Wireshark

Come analizzare il flusso dati della rete con Wireshark

Tool potente e versatile, permette di scoprire se qualcosa di sospetto sta accadendo nella propria rete domestica. Programma fondamentale per ogni sistemista che si rispetti
Come analizzare il flusso dati della rete con Wireshark FASTWEB S.p.A.

Fa parte di quella ristretta cerchia di programmi cui un bravo sistemista non può e non deve mai rinunciare. Permette di analizzare il traffico dati generato dal proprio computer e da tutte le periferiche di rete legate al proprio indirizzo IP. Offre tutti gli strumenti per scoprire se qualcuno si è “agganciato” alla rete Wi-Fi della LAN casalinga e determinare in che modo utilizza la nostra connessione. Come è facile intuire da questo breve cappello introduttivo, Wireshark è uno strumento di analisi della rete potente e allo stesso tempo versatile: consente di tenere sott’occhio tutto ciò che accade nella propria rete e prendere le adeguate contromisure nel caso in cui qualcosa non vada per il verso giusto.

Cos'è Wireshark

Noto network analyzer (“analizzatore di rete”), Wireshark è un tool multipiattaforma (può essere scaricato e installato su sistema operativo Windows, OS X e Linux) che intercetta il traffico dati che passa per un'interfaccia di rete (una scheda Ethernet, ad esempio, o un modulo Wi-Fi) e fornisce informazioni riguardanti lo scambio di pacchetti dati tra i vari dispositivi della rete domestica o tra il computer di casa e un server remoto.

 

Wireshark

 

Wireshark, infatti, ha la capacità di catturare tutti i pacchetti transitanti da un adattatore Ethernet o Wi-Fi di un computer e decodificarli in un “linguaggio” idoneo all'analisi di un sistemista o amministratore di rete. Qualunque cosa si faccia in Rete (dalla semplice navigazione nel web a chiamate VoIP, passando per sessioni di chat e messaggistica istantanea o per la visione di film e programmi TV in streaming), tutti i dati inviati o ricevuti sono trasformati in pacchetti di ugual grandezza: Wireshark andrà a cercarli al livello della suite di protocolli TCP/IP e ne estrarrà tutte le informazioni necessarie all'identificazione: dall'indirizzo IP pubblico di destinazione al protocollo utilizzato per la trasmissione, sino ad arrivare al dispositivo o programma che ha generato ogni singolo pacchetto intercettato.

 

Wireshark

 

Si tratta, dunque, di uno strumento molto utile (e utilizzato) per tutti quei sistemisti o amministratori di rete che devono verificare il livello di sicurezza della LAN o della rete geografica WAN che gestiscono e appurare che i dati transitanti lungo le loro strutture informatiche non siano preda di qualche hacker.

Scaricare Wireshark

Wireshark è un programma gratuito liberamente scaricabile collegandosi al portale web ufficiale. Consigliabile, ovviamente, scaricare l'ultima versione stabile disponibile oppure, solo nel caso in cui il proprio sistema operativo non riuscisse a supportarla, affidarsi auna delle release precedenti del programma. I più “avventurosi” possono scaricare e installare la Development release, la versione in fase di sviluppo, molto interessante perché, solitamente, contiene nuove funzionalità in fase di test. Può capitare, però, che le versioni in fase di sviluppo contengano anche bug non ancora risolti e difetti di stabilità che possono far sì che smettano di funzionare improvvisamente mentre le si utilizza (in gergo: “andare in crash”).

 

Download di Wireshark

 

Gli utenti delle varie distribuzioni Linux, pur trovando il collegamento nella pagina dei download, possono sfruttare le repository ufficiali: sarà sufficiente effettuare una ricerca mirata alle proprie esigenze per individuare il pacchetto che si vuole installare.

L'interfaccia utente di Wireshark

Dopo aver scaricato, installato e lanciato il tool per l'analisi del flusso dati, ci si troverà di fronte a una prima schermata “introduttiva”. Da qui si potrà scegliere cosa fare: selezionare quale particolare interfaccia di rete prendere in esame e scegliere la configurazione ottimale per il proprio sistema.

