Oggi l'uso di internet sta diventando sempre più frequente e importante per molte persone poiché grazie a questa connessione potremo accedere a diverse piattaforme come email, pagine aziendali, siti di interesse o di intrattenimento e in generale tutto ciò che Internet offre noi.
Tuttavia, è molto importante considerare la sicurezza della rete. Sappiamo che un'alta percentuale di attacchi alle apparecchiature informatiche avviene attraverso la rete e molte volte è colpa nostra (password errate, download di file sconosciuti, apertura di eseguibili nelle email) ma se non si hanno le conoscenze di base su come funziona la rete puoi essere (se non lo sei stato) una vittima in più di questo tipo di attacco.
Internet è davvero una gigantesca rete di protocolli, servizi e infrastrutture che consente di portare la connettività di rete ovunque e oltre il 90% di noi ha sentito parlare di TCP/IP, HTTP, SMTP, ecc.
Tutti questi sono protocolli che giocano un ruolo chiave nel modo in cui la rete raggiunge il tuo PC o dispositivo, ma dietro di esso ci sono router e altri componenti che, se falliscono, accadono due cose, oppure rimani senza accesso alla rete. sei suscettibile di essere attaccato. Ecco perché gli sviluppatori di prodotti di rete e di rete si sono sforzati di creare applicazioni che conosciamo come Sniffer e analizzatori di rete e sebbene siano generalmente molto tecnici, la verità è che è uno strumento prezioso per determinare a che punto della comunicazione un potrebbe verificarsi un errore.
Cos'è uno sniffer?Uno sniffer o un analizzatore di rete sono utilità sia hardware che software che sono state sviluppate con l'obiettivo di generare un monitoraggio costante del traffico di rete locale o esterno. Questo tracciamento è fondamentalmente incaricato di analizzare i flussi di pacchetti di dati che vengono inviati e ricevuti tra i computer della rete, sia internamente che esternamente.
Utilizza una modalità di tracciamento chiamata "modalità promiscua" con la quale ci dà la possibilità di esaminare tutti i pacchetti indipendentemente dalla loro destinazione, questo può richiedere tempo ma è fondamentale sapere con certezza cosa sta attraversando la nostra rete.
Possiamo configurare uno Sniffer in due modi diversi a seconda dell'esigenza di supporto, queste modalità sono:
- Possiamo configurarlo senza un filtro in modo che lo strumento catturi tutti i pacchetti disponibili e ne memorizzi una registrazione sul disco rigido locale per analizzarli in seguito.
- Può essere configurato con un filtro specifico che ci dà l'opportunità di catturare i pacchetti in base ai criteri che specifichiamo prima della ricerca.
Gli sniffer o gli analizzatori di rete possono essere utilizzati ugualmente in una rete LAN o Wi-Fi. La differenza principale è che se viene utilizzato in una rete LAN, avremo accesso ai pacchetti di qualsiasi apparecchiatura collegata. Oppure puoi stabilire una limitazione in base ai dispositivi di rete, nel caso di utilizzo di una rete wireless, l'analizzatore di rete sarà in grado di scansionare solo un canale alla volta a causa della limitazione della rete, ma se utilizziamo più interfacce wireless questo potrebbe migliora un po' ma è sempre meglio usarlo su una rete cablata o LAN.
Quando tracciamo i pacchetti utilizzando uno sniffer o un analizzatore di rete, possiamo accedere a dettagli come:
- Informazioni sui siti visitati
- Contenuto e destinatario delle email inviate e ricevute
- Visualizza i file scaricati e molti altri dettagli
L'obiettivo principale di uno Sniffer è analizzare tutti i pacchetti sulla rete, in particolare il traffico in entrata, per cercare qualsiasi oggetto il cui contenuto contenga codice dannoso e in questo modo aumentare la sicurezza nell'organizzazione impedendo l'installazione di qualsiasi tipo di dispositivo su qualsiasi client computer.malware.
Conoscendo un po' come funziona l'analizzatore di rete, conosceremo alcuni dei migliori analizzatori di rete o Sniffer disponibili per Windows e Linux.
Wireshark
Se in qualsiasi momento hai provato a fare un'analisi di rete senza dubbio hai visto o ti è stato consigliato WireShark come una delle migliori soluzioni e non è irragionevole pensarci, il motivo è semplice, WireShark si è posizionato come uno degli analizzatori di protocollo di rete più utilizzati da milioni di persone nel mondo grazie non solo alla sua facilità d'uso ma anche alle sue funzionalità integrate.
caratteristicheTra le sue caratteristiche segnaliamo le seguenti:
- Può essere eseguito senza problemi su sistemi come Windows, Linux, macOS, Solaris, FreeBSD, NetBSD e altri.
