|
Dimensione: 5429
Commento: revisionato qualche cosa...
|
Dimensione: 6584
Commento: revisione completata
|
| Le cancellazioni sono segnalate in questo modo. | Le aggiunte sono segnalate in questo modo. |
| Linea 2: | Linea 2: |
| #format wiki | |
| Linea 3: | Linea 4: |
| ||<tablestyle="float:right; font-size: 0.9em; width:35%; background:#F1F1ED; margin: 0 0 1em 1em;" style="padding:0.5em;">'''Indice''' [[TableOfContents()]]|| | ||<tablestyle="float:right; font-size: 0.9em; width:25%; background:#F1F1ED; margin: 0 0 1em 1em;" style="padding:0.5em;">'''Indice''' [[TableOfContents()]]|| |
| Linea 5: | Linea 6: |
| attachment:logo.jpg [[BR]] [[BR]] | = Introduzione = |
| Linea 7: | Linea 8: |
| '''Wireshark''' è un analizzatore di protocolli o ''packet sniffer'', che permette di monitorare tutto quello che passa attraverso la scheda di rete | ||<style="border:none ;">attachment:logo.jpg ||<style="border:none ;">'''Wireshark''' è un analizzatore di protocolli (''packet sniffer''), che permette di monitorare e filtrare tutti i pacchetti che passano attraverso una o più interfacce di rete || |
| Linea 9: | Linea 10: |
| In questa guida non viene indicato come interpretare i dati che monitorati, in quanto è necessaria un'approfondita conoscenza dei protocolli di rete e dei modelli ISO/OSI e TCP/IP. Viene spiegato come funziona il programma '''Wireshark'''. | ||<tablestyle="text-align: justify; width:75%; " style="border:none;" 5%>[[Immagine(Icone/Piccole/note.png,,center)]] ||<style="padding:0.5em; border:none;">''In questa guida non viene indicato come interpretare i dati monitorati, in quanto è necessaria un'approfondita conoscenza dei protocolli di rete e dei modelli ISO/OSI, nonchè del protocollo TCP/IP.'' || |
| Linea 11: | Linea 12: |
| == Installazione == | = Installazione = |
| Linea 13: | Linea 14: |
| Wireshark è presente nei repository di Ubuntu. Per installarlo, da terminale digitare: {{{ | '''Wireshark''' è presente nei [:Repository:repository] di Ubuntu. Per installarlo, è sufficiente digitare da terminale il seguente comando: {{{ |
| Linea 17: | Linea 18: |
| == Configurazione == | È possibile installare il pacchetto ''wireshark'' anche tramite [:SynapticHowto:Synaptic] e [:AdeptHowTo:Adept]. Una volta installato, per avviare il programma è utile digitare il seguente comando: {{{ sudo wireshark }}} = Configurazione = |
| Linea 21: | Linea 29: |
| Andando nelle '''Option capture''' è possibile configurare il monitoraggio della scheda di rete a vostro piacimento. Per esempio, nel menù a discesa è possibile scegliere la scheda di rete che volete monitorare. A dipendenza della scheda che si sceglie in ''IP Address'' è possibile vedere l'IP e il MAC Address della scheda. | Per configurare il monitoraggio della scheda di rete è utile cliccare su '''''Caption -> Options...'''''. Per esempio, nel menù a tendina è possibile scegliere l'interfaccia di rete che si desidera monitorare. A seconda della propria scheda di rete scelta, è inoltre possibile vedere il relativo indirizzi IP. |
| Linea 23: | Linea 31: |
| In ''Capture file(s)'' è possibile salvare in un file di testo tutto quello che avete modificato. In ''Stop capture'' è possibile fermare la cattura dopo un numero di pacchetti, dopo un massimo di MB o un tempo in minuti. In ''Name Rosolution'' è possibile attivare delle opzioni che sono in grado di risolvere il '''MAC address''', '''transport name''', '''Network name''', di default i primi due sono attivi, ma se si ritiene necessario è possibile abilitare anche io terzo. | All'interno della sezione '''Capture file(s)''' è possibile salvare in un file di testo tutto ciò che verrà ''loggato'' dall'applicazione. In '''Stop capture''' è invece possibile impostare delle condizioni che, quando verificate, comporteranno l'immediato arresto delle operazioni di cattura. In '''Name Rosolution''' è possibile attivare la risoluzione dei nomi della rete. |
