Wireshark è un analizzatore di pacchetti di rete gratuito e open source, multipiattaforma e basato su GUI disponibile per Linux, Windows, MacOS, Solaris ecc. Cattura i pacchetti di rete in tempo reale e li presenta in un formato leggibile dall'uomo. Wireshark ci consente di monitorare i pacchetti di rete fino a livello microscopico. Wireshark ha anche un'utilità da riga di comando chiamata "tshark ' che esegue le stesse funzioni di Wireshark ma tramite terminale e non tramite GUI.
Wireshark può essere utilizzato per la risoluzione dei problemi di rete, l'analisi, lo sviluppo di software e protocolli di comunicazione e anche per scopi educativi. Wireshark utilizza una libreria chiamata "pcap ' per acquisire i pacchetti di rete.
Wireshark viene fornito con molte funzionalità e alcune di queste sono;
- Supporto per centinaia di protocolli per l'ispezione,
- Possibilità di acquisire pacchetti in tempo reale e salvarli per analisi offline successive
- Una serie di filtri per l'analisi dei dati
- I dati acquisiti possono essere compressi e decompressi al volo
- Sono supportati vari formati di file per l'analisi dei dati, l'output può anche essere salvato in formato XML, CSV, testo normale,
- I dati possono essere acquisiti da una serie di interfacce come ethernet, wifi, bluetooth, USB, frame relay, token ring ecc.
In questo articolo, discuteremo come installare Wireshark su macchine Ubuntu/Debain e impareremo anche a usare Wireshark per acquisire pacchetti di rete.
Installazione di Wireshark su Ubuntu 16.04 / 17.10
Wireshark è disponibile con i repository Ubuntu predefiniti e può essere installato semplicemente utilizzando il comando seguente. Ma potrebbero esserci delle possibilità che tu non riceva l'ultima versione di wireshark.
[email protected]:~$ sudo apt-get update [email protected]:~$ sudo apt-get install wireshark -y
Quindi per installare l'ultima versione di wireshark dobbiamo abilitare o configurare il repository wireshark ufficiale .
Usa i comandi seguenti uno dopo l'altro per configurare il repository e installare l'ultima versione dell'utilità Wireshark
[email protected]:~$ sudo add-apt-repository ppa:wireshark-dev/stable [email protected]:~$ sudo apt-get update [email protected]:~$ sudo apt-get install wireshark -y
Una volta installato Wireshark, esegui il comando seguente in modo che gli utenti non root possano acquisire pacchetti live di interfacce,
[email protected]:~$ sudo setcap 'CAP_NET_RAW+eip CAP_NET_ADMIN+eip' /usr/bin/dumpcap
Installazione di Wireshark su Debian 9
Il pacchetto Wireshark e le sue dipendenze sono già presenti nei repository debian 9 predefiniti, quindi per installare la versione più recente e stabile di Wireshark su Debian 9, usa il seguente comando:
[email protected]:~$ sudo apt-get update [email protected]:~$ sudo apt-get install wireshark -y
Durante l'installazione, ci verrà chiesto di configurare dumpcap per i non superutenti,
Seleziona "sì" e poi premi invio.
Una volta completata l'installazione, esegui il comando seguente in modo che anche gli utenti non root possano acquisire i pacchetti live delle interfacce.
[email protected]:~$ sudo chmod +x /usr/bin/dumpcap
Possiamo anche usare l'ultimo pacchetto sorgente per installare wireshark su Ubuntu/Debain e molte altre distribuzioni Linux.
Installazione di Wireshark utilizzando il codice sorgente su sistemi Debian/Ubuntu
Innanzitutto scarica l'ultimo pacchetto sorgente (che è 2.4.2 al momento della stesura di questo articolo), usa il comando seguente,
[email protected]:~$ wget https://1.as.dl.wireshark.org/src/wireshark-2.4.2.tar.xz
Quindi estrai il pacchetto ed entra nella directory estratta,
[email protected]:~$ tar -xf wireshark-2.4.2.tar.xz -C /tmp [email protected]:~$ cd /tmp/wireshark-2.4.2
Ora compileremo il codice con i seguenti comandi,
[email protected]:/tmp/wireshark-2.4.2$ ./configure --enable-setcap-install [email protected]:/tmp/wireshark-2.4.2$ make
Infine, installa i pacchetti compilati per installare Wireshark sul sistema,
[email protected]:/tmp/wireshark-2.4.2$ sudo make install [email protected]:/tmp/wireshark-2.4.2$ sudo ldconfig
Dopo l'installazione verrà creato anche un gruppo separato per Wireshark, ora aggiungeremo il nostro utente al gruppo in modo che possa funzionare con wireshark altrimenti potresti ottenere "permesso negato ' errore all'avvio di wireshark.
Per aggiungere l'utente al gruppo wireshark, esegui il comando seguente,
[email protected]:~$ sudo usermod -a -G wireshark linuxtechi
Ora possiamo avviare wireshark dal menu della GUI o dal terminale con questo comando,
[email protected]:~$ wireshark
Accedi a Wireshark sul sistema Debian 9
Fare clic sull'icona Wireshark
Accedi a Wireshark su Ubuntu 16.04 / 17.10
Fare clic sull'icona Wireshark
Cattura e analisi dei pacchetti
Una volta che il wireshark è stato avviato, dovrebbe essere presentata la finestra di wireshark, l'esempio è mostrato sopra per i sistemi Ubuntu e Debian.
Tutte queste sono le interfacce da cui possiamo acquisire i pacchetti di rete. In base alle interfacce che hai sul tuo sistema, questa schermata potrebbe essere diversa per te.
Stiamo selezionando "enp0s3" per acquisire il traffico di rete per quell'interfaccia. Dopo aver selezionato l'interfaccia, i pacchetti di rete per tutti i dispositivi sulla nostra rete iniziano a popolarsi (fare riferimento allo screenshot qui sotto)
La prima volta che vediamo questa schermata potremmo essere sopraffatti dai dati che vengono presentati in questa schermata e potremmo aver pensato a come risolvere questi dati ma non preoccuparti, una delle migliori caratteristiche di Wireshark sono i suoi filtri.
Possiamo ordinare/filtrare i dati in base all'indirizzo IP, al numero di porta, possiamo anche utilizzare filtri di origine e destinazione, dimensione del pacchetto ecc. e possiamo anche combinare 2 o più filtri insieme per creare ricerche più complete. Possiamo scrivere i nostri filtri in "Applica un filtro display ' tab , oppure possiamo anche selezionare una delle regole già create. Per selezionare il filtro predefinito, fai clic su "flag ' icona , accanto a 'Applica un filtro di visualizzazione ' scheda,
Possiamo anche filtrare i dati in base alla codifica a colori. Per impostazione predefinita, il viola chiaro è traffico TCP , l'azzurro è traffico UDP e il nero identifica i pacchetti con errori , per vedere cosa significano questi codici, fai clic su Visualizza -> Regole di colorazione , possiamo anche modificare questi codici.
Dopo aver ottenuto i risultati di cui abbiamo bisogno, possiamo quindi fare clic su uno qualsiasi dei pacchetti acquisiti per ottenere maggiori dettagli su quel pacchetto, questo mostrerà tutti i dati su quel pacchetto di rete.
Wireshark è uno strumento estremamente potente che richiede del tempo per abituarsi e fare un comando su di esso, questo tutorial ti aiuterà a iniziare. Non esitare a inserire le tue domande o suggerimenti nella casella dei commenti qui sotto.