Come usare Wireshark per il monitoraggio della rete?

Posted on
  • Cos’è Wireshark?
  • Quali sono le caratteristiche principali di Wireshark?
  • Come installare o scaricare Wireshark?
  • Come catturare e analizzare i pacchetti di dati usando Wireshark?
  • Come analizzare i pacchetti di rete catturati?
  • Come aiuta Wireshark a monitorare le prestazioni della rete?
  • Qual è il ruolo dei filtri in Wireshark?
  • Come usare il codice colore in Wireshark?
  • Come visualizzare le statistiche di rete su Wireshark?
  • Come visualizzare i pacchetti di rete con i grafici IO?
  • Come espandere le capacità di Wireshark?

Con un aumento della domanda di servizi e applicazioni accessibili, una buona rete è diventata più importante che mai. Problemi come la perdita di pacchetti, la latenza, i tempi di inattività della rete, gli errori frequenti e il jitter possono ostacolare l’esperienza complessiva dell’utente. Il monitoraggio della rete è diventato un requisito cruciale e fondamentale per le piccole, medie e grandi imprese. È considerato la prima linea di difesa quando le prestazioni del server di rete iniziano a deteriorarsi. Gli strumenti di monitoraggio della rete aiutano i team a valutare la disponibilità dei dispositivi di rete, a controllare la salute generale della rete e a risolvere i problemi di prestazioni come il consumo/utilizzo della larghezza di banda e i tempi di inattività della rete.

Come il mercato è inondato da una grande varietà di strumenti di monitoraggio della rete, diventa difficile prendere una decisione per scegliere una soluzione di monitoraggio affidabile. Diversi strumenti di monitoraggio della rete offrono diversi gradi di prestazioni e capacità di integrazione. Alcuni offrono un’architettura completamente integrata, mentre altri includono più componenti come database, motori di polling, console di gestione e altro. Può essere fonte di confusione per gli amministratori di rete scegliere la migliore soluzione con caratteristiche di monitoraggio affidabili ed efficaci. Pertanto, prima di effettuare una selezione, le organizzazioni devono considerare di porre le seguenti domande agli amministratori.

  • Quali dispositivi devono essere monitorati?
  • È necessario monitorare l’intera rete dell’organizzazione o più reti?
  • Come si integrerà lo strumento di monitoraggio della rete con il sistema esistente?
  • Che tipo di funzionalità di base deve avere uno strumento?

È necessario fare una ricerca approfondita per determinare quale strumento offre le caratteristiche più vantaggiose per l’organizzazione nel lungo periodo. Questo post riguarda uno degli analizzatori di rete più affidabili disponibili sul mercato, noto come Wireshark. Diamo un’occhiata a cos’è Wireshark, come aiuta a rilevare i problemi di sicurezza, la risoluzione degli errori di rete, il debug dei protocolli e come le capacità di Wireshark possono essere migliorate per il monitoraggio avanzato della rete.

Che cos’è Wireshark?

Wireshark è noto come l’analizzatore di traffico di rete leader nel mondo. È il miglior strumento per gli amministratori di sistema e i professionisti IT per la risoluzione degli errori di rete in tempo reale. Wireshark rileva rapidamente i problemi di rete come la latenza, l’attività sospetta e i pacchetti abbandonati. Può analizzare il traffico e scoprire la causa principale di un problema. Di solito, gli amministratori di rete usano Wireshark per risolvere i problemi di latenza causati dalle apparecchiature utilizzate per instradare il traffico in tutto il mondo e per monitorare i tentativi di esfiltrazione dei dati contro le operazioni aziendali. Wireshark è uno strumento potente ma gratuito che richiede una vasta conoscenza delle basi del networking. Per fare il miglior uso dello strumento, gli amministratori devono avere una solida conoscenza di protocolli come TCP/IP e DHCP.

Come funziona?

Wireshark è un popolare strumento open-source per catturare i pacchetti di rete e convertirli in formato binario leggibile dall’uomo. Fornisce ogni singolo dettaglio dell’infrastruttura di rete dell’organizzazione. È costituito da dispositivi progettati per aiutare a misurare gli ins e gli out della rete. Le informazioni raccolte attraverso Wireshark possono essere utilizzate per vari scopi, come l’analisi di rete in tempo reale o offline, l’identificazione del traffico che arriva nella vostra rete, la sua frequenza e la sua latenza tra hop specifici. Questo aiuta gli amministratori di rete a generare statistiche basate su dati in tempo reale.

