Premessa
Questa miniguida vuole essere una piccola introduzione a quelle che sono le reali potenzialità del programma. Wireshark, infatti, è un potentissimo strumento di sniffing e, per capirlo completamente e riuscire ad utilizzarlo al 100%, è necessario studiarlo a fondo ed eseguire tantissime prove.
Tengo a precisare inoltre che, il programma, consente di recuperare dati ed informazioni dei computer vittima e, quindi, utilizzatelo solamente con amici consapevoli di quanto state facendo.
Intercettare ed inserirsi nelle connessioni altrui è un reato perseguibile civilmente e penalmente. Consiglio di leggere attentamente il regolamento del blog prima di proseguire.
Wireshark
Terminata l’installazione, avviandolo, è necessario selezionare l’interfaccia di rete selezionandola alla voce "Interface List".
Terminato questo step verranno visualizzate nel monitor tutte le informazioni che transitano nella Rete.
Se si attiva il controllo su una Rete condivisa (ad esempio una rete Wi-Fi), ed è stata attivata l'acquisizione di dati in modalità promiscua, sarà possibile visualizzare anche i dati dei computer collegati alla stessa Rete.
Il programma visualizza i dati intercettati in colori diversi:
- il traffico TCP è verde
- il traffico DNS è blu scuro
- il traffico UDP è invece blu chiaro
In pratica, volendo rilevare solamente le connessioni eseguite con il browser, sarà sufficiente spostarsi sul menu “Analyze”, selezionare “Display Filters…” scegliendo, quindi, la voce “http” cliccando per salvare le modifiche sul pulsante “Apply”.
Tutti i pacchetti intercettati possono essere “ispezionati” cliccandoci semplicemente sopra con il pulsante destro del mouse al fine di avere una visione più dettagliata di quanto catturato.
Il programma, inoltre, offre la possibilità di convertire gli indirizzi IP “sniffati” nella Rete in nomi di dominio (si vedranno, quindi, i vari nomi dei siti anziché i loro indirizzi IP).
Per eseguire tale conversione basta spostarsi sul menu Edit/Preferences/Name Resolution ed attivare la voce “Enable Network Name Resolution” cliccando, per terminare, sul pulsante “Apply”.
Per registrare il traffico di Rete catturando i vari dati ed informazioni bisogna utilizzare la cattura remota di Wireshark che sfrutta i driver WinPcap scaricabli da questa pagina.
Si continua cliccando sul menu Capture/Options nella finestra iniziale di Wireshark selezionando, quindi, la voce “Remote...” dal menu a tendina “Interface”.
A questo punto di inserisce l’indirizzo IP del computer remoto di cui si vogliono intercettare i dati selezionando la porta 2002 (per funzionare correttamente è necessario eseguire il port-forwarding nel router in uso).
Avviata la connessione sarà possibile selezionare un’interfaccia sul sistema remoto dove sono elencate le schede di Rete e, cliccando sul pulsante “Avvia”, il programma inizierà la registrazione delle varie connessioni effettuate da quel determinato computer.
Prova pratica
Con Wireshark in esecuzione avviamo un client di posta elettronica come, ad esempio, Windows Live Mail e verifichiamo se abbiamo posta.
Nel momento in cui verrà avviato il client, la finestra principale di Wireshark, si riempirà di tutti i pacchetti che stanno transitando nella Rete. Attendiamo un paio di secondi e, quindi, blocchiamo lo sniffing cliccando sul quarto pulsante a sinistra presente nella barra degli strumenti.
Spostiamoci, adesso, nel menu Edit e selezioniamo la voce “Find Packet”.
Nella nuova finestra visualizzata, alla sezione “Find”, scegliamo la voce “String” ed inseriamo la keyword “pass” (senza virgolette) cliccando, quindi, sul pulsante “Find”.
A questo punto, in Wireshark, verrà visualizzata la password utilizzata per accedere al client di posta elettronica.
Maggiori informazioni ed approfondimenti potete trovarli a questa pagina.
Wireshark
Attenzione: consiglio, prima di utilizzare software che potrebbero modificare la configurazione del sistema operativo, di creare un punto di ripristino e/o un’immagine del disco fisso
2 commenti:
Seguirà un "guida completa a Wireshark"?
@Anonimo
Scrivere una guida completa equivarrebbe a scrivere un "libro universitario" :-)
Quindi non penso (almeno per il momento) che verrà fatta. Per un prossimo futuro... Non si sa mai...
Posta un commento