Il tutorial definitivo su Wireshark: tutto ciò che devi sapere sull'acquisizione e l'analisi dei pacchetti

Wireshark è un potente strumento di monitoraggio della rete che ti consente di acquisire e analizzare il traffico di rete in tempo reale. È un'ottima risorsa sia per gli amministratori di rete che per i professionisti della sicurezza, poiché fornisce preziose informazioni sui pacchetti che attraversano una rete. Catturando e analizzando i pacchetti, puoi facilmente trovare l'origine di eventuali problemi di rete e risolverli rapidamente.

Una delle caratteristiche principali di Wireshark è la sua interfaccia facile da usare, composta da più riquadri. Il riquadro principale visualizza un elenco dei pacchetti catturati, mentre il riquadro dei dettagli del pacchetto fornisce una vista dettagliata del pacchetto selezionato. Inoltre, è presente un riquadro ad albero che mostra una vista gerarchica dei pacchetti catturati e un riquadro di filtro che consente di filtrare i pacchetti in base a diversi criteri.

Per acquisire pacchetti utilizzando Wireshark, devi prima avviare una nuova sessione di acquisizione facendo clic sul menu "Cattura" e selezionando l'interfaccia appropriata. Una volta avviata l'acquisizione, Wireshark inizierà a catturare tutto il traffico su quell'interfaccia. È inoltre possibile specificare un filtro di acquisizione per acquisire solo i pacchetti con determinate caratteristiche, ad esempio i pacchetti provenienti da un indirizzo IP di origine o di destinazione specifico.

Dopo aver catturato i pacchetti, puoi iniziare ad analizzarli facendo doppio clic su qualsiasi pacchetto nell'elenco. Si aprirà una nuova finestra che visualizza il pacchetto in un formato leggibile. Da qui puoi facilmente interpretare il pacchetto e raccogliere preziose informazioni sul traffico di rete.

Oltre ad acquisire e analizzare i pacchetti, Wireshark fornisce anche una serie di altre utili funzionalità. Ad esempio, puoi utilizzare il comando "Trova pacchetto" per cercare pacchetti specifici in base ai loro valori. È inoltre possibile utilizzare il menu "File" per salvare i pacchetti catturati in un file per un'analisi successiva o per aprire file di cattura salvati in precedenza.

Nel complesso, Wireshark è uno strumento potente e versatile per l'acquisizione e l'analisi dei pacchetti. Sia che tu stia lavorando su un sistema basato su Linux o su un sistema Windows, Wireshark è un ottimo strumento da avere nel tuo kit di strumenti per l'amministratore di rete. La sua interfaccia intuitiva e le numerose funzionalità lo rendono un must per qualsiasi professionista della rete.

La barra degli strumenti "Trova pacchetto".

Wireshark - Guida completa all'acquisizione e all'analisi dei pacchetti

Quando si tratta di analizzare l'acquisizione di pacchetti con Wireshark, la barra degli strumenti "Trova pacchetto" è un potente strumento che consente di individuare rapidamente pacchetti specifici in base a vari criteri. Questa barra degli strumenti fornisce un modo semplice ed efficiente per trovare e visualizzare pacchetti specifici in Wireshark.

Utilizzando la barra degli strumenti "Trova pacchetto" è possibile:

  • Cerca i pacchetti in base a un filtro specifico o a un filtro di visualizzazione.
  • Visualizza più pacchetti contemporaneamente, semplificando il confronto e l'analisi dei pacchetti.
  • Selezionare un pacchetto specifico tramite il suo numero nell'elenco dei pacchetti.
  • Salva i risultati della ricerca in un file separato per ulteriori analisi.
  • Passa a un pacchetto specifico all'interno di un file di acquisizione o di un'acquisizione live.

È possibile accedere a questa barra degli strumenti facendo clic su "Modifica" nella barra dei menu, quindi selezionando "Trova pacchetto". In alternativa, puoi utilizzare il comando di scelta rapida Ctrl + F (Comando + F su Mac) per visualizzare la barra degli strumenti.

