Wiki Ubuntu-it

Indice
Partecipa
FAQ
Wiki Blog
------------------
Ubuntu-it.org
Forum
Chiedi
Chat
Cerca
Planet
  • Pagina non alterabile
  • Informazioni
  • Allegati
  • Differenze per "Server/Wireshark"
Differenze tra le versioni 34 e 35
Versione 34 del 06/04/2025 14.37.50
Dimensione: 9160
Autore: andreas-xavier
Commento: correzioni varie
Versione 35 del 06/04/2025 14.40.03
Dimensione: 9164
Autore: andreas-xavier
Commento:
Le cancellazioni sono segnalate in questo modo. Le aggiunte sono segnalate in questo modo.
Linea 29: Linea 29:
[AmministrazioneSistema/InstallareProgrammi|Installare]] il pacchetto [[apt://wireshark|wireshark]]. [[AmministrazioneSistema/InstallareProgrammi|Installare]] il pacchetto [[apt://wireshark|wireshark]].
Linea 73: Linea 73:
Se durante l'[[#Installazione_tramite_APT|installazione tramite apt]] è stato risposto '''No''' alla richiesta di permettere agli utenti non-root di catturare pacchetti, è possibile modificare la scelta eseguendo nella [[AmministrazioneSistema/Terminale|riga di comando]] il seguente comando:{{{ Se durante l'[[#Installazione_tramite_APT|installazione tramite apt]] è stato risposto '''No''' alla richiesta di permettere agli utenti non-root di catturare pacchetti, è possibile modificare la scelta.

 0. Eseguire nella [[AmministrazioneSistema/Terminale|riga di comando]] il seguente comando:{{{
Linea 76: Linea 78:
 Selezionare quindi '''Sì''' quando richiesto.  0. Selezionare '''Sì''' quando richiesto.


Questa guida è stata verificata solo con versioni obsolete di Ubuntu, potrebbe non essere più valida. Vuoi contribuire ad aggiornarla? Clicca qui!

Problemi in questa pagina? Segnalali in questa discussione

Introduzione

Wireshark è un analizzatore di protocolli (packet sniffer), che permette di monitorare e filtrare tutti i pacchetti che passano attraverso una o più interfacce di rete.

In questa guida non viene indicato come interpretare i dati monitorati, in quanto è necessaria un'approfondita conoscenza dei protocolli di rete e dei modelli ISO/OSI, nonchè del protocollo TCP/IP.

Installazione

Mantenere Wireshark aggiornato per beneficiare delle ultime correzioni di bug e funzionalità.

Ci sono principalmente due metodi per installare Wireshark su Ubuntu, tramite apt e tramite snap.

apt

Questo metodo è il più semplice e consigliato per la maggior parte degli utenti.

Installare il pacchetto wireshark.

Al termine dell'installazione sarà possible avviare Wireshark.

Durante l'installazione, verrà chiesto di permettere agli utenti non-root di catturare pacchetti. È fortemente consigliato rispondere a questa domanda.

Snap

L'installazione tramite Snap può avere limitazioni nella cattura del traffico di rete e non è generalmente raccomandata per un uso professionale.

  1. Digitare nel terminale il comando:

    sudo snap install wireshark
  2. Riavviare la sessione.

Al termine dell'installazione sarà possible avviare Wireshark.

Avvio

Per avviare Wireshark digitare nel terminale il seguente comando:

wireshark

Si dovrebbe essere in grado di vedere le interfacce di rete e iniziare a catturare pacchetti senza utilizzare privilegi di amministrazione.

Configurazione

Configurare i permessi per la cattura dei pacchetti

Se durante l'installazione tramite apt è stato risposto No alla richiesta di permettere agli utenti non-root di catturare pacchetti, è possibile modificare la scelta.

  1. Eseguire nella riga di comando il seguente comando:

    sudo dpkg-reconfigure wireshark-common

  2. Selezionare quando richiesto.

Aggiungere l'utente al gruppo wireshark

Per permettere all'utente di catturare pacchetti senza dover utilizzare sudo, è necessario aggiungerlo al gruppo wireshark.

