Come usare Wireshark [Tutorial]

Cosa fa Wireshark?

Negli ultimi anni, Wireshark ha sviluppato una reputazione come uno degli analizzatori di rete più affidabili disponibili sul mercato. Gli utenti di tutto il mondo hanno utilizzato questa applicazione open source come uno strumento di analisi di rete completo. Tramite Wireshark, gli utenti possono risolvere i problemi di rete, esaminare i problemi di sicurezza, i protocolli di debug e apprendere i processi di rete.

In questo tutorial, scoprirai come funziona Wireshark. Ti guideremo attraverso i passaggi per localizzare il programma Wireshark e installarlo sul tuo computer. Scoprirai come avviare un’acquisizione di pacchetti e quali informazioni puoi aspettarti di trarne. Il tutorial di Wireshark ti mostrerà anche come ottenere il meglio dalle funzioni di manipolazione dei dati all’interno dell’interfaccia. Imparerai anche come ottenere funzioni di analisi dei dati migliori rispetto a quelle native di Wireshark.

Come usare Wireshark

Come accennato in precedenza, Wireshark è uno strumento di analisi della rete. Alla base, Wireshark è stato progettato per suddividere i pacchetti di dati trasferiti su reti diverse. L’utente può cercare e filtrare pacchetti di dati specifici e analizzare come vengono trasferiti attraverso la propria rete. Questi pacchetti possono essere utilizzati per l’analisi in tempo reale o offline.

L’utente può utilizzare queste informazioni per generare statistiche e grafici. Wireshark era originariamente noto come Ethereal, ma da allora si è affermato come uno dei principali strumenti di analisi della rete sul mercato. Questo è lo strumento ideale per gli utenti che desiderano visualizzare i dati generati da reti e protocolli diversi.

Wireshark è adatto sia ai principianti che agli utenti esperti. L’interfaccia utente è incredibilmente semplice da usare una volta appresi i passaggi iniziali per acquisire i pacchetti. Gli utenti più esperti possono utilizzare gli strumenti di decrittografia della piattaforma per suddividere anche i pacchetti crittografati.

Caratteristiche principali di Wireshark

Di seguito è riportato un dettaglio delle funzionalità principali di Wireshark:

•  Cattura dati di pacchetti live
•  Importa pacchetti da file di testo
•  Visualizza i dati dei pacchetti e le informazioni sul protocollo
•  Salva i dati dei pacchetti acquisiti
•  Visualizza pacchetti
•  Pacchetti di filtri
•  Cerca pacchetti
•  Colorare i pacchetti
•  Genera statistiche

La maggior parte degli utenti utilizza Wireshark per rilevare problemi di rete e testare il proprio software. Come progetto open source, Wireshark è gestito da un team unico che mantiene elevati gli standard di servizio. In questa guida, analizziamo come usare Wireshark. Ulteriori informazioni sono disponibili nella guida dell’utente ufficiale di Wireshark.

Come scaricare e installare Wireshark

Prima di utilizzare Wireshark, la prima cosa che devi fare è scaricare e installare. Puoi scaricare Wireshark gratuitamente dal sito Web dell’azienda. Per avere un’esperienza di esecuzione più fluida, si consiglia di scaricare l’ultima versione disponibile sulla piattaforma dalla sezione “versione stabile”.

Installa su Windows

Dopo aver scaricato il programma, puoi avviare la procedura di installazione. Durante l’installazione, potrebbe essere richiesto di installare WinPcap. È importante installare WinPcap poiché senza di esso non sarai in grado di acquisire traffico di rete in tempo reale. Senza WinPcap sarai in grado di aprire solo i file di acquisizione salvati. Per installare, basta controllare il Installa WinPcap scatola.

Installa su Mac

Per installare Wireshark su Mac devi prima scaricare un programma di installazione. Per fare ciò, scarica un programma di installazione come exquartz. Una volta fatto questo, apri il Terminale e inserisci il seguente comando:

<% /Applications/Wireshark.app/Contents/Mac0S/Wireshark>

Quindi attendere l’avvio di Wireshark.