- Integra una potente analisi per VoIP.
- Può eseguire un'ispezione approfondita di oltre 100 protocolli.
- Può eseguire l'acquisizione in tempo reale e l'analisi offline dei pacchetti di rete.
- Supporta formati di lettura e scrittura come tcpdump (libpcap), Pcap NG, Catapult DCT2000, Cisco Secure IDS iplog, Microsoft Network Monitor, Network General Sniffer® (compresso e non compresso), Sniffer® Pro e NetXray®, Network Instruments Observer, NetScreen snoop, Novell LANalyzer, RADCOM WAN / LAN Analyzer, Shomiti / Finisar Surveyor, Tektronix K12xx, Visual Networks Time Up Visual, WildPackets EtherPeek / TokenPeek / AiroPeek e altro ancora.
- I dati acquisiti in tempo reale possono essere letti da piattaforme come Ethernet, IEEE 802.11, PPP / HDLC, ATM, Bluetooth, USB, Token Ring, Frame Relay, FDDI che ci offre un'ampia gamma di possibilità di accesso.
- I dati di rete acquisiti possono essere esplorati utilizzando un'interfaccia grafica (GUI) o tramite TShark in modalità TTY.
- Supporta la decrittografia di più protocolli come IPsec, ISAKMP, Kerberos, SNMPv3, SSL/TLS, WEP e WPA/WPA2
- Possiamo implementare regole di colore per una migliore gestione dei dati ottenuti.
- I risultati possono essere esportati in XML, PostScript®, CSV o testo normale (CSV)
Il suo download è disponibile al seguente link:
Lì possiamo scaricare l'eseguibile per Windows 10 e nel caso di Linux possiamo scaricare il codice sorgente o eseguire i seguenti comandi nel terminale:
sudo apt update sudo apt install wireshark sudo usermod -aG wireshark $ (whoami) sudo rebootUna volta installato in Windows 10 o Linux, al momento della sua esecuzione selezioneremo la scheda di rete da analizzare e poi vedremo quanto segue:
Su Windows 10
Una volta che vogliamo fermare il processo, facciamo clic su Stop e possiamo vedere i rispettivi risultati che possiamo definire in maggior dettaglio dai menu disponibili:
LinuxNel caso di Linux vedremo quanto segue:
EtherApe
Questa è un'utilità esclusiva per i sistemi UNIX poiché può essere eseguita solo su sistemi operativi come:
- Arch Linux
- Magia 6
- CENTO 7
- Fedora 24, 25, 26, 27, 28 e 29
- ScientificLinux 7
- SLES 12, 12 SP1 e 12 SP3
- OpenSUSE 13.2, Leap 42.1 / 42.2 / 42.3 e Tumbleweed / Factory.
caratteristicheAlcune delle sue caratteristiche più importanti sono:
- Sia il nodo che il colore del collegamento evidenziano il protocollo più attivo sulla rete.
- Possiamo selezionare il livello di protocolli da filtrare.
- Il traffico di rete utilizzato è rappresentato in forma grafica per una migliore comprensione dei dettagli.
- Supporta protocolli come ETH_II, 802.2, 803.3, IP, IPv6, ARP, X25L3, REVARP, ATALK, AARP, IPX, VINES, TRAIN, LOOP, VLAN, ICMP, IGMP, GGP, IPIP, TCP, EGP, PUP, UDP, IDP, TP, ROUTING, RSVP, GRE, ESP, AH, EON, VINES, EIGRP, OSPF, ENCAP, PIM, IPCOMP, VRRP;
- Supporta servizi TCP e UDP, TELNET, FTP, HTTP, POP3, NNTP, NETBIOS, IRC, DOMAIN, SNMP e altro.
- Supporta l'utilizzo di un filtro di rete prendendo la sintassi di pcap.
- Consente di analizzare la rete da un punto all'altro IP o da porta a porta TCP.
- I dati possono essere acquisiti offline.
- I dati raccolti possono essere letti dalle interfacce Ethernet, FDDI, PPP, SLIP e WLAN.
- Visualizza le statistiche di traffico per nodo.
- Con EtherApe la risoluzione dei nomi viene eseguita utilizzando le funzioni libc standard, questo significa che supporta DNS, file host e altri servizi.
- I risultati possono essere esportati in un file XML.