  1. Digitare nel terminale il seguente comando:

    sudo usermod -aG wireshark [nome_utente]

    sostituendo [nome_utente] con il nome dell'utente desiderato.

  2. Riavviare la sessione utente per applicare le modifiche al gruppo, oppure riavviare il sistema.

Il riavvio è essenziale affinché i nuovi permessi abbiano effetto.

Connessione delle interfacce di rete

Questi comandi potrebbero non essere sufficienti e la performance potrebbe non essere ottimale.

Potrebbe essere necessario connettere manualmente alcune interfacce per permettere a Wireshark di accedere alla rete. Digitare nel terminale i comandi:

sudo snap connect wireshark:network-control
sudo snap connect wireshark:network-observe
sudo snap connect wireshark:raw-serial

Cattura monitoraggio pacchetti

Una volta configurato il programma, avviare il monitoraggio dei pacchetti, è sufficiente cliccare su Cattura → Avvia.

Filtri

Wireshark consente di impostare filtri, permettendo di concentrarsi sui pacchetti che interessano, ignorando il resto.
Alcuni filtri sono già preimpostati nel programma, è inoltre possibile crearne altri personalizzati.

Nella tabella di seguito vengono elencati i filtri più comuni:

Nome

Filtro

Descrizione

IP address 192.168.0.1

ip.addr == 192.168.0.1

Filtrare tutte le righe che hanno a che fare con l'IP 192.168.0.1

No ARP

not arp

Visualizzare tutti i protocolli tranne ARP

TCP only

tcp

Visualizzare solo il protocollo TCP

No ARP and no DNS

not arp and !(udp.port == 53)

Non visualizza le informazioni riguardanti il protocollo ARP e tutte le porte UDP 53

Creare un filtro

È possibile creare dei filtri personalizzati: Wireshark visualizzerà solo i dati rientreranno nelle condizioni del filtro.

A tale scopo si può procedere cliccando su Analyze → Display Filters.... Verrà visualizzata una finestra, all'interno della quale si trovano tutti i filtri già configurati. Per creare un nuovo filtro è sufficiente assegnargli un nome e cliccare su Nuovo. Per configurare i parametri relativi ai pacchetti e agli indirizzi da filtrare, cliccare su Expression...: si aprirà una finestra dalla quale sarà possibile scegliere il tipo di pacchetto e i relativi parametri.

Per esempio, si potrebbe decidere di creare un filtro che mostri il traffico dei pacchetti solo esclusivamente per la porta TCP 60754. All'interno di Wireshark Dsplay Filter, digitare il seguente testo all'interno della casella Filter name: 

TCP porta 60754

Infine cliccare su Nuovo, dunque su Expression.... All'interno della finestra Wireshark Filter Expression scegliere la voce TCP → tcpsrcport - Source Port, dunque selezionare == all'interno di Relation, infine, in Value, impostare 60754 come numero della porta.

Protocolli supportati

Wireshark è in grado di leggere un grosso numero di protocolli, i principali sono:

  • TCP: (Transmission Control Protocol) è un protocollo corrispondente al livello 4 (trasporto) del modello di riferimento OSI.

  • UDP: (User Datagram Protocol) è un protocollo di trasporto a pacchetto. È usato di solito in combinazione con il protocollo IP.

  • ICMP: (Internet Control Message Protocol) è un protocollo di servizio che si preoccupa di trasmettere informazioni riguardanti malfunzionamenti.

  • ARP: (Address Resolution Protocol) è un protocollo che fornisce la "mappatura" tra l'indirizzo IP di un calcolatore e il suo MAC address.

La lista completa dei protocolli supportati dall'applicazione si può visualizzare da Analyze → enabled protocols...; dallo stesso menu è possibile anche scegliere quali protocolli abilitare e quali disabilitare.

Ulteriori risorse

CategoryServer CategoryInternet CategoryDaRevisionare