Wireshark software per analisi di protocollo o packet sniffer | Linuxiano.it
Privacy Policy

Wireshark software per analisi di protocollo o packet sniffer

Wireshark software per analisi di protocollo o packet sniffer

In informatica e telecomunicazioni Wireshark (precedentemente chiamato Ethereal) è un software per l’ analisi di protocollo o packet sniffer (letteralmente sniffa-pacchetti) utilizzato per la soluzione di problemi di rete, per l’analisi e lo sviluppo di protocolli o di software di comunicazione e per la didattica. Wireshark possiede tutte le caratteristiche di un analizzatore di protocollo standard

Le funzionalità di Wireshark sono molto simili a quelle di tcpdump, ma con un’interfaccia grafica e maggiori funzionalità d’ ordinamento e filtraggio. Permette all’utente di osservare tutto il traffico presente sulla rete utilizzando la modalità promiscua dell’adattatore di rete. Tipicamente si riferisce alle reti Ethernet, ma è possibile analizzare altri tipi di rete fisica.

Wireshark è distribuito sotto una licenza Open Source; si può usare sulla maggior parte dei sistemi Unix e compatibili (inclusi GNU/Linux, Sun Solaris, FreeBSD, NetBSD, OpenBSD e macOS) e sui sistemi Microsoft Windows appoggiandosi al toolkit di grafica multipiattaforma Qt.

Wireshark riesce a “comprendere” la struttura di diversi protocolli di rete, è in grado d’ individuare eventuali incapsulamenti, riconosce i singoli campi e permette d’ interpretarne il significato.

Per la cattura dei pacchetti Wireshark non dispone di proprio codice, ma utilizza libpcap/WinPcap, quindi può funzionare solo su reti supportate da libpcap o WinPcap.

Caratteristiche e funzioni

  • Possiamo analizzare dati acquisiti in tempo reale su una rete attiva (“from the wire”) e analizzare dati salvati precedentemente su file di cattura.
  • I dati possono essere acquisiti dal vivo su reti Ethernet, FDDI, PPP, Token Ring, IEEE 802.11, IP classico su ATM, e interfacce di loopback. Non tutti i tipi sono supportati su tutte le piattaforme.
  • Possiamo analizzare i dati sia tramite interfaccia grafica sia da riga di comando con il programma “tshark”
  • I dati catturati su file possono essere facilmente modificati, convertiti o filtrati, tramite opzioni su riga di comando del programma “editcap”.
  • Possiamo filtrare i dati da visualizzare e utilizzare filtri di visualizzazione per colorare o evidenziare selettivamente le informazioni sommarie sui pacchetti.
  • Possiamo scomporre e analizzare centinaia di protocolli di comunicazione.
  • Il software di cattura WinPcap, che in passato doveva essere scaricato separatamente, è ora compreso nel pacchetto.
  • La versione a riga di comando Ywireshark permette di lavorare comodamente su sistemi Unix e Unix-like ed è disponibile anche su Windows.

In questo articolo, ti mostrerò come installare Wireshark su Ubuntu e come usarlo. Sto usando Ubuntu 18.04 LTS per la dimostrazione ma, dovrebbe funzionare su qualsiasi versione LTS ancora supportata al momento di questa scrittura.

Installazione di Wireshark:

Wireshark è disponibile nel repository ufficiale di Ubuntu 14.04 LTS e versioni successive. Quindi è davvero facile da installare.

Innanzitutto aggiornare la cache del repository del pacchetto APT con il seguente comando:

Terminale
  1. sudo apt update
  2. sudo apt install wireshark

Ora premi S quindi premi <Invio>.

Per impostazione predefinita, Wireshark deve essere avviato come amIonistratore (può anche essere fatto con sudo ) per funzionare. Se desideriamo eseguire Wireshark senza privilegi di root o senza sudo, selezionare <Sì> e premere <Invio>.

Wireshark è installato.

Ora se precedentemente hai selezionato <Sì> nella sezione per eseguire Wireshark senza accesso root, esegui il seguente comando per aggiungere il tuo utente al gruppo wireshark:

Terminale
  • sudo usermod -aG wireshark (daniel)

Riavvia il computer con il seguente comando:

Terminale
  • sudo reboot

Avvio di Wireshark:

Ora che Wireshark è installato, puoi avviare Wireshark dal menu Applicazione di Ubuntu.

Puoi anche eseguire il seguente comando per avviare Wireshark dal Terminale:

Terminale
  • wireshark

Se non hai abilitato Wireshark a funzionare senza privilegi di root o sudo , il comando dovrebbe essere:

Terminale
  • sudo wireshark

Wireshark dovrebbe avviarsi.

Catturare i pacchetti usando Wireshark:

Quando avvii Wireshark, vedrai un elenco di interfacce da cui puoi acquisire i pacchetti.

Esistono molti tipi di interfacce che possamo monitorare utilizzando Wireshark, ad esempio Wired , Wireless , USB e molti dispositivi esterni. Puoi scegliere di mostrare specifici tipi di interfacce nella schermata di benvenuto dalla sezione marcata dello screenshot qui sotto.

