Wireshark, uno strumento di analisi della rete precedentemente noto come Ethereal, acquisisce i pacchetti in tempo reale e li visualizza in un formato leggibile dall'uomo. Wireshark include filtri, codici colore e altre funzionalità che consentono di approfondire il traffico di rete e ispezionare i singoli pacchetti.
Questo tutorial ti consentirà di acquisire le nozioni di base sull'acquisizione di pacchetti, sul loro filtraggio e sul loro controllo. Puoi utilizzare Wireshark per ispezionare il traffico di rete di un programma sospetto, analizzare il flusso di traffico sulla tua rete o risolvere i problemi di rete.
Ottenere Wireshark
Puoi scaricare Wireshark per Windows o macOS dal suo sito Web ufficiale. Se stai usando Linux o un altro sistema simile a UNIX, probabilmente troverai Wireshark nei suoi repository di pacchetti. Ad esempio, se stai usando Ubuntu, troverai Wireshark nel Ubuntu Software Center.
Solo un breve avvertimento: molte organizzazioni non consentono Wireshark e strumenti simili sulle loro reti. Non utilizzare questo strumento al lavoro se non si dispone dell'autorizzazione.
Acquisizione di pacchetti
Dopo aver scaricato e installato Wireshark, è possibile avviarlo e fare doppio clic sul nome di un'interfaccia di rete in Capture per avviare l'acquisizione di pacchetti su tale interfaccia. Ad esempio, se desideri acquisire il traffico sulla tua rete wireless, fai clic sulla tua interfaccia wireless. Puoi configurare funzionalità avanzate facendo clic su Acquisisci> Opzioni, ma per ora non è necessario.
Non appena fai clic sul nome dell'interfaccia, vedrai che i pacchetti iniziano ad apparire in tempo reale. Wireshark acquisisce ogni pacchetto inviato da o verso il tuo sistema.
Se hai attivato la modalità promiscua, abilitata per impostazione predefinita, visualizzerai anche tutti gli altri pacchetti sulla rete anziché solo i pacchetti indirizzati alla tua scheda di rete. Per verificare se la modalità promiscua è abilitata, fare clic su Acquisisci> Opzioni e verificare che la casella di controllo “Abilita modalità promiscua su tutte le interfacce” sia attivata nella parte inferiore di questa finestra.
Fare clic sul pulsante rosso “Stop” vicino all'angolo in alto a sinistra della finestra quando si desidera interrompere l'acquisizione del traffico.
Codificazione del colore
Probabilmente vedrai i pacchetti evidenziati in una varietà di colori diversi. Wireshark utilizza i colori per aiutarti a identificare i tipi di traffico a colpo d'occhio. Per impostazione predefinita, la luce viola è il traffico TCP, la luce blu è il traffico UDP e il nero identifica i pacchetti con errori, ad esempio, potrebbero essere stati consegnati fuori servizio.
Per visualizzare esattamente cosa significano i codici colore, fai clic su Visualizza> Regole di colorazione. Puoi anche personalizzare e modificare le regole di colorazione da qui, se lo desideri.
Catture campione
Se non c'è nulla di interessante sulla tua rete da ispezionare, la wiki di Wireshark ti copre. Il wiki contiene una pagina di file di acquisizione di esempio che è possibile caricare e ispezionare. Fai clic su File> Apri in Wireshark e cerca il file scaricato per aprirne uno.
Puoi anche salvare le tue acquisizioni in Wireshark e aprirle in seguito. Fare clic su File> Salva per salvare i pacchetti acquisiti.
Pacchetti di filtraggio
Se stai cercando di ispezionare qualcosa di specifico, come il traffico che un programma invia quando telefona a casa, aiuta a chiudere tutte le altre applicazioni che utilizzano la rete in modo da poter restringere il traffico. Tuttavia, avrai probabilmente una grande quantità di pacchetti da esaminare. È qui che entrano in gioco i filtri di Wireshark.
Il modo più semplice per applicare un filtro è digitandolo nella casella del filtro nella parte superiore della finestra e facendo clic su Applica (o premendo Invio). Ad esempio, digita “dns” e vedrai solo i pacchetti DNS. Quando inizi a digitare, Wireshark ti aiuterà a completare automaticamente il filtro.
Puoi anche fare clic su Analizza> Visualizza filtri per scegliere un filtro tra i filtri predefiniti inclusi in Wireshark. Da qui, puoi aggiungere i tuoi filtri personalizzati e salvarli per accedervi facilmente in futuro.
Per ulteriori informazioni sulla lingua di filtraggio della visualizzazione di Wireshark, leggi la pagina Espressioni del filtro di visualizzazione della Costruzione nella documentazione ufficiale di Wireshark.
Un'altra cosa interessante che puoi fare è fare clic con il pulsante destro del mouse su un pacchetto e selezionare Segui> Stream TCP.
Vedrai la conversazione TCP completa tra il client e il server. Puoi anche fare clic su altri protocolli nel menu Segui per vedere le conversazioni complete per altri protocolli, se applicabile.
Chiudi la finestra e scoprirai che un filtro è stato applicato automaticamente. Wireshark ti sta mostrando i pacchetti che compongono la conversazione.
Ispezione dei pacchetti
Fai clic su un pacchetto per selezionarlo e puoi scavare per visualizzarne i dettagli.
Da qui puoi anche creare filtri: fai clic con il pulsante destro del mouse su uno dei dettagli e usa il sottomenu Applica come filtro per creare un filtro basato su di esso.
Wireshark è uno strumento estremamente potente e questo tutorial sta solo graffiando la superficie di ciò che puoi farci. I professionisti lo usano per eseguire il debug delle implementazioni del protocollo di rete, esaminare i problemi di sicurezza e ispezionare gli interni del protocollo di rete.
Puoi trovare informazioni più dettagliate nella Guida dell'utente ufficiale di Wireshark e nelle altre pagine della documentazione sul sito Web di Wireshark.
