LA CAMPANA

C’è chi ha letto questa notizia prima di te.
Iscriviti per ricevere nuovi articoli.
E-mail
Nome
Cognome
Come vuoi leggere La Campana?
Niente spam

Analisi del traffico. Come usare Wireshark? Analisi del traffico Lezioni di Wireshark nella versione russa 2.4 1

Condividere
Condividere
Twitta
Come
Come

Wireshark: come si usa?

Ciao amici! In questo articolo cercherò di spiegare e parlare delle cose più importanti che devi sapere durante l'utilizzo Wireshark su Linux, e mostrerò l'analisi di tre tipi traffico di rete. Questo manuale è applicabile anche per l'utilizzo di Wireshark in Windows.

Se sei nuovo a informazioni di sicurezza e capisci molto bene cos'è uno sniffer (analizzatore di traffico), ti consiglio di leggere l'articolo e solo dopo leggere questo articolo su come utilizzare Wireshark.

Molto popolare ed estremamente abile analizzatore di protocolli di rete, sviluppato da Gerald Combs, Wireshark è nato nel giugno 2006 quando Combs ha ribattezzato Ethereal lo strumento di networking da lui stesso creato, perché aveva cambiato lavoro e non poteva più utilizzare il vecchio nome. Oggi la maggior parte delle persone usa Wireshark e Ethereal è storia.

Wireshark: il miglior sniffer

Forse ti starai chiedendo in cosa Wireshark è diverso dagli altri analizzatori di rete, a parte il fatto che è gratuito, e perché non iniziamo a promuovere l'uso di tcpdump per l'acquisizione dei pacchetti?

Il vantaggio principale di Wireshark è che si tratta di un'applicazione grafica. Raccolta dati e ispezione del traffico di rete in interfaccia utente- una cosa molto comoda, poiché ti consente di gestire dati di rete complessi.

Come usare Wireshark?

Affinché un principiante possa comprendere Wireshark, deve comprendere il traffico di rete. Se è così, lo scopo di questo articolo è spiegarti le basi del TCP/IP in modo che tu possa trarre le conclusioni necessarie dal traffico di rete che analizzi.


Formato del pacchetto TCP e del pacchetto IP.

Se esegui Wireshark come utente standard, non sarai in grado di utilizzare le interfacce di rete per raccogliere dati a causa delle autorizzazioni file Unix predefinite sulle interfacce di rete. È più conveniente eseguire Wireshark come root (sudo wireshark) durante la raccolta dei dati e come utente normale per analizzare i dati.

In alternativa, è possibile raccogliere dati di rete utilizzando l'utilità riga di comando tcpdump come root e poi analizzarli con utilizzando Wireshark. Ricorda che la raccolta di dati utilizzando Wireshark su una rete trafficata potrebbe rallentare il tuo computer o, peggio, impedirti di raccogliere i dati di cui hai bisogno perché Wireshark richiede più risorse di sistema rispetto a un programma a riga di comando. In questi casi, la soluzione più ragionevole per raccogliere i dati sul traffico di rete è utilizzare tcpdump.

Cattura i dati di rete utilizzando Wireshark

Il modo più semplice per iniziare ad acquisire i dati dei pacchetti di rete è selezionare l'interfaccia necessaria dopo aver avviato Wireshark e fare clic su Avvia. Wireshark mostrerà i dati di rete sullo schermo in base al traffico di rete. Tieni presente che puoi selezionare più di un'interfaccia. Se non sai nulla di TCP, IP o altri protocolli, potresti trovare difficile leggere e comprendere il risultato.

Per interrompere il processo di acquisizione dei dati, selezionare Acquisisci > Interrompi dal menu. In alternativa, puoi cliccare sulla quarta icona da sinistra, quella con il quadrato rosso (è l'abbreviazione di Stop Capturing dati in tempo reale") nella barra degli strumenti principale (nota che la sua posizione esatta dipende dalla versione di Wireshark in uso). Questo pulsante può essere premuto solo durante la raccolta dei dati di rete.

Quando si utilizza questo metodo di acquisizione, non è possibile modificare le opzioni di acquisizione predefinite di Wireshark. Puoi visualizzare e modificare le opzioni di acquisizione selezionando Acquisisci > Opzioni dal menu. Qui puoi selezionare le interfacce di rete, visualizzare il tuo indirizzo IP, applicare filtri di raccolta dati, tradurre i tuoi scheda di rete nella modalità di ricezione di tutti i pacchetti di rete e di salvataggio dei dati raccolti in uno o più file. Puoi anche dirgli di interrompere l'acquisizione dei pacchetti dopo aver raggiunto un certo numero di pacchetti di rete, o un certo tempo, o una certa quantità di dati (in byte).

Per impostazione predefinita, Wireshark non salva i dati raccolti, ma puoi sempre salvarli in seguito. Si ritiene generalmente che sia meglio salvare e poi esaminare i pacchetti di rete, a meno che non si abbia qualche motivo particolare per fare diversamente.

