Cosa sapere
- Wireshark è un'applicazione open source che acquisisce e visualizza i dati che viaggiano avanti e indietro su una rete.
- Poiché può approfondire e leggere il contenuto di ogni pacchetto, viene utilizzato per risolvere i problemi di rete e testare il software.
Le istruzioni in questo articolo si applicano a Wireshark 3.0.3 per Windows e Mac.
Linea inferiore
Originariamente noto come Ethereal, Wireshark visualizza i dati di centinaia di protocolli diversi su tutti i principali tipi di rete. I pacchetti di dati possono essere visualizzati in tempo reale o analizzati offline. Wireshark supporta dozzine di formati di file di acquisizione/traccia, inclusi CAP ed ERF. Gli strumenti di decrittazione integrati visualizzano i pacchetti crittografati per diversi protocolli comuni, inclusi WEP e WPA/WPA2.
Come scaricare e installare Wireshark
Wireshark può essere scaricato gratuitamente dal sito Web della Wireshark Foundation sia per macOS che per Windows. Vedrai l'ultima versione stabile e la versione di sviluppo corrente. A meno che tu non sia un utente avanzato, scarica la versione stabile.
Durante il processo di installazione di Windows, scegli di installare WinPcap o Npcap se richiesto, poiché includono le librerie necessarie per l'acquisizione dei dati in tempo reale.
Devi aver effettuato l'accesso al dispositivo come amministratore per utilizzare Wireshark. In Windows 10, cerca Wireshark e seleziona Esegui come amministratore In macOS, fai clic con il pulsante destro del mouse sull'icona dell'app e seleziona Ottieni informazioniNelle impostazioni Condivisione e autorizzazioni, assegna all'amministratore Leggi e scrivi privilegi.
L'applicazione è disponibile anche per Linux e altre piattaforme simili a UNIX tra cui Red Hat, Solaris e FreeBSD. I file binari richiesti per questi sistemi operativi possono essere trovati nella parte inferiore della pagina di download di Wireshark nella sezione Pacchetti di terze parti. Puoi anche scaricare il codice sorgente di Wireshark da questa pagina.
Come acquisire pacchetti di dati con Wireshark
Quando avvii Wireshark, una schermata di benvenuto elenca le connessioni di rete disponibili sul tuo dispositivo attuale. A destra di ciascuno è visualizzato un grafico a linee in stile EKG che rappresenta il traffico in tempo reale su quella rete.
Per iniziare a catturare i pacchetti con Wireshark:
-
Seleziona una o più reti, vai alla barra dei menu, quindi seleziona Capture.
Per selezionare più reti, tieni premuto il tasto Maiusc mentre fai la tua selezione.
-
Nella finestra Wireshark Capture Interfaces, seleziona Start.
Ci sono altri modi per avviare l'acquisizione dei pacchetti. Seleziona shark fin sul lato sinistro della barra degli strumenti di Wireshark, premi Ctrl+E o fai doppio clic sulla rete.
-
Seleziona File > Salva con nome o scegli un'opzione Esporta per registrare l'acquisizione.
-
Per interrompere la cattura, premi Ctrl+E. Oppure vai alla barra degli strumenti di Wireshark e seleziona il pulsante rosso Stop che si trova accanto alla pinna di squalo.
Come visualizzare e analizzare il contenuto del pacchetto
L'interfaccia dati acquisiti contiene tre sezioni principali:
- Il riquadro dell'elenco dei pacchetti (la sezione superiore)
- Il riquadro dei dettagli del pacchetto (la sezione centrale)
- Il riquadro dei byte del pacchetto (la sezione inferiore)
Elenco pacchetti
Il riquadro dell'elenco dei pacchetti, situato nella parte superiore della finestra, mostra tutti i pacchetti trovati nel file di acquisizione attivo. Ogni pacchetto ha la propria riga e il numero corrispondente assegnato, insieme a ciascuno di questi punti dati:
- No: questo campo indica quali pacchetti fanno parte della stessa conversazione. Rimane vuoto finché non selezioni un pacchetto.
- Time: Il timestamp di quando il pacchetto è stato acquisito viene visualizzato in questa colonna. Il formato predefinito è il numero di secondi o secondi parziali dalla prima creazione di questo specifico file di acquisizione.
- Source: Questa colonna contiene l'indirizzo (IP o altro) da cui ha avuto origine il pacchetto.
- Destinazione: Questa colonna contiene l'indirizzo a cui viene inviato il pacchetto.
- Protocollo: Il nome del protocollo del pacchetto, ad esempio TCP, si trova in questa colonna.
- Length: La lunghezza del pacchetto, in byte, viene visualizzata in questa colonna.
- Info: Ulteriori dettagli sul pacchetto sono presentati qui. Il contenuto di questa colonna può variare notevolmente a seconda del contenuto del pacchetto.