Qui, ho elencato solo le interfacce di rete cablate.

Ora per iniziare a catturare i pacchetti, basta selezionare l’interfaccia (nel mio caso interface wlx00c0ca82043e ) e cliccare sull’icona Start capturing packets come indicato nello screenshot qui sotto. Possiamo anche cliccare due volte clic sull’interfaccia per la quale desideriamo acquisire i pacchetti e iniziare a catturarli.

Inoltre possiamo acquisire i pacchetti da e verso più interfacce contemporaneamente. Ti basterà tenere premuto <Ctrl> e fare clic sulle interfacce da cui vuoi acquisire i pacchetti, quindi fare clic sull’icona Avvia acquisizione dei pacchetti come indicato nello screenshot qui sotto.

Usando Wireshark su Ubuntu:

Sto catturando i pacchetti sull’interfaccia di rete cablata wlx00c0ca82043e come puoi vedere nello screenshot qui sotto.

Se non vedete che vengone catturati pacchetti eseguite questo comando da terminale e riprovate:

Terminale
  • ping -c3 www.google.com

Ora cliccare su un pacchetto per selezionarlo. La selezione di un pacchetto mostrerebbe molte informazioni su di esso. Come puoi vedere, sono elencate le informazioni sui diversi livelli del protocollo TCP / IP.

Puoi anche vedere i dati RAW di quel particolare pacchetto.

Possiamo cliccare sulle frecce per espandere i dati di pacchetto per un determinato livello di protocollo TCP / IP.

Filtraggio dei pacchetti usando Wireshark:

Su una rete occupata verranno catturati migliaia o milioni di pacchetti ogni secondo. Quindi la lista sarà così lunga che sarà quasi impossibile scorrere l’elenco e cercare un certo tipo di pacchetto.

La cosa buona è che in Wireshark puoi filtrare i pacchetti e vedere solo i pacchetti di cui hai bisogno.

Per filtrare i pacchetti, puoi digitare direttamente l’espressione filtro nella casella di testo come indicato nello screenshot qui sotto. Possiamo filtrare graficamente i pacchetti catturati da Wireshark. Per farlo, clicca sul pulsante Espressione … come indicato nello screenshot qui sotto.

Una nuova finestra dovrebbe aprirsi come mostrato nello screenshot qui sotto. Da qui possiamo creare espressioni di filtro per i pacchetti di ricerca in modo molto specifico.

Nella sezione nome campo sono elencati quasi tutti i protocolli di rete. La lista è enorme. Puoi digitare il protocollo che stai cercando nella casella di testo Cerca e la sezione Nome campo mostrerà quelli corrispondenti.

In questo articolo, ho intenzione di filtrare tutti i pacchetti DNS. Quindi ho selezionato DNS Domain Name System dall’elenco Field Name . Puoi anche fare clic sulla freccia su qualsiasi protocollo rendendo la tua selezione più specifica.

Inoltre possibile utilizzare gli operatori relazionali per verificare se un campo è uguale a, non uguale a, grande o minore di un valore. Ho cercato tutti gli indirizzi IPv4 DNS che sono uguali a  come puoi vedere nello screenshot qui sotto.

L’espressione del filtro è anche mostrata nella sezione marcata dello screenshot qui sotto. Questo è un ottimo modo per imparare come scrivere l’espressione filtro in Wireshark.

Una volta che hai finito, fai clic su OK.

Interruzione della cattura dei pacchetti in Wireshark:

Puoi fare clic sull’icona rossa  per interrompere l’acquisizione dei pacchetti Wireshark.

Salvare i pacchetti catturati su un file:

È possibile fare clic sull’icona contrassegnata per salvare i pacchetti acquisiti in un file per uso futuro.

Ora seleziona una cartella di destinazione, digita il nome del file e fai clic su Salva.

Il file dovrebbe essere salvato.

Ora puoi aprire e analizzare i pacchetti salvati in qualsiasi momento. Per aprire il file, vai su File > Apri da Wireshark o premi <Ctrl> + o

Quindi selezionare il file e fare clic su Apri .

I pacchetti catturati dovrebbero essere caricati dal file.

Ecco come installare e utilizzare Wireshark su Ubuntu. Grazie per aver letto questo articolo.

[/su_box]

Grazie! per l’utilizzo della Guida di Linuxiano.

Trovi questo tutorial utile? Condividi con i tuoi amici per tenerlo in vita.
Sii il primo a commentare, apprezzo i tuoi suggerimenti. Per ulteriori domande potete commentare qui sotto.

Iscriviti al sito

Il tuo nome (richiesto)

La tua email (richiesto)

Oggetto

Il tuo messaggio


Ho letto

l’informativa Privacy

e autorizzo il trattamento dei miei dati personali per le finalità ivi indicate.

Risolvi il reCAPTCHA per dimostrare che non sei un robot:
[recaptcha]

clicca qui per tornare a Linuxiano