Per molti esperti IT, Wireshark è lo strumento ideale per l'analisi dei pacchetti di rete. Il software open source consente di esaminare da vicino i dati raccolti e determinare la radice del problema con maggiore precisione. Inoltre, Wireshark opera in tempo reale e utilizza la codifica a colori per visualizzare i pacchetti acquisiti, tra gli altri ingegnosi meccanismi.
In questo tutorial, spiegheremo come acquisire, leggere e filtrare i pacchetti utilizzando Wireshark. Di seguito, troverai istruzioni dettagliate e suddivisioni delle funzioni di analisi della rete di base. Dopo aver imparato questi passaggi fondamentali, sarai in grado di ispezionare il flusso di traffico della tua rete e risolvere i problemi con maggiore efficienza.
Analisi dei pacchetti
Una volta acquisiti i pacchetti, Wireshark li organizza in un riquadro elenco di pacchetti dettagliato che è incredibilmente facile da leggere. Se si desidera accedere alle informazioni relative a un singolo pacchetto, è sufficiente individuarlo nell'elenco e fare clic. È inoltre possibile espandere ulteriormente l'albero per accedere ai dettagli di ciascun protocollo contenuto nel pacchetto.
Per una panoramica più completa, puoi visualizzare ogni pacchetto acquisito in una finestra separata. Ecco come:
Windows 10 l'icona di Windows non funziona
- Seleziona il pacchetto dall'elenco con il cursore, quindi fai clic con il pulsante destro del mouse.
- Apri la scheda Visualizza dalla barra degli strumenti in alto.
- Seleziona Mostra pacchetto in una nuova finestra dal menu a discesa.
Nota: è molto più semplice confrontare i pacchetti acquisiti se li visualizzi in finestre separate.
Come accennato, Wireshark utilizza un sistema di codifica a colori per la visualizzazione dei dati. Ogni pacchetto è contrassegnato con un colore diverso che rappresenta diversi tipi di traffico. Ad esempio, il traffico TCP viene solitamente evidenziato in blu, mentre il nero viene utilizzato per indicare i pacchetti contenenti errori.
Naturalmente, non è necessario memorizzare il significato dietro ogni colore. Invece, puoi controllare sul posto:
- Fare clic con il tasto destro del mouse sul pacchetto che si desidera esaminare.
- Seleziona la scheda Visualizza dalla barra degli strumenti nella parte superiore dello schermo.
- Scegli Regole di colorazione dal pannello a discesa.
Vedrai l'opzione per personalizzare la colorazione a tuo piacimento. Tuttavia, se desideri modificare le regole di colorazione solo temporaneamente, segui questi passaggi:
- Fare clic con il pulsante destro del mouse sul pacchetto nel riquadro dell'elenco dei pacchetti.
- Dall'elenco delle opzioni, seleziona Colora con filtro.
- Scegli il colore con cui vuoi etichettarlo.
Numero
Il riquadro dell'elenco dei pacchetti ti mostrerà il numero esatto di bit di dati acquisiti. Poiché i pacchetti sono organizzati in più colonne, è abbastanza facile da interpretare. Le categorie predefinite sono:
- No. (Numero): come accennato, puoi trovare il numero esatto di pacchetti catturati in questa colonna. Le cifre rimarranno le stesse anche dopo aver filtrato i dati.
- Ora: come avrai intuito, qui viene visualizzato il timestamp del pacchetto.
- Fonte: mostra l'origine del pacchetto.
- Destinazione: mostra il luogo in cui verrà conservato il pacchetto.
- Protocollo: Visualizza il nome del protocollo, in genere in un'abbreviazione.
- Lunghezza: mostra il numero di byte contenuti nel pacchetto catturato.
- Info: la colonna include qualsiasi informazione aggiuntiva su un particolare pacchetto.
Volta
Poiché Wireshark analizza il traffico di rete, ogni pacchetto acquisito viene contrassegnato dall'ora. I timestamp vengono quindi inclusi nel riquadro dell'elenco dei pacchetti e disponibili per un'ispezione successiva.
Wireshark non crea i timestamp da soli. Invece, lo strumento di analisi li ottiene dalla libreria Npcap. Tuttavia, la fonte del timestamp è in realtà il kernel. Ecco perché l'accuratezza del timestamp può variare da file a file.
È possibile scegliere il formato in cui verranno visualizzati i timestamp nell'elenco dei pacchetti. Inoltre, è possibile impostare la precisione preferita o il numero di cifre decimali visualizzate. Oltre all'impostazione di precisione predefinita, c'è anche:
- Secondi
- Decimi di secondo
- Centesimi di secondo
- Millisecondi
- Microsecondi
- Nanosecondi
Fonte
Come suggerisce il nome, l'origine del pacchetto è il luogo di origine. Se vuoi ottenere il codice sorgente di un repository Wireshark, puoi scaricarlo utilizzando un client Git. Tuttavia, il metodo richiede che tu disponga di un account GitLab. È possibile farlo senza uno, ma è meglio iscriversi per ogni evenienza.
Dopo aver registrato un account, procedi nel seguente modo:
- Assicurati che Git sia funzionante usando questo comando: |_+_|
- Ricontrolla se il tuo indirizzo e-mail e il nome utente sono configurati.
- Quindi, crea un clone del sorgente di Workshark. Usa |_+_| URL SSH per eseguire la copia.
- Se non hai un account GitLab, prova l'URL HTTPS: |_+_|
Tutte le fonti verranno successivamente copiate sul tuo dispositivo. Tieni presente che la clonazione potrebbe richiedere del tempo, soprattutto se hai una connessione di rete lenta.
