Ricerca nel sito web

Presentazione dell'interfaccia della riga di comando di Wireshark: TShark

Su questa pagina

  1. Cosa tratteremo qui?
  2. Di cosa avrai bisogno?
  3. Installazione di TShark
  4. TShark contro Tcpdump
  5. Prova con TShark
  6. Scelta dell'interfaccia su cui ascoltare
  7. Memorizzazione dei file acquisiti
  8. Conclusione

TShark è progettato come una CLI o un'interfaccia a riga di comando di Wireshark per l'acquisizione e l'analisi dei pacchetti direttamente dalla CLI. La maggior parte delle persone non è a conoscenza di TShark al contrario di Wireshark comunemente usato. TShark è incluso con Wireshark. Ciò è particolarmente utile quando non è disponibile una GUI. Tutte le opzioni utilizzate in Wireshark sono supportate anche qui. Per es. i pacchetti acquisiti possono essere archiviati in un file e successivamente recuperati per l'analisi. Il formato predefinito del file di acquisizione è pcapng, che è lo stesso utilizzato da Wireshark. Il vantaggio dell'utilizzo di TShark è che può essere incluso negli script (può essere utilizzato all'interno di uno script Python) e può essere utilizzato su sistemi remoti tramite SSH. Lo svantaggio è ovviamente che non ha una GUI.

Come Wireshark, TShark è disponibile per i principali sistemi operativi: Linux, Mac OS, Windows.

Cosa tratteremo qui?

In questo tutorial, ti spiegheremo TShark e ti presenteremo alcuni casi d'uso di base. Immergiamoci con TShark. Per questa guida, utilizzeremo Kali Linux che viene pre-fornito sia con WireShark che con TShark.

Di cosa avrai bisogno?

In effetti, è necessario avere una profonda comprensione dei concetti di reti di computer e protocolli correlati come TCP/IP ecc. Inoltre, in alcuni casi, potrebbero essere richiesti diritti amministrativi.

Installazione di TShark

TShark è preinstallato su Kali Linux. Per l'installazione su sistema Ubuntu/Debian utilizzare il comando:

$sudo apt install tshark

Per altre distribuzioni, utilizzare la modalità di installazione predefinita per l'installazione di TShark. Per verificare la versione di TShark sul tuo sistema, apri un terminale e inserisci:

$squalo -v

TShark contro Tcpdump

TShark ha le stesse capacità di Wireshark. TShark funziona allo stesso modo di tcpdump quando non viene utilizzata alcuna opzione. Anche TShark è in grado di sostituire tcpdump. Confrontiamo per un momento i due strumenti. Guarda lo screenshot qui sotto, abbiamo eseguito entrambi gli strumenti senza alcuna opzione:

Pratica con TShark

Passiamo ora a vedere alcuni casi d'uso per TShark. Per prima cosa iniziamo controllando l'interfaccia disponibile per l'acquisizione di TShark. A seconda del metodo di installazione, potrebbe essere necessario disporre dei privilegi sudo. Eseguire il comando seguente per ottenere l'elenco delle interfacce disponibili:

$squalo –D

Scelta dell'interfaccia su cui ascoltare

Per impostazione predefinita, TShark acquisisce sulla prima interfaccia che vede. Quindi dall'elenco sopra, TShark imposterà il suo obiettivo su eth0. Pertanto, se non specifichiamo l'interfaccia, utilizzerà automaticamente l'interfaccia eth0. Comunque vogliamo definire esplicitamente l'interfaccia, dovremo usare l'opzione '-i':

$tshark -i eth0

In questo modo, TShark catturerà tutto ciò che lo attraversa. Se vogliamo, possiamo limitare il limite di cattura a pochi pacchetti, diciamo a 10 pacchetti, utilizzando l'opzione -c o conteggio pacchetti:

$tshark -i eth0 -c 10

Archiviazione dei file acquisiti

Una cosa buona di TShark è che possiamo salvare le acquisizioni in un file per un uso successivo. Nel comando sopra usa un'opzione '-w' per salvare l'acquisizione in un file, ad esempio mycapture.pcap:

$tshark -c 500 -w mycapture.pcap

Per leggere il file sopra, usa il comando:

$ tshark -r mycapture.pcap

L'output del comando precedente verrà visualizzato sul terminale.

Specifica di un host di destinazione

Possiamo impostare TShark per filtrare il traffico in entrata e in uscita da un host specifico, ad es. google.com. Per dimostrarlo, inviamo una richiesta ping a google.com

$ping google.com

Ora eseguiamo il comando TShark per acquisire il traffico di cui sopra:

$tshark -i eth0 -c 10 host google.com

Nota: possiamo anche utilizzare l'indirizzo IP dell'host invece del nome host.

Il comando precedente contiene tutte le richieste ping inviate da e verso l'host (google.com). Per filtrare il traffico in entrata, utilizzare il comando:

$tshark -i eth0 src ospita google.com

$tshark -i eth0 dst host google.com

Analogamente a una richiesta ping, possiamo anche eseguire una scansione Nmap e salvare i nostri risultati in un file o analizzarli direttamente con TShark.

Conclusione

TShark è uno strumento molto essenziale per gli analizzatori di sicurezza. Questo articolo tocca solo la superficie per farti sapere cosa puoi fare con TShark. C'è un intero mondo di grandi possibilità con TShark. Per saperne di più su TShark vai su https://www.wireshark.org/docs/ dove troverai video di formazione, guide ecc. Le pagine man per TShark contengono anche enormi fonti di informazioni.