10 suggerimenti su come utilizzare Wireshark per analizzare i pacchetti nella rete


In qualsiasi rete a commutazione di pacchetto, i pacchetti rappresentano le unità di dati che vengono trasmesse tra computer. È responsabilità degli ingegneri di rete e degli amministratori di sistema controllare e ispezionare i pacchetti per motivi di sicurezza e risoluzione dei problemi.

Per fare questo, si affidano a programmi software denominati analizzatori di pacchetti di rete, con Wireshark forse il più popolare e utilizzato per la sua versatilità e facilità d'uso. Inoltre, Wireshark consente non solo di monitorare il traffico in tempo reale, ma anche di salvarlo in un file per un'ulteriore ispezione.

In questo articolo condivideremo 10 suggerimenti su come utilizzare Wireshark per analizzare i pacchetti nella tua rete, e speriamo che quando raggiungi la sezione Sommario ti sentirai propenso ad aggiungerlo ai tuoi segnalibri.

Installazione di Wireshark in Linux

Per installare Wireshark , seleziona il programma di installazione corretto per il tuo sistema operativo/architettura da https://www.wireshark.org/download.html.

In particolare, se si utilizza Linux, Wireshark deve essere disponibile direttamente dai repository della propria distribuzione per un'installazione più semplice a proprio piacimento. Sebbene le versioni possano differire, le opzioni e i menu dovrebbero essere simili, se non identici in ognuno di essi.

------------ On Debian/Ubuntu based Distros ------------ 
$ sudo apt-get install wireshark

------------ On CentOS/RHEL based Distros ------------
$ sudo yum install wireshark

------------ On Fedora 22+ Releases ------------
$ sudo dnf install wireshark

C'è un bug noto in Debian e derivati ​​che potrebbero impedire di elencare le interfacce di rete a meno che non si usi sudo per avviare Wireshark. Per risolvere questo problema, segui la risposta accettata in questo post.

Una volta che Wireshark è in esecuzione, puoi selezionare l'interfaccia di rete che vuoi monitorare in Acquisisci :

In questo articolo useremo eth0 , ma puoi sceglierne un altro se lo desideri. Non fare ancora clic sull'interfaccia: lo faremo più tardi una volta esaminate alcune opzioni di acquisizione.

Le opzioni di acquisizione più utili che prenderemo in considerazione sono:

  1. Network interface – As we explained before, we will only analyze packets coming through eth0, either incoming or outcoming.
  2. Capture filter – This option allows us to indicate what kind of traffic we want to monitor by port, protocol, or type.

Prima di procedere con i suggerimenti, è importante notare che alcune organizzazioni vietano l'uso di Wireshark nelle loro reti. Detto questo, se non stai utilizzando Wireshark per scopi personali, assicurati che la tua organizzazione ne consenta l'uso.

Per ora, seleziona eth0 dall'elenco a discesa e fai clic su Start sul pulsante. Inizierai a vedere tutto il traffico che passa attraverso quell'interfaccia. Non molto utile per il monitoraggio a causa dell'elevata quantità di pacchetti controllati, ma è un inizio.

Nell'immagine sopra possiamo anche vedere le icone per elencare le interfacce disponibili, per fermare l'attuale acquisizione e riavviare (riquadro rosso) su sinistra ) e per configurare e modificare un filtro (riquadro rosso sulla destra ). Quando si passa con il mouse su una di queste icone, verrà visualizzato un suggerimento per indicare che cosa fa.

Inizieremo illustrando le opzioni di acquisizione, mentre i suggerimenti # 7 fino a n. 10 illustreranno come fare effettivamente qualcosa di utile con un'acquisizione.

SUGGERIMENTO n. 1: ispezionare il traffico HTTP

Digita http nella casella del filtro e fai clic su Applica . Avvia il browser e vai a qualsiasi sito desideri:

Per iniziare ogni suggerimento successivo, interrompere l'acquisizione dal vivo e modificare il filtro di cattura.

