Logo ita.sync-computers.com
Androide

Esplora la tua rete con WireShark

Sommario:

Video: La prossima versione di Windows nasconde un segreto! 🐧 (Ottobre 2024)

Video: La prossima versione di Windows nasconde un segreto! 🐧 (Ottobre 2024)
Anonim

Che cos'è Wireshark?

Link veloci

  • Che cos'è Wireshark?
  • Installazione di Wireshark
    • finestre
    • Mac
    • Linux
  • L'interfaccia
  • Opzioni di acquisizione
  • Cattura traffico
  • Lettura dei dati
  • Pacchetti di filtraggio
    • Filtraggio durante l'acquisizione
    • Filtraggio dei risultati
  • A seguito di pacchetti Stream
  • Pensieri di chiusura

Wireshark è un potente strumento di analisi della rete che consente di monitorare e acquisire il traffico di rete. Cattura il traffico a livello di pacchetto, il che significa che è possibile visualizzare ogni bit di informazione che viene passato attraverso la rete, cosa contiene e dove sta andando.

Questo strumento consente di visualizzare e comprendere il flusso del traffico all'interno di una rete. Vedendo quali dati vengono trasferiti, puoi anche ottenere informazioni su eventuali potenziali problemi di sicurezza che potresti dover affrontare e su qualsiasi traffico potenzialmente indesiderato, come malware, programmi che controllano la larghezza di banda e persino ospiti indesiderati sul tuo WiFi.

Wireshark è anche uno strumento importante perché ti consente di vedere esattamente come i dati che escono dalla tua rete vengono inviati a Internet. Ad esempio, è possibile visualizzare e leggere le richieste HTTP, consentendo di vedere quali dati vengono inviati non crittografati. Potrebbe essere un grosso problema, soprattutto se quei dati sono qualcosa come una password della banca.

Installazione di Wireshark

Wireshark è open source e multipiattaforma. È disponibile gratuitamente e per tutti i principali sistemi operativi. I controlli all'interno del programma sono esattamente gli stessi su tutte le piattaforme, quindi non c'è bisogno di preoccuparsi. Le immagini provengono da Linux, ma tutto ciò che vedrai funzionerà anche su Windows e Mac.

finestre

Vai alla pagina di download di Wireshark e scarica l'ultima versione per la tua versione di Windows. Esegui il file .exe risultante. L'installer è abbastanza standard. È possibile fare clic su gran parte di esso e utilizzare le impostazioni predefinite.

C'è una cosa che devi cercare, però. Apparirà una schermata che ti chiederà se vuoi installare WinPcap. WinPcap è un'utilità aggiuntiva per Wireshark su Windows che consente di acquisire tutto il traffico su una rete, anziché solo il traffico del tuo computer. Seleziona la casella per installare WinPcap. Ti chiederà anche la versione USB. Non è necessario, ma puoi includerlo anche tu.

Successivamente, l'installazione verrà completata. Verrà avviata una nuova installazione per WinPcap. Le impostazioni predefinite sono accettabili anche qui.

Mac

Vai alla pagina di download di Wireshark e prendi l'ultimo file .dmg. Al termine del download, fai doppio clic sul file per aprirlo. Trascina l'applicazione aperta nella cartella / Applicazioni per installare Wireshark.

Linux

La maggior parte delle distribuzioni Linux hanno Wireshark disponibile nei loro repository. Installalo con il tuo gestore pacchetti.

$ sudo apt installa WireShark-GTK

A seconda della tua distribuzione, ti verrà chiesto se desideri consentire agli utenti normali di acquisire i pacchetti. Dovresti dire "Sì". Dopo aver installato il pacchetto, aggiungi il gruppo Wireshark al tuo utente. Disconnettersi e riconnettersi, al termine.

$ sudo gpasswd -a utenteharkhark

L'interfaccia

Quando apri Wireshark per la prima volta, vedrai una schermata simile a quella sopra. Ci sono alcuni pulsanti sopra nelle barre degli strumenti, e può sembrare travolgente, ma è molto più semplice di quanto si pensi.