Per cambiare il formato dell'ora in qualcosa di più utile (come l'ora effettiva della giornata), seleziona Visualizza > Formato di visualizzazione dell'ora.
Quando un pacchetto viene selezionato nel riquadro superiore, potresti notare uno o più simboli visualizzati nella colonna No.. Le parentesi aperte o chiuse e una linea retta orizzontale indicano se un pacchetto o un gruppo di pacchetti fanno parte della stessa conversazione avanti e indietro sulla rete. Una linea orizzontale spezzata indica che un pacchetto non fa parte della conversazione.
Dettagli pacchetto
Il riquadro dei dettagli, che si trova al centro, presenta i protocolli ei campi del protocollo del pacchetto selezionato in un formato comprimibile. Oltre ad espandere ogni selezione, puoi applicare singoli filtri Wireshark in base a dettagli specifici e seguire flussi di dati in base al tipo di protocollo facendo clic con il pulsante destro del mouse sull'elemento desiderato.
Byte pacchetto
In fondo c'è il riquadro dei byte del pacchetto, che mostra i dati grezzi del pacchetto selezionato in una vista esadecimale. Questo dump esadecimale contiene 16 byte esadecimali e 16 byte ASCII insieme all'offset dei dati.
Selezionando una parte specifica di questi dati si evidenzia automaticamente la sezione corrispondente nel riquadro dei dettagli del pacchetto e viceversa. Tutti i byte che non possono essere stampati sono rappresentati da un punto.
Per visualizzare questi dati in formato bit anziché esadecimale, fai clic con il pulsante destro del mouse in un punto qualsiasi del riquadro e seleziona come bit.
Come utilizzare i filtri Wireshark
I filtri di acquisizione indicano a Wireshark di registrare solo i pacchetti che soddisfano i criteri specificati. I filtri possono essere applicati anche a un file di acquisizione che è stato creato in modo che vengano visualizzati solo determinati pacchetti. Questi sono indicati come filtri di visualizzazione.
Wireshark fornisce un gran numero di filtri predefiniti per impostazione predefinita. Per utilizzare uno di questi filtri esistenti, inserisci il suo nome nel campo di immissione Applica un filtro di visualizzazione situato sotto la barra degli strumenti di Wireshark o nel campo Inserisci un filtro di acquisizionecampo situato al centro della schermata di benvenuto.
Ad esempio, se vuoi visualizzare i pacchetti TCP, digita tcp. La funzione di completamento automatico di Wireshark mostra i nomi suggeriti quando inizi a digitare, rendendo più facile trovare il moniker corretto per il filtro che stai cercando.
Un altro modo per scegliere un filtro è selezionare il segnalibro sul lato sinistro del campo di immissione. Scegli Gestisci espressioni filtro o Gestisci filtri di visualizzazione per aggiungere, rimuovere o modificare i filtri.
Puoi anche accedere ai filtri utilizzati in precedenza selezionando la freccia in basso sul lato destro del campo di immissione per visualizzare un elenco a discesa della cronologia.
I filtri di acquisizione vengono applicati non appena inizi a registrare il traffico di rete. Per applicare un filtro di visualizzazione, seleziona la freccia destra sul lato destro del campo di immissione.
Regole colore Wireshark
Mentre i filtri di acquisizione e visualizzazione di Wireshark limitano quali pacchetti vengono registrati o mostrati sullo schermo, la sua funzione di colorazione fa un ulteriore passo avanti: può distinguere tra diversi tipi di pacchetti in base alla loro tonalità individuale. Questo individua rapidamente determinati pacchetti all'interno di un set salvato in base al colore della loro riga nel riquadro dell'elenco dei pacchetti.
Wireshark viene fornito con circa 20 regole di colorazione predefinite, ognuna può essere modificata, disabilitata o eliminata. Seleziona Visualizza > Regole di colorazione per una panoramica del significato di ciascun colore. Puoi anche aggiungere i tuoi filtri basati sui colori.
Seleziona Visualizza > Colora elenco pacchetti per attivare e disattivare la colorazione dei pacchetti.
Statistiche in Wireshark
Altre utili metriche sono disponibili tramite il menu a discesa Statistiche. Questi includono informazioni sulla dimensione e sulla tempistica del file di acquisizione, insieme a dozzine di grafici e grafici che vanno dall'interruzione delle conversazioni dei pacchetti alla distribuzione del carico delle richieste
I filtri di visualizzazione possono essere applicati a molte di queste statistiche tramite le loro interfacce e i risultati possono essere esportati in formati di file comuni, inclusi CSV, XML e TXT.
Funzioni avanzate Wireshark
Wireshark supporta anche funzionalità avanzate, inclusa la possibilità di scrivere dissettori di protocollo nel linguaggio di programmazione Lua.