Per molti esperti IT, Wireshark è lo strumento go-to per l’analisi dei pacchetti di rete. Il software open-source consente di esaminare attentamente i dati raccolti e determinare la radice del problema con maggiore precisione. Inoltre, Wireshark opera in tempo reale e utilizza la codifica a colori per visualizzare i pacchetti catturati, tra gli altri meccanismi eleganti.
In questo tutorial, spiegheremo come catturare, leggere e filtrare i pacchetti utilizzando Wireshark. Qui di seguito, troverete le istruzioni passo-passo e le interruzioni delle funzioni di analisi di rete di base. Una volta che hai imparato questi passaggi fondamentali, sarai in grado di ispezionare il flusso di traffico della tua rete e risolvere i problemi con maggiore efficienza.
Analizzare i pacchetti
Una volta che i pacchetti vengono catturati, Wireshark li organizza in un riquadro elenco di pacchetti dettagliato che è incredibilmente facile da leggere. Se si desidera accedere alle informazioni relative a un singolo pacchetto, tutto quello che dovete fare è individuare sulla lista e fare clic su. È inoltre possibile espandere ulteriormente l’albero per accedere ai dettagli di ciascun protocollo contenuto nel pacchetto.
Per una panoramica più completa, è possibile visualizzare ogni pacchetto catturato in una finestra separata. Ecco come:
- Seleziona il pacchetto dall’elenco con il cursore, quindi fai clic con il pulsante destro del mouse.
- Apri la scheda “Visualizza” dalla barra degli strumenti sopra.
- Seleziona “Mostra pacchetto in una nuova finestra” dal menu a discesa.
Nota: è molto più facile confrontare i pacchetti catturati se li si porta in finestre separate.
Come accennato, Wireshark utilizza un sistema di codifica a colori per la visualizzazione dei dati. Ogni pacchetto è contrassegnato con un colore diverso che rappresenta diversi tipi di traffico. Ad esempio, il traffico TCP viene solitamente evidenziato con il blu, mentre il nero viene utilizzato per indicare i pacchetti contenenti errori.
Naturalmente, non è necessario memorizzare il significato dietro ogni colore. Invece, è possibile controllare sul posto:
- Fare clic destro sul pacchetto che si desidera esaminare.
- Seleziona la scheda “Visualizza” dalla barra degli strumenti nella parte superiore dello schermo.
- Scegli “Regole di colorazione” dal pannello a discesa.
Vedrete la possibilità di personalizzare la colorazione a proprio piacimento. Tuttavia, se si desidera modificare temporaneamente le regole di colorazione, attenersi alla seguente procedura:
- Fare clic con il pulsante destro del mouse sul pacchetto nel riquadro elenco pacchetti.
- Dall’elenco delle opzioni, selezionare ” Colora con filtro.”
- Scegli il colore con cui vuoi etichettarlo.
Numero
Il riquadro elenco pacchetti mostra il numero esatto di bit di dati acquisiti. Poiché i pacchetti sono organizzati in più colonne, è abbastanza facile da interpretare. Le categorie predefinite sono:
- No. (Numero): Come accennato, è possibile trovare il numero esatto di pacchetti catturati in questa colonna. Le cifre rimarranno le stesse anche dopo aver filtrato i dati.
- Tempo: Come avrete intuito, il timestamp del pacchetto viene visualizzato qui.
- Fonte: Mostra dove ha avuto origine il pacchetto.
- Destinazione: mostra il luogo in cui verrà conservato il pacchetto.
- Protocollo: Visualizza il nome del protocollo, in genere in un’abbreviazione.
- Lunghezza: mostra il numero di byte contenuti nel pacchetto catturato.
- Info: La colonna include tutte le informazioni aggiuntive su un particolare pacchetto.
Ora
Mentre Wireshark analizza il traffico di rete, ogni pacchetto catturato viene contrassegnato con l’ora. I timestamp vengono quindi inclusi nel riquadro elenco pacchetti e disponibili per un’ispezione successiva.
Wireshark non crea i timestamp stessi. Invece, lo strumento analyzer li ottiene dalla libreria Npcap. Tuttavia, la fonte del timestamp è in realtà il kernel. Ecco perché la precisione del timestamp può variare da file a file.
È possibile scegliere il formato in cui verranno visualizzati i timestamp nell’elenco dei pacchetti. Inoltre, è possibile impostare la precisione preferita o il numero di posizioni decimali visualizzate. Oltre all’impostazione di precisione predefinita, c’è anche:
- Secondi
- Decimi di secondo
- Centesimi di secondo
- Millisecondi
- Microsecondi
- Nanosecondi
Fonte
Come suggerisce il nome, l’origine del pacchetto è il luogo di origine. Se si desidera ottenere il codice sorgente di un repository Wireshark, è possibile scaricarlo utilizzando un client Git. Tuttavia, il metodo richiede di avere un account GitLab. È possibile farlo senza uno, ma è meglio iscriversi per ogni evenienza.
Una volta registrato un account, segui questi passaggi:
- Assicurati che Git sia funzionale usando questo comando: “
$ git -–version.
“
- Controlla se il tuo indirizzo email e il tuo nome utente sono configurati.
- Quindi, crea un clone della sorgente Workshark. Utilizzare l’URL SSH”
$ git clone -o upstream :wireshark/wireshark.git
” per effettuare la copia. - Se non hai un account GitLab, prova l’URL HTTPS: “
$ git clone -o upstream https://gitlab.com/wireshark/wireshark.git.
“
Tutte le fonti verranno successivamente copiate sul dispositivo. Tenete a mente la clonazione potrebbe richiedere un po’, soprattutto se si dispone di una connessione di rete lenta.