Installa su Unix

Per eseguire Wireshark su Unix, devi prima installare un paio di altri strumenti sul tuo sistema. Questi sono:

• GTK+, GIMP Tool Kit e Glib, entrambi della stessa fonte.
• Avrai anche bisogno facondo. Puoi familiarizzare con entrambi gli strumenti su https://www.gtk.org/
• libpcap, che ottieni da http://www.tcpdump.org/.

Dopo aver installato il software di supporto sopra indicato e scaricato il software per Wireshark, è necessario estrarlo dal file tar.

gzip -d WireShark-1.2-tar.gz
tar xvf WireShark-1.2-tar

Passare alla directory Wireshark e quindi immettere i seguenti comandi:

./ configure
rendere
fare l’installazione

Ora puoi eseguire il programma Wireshark sul tuo computer Unix.

Come acquisire i pacchetti di dati

Una delle funzioni principali di Wireshark come strumento di analisi della rete è l’acquisizione di pacchetti di dati. Imparare come configurare Wireshark per acquisire i pacchetti è essenziale per condurre un’analisi dettagliata della rete. Tuttavia, è importante notare che può essere difficile acquisire pacchetti quando sei nuovo su Wireshark. Prima di iniziare a catturare i pacchetti, ci sono tre cose che devi fare:

1. Assicurarsi di disporre dei privilegi di amministratore per avviare un’acquisizione live sul tuo dispositivo
2. Scegli l’interfaccia di rete corretta per acquisire i dati dei pacchetti da
3. Catturare dati del pacchetto dalla posizione corretta nella tua rete

Una volta che hai fatto queste tre cose, sei pronto per iniziare il processo di acquisizione. Quando si utilizza Wireshark per acquisire i pacchetti, questi vengono visualizzati in un formato leggibile dall’uomo per renderli leggibili per l’utente. Puoi anche suddividere i pacchetti con filtri e codici colore se desideri vedere informazioni più specifiche.

Quando apri Wireshark per la prima volta, verrai accolto dalla seguente schermata di avvio:

La prima cosa che devi fare è guardare le interfacce disponibili per l’acquisizione. Per fare ciò, selezionare Catturare > Opzioni. La finestra di dialogo “Capture Interfaces” si aprirà quindi come mostrato di seguito:

Seleziona la casella dell’interfaccia che vuoi catturare e premi il tasto Inizio pulsante per iniziare. È possibile selezionare più interfacce se si desidera acquisire dati da più origini contemporaneamente.

Su Unix o Linux, la finestra di dialogo è mostrata in uno stile simile come questo:

Puoi anche avviare Wireshark usando la seguente riga di comando:

<¢ wirehark -i eth0 —k>

Puoi anche usare il pulsante pinna di squalo sulla barra degli strumenti come scorciatoia per avviare l’acquisizione dei pacchetti. Dopo aver fatto clic su questo pulsante, Wireshark avvierà il processo di acquisizione live.

Se si desidera interrompere l’acquisizione, fare clic sul rosso fermare pulsante accanto alla pinna di squalo.

Modalità promiscua

Se si desidera sviluppare una vista dall’alto dei trasferimenti di pacchetti di rete, è necessario attivare la “modalità promiscua”. La modalità promiscua è una modalità di interfaccia in cui Wireshark dettaglia ogni pacchetto che vede. Quando questa modalità è disattivata, si perde trasparenza sulla rete e si sviluppa solo un’istantanea limitata della rete (ciò rende più difficile condurre qualsiasi analisi).

Per attivare la modalità promiscua, fare clic su Opzioni di acquisizione finestra di dialogo e fare clic modalità promiscua. In teoria, questo dovrebbe mostrarti tutto il traffico attivo sulla tua rete. La casella della modalità promiscua è mostrata di seguito:

Tuttavia, spesso non è così. Molte interfacce di rete sono resistenti alla modalità promiscua, quindi è necessario controllare il sito Web di Wireshark per informazioni sul proprio hardware specifico.