Per impostazione predefinita, la barra degli strumenti "Trova pacchetto" dispone di diverse opzioni per cercare e filtrare i pacchetti:

  • Il campo "Trova" consente di cercare valori o modelli specifici all'interno dei pacchetti.
  • Il menu a discesa "in" consente di specificare dove cercare i pacchetti, ad esempio nell'elenco dei pacchetti, nei dettagli dei pacchetti o in entrambi.
  • La casella di controllo "Albero" abilita l'uso del filtraggio dell'albero, che visualizza solo i pacchetti che corrispondono ai criteri specificati nell'albero dei dettagli del pacchetto.
  • Il menu a discesa "Output in" consente di scegliere come visualizzare i risultati della ricerca, ad esempio in una finestra separata o nel riquadro dell'elenco dei pacchetti corrente.

Ad esempio, se desideri trovare tutti i pacchetti relativi al DHCP (Dynamic Host Configuration Protocol) in un file di acquisizione, puoi inserire "dhcp" nel campo "Trova", selezionare "elenco pacchetti" dal menu "in" eseleziona l'opzione "Albero". Wireshark visualizzerà quindi un elenco di tutti i pacchetti DHCP trovati nel file di acquisizione.

Oltre a cercare pacchetti specifici, puoi anche utilizzare la barra degli strumenti "Trova pacchetto" per passare rapidamente a un pacchetto specifico in base al suo numero. Basta inserire il numero del pacchetto nel campo "Trova" e selezionare "numero del pacchetto" dal menu "in". Wireshark individuerà ed evidenzierà automaticamente il pacchetto specificato nell'elenco dei pacchetti.

Nel complesso, la barra degli strumenti "Trova pacchetto" è un'ottima risorsa per trovare e analizzare facilmente i pacchetti in Wireshark. Semplifica il processo di ricerca, filtraggio e interpretazione dei pacchetti acquisiti, rendendolo uno strumento essenziale per chiunque lavori con l'analisi e il monitoraggio della rete.

Salvataggio dell'output in un file

Una volta catturati i pacchetti in Wireshark, potresti voler salvare i dati acquisiti in un file per ulteriori analisi o documentazione. Ecco i passaggi per salvare l'output:

Passo 1: Seleziona i pacchetti che si desidera salvare nel riquadro dell'elenco dei pacchetti facendo clic su di essi. È possibile selezionare più pacchetti utilizzando Shift+Click o Ctrl+Fare clic.
Passo 2: Vai al menu "File" e seleziona "Salva come".
Passaggio 3: Scegli un nome di file e una posizione in cui si desidera salvare i pacchetti acquisiti.
Passaggio 4: Nella finestra di dialogo "Salva As", è possibile scegliere il formato in cui si desidera salvare i pacchetti. Il formato predefinito è il formato PCAPNG WireShark.
Passaggio 5: Fare clic su "Salva" per salvare i pacchetti nel file specificato.

Salvando i pacchetti in un file, puoi facilmente condividerli con gli altri o analizzarli in seguito. È anche utile ai fini della documentazione.

Nota: nelle opzioni di acquisizione, è possibile specificare un modello di nome file utilizzando l'opzione "-w". Wireshark salverà quindi automaticamente i pacchetti catturati in un file con quel nome modello.

Questo capitolo ha coperto le basi della cattura e dell'analisi dei pacchetti. Nel prossimo capitolo, entreremo in argomenti e tecniche più avanzati.

Capitolo 6. Lavorare con i pacchetti catturati

Una volta catturati i pacchetti usando Wireshark, il passo successivo è analizzare e interpretare le informazioni che contengono. Questo capitolo ti guiderà attraverso varie tecniche per lavorare con pacchetti catturati.

Filtro pacchetti catturati

Wireshark consente di filtrare i pacchetti catturati in base a criteri specifici. Questo è utile per restringere i pacchetti che si desidera analizzare, specialmente in grandi catture. Utilizzando comandi filtranti come "Find" o "TCP. Port", è possibile individuare facilmente i pacchetti che ti interessa.

Per applicare un filtro, vai al riquadro "Filtro", situato nella parte superiore della finestra di Wireshark principale. Immettere il comando filtro desiderato e premere Invio. Wireshark applicherà immediatamente il filtro ai pacchetti catturati, visualizzando solo quelli che corrispondono ai criteri.

Visualizzazione dei pacchetti nell'elenco e nei panni di dettaglio

Wireshark fornisce due vetri principali per la visualizzazione di pacchetti catturati: il riquadro dell'elenco e il riquadro di dettaglio. Il riquadro elenco visualizza un riepilogo di ciascun pacchetto catturato, comprese informazioni come il numero del pacchetto, il tempo, gli host di origine e di destinazione e le loro porte di rete.