L'interfaccia di acquisizione predefinita è in qualche modo scomoda. È possibile modificare il layout per renderlo più comodo, fare clic su "Modifica". Trova il menu "Preferenze" e il fondo, e aprirlo. Sotto le preferenze, vedrai una scheda "Layout" a sinistra. Selezionalo Vedrai diverse icone raffiguranti diverse opzioni di layout. Scegli quello più adatto a te. La prima opzione con il layout in pila di solito funziona bene.

Non preoccuparti troppo delle barre degli strumenti. Le prime cinque icone sono le più importanti. In ordine, ti consentono di selezionare un'interfaccia su cui acquisire, modificare le impostazioni di acquisizione, avviare un'acquisizione, interrompere un'acquisizione e riprenderne una. Le icone stesse sono abbastanza intuitive.

Opzioni di acquisizione

Prima di iniziare a catturare il traffico, dovresti esplorare le opzioni di cattura per vedere cosa può fare Wireshark. Fai clic sull'icona delle opzioni di acquisizione. Dovrebbe apparire come un ingranaggio.

La prima cosa che vedrai nella parte superiore della finestra è una tabella che elenca tutte le tue interfacce di rete. Seleziona la casella accanto all'interfaccia su cui desideri acquisire. Nella maggior parte dei casi, l'interfaccia che si desidera è quella che si sta utilizzando per connettersi alla rete. Sarà quello che corrisponde alla tua porta Ethernet o dispositivo WiFi.

Sotto quello, vedrai un paio di caselle di controllo. Si chiederà se si desidera utilizzare la modalità promiscua. La modalità promiscua è ciò che ti consente di vedere gli scambi tra tutti i dispositivi su una rete, non solo il tuo computer. È probabile che tu lo voglia abilitare. Stai attento, però. L'uso della modalità promiscua su una rete di cui non sei proprietario o che non sei autorizzato a testare è illegale .

La sezione successiva in basso riguarda i file di acquisizione. Wireshark ti consente di salvare i dati acquisiti. Il primo campo lì ti consente di specificare una singola destinazione per la tua acquisizione. Al di sotto, è possibile selezionare la casella per abilitare Wireshark a rompere il registro di acquisizione. I registri possono diventare molto grandi, specialmente su reti più grandi. Questa funzione consente di suddividere automaticamente i dati di acquisizione in base all'ora o alla dimensione del file. Ad ogni modo, è una funzione utile quando si ha a che fare con scansioni a lungo termine o una rete occupata.

Al di sotto di ciò, puoi controllare la durata della tua acquisizione. Ancora una volta, le acquisizioni possono diventare grandi, quindi puoi impostare una dimensione massima. Puoi anche eseguire il timeout, il che è utile perché ti consente di scattare un'istantanea di un intervallo di tempo specifico sulla tua rete.

Cattura traffico

Una volta che hai le tue impostazioni in ordine, puoi iniziare a catturare il traffico sulla tua rete. Se non hai mai fatto questo genere di cose prima, preparati a essere sorpreso. C'è molto più traffico di quello che sai che scorre nella tua rete. Per avviare l'acquisizione, fai clic sul pulsante "Avvia" nella parte inferiore della finestra di configurazione o sull'icona della pinna di squalo. In entrambi i casi funziona.

Quando inizi a registrare, la quantità di traffico che vedi dipende dai dispositivi sulla tua rete. Mentre la maggior parte delle persone non sarà in grado di tenere il passo con il carico di traffico che vedono, è del tutto possibile che tu non veda quasi nulla. In tal caso, apri un browser Web e inizia a navigare. La tua acquisizione inizierà rapidamente a popolarsi.

Dopo che l'acquisizione è stata eseguita per tutto il tempo che desideri testare, fai clic sul pulsante di arresto nella barra degli strumenti. Quello che hai dovrebbe assomigliare all'immagine sopra.

Lettura dei dati

Fai clic su uno dei pacchetti che hai acquisito. Prova a trovare una richiesta HTTP. Tendono ad essere più facili da leggere. Quando si seleziona un pacchetto, le altre due sezioni dello schermo si riempiono di informazioni su quella selezionata.