Destinazione
Se si desidera conoscere l’indirizzo IP della destinazione di un particolare pacchetto, è possibile utilizzare il filtro di visualizzazione per individuarlo. Ecco come:
- Immettere “
ip.addr == 8.8.8.8
” nella casella filtro Wireshark.”Quindi, fare clic su” Invio.”
- Il riquadro elenco pacchetti verrà riconfigurato solo per mostrare la destinazione del pacchetto. Trova l’indirizzo IP che ti interessa scorrendo l’elenco.
- Una volta che hai finito, seleziona “Cancella” dalla barra degli strumenti per riconfigurare il riquadro elenco pacchetti.
Protocollo
Un protocollo è una linea guida che determina la trasmissione dei dati tra diversi dispositivi collegati alla stessa rete. Ogni pacchetto Wireshark contiene un protocollo, e si può portare in su utilizzando il filtro di visualizzazione. Ecco come:
- Nella parte superiore della finestra Wireshark, fare clic sulla finestra di dialogo” Filtro”.
- Immettere il nome del protocollo che si desidera esaminare. In genere, i titoli del protocollo sono scritti in lettere minuscole.
- Fare clic su “Invio” o “Applica” per abilitare il filtro di visualizzazione.
Lunghezza
La lunghezza di un pacchetto Wireshark è determinata dal numero di byte acquisiti in quel particolare snippet di rete. Tale numero di solito corrisponde al numero di byte di dati grezzi elencati nella parte inferiore della finestra Wireshark.
Se si desidera esaminare la distribuzione delle lunghezze, aprire la finestra “Lunghezze dei pacchetti”. Tutte le informazioni sono suddivise nelle seguenti colonne:
- Pacchetto lunghezze
- Conte
- Media
- Min Val/Max Val
- Tasso
- Cento
- Burst rate
- Burst start
Info
Se ci sono eventuali anomalie o oggetti simili all’interno di un particolare pacchetto catturato, Wireshark si nota. Le informazioni verranno quindi visualizzate nel riquadro elenco pacchetti per un ulteriore esame. In questo modo, avrai un quadro chiaro del comportamento atipico della rete, che si tradurrà in reazioni più rapide.
Ulteriori domande frequenti
Come posso filtrare i dati a pacchetto?
Il filtraggio è una funzionalità efficiente che consente di esaminare le specifiche di una particolare sequenza di dati. Esistono due tipi di filtri Wireshark: cattura e visualizzazione. I filtri di acquisizione sono lì per limitare la cattura dei pacchetti per adattarsi a richieste specifiche. In altre parole, è possibile vagliare diversi tipi di traffico applicando un filtro di acquisizione. Come suggerisce il nome, i filtri di visualizzazione consentono di affinare un particolare elemento del pacchetto, dalla lunghezza del pacchetto al protocollo.
L’applicazione di un filtro è un processo piuttosto semplice. È possibile digitare il titolo del filtro nella finestra di dialogo nella parte superiore della finestra Wireshark. Inoltre, il software di solito auto-completare il nome del filtro.
In alternativa, se si desidera sfogliare i filtri Wireshark predefiniti, eseguire le seguenti operazioni:
1. Apri la scheda” Analizza ” nella barra degli strumenti nella parte superiore della finestra Wireshark.
2. Dall’elenco a discesa, selezionare ” Visualizza filtro.”
3. Sfoglia l’elenco e fare clic su quello che si desidera applicare.
Infine, qui sono alcuni comuni Wireshark filtri che possono tornare utili:
• Per visualizzare solo l’IP sorgente e destinazione, utilizzare: “ip.src==IP-address and ip.dst==IP-address
“
• Per visualizzare solo il traffico SMTP, tipo: “tcp.port eq 25
“
• Per l’acquisizione di tutti subnet traffico, si applicano: “net 192.168.0.0/24
“
• Per catturare tutto, ma ARP e il traffico DNS, utilizzare: “port not 53 and not arp
“
Come posso ottenere il pacchetto di dati in Wireshark?
Una volta scaricato Wireshark sul dispositivo, è possibile iniziare a monitorare la connessione di rete. Per acquisire pacchetti di dati per un’analisi completa, ecco cosa devi fare:
1. Avvia Wireshark. Verrà visualizzato un elenco di reti disponibili, quindi fare clic su quello che si desidera esaminare. È inoltre possibile applicare un filtro di acquisizione se si desidera individuare il tipo di traffico.
2. Se si desidera ispezionare più reti, utilizzare il controllo” maiusc + click sinistro”.
3. Quindi, fai clic sull’icona pinna di squalo all’estrema sinistra sulla barra degli strumenti sopra.
4. È inoltre possibile avviare l’acquisizione facendo clic sulla scheda “Cattura” e selezionando “Start” dall’elenco a discesa.
5. Un altro modo per farlo è usare il tasto” Control – E”.
Mentre il software afferra i dati, lo vedrai apparire nel riquadro della lista dei pacchetti in tempo reale.
Shark Byte
Mentre Wireshark è un analizzatore di rete altamente avanzato, è sorprendentemente facile da interpretare. Il riquadro elenco pacchetti è estremamente completo e ben organizzato. Tutte le informazioni sono distribuite in sette colori diversi e contrassegnate con codici colore chiari.
Inoltre, il software open-source viene fornito con una sfilza di filtri facilmente applicabili che facilitano il monitoraggio. Abilitando un filtro di acquisizione, è possibile individuare il tipo di traffico che si desidera analizzare Wireshark. E una volta che i dati vengono afferrati, è possibile applicare diversi filtri di visualizzazione per le ricerche specificate. Tutto sommato, è un meccanismo altamente efficiente che non è troppo difficile da padroneggiare.