Indice TableOfContents() |
Introduzione
attachment:logo.jpg |
Wireshark è un analizzatore di protocolli (packet sniffer), che permette di monitorare e filtrare tutti i pacchetti che passano attraverso una o più interfacce di rete |
In questa guida non viene indicato come interpretare i dati monitorati, in quanto è necessaria un'approfondita conoscenza dei protocolli di rete e dei modelli ISO/OSI, nonchè del protocollo TCP/IP. |
Installazione
Wireshark è presente nei [:Repository:repository] di Ubuntu. Per installarlo, è sufficiente digitare da terminale il seguente comando:
sudo apt-get install wireshark
È possibile installare il pacchetto wireshark anche tramite [:SynapticHowto:Synaptic] e [:AdeptHowTo:Adept].
Una volta installato, per avviare il programma è utile digitare il seguente comando:
sudo wireshark
Configurazione
Immagine(Wireshark/Opzioni.png,500,right)
Per configurare il monitoraggio della scheda di rete è utile cliccare su Caption -> Options.... Per esempio, nel menù a tendina è possibile scegliere l'interfaccia di rete che si desidera monitorare. A seconda della propria scheda di rete scelta, è inoltre possibile vedere il relativo indirizzi IP.
All'interno della sezione Capture file(s) è possibile salvare in un file di testo tutto ciò che verrà loggato dall'applicazione. In Stop capture è invece possibile impostare delle condizioni che, quando verificate, comporteranno l'immediato arresto delle operazioni di cattura. In Name Rosolution è possibile attivare la risoluzione dei nomi della rete.
Cattura
Una volta configurato il programma, per avviare il monitoraggio dei pacchetti, è sufficiente cliccare su Capture -> Start. In alternativa, è possibile selezionare le interfacce desiderate dalla voce Capture -> Interfaces.... Apparità la seguente finestra, dalla quale sarà possibile scegliere le singole interfacce per le quali avviare il monitoraggio:
attachment:interfaccia.png
Una volta cliccato su «Start», wireshark inizierà a sniffare i pacchetti.
attachment:cattura2.png
Per terminare le operazioni è sufficiente cliccare su «Stop». Terminata la cattura, verrà mostrato il log contenente tutti i pacchetti inviati e ricevuti attraverso la propria rete.
attachment:log.png
Filtri
Wireshark consente di impostare dei filtri: con il programma ve vengono offerti alcuni già pre-impostati, è inoltre possibile crearne altri personalizzati.
Di seguito vengono elencati i filtri più comuni:
Nome |
Filtro |
Descrizione |
IP address 192.168.0.1 |
ip.addr == 192.168.0.1 |
Filtrare tutte le righe che hanno a che fare con l'IP 192.168.0.1 |
No ARP |
not arp |
Visualizzare tutti i protocolli tranne ARP |
TCP only |
tcp |
Visualizzare solo il protocollo TCP |
No ARP and no DNS |
not arp and !(udp.port == 53) |
Non visualizza le informazioni riguardanti il protocollo ARP e tutte le porte UDP 53 |
Creare un filtro
È possibile anche creare dei filtri personalizzati, dove verrannò visualizzati solo i dati che comprendono il filtro.
Per esempio si può fare un filtro che visualizzi solo la porta TCP 60754 Fare clic su Filtro e poi creare un nuovo e dare un nome. Dare il nome al filtro, per esempio TCP porta ??? e cliccare su Expression..., aprire il menu a tendina TCP e scegliere tcpsrcport - Source Port, in Relation mettere == e in Value mettere il nome della porta 60754
Una volta applicato il filtro ecco il risultato:
attachment:filtro.png
Protocolli supportati
Wireshark è in grado di leggere un grosso numero di protocolli, i principali sono:
TCP: (Transmission Control Protocol) è un protocollo corrispondente al livello 4 (trasporto) del modello di riferimento OSI.
UDP: (User Datagram Protocol) è un protocollo di trasporto a pacchetto. È usato di solito in combinazione con il protocollo IP.
ICMP: (Internet Control Message Protocol) è un protocollo di servizio che si preoccupa di trasmettere informazioni riguardanti malfunzionamenti.
ARP: (Address Resolution Protocol) è un protocollo che fornisce la "mappatura" tra l'indirizzo IP di un calcolatore e il suo MAC address.
Ma questi non sono gli unici che Wireshark è in grado di sopportare, per vedere la lista completa dei protocolli sopportati la si può trovare in Analyze -> enabled protocols..., da quel menu è anche possibile scegliere di abilitare o disabilitare dei protocolli.
attachment:protocollo.png
Ulteriori risorse
[http://it.wikipedia.org/wiki/Suite_di_protocolli_Internet Suite dei protoccolli] Se volete usare in modo approfondito Wireshark dovete avere una buona conoscenza dei protocolli di rete
[http://it.wikipedia.org/wiki/Modello_ISO/OSI Modello ISO/OSI] Bisogna anche avere conoscenze del modello ISO/OSI
[http://it.wikipedia.org/wiki/TCP/IP Modello TCP/IP] Per finire bisogna anche conoscere il modello TCP/IP
[http://www.wireshark.org/ Sito ufficiale Wireshark]
[http://www.wireshark.org/docs/wsug_html/ Guida ufficiale Wireshark]
