Ricerca nel sito web

10 suggerimenti su come utilizzare Wireshark per analizzare i pacchetti di rete


In qualsiasi rete a commutazione di pacchetto, i pacchetti rappresentano unità di dati trasmessi tra computer. È responsabilità degli ingegneri di rete e degli amministratori di sistema monitorare e ispezionare i pacchetti per scopi di sicurezza e risoluzione dei problemi.

Per fare questo, si affidano a programmi software chiamati analizzatori di pacchetti di rete, di cui Wireshark è forse il più popolare e utilizzato grazie alla sua versatilità e facilità d'uso. Oltre a ciò, Wireshark ti consente non solo di monitorare il traffico in tempo reale ma anche di salvarlo in un file per un controllo successivo.

Leggi correlate: I migliori strumenti di monitoraggio della larghezza di banda Linux per analizzare l'utilizzo della rete

In questo articolo condivideremo 10 suggerimenti su come utilizzare Wireshark per analizzare i pacchetti nella tua rete e speriamo che quando raggiungi la sezione Riepilogo ti sentirai propenso ad aggiungerlo ai tuoi segnalibri.

Installazione di Wireshark su Linux

Per installare Wireshark, seleziona il programma di installazione corretto per il tuo sistema operativo/architettura da https://www.wireshark.org/download.html.

In particolare, se utilizzi Linux, Wireshark deve essere disponibile direttamente dai repository della tua distribuzione per un'installazione più semplice e conveniente. Sebbene le versioni possano differire, le opzioni e i menu dovrebbero essere simili, se non identici in ognuno di essi.

------------ On Debian/Ubuntu based Distros ------------ 
sudo apt-get install wireshark

------------ On CentOS/RHEL based Distros ------------
sudo yum install wireshark

------------ On Fedora 22+ Releases ------------
sudo dnf install wireshark

Esiste un bug noto in Debian e derivati che potrebbe impedire l'elenco delle interfacce di rete a meno che non si utilizzi sudo per avviare Wireshark. Per risolvere questo problema, segui la risposta accettata in questo post.

Una volta che Wireshark è in esecuzione, puoi selezionare l'interfaccia di rete che desideri monitorare in Cattura:

In questo articolo utilizzeremo eth0, ma puoi sceglierne un altro se lo desideri. Non fare ancora clic sull'interfaccia: lo faremo più tardi dopo aver esaminato alcune opzioni di acquisizione.

Impostazione delle opzioni di acquisizione

Le opzioni di acquisizione più utili che prenderemo in considerazione sono:

  1. Interfaccia di rete – Come abbiamo spiegato prima, analizzeremo solo i pacchetti che passano attraverso eth0, sia in entrata che in uscita.
  2. Filtro acquisizione: questa opzione ci consente di indicare il tipo di traffico che vogliamo monitorare per porta, protocollo o tipo.

Prima di procedere con i suggerimenti, è importante notare che alcune organizzazioni vietano l'uso di Wireshark nelle loro reti. Detto questo, se non utilizzi Wireshark per scopi personali assicurati che la tua organizzazione ne consenta l'utilizzo.

Per il momento, seleziona eth0 dall'elenco a discesa e fai clic su Avvia sul pulsante. Inizierai a vedere tutto il traffico che passa attraverso quell'interfaccia. Non molto utile ai fini del monitoraggio a causa dell’elevata quantità di pacchetti ispezionati, ma è un inizio.

Nell'immagine sopra, possiamo anche vedere le icone per elencare le interfacce disponibili, per interrompere l'acquisizione corrente e per riavvia (rosso casella a sinistra), e per configurare e modificare un filtro (casella rossa a destra). Quando passi il mouse su una di queste icone, verrà visualizzato un suggerimento per indicare cosa fa.

Inizieremo illustrando le opzioni di acquisizione, mentre i suggerimenti dal #7 al #10 discuteranno come realizzare effettivamente qualcosa di utile con un'acquisizione.

SUGGERIMENTO n. 1 – Ispeziona il traffico HTTP

Digita http nella casella del filtro e fai clic su Applica. Avvia il tuo browser e vai su qualsiasi sito desideri:

Per iniziare ogni suggerimento successivo, interrompi l'acquisizione live e modifica il filtro di acquisizione.