Su Windows, è utile aprirlo Gestore dispositivi e verifica se le impostazioni sono configurate per rifiutare la modalità promiscua. Per esempio:

(Fai semplicemente clic su rete e assicurati che le impostazioni della modalità promiscua siano impostate su Permettere tutto).

Se le impostazioni sono impostate su “rifiuta” la modalità promiscua, limiterai il numero di pacchetti acquisiti da Wireshark. Quindi, anche se hai attivato la modalità promiscua su Wireshark, controlla Gestione dispositivi per assicurarti che la tua interfaccia non blocchi i dati. Prendersi il tempo per controllare attraverso l’infrastruttura di rete garantirà che Wireshark riceva tutti i pacchetti di dati necessari.

Come analizzare i pacchetti acquisiti

Dopo aver acquisito i dati di rete, ti consigliamo di esaminare i pacchetti acquisiti. Nello screenshot qui sotto vedrai tre riquadri, il elenco dei pacchetti riquadro, il byte di pacchetto riquadro e il dettagli del pacchetto Pannello.

Se vuoi maggiori informazioni, puoi fare clic su uno dei campi in ciascun pacchetto per vedere di più. Quando fai clic su un pacchetto, ti viene mostrata una suddivisione dei suoi byte interni nella sezione di visualizzazione byte.

Elenco dei pacchetti

Il riquadro dell’elenco dei pacchetti viene visualizzato nella parte superiore dello screenshot. Ogni pezzo è suddiviso in un numero con informazioni su ora, fonte, destinazione, protocollo e supporto.

Dettagli pacchetto

I dettagli del pacchetto possono essere trovati nel mezzo, mostrando i protocolli del pacchetto scelto. Puoi espandere ogni sezione facendo clic sulla freccia accanto alla tua riga di scelta. È inoltre possibile applicare filtri aggiuntivi facendo clic con il pulsante destro del mouse sull’elemento selezionato.

Byte pacchetto

Il riquadro dei byte del pacchetto è mostrato nella parte inferiore della pagina. Questo riquadro mostra i dati interni del pacchetto selezionato. Se si evidenzia parte dei dati in questa sezione, anche le informazioni corrispondenti vengono evidenziate nel riquadro dei dettagli del pacchetto. Per impostazione predefinita, tutti i dati sono mostrati in formato esadecimale. Se si desidera modificarlo nel formato bit, fare clic con il pulsante destro del mouse sul riquadro e selezionare questa opzione dal menu di scelta rapida.

Come utilizzare Wireshark per analizzare le prestazioni della rete

Se si desidera utilizzare Wireshark per ispezionare la rete e analizzare tutto il traffico attivo, è necessario chiudere tutte le applicazioni attive sulla rete. Ciò ridurrà il traffico al minimo in modo da poter vedere più chiaramente cosa sta succedendo sulla tua rete. Tuttavia, anche se disattivi tutte le tue applicazioni, avrai comunque una serie di pacchetti inviati e ricevuti.

L’uso di Wireshark per filtrare questi pacchetti è il modo migliore per fare il punto dei dati di rete. Quando la connessione è attiva, migliaia di pacchetti vengono trasferiti attraverso la rete ogni secondo. Ciò significa che è essenziale filtrare le informazioni di cui non hai bisogno per avere un quadro chiaro di ciò che sta accadendo.

Cattura filtri e filtri di visualizzazione

Cattura i filtri e Visualizza filtri sono due tipi di filtri distinti che possono essere utilizzati su Wireshark. I filtri di acquisizione vengono utilizzati per ridurre le dimensioni dell’acquisizione di pacchetti in entrata, essenzialmente filtrando altri pacchetti durante l’acquisizione attiva dei pacchetti. Di conseguenza, i filtri di acquisizione vengono impostati prima di iniziare il processo di acquisizione live.

