Wireshark

Tutorial approfondito su WireShark

Tutorial approfondito su WireShark
Wireshark è uno strumento di ispezione del traffico di rete gratuito e open source. Cattura e visualizza i pacchetti in tempo reale per l'analisi offline in un formato leggibile dall'uomo con dettagli microscopici. Richiede una buona conoscenza delle reti di base ed è considerato uno strumento essenziale per gli amministratori di sistema e gli esperti di sicurezza di rete.

Wireshark è di fatto lo strumento di riferimento per diversi problemi di rete che variano dalla risoluzione dei problemi di rete, all'esame dei problemi di sicurezza, all'ispezione del traffico di rete di un'applicazione sospetta, alle implementazioni del protocollo di debug, insieme agli scopi di apprendimento del protocollo di rete, ecc.

Il progetto Wireshark è stato avviato nel 1998. Grazie al contributo volontario dell'esperto di networking globale, continua ad apportare aggiornamenti per nuove tecnologie e standard di crittografia. Quindi, è di gran lunga uno dei migliori strumenti di analisi dei pacchetti ed è utilizzato come strumento commerciale standard da varie agenzie governative, istituti di istruzione e organizzazioni senza scopo di lucro.

Lo strumento Wireshark è composto da un ricco set di funzionalità. Alcuni di loro sono i seguenti:

Tuttavia, Wireshark non ti avviserà di alcuna attività dannosa. Ti aiuterà solo a ispezionare e identificare ciò che sta accadendo sulla tua rete. Inoltre, analizzerà solo il protocollo/attività di rete e non eseguirà altre attività come l'invio/intercettazione di pacchetti.

Questo articolo fornisce un tutorial approfondito che inizia con le basi (i.e., filtraggio, livelli di rete Wireshark, ecc.) e ti porta nella profondità dell'analisi del traffico.

Filtri Wireshark

Wireshark è dotato di potenti motori di filtro, filtri di cattura e filtri di visualizzazione, per rimuovere il rumore dalla rete o il traffico già catturato. Questi filtri restringono il traffico non richiesto e visualizzano solo i pacchetti che vuoi vedere. Questa funzione aiuta gli amministratori di rete a risolvere i problemi a portata di mano.

Prima di entrare nel dettaglio dei filtri. Nel caso ti stia chiedendo come acquisire il traffico di rete senza alcun filtro, puoi premere Ctrl+E o andare all'opzione Acquisisci nell'interfaccia di Wireshark e fare clic su Avvia.

Ora approfondiamo i filtri disponibili.

Cattura filtro

Wireshark fornisce supporto per ridurre le dimensioni di un'acquisizione di pacchetti non elaborati consentendo di utilizzare un filtro di acquisizione. Ma cattura solo il traffico di pacchetti che corrisponde al filtro e ignora il resto. Questa funzione ti aiuta a monitorare e analizzare il traffico di un'applicazione specifica utilizzando la rete.

Non confondere questo filtro con i filtri di visualizzazione. Non è un filtro di visualizzazione. Questo filtro appare nella finestra principale che è necessario impostare prima di avviare l'acquisizione dei pacchetti. Inoltre, non puoi modificare questo filtro durante la cattura.

Puoi andare al Catturare opzione dell'interfaccia e selezionare Filtri di cattura.

Ti verrà chiesto con una finestra, come mostrato nell'istantanea. Puoi scegliere qualsiasi filtro dall'elenco dei filtri o aggiungere/creare un nuovo filtro facendo clic su + pulsante.

Esempi dell'elenco di utili filtri di acquisizione:

Visualizza filtro

I filtri di visualizzazione ti consentono di nascondere alcuni pacchetti dal traffico di rete già catturato. Questi filtri possono essere aggiunti sopra l'elenco catturato e possono essere modificati al volo. Ora puoi controllare e restringere i pacchetti su cui vuoi concentrarti mentre nascondi i pacchetti non necessari.

Puoi aggiungere filtri nella barra degli strumenti del filtro di visualizzazione proprio sopra il primo riquadro contenente le informazioni sui pacchetti. Questo filtro può essere utilizzato per visualizzare i pacchetti in base a protocollo, indirizzo IP di origine, indirizzo IP di destinazione, porte, valore e informazioni dei campi, confronto tra campi e molto altro.