La sezione a cui devi prestare attenzione ha le schede pieghevoli impilate. Tali schede seguono il modello OSI e sono ordinate dal livello più basso al più alto con le informazioni di livello più basso nella parte superiore. Ciò significa che le informazioni più rilevanti per te sono probabilmente nelle schede in basso.

Ogni scheda contiene informazioni diverse sul pacchetto. Nei pacchetti HTTP, vedrai informazioni sulla richiesta HTTP, inclusa la risposta, le intestazioni e forse anche un po 'di HTML. Altri tipi di pacchetti possono contenere informazioni su quali porte sono in uso, crittografia utilizzata, protocolli e indirizzi MAC.

Pacchetti di filtraggio

Può essere una seccatura scavare tra un sacco di dati di acquisizione per trovare esattamente quello che stai cercando. È inefficiente ed è un'enorme perdita di tempo. Wireshark ha una funzionalità di filtro che ti consente di ordinare rapidamente i pacchetti per trovare esattamente ciò che è rilevante in un dato momento.

Ci sono alcuni modi di base che Wireshark ti consente di filtrare i risultati. Innanzitutto, ha molti filtri integrati. Quando inizi a digitare uno dei campi filtro, Wireshark li visualizzerà come suggerimenti per il completamento automatico. Se uno di quelli è quello che stai cercando, fantastico! Il filtro sarà molto semplice.

Wireshark utilizza anche quelli che vengono chiamati operatori booleani. Gli operatori booleani vengono utilizzati per valutare se un'istruzione è vera o meno. Ad esempio, quando si desidera che siano soddisfatte due condizioni, è necessario utilizzare l'operatore "e" tra loro perché sia ​​la condizione 1 che la condizione 2 devono essere vere. L'operatore "o" è simile, solo che richiede che una delle tue condizioni sia vera. Probabilmente puoi indovinare che l'operatore "non" cerca quando non esiste una condizione.

Oltre agli operatori booleani, Wireshark supporta operatori di confronto. Come suggerisce il nome, gli operatori di confronto confrontano due o più condizioni. Valutano l'equivalenza delle condizioni come maggiore, minore o uguale a.

Filtraggio durante l'acquisizione

Filtrare i risultati durante l'acquisizione è molto semplice. Apri il backup delle opzioni di acquisizione. Cerca il pulsante "Opzioni di acquisizione" verso il centro della finestra. Dovrebbe esserci anche un grande campo di testo accanto ad esso.

Puoi costruire il filtro da zero in quel campo oppure puoi fare clic sul pulsante e utilizzare i filtri integrati di Wireshark. Prova a fare clic sul pulsante. Si aprirà una nuova finestra con un elenco di filtri. Cliccando su quei filtri si popolano i campi sottostanti. Il campo inferiore è il filtro effettivo che viene utilizzato. Puoi modificare quel filtro come base per i tuoi altri filtri personalizzati. Quando sei pronto, fai clic su "Ok". Quindi, esegui la scansione come faresti normalmente. Invece di acquisire tutto, Wireshark acquisirà solo i pacchetti che soddisfano le condizioni del filtro. Questo rende molto più semplice l'ordinamento e la categorizzazione dei dati dei pacchetti. Non è necessario scavare un sacco di informazioni extra per trovare quello che ti serve.

Filtraggio dei risultati

Se hai fatto una cattura completa o una cattura più solida, ma vuoi filtrarla dopo il fatto, puoi farlo anche tu. Dopo aver eseguito un'acquisizione, vedrai una barra degli strumenti aggiuntiva sotto le icone di controllo. Quella barra degli strumenti presenta un campo "Filtro". È possibile digitare espressioni in quelle archiviate per filtrare i risultati visualizzati da Wireshark.

Come per i filtri durante l'acquisizione, esiste un modo semplice. Fai clic sul pulsante "Espressione" per aprire una finestra che ti aiuta a mettere insieme le espressioni del filtro. La colonna di sinistra contiene un elenco di campi. Quei campi ti consentono di scegliere quali informazioni indirizzare. La colonna successiva contiene un elenco di possibili relazioni. La maggior parte sono i simboli per meno di, maggiore di, uguale a e combinazioni di quelli. L'ultima colonna è per i valori. Questi sono i valori a cui stai confrontando. A seconda del campo, è possibile scegliere o scrivere il valore con cui si desidera confrontare.