Per installare questa utility in Linux dobbiamo eseguire quanto segue:
sudo apt-get update sudo apt-get install etherapeUna volta installato accediamo all'utility eseguendo quanto segue:
sudo etherapeQuesto farà eseguire EtherApe dal terminale e l'interfaccia grafica dell'app verrà automaticamente visualizzata:
INGRANDIRE
Lì avremo un menu dove sarà possibile applicare filtri o regole.
Tcpdump
Questa è un'utilità per i sistemi Linux che cattura il traffico di rete sia in entrata che in uscita e questa applicazione può essere installata su sistemi operativi Unix / Linux poiché ha la libreria libpcap per eseguire il processo di acquisizione del traffico dalla rete selezionata.
Per installarlo, esegui semplicemente quanto segue nel terminale:
sudo apt install tcpdumpParametriAlcuni dei parametri da utilizzare sono:
- -A: stampa ogni pacchetto (esclusa l'intestazione del livello di collegamento) in ASCII.
- -b: stampa il numero AS nei pacchetti BGP nella notazione ASDOT invece della notazione ASPLAIN.
- -B buffer_size, --buffer-size = buffer_size: consente di definire la dimensione del buffer di acquisizione in buffer_size, in unità KiB (1024 byte).
- -c count: esce dal comando dopo aver ricevuto i pacchetti di rete.
- -C file_size: controlla se il file è più grande della dimensione del file originale.
- -d: esegue il dump del codice del pacchetto compilato in un formato leggibile dall'uomo.
- -dd: scarica il codice del pacchetto come frammento di programma C.
- -D --list-interfaces: stampa l'elenco delle interfacce disponibili.
- -e: stampa l'intestazione del livello di collegamento.
- -E: usa spi @ ipaddr per decrittografare i pacchetti ESP IPsec.
- -f: stampa gli indirizzi IPv4.
- -F file: ci permette di selezionare un file di filtro.
- -h -help: stampa la guida per il comando.
- --version: mostra la versione utilizzata di tcpdump.
- -i interfaccia --interface = interfaccia: ci permette di selezionare l'interfaccia da analizzare per l'acquisizione dei pacchetti.
- -I --monitor-mode: attiva l'interfaccia in "monitor mode"; che è compatibile solo con le interfacce Wi-Fi IEEE 802.11 e alcuni sistemi operativi.
Kismet
Kismet è una semplice utility che è più focalizzata sulle reti wireless ma grazie alla quale possiamo analizzare il traffico di reti nascoste o SSID che non sono stati inviati, possiamo usarla nei sistemi UNIX, Windows Under Cygwin e OSX.
Kismet funziona completamente su interfacce Wi-Fi, Bluetooth, hardware SDR (software Defined Radio-Software Defined Radio) e hardware di acquisizione specializzato.
caratteristicheTra le sue caratteristiche troviamo:
- Ti consente di esportare i dati standard in JSON per facilitare lo scripting per le tue istanze Kismet.
- Integra un'interfaccia utente basata sul web.
- Supporto del protocollo wireless.
- Ha un nuovo codice di acquisizione remota che è stato ottimizzato per la dimensione binaria e la RAM, questo facilita l'uso di dispositivi integrati per acquisire pacchetti sulla rete.
- Ha un formato di registrazione che può garantire informazioni complesse sui dispositivi, lo stato del sistema, gli avvisi e altri parametri.
Possiamo eseguire la sua installazione con il seguente comando:
sudo apt install kismetNel seguente link troverai più opzioni per installare kismet:
NetworkMiner
Questa è un'utilità di analisi forense di rete (NFAT - Network Forensic Analysis Tool) che si basa su open source per sistemi Windows, Linux, macOS e FreeBSD. Quando installiamo questo strumento siamo in grado di eseguire una scansione completa della rete per catturare tutti i pacchetti e con essi poter rilevare sistemi operativi, sessioni, nomi host, ecc., per una gestione completa di queste variabili.
caratteristicheAlcune delle sue caratteristiche più importanti sono:
- Possiamo analizzare i file PCAP per l'analisi offline.
- Sarà possibile eseguire un'analisi avanzata del traffico di rete (NTA).
- Esecuzione in tempo reale.
- Supporta l'indirizzamento IPv6.