Wireshark ti consente di leggere e analizzare i dati di rete già raccolti elevato numero formati di file, inclusi tcpdump, libpcap, snoop di Sun, nettl di HP, file di testo K12, ecc. In breve, Wireshark può leggere quasi tutti i formati di dati di rete raccolti. Allo stesso modo, Wireshark ti consente di salvare i dati raccolti in diversi formati. Puoi anche usare Wireshark per convertire un file da un formato all'altro.

Puoi anche esportare un file esistente come semplice file di testo dal menu File. Questa opzione è destinata principalmente all'elaborazione manuale dei dati di rete o all'inserimento in un altro programma.

C'è un'opzione per stampare i tuoi pacchi. Non l'ho mai usato nella vita reale, ma per scopi didattici può essere molto utile stampare i pacchetti e il loro contenuto completo.

Filtri di visualizzazione Wireshark

Se vengono applicati filtri di acquisizione durante l'acquisizione dei dati di rete, Wireshark non tiene conto del traffico di rete che non corrisponde al filtro; mentre i filtri di visualizzazione vengono applicati dopo l'acquisizione dei dati e “nascondono” il traffico di rete senza eliminarlo. Puoi sempre disabilitare il filtro Visualizza e recuperare i tuoi dati nascosti.

In linea di principio i filtri di visualizzazione sono considerati più utili e versatili rispetto ai filtri di raccolta dati perché difficilmente si sa in anticipo quali informazioni raccoglierete o deciderete di esaminare. Tuttavia, l'utilizzo dei filtri durante l'acquisizione dei dati consente di risparmiare tempo e spazio su disco, che è il motivo principale per utilizzarli.

Wireshark evidenzia un filtro sintatticamente corretto con uno sfondo verde chiaro. Se la sintassi contiene errori, lo sfondo diventa rosa.

I filtri di visualizzazione supportano gli operatori di confronto e operatori logici. Visualizza il filtro http.response.code


Tre pacchetti (SYN, SYN+ACK e ACK) di configurazione della connessione TCP in tre fasi

404 && ip.addr == 192.168.1.1 mostra il traffico che proviene dall'indirizzo IP 192.168.1.1 o va all'indirizzo IP 192.168.1.1, che ha anche un codice di risposta 404 ( Non trovato)HTTP. Il filtro!boo1p &&!ip &&!agr esclude il traffico BOOTP, IP e ARP dal risultato. Il filtro eth.addr == 01:23:45:67:89:ab && tcp.port == 25 visualizza il traffico proveniente da o verso il dispositivo di rete con indirizzo MAC 01:23:45:67:89:ab, che utilizza nelle connessioni in entrata e in uscita, il numero di porta TCP è 25.

Ricorda che i filtri di visualizzazione non risolvono magicamente i problemi. Se usato correttamente è eccezionale strumenti utili, ma devi ancora interpretare i risultati, trovare il problema e pensare tu stesso a una soluzione adeguata.

L'articolo continua nella pagina successiva. Per passare alla pagina successiva, clicca sul pulsante 2 che si trova sotto i pulsanti dei social network.

1. Introduzione

Wireshark è un analizzatore di traffico di rete. Il suo compito è intercettare il traffico di rete e visualizzarlo in dettaglio. Un analizzatore del traffico di rete può essere paragonato a un dispositivo di misurazione utilizzato per visualizzare ciò che accade internamente cavo di rete, come un voltmetro, viene utilizzato dagli elettricisti per scoprire cosa succede all'interno di un cablaggio elettrico (ma, ovviamente, a un livello più alto). In passato, tali strumenti erano molto costosi e proprietari. Tuttavia, dall’avvento di uno strumento come Wireshark, la situazione è cambiata. Wireshark è uno dei migliori analizzatori di traffico di rete oggi disponibili. Wireshark funziona sulla libreria pcap. La libreria Pcap (Packet Capture) consente di creare programmi per l'analisi dei dati di rete che arrivano sulla scheda di rete di un computer. Varietà di programmi monitoraggio e test della rete, gli sniffer utilizzano questa libreria. È scritto per utilizzare il linguaggio C/C++ quindi non è razionale utilizzare altri linguaggi come Java, .NET e linguaggi di scripting. Per Sistemi simili a Unix utilizzare la libreria libpcap e for Microsoft Windows NT utilizza la libreria WinPcap. Il software di monitoraggio della rete può utilizzare libpcap o WinPcap per acquisire i pacchetti che viaggiano attraverso una rete e nelle versioni più recenti per trasferire i pacchetti attraverso una rete. Libpcap e WinPcap supportano anche il salvataggio dei pacchetti catturati in un file e la lettura di file contenenti pacchetti salvati. I programmi scritti sulla base di libpcap o WinPcap possono acquisire il traffico di rete e analizzarlo. Il file di traffico catturato viene salvato in un formato comprensibile alle applicazioni che utilizzano Pcap.

