Come usare Wireshark: un tutorial completo

[RETI] - #57 Sniffare e analizzare il traffico di rete (Giugno 2025)

[RETI] - #57 Sniffare e analizzare il traffico di rete (Giugno 2025)
Anonim

Wireshark è un'applicazione gratuita che usi per acquisire e visualizzare i dati che viaggiano avanti e indietro sulla tua rete. Offre la possibilità di eseguire il drill down e leggere il contenuto di ciascun pacchetto e viene filtrato per soddisfare le esigenze specifiche. Viene comunemente utilizzato per risolvere i problemi di rete e sviluppare e testare il software. Questo analizzatore di protocollo open source è ampiamente riconosciuto come lo standard del settore, vincendo la sua giusta quota di premi nel corso degli anni.

Originariamente noto come Ethereal, Wireshark ha un'interfaccia user-friendly in grado di visualizzare i dati da centinaia di protocolli diversi su tutti i principali tipi di rete. I pacchetti di dati possono essere visualizzati in tempo reale o analizzati offline. Wireshark supporta dozzine di formati di file di acquisizione / traccia supportati, tra cui CAP e ERF. Gli strumenti di decrittografia integrati consentono di visualizzare i pacchetti crittografati per diversi protocolli popolari, tra cui WEP e WPA / WPA2.

01 di 07

Download e installazione di Wireshark

Wireshark può essere scaricato gratuitamente dal sito Web di Wireshark Foundation sia per macOS che per i sistemi operativi Windows. A meno che non si sia un utente esperto, si consiglia di scaricare solo l'ultima versione stabile. Durante il processo di installazione di Windows, è necessario scegliere di installare WinPcap, se richiesto, poiché include una libreria richiesta per l'acquisizione dei dati in tempo reale.

L'applicazione è disponibile anche per Linux e molte altre piattaforme simili a UNIX, tra cui Red Hat, Solaris e FreeBSD. I file binari necessari per questi sistemi operativi si trovano nella parte inferiore della pagina di download nella sezione Pacchetti di terze parti. Puoi anche scaricare il codice sorgente di Wireshark da questa pagina.

02 del 07

Come acquisire i pacchetti di dati

Quando si avvia Wireshark per la prima volta, viene visualizzata una schermata di benvenuto contenente un elenco di connessioni di rete disponibili sul dispositivo corrente. In questo esempio, noterai che vengono visualizzati i seguenti tipi di connessione: Connessione di rete Bluetooth, Ethernet, Rete solo host VirtualBox e Wi-Fi. Sulla destra di ognuno di essi è visualizzato un grafico a linee in stile EKG che rappresenta il traffico in tempo reale su quella rispettiva rete.

Per iniziare a catturare i pacchetti, selezionare una o più reti facendo clic sulla scelta e usando il Cambio o Ctrl chiavi se si desidera registrare dati da più reti contemporaneamente. Dopo aver selezionato un tipo di connessione per scopi di acquisizione, il suo sfondo è ombreggiato in blu o in grigio. Clicca su Catturare nel menu principale situato nella parte superiore dell'interfaccia di Wireshark. Quando viene visualizzato il menu a discesa, selezionare il Inizio opzione.

È inoltre possibile avviare l'acquisizione dei pacchetti tramite una delle seguenti scorciatoie.

  • Tastiera: PremereCtrl + E.
  • Topo: Per iniziare a catturare i pacchetti da una rete particolare, fai doppio clic sul suo nome.
  • Barra degli strumenti: Fare clic sul pulsante blu pinna di squalo situato sul lato sinistro della barra degli strumenti di Wireshark.

Inizia il processo di acquisizione in tempo reale e Wireshark visualizza i dettagli del pacchetto man mano che vengono registrati. Per smettere di catturare:

  • Tastiera: stampa Ctrl + E
  • Barra degli strumenti: Clicca sul rosso Stop pulsante situato accanto alla pinna di squalo sulla barra degli strumenti di Wireshark.
03 di 07

Visualizzazione e analisi dei contenuti dei pacchetti

Dopo aver registrato alcuni dati di rete, è tempo di dare un'occhiata ai pacchetti catturati. L'interfaccia dei dati acquisiti contiene tre sezioni principali: il riquadro dell'elenco dei pacchetti, il riquadro dei dettagli del pacchetto e il riquadro dei pacchetti.