SUGGERIMENTO n.2 – Ispeziona il traffico HTTP da un determinato indirizzo IP

In questo particolare suggerimento, anteporremo ip==192.168.0.10&& alla stanza del filtro per monitorare il traffico HTTP tra il computer locale e 192.168.0.10:

SUGGERIMENTO n. 3: ispeziona il traffico HTTP verso un determinato indirizzo IP

Strettamente correlato a #2, in questo caso utilizzeremo ip.dst come parte del filtro di acquisizione come segue:

ip.dst==192.168.0.10&&http

Per combinare i suggerimenti #2 e #3, puoi utilizzare ip.addr nella regola di filtro invece di ip.src o ip.dst.

SUGGERIMENTO n. 4: monitorare il traffico di rete Apache e MySQL

A volte sarai interessato a ispezionare il traffico che corrisponde a una (o entrambe) le condizioni. Ad esempio, per monitorare il traffico sulle porte TCP 80 (server web) e 3306 (server database MySQL/MariaDB), puoi utilizzare una condizione OR nel filtro di cattura:

tcp.port==80||tcp.port==3306

Nei suggerimenti #2 e #3, || e la parola o producono gli stessi risultati. Lo stesso con && e la parola and.

SUGGERIMENTO n. 5 – Rifiuta i pacchetti all'indirizzo IP specificato

Per escludere i pacchetti che non corrispondono alla regola del filtro, utilizzare ! e racchiudere la regola tra parentesi. Ad esempio, per escludere i pacchetti provenienti da o diretti a un determinato indirizzo IP, è possibile utilizzare:

!(ip.addr == 192.168.0.10)

SUGGERIMENTO n.6 – Monitorare il traffico di rete locale (192.168.0.0/24)

La seguente regola di filtro visualizzerà solo il traffico locale ed escluderà i pacchetti diretti e provenienti da Internet:

ip.src==192.168.0.0/24 and ip.dst==192.168.0.0/24

SUGGERIMENTO n. 7: monitorare i contenuti di una conversazione TCP

Per esaminare il contenuto di una conversazione TCP (scambio di dati), fare clic con il tasto destro su un determinato pacchetto e scegliere Segui flusso TCP. Si aprirà una finestra con il contenuto della conversazione.

Ciò includerà le intestazioni HTTP se stiamo controllando il traffico web e anche eventuali credenziali di testo normale trasmesse durante il processo, se presenti.

SUGGERIMENTO n. 8 – Modifica le regole di colorazione

A questo punto sono sicuro che avrai già notato che ogni riga nella finestra di acquisizione è colorata. Per impostazione predefinita, il traffico HTTP viene visualizzato con sfondo verde con testo nero, mentre gli errori di checksum vengono visualizzati con testo rosso con uno sfondo nero.

Se desideri modificare queste impostazioni, fai clic sull'icona Modifica delle regole di colorazione, scegli un determinato filtro e fai clic su Modifica.

SUGGERIMENTO n.9 – Salva l'acquisizione in un file

Salvare il contenuto della cattura ci consentirà di poterlo ispezionare con maggiore dettaglio. Per fare ciò, vai su File → Esporta e scegli un formato di esportazione dall'elenco:

CONSIGLIO N.10 – Esercitati con la cattura dei campioni

Se ritieni che la tua rete sia "noiosa", Wireshark fornisce una serie di file di acquisizione di esempio che puoi utilizzare per esercitarti e imparare. Puoi scaricare queste SampleCapture e importarle tramite il menu File → Importa.

Riepilogo

Wireshark è un software gratuito e open source, come puoi vedere nella sezione Domande frequenti del sito ufficiale. È possibile configurare un filtro di acquisizione prima o dopo l'avvio di un'ispezione.

Nel caso non te ne fossi accorto, il filtro ha una funzione di completamento automatico che ti consente di cercare facilmente le opzioni più utilizzate che puoi personalizzare in seguito. Detto questo, il cielo è il limite!

Come sempre, non esitate a scriverci utilizzando il modulo di commento qui sotto se avete domande o osservazioni su questo articolo.