2.1 A cosa serve Wireshark?

  • Gli amministratori di sistema lo utilizzano per risolvere i problemi di rete.
  • I revisori della sicurezza lo utilizzano per identificare i problemi di rete.
  • Gli sviluppatori lo utilizzano per eseguire il debug delle applicazioni di rete.
  • Gli utenti abituali lo usano per studiare dispositivo interno protocolli di rete.
2.2 Funzionalità di Wireshark
  • Funziona sulla maggior parte dei sistemi operativi moderni (Microsoft Windows, Mac OS X, UNIX). Wireshark è un prodotto open source codice sorgente, distribuito sotto licenza GPL. Può essere utilizzato su qualsiasi numero di computer senza preoccuparsi dell'input chiavi di licenza, rinnovo della patente e altri eventi spiacevoli. Pertanto, è molto semplice per la comunità aggiungere il supporto per nuovi protocolli sotto forma di plugin o inserirli direttamente nel codice sorgente.
  • Intercettare il traffico dell'interfaccia di rete in tempo reale. Wireshark può intercettare il traffico proveniente da vari dispositivi di rete visualizzandone il nome (incluso dispositivi senza fili). Il supporto di un particolare dispositivo dipende da molti fattori, come il sistema operativo.
  • Molti decoder di protocollo (TELNET, FTP, POP, RLOGIN, ICQ, SMB, MySQL, HTTP, NNTP, X11, NAPSTER, IRC, RIP, BGP, SOCKS 5, IMAP 4, VNC, LDAP, NFS, SNMP, MSN, YMSG e altro).
  • Salvataggio e apertura del traffico di rete precedentemente salvato.
  • Importa ed esporta file da altri analizzatori batch. Wireshark può salvare i pacchetti catturati su un gran numero di formati di altri analizzatori di pacchetti, ad esempio: libpcap, tcpdump, Sun snoop, atmsnoop, Shomiti/Finisar Surveyor, Novell LANalyzer, Microsoft Network Monitor, iptrace di AIX.
  • Consente di filtrare i pacchetti in base a più criteri.
  • Consente di cercare pacchetti in base a più criteri.
  • Consente di evidenziare i pacchetti catturati di diversi protocolli.
  • Consente di creare una varietà di statistiche.
Di seguito sono elencate alcune cose che Wireshark non può fare.
  • Wireshark non è un sistema di rilevamento delle intrusioni. Non ti avviserà se qualcuno sta facendo cose strane online. Tuttavia, se ciò accade, Wireshark ti aiuterà a capire cosa è realmente accaduto.
  • Wireshark non può generare traffico di rete; può solo analizzare il traffico esistente. In generale Wireshark non si manifesta in alcun modo sulla rete, tranne durante la risoluzione dei nomi di dominio, ma questa funzione può anche essere disabilitata.
2.3 Installazione

Avverto subito chi usa *nix; un utente normale non ha i privilegi per ascoltare le interfacce, quindi esegui Wireshark tramite sudo.

L'installazione dello sniffer Wireshark in Windows è un'operazione banale e viene eseguita dalla procedura guidata di installazione. Se la libreria WinPcap non è sul computer, verrà installata insieme allo sniffer. Durante la fase di selezione dei componenti, è possibile installare alcuni strumenti correlati:

  • TShark – analizzatore del traffico di rete su console;
  • Rawshark: filtro dei pacchetti grezzi;
  • Editcap è un'utilità che ti consente di aprire batch dump salvati e modificarli;
  • Text2Pcap – un'utilità per convertire dump HEX (rappresentazione byte per byte) di pacchetti in formato Pcap;
  • Mergecap – un'utilità per unire diversi dump in un unico file;
  • Capinfos – un'utilità per fornire informazioni sui dump salvati;
  • Alcuni plugin statistici avanzati.
Subito dopo l'installazione, lo sniffer è pronto per l'uso.

2.4 Interfaccia Wireshark

L'interfaccia del programma Wireshark è mostrata nella Figura 1.

Figura 1 – Finestra principale di Wireshark


Diamo un'occhiata all'interfaccia in modo più dettagliato. In alto ci sono gli standard Applicazioni Windows menu e barra degli strumenti, non ha senso soffermarsi su di essi in dettaglio. Poi c'è il filtro, in cui è possibile impostare i criteri di filtraggio dei pacchetti, descrizione dettagliata Vedremo come lavorarci più tardi. Poi arriva una finestra con un elenco di tutti i pacchetti intercettati. Contiene informazioni quali: numero del pacchetto, ora relativa di ricezione del pacchetto (contando dal primo pacchetto; i parametri di visualizzazione del tempo possono essere modificati nelle impostazioni), indirizzo IP del mittente, indirizzo IP del destinatario, protocollo su cui è stato trasmesso il pacchetto. viene inviato, così come Informazioni aggiuntive su di lui. Come puoi vedere, i diversi protocolli sono evidenziati in diversi colori, il che aggiunge chiarezza e semplifica l'analisi. Successivamente puoi vedere una finestra in cui puoi vedere informazioni dettagliate sul pacchetto secondo modello di rete OSI (vedi Wikipedia per maggiori dettagli). Bene, la finestra in basso ci mostra il pacchetto in forma HEX grezza, cioè byte per byte. La configurazione dell'interfaccia può essere facilmente modificata nel menu Visualizza. Ad esempio, puoi rimuovere la finestra per una rappresentazione byte per byte di un pacchetto (nota anche come Packet Bytes nel menu Visualizza), poiché nella maggior parte dei casi (eccetto che per l'analisi dei dati in un pacchetto) non è necessaria e duplica solo la finestra informazioni dalla finestra di descrizione dettagliata.