| Linea 29: | Linea 37: |
| == Cattura == | = Cattura = |
| Linea 31: | Linea 39: |
| È possibile catturare tutto quello che passa dalla nostra scheda di rete, per fare ciò basta selezionare l'interfaccia che volete monitorare e fare '''start''' [[BR]] attachment:interfaccia.png [[BR]] Quando avete deciso quale interfaccia quale interfaccia di rete modificare, wireshark inizierà a filtrare tutti i dati che passano sulla scheda di rete [[BR]] attachment:cattura2.png [[BR]] Una volta che avete deciso di fermare lo sniffer basta cliccare su '''Stop'''. [[BR]] Una volta finito la cattura, verrà visualizzato tutto quello che è stato sniffato dalla scheda |
Una volta configurato il programma, per avviare il monitoraggio dei pacchetti, è sufficiente cliccare su '''''Capture -> Start'''''. In alternativa, è possibile selezionare le interfacce desiderate dalla voce '''''Capture -> Interfaces...'''''. Apparità la seguente finestra, dalla quale sarà possibile scegliere le singole interfacce per le quali avviare il monitoraggio: attachment:interfaccia.png Una volta cliccato su «'''Start'''», '''wireshark''' inizierà a ''sniffare'' i pacchetti. attachment:cattura2.png Per terminare le operazioni è sufficiente cliccare su «'''Stop'''». Terminata la cattura, verrà mostrato il log contenente tutti i pacchetti inviati e ricevuti attraverso la propria rete. |
| Linea 39: | Linea 52: |
| == Filtri == Con wireshark è anche possibile impostare dei filtri, il programma in se ne offre già, ma si possono anche fare anche dei filtri personalizzati |
= Filtri = |
| Linea 42: | Linea 54: |
| '''Wireshark''' consente di impostare dei filtri: con il programma ve vengono offerti alcuni già pre-impostati, è inoltre possibile crearne altri personalizzati. | |
| Linea 43: | Linea 56: |
| === Esempi di filtri === Come detto in precedenza wireshark, mette a disposizione già dei filtri, ecco la spiegazione di un qualche filtro |
Di seguito vengono elencati i filtri più comuni: |
| Linea 46: | Linea 58: |
| * IP address 192.168.0.1 [[BR]] '''Filtro:''' ip.addr == 192.168.0.1 [[BR]] '''Descrizione:''' Filtrare tutte le righe che hanno a che fare con l'IP 192.168.0.1 |
||<style="background-color:#E95E5E ;":>'''Nome''' ||<style="background-color:#E95E5E ;":>'''Filtro''' ||<style="background-color:#E95E5E ;":>'''Descrizione''' || || IP address 192.168.0.1 || ip.addr == 192.168.0.1 || Filtrare tutte le righe che hanno a che fare con l'IP 192.168.0.1 || || No ARP || not arp || Visualizzare tutti i protocolli tranne ARP || || TCP only || tcp || Visualizzare solo il protocollo TCP || || No ARP and no DNS || not arp and !(udp.port == 53) || Non visualizza le informazioni riguardanti il protocollo ARP e tutte le porte UDP 53 || |
| Linea 50: | Linea 64: |
| * No ARP [[BR]] '''Filtro:''' not arp [[BR]] '''Descrizione:''' Visualizzare tutti i protocolli tranne ARP |
== Creare un filtro == |
| Linea 54: | Linea 66: |
| * TCP only [[BR]] '''Filtro:''' tcp [[BR]] '''Descrizione:''' Visualizzare solo il protocollo TCP |
È possibile creare dei filtri personalizzati: '''wireshark''' visualizzerà solo i dati rientreranno nelle condizioni del filtro. |
| Linea 58: | Linea 68: |
| * No ARP and no DNS [[BR]] '''Filtro:''' not arp and !(udp.port == 53) [[BR]] '''Descrizione:''' Non visualizza le informazioni riguardanti il protocollo ARP e tutte le porte UDP 53 |
A tale scopo si può procedere cliccando su '''''Analyze -> Display Filters...'''''. Verrà visualizzata una finestra, all'interno della quale si trovano tutti i filtri già configurati. Per creare un nuovo filtro è sufficiente assegnargli un nome e cliccare su «'''Nuovo'''». Per configurare i parametri relativi ai pacchetti e agli indirizzi da filtrare, cliccare su «'''Expression...'''»: si aprirà una finestra dalla quale sarà possibile scegliere il tipo di pacchetto e i relativi parametri. |