Questi possono diventare più complessi e puoi aggiungere più espressioni insieme. Ciò ricade sugli operatori booleani. Questi booleani sono diversi, però. Questo campo di espressione utilizza i simboli per e, o, e non invece delle parole stesse. || sta per "o". && è "e". Un semplice! non è."

Ad esempio, se vuoi tutto tranne UDP, usa! Udp. Se vuoi HTTP o TCP, prova http || tcp. Puoi anche combinarli in espressioni più complesse. Più complessa diventa la tua espressione, più raffinato sarà il tuo filtro.

A seguito di pacchetti Stream

Una volta che hai un pacchetto o pacchetti che ti interessano, puoi utilizzare un fantastico strumento integrato in Wireshark per seguire l'intera "conversazione" tra i due computer che scambiano quei pacchetti. I seguenti flussi di pacchetti consentono a Wirshark di mettere tutto insieme e di formare un'immagine risultante più ampia. Nel caso dei pacchetti HTTP, Wireshark probabilmente metterà insieme la fonte HTML di una pagina web. Con alcuni programmi VOIP non crittografati, Wireshark può persino recuperare l'audio scambiato. Sì, può effettivamente ascoltare le conversazioni VOIP.

Fare clic con il tasto destro su un pacchetto che si desidera seguire. Seleziona "Segui … Stream", con i punti sostituiti dal protocollo del pacchetto. Wireshark impiegherà alcuni secondi per ricucire tutto insieme. Al termine, Wireshark ti presenterà il risultato completo. Questa funzione rende molto più semplice vedere esattamente cosa viene scambiato sulla rete. Dimostra anche quanto sia importante la crittografia di rete, dal momento che questa funzione riunirà l'assurdità totale con i pacchetti crittografati.

Pensieri di chiusura

Wireshark è uno strumento assolutamente fantastico nell'analisi della rete. Ti dà accesso per vedere tutto ciò che accade sulla tua rete. Con Wireshark, puoi ottenere una maggiore comprensione di dove si trovano i problemi con la tua rete, sia in termini di velocità che di sicurezza. Ricorda di usare sempre Wireshark con cura e di capire che è molto invadente. Non spiare le persone e ricordati di mantenere l'uso di Wireshark secondo la legge.

Esplora la tua rete con WireShark

Scelta dell'editore

Come verificare la presenza di rootkit sul tuo Mac

Se il tuo Mac si comporta in modo strano e sospetti un rootkit, allora dovrai metterti al lavoro scaricando e scansionando con diversi strumenti. Vale la pena notare che potresti avere un rootkit installato e nemmeno saperlo

Come rendere privata la funzione di navigazione privata di Safari&8217;

Non appena apri il tuo browser web, tutte le tue attività online possono essere (e vengono) monitorate. I siti che visiti, le cose che acquisti online e i servizi a cui accedi

Come convertire un file MP3 o M4A in una suoneria per iPhone

Allora, cos'è una suoneria per iPhone? Beh, in re altà è semplicemente un normale iTunes

8 utili scorciatoie da tastiera per OS X

Apple è la scelta ideale per gli utenti che desiderano essere più produttivi ed efficienti, e per buoni motivi. Dopotutto, macOS è dotato di molte scorciatoie da tastiera che facilitano il lavoro

Scorciatoie da tastiera Mac per quando il tuo Mac si blocca

Dato che i Mac sono tra i computer più affidabili in circolazione, non molti utenti provano quella sensazione che provi quando vedi la ruota della morte che gira sul display. Ma quando succede e il tuo computer si blocca, è bene avere la possibilità di utilizzare la giusta scorciatoia da tastiera per risolvere il problema.

Inizia con Subversion usando SvnX

Se sei uno sviluppatore, il software di controllo della versione ti consente di tenere traccia delle modifiche al tuo codice. Questo è essenziale nei progetti in cui lavori come parte di un team, permettendoti di tenere traccia delle modifiche man mano che si verificano