Giusto! Puoi creare una combinazione di filtri usando operatori logici come ==.!=,||,&&, ecc.

Di seguito sono riportati alcuni esempi di filtri di visualizzazione di un singolo protocollo TCP e di un filtro combinato:

Livelli di rete in Wireshark

Oltre all'ispezione dei pacchetti, Wireshark presenta livelli OSI che aiutano nel processo di risoluzione dei problemi. Wireshark mostra i livelli in ordine inverso, ad esempio:

  1. Livello fisico Physical
  2. Livello di collegamento dati
  3. Livello di rete
  4. Livello di trasporto Transport
  5. Livello applicazione

Nota che Wireshark non mostra sempre il livello fisico. Ora esamineremo ogni livello per comprendere l'aspetto importante dell'analisi dei pacchetti e cosa presenta ogni livello in Wireshark.

Livello fisico Physical

Il livello fisico, come mostrato nella seguente istantanea, presenta il riepilogo fisico del frame, come le informazioni sull'hardware. In qualità di amministratore di rete, generalmente non estrai informazioni da questo livello.

Livello di collegamento dati

Il livello di collegamento dati successivo contiene l'indirizzo della scheda di rete di origine e di destinazione. È relativamente semplice in quanto fornisce solo il frame dal laptop al router o al frame adiacente successivo nel supporto fisico.

Livello di rete

Il livello di rete presenta gli indirizzi IP di origine e di destinazione, la versione IP, la lunghezza dell'intestazione, la lunghezza totale del pacchetto e carichi di altre informazioni.

Livello di trasporto Transport

In questo livello, Wireshark visualizza le informazioni sul livello di trasporto, che consiste nella porta SRC, porta DST, lunghezza dell'intestazione e numero di sequenza che cambia per ogni pacchetto.

Livello applicazione

Nel livello finale, puoi vedere quale tipo di dati viene inviato sul supporto e quale applicazione viene utilizzata, come FTP, HTTP, SSH, ecc.

Analisi del traffico

Analisi del traffico ICMP

ICMP viene utilizzato per la segnalazione e il test degli errori determinando se i dati raggiungono la destinazione prevista in tempo o meno. L'utility Ping utilizza i messaggi ICMP per testare la velocità della connessione tra i dispositivi e segnalare quanto tempo impiega il pacchetto a raggiungere la sua destinazione e poi tornare indietro.

Il ping utilizza il messaggio ICMP_echo_request al dispositivo sulla rete e il dispositivo risponde con il messaggio ICMP_echo_reply. Per acquisire pacchetti su Wireshark, avviare la funzione Capture di Wireshark, aprire il terminale ed eseguire il seguente comando:

ubuntu$ubuntu:~$ ping google.come

Uso Ctrl+C per terminare il processo di acquisizione dei pacchetti in Wireshark. Nell'istantanea qui sotto, puoi notare il Pacchetto ICMP inviato = pacchetto ICMP ricevuto con lo 0% di perdita di pacchetti.

Nel riquadro di acquisizione di Wireshark, seleziona il primo pacchetto ICMP_echo_request e osserva i dettagli aprendo il riquadro centrale di Wireshark.

Nel livello di rete, puoi notare la fonte Src come il mio indirizzo_ip, mentre la destinazione Dst ip_address è del server di Google, mentre il livello IP menziona il protocollo come ICMP.

Ora, ingrandiamo i dettagli del pacchetto ICMP espandendo Internet Control Message Protocol e decodificando le caselle evidenziate nell'istantanea seguente:

L'identificatore e i numeri di sequenza sono abbinati per aiutare a identificare le risposte alle richieste di eco. Allo stesso modo, prima della trasmissione del pacchetto, il checksum viene calcolato e aggiunto al campo da confrontare con il checksum nel pacchetto di dati ricevuto.

Ora, nel pacchetto di risposta ICMP, nota il livello IPv4. Gli indirizzi di origine e di destinazione si sono scambiati.

Nel livello ICMP, verifica e confronta i seguenti campi importanti:

Puoi notare che la risposta ICMP echeggia lo stesso checksum della richiesta, identificatore e numero di sequenza.

Analisi del traffico HTTP

HTTP è un protocollo a livello di applicazione di trasferimento ipertestuale. È utilizzato dal world wide web e definisce le regole quando il client/server HTTP trasmette/riceve comandi HTTP. I metodi HTTP più comunemente usati sono POST e GET:

INVIARE: questo metodo viene utilizzato per inviare in modo sicuro al server informazioni riservate che non compaiono nell'URL.