Oltre al monitoraggio della rete, le organizzazioni usano Wireshark per il debug dei programmi, per esaminare i problemi di sicurezza e per imparare gli interni del protocollo di rete. Wireshark è progettato per eseguire in modo efficiente le funzioni relative ai pacchetti e analizzare e visualizzare le metriche di rete sulla console di gestione.

  • Visualizza le informazioni sui pacchetti sotto forma di grafici, tabelle e altro
  • Cattura, esporta, cerca, salva, e importare pacchetti di dati dal vivo
  • Costruisci rapporti basati su dati statistici in tempo reale
  • Filtra i pacchetti in base alla priorità

Wireshark offre anche un’ottima interfaccia utente perché è facile da usare una volta che i team hanno familiarizzato con le basi della cattura dei pacchetti.

Quali sono le caratteristiche principali di Wireshark?

Wireshark consiste in un ricco set di funzionalità che include quanto segue:

  • Cattura dal vivo e analisi offline
  • Ricca analisi VoIP
  • Lettura/scrittura di diversi formati di file di cattura
  • Cattura di file compressi (gzip) e decompressione al volo
  • Ispezione profonda di centinaia di protocolli
  • Standard tre-Riquadro browser dei pacchetti
  • I pacchetti di rete catturati possono essere sfogliati tramite una GUI o l’utilità TShark
  • Multipiattaforma facilmente eseguibile su Linux, Windows, OS X, e FreeBSD
  • Filtri di visualizzazione potenti
  • L’output può essere esportato in XML, CSV, PostScript, o come testo semplice
  • L’elenco dei pacchetti può utilizzare regole di colorazione per un’analisi rapida e intuitiva

Come installare o scaricare Wireshark?

Per usare Wireshark, la prima cosa che gli utenti devono fare è scaricare e installare Wireshark sul sistema. Assicuratevi di scaricare l’ultima versione dello strumento direttamente dal sito web della società per una migliore esperienza di esecuzione. Di seguito sono riportati alcuni passaggi seguendo i quali Wireshark può essere facilmente scaricato e installato.

  1. Installare su Mac

    Per installare con successo Wireshark su Mac, gli utenti devono scaricare un programma di installazione come xquartz. Una volta scaricato l’installer, aprite il Terminale e inserite il seguente comando:
    <% /Applications/Wireshark.app/Contents/Mac0S/Wireshark>
    Aspettate che Wireshark si avvii.

  2. Installare su Windows

    Per eseguire Wireshark su Windows, visitate il sito dell’azienda (Wireshark) e scaricate il programma. Una volta fatto, avvia semplicemente il processo di installazione. Installa anche WinPcap quando ti chiede di farlo durante il processo di installazione. WInPcap è importante da installare perché aiuta a catturare il traffico di rete dal vivo, e senza di esso, gli utenti possono solo accedere ai file di cattura già salvati. Per installare WinPcap, seleziona la casella Install WinPcap.

  3. Installare su Unix

    L’installazione di Wireshark su Unix comporta il download di un paio di strumenti come Glib, GTK+ e libcap. Sia Glib che GTK+ possono essere installati dallo stesso toolkit. Una volta che tutti questi tre strumenti di supporto, insieme a Wireshark, sono stati scaricati, Wireshark può essere estratto dal file tar.
    gzip -d wireshark-1.2-tar.gz
    tar xvf wireshark-1.2-tar
    Modifica il file tar nella directory Wireshark e inserisci i seguenti comandi:
    ./configure
    make
    make install
    Avvia Wireshark sul sistema Unix.

Come catturare e analizzare i pacchetti di dati usando Wireshark?

Una delle principali funzioni di Wireshark è quella di catturare i pacchetti di dati per condurre analisi di rete dettagliate. Tuttavia, può essere difficile per i principianti che non hanno familiarità con i passaggi coinvolti. Ci sono principalmente tre passi importanti:

  • Accedere ai privilegi amministrativi per iniziare a catturare i dati in tempo reale direttamente dal dispositivo
  • Scegliere la giusta interfaccia di rete per catturare i dati dei pacchetti
  • Scegliere la giusta posizione all’interno della rete per catturare i dati dei pacchetti

Dopo aver seguito i passi precedenti, Wireshark è pronto per catturare i pacchetti. Di solito, ci sono due modalità di cattura: promiscua e monitor. La modalità promiscua imposta l’interfaccia di rete per catturare solo i pacchetti per i quali è assegnata. La modalità monitor è usata dai sistemi Unix/Linux e imposta l’interfaccia wireless per catturare il più possibile della rete. I dati raccolti durante la cattura dei pacchetti sono visualizzati in un formato leggibile dall’uomo, quindi sono più facili da capire. Come Wireshark rompe i pacchetti catturati in un formato leggibile, gli utenti possono eseguire vari altri compiti come selezionare i filtri per trovare informazioni precise e codificare a colori le informazioni cruciali. Con Wireshark, gli amministratori possono anche monitorare più reti contemporaneamente.