 

Interfaccia utente di Wireshark

 

L'interfaccia è divisa in tre colonne: la prima da sinistra – riconoscibile dalla targhetta azzurra “Capture” - è quella più “operativa” e permette di dare il via all'analisi della rete e impostare le varie configurazioni per la “cattura” dei pacchetti di dati; la seconda – identificata dalla targhetta azzurra “Files” - permette di recuperare i file di log di vecchie scansioni e analizzarli, magari raffrontandoli con quelli più recenti; la terza – con targhetta azzurra “Online” - permette di accedere a ulteriori risorse disponibili sul web.

Caccia ai pacchetti

Per dare il via all'analisi del flusso dati, quindi, si dovrà agire sui comandi presenti nella prima delle tre colonne. Sotto la voce “Interface list” sarà possibile trovare l'elenco di tutte le interfacce di rete di cui è dotato il computer: sarà necessario selezionarne una per dare il via al processo di analisi. Poco più sotto, invece, è presente la voce “Capture option”: cliccandoci sopra si potranno modificare le opzioni e le impostazioni di scansione, così da poter avere un'analisi più accurata, affinandola in modo da essere più in linea con le proprie necessità.

 

Caccia ai pacchetti

 

Non appena si sarà scelta l'interfaccia di rete da tenere sotto controllo, Wireshark caricherà il “Main packets panel”, pannello di controllo dove scorreranno, in diretta, tutti i pacchetti dati in ingresso o in uscita dal proprio computer. A seconda delle impostazioni scelte, la schermata sarà composta da varie colonne: quelle fondamentali riguardano l'indirizzo IP di partenza (“Source”), l'indirizzo IP di arrivo (“Destination”), il protocollo utilizzato (“Protocol”) e le informazioni relative al singolo pacchetto in transito (“Info”). Combinando i dati in arrivo da queste cinque colonne si dovrebbe essere in grado, seppur a grandi linee, di determinare se c'è qualcosa di strano nella propria rete.

Codice a colori

 

Colori di Wireshark

 

Come appare evidente a una prima occhiata, i vari pacchetti analizzati da Wireshark sono contraddistinti da colori differenti. La colorazione, ovviamente, non è casuale: i pacchetti in verde sono stati inviati utilizzando il protocollo TCP; i pacchetti in blu scuro riguardano pacchetti del protocollo DNS; pacchetti evidenziati in azzurro riguardano pacchetti “trattati” con il protocollo UDP; il nero, infine, identifica i pacchetti TCP con problemi (ad esempio, connessione con il server di destinazione andata in time out o pacchetti andati persi nel corso del trasferimento).

Filtro dei pacchetti

Nel caso in cui si abbiano già degli indizi e si voglia cercare qualcosa di specifico, si potranno sfruttare i filtri che Wireshark mette a disposizione degli utenti.

 

Filtro Wireshark

 

Il modo più elementare per applicare un filtro all'interno del pannello di controllo del flusso dati è quello di scrivere una parola chiave (ad esempio DNS) e cliccare sul pulsante “Apply”: nel giro di qualche secondo i pacchetti analizzati saranno filtrati in base al testo e saranno mostrati solo quelli che più interessano.

 

Filtro Wireshark

 

Applicando un semplice filtro, inoltre, sarà possibile seguire l'intero percorso compiuto da un pacchetto ed eventuali “evoluzioni” nella comunicazione tra client (il proprio computer) e server. Individuato il pacchetto dati da seguire, sarà sufficiente cliccarci su con il tasto destro del mouse e, dal menu a scomparsa, selezionare la voce “Follow TCP stream”. Nel giro di qualche istante comparirà una nuova finestra dove poter leggere lo “scambio di battute” avvenuto tra client e server utilizzando quel particolare canale ove è transitato il pacchetto dati di nostro interesse. Uscendo dalla finestra. Wireshark applicherà automaticamente un filtro per mostrare solo i pacchetti “interessati” dalla comunicazione presa in analisi.

Copyright © CULTUR-E
Condividi
Ebook
Sicurezza in Rete: ne sai abbastanza?
Strumenti utili, suggerimenti pratici e tutto quello che devi assolutamente sapere per proteggere davvero i tuoi dispositivi e i tuoi dati personali quando sei connesso
scarica l'ebook

Iscriviti alla
newsletter del
Digital Magazine di
Fastweb

Riceverai ogni settimana le notizie più interessanti sul mondo della tecnologia!
Iscriviti

Grazie per esserti iscritto!

Abbiamo inviato una mail all'indirizzo che hai indicato: per completare l'iscrizione alla newsletter del Digital Magazine di FASTWEB clicca sul link all'interno della mail