Introduzione
Wireshark è uno strumento di analisi del protocollo di rete open source indispensabile per l'amministrazione e la sicurezza del sistema. Analizza e visualizza i dati che viaggiano sulla rete. Wireshark consente di acquisire pacchetti di rete in tempo reale o di salvarli per l'analisi offline.
Una delle funzionalità di Wireshark che ti piacerà imparare è il filtro di visualizzazione che ti consente di ispezionare solo il traffico a cui sei veramente interessato. Wireshark è disponibile per varie piattaforme tra cui Windows, Linux, MacOS, FreeBSD e alcune altre.
Alcuni dei compiti che puoi svolgere con Wireshark sono
- Cattura e ricerca del traffico che passa attraverso la tua rete
- Ispezione di centinaia di protocolli diversi
- Acquisizione in tempo reale del traffico/analisi offline
- Risoluzione dei problemi di pacchetti persi e di latenza
- Esamina tentativi di attacchi o attività dannose
In questo articolo spiegheremo come installare Wireshark sul sistema Ubuntu. Le procedure di installazione sono state testate su Ubuntu 20.04 LTS e Ubuntu 21.04.
Installazione di Wireshark
Quindi, per installare Wireshark, dovrai aggiungere il repository "Universo". Emetti il seguente comando in Terminale per farlo:
$ sudo add-apt-repository universe
Ora esegui il seguente comando in Terminale per installare Wireshark sul tuo sistema:
$ sudo apt install Wireshark 
Dopo aver eseguito il comando precedente, ti potrebbe essere chiesta conferma, premi y, quindi premi Invio, dopodiché l'installazione di Wireshark verrà avviata nel tuo sistema.
Durante l'installazione di Wireshark, apparirà la seguente finestra che ti chiederà se vuoi consentire ai non superutenti di acquisire pacchetti. Abilitarlo può essere un rischio per la sicurezza, quindi è meglio lasciarlo disabilitato e premere Invio .
Una volta completata l'installazione di Wireshark, puoi verificarla utilizzando il seguente comando in Terminale:
$ wireshark --version
Quindi, se Wireshark è stato installato correttamente, verrà visualizzato un output simile che mostra la versione di Wireshark installata.
Avvia Wireshark
Ora sei pronto per avviare e utilizzare Wireshark sulla tua macchina Ubuntu. Per avviare Wireshark, immetti il seguente comando nel Terminale:
$ sudo wiresharkSe hai effettuato l'accesso come utente root, puoi anche avviare Wireshark dalla GUI. Premi il tasto super e digita wireshark nella barra di ricerca. Quando viene visualizzata l'icona di Wireshark, fai clic su di essa per avviarla.
Ricorda che non sarai in grado di acquisire il traffico di rete se avvii Wireshark senza privilegi di root o sudo.
Quando Wireshark si apre, vedrai la seguente vista predefinita:
Utilizzo di Wireshark
Wireshark è uno strumento potente con molte funzionalità. Qui analizzeremo solo le basi delle due importanti funzionalità che sono:acquisizione di pacchetti e filtro di visualizzazione.
Acquisizione pacchetto
Per acquisire pacchetti utilizzando Wireshark, segui i semplici passaggi seguenti:
1. Dall'elenco delle interfacce di rete disponibili nella finestra di Wireshark, seleziona l'interfaccia su cui desideri acquisire i pacchetti.
2. Dalla barra degli strumenti in alto, fai clic sul pulsante di avvio per iniziare a catturare i pacchetti sull'interfaccia selezionata come mostrato nella schermata seguente.
Se al momento non c'è traffico, puoi generare traffico visitando qualsiasi sito Web o accedendo a un file condiviso sulla rete. Successivamente, vedrai i pacchetti acquisiti visualizzati in tempo reale.
3. Per interrompere l'acquisizione dei pacchetti, fare clic sul pulsante di arresto come mostrato nella schermata seguente.
Nello screenshot sopra, puoi vedere Wireshark diviso in tre riquadri:
1. Il panelist più in alto di tutti i pacchetti catturati da Wireshark.
2. Il riquadro centrale mostra i dettagli dell'intestazione del pacchetto per ogni pacchetto selezionato.
3. Il terzo riquadro mostra i dati grezzi di ogni pacchetto selezionato.
Filtro di visualizzazione
Come hai visto negli screenshot sopra, Wireshark mostra un gran numero di pacchetti per una singola attività di rete. In una rete normale, ci sono migliaia di pacchetti che viaggiano avanti e indietro sulla rete. È molto difficile trovare un pacchetto specifico da migliaia di pacchetti catturati. Ecco la funzione di filtro del display di Wireshark.
Con i filtri di visualizzazione Wireshark, puoi visualizzare solo i tipi di pacchetti che stai cercando. In questo modo, restringe i risultati e ti consente di trovare facilmente ciò che stai cercando. Puoi filtrare i risultati in base a protocolli, indirizzi IP di origine e destinazione, numero di porta e alcuni altri.
Wireshark ha molti filtri predefiniti che puoi utilizzare. Quando inizi a digitare il nome del filtro, Wireshark ti aiuta a completarlo automaticamente suggerendo nomi. Per mostrare solo i pacchetti contenenti un protocollo specifico, digita il nome del protocollo nel campo "Applica un filtro di visualizzazione" sotto la barra degli strumenti.
Esempio:
Per visualizzare solo l'STP pacchetti da tutti i pacchetti catturati, digita stp come mostrato di seguito. Dopo aver inserito il nome del filtro, vedrai solo il stp pacchetti.
Conclusione
Ecco come puoi installare e utilizzare Wireshark sul sistema Ubuntu 21.04. Abbiamo appena discusso le basi dello strumento Wireshark. Per avere una solida conoscenza di Wireshark, devi esaminare tutte le funzionalità e sperimentarle.