I filtri di acquisizione non possono essere modificati dopo l’avvio di una cattura. D’altro canto, Visualizza filtri può essere utilizzato per filtrare i dati che sono già stati registrati. I filtri di acquisizione determinano quali dati vengono acquisiti dal monitoraggio della rete live e i filtri di visualizzazione determinano i dati visualizzati quando si guardano i pacchetti acquisiti in precedenza.

Se vuoi iniziare a filtrare i tuoi dati, uno dei modi più semplici per farlo è usare la casella filtro sotto la barra degli strumenti. Ad esempio, se si digita HTTP nella casella del filtro, verrà fornito un elenco di tutti i pacchetti HTTP acquisiti. Quando inizi a digitare, ti verrà visualizzato un campo di completamento automatico. La casella del filtro è mostrata di seguito:

È possibile utilizzare centinaia di filtri diversi per suddividere le informazioni sui pacchetti, da 104apci a zvt. Un ampio elenco è disponibile sul sito Web di Wireshark qui. Puoi anche scegliere un filtro facendo clic sull’icona del segnalibro a sinistra del campo di inserimento. Ciò consentirà di visualizzare un menu di filtri popolari.

Se si sceglie di impostare un filtro di acquisizione, le modifiche diventeranno effettive una volta avviata la registrazione del traffico in tempo reale. Per attivare un filtro di visualizzazione, è sufficiente fare clic sulla freccia a destra del campo di inserimento. In alternativa, puoi fare clic Analizzare > Visualizza filtri e scegli un filtro dall’elenco dei valori predefiniti.

Dopo aver scelto un filtro, è possibile visualizzare la conversazione TCP dietro un pacchetto. Per fare ciò, fare clic con il tasto destro sul pacchetto e fare clic su Segui > Flusso TCP. Questo ti mostrerà lo scambio TCP tra client e server.

Se desideri maggiori informazioni sul filtro di Wireshark, la guida di Wireshark per visualizzare i filtri è un buon punto di riferimento.

Utilizzo della codifica a colori

Oltre a filtrare quali pacchetti vengono mostrati o registrati, la funzione di codifica a colori di Wireshark rende più semplice per l’utente identificare i diversi tipi di pacchetti in base al loro colore. Ad esempio, il traffico TCP è indicato da viola chiaro e il traffico UDP è indicato da azzurro. È importante notare che il nero viene utilizzato per evidenziare i pacchetti con errori.

Sulle impostazioni predefinite di Wireshark, puoi scegliere tra circa 20 colori. È possibile modificare, disabilitare o eliminare questi. Se si desidera disattivare la colorazione, fare clic su Visualizza menu e fare clic Colorize Elenco dei pacchetti campo per disattivarlo. Se desideri visualizzare ulteriori informazioni sulla codifica a colori su Wireshark, fai clic su Visualizza >Regole da colorare.

Visualizzazione delle statistiche di rete

Per visualizzare ulteriori informazioni sulla rete, il il menu a discesa delle statistiche è incredibilmente utile. Il menu delle statistiche si trova nella parte superiore dello schermo e ti fornirà una serie di metriche dalle dimensioni e dalle informazioni di temporizzazione a diagrammi e grafici tracciati. È inoltre possibile applicare filtri di visualizzazione a queste statistiche al fine di restringere le informazioni importanti.

Il menu delle statistiche di Wireshark è mostrato di seguito:

In questo menu sono disponibili varie opzioni per aiutarti a scomporre le informazioni di rete.

Selezioni del menu Statistiche

Ecco alcune delle sezioni principali:

