Condizioni d'uso, diritti d'autore, disclaimer e commenti. Leggi il regolamento >>

Miniguida a Wireshark: eseguire lo sniffing del traffico di Rete e catturarne le informazioni

sabato 25 febbraio 2012

Wireshark è un ottimo programma, gratuito e disponibile anche nella versione portable, che consente di analizzare il traffico di Rete filtrando e catturando i vari pacchetti ed informazioni che transitano all’interno della stessa. Permette, quindi, di identificare qualsiasi tipo di informazione che passa in chiaro nella comunicazione tra un computer ed Internet.


Premessa
Questa miniguida vuole essere una piccola introduzione a quelle che sono le reali potenzialità del programma. Wireshark, infatti, è un potentissimo strumento di sniffing e, per capirlo completamente e riuscire ad utilizzarlo al 100%, è necessario studiarlo a fondo ed eseguire tantissime prove.

Tengo a precisare inoltre che, il programma, consente di recuperare dati ed informazioni dei computer vittima e, quindi, utilizzatelo solamente con amici consapevoli di quanto state facendo.

Intercettare ed inserirsi nelle connessioni altrui è un reato perseguibile civilmente e penalmente. Consiglio di leggere attentamente il regolamento del blog prima di proseguire.


Wireshark
Terminata l’installazione, avviandolo, è necessario selezionare l’interfaccia di rete selezionandola alla voce "Interface List".

Terminato questo step verranno visualizzate nel monitor tutte le informazioni che transitano nella Rete.

Se si attiva il controllo su una Rete condivisa (ad esempio una rete Wi-Fi), ed è stata attivata l'acquisizione di dati in modalità promiscua, sarà possibile visualizzare anche i dati dei computer collegati alla stessa Rete.

Il programma visualizza i dati intercettati in colori diversi:
  1. il traffico TCP è verde
  2. il traffico DNS è blu scuro
  3. il traffico UDP è invece blu chiaro
E’ possibile utilizzare delle regole di filtraggio di pacchetti.

In pratica, volendo rilevare solamente le connessioni eseguite con il browser, sarà sufficiente spostarsi sul menu “Analyze”, selezionare “Display Filters…” scegliendo, quindi, la voce “http” cliccando per salvare le modifiche sul pulsante “Apply”.

Tutti i pacchetti intercettati possono essere “ispezionati” cliccandoci semplicemente sopra con il pulsante destro del mouse al fine di avere una visione più dettagliata di quanto catturato.

Il programma, inoltre, offre la possibilità di convertire gli indirizzi IP “sniffati” nella Rete in nomi di dominio (si vedranno, quindi, i vari nomi dei siti anziché i loro indirizzi IP).

Per eseguire tale conversione basta spostarsi sul menu Edit/Preferences/Name Resolution ed attivare la voce “Enable Network Name Resolution” cliccando, per terminare, sul pulsante “Apply”.

Per registrare il traffico di Rete catturando i vari dati ed informazioni bisogna utilizzare la cattura remota di Wireshark che sfrutta i driver WinPcap scaricabli da questa pagina.

Si continua cliccando sul menu Capture/Options nella finestra iniziale di Wireshark selezionando, quindi, la voce “Remote...” dal menu a tendina “Interface”.

A questo punto di inserisce l’indirizzo IP del computer remoto di cui si vogliono intercettare i dati selezionando la porta 2002 (per funzionare correttamente è necessario eseguire il port-forwarding nel router in uso).

Avviata la connessione sarà possibile selezionare un’interfaccia sul sistema remoto dove sono elencate le schede di Rete e, cliccando sul pulsante “Avvia”, il programma inizierà la registrazione delle varie connessioni effettuate da quel determinato computer.

Prova pratica
Con Wireshark in esecuzione avviamo un client di posta elettronica come, ad esempio, Windows Live Mail e verifichiamo se abbiamo posta.

Nel momento in cui verrà avviato il client, la finestra principale di Wireshark, si riempirà di tutti i pacchetti che stanno transitando nella Rete. Attendiamo un paio di secondi e, quindi, blocchiamo lo sniffing cliccando sul quarto pulsante a sinistra presente nella barra degli strumenti.

Spostiamoci, adesso, nel menu Edit e selezioniamo la voce “Find Packet”.

Nella nuova finestra visualizzata, alla sezione “Find”, scegliamo la voce “String” ed inseriamo la keyword “pass” (senza virgolette) cliccando, quindi, sul pulsante “Find”.

A questo punto, in Wireshark, verrà visualizzata la password utilizzata per accedere al client di posta elettronica.


Maggiori informazioni ed approfondimenti potete trovarli a questa pagina.

Wireshark

"Consigliamo, prima di utilizzare software che potrebbero modificare la configurazione del sistema operativo, di creare un’immagine del disco fisso ed eseguire un backup dei dati"

10 commenti:

  1. Seguirà un "guida completa a Wireshark"?

    RispondiElimina
  2. @Anonimo
    Scrivere una guida completa equivarrebbe a scrivere un "libro universitario" :-)
    Quindi non penso (almeno per il momento) che verrà fatta. Per un prossimo futuro... Non si sa mai...

    RispondiElimina
  3. Come da avviso i commenti anonimi non saranno più pubblicati.

    RispondiElimina
  4. Qualcuno riesce ad aiutarmi?!?? Ho installato wireshark sul mio pc e per prendere un po’ di dimestichezza ho provato a far partire una registrazione, quindi dal mio stesso pc ho aperto la pagina di facebook inserendo username e password, quindi ho stoppato la registrazione. Al momento dell’analisi sono andato a filtrarmi i messaggi http quindi sono andato a cercarmi scritte che mi riconducessero alla pagina di facebook, perchè il mio obiettivo era quello di “ritrovare” la mia usr e pwd in chiaro, ma niente…qualcuno sa aiutarmi?

    RispondiElimina
  5. @Daniel'san
    Hai per caso attivato su FB la navigazione sicura?

    RispondiElimina
  6. Si, ho attiva la navigazione sicura

    RispondiElimina
  7. @Daniel'san
    Potrebbe essere quello allora il motivo. Se non ricordo male WS recupera i protocolli HTTP ma non HTTPS

    RispondiElimina
  8. su quale pc della rete è più utile metterlo ( o ne server uno per ciascun pc della lan ?

    RispondiElimina
  9. utile controllarsi il proprio traffico...

    RispondiElimina

L'archivio di TechnoGeek