Per visualizzare i dettagli di un pacchetto specifico, fai semplicemente doppio clic su di esso nel riquadro dell'elenco. Ciò aprirà il pacchetto corrispondente nel riquadro di dettaglio, in cui è possibile analizzare il suo contenuto a livello di byte.

Lavorare con file e acquisizioni

Wireshark ti consente di salvare e aprire catture di pacchetti in diversi formati di file. Per impostazione predefinita, Wireshark salva le catture come file . pcap, ma puoi anche scegliere di salvarli come file . pcapng o . cap. Questa flessibilità semplifica la condivisione e l'analisi delle catture di pacchetti su piattaforme e strumenti diversi.

Per salvare un'acquisizione come file, vai al menu "File" e seleziona "Salva". Scegli un nome file e un formato di file e fai clic su "Salva". Per aprire un file di acquisizione salvato, vai al menu "File" e seleziona "Apri". Passare al file desiderato e fare clic su "Apri".

Analisi e monitoraggio rapidi

Wireshark fornisce diverse funzionalità di analisi rapide per aiutarti a identificare rapidamente problemi o modelli comuni nei pacchetti catturati. Queste caratteristiche includono il riquadro Info Expert, che visualizza avvisi e errori relativi ai pacchetti catturati, e lo strumento IO Graphs, che consente di visualizzare le statistiche dei pacchetti nel tempo.

Oltre all'analisi delle catture salvate, Wireshark supporta anche l'acquisizione di pacchetti live. Ciò significa che è possibile monitorare e analizzare il traffico di rete in tempo reale, direttamente dall'interfaccia di rete. Per avviare un'acquisizione in tempo reale, fare clic sul pulsante "Cattura" sulla barra degli strumenti principale, selezionare l'interfaccia di rete desiderata e fare clic su "Avvia".

Incartare

In questo capitolo, abbiamo coperto varie tecniche per lavorare con pacchetti catturati usando Wireshark. Dal filtrare i pacchetti e la visualizzazione in diversi vetri, al salvataggio e all'analisi delle catture, ora dovresti avere una buona comprensione di come interpretare e analizzare il traffico di rete.

Catturare il traffico da e per un host

Quando si lavora con Wireshark, è spesso utile acquisire traffico di rete da e verso un host specifico. Ciò consente di concentrarti sui pacchetti rilevanti per l'analisi e interpretare facilmente i dati acquisiti. In questo capitolo, discuteremo di come catturare il traffico da e per un host usando Wireshark.

1. Selezione dell'host

Prima di iniziare l'acquisizione dei pacchetti, è necessario identificare l'host che si desidera monitorare. Questo può essere fatto guardando l'indirizzo IP o il nome host dell'host in questione. Dopo aver identificato l'host, puoi procedere con l'acquisizione del traffico.

2. Cattura di pacchetti

Per acquisire traffico da e per un host, è possibile utilizzare un filtro per specificare l'indirizzo IP di origine o di destinazione dell'host. Ad esempio, se l'indirizzo IP dell'host è 192. 168. 0. 100, è possibile utilizzare il seguente filtro:

Visualizza filtro Espressione del filtro
ip. src == 192. 168. 0. 100 o ip. dst == 192. 168. 0. 100 Filtra i pacchetti in cui l'indirizzo IP di origine o di destinazione è 192. 168. 0. 100

Applicando questo filtro nelle opzioni di acquisizione di Wireshark, catturerai solo i pacchetti inviati o ricevuti dall'host specificato. Ciò aiuta a ridurre la quantità di dati acquisiti e ne semplifica l'analisi.

3. Analizzare i pacchetti catturati

Una volta acquisiti i pacchetti, puoi iniziare ad analizzare i dati. Wireshark fornisce una serie di funzionalità e strumenti per aiutarti con l'analisi. Ad esempio, è possibile utilizzare il riquadro dell'elenco dei pacchetti per visualizzare un elenco dei pacchetti acquisiti, il riquadro dei dettagli del pacchetto per leggere il contenuto di un pacchetto selezionato e il riquadro dell'albero dei pacchetti per visualizzare la struttura gerarchica del pacchetto.

