Come usare Wireshark: un tutorial completo

Sommario:

Come usare Wireshark: un tutorial completo
Come usare Wireshark: un tutorial completo
Anonim

Cosa sapere

  • Wireshark è un'applicazione open source che acquisisce e visualizza i dati che viaggiano avanti e indietro su una rete.
  • Poiché può approfondire e leggere il contenuto di ogni pacchetto, viene utilizzato per risolvere i problemi di rete e testare il software.

Le istruzioni in questo articolo si applicano a Wireshark 3.0.3 per Windows e Mac.

Linea inferiore

Originariamente noto come Ethereal, Wireshark visualizza i dati di centinaia di protocolli diversi su tutti i principali tipi di rete. I pacchetti di dati possono essere visualizzati in tempo reale o analizzati offline. Wireshark supporta dozzine di formati di file di acquisizione/traccia, inclusi CAP ed ERF. Gli strumenti di decrittazione integrati visualizzano i pacchetti crittografati per diversi protocolli comuni, inclusi WEP e WPA/WPA2.

Come scaricare e installare Wireshark

Wireshark può essere scaricato gratuitamente dal sito Web della Wireshark Foundation sia per macOS che per Windows. Vedrai l'ultima versione stabile e la versione di sviluppo corrente. A meno che tu non sia un utente avanzato, scarica la versione stabile.

Image
Image

Durante il processo di installazione di Windows, scegli di installare WinPcap o Npcap se richiesto, poiché includono le librerie necessarie per l'acquisizione dei dati in tempo reale.

Image
Image

Devi aver effettuato l'accesso al dispositivo come amministratore per utilizzare Wireshark. In Windows 10, cerca Wireshark e seleziona Esegui come amministratore In macOS, fai clic con il pulsante destro del mouse sull'icona dell'app e seleziona Ottieni informazioniNelle impostazioni Condivisione e autorizzazioni, assegna all'amministratore Leggi e scrivi privilegi.

Image
Image

L'applicazione è disponibile anche per Linux e altre piattaforme simili a UNIX tra cui Red Hat, Solaris e FreeBSD. I file binari richiesti per questi sistemi operativi possono essere trovati nella parte inferiore della pagina di download di Wireshark nella sezione Pacchetti di terze parti. Puoi anche scaricare il codice sorgente di Wireshark da questa pagina.

Come acquisire pacchetti di dati con Wireshark

Quando avvii Wireshark, una schermata di benvenuto elenca le connessioni di rete disponibili sul tuo dispositivo attuale. A destra di ciascuno è visualizzato un grafico a linee in stile EKG che rappresenta il traffico in tempo reale su quella rete.

Per iniziare a catturare i pacchetti con Wireshark:

  1. Seleziona una o più reti, vai alla barra dei menu, quindi seleziona Capture.

    Per selezionare più reti, tieni premuto il tasto Maiusc mentre fai la tua selezione.

    Image
    Image

  2. Nella finestra Wireshark Capture Interfaces, seleziona Start.

    Ci sono altri modi per avviare l'acquisizione dei pacchetti. Seleziona shark fin sul lato sinistro della barra degli strumenti di Wireshark, premi Ctrl+E o fai doppio clic sulla rete.

    Image
    Image

  3. Seleziona File > Salva con nome o scegli un'opzione Esporta per registrare l'acquisizione.

    Image
    Image

  4. Per interrompere la cattura, premi Ctrl+E. Oppure vai alla barra degli strumenti di Wireshark e seleziona il pulsante rosso Stop che si trova accanto alla pinna di squalo.

    Image
    Image

Come visualizzare e analizzare il contenuto del pacchetto

L'interfaccia dati acquisiti contiene tre sezioni principali:

  • Il riquadro dell'elenco dei pacchetti (la sezione superiore)
  • Il riquadro dei dettagli del pacchetto (la sezione centrale)
  • Il riquadro dei byte del pacchetto (la sezione inferiore)
Image
Image

Elenco pacchetti

Il riquadro dell'elenco dei pacchetti, situato nella parte superiore della finestra, mostra tutti i pacchetti trovati nel file di acquisizione attivo. Ogni pacchetto ha la propria riga e il numero corrispondente assegnato, insieme a ciascuno di questi punti dati:

  • No: questo campo indica quali pacchetti fanno parte della stessa conversazione. Rimane vuoto finché non selezioni un pacchetto.
  • Time: Il timestamp di quando il pacchetto è stato acquisito viene visualizzato in questa colonna. Il formato predefinito è il numero di secondi o secondi parziali dalla prima creazione di questo specifico file di acquisizione.
  • Source: Questa colonna contiene l'indirizzo (IP o altro) da cui ha avuto origine il pacchetto.
  • Destinazione: Questa colonna contiene l'indirizzo a cui viene inviato il pacchetto.
  • Protocollo: Il nome del protocollo del pacchetto, ad esempio TCP, si trova in questa colonna.
  • Length: La lunghezza del pacchetto, in byte, viene visualizzata in questa colonna.
  • Info: Ulteriori dettagli sul pacchetto sono presentati qui. Il contenuto di questa colonna può variare notevolmente a seconda del contenuto del pacchetto.

Per cambiare il formato dell'ora in qualcosa di più utile (come l'ora effettiva della giornata), seleziona Visualizza > Formato di visualizzazione dell'ora.

Image
Image

Quando un pacchetto viene selezionato nel riquadro superiore, potresti notare uno o più simboli visualizzati nella colonna No.. Le parentesi aperte o chiuse e una linea retta orizzontale indicano se un pacchetto o un gruppo di pacchetti fanno parte della stessa conversazione avanti e indietro sulla rete. Una linea orizzontale spezzata indica che un pacchetto non fa parte della conversazione.

