Come usare Wireshark per ispezionare il traffico di rete

Wireshark è un analizzatore di pacchetti libero e open-source. È usato per la risoluzione dei problemi di rete, l’analisi, il software e lo sviluppo di protocolli di comunicazione. Ti permette di vedere cosa sta succedendo sulla tua rete ad un livello microscopico ed è lo standard de facto (e spesso de jure) in molte imprese commerciali e non-profit, agenzie governative e istituzioni educative. Wireshark è uno strumento multipiattaforma che funziona su Linux, Microsoft Windows, macOS, BSD, Solaris e altri sistemi operativi Unix-like.

Tabella dei contenuti

Come installare Wireshark in Linux?

Per installare Wireshark basta inserire il seguente comando nel tuo terminale – sudo apt-get install Wireshark Wireshark sarà quindi installato e disponibile all’uso. Se esegui Wireshark come utente non root (cosa che dovresti fare) a questo punto incontrerai un messaggio di errore che dice.
“Nessuna interfaccia può essere utilizzata per la cattura in questo sistema con la configurazione corrente”.I seguenti passi correggeranno questo problema.

Crea un gruppo Wireshark.

sudo groupadd wireshark 

Aggiungi il tuo nome utente al gruppo Wireshark –

sudo usermod -a -G wireshark USERNAME 

Cambia la proprietà di gruppo del file dumpcap in wireshark –

sudo chgrp wireshark /usr/bin/dumpcap 

Cambia la modalità del file dumpcap per permettere l’esecuzione da parte del gruppo wireshark –

sudo chmod 750 /usr/bin/dumpcap 

Concedi capacità con setcap –

sudo setcap cap_net_raw,cap_net_admin=eip /usr/bin/dumpcap 

Verifica la modifica –

sudo getcap /usr/bin/dumpcap 

Per cosa viene usato Wireshark?

Wireshark ha un’applicazione o un uso abbastanza esteso. Ecco alcuni esempi di ciò per cui la gente usa Wireshark:

  • Gli amministratori di rete lo usano per risolvere i problemi di rete
  • Gli ingegneri della sicurezza di rete lo usano per esaminare i problemi di sicurezza
  • Gli sviluppatori lo usano per eseguire il debug delle implementazioni di protocollo
  • Altri lo usano per imparare gli interni dei protocolli di rete

Caratteristiche in sintesi

Queste sono alcune delle molte caratteristiche che Wireshark fornisce:

  • Cattura dati di pacchetti dal vivo da un’interfaccia di rete.
  • Aprire file contenenti dati di pacchetti catturati con tcpdump/WinDump, Wireshark e un certo numero di altri programmi di cattura dei pacchetti.
  • Importa pacchetti da file di testo contenenti dump esadecimali dei dati dei pacchetti.
  • Visualizza i pacchetti con informazioni di protocollo molto dettagliate.
  • Salva i dati dei pacchetti catturati.
  • Esporta alcuni o tutti i pacchetti in un certo numero di formati di file di cattura.
  • Filtra i pacchetti secondo molti criteri.
  • Cerca i pacchetti secondo molti criteri.
  • Colora la visualizzazione dei pacchetti in base ai filtri.
  • Crea varie statistiche.

Come usare Wireshark per ispezionare i pacchetti di rete in Linux?

Catturare i pacchetti

Dopo aver scaricato e installato Wireshark, puoi lanciarlo e cliccare sul nome di un’interfaccia sotto Interface List per iniziare a catturare i pacchetti su quell’interfaccia. Per esempio, se volete catturare il traffico sulla rete wireless, cliccate sulla vostra interfaccia wireless. È possibile configurare le funzioni avanzate facendo clic su Capture Options.

Appena fai clic sul nome dell’interfaccia, vedrai i pacchetti iniziare ad apparire in tempo reale. Wireshark cattura ogni pacchetto inviato al o dal tuo sistema. Se stai catturando su un’interfaccia wireless e hai abilitato la modalità promiscua nelle opzioni di cattura, vedrai anche gli altri pacchetti sulla rete.

Codifica dei colori

Vedrai probabilmente pacchetti evidenziati in verde, blu e nero. Wireshark usa i colori per aiutarti a identificare i tipi di traffico a colpo d’occhio. Per default, il verde è il traffico TCP, il blu scuro è il traffico DNS, il blu chiaro è il traffico UDP, e il nero identifica i pacchetti TCP con problemi – per esempio, potrebbero essere stati consegnati fuori ordine.

Conclusione

Come ho detto prima, Wireshark è disponibile su tutte le piattaforme, ma nessuna di queste altre piattaforme ha la parità di funzionalità di Linux.

Wireshark è uno strumento estremamente potente, e questo tutorial sta solo grattando la superficie di ciò che si può fare con esso. I professionisti lo usano per eseguire il debug delle implementazioni dei protocolli di rete, esaminare i problemi di sicurezza e ispezionare gli interni dei protocolli di rete. Controlla questa DOCUMENTAZIONE ufficiale per saperne di più su cosa puoi fare con Wireshark.


L’hosting di LinuxAndUbuntu è sponsorizzato da massiveGRID

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.