Inoltre, Wireshark offre comandi di menu e pulsanti della barra degli strumenti per filtrare, salvare ed esportare pacchetti, oltre a molte altre funzioni. È possibile utilizzare queste funzionalità per navigare facilmente tra i dati acquisiti ed eseguire analisi approfondite.

4. Salvataggio della cattura

Dopo aver analizzato i pacchetti catturati, potresti voler salvare la cattura per riferimento futuro. Wireshark ti consente di salvare i pacchetti catturati in diversi formati, come file pcap o pcapng. Per salvare la cattura, puoi andare al menu File e selezionare l'opzione "Salva". Puoi scegliere una posizione e fornire un nome file per l'acquisizione salvata.

Inoltre, Wireshark offre un modo semplice per visualizzare le acquisizioni salvate in precedenza. È possibile utilizzare l'opzione "Apri" nel menu File per aprire un file di acquisizione salvato e continuare ad analizzare i dati.

5. Acquisizione di pacchetti in tempo reale

Wireshark ti consente anche di acquisire pacchetti in tempo reale monitorando la rete. Ciò può essere utile per risolvere problemi di rete o acquisire traffico da un host specifico mentre sta attivamente inviando o ricevendo dati.

Per avviare un'acquisizione di pacchetti in tempo reale, è possibile utilizzare il menu Acquisisci e selezionare l'opzione "Avvia". Si aprirà una finestra di dialogo delle opzioni di acquisizione in cui è possibile selezionare l'interfaccia di rete da cui acquisire e specificare eventuali filtri di acquisizione aggiuntivi. Una volta avviata l'acquisizione, Wireshark visualizzerà i pacchetti catturati nella finestra principale.

6. Conclusione

Catturare il traffico da e verso un host è un ottimo modo per concentrare l'analisi su traffico di rete specifico. Selezionando l'host e applicando un filtro, puoi facilmente acquisire e analizzare i pacchetti rilevanti. Wireshark fornisce potenti strumenti e funzionalità per leggere, filtrare e salvare i pacchetti catturati, rendendolo uno strumento essenziale per il monitoraggio e l'analisi della rete.

Casi d'uso

Wireshark è uno strumento potente che può essere utilizzato per vari scopi. Ecco alcuni casi d'uso comuni per l'acquisizione e l'analisi dei pacchetti con Wireshark:

Monitoraggio del traffico di rete

Wireshark ti consente di acquisire pacchetti e monitorare il traffico di rete in tempo reale. Puoi avviare un'acquisizione in tempo reale e visualizzare i pacchetti mentre fluiscono attraverso la tua rete. Questo è ottimo per diagnosticare rapidamente problemi di rete o monitorare attività sospette.

Analisi dei protocolli di rete

Wireshark fornisce un'analisi dettagliata di vari protocolli di rete. Puoi facilmente analizzare i pacchetti catturati per comprendere la comunicazione tra host. Facendo doppio clic su un pacchetto, è possibile visualizzare l'indirizzo IP di origine e di destinazione, i numeri di porta, la dimensione del pacchetto e altre informazioni.

Filtraggio e ricerca dei pacchetti

Filtraggio e ricerca dei pacchetti

Wireshark ti consente di filtrare i pacchetti in base a vari criteri, come indirizzi IP, tipo di protocollo o numeri di porta. Puoi anche cercare valori o stringhe specifici all'interno dei pacchetti utilizzando il comando "Trova". Ciò semplifica la restrizione dell'analisi e la concentrazione sui pacchetti rilevanti.

Salvataggio e caricamento delle acquisizioni di pacchetti

Wireshark ti consente di salvare le acquisizioni di pacchetti in file per un'analisi successiva. È possibile salvare i pacchetti catturati in vari formati, come pcap o pcapng. Inoltre, puoi caricare le acquisizioni salvate dai file per continuare l'analisi in un secondo momento.

Lavorare con strumenti da riga di comando

Wireshark fornisce strumenti da riga di comando, come tshark, che consentono di eseguire l'analisi e il filtraggio dei pacchetti dalla riga di comando. Ciò è utile per automatizzare le attività o integrare Wireshark in altri script o strumenti.

Questi sono solo alcuni esempi di come può essere utilizzato Wireshark. Con le sue potenti funzionalità e un'interfaccia intuitiva, Wireshark è uno strumento essenziale per chiunque lavori con acquisizioni e analisi di rete.