• Gerarchia dei protocolli – L’opzione Protocol Hierarchy apre una finestra con una tabella completa di tutti i protocolli acquisiti. I filtri di visualizzazione attivi sono visualizzati anche in basso.
• conversazioni – Rivela la conversazione di rete tra due endpoint (ad esempio scambio di traffico da un indirizzo IP a un altro).
• endpoint – Visualizza un elenco di endpoint (un endpoint di rete è il punto in cui termina il traffico di protocollo di un livello di protocollo specifico).
• Grafici IO – Visualizza grafici specifici dell’utente, visualizzando il numero di pacchetti durante lo scambio di dati.
• RTP_statistics – Consente all’utente di salvare il contenuto di un flusso audio RTP direttamente in un file Au.
• Tempo di risposta del servizio – Visualizza il tempo di risposta tra una richiesta e la risposta della rete.
• TcpPduTime – Visualizza il tempo impiegato per il trasferimento dei dati da un’unità dati protocollo. Può essere utilizzato per trovare ritrasmissioni TCP.
• VoIP_Calls – Mostra le chiamate VoIP ottenute da acquisizioni dal vivo.
• Stream multicast – Rileva i flussi multicast e misura la dimensione degli scoppi e dei buffer di uscita di determinate velocità.

Visualizzazione dei pacchetti di rete con grafici I / O

Se si desidera creare una rappresentazione visiva dei pacchetti di dati, è necessario aprire i grafici IO. Basta fare clic su statistica menu e selezionare Grafici IO. Verrai quindi accolto da una finestra del grafico:

Puoi configura i grafici IO con le tue impostazioni in base ai dati che si desidera visualizzare. Per impostazione predefinita è abilitato solo il grafico 1, quindi se si desidera attivare 2-5 è necessario fare clic su di essi. Allo stesso modo, se si desidera applicare un filtro di visualizzazione per un grafico, fare clic sull’icona del filtro accanto al grafico con cui si desidera interagire. La colonna di stile consente di modificare la struttura del grafico. Puoi scegliere tra Linea, FBAR, Punto, o Impulso.

Puoi anche interagire con le metriche degli assi X e Y sul tuo grafico. Sull’asse X, le sezioni dell’intervallo di spunta consentono di stabilire la durata dell’intervallo, da minuti a secondi. Puoi anche controllare il vedi come ora del giorno casella di controllo per modificare il tempo dell’asse X..

Nella sezione dell’asse Y, è possibile modificare l’unità di misura da una delle seguenti opzioni: Pacchetti / Tick, Byte / Tick, Bits / Tick, o Avanzate. La scala consente di scegliere la scala di misurazione per l’asse Y del grafico.

Una volta premuto Salva, il grafico viene quindi archiviato in un formato di file a scelta

Come utilizzare le acquisizioni di esempio

Se vuoi esercitarti ad usare Wireshark ma la tua rete non è disponibile per qualsiasi motivo, usare “acquisizioni di esempio” è un’ottima alternativa. Le acquisizioni di esempio ti forniscono i dati dei pacchetti di un’altra rete. Puoi scaricare un’acquisizione di esempio accedendo al sito Web wiki di Wireshark.

Il sito Web wiki di Wireshark presenta una varietà di file di acquisizione di esempio che possono essere scaricati sul sito. Dopo aver scaricato un’acquisizione di esempio, puoi utilizzarla facendo clic su File > Apri e fai clic sul tuo file.

I file di acquisizione sono inoltre disponibili nelle seguenti fonti:

• ICIR
• OpenPacket
• PacketLife

Espansione delle capacità di Wireshark

Sebbene Wireshark sia un ottimo sniffer di pacchetti, non è l’essenziale e completo di tutti gli strumenti di analisi della rete. È possibile espandere Wireshark e supportarlo con strumenti complementari. Un’ampia comunità di plug-in e piattaforme di supporto può migliorare le capacità di Wireshark.

Prova queste aggiunte di Wireshark per migliorare le tue capacità analitiche:

• Visualizzatore dei tempi di risposta di SolarWinds per Wireshark consente agli utenti di calcolare i tempi di risposta della propria applicazione e della rete. Questo può essere usato insieme a Wireshark per visualizzare i dati e il volume delle transazioni. Questo aiuta a valutare le prestazioni della rete e identificare possibili miglioramenti.
• Cloudshark è uno strumento analitico che è stato specificamente scritto per lavorare sulle acquisizioni di WireShark. Tuttavia, può anche importare dati da altri sniffer di pacchetti. Un plug-in Cloudshark per Wireshark facilita il trasferimento dei dati attraverso lo strumento analitico.
• NetworkMiner è un altro strumento analitico che agisce sui feed di Wireshark. Questo strumento è disponibile sia in versione gratuita che a pagamento.
• Mostra traffico visualizza i dati sul traffico in tempo reale, identificando i pacchetti per protocollo.