Elenco dei pacchetti

Il riquadro elenco pacchetti, situato nella parte superiore della finestra, mostra tutti i pacchetti trovati nel file di acquisizione attivo. Ad ogni pacchetto è assegnata una riga e un numero corrispondente, insieme a ciascuno di questi punti dati.

  • Tempo: Il timestamp di quando il pacchetto è stato catturato viene visualizzato in questa colonna. Il formato predefinito è il numero di secondi o secondi secondi da quando questo specifico file di acquisizione è stato creato per la prima volta. Per modificare questo formato in qualcosa che potrebbe essere un po 'più utile, ad esempio l'ora del giorno, selezionare il Formato di visualizzazione del tempo opzione da Wireshark vista menu situato nella parte superiore dell'interfaccia principale.
  • Fonte: Questa colonna contiene l'indirizzo (IP o altro) in cui è stato originato il pacchetto.
  • Destinazione: Questa colonna contiene l'indirizzo a cui il pacchetto viene inviato.
  • Protocollo: Il nome del protocollo del pacchetto, come TCP, può essere trovato in questa colonna.
  • Lunghezza: La lunghezza del pacchetto, in byte, viene visualizzata in questa colonna.
  • Informazioni: Ulteriori dettagli sul pacchetto sono presentati qui. Il contenuto di questa colonna può variare notevolmente a seconda del contenuto del pacchetto.

Quando un pacchetto viene selezionato nel pannello superiore, è possibile che uno o più simboli appaiano nella prima colonna. Le parentesi aperte o chiuse e una linea retta orizzontale indicano se un pacchetto o un gruppo di pacchetti fanno tutti parte della stessa conversazione avanti e indietro sulla rete. Una linea orizzontale rotta indica che un pacchetto non fa parte di detta conversazione.

Dettagli del pacchetto

Il riquadro dei dettagli, che si trova nel mezzo, presenta i protocolli e i campi del protocollo del pacchetto selezionato in un formato comprimibile. Oltre ad espandere ciascuna selezione, è possibile applicare singoli filtri Wireshark in base a dettagli specifici e seguire flussi di dati basati sul tipo di protocollo tramite il menu di scelta rapida dei dettagli, accessibile facendo clic con il pulsante destro del mouse sull'elemento desiderato in questo riquadro.

Byte del pacchetto

Nella parte inferiore è presente il riquadro dei byte del pacchetto, che visualizza i dati non elaborati del pacchetto selezionato in una visualizzazione esadecimale.Questo dump esadecimale contiene 16 byte esadecimali e 16 byte ASCII accanto all'offset di dati.

La selezione di una porzione specifica di questi dati evidenzia automaticamente la relativa sezione nel riquadro dei dettagli del pacchetto e viceversa. Qualsiasi byte che non può essere stampato è invece rappresentato da un punto.

È possibile scegliere di mostrare questi dati in formato bit anziché esadecimale facendo clic con il pulsante destro del mouse in qualsiasi punto all'interno del riquadro e selezionando l'opzione appropriata dal menu di scelta rapida.

04 di 07

Utilizzo dei filtri Wireshark

Uno dei set di funzionalità più importanti di Wireshark è la sua capacità di filtro, soprattutto quando si ha a che fare con file di dimensioni significative. I filtri di cattura possono essere impostati prima del fatto, istruendo Wireshark a registrare solo quei pacchetti che soddisfano i criteri specificati.

I filtri possono anche essere applicati a un file di acquisizione che è già stato creato in modo che vengano visualizzati solo determinati pacchetti. Questi sono indicati come filtri di visualizzazione.

Wireshark fornisce un numero elevato di filtri predefiniti per impostazione predefinita, consentendo di limitare il numero di pacchetti visibili con pochi clic o clic del mouse. Per utilizzare uno di questi filtri esistenti, inserisci il suo nome nel Applicare un filtro di visualizzazione campo di immissione situato direttamente sotto la barra degli strumenti di Wireshark o nel Inserisci un filtro di cattura campo di immissione situato al centro della schermata di benvenuto.