| Linea 62: | Linea 70: |
| === Creare un filtro === È possibile anche creare dei filtri personalizzati, dove verrannò visualizzati solo i dati che comprendono il filtro. Per esempio si può fare un filtro che visualizzi solo la porta TCP 60754 Fare clic su '''Filtro''' e poi creare un nuovo e dare un nome. Dare il nome al filtro, per esempio '''TCP porta ???''' e cliccare su '''Expression...''', aprire il menu a tendina '''TCP''' e scegliere '''tcpsrcport - Source Port''', in ''Relation'' mettere == e in ''Value'' mettere il nome della porta '''60754''' |
Per esempio, si potrebbe decidere di creare un filtro che mostri il traffico dei pacchetti solo esclusivamente per la porta TCP 60754. All'interno di '''Wireshark Dsplay Filter''', digitare il seguente testo all'interno della casella «'''Filter name'''»: {{{ TCP porta 60754 }}} Infine cliccare su «'''Nuovo'''», dunque su «'''Expression...'''». All'interno della finestra '''Wireshark Filter Expression''' scegliere la voce '''''TCP -> tcpsrcport - Source Port''''', dunque selezionare «'''=='''» all'interno di «'''Relation'''», infine, in «'''Value'''», impostare 60754 come numero della porta. |
| Linea 74: | Linea 81: |
| == Protocolli == | = Protocolli supportati = |
| Linea 81: | Linea 88: |
| Ma questi non sono gli unici che Wireshark è in grado di sopportare, per vedere la lista completa dei protocolli sopportati la si può trovare in '''Analyze -> enabled protocols...''', da quel menu è anche possibile scegliere di abilitare o disabilitare dei protocolli. | La lista completa dei protocolli supportati dall'applicazione si può visualizzare da '''''Analyze -> enabled protocols...'''''; dallo stesso menu è possibile anche scegliere quali protocolli abilitare e quali disabilitare. |
| Linea 85: | Linea 93: |
| = Ulteriori risorse = | |
| Linea 86: | Linea 95: |
| == Ulteriori risorse == |
* [http://www.wireshark.org/ Sito ufficiale Wireshark] * [http://www.wireshark.org/docs/wsug_html/ Guida ufficiale Wireshark] |
| Linea 91: | Linea 100: |
| * [http://www.wireshark.org/ Sito ufficiale Wireshark] * [http://www.wireshark.org/docs/wsug_html/ Guida ufficiale Wireshark] |
Indice TableOfContents() |
Introduzione
attachment:logo.jpg |
Wireshark è un analizzatore di protocolli (packet sniffer), che permette di monitorare e filtrare tutti i pacchetti che passano attraverso una o più interfacce di rete |
In questa guida non viene indicato come interpretare i dati monitorati, in quanto è necessaria un'approfondita conoscenza dei protocolli di rete e dei modelli ISO/OSI, nonchè del protocollo TCP/IP. |
Installazione
Wireshark è presente nei [:Repository:repository] di Ubuntu. Per installarlo, è sufficiente digitare da terminale il seguente comando:
sudo apt-get install wireshark
È possibile installare il pacchetto wireshark anche tramite [:SynapticHowto:Synaptic] e [:AdeptHowTo:Adept].
Una volta installato, per avviare il programma è utile digitare il seguente comando:
sudo wireshark
Configurazione
Immagine(Wireshark/Opzioni.png,500,right)
Per configurare il monitoraggio della scheda di rete è utile cliccare su Caption -> Options.... Per esempio, nel menù a tendina è possibile scegliere l'interfaccia di rete che si desidera monitorare. A seconda della propria scheda di rete scelta, è inoltre possibile vedere il relativo indirizzi IP.
All'interno della sezione Capture file(s) è possibile salvare in un file di testo tutto ciò che verrà loggato dall'applicazione. In Stop capture è invece possibile impostare delle condizioni che, quando verificate, comporteranno l'immediato arresto delle operazioni di cattura. In Name Rosolution è possibile attivare la risoluzione dei nomi della rete.