Di solito, la modalità promiscua viene utilizzata dagli amministratori di sistema per avere una visione a volo d’uccello del trasferimento dei pacchetti di rete. Disattivando questa modalità, viene fornita solo una piccola istantanea della rete, che non è sufficiente per condurre un’analisi della qualità. La modalità promiscua può essere facilmente attivata cliccando sulle opzioni di cattura fornite nella finestra di dialogo. Tuttavia, la modalità promiscua non è disponibile su tutti i software o sistemi operativi. Pertanto, gli utenti hanno bisogno di una conferma incrociata sulla compatibilità del software visitando il sito web di Wireshark o utilizzando il Device manager per controllare le impostazioni (nel caso in cui tu sia un utente Windows).

Come analizzare i pacchetti di rete catturati?

Una volta che i dati di rete vengono catturati, l’elenco dei pacchetti di rete viene visualizzato sulla console di gestione centralizzata o sul dashboard. La schermata è composta da tre riquadri: elenco dei pacchetti, byte dei pacchetti e dettagli dei pacchetti. Tuttavia, per ottenere informazioni importanti sui singoli pacchetti, gli utenti devono fare clic su uno qualsiasi dei riquadri di cui sopra.

Elenco pacchetti

Il riquadro dell’elenco pacchetti consiste in pacchetti di rete catturati navigabili in base al timestamp per mostrare esattamente quando il pacchetto è stato catturato, il nome del protocollo del pacchetto, l’origine e la destinazione del pacchetto e le informazioni di supporto.

Dettagli pacchetto

Il riquadro dei dettagli pacchetto fornisce informazioni sul pacchetto scelto. Gli utenti possono espandere ogni sezione e applicare filtri per ottenere informazioni su elementi specifici.

Byte del pacchetto

Il pannello dei byte del pacchetto consiste nei dati interni del pacchetto selezionato dall’utente. I dati sono visualizzati in formato esadecimale per impostazione predefinita.

Come aiuta Wireshark a monitorare le prestazioni della rete?

Una volta catturati i pacchetti di rete, il passo successivo è quello di monitorarli e analizzarli. Wireshark è un ottimo strumento per analizzare e monitorare la rete attiva dell’organizzazione. Prima di fare questo, è importante chiudere tutte le applicazioni attive sulla rete per ridurre il traffico, che aiuta a dare un quadro chiaro della rete. Spegnere tutte le applicazioni non comporterà la perdita di pacchetti; infatti, l’invio e la ricezione di pacchetti è ancora un processo in corso.

Tuttavia, concettualizzare l’enorme quantità di dati non è facile. Pertanto, Wireshark rompe questi componenti in forme diverse per vedere cosa sta succedendo all’interno della rete. Per aiutare gli utenti a capire e analizzare rapidamente i dati in arrivo, Wireshark utilizza la codifica a colori, i filtri, le statistiche di rete per separare i dati di rete.

Qual è il ruolo dei filtri in Wireshark?

I filtri sono utili quando si analizzano grandi file e una notevole quantità di dati. I filtri aiutano gli amministratori a trovare dati di rete specifici tra le migliaia di pacchetti che viaggiano attraverso la rete ogni secondo. Wireshark utilizza i due tipi più comuni di filtri: Capture e Display, per separare i dati in base alla loro rilevanza. Il filtro di cattura raccoglie i dati di monitoraggio dal vivo riducendo la dimensione dei pacchetti in arrivo. Questo aiuta a filtrare i pacchetti non essenziali durante la cattura dal vivo. Tuttavia, i filtri di cattura sono impostati prima dell’inizio del processo di filtraggio e non possono essere modificati una volta che il processo è iniziato. I filtri di visualizzazione, d’altra parte, sono utilizzati per filtrare i dati già registrati.

Come utilizzare la codifica a colori in Wireshark?

La codifica a colori è fatta per evidenziare i diversi pacchetti in base a determinati fattori. Questo aiuta gli utenti a identificare i pacchetti in base ai colori. Per esempio, l’UDP è indicato con l’azzurro, ICMP con il rosa chiaro, il traffico TCP con il viola chiaro, e i pacchetti con errori sono evidenziati con il nero. Le impostazioni predefinite di Wireshark utilizzano venti colori diversi per indicare vari parametri. Gli utenti possono modificare, modificare, aggiungere o eliminare le impostazioni secondo le loro esigenze. La colorazione può anche essere disabilitata disattivando il campo Colorize Packet List.

