazioni commerciali e istituzioni educative. Durante la risoluzione dei problemi di rete, l'ispezione dei pacchetti è un passaggio molto cruciale e Wireshark gioca un ruolo fondamentale qui. È diventato uno standard del settore per l'analisi del traffico di rete.