Destinazione
Se si desidera conoscere l'indirizzo IP di una destinazione particolare di un pacchetto, è possibile utilizzare il filtro di visualizzazione per individuarlo. Ecco come:
- Inserisci |_+_| nella scatola del filtro Wireshark. Quindi, fai clic su Invio.
- Il riquadro dell'elenco dei pacchetti verrà riconfigurato solo per mostrare la destinazione del pacchetto. Trova l'indirizzo IP che ti interessa scorrendo l'elenco.
- Al termine, seleziona Cancella dalla barra degli strumenti per riconfigurare il riquadro dell'elenco dei pacchetti.
Protocollo
Un protocollo è una linea guida che determina la trasmissione di dati tra diversi dispositivi collegati alla stessa rete. Ogni pacchetto Wireshark contiene un protocollo e puoi visualizzarlo utilizzando il filtro di visualizzazione. Ecco come:
- Nella parte superiore della finestra di Wireshark, fai clic sulla finestra di dialogo Filtro.
- Immettere il nome del protocollo che si desidera esaminare. In genere, i titoli dei protocolli sono scritti in lettere minuscole.
- Fare clic su Invio o su Applica per abilitare il filtro di visualizzazione.
Lunghezza
La lunghezza di un pacchetto Wireshark è determinata dal numero di byte catturati in quel particolare frammento di rete. Quel numero di solito corrisponde al numero di byte di dati grezzi elencati nella parte inferiore della finestra di Wireshark.
Se vuoi esaminare la distribuzione delle lunghezze, apri la finestra Lunghezze pacchetto. Tutte le informazioni sono suddivise nelle seguenti colonne:
- Lunghezze dei pacchetti
- Contare
- Media
- Min Val / Max Val
- Valutare
- Per cento
- Rateo di combustione
- Inizio a raffica
Informazioni
Se ci sono anomalie o elementi simili all'interno di un particolare pacchetto catturato, Wireshark lo noterà. Le informazioni verranno quindi visualizzate nel riquadro dell'elenco dei pacchetti per un ulteriore esame. In questo modo, avrai un quadro chiaro del comportamento atipico della rete, che si tradurrà in reazioni più rapide.
Domande frequenti aggiuntive
Come posso filtrare i dati del pacchetto?
Il filtraggio è una funzionalità efficiente che consente di esaminare le specifiche di una particolare sequenza di dati. Esistono due tipi di filtri Wireshark: acquisizione e visualizzazione. I filtri di acquisizione servono a limitare l'acquisizione di pacchetti per soddisfare esigenze specifiche. In altre parole, puoi setacciare diversi tipi di traffico applicando un filtro di acquisizione. Come suggerisce il nome, i filtri di visualizzazione ti consentono di concentrarti su un particolare elemento del pacchetto, dalla lunghezza del pacchetto al protocollo.
L'applicazione di un filtro è un processo piuttosto semplice. Puoi digitare il titolo del filtro nella finestra di dialogo nella parte superiore della finestra di Wireshark. Inoltre, il software di solito completa automaticamente il nome del filtro.
In alternativa, se desideri scorrere i filtri predefiniti di Wireshark, procedi come segue:
1. Apri la scheda Analizza nella barra degli strumenti nella parte superiore della finestra di Wireshark.
come fare un video boomerang su instagram
2. Dall'elenco a discesa, selezionare Visualizza filtro.
3. Sfogliare l'elenco e fare clic su quello che si desidera applicare.
Infine, ecco alcuni filtri Wireshark comuni che possono tornare utili:
• Per visualizzare solo l'indirizzo IP di origine e di destinazione, utilizzare: |_+_|
• Per visualizzare solo il traffico SMTP, digitare: |_+_|
• Per acquisire tutto il traffico della sottorete, applicare: |_+_|
• Per acquisire tutto tranne il traffico ARP e DNS, utilizzare: |_+_|
Come acquisisco i dati del pacchetto in Wireshark?
Dopo aver scaricato Wireshark sul tuo dispositivo, puoi iniziare a monitorare la tua connessione di rete. Per acquisire pacchetti di dati per un'analisi completa, ecco cosa devi fare:
1. Avvia Wireshark. Vedrai un elenco di reti disponibili, quindi fai clic su quella che desideri esaminare. Puoi anche applicare un filtro di acquisizione se desideri individuare il tipo di traffico.
2. Se si desidera ispezionare più reti, utilizzare il controllo Maiusc + clic sinistro.
3. Quindi, fai clic sull'icona della pinna di squalo all'estrema sinistra sulla barra degli strumenti in alto.
4. Puoi anche avviare l'acquisizione facendo clic sulla scheda Acquisisci e selezionando Avvia dall'elenco a discesa.
5. Un altro modo per farlo è usare la sequenza di tasti Control – E.
Quando il software acquisisce i dati, li vedrai apparire nel riquadro dell'elenco dei pacchetti in tempo reale.
Byte di squalo
Sebbene Wireshark sia un analizzatore di rete altamente avanzato, è sorprendentemente facile da interpretare. Il riquadro dell'elenco dei pacchetti è estremamente completo e ben organizzato. Tutte le informazioni sono distribuite in sette diversi colori e contrassegnate da codici colore chiari.
Inoltre, il software open source viene fornito con una serie di filtri facilmente applicabili che facilitano il monitoraggio. Abilitando un filtro di acquisizione, puoi individuare il tipo di traffico che desideri che Wireshark analizzi. E una volta acquisiti i dati, puoi applicare diversi filtri di visualizzazione per ricerche specifiche. Tutto sommato, è un meccanismo altamente efficiente che non è troppo difficile da padroneggiare.
Usi Wireshark per l'analisi di rete? Cosa ne pensi della funzione filtrante? Facci sapere nei commenti qui sotto se c'è un'utile funzione di analisi dei pacchetti che abbiamo saltato.