Ci sono molti modi per ottenere questo. Se conosci già il nome del tuo filtro, inseriscilo nel campo appropriato. Ad esempio, se si desidera visualizzare solo i pacchetti TCP, si digita tcp. La funzione di autocompletamento di Wireshark mostra i nomi suggeriti quando inizi a digitare, rendendo più facile trovare il moniker corretto per il filtro che stai cercando.

Un altro modo per scegliere un filtro è fare clic sull'icona simile a un segnalibro posizionata sul lato sinistro del campo di immissione. Questo presenta un menu contenente alcuni dei filtri più comuni e un'opzione per Gestisci filtri di acquisizione o Gestisci i filtri di visualizzazione. Se scegli di gestire entrambi i tipi, viene visualizzata un'interfaccia che consente di aggiungere, rimuovere o modificare i filtri.

È anche possibile accedere ai filtri utilizzati in precedenza selezionando la freccia giù sul lato destro del campo di immissione per visualizzare un elenco a discesa della cronologia.

Una volta impostati, i filtri di cattura vengono applicati non appena inizi a registrare il traffico di rete. Per applicare un filtro di visualizzazione, fai clic sul pulsante freccia a destra trovato all'estremità destra del campo di immissione.

05 di 07

Regole del colore

Mentre i filtri di acquisizione e visualizzazione di Wireshark consentono di limitare quali pacchetti vengono registrati o visualizzati sullo schermo, la sua funzionalità di colorizzazione fa un passo in più rendendo facile la distinzione tra diversi tipi di pacchetti in base alla loro tonalità individuale. Questa pratica funzione consente di individuare rapidamente determinati pacchetti all'interno di un set salvato tramite il loro colore di riga nel riquadro elenco pacchetti.

Wireshark include circa 20 regole di colorazione predefinite incorporate, ognuna delle quali può essere modificata, disabilitata o cancellata, se lo si desidera. È anche possibile aggiungere nuovi filtri basati su ombreggiatura attraverso l'interfaccia delle regole di colorazione, accessibile da vista menu. Oltre a definire un nome e criteri di filtro per ogni regola, ti viene anche chiesto di associare sia un colore di sfondo che un colore del testo.

La colorazione dei pacchetti può essere attivata e disattivata tramite Colorize Packet List opzione, anche trovata in vista menu.

06 di 07

statistica

Oltre alle informazioni dettagliate sui dati della rete mostrati nella finestra principale di Wireshark, sono disponibili altre metriche utili tramite statistica menu a discesa trovato nella parte superiore dello schermo. Questi includono informazioni sulla dimensione e sul tempo del file di acquisizione stesso, oltre a dozzine di grafici e grafici che vanno dall'argomento alle interruzioni delle conversazioni di pacchetti per caricare la distribuzione delle richieste HTTP.

I filtri di visualizzazione possono essere applicati a molte di queste statistiche tramite le loro interfacce e i risultati possono essere esportati in diversi formati di file comuni tra cui CSV, XML e TXT.

07 di 07

Funzionalità avanzate

Oltre alle principali funzionalità di Wireshark, c'è anche una raccolta di funzionalità aggiuntive disponibili in questo potente strumento tipicamente riservato agli utenti avanzati. Ciò include la possibilità di scrivere i propri dissettori di protocollo nel linguaggio di programmazione Lua.

Come usare Amazon per inviare canzoni e album come regali

Come usare Amazon per inviare canzoni e album come regali

Se usi Amazon per acquistare musica digitale, perché non inviare una canzone a qualcuno come regalo? Amazon rende davvero semplice regalare un MP3 e persino interi album.

Come usare Twitter come rete sociale

Come usare Twitter come rete sociale

Twitter ha fatto molta strada rispetto al progetto iniziale iniziato con la sua prima pubblicazione. Da allora, molte di queste funzionalità sono cambiate e si sono evolute. Questa guida ti guiderà attraverso i grandi cambiamenti e le funzionalità che devi conoscere per poter utilizzare correttamente Twitter. Innanzitutto, diamo uno sguardo alle modifiche più evidenti della funzionalità di progettazione che notiamo subito.

Come usare l'iPad come secondo monitor

Come usare l'iPad come secondo monitor

Un modo rapido per aumentare la produttività è aggiungere un secondo monitor al tuo sistema, e se hai un iPad, hai un secondo monitor a basso costo!

Scelta Del Redattore