2.5 Intercettazione del traffico

L'intercettazione del traffico è una di queste capacità chiave WireShark. Il motore di intercettazione di Wireshark offre le seguenti funzionalità:

  • intercettazione di varie tipologie di traffico apparecchiature di rete(Ethernet, Anello di gettone, ATM e altri);
  • cessazione dell'intercettazione in base a diversi eventi: dimensione dei dati intercettati, durata dell'intercettazione nel tempo, numero di pacchetti intercettati;
  • visualizzazione dei pacchetti decodificati durante l'intercettazione;
  • filtraggio dei pacchetti per ridurre la dimensione delle informazioni intercettate;
  • scrivere dump su più file se l'intercettazione continua per molto tempo.
    Il motore non può eseguire le seguenti funzioni:
  • intercettare il traffico da più interfacce di rete contemporaneamente (tuttavia, è possibile eseguire più copie di Wireshark, ciascuna per la propria interfaccia);
  • cessazione dell'intercettazione in funzione delle informazioni intercettate.
Per iniziare a intercettare il traffico, è necessario disporre dei diritti di amministratore su questo sistema e selezionare l'interfaccia di rete corretta. Quindi, cominciamo. Scegliere scheda di rete, da cui verrà eseguita l'intercettazione, è necessario fare clic sul pulsante Interfacce sulla barra degli strumenti, o sul loro menu Cattura > Interfacce... (contrassegnato in rosso nella Figura 2).

Figura 2 – Selezione di un'interfaccia per l'intercettazione


Dopo aver cliccato su uno di questi pulsanti, apparirà una finestra con l'elenco delle interfacce di rete disponibili nel sistema (Figura 3).

Figura 3 – Elenco delle interfacce di rete


In questo elenco puoi vedere informazioni come il nome dell'interfaccia, l'indirizzo IP dell'interfaccia, attività di rete interfaccia (rappresentata come il numero totale di pacchetti da quando è apparsa la finestra e il numero di pacchetti al secondo). Inoltre da questa finestra è possibile visualizzare le impostazioni di intercettazione (Figura 4) e le informazioni sull'interfaccia (Figura 5).

Figura 4 – Impostazioni di intercettazione

Figura 5 – Informazioni sull'interfaccia


Nelle impostazioni di intercettazione è possibile modificare parametri come filtraggio dei pacchetti, scrittura di un dump su più file, arresto dell'intercettazione in base a vari criteri (numero di pacchetti, numero di megabyte, numero di minuti), opzioni per la visualizzazione dei pacchetti, risoluzione dei nomi. Nella maggior parte dei casi, queste impostazioni possono essere lasciate ai valori predefiniti. Quindi, tutto è pronto per iniziare l'intercettazione, non resta che premere il pulsante Start.

3. Pratica di intercettazione

Dopo aver fatto clic sul pulsante Start, è iniziata l'intercettazione dei pacchetti. Se l'attività di rete è elevata, puoi immediatamente vedere molti strani pacchetti in entrata o in uscita. Per il momento non ci preoccupano molto, ora studieremo la nota utility ping.

3.1 Utilità Ping

Premi Win+R e inserisci "esegui cmd" nella riga. Si aprirà la console, inserisci lì il comando ping, come mostrato nella Figura 6. L'indirizzo IP dovrebbe essere scritto in base alla configurazione di una rete specifica.

Figura 6 – Esecuzione del comando ping


Ora, se il polling dell'host ha avuto successo come mostrato nella figura, apriamo una finestra di Wireshark per esaminarlo più in dettaglio. Lì molto probabilmente vedremo un disastro completo e ci vorrà molto tempo per risolverlo. È qui che i filtri ci vengono in aiuto! L'utilità ping funziona utilizzando il protocollo ICMP, quindi inserisci il nome di questo protocollo nella riga del filtro e fai clic su Applica. Dovresti ritrovarti con qualcosa di simile alla Figura 7.

Figura 7 – Filtraggio ICMP


Qui possiamo osservare dall'interno come si verificano Echo Request ed Echo Reply nel protocollo ICMP: quali dati di test vengono inviati, quali flag simboleggiano che si tratta di una Echo Request e altre informazioni altrettanto importanti.

