|
Dimensione: 6089
Commento:
|
Dimensione: 5806
Commento:
|
| Le cancellazioni sono segnalate in questo modo. | Le aggiunte sono segnalate in questo modo. |
| Linea 14: | Linea 14: |
| Linea 15: | Linea 17: |
| ||<tablestyle="text-align: justify; width:90%; " style="border:none;" 5%^>[http://img352.imageshack.us/img352/9955/schermatawiresharkcaptuss9.png] ||<style="padding:0.5em; border:none;">'''Andando nelle Option capture è possibile configurare il monitoraggio della scheda di rete a vostro piacimento '''[[BR]] Per esempio nel menu a tendina è possibile scegliere la scheda di rete che volete monitorare. A dipendenza della scheda che si sceglie in ''IP Address'' è possibile vedere l'IP e il MAC Address della scheda. [[BR]] In ''Capture file(s)'' è possibile salvare in un file di testo tutto quello che avete modificato. [[BR]]In ''Stop capture'' è possibile: [[BR]]'''fermale la cattura dopo un numero di pacchetti''' [[BR]]'''fermale la cattura dopo un massimo di MB''' [[BR]] '''Un tempo in minuti''' [[BR]] In ''Name Rosolution'' è possibile attivare delle opzioni che sono in grado di risolvere il '''MAC address''', '''transport name''', '''Network name''', di default i primi 2 sono attivi, ma se si ritiene necessario è possibile abilitare anche io terzo. || | ||<tablestyle="text-align: justify; width:90%; " style="border:none;" 5%^>attachment:Opzioni.png ||<style="padding:0.5em; border:none;">'''Andando nelle Option capture è possibile configurare il monitoraggio della scheda di rete a vostro piacimento '''[[BR]] Per esempio nel menu a tendina è possibile scegliere la scheda di rete che volete monitorare. A dipendenza della scheda che si sceglie in ''IP Address'' è possibile vedere l'IP e il MAC Address della scheda. [[BR]] In ''Capture file(s)'' è possibile salvare in un file di testo tutto quello che avete modificato. [[BR]]In ''Stop capture'' è possibile: [[BR]]'''fermale la cattura dopo un numero di pacchetti''' [[BR]]'''fermale la cattura dopo un massimo di MB''' [[BR]] '''Un tempo in minuti''' [[BR]] In ''Name Rosolution'' è possibile attivare delle opzioni che sono in grado di risolvere il '''MAC address''', '''transport name''', '''Network name''', di default i primi 2 sono attivi, ma se si ritiene necessario è possibile abilitare anche io terzo. || |
| Linea 19: | Linea 21: |
| [[BR]] http://img110.imageshack.us/img110/4476/schermatawiresharkcaptusu6.png [[BR]] | [[BR]] attachment:interfaccia.png [[BR]] |
| Linea 21: | Linea 23: |
| [[BR]] http://img359.imageshack.us/img359/5664/schermatawiresharkcaptugm2.png [[BR]] | [[BR]] attachment:cattura2.png [[BR]] |
| Linea 24: | Linea 26: |
| http://img362.imageshack.us/img362/8537/schermatauntitledwireshal1.png | attachment:log.png |
| Linea 56: | Linea 58: |
| http://img475.imageshack.us/img475/2617/schermatauntitledwiresheq3.png | attachment:filtro.png |
| Linea 65: | Linea 67: |
| http://img463.imageshack.us/img463/3849/schermatawiresharkenabldm6.png | attachment:protocollo.png |
attachment:logo.jpg BR Wireshark è un analizzatore di protocolli o packet sniffer, che permetti di monitorare tutto quello che passa dalla nostra scheda di rete
In questo wiki non spiego come interpretare i dati che vengono monitorati,in quanto bisogna avere una approfondita conoscenza dei protoccolli di rete e dei modelli ISO/OSI e TCP/IP , ma verrà spiegato semplicemente come funziona il programma Wireshark : |
Installazione
Wireshark è presente nei repository, per installarlo basta lanciare il comando {{{sudo apt-get install wireshark }}}
Configurazione
attachment:Opzioni.png |
Andando nelle Option capture è possibile configurare il monitoraggio della scheda di rete a vostro piacimento BR Per esempio nel menu a tendina è possibile scegliere la scheda di rete che volete monitorare. A dipendenza della scheda che si sceglie in IP Address è possibile vedere l'IP e il MAC Address della scheda. BR In Capture file(s) è possibile salvare in un file di testo tutto quello che avete modificato. BRIn Stop capture è possibile: BRfermale la cattura dopo un numero di pacchetti BRfermale la cattura dopo un massimo di MB BR Un tempo in minuti BR In Name Rosolution è possibile attivare delle opzioni che sono in grado di risolvere il MAC address, transport name, Network name, di default i primi 2 sono attivi, ma se si ritiene necessario è possibile abilitare anche io terzo. |
Cattura
È possibile catturare tutto quello che passa dalla nostra scheda di rete, per fare ciò basta selezionare l'interfaccia che volete monitorare e fare start BR attachment:interfaccia.png BR Quando avete deciso quale interfaccia quale interfaccia di rete modificare, wireshark inizierà a filtrare tutti i dati che passano sulla scheda di rete BR attachment:cattura2.png BR Una volta che avete deciso di fermare lo sniffer basta cliccare su Stop. BR Una volta finito la cattura, verrà visualizzato tutto quello che è stato sniffato dalla scheda attachment:log.png
Filtri
Con wireshark è anche possibile impostare dei filtri, il programma in se ne offre già, ma si possono anche fare anche dei filtri personalizzati
Esempi di filtri
Come detto in precedenza wireshark, mette a disposizione già dei filtri, ecco la spiegazione di un qualche filtro
IP address 192.168.0.1 BR
Filtro: ip.addr == 192.168.0.1 BR Descrizione: Filtrare tutte le righe che hanno a che fare con l'IP 192.168.0.1
No ARP BR
Filtro: not arp BR Descrizione: Visualizzare tutti i protocolli tranne ARP
TCP only BR
Filtro: tcp BR Descrizione: Visualizzare solo il protocollo TCP
No ARP and no DNS BR
Filtro: not arp and !(udp.port == 53) BR Descrizione: Non visualizza le informazioni riguardanti il protocollo ARP e tutte le porte UDP 53
Creare un filtro
È possibile anche creare dei filtri personalizzati, dove verrannò visualizzati solo i dati che comprendono il filtro. BR Per esempio si può fare un filtro che visualizzi solo la porta TCP 60754 Cliccare su Filtro e poi creare un nuovo e dare un nome. Dare il nome al filtro, per esempio TCP porta ??? e cliccare su Expression..., aprire il menu a tendina TCP e scegliere tcpsrcport - Source Port, in Relation mettere == e in Value mettere il nome della porta 60754
Una volta applicato il filtro ecco il risultato BR attachment:filtro.png
Protocolli
Wireshark è in grado di leggere un grosso numero di protocolli, i principali sono:
TCP: (Transmission Control Protocol) è un protocollo corrispondente al livello 4 (trasporto) del modello di riferimento OSI.
UDP: (User Datagram Protocol) è un protocollo di trasporto a pacchetto. È usato di solito in combinazione con il protocollo IP.
ICMP: (Internet Control Message Protocol) è un protocollo di servizio che si preoccupa di trasmettere informazioni riguardanti malfunzionamenti.
ARP: (Address Resolution Protocol) è un protocollo che fornisce la "mappatura" tra l'indirizzo IP di un calcolatore e il suo MAC address.
Ma questi non sono gli unici che Wireshark è in grado di sopportare, per vedere la lista completa dei protocolli sopportati la si può trovare in Analyze -> enabled protocols..., da quel menu è anche possibile scegliere di abilitare o disabilitare dei protocolli. BR attachment:protocollo.png
Conclusioni
Per motivi di privacy ho preferito nascondere gli indirizzi IP presenti negli screenshot
Ulteriori informazioni
[http://it.wikipedia.org/wiki/Suite_di_protocolli_Internet Suite dei protoccolli] Se volete usare in modo approfondito Wireshark dovete avere una buona conoscenza dei protocolli di rete BR [http://it.wikipedia.org/wiki/Modello_ISO/OSI Modello ISO/OSI] Bisogna anche avere conoscenze del modello ISO/OSI BR [http://it.wikipedia.org/wiki/TCP/IP Modello TCP/IP] Per finire bisogna anche conosche il modello TCP/IP BR [http://www.wireshark.org/ Sito ufficiale Wireshark] BR [http://www.wireshark.org/docs/wsug_html/ Guida ufficiale Wireshark] BR