Cattura
Una volta configurato il programma, per avviare il monitoraggio dei pacchetti, è sufficiente cliccare su Capture -> Start. In alternativa, è possibile selezionare le interfacce desiderate dalla voce Capture -> Interfaces.... Apparità la seguente finestra, dalla quale sarà possibile scegliere le singole interfacce per le quali avviare il monitoraggio:
attachment:interfaccia.png
Una volta cliccato su «Start», wireshark inizierà a sniffare i pacchetti.
attachment:cattura2.png
Per terminare le operazioni è sufficiente cliccare su «Stop». Terminata la cattura, verrà mostrato il log contenente tutti i pacchetti inviati e ricevuti attraverso la propria rete.
attachment:log.png
Filtri
Wireshark consente di impostare dei filtri: con il programma ve vengono offerti alcuni già pre-impostati, è inoltre possibile crearne altri personalizzati.
Di seguito vengono elencati i filtri più comuni:
Nome |
Filtro |
Descrizione |
IP address 192.168.0.1 |
ip.addr == 192.168.0.1 |
Filtrare tutte le righe che hanno a che fare con l'IP 192.168.0.1 |
No ARP |
not arp |
Visualizzare tutti i protocolli tranne ARP |
TCP only |
tcp |
Visualizzare solo il protocollo TCP |
No ARP and no DNS |
not arp and !(udp.port == 53) |
Non visualizza le informazioni riguardanti il protocollo ARP e tutte le porte UDP 53 |
Creare un filtro
È possibile creare dei filtri personalizzati: wireshark visualizzerà solo i dati rientreranno nelle condizioni del filtro.
A tale scopo si può procedere cliccando su Analyze -> Display Filters.... Verrà visualizzata una finestra, all'interno della quale si trovano tutti i filtri già configurati. Per creare un nuovo filtro è sufficiente assegnargli un nome e cliccare su «Nuovo». Per configurare i parametri relativi ai pacchetti e agli indirizzi da filtrare, cliccare su «Expression...»: si aprirà una finestra dalla quale sarà possibile scegliere il tipo di pacchetto e i relativi parametri.
Per esempio, si potrebbe decidere di creare un filtro che mostri il traffico dei pacchetti solo esclusivamente per la porta TCP 60754. All'interno di Wireshark Dsplay Filter, digitare il seguente testo all'interno della casella «Filter name»:
TCP porta 60754
Infine cliccare su «Nuovo», dunque su «Expression...». All'interno della finestra Wireshark Filter Expression scegliere la voce TCP -> tcpsrcport - Source Port, dunque selezionare «==» all'interno di «Relation», infine, in «Value», impostare 60754 come numero della porta.
Una volta applicato il filtro ecco il risultato:
attachment:filtro.png
Protocolli supportati
Wireshark è in grado di leggere un grosso numero di protocolli, i principali sono:
TCP: (Transmission Control Protocol) è un protocollo corrispondente al livello 4 (trasporto) del modello di riferimento OSI.
UDP: (User Datagram Protocol) è un protocollo di trasporto a pacchetto. È usato di solito in combinazione con il protocollo IP.
ICMP: (Internet Control Message Protocol) è un protocollo di servizio che si preoccupa di trasmettere informazioni riguardanti malfunzionamenti.
ARP: (Address Resolution Protocol) è un protocollo che fornisce la "mappatura" tra l'indirizzo IP di un calcolatore e il suo MAC address.
La lista completa dei protocolli supportati dall'applicazione si può visualizzare da Analyze -> enabled protocols...; dallo stesso menu è possibile anche scegliere quali protocolli abilitare e quali disabilitare.
attachment:protocollo.png
Ulteriori risorse
[http://www.wireshark.org/ Sito ufficiale Wireshark]
[http://www.wireshark.org/docs/wsug_html/ Guida ufficiale Wireshark]
[http://it.wikipedia.org/wiki/Suite_di_protocolli_Internet Suite dei protoccolli] Se volete usare in modo approfondito Wireshark dovete avere una buona conoscenza dei protocolli di rete
[http://it.wikipedia.org/wiki/Modello_ISO/OSI Modello ISO/OSI] Bisogna anche avere conoscenze del modello ISO/OSI
[http://it.wikipedia.org/wiki/TCP/IP Modello TCP/IP] Per finire bisogna anche conoscere il modello TCP/IP