3.2 Intercettare il traffico FTP

Questa clausola riguarda l'intercettazione di un documento trasmesso Protocollo FTP senza crittografia e assicurati che, quando utilizzi la crittografia basata su TLS, non saremo in grado di intercettare nulla di utile. Cerberus viene utilizzato come server FTP Server FTP, come client, ad esempio qualsiasi browser Internet Explorer(in questo lavoro abbiamo utilizzato un plugin per Mozilla Firefox chiamato FireFTP).
Iniziamo a catturare i pacchetti in Wireshark e creiamo un filtro utilizzando il protocollo FTP per comodità (digita "ftp o ftp-data" senza virgolette). Digita l'indirizzo del nostro server FTP nella barra degli indirizzi del browser: ftp:// e premi Invio. Ci sarà sul server Documento di testo chiamato test.txt, scaricalo. Ora vediamo cosa è successo nello sniffer e quali pacchetti abbiamo intercettato. Nella Figura 8 puoi vedere che è possibile intercettare non solo i dati trasmessi tramite il protocollo, ma anche login e password.

Figura 8 – Intercettazione di login e password


Ora troviamo nei pacchetti intercettati il ​​contenuto del nostro documento. Qualche parola sul processo di trasferimento dei file tramite il protocollo FTP: all'inizio, il server invia al client un banner di benvenuto (in questo caso è 220-Welcome to Cerberus FTP Server), l'utente viene autenticato sul server utilizzando i comandi USER e PASS e riceve un elenco di directory utilizzando il comando LIST e richiede il file desiderato utilizzando il comando RETR. Cercheremo il comando RETR nell'elenco dei pacchetti. Per fare ciò, premi Ctrl+F, seleziona Trova per stringa e Cerca in byte di pacchetto nelle opzioni di ricerca, inserisci RETR nella barra di ricerca e premi Invio. Verrà trovato un pacchetto in cui il client invia questo comando al server; se il file esiste, il server invierà una risposta 150 Apertura connessione dati e il pacchetto successivo conterrà il contenuto del documento (Figura 9).

Figura 9 – Contenuto del documento trasmesso


Abilitiamo ora il trasferimento sicuro dei dati sul server basato sul protocollo TLS e ripetiamo la procedura. Il client utilizza il comando AUTH TLS per stabilire una connessione sicura. Osservando l'elenco dei pacchetti intercettati (Figura 10), diventa chiaro che da essi non si può ottenere nulla di utile.

Figura 10 – Elenco dei pacchetti crittografati intercettati


3.3 Intercettare un documento trasmesso tramite il protocollo SMB

SMB (Server Message Block) – formato di messaggio basato su protocollo condivisione File Microsoft/3Com, utilizzati per trasmettere richieste di file (apri - apri, chiudi - chiudi, leggi - leggi, scrivi - scrivi, ecc.) tra client e server. Apriamo Wireshark, eseguiamo l'intercettazione dei pacchetti e filtriamo utilizzando il protocollo SMB. Andiamo quindi alla risorsa condivisa remota e scarichiamo il file test.txt. Interrompiamo l'intercettazione dei pacchetti facendo clic sul pulsante "Interrompi l'acquisizione live in esecuzione". Ora diamo un'occhiata a cosa abbiamo ottenuto. Nell'elenco dei pacchetti troveremo una richiesta di trasferimento del file test.txt:

L’unica soluzione per prevenire lo sniffing è la crittografia. Non dovrebbero essere consentiti protocolli applicativi proprietari non sicuri o protocolli legacy che trasferiscono esplicitamente i dati. La sostituzione di protocolli non sicuri (come telnet) con le loro controparti sicure e crittografate (come SSH) sembra essere una barriera significativa contro le intercettazioni. Nella maggior parte dei casi è improbabile sostituire tutti i protocolli non sicuri.

Invece di interrompere l'uso di protocolli che trasmettono dati in modo esplicito, l'unica opzione rimasta è crittografare tutto il traffico di rete a livello 3 utilizzando IPSec. Implementando la crittografia Layer 3, è possibile continuare a utilizzare protocolli non sicuri perché tutti i dati verranno incapsulati da IPSec e crittografati durante il transito sulla rete. In questo modo, le applicazioni legacy che utilizzano protocolli meno recenti non saranno interessate. IPSec è completamente trasparente per le applicazioni e gli utenti. Questo norma aperta, supportato da molti fornitori tra cui Microsoft e Cisco. Inoltre, molte implementazioni Unix supportano IPSec. La facile configurazione di IPSec in Win2k/XP ne aumenta ulteriormente la disponibilità.

L'implementazione della tecnologia di crittografia di livello 3 come IPSec risolve completamente il problema dello sniffing. La scalabilità, la prevalenza e la disponibilità di IPSec lo distinguono come una soluzione pragmatica al problema dell'intercettazione del traffico di rete.