Come visualizzare le statistiche di rete su Wireshark?

I dati statistici sono utili per fornire informazioni approfondite sulla tua rete. Per visualizzare queste statistiche, clicca sul menu a tendina delle statistiche che fornisce metriche che vanno dai tempi e dalle dimensioni alla tracciatura di grafici e tabelle. Gli utenti possono anche applicare un filtro di visualizzazione per restringere l’elenco delle opzioni e trovare le informazioni rilevanti. Il menu a discesa delle statistiche visualizza le seguenti metriche:

  • Conversazioni: Visualizza le conversazioni di due endpoint come due diversi indirizzi IP
  • Endpoints: Visualizza l’elenco degli endpoint
  • Grafici IO: Visualizza tutti i grafici
  • Gerarchia dei protocolli: Visualizza la tabella dei pacchetti catturati
  • RTP_statistics: Aiuta gli utenti a salvare il contenuto del flusso audio RTP in un file Au
  • Multicast Stream: Misura la velocità degli altri componenti identificando i flussi multicast
  • TcpPduTime: Il tempo impiegato per trasmettere dati da Data Protocol Unit
  • VoIP_Calls: Il numero di chiamate VolP ricevute dalle catture live
  • Service Response Time: Il tempo impiegato dalla rete per rispondere a una richiesta

Come visualizzare i pacchetti di rete con i grafici IO?

I pacchetti di dati o il traffico di rete possono essere rappresentati in un formato visivo noto come grafici IO. Gli utenti possono visualizzare i grafici IO cliccando sul menu statistiche e selezionando la scheda grafico IP. Una volta che la finestra del grafico si apre, gli utenti possono visualizzare i dati che desiderano configurando le impostazioni del grafico di conseguenza. A causa delle impostazioni predefinite di Wireshark, viene visualizzato solo un grafico alla volta. Se gli utenti vogliono attivare più grafici contemporaneamente, basta abilitarli. Inoltre, gli utenti possono anche personalizzare i grafici utilizzando filtri e codici colore per trovare le informazioni rilevanti per lo scopo. Gli utenti possono anche modificare la struttura del grafico dalla colonna dello stile e possono scegliere uno qualsiasi di essi: Linea, Punto, Impulso, Fbar. Gli utenti possono anche non solo regolare lo stile dei grafici, ma possono anche interagire con le metriche degli assi X e Y dei grafici. Una volta che le impostazioni sono fatte, i grafici possono essere memorizzati in un formato di file per scopi futuri.

Come espandere le capacità di Wireshark?

Indubbiamente, Wireshark è un ottimo sniffer di pacchetti, ma gli mancano alcuni progressi quando si tratta di soddisfare le crescenti esigenze di monitoraggio della rete. Le capacità di monitoraggio di Wireshark possono essere migliorate utilizzando strumenti complementari come SolarWinds® Response Time Viewer for Wireshark, Show Traffic, Cloudshark e NetworkMiner. Di seguito sono descritte le caratteristiche, le capacità, le funzioni di questi strumenti e come aiutano a migliorare le capacità di monitoraggio della rete di Wireshark.

SolarWinds Network Performance Monitor

SolarWinds Network Performance Monitor (NPM) è un potente software di monitoraggio della rete utilizzato per rilevare, diagnosticare e risolvere problemi e interruzioni di rete. Lo strumento è appositamente progettato per la risoluzione avanzata dei problemi di rete per servizi on-premises, ibridi e cloud, e rileva i problemi con la sua analisi hop-by-hop. Non solo aiuta a rendere la rete scalabile ma anche sicura. NPM è anche in grado di ridurre i tempi di inattività con conseguente miglioramento dell’efficienza operativa, disponibilità della rete e applicazioni ad alte prestazioni. Offre caratteristiche out-of-the-box, tra cui dashboard intuitivi, sistemi di allerta avanzati, reportistica personalizzata, analisi dei pacchetti e altro ancora. Oltre all’analisi hop-by-hop, NPM offre il monitoraggio della disponibilità, la correlazione dei dati di rete cross-stack, la topologia personalizzabile, la scoperta della rete, le capacità di mappatura, l’analisi dell’acquisizione dei pacchetti, i grafici delle prestazioni di rete drag-and-discover, le linee base statistiche delle prestazioni di rete e il monitoraggio dell’hardware. Con NPM, le aree con segnali deboli o le zone morte della rete possono essere identificate rapidamente utilizzando le mappe di calore Wi-Fi. Provalo con una prova gratuita e completamente funzionale.