OTTENERE: questo metodo viene solitamente utilizzato per recuperare i dati dalla barra degli indirizzi da un server web.

Prima di approfondire l'analisi dei pacchetti HTTP, dimostreremo brevemente la stretta di mano a tre vie TCP in Wireshark.

Stretta di mano a tre vie TCP

In un handshake a tre vie, il client avvia una connessione inviando un pacchetto SYN e ricevendo una risposta SYN-ACK dal server, che viene confermata dal client. Useremo il comando Nmap TCP connect scan per illustrare l'handshake TCP tra client e server.

ubuntu$ubuntu:~$ nmap -sT google.come

Nel riquadro di acquisizione dei pacchetti Wireshark, scorrere fino alla parte superiore della finestra per notare vari handshake a tre vie stabiliti in base a porte particolari.

Usa il tcp.porta == 80 filtro per vedere se la connessione viene stabilita tramite la porta 80. Puoi notare la stretta di mano a tre vie completa, i.e., SIN, SYN-ACK, e ACK, evidenziato nella parte superiore dell'istantanea, che illustra una connessione affidabile.

Analisi dei pacchetti HTTP

Per l'analisi dei pacchetti HTTP, vai al tuo browser e incolla l'URL della documentazione di Wireshark: http://www.macchina per waffle.com e scarica la guida per l'utente in PDF. Nel frattempo, Wireshark deve catturare tutti i pacchetti.

Applica un filtro HTTP e cerca il HTTP GET richiesta inviata al server dal client. Per visualizzare un pacchetto HTTP, selezionalo ed espandi il livello dell'applicazione nel riquadro centrale. Possono esserci molte intestazioni in una richiesta, a seconda anche del sito Web e del browser. Analizzeremo le intestazioni presenti nella nostra richiesta nello snapshot qui sotto.

Nel HTTP OK pacchetto dal server al client, osservando le informazioni nel livello Hypertext Transfer Protocol mostra "200 OK“. Questa informazione indica un normale trasferimento riuscito. Nel pacchetto HTTP OK, puoi osservare intestazioni diverse rispetto a HTTP GET pacchetto. Queste intestazioni contengono informazioni sul contenuto richiesto.

In questa sezione, hai imparato come funziona HTTP e cosa succede ogni volta che richiediamo contenuti sul web.

Conclusione

Wireshark è lo strumento di analisi e sniffer di rete più popolare e potente. È ampiamente utilizzato nelle attività quotidiane di analisi dei pacchetti in varie organizzazioni e istituti. In questo articolo, abbiamo studiato alcuni argomenti di livello da principiante a medio di Wireshark in Ubuntu. Abbiamo appreso il tipo di filtri offerti da Wireshark per l'analisi dei pacchetti. Abbiamo coperto il modello del livello di rete in Wireshark ed eseguito un'analisi approfondita dei pacchetti ICMP e HTTP.

Tuttavia, l'apprendimento e la comprensione di vari aspetti di questo strumento è un lungo e duro viaggio. Quindi, ci sono molte altre lezioni e tutorial online disponibili per aiutarti su argomenti specifici di Wireshark. Puoi seguire la guida utente ufficiale disponibile sul sito Web Wireshark. Inoltre, una volta acquisita la comprensione di base dell'analisi del protocollo, si consiglia anche di utilizzare uno strumento come Varonis che ti indichi la potenziale minaccia e quindi utilizzare Wireshark per indagare per una migliore comprensione.

Il tasto sinistro del mouse non funziona su Windows 10
Se stai utilizzando un mouse dedicato con il tuo laptop o computer desktop ma il il tasto sinistro del mouse non funziona su Windows 10/8/7 per qualch...
Il cursore salta o si sposta in modo casuale durante la digitazione in Windows 10
Se scopri che il cursore del mouse salta o si sposta da solo, automaticamente, in modo casuale durante la digitazione nel laptop o nel computer Window...
Come invertire la direzione di scorrimento del mouse e dei touchpad in Windows 10
Topo e Touchpads non solo rende l'elaborazione semplice, ma anche più efficiente e richiede meno tempo. Non possiamo immaginare una vita senza questi ...