A volte, quando si utilizza Internet, si verificano situazioni in cui si verificano perdite di traffico o un consumo imprevisto delle risorse di sistema. Per analizzare e rilevare rapidamente l'origine del problema, vengono utilizzati strumenti di rete speciali. Uno di questi, WireShark, sarà discusso nell'articolo.

informazioni generali

Prima di utilizzare WireShark, è necessario familiarizzare con il suo ambito, funzionalità e capacità. In breve: il programma permette di intercettare i pacchetti in tempo reale sia in modalità cablata che wireless le connessioni di rete. Applicabile nel Protocolli Ethernet, IEEE 802.11, PPP e simili. Puoi anche utilizzare l'intercettazione del traffico delle chiamate VoIP.

Il programma è distribuito sotto la licenza GNU GPL, il che significa che è gratuito e open source. Puoi eseguirlo su molte distribuzioni Linux, MacOS ed esiste anche una versione per il sistema operativo Sistemi Windows.

Come usare WireShark?

Innanzitutto, dovresti prima installarlo sul sistema. Poiché uno dei più utilizzati Distribuzioni Linuxè Ubuntu, tutti gli esempi verranno mostrati al suo interno.

Per installare basta digitare il comando nella console:

sudo apt-get install wireshark

Successivamente, il programma apparirà nel menu principale. Puoi avviarlo da lì. Ma è meglio farlo dal terminale, poiché ha bisogno dei diritti di superutente. Questo può essere fatto in questo modo:

Aspetto

Il programma ha una comoda interfaccia grafica. L'utente vedrà una finestra amichevole divisa in 3 parti. Il primo è direttamente correlato all'acquisizione, il secondo riguarda l'apertura di file ed esempi e il terzo è aiuto e supporto.

Il blocco Capture contiene un elenco di interfacce di rete disponibili per l'acquisizione. Quando si seleziona, ad esempio, eth0 e si fa clic sul pulsante Start, verrà avviato il processo di intercettazione.

Anche la finestra con i dati intercettati è logicamente divisa in più parti. Nella parte superiore è presente un pannello di controllo con vari elementi. Di seguito è riportato un elenco di pacchetti. Si presenta sotto forma di tabella. Qui puoi vedere il numero progressivo del pacco, l'ora in cui è stato intercettato, l'indirizzo di invio e di ricezione. Puoi anche rimuovere i dati sui protocolli utilizzati, la durata e altre informazioni utili.

Sotto l'elenco è presente una finestra con il contenuto dei dati tecnici del pacchetto selezionato. E ancora più in basso c'è una visualizzazione in forma esadecimale.

Ciascuna vista può essere espansa in una finestra più grande per facilitare la lettura dei dati.

Applicazione di filtri

Mentre il programma è in esecuzione, davanti all'utente passeranno sempre dozzine o addirittura centinaia di pacchetti. Eliminarli manualmente è piuttosto difficile e richiede tempo. Ecco perché istruzioni ufficiali WireShark consiglia di utilizzare i filtri.

C'è un campo speciale per loro nella finestra del programma: Filtro. Per configurare il filtro in modo più preciso, c'è un pulsante Espressione.

Ma nella maggior parte dei casi sarà sufficiente un set standard di filtri:

  • ip.dst: indirizzo IP di destinazione del pacchetto;
  • ip.src: indirizzo del mittente;
  • ip.addr - qualsiasi IP;
  • ip.proto - protocollo.

Utilizzo dei filtri in WireShark - istruzioni

Per provare come funziona il programma con i filtri, devi inserire un determinato comando. Ad esempio, un tale set - ip.dst == 172.217.23.131 - mostrerà tutti i pacchetti volanti sul sito web di Google. Per visualizzare tutto il traffico, sia in entrata che in uscita, puoi combinare due formule: ip.dst == 172.217.23.131 || ip.src == 172.217.23.131. Pertanto, si è scoperto che sono state utilizzate due condizioni contemporaneamente in una riga.

Puoi utilizzare altre condizioni, ad esempio ip.ttl< 10. Questo comando visualizzerà tutti i pacchetti con una durata inferiore a 10. Per selezionare i dati in base alla dimensione, è possibile utilizzare questo approccio: http.content_length > 5000.

Caratteristiche aggiuntive

Per comodità, WireShark dispone di un modo per selezionare rapidamente i parametri del pacchetto come campo da analizzare. Ad esempio, in un campo con dati tecnici, è possibile fare clic con il tasto destro del mouse sull'oggetto desiderato e selezionare Applica come colonna. Cosa significa trasferirlo nell'area del campo come colonna.

Allo stesso modo, puoi selezionare qualsiasi parametro come filtro. Per fare ciò, c'è una voce Applica come filtro nel menu contestuale.

Sessione separata

È possibile utilizzare WireShark come monitor tra due nodi di rete, ad esempio un utente e un server. Per fare ciò, seleziona il pacchetto che ti interessa, chiama menù contestuale e fare clic su Segui flusso TCP. Una nuova finestra visualizzerà l'intero log dello scambio tra i due nodi.