Visualizzatore dei tempi di risposta di SolarWinds per Wireshark Scarica lo strumento GRATUITO al 100%

Uno strumento di analisi di rete completo, come il monitor SolarWinds spiegato di seguito, sarebbe anche una buona aggiunta al tuo toolkit di amministrazione IT.

Monitor di prestazioni della rete SolarWinds: gestione della rete a 360 gradi – (PROVA GRATUITA)

Come una delle principali soluzioni di gestione della rete sul mercato, SolarWinds Network Performance Monitor offre all’utente ampie funzioni di monitoraggio della rete per proteggere la propria rete. Dal monitoraggio della larghezza di banda alla latenza attraverso una rete, l’utente può tenere traccia di tutte le modifiche in tempo reale attraverso il dashboard di analisi delle prestazioni.

Il dashboard di analisi delle prestazioni in tempo reale offre una panoramica dell’infrastruttura di rete in tempo reale dell’utente. Un display visivo mostra tutte le connessioni e i dispositivi di rete attivi. Ciò semplifica l’individuazione da parte dell’utente di dispositivi non autorizzati.

L’interfaccia intuitiva consente agli utenti di definire i propri avvisi in modo che possano essere avvisati quando si verificano cambiamenti insoliti sulla propria rete. Se un nuovo dispositivo tenta di connettersi, questo può essere contrassegnato dal sistema. I dati live generati sulla dashboard dell’analisi possono anche essere convertiti in report per generare ulteriori approfondimenti.

• Monitoraggio della rete multi-vendor – Identificare e risolvere i problemi di prestazioni multi-vendor.
• Monitoraggio della rete wireless – Visualizza le metriche delle prestazioni da punti di accesso, dispositivi wireless e client.
• Identificare le zone morte della rete – Visualizza la mappa di calore della rete wireless e identifica le aree con segnale debole.
• Dashboard di analisi delle prestazioni – Visualizza le prestazioni dell’intera rete su un’unica sequenza temporale. Trascina e rilascia i dati sulle prestazioni della rete per creare una visualizzazione dei dati in tempo reale.
• Avvisi intelligenti – Gli utenti definiscono come vengono generati gli avvisi. Scegli quali condizioni di trigger genereranno un avviso sulla dashboard.

Monitor delle prestazioni di rete di SolarWinds Scarica la versione di prova GRATUITA di 30 giorni su SolarWinds.com

Wireshark: semplice e versatile

Ciò conclude la nostra scomposizione sull’uso di Wireshark. Che tu sia un nuovo utente o un veterano di Wireshark, questa piattaforma è uno strumento di analisi della rete estremamente versatile. Se stai cercando di ottenere il massimo da Wireshark, ti ​​consigliamo vivamente di fare ulteriori ricerche sul sito Web di Wireshark.

Ciò è ancora più importante se stai cercando di utilizzare funzionalità più avanzate e creare i tuoi dissettori di protocollo. La guida utente ufficiale di Wireshark offre la più completa guida in materia.

Non dimenticare di utilizzare plugin esterni e programmi di supporto di SolarWinds in quanto possono aumentare notevolmente la profondità dei tuoi futuri sforzi di analisi. Se desideri ulteriori informazioni su come ottimizzare la tua rete, consulta la nostra guida approfondita sugli analizzatori di rete.

Altri tutorial:

• Foglio informativo su Wireshark
• Come decrittografare SSL con Wireshark
• Utilizzo di Wireshark per ottenere l’indirizzo IP di un host sconosciuto
• Esecuzione di un’acquisizione remota con Wireshark e tcpdump
• Spiegazione dell’errore “nessuna interfaccia trovata” di Wireshark
• Identifica l’hardware con la ricerca OUI in Wireshark
• Le migliori alternative a Wireshark