- È possibile estrarre file dal traffico FTP, TFTP, HTTP, SMB, SMB2, SMTP, POP3 e IMAP
- Supporta SSL, HTTPS, SMTPS, IMAPS, POP3S, FTPS e altro ancora
- Deincapsulamento GRE, 802.1Q, PPPoE, VXLAN, OpenFlow, SOCKS, MPLS e EoMPLS
Il suo download è disponibile al seguente link:
Passo 1
Per il corretto utilizzo di NetworkMiner sarà necessario creare prima una regola inbound nel Windows 10 Firewall:
INGRANDIRE
Passo 2
Dopodiché dobbiamo eseguire l'utility come amministratore per accedere alla scansione dei computer in rete e selezionare le varie opzioni:
INGRANDIRE
Passaggio 3
Quando si seleziona un host, possiamo vedere gli elementi caricati nelle rispettive schede:
INGRANDIRE
Analizzatore messaggi Microsoft
Come potresti già sospettare dal suo nome, questa è un'utilità esclusiva di Windows 10 che è stata sviluppata da Microsoft per eseguire attività come l'acquisizione, la visualizzazione e l'analisi del traffico dei messaggi di protocollo e altri messaggi dal sistema operativo, oltre a questo quando usiamo Questa utility può importare, aggiungere o analizzare i dati dai file di registro e il monitoraggio della rete.
Alcune delle sue funzioni sono
- Acquisisci dati in tempo reale
- Carica dati da più origini dati contemporaneamente
- Mostra traccia o registra i dati
- Varie opzioni di visualizzazione e altro
Passo 1
Il suo download gratuito è disponibile al seguente link:
Passo 2
Una volta eseguito vedremo il seguente ambiente (deve essere eseguito come amministratore):
INGRANDIRE
Passaggio 3
Lì sarà possibile stabilire regole di colore, aggiungere colonne, impostare filtri e altro, quando selezioniamo una qualsiasi delle righe in basso troviamo dettagli più specifici a riguardo:
INGRANDIRE
Windump
Windump è la versione di Tcpdump per ambienti Windows poiché Windump è compatibile con Tcpdump e possiamo installarlo per visualizzare, diagnosticare o se vogliamo salvare il traffico di rete attraverso l'uso e l'implementazione di regole.
WinDump cattura il traffico di rete attraverso la libreria e i driver WinPcap, quindi dobbiamo prima scaricare WinPcap gratuitamente al seguente link:
Quindi possiamo scaricare Windump al seguente link:
Durante l'esecuzione, si aprirà una console del prompt dei comandi e lì potremo definire l'interfaccia con il parametro -i:
WinDump.exe -i 1
INGRANDIRE
Analizzatore di rete Capsa
È disponibile in una versione gratuita e una versione a pagamento con più funzionalità ma entrambe ci consentono di svolgere attività di analisi della rete monitorando ogni pacchetto in entrata e in uscita nonché i protocolli utilizzati, questo sarà di grande utilità per correggere errori ed eseguire un analisi dettagliata della rete.
Nella versione gratuita sarà possibile:
- Monitora fino a 10 indirizzi IP sulla rete selezionata.
- Fino a 4 ore di durata per sessione.
- Possiamo ricevere avvisi dagli adattatori di rete.
- Consente di salvare ed esportare i risultati.
Una volta scaricato ed eseguito, questo sarà l'ambiente offerto dall'utility:
INGRANDIRE
Lì avremo una rappresentazione grafica del traffico di rete e nella parte superiore avremo vari strumenti per filtrare e controllare i pacchetti di rete.
Netcat
Netcat è un comando integrato nei sistemi Windows e Linux grazie al quale sarà possibile leggere e scrivere dati utilizzando il protocollo TCP/IP nelle varie connessioni di rete, può essere utilizzato autonomamente o con altre app da utilizzare come utility per esplorazione e debug della rete locale o esterna.
Tra le sue funzioni troviamo:
- Integrato nel sistema stesso
- Cattura le connessioni in uscita e in entrata
- Dispone di funzionalità di scansione delle porte integrate
- Ha funzioni avanzate
- Può eseguire la scansione di codici RFC854 e telnet
Possiamo eseguire ad esempio la seguente riga:
netcat -z -v solvetic.com 15-30Questo leggerà le porte da 15 a 30 per visualizzare quali sono aperte e quali no:
La variabile -z viene utilizzata per scopi di scansione (Zero Mode) e il parametro -v (verbose) visualizza le informazioni in modo leggibile.
Ci sono parametri aggiuntivi che possiamo usare come:
- -4: Visualizza gli indirizzi IPv4
- -6: Supporta indirizzi IPv6
- -b: supporta la trasmissione
- -D: Abilita la modalità di debug
- -h: Visualizza il comando help
- -i Intervallo: consente di applicare un intervallo di tempo tra le righe
- -l: Abilita la modalità di ascolto
- -n: sopprime la risoluzione del nome o della porta
- -r: ottimizza le porte remote
Abbiamo visto le diverse opzioni di analizzatori di rete e Sniffer disponibili per Windows e Linux con cui possiamo aumentare i risultati delle nostre attività di supporto e controllo.