Diagnostica

WireShark ha uno strumento separato per analizzare i problemi di rete. Si chiama Strumenti esperti. Puoi trovarlo nell'angolo in basso a sinistra, sotto forma di un'icona rotonda. Facendo clic su di esso si aprirà una nuova finestra con diverse schede: Errori, Avvisi e altri. Con il loro aiuto, puoi analizzare in quali nodi si verificano guasti, i pacchetti non arrivano e rilevare altri problemi con la rete.

Traffico vocale

Come già accennato, WireShark può intercettare anche il traffico vocale. A questo è dedicato un intero menù Telefonia. Questo può essere usato per trovare problemi nel VoIP e risolverli rapidamente.

La voce Chiamate VoIP del menù Telefonia ti permetterà di visualizzare le chiamate effettuate ed ascoltarle.

Esportazione di oggetti

Questa è probabilmente la funzionalità più interessante del programma. Ti consente di utilizzare WireShark come intercettore di file trasmessi in rete. Per fare ciò, è necessario interrompere il processo di intercettazione ed esportare gli oggetti HTTP nel menu File. La finestra che si apre visualizzerà un elenco di tutti i file trasferiti durante la sessione, che potranno essere salvati in una posizione comoda.

Finalmente

Purtroppo, Versione attuale WireShark in russo sarà difficile da trovare su Internet. Quello più accessibile e utilizzato frequentemente è in inglese.

Lo stesso vale con istruzioni dettagliate di WireShark in russo. Quello ufficiale dello sviluppatore è presentato in inglese. Ci sono molti piccoli e guide rapide di WireShark per principianti.

Tuttavia, per chi lavora nel campo informatico da molto tempo, la comprensione del programma non presenterà particolari difficoltà. E grandi opportunità e ricche funzionalità alleggeriranno tutte le difficoltà dell'apprendimento.

Vale la pena notare che in alcuni paesi l'utilizzo di uno sniffer come WireShark potrebbe essere illegale.

Software WireSharkè uno strumento abbastanza noto e avanzato per il monitoraggio del traffico di rete.

Il programma funziona ugualmente correttamente in molti ambienti sistemi operativi, inclusi Windows, UNIX, Linux, Mac OS, Free BSD, Solaris, Open BSD, Net BSD, ecc. Questi tipi di applicazioni sono talvolta chiamati sniffer.

Questo programma semplifica il monitoraggio del traffico utilizzando una varietà di protocolli di rete come DNS, FDDI, FTP, HTTP, ICQ, IPV6, IPX, IRC, MAPI, MOUNT, NETBIOS, NFS, NNTP, POP, PPP, TCP, TELNET, X25 , ecc.

Per poter utilizzare il programma nel modo più completo, penso che molti utenti non abbiano bisogno di avere conoscenze particolari. Ma prima le cose principali.

Partiamo dal fatto che la maggior parte delle reti locali domestiche o aziendali sono costruite sull'utilizzo di dispositivi chiamati hub o concentratori.

Allo stesso tempo, alcune reti prevedono l'uso di switch o router. Dato Softwareè destinato specificamente al primo caso, poiché nel secondo caso semplicemente non otterrai l'efficacia.

Come usare Wireshark

Quindi, per eseguire il programma avrai bisogno dei diritti di accesso di tipo ROOT, perché solo con tali diritti puoi ottenerli accesso completo a tutte le interfacce di rete. Il programma stesso può essere avviato come in modalità normale e dalla riga di comando.

Successivamente, puoi avviare l'applicazione principale.

Dopo aver avviato il programma verrà visualizzata una finestra in cui è necessario inserire login e password con conferma di accesso.

Il processo di lavoro con il programma è abbastanza semplice.

Per iniziare ad acquisire i pacchetti di rete, devi solo andare al menu principale, ovvero Menu/Opzioni di acquisizione, quindi selezionare l'interfaccia richiesta nel campo Interfaccia e fare clic sul pulsante Avvia.

È tutto.

Naturalmente puoi anche usare altre impostazioni, presentato in questa finestra.

Ad esempio, è possibile utilizzare le opzioni di ritardo, limitando i pacchetti con una determinata dimensione che non può essere superata durante l'analisi. Tuttavia, se non sei sicuro della necessità di utilizzare determinate impostazioni, è meglio lasciare tutto così com'è.

Ciò funzionerà meglio per molti utenti, poiché le impostazioni predefinite sono presentate in modo tale da fornire la modalità operativa più appropriata per ciascuna interfaccia di rete.

Per terminare il processo di tracciamento della ricezione e della trasmissione dei pacchetti di rete, è sufficiente fare clic sul pulsante Interrompi, dopodiché verrà visualizzata la schermata informazioni complete sul processo eseguito e la visualizzazione avviene utilizzando la modalità grafica, il che è abbastanza conveniente.

In generale, al termine dell'intero processo, il file del report può essere salvato per un'analisi o un'elaborazione successiva.

L'unicità di questo prodotto software sta anche nel fatto che, pur disponendo di un proprio protocollo, può comunque monitorare i dati utilizzando protocolli diversi da quello principale. Ciò vale non solo per lo scambio di pacchi all'interno del rete locale, ma utilizzato anche per controllare il traffico Internet. Naturalmente esiste un sistema abbastanza flessibile per ordinare i dati ricevuti e cercare l'elemento richiesto. È sufficiente utilizzare queste funzioni nei risultati del report.