Image
Image

Dettagli pacchetto

Il riquadro dei dettagli, che si trova al centro, presenta i protocolli ei campi del protocollo del pacchetto selezionato in un formato comprimibile. Oltre ad espandere ogni selezione, puoi applicare singoli filtri Wireshark in base a dettagli specifici e seguire flussi di dati in base al tipo di protocollo facendo clic con il pulsante destro del mouse sull'elemento desiderato.

Image
Image

Byte pacchetto

In fondo c'è il riquadro dei byte del pacchetto, che mostra i dati grezzi del pacchetto selezionato in una vista esadecimale. Questo dump esadecimale contiene 16 byte esadecimali e 16 byte ASCII insieme all'offset dei dati.

Selezionando una parte specifica di questi dati si evidenzia automaticamente la sezione corrispondente nel riquadro dei dettagli del pacchetto e viceversa. Tutti i byte che non possono essere stampati sono rappresentati da un punto.

Image
Image

Per visualizzare questi dati in formato bit anziché esadecimale, fai clic con il pulsante destro del mouse in un punto qualsiasi del riquadro e seleziona come bit.

Image
Image

Come utilizzare i filtri Wireshark

I filtri di acquisizione indicano a Wireshark di registrare solo i pacchetti che soddisfano i criteri specificati. I filtri possono essere applicati anche a un file di acquisizione che è stato creato in modo che vengano visualizzati solo determinati pacchetti. Questi sono indicati come filtri di visualizzazione.

Wireshark fornisce un gran numero di filtri predefiniti per impostazione predefinita. Per utilizzare uno di questi filtri esistenti, inserisci il suo nome nel campo di immissione Applica un filtro di visualizzazione situato sotto la barra degli strumenti di Wireshark o nel campo Inserisci un filtro di acquisizionecampo situato al centro della schermata di benvenuto.

Ad esempio, se vuoi visualizzare i pacchetti TCP, digita tcp. La funzione di completamento automatico di Wireshark mostra i nomi suggeriti quando inizi a digitare, rendendo più facile trovare il moniker corretto per il filtro che stai cercando.

Image
Image

Un altro modo per scegliere un filtro è selezionare il segnalibro sul lato sinistro del campo di immissione. Scegli Gestisci espressioni filtro o Gestisci filtri di visualizzazione per aggiungere, rimuovere o modificare i filtri.

Image
Image

Puoi anche accedere ai filtri utilizzati in precedenza selezionando la freccia in basso sul lato destro del campo di immissione per visualizzare un elenco a discesa della cronologia.

Image
Image

I filtri di acquisizione vengono applicati non appena inizi a registrare il traffico di rete. Per applicare un filtro di visualizzazione, seleziona la freccia destra sul lato destro del campo di immissione.

Regole colore Wireshark

Mentre i filtri di acquisizione e visualizzazione di Wireshark limitano quali pacchetti vengono registrati o mostrati sullo schermo, la sua funzione di colorazione fa un ulteriore passo avanti: può distinguere tra diversi tipi di pacchetti in base alla loro tonalità individuale. Questo individua rapidamente determinati pacchetti all'interno di un set salvato in base al colore della loro riga nel riquadro dell'elenco dei pacchetti.

Image
Image

Wireshark viene fornito con circa 20 regole di colorazione predefinite, ognuna può essere modificata, disabilitata o eliminata. Seleziona Visualizza > Regole di colorazione per una panoramica del significato di ciascun colore. Puoi anche aggiungere i tuoi filtri basati sui colori.

Image
Image

Seleziona Visualizza > Colora elenco pacchetti per attivare e disattivare la colorazione dei pacchetti.

Statistiche in Wireshark

Altre utili metriche sono disponibili tramite il menu a discesa Statistiche. Questi includono informazioni sulla dimensione e sulla tempistica del file di acquisizione, insieme a dozzine di grafici e grafici che vanno dall'interruzione delle conversazioni dei pacchetti alla distribuzione del carico delle richieste

Image
Image

I filtri di visualizzazione possono essere applicati a molte di queste statistiche tramite le loro interfacce e i risultati possono essere esportati in formati di file comuni, inclusi CSV, XML e TXT.

Funzioni avanzate Wireshark

Wireshark supporta anche funzionalità avanzate, inclusa la possibilità di scrivere dissettori di protocollo nel linguaggio di programmazione Lua.

Consigliato:

Come usare Microsoft Word

Come usare Microsoft Word

Modalità Focus, Spike, Tell Me, Smart Lookup e altri trucchi nascosti rendono Word più facile da usare

Come creare un backup completo su un computer Windows 11

Come creare un backup completo su un computer Windows 11

Esegui il backup dei tuoi file su Windows 11 su un'unità esterna con la funzione Cronologia file e mantieni i tuoi dati al sicuro

Come impostare il monitoraggio completo del corpo di HTC Vive

Come impostare il monitoraggio completo del corpo di HTC Vive

HTC Vive ha due controller di movimento, ma puoi monitorare tutto il tuo corpo utilizzando Vive Tracker wireless standalone

Come inoltrare un thread completo di email in Gmail

Come inoltrare un thread completo di email in Gmail

Quando vale la pena inoltrare un'intera conversazione, puoi fare tutto utilizzando una sola email in Gmail

Come creare un backup completo su un computer Windows 10

Come creare un backup completo su un computer Windows 10

Il backup del tuo PC Windows 10 completo può essere un ottimo modo per riprendere a lavorare in caso di arresto anomalo del sistema. Ecco come farlo utilizzando gli strumenti di Windows