SUGGERIMENTO # 2 - Ispeziona il traffico HTTP da un dato indirizzo IP

In questo particolare suggerimento, anteponiamo ip == 192.168.0.10 & amp; alla stanza filtro per monitorare il traffico HTTP tra il computer locale e 192.168.0.10 :

SUGGERIMENTO n. 3: ispezionare il traffico HTTP su un determinato indirizzo IP

Strettamente correlato con # 2 , in questo caso useremo ip.dst come parte del filtro di cattura come segue:

ip.dst==192.168.0.10&&http

Per combinare i suggerimenti # 2 e # 3 , puoi utilizzare ip.addr nella regola del filtro anziché ip.src o ip.dst .

TIP # 4 - Monitoraggio del traffico di rete Apache e MySQL

A volte sarai interessato ad ispezionare il traffico che soddisfa le due condizioni (o entrambe). Ad esempio, per monitorare il traffico sulle porte TCP 80 (server web) e 3306 (server di database MySQL/MariaDB), puoi utilizzare un OR condizione nel filtro di cattura:

tcp.port==80||tcp.port==3306

Nei suggerimenti # 2 e # 3 , || e la parola o producono gli stessi risultati. Lo stesso con & amp; & amp; e la parola e .

SUGGERIMENTO # 5 - Rifiuta i pacchetti su un determinato indirizzo IP

Per escludere pacchetti che non corrispondono alla regola del filtro, utilizzare ! e racchiudere la regola tra parentesi. Ad esempio, per escludere i pacchetti provenienti da o diretti a un dato indirizzo IP, puoi utilizzare:

!(ip.addr == 192.168.0.10)

SUGGERIMENTO n. 6 - Monitoraggio del traffico di rete locale (192.168.0.0/24)

La seguente regola di filtro mostrerà solo il traffico locale ed esclude i pacchetti che vanno e arrivano da Internet:

ip.src==192.168.0.0/24 and ip.dst==192.168.0.0/24

SUGGERIMENTO n. 7: monitorare i contenuti di una conversazione TCP

Per ispezionare il contenuto di una conversazione TCP (scambio di dati), fai clic con il pulsante destro del mouse su un determinato pacchetto e seleziona Segui TCP stream. Una finestra pop-up con il contenuto della conversazione.

Ciò includerà le intestazioni HTTP se stiamo ispezionando il traffico web e anche eventuali credenziali di testo normale trasmesse durante il processo, se presenti.

TIP # 8 - Modifica regole di colorazione

Ormai sono sicuro che hai già notato che ogni riga nella finestra di acquisizione è colorata. Per impostazione predefinita, il traffico HTTP viene visualizzato nello sfondo verde con testo nero, mentre gli errori checksum vengono mostrati nel testo rosso con sfondo nero.

Se desideri modificare queste impostazioni, fai clic sull'icona Modifica regole colore, scegli un determinato filtro e fai clic su Modifica .

SUGGERIMENTO n. 9: salva la cattura su un file

Salvare il contenuto di un'acquisizione ci permetterà di essere in grado di ispezionarlo con maggiori dettagli. Per fare ciò, vai su File → Esporta e scegli un formato di esportazione dall'elenco:

TIP # 10 - Esercitati con i campioni di cattura

Se pensi che la tua rete sia " noiosa ", Wireshark fornisce una serie di file di acquisizione di esempio che puoi usare per esercitarti e imparare. Puoi scaricare questi SampleCaptures e importarli tramite il menu File → Importa .

Wireshark è un software gratuito e open source, come puoi vedere nella sezione FAQ del sito ufficiale. È possibile configurare un filtro di acquisizione prima o dopo l'avvio di un'ispezione.

Nel caso non l'avessi notato, il filtro ha una funzione di completamento automatico che ti consente di cercare facilmente le opzioni più utilizzate che puoi personalizzare in seguito. Con quello, il cielo è il limite!

Come sempre, non esitare a scriverci una riga utilizzando il modulo di commento qui sotto se hai domande o osservazioni su questo articolo.

Tutti i diritti riservati. © Linux-Console.net • 2019-2021