In realtà non c’è nulla di complicato in questo. Infine, notiamo che la creazione dell'interfaccia grafica utilizza la libreria universale GTK+, che consente di elaborare rapidamente e comodamente dati di input di molti formati.

Il programma di monitoraggio del traffico Wireshark sarà un vero vantaggio per una persona che comprende i protocolli di rete e desidera saperne di più sulle azioni all'interno della sua rete. rete di casa. Non è un segreto che alcuni programmi che non sono nemmeno considerati dannosi possano semplicemente rubare il traffico Internet. È qui che si verificano ritardi e basse velocità di Internet. Se la tua velocità diminuisce improvvisamente, ha senso provare il programma Wireshark, ma senza la minima conoscenza dei protocolli di rete sarà difficile farlo. Scopri di più su come utilizzare Wireshark e cosa fa in questo articolo.

Dove e come scaricare Wireshark

Wireshark è un software gratuito ed è distribuito in modo assolutamente gratuito. Sul sito web ufficiale dello sviluppatore https://www.wireshark.org puoi non solo scaricare l'utilità, ma anche donare volontariamente fondi per lo sviluppo del progetto.

  • L'interfaccia del sito è abbastanza semplice: fai prima clic sul pulsante “Download”.
  • Seleziona quindi il tipo di sistema: Windows o MacOS, 32 bit o 64. Il download della tua versione inizierà immediatamente. Se non sei sicuro del tuo sistema, dai un'occhiata più da vicino alle Impostazioni di sistema nel Pannello di controllo.


  • Installare il programma è semplice, basta cliccare sul pulsante “Avanti” e talvolta seguire le istruzioni sullo schermo, tuttavia alcuni punti richiedono chiarimenti.
  • Quando ti viene chiesto di selezionare un kit di installazione dell'utilità, seleziona tutte le caselle. Quindi puoi usare set completo Strumenti di Wireshark.


  • In questa finestra, devi configurare tu stesso le impostazioni in base alle tue preferenze. Ciò indica la creazione di un collegamento, un pulsante nel menu Start e un'associazione di tipi di file. Se non sei sicuro della tua decisione, è meglio trasferire tutti i segni di spunta dallo screenshot alla tua finestra.


Come abilitare il monitoraggio del traffico in Wireshark

Una volta riavviato il computer dopo aver installato il programma, è pronto per l'uso. Allo stesso tempo, il programma Wireshark ti consiglierà di installare un driver speciale necessario per il funzionamento del software.

  • Al centro della finestra vedrai il pulsante “Aggiorna interfacce” o “Nessuna interfaccia trovata”. Fare clic su di esso per caricare le interfacce. Puoi connetterti tramite un router, direttamente a un cavo, tramite reti Wi-Fi o tramite un modem LTE.
  • Se hai connessione senza fili Wi Fi, vai alla scheda “Wireless”.


  • Fare clic su "Traffico WLAN".


  • Se la connessione avviene tramite modem, prestare attenzione alla scheda “Telefonia”, fare clic sulla riga “LTE”.


  • Qualunque cosa tu scelga, il traffico apparirà davanti a te in questo modo. In alto nella riga “Filtro” puoi inserire un filtro per filtrare le informazioni che non ti servono e che non ti servono protocolli di rete solo secondo un certo criterio.
  • Cliccando su uno di essi, vedrai maggiori informazioni nella finestra inferiore. Il criterio principale può essere una linea con l'host: il sito che ha accettato o inviato la richiesta. Tali dati sono indicati dopo la dicitura “Host”, nonché “Accetta”.
  • Come affermato in precedenza, lavorare con i protocolli senza la minima comprensione di come funzionano è quasi impossibile. Non capirai quale pacco è andato, quando e dove. Tuttavia, se questo argomento ti è anche un po’ familiare, tutto diventa intuitivo.


Come abilitare le interfacce Wireshark se non sono disponibili

Quando avvii il programma, potresti vedere un messaggio come questo. Ciò significa che il programma non vede nessuna delle tue connessioni: né via cavo né tramite connessione wireless.

La prima cosa da fare è riavviare il computer. Il programma inizia a funzionare solo dopo un riavvio.
Il secondo motivo possibile e più comune è che non hai scaricato WinPcap. Queste sono le librerie Windows gratuite di cui Wireshark ha bisogno. Scaricali da Internet, riavvia il computer e riprova.

Sotto l'articolo troverai un lungo video che ti parlerà di un'interfaccia più approfondita del programma.


Condividere
Condividere
Twitta
Come
Come

Leggi anche

LA CAMPANA

C’è chi ha letto questa notizia prima di te.
Iscriviti per ricevere nuovi articoli.
E-mail
Nome
Cognome
Come vuoi leggere La Campana?
Niente spam