SolarWinds Response Time Viewer for Wireshark

SolarWinds Response Time Viewer for Wireshark permette agli utenti di rilevare e analizzare le catture dei pacchetti di Wireshark e risolvere le interruzioni delle prestazioni di rete in tempo reale. Può eseguire più compiti come identificare oltre 1200 applicazioni, calcolare il loro tempo di risposta di rete, visualizzare i dati e il valore delle transazioni, la visualizzazione del percorso critico con Netpath e il monitoraggio e la gestione della rete wireless. La valutazione di questi parametri aiuta gli utenti a determinare i difetti di rete e gli errori.

Cloudshark

Cloudshark è una piattaforma progettata per visualizzare i file di cattura della rete direttamente nel browser senza la necessità di applicazioni desktop o strumenti. Basta caricare, inviare via e-mail o collegare i file di cattura e ottenere i risultati. Aiuta a risolvere i problemi di rete più velocemente e senza problemi. Inoltre, include caratteristiche come il drag-and-drop dei file di cattura, l’attività tipo drop-box, permette la condivisione dei link con i colleghi e offre analisi avanzate.

Sysdig

Sysdig è un potente, multipiattaforma e open-source flessibile sistema di monitoraggio di rete progettato specificamente per Linux. Funziona anche per Windows e Mac OSX, ma con funzionalità limitate come l’ispezione, il debug e l’analisi del sistema. Sysdig utilizza vari strumenti di monitoraggio e risoluzione dei problemi per le prestazioni del sistema Linux, come ad esempio:

  • Strace (per scoprire le chiamate di sistema)
  • htop (per il monitoraggio dei processi in tempo reale)
  • iftop (per il monitoraggio della
  • netstat (per il monitoraggio della connessione di rete)
  • tcpdump (per il monitoraggio del traffico di rete grezzo)
  • Isof (per conoscere il processo utilizzato per visualizzare i file aperti)

Sysdig integra tutti gli strumenti menzionati sopra e li offre in un unico programma. Gli utenti possono facilmente catturare, filtrare, salvare, modificare, tracciare ed esaminare il traffico di rete e il comportamento reale dei sistemi Linux. Le caratteristiche di Sysdig includono:

  • integrazioni con Orchestrator
  • Dashboard intuitivi
  • integrazioni con piattaforme cloud
  • Integrazioni di piattaforme cloud
  • Integrazioni di applicazioni
  • Gestione degli allarmi e degli eventi
  • Gestione della vulnerabilità
  • Generazione di report di conformità/controllo
  • Mappe topologiche
  • Rilevazione degli errori di runtime
  • Cattura di file
  • Single sign-on

Debooke

Debooke è uno dei più semplici e potenti strumenti di monitoraggio della rete e di analisi del traffico per macOS. Lo strumento permette agli utenti di intercettare e monitorare il traffico di rete di qualsiasi dispositivo nella stessa subnet. Aiuta a catturare i dati dei pacchetti di rete da qualsiasi dispositivo come un cellulare, stampante, Mac, TV, e altro ancora senza utilizzare un proxy. Caratteristiche di Debooke:

  • Tieni traccia dell’uso e del consumo di banda Wi-Fi
  • Aiuta nel monitoraggio della rete e nell’analisi approfondita
  • Visualizza i client Wi-Fi e le API a cui sono associati
  • Scansione IP, LAN per tenere traccia di tutti i dispositivi attivi e collegati

Pensieri finali

Wireshark è uno strumento di monitoraggio di rete semplice, ma versatile e potente. È facile da usare e da imparare. Oltre al monitoraggio, Wireshark offre ulteriori funzioni di analisi della rete come:

  • Grafici IO per aiutare gli utenti a capire visivamente la loro rete
  • Codifica dei colori per evidenziare diversi parametri o informazioni di rete per un uso futuro
  • Filtri per ottenere le informazioni rilevanti richieste per lo scopo

Tuttavia, per i nuovi utenti che vogliono provare Wireshark, è consigliabile fare qualche ricerca supplementare e ottenere informazioni dettagliate su Wireshark visitando il sito web. Per gli utenti esistenti che sono alla ricerca di funzioni di monitoraggio e analisi della rete più avanzate e vogliono creare i loro dissettori di protocollo, provare a utilizzare i plugin esterni e i programmi di supporto evidenziati sopra.

SolarWinds Network Performance Monitor e Response Time Viewer per Wireshark sono strumenti professionali e funzionano in modo sorprendente. Non solo possono identificare e risolvere i problemi di rete in tempo reale, ma anche eseguire più compiti contemporaneamente, come visualizzare i dati essenziali, calcolare il tempo di risposta della rete e altro ancora. Questi strumenti aumentano la profondità degli sforzi di analisi della rete in modo drammatico.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.