Utilizzare Wireshark su Ubuntu

Wireshark è un potente analizzatore di rete open source che può essere utilizzato per sniffare i dati su una rete, come aiuto per la risoluzione dei problemi nell’analisi del traffico di rete, ma anche come strumento educativo per comprendere i principi delle reti e dei protocolli di comunicazione.

È facilmente disponibile per praticamente qualsiasi distribuzione Linux e per Ubuntu può essere installato tramite l’Ubuntu Software Center o il terminale:

sudo apt-get install wireshark

Prima di utilizzare Wireshark, l’utilità dumpcap deve ricevere il permesso di essere eseguita come root. Senza questo, Wireshark non sarà in grado di catturare il traffico di rete quando sei connesso come utente normale (cosa che accade sempre in distribuzioni come Ubuntu). Per aggiungere il bit “ setuid ” a dumpcap, usa il seguente comando:

sudo chmod 4711 `which dumpcap`

Nota che le virgolette intorno a “which dumpcap” non sono virgolette singole normali, ma piuttosto il carattere di accento grave. Nei sistemi simili a Unix, questo invoca la sostituzione del comando dove l’output del comando which diventa un parametro per il comando chmod, ovvero il percorso completo del file binario dumpcap.

wireshark-Start-capture

Avvia Wireshark e poi clicca sull’interfaccia di rete che vuoi utilizzare per catturare i dati. Su una rete cablata, probabilmente sarà eth0. Ora clicca su Avvia.

Wireshark inizierà a catturare il traffico e a visualizzarlo come un elenco codificato a colori nella finestra principale. Il traffico TCP è verde, i pacchetti UDP sono azzurri chiari, le richieste ARP sono gialle e il traffico DNS è mostrato in blu scuro.

wireshark-live-capture

Subito sotto la barra degli strumenti c’è la casella Filtro. Per vedere solo determinati tipi di pacchetti di rete, inserisci il nome del protocollo nella casella di modifica e clicca su Applica. Ad esempio, per vedere solo il messaggio ARP (Address Resolution Protocol), digita arp nella casella Filtro e clicca su Applica. L’elenco cambierà per mostrare solo messaggi ARP. L’ARP viene utilizzato su una LAN per scoprire quale macchina sta utilizzando un determinato indirizzo IP. Altri filtri esempio sono HTTP, ICMP, SMTP, SMB e così via.

Wireshark può filtrare utilizzando criteri più avanzati rispetto al solo tipo di protocollo. Ad esempio, per vedere tutto il traffico DNS relativo che proviene da un particolare host, usa il filtro ip.src==192.168.1.101 and dns, dove 192.168.1.101 è l’indirizzo sorgente che desideri filtrare.

wireshark-follow-stream

Se noti un’interazione interessante tra due host che vuoi vedere nella sua interezza, allora Wireshark ha un’opzione “segui flusso”. Fai clic con il tasto destro su qualsiasi pacchetto dello scambio e poi clicca su “Segui flusso TCP” (o Segui flusso UDP, Segui flusso SSL a seconda del tipo di protocollo). Wireshark mostrerà quindi una copia completa della conversazione.

Prova questo

Utilizzare Wireshark può essere tanto complesso o semplice quanto ne hai bisogno; ci sono molte funzionalità avanzate per esperti di rete, ma anche coloro che desiderano imparare sulle reti possono beneficiare dell’utilizzo. Ecco qualcosa da provare se vuoi saperne di più su Wireshark. Avvia una cattura e imposta il filtro su ICMP. Ora esegui il ping della tua macchina Linux utilizzando un comando come questo da un’altra macchina Linux o persino dalla shell dei comandi di un PC Windows: