Wireshark: analizzatore di rete in dettaglio

Questa volta parleremo di uno dei analizzatori di rete più comuni esistenti al momento, Analizzatore di rete Wireshark, che ha più di 500.000 download al mese, e mostra quindi la sua efficacia, fiducia e supporto durante l'analisi di un'infrastruttura di rete.

All'interno del Caratteristiche di Wireshark possiamo evidenziare quanto segue:

  • Disponibile per sistemi Windows e Unix.
  • Possiamo filtrare i pacchetti secondo criteri stabiliti.
  • È possibile acquisire istantanee di pacchetti su un'interfaccia di rete.
  • È possibile importare pacchetti in formato testo.
  • Possiamo cercare i pacchetti utilizzando una serie di criteri.
  • Consente di creare statistiche, tra le altre.

a eseguire Wireshark in ambienti Windows abbiamo bisogno dei seguenti requisiti:

  • 400 MB di RAM
  • Funziona su qualsiasi versione di Windows sia a livello di server che desktop
  • 300 MB di spazio su disco rigido

Per gli ambienti UNIX, Wireshark è in grado di lavorare sulle seguenti piattaforme:

  • Debian
  • Apple OS X
  • FreeBSD
  • Sole solare
  • Mandriva Linux, tra gli altri.

Prima di iniziare su come funziona Wireshark, ricordiamo alcuni concetti sul networking, poiché tutto questo è sommerso in questo mondo. Ricordiamo che la funzione principale di la rete consiste nel consentire il trasferimento di dati tra due o più dispositivi e tutto questo grazie ad un lavoro congiunto tra hardware e software.

La progettazione di una rete può essere strutturata in due modi:

  • Cliente - Server
  • Peer to peer

Wireshark è stato progettato per visualizzare le informazioni tra i livelli da 2 a 7 del modello OSI. Con Wireshark saremo in grado di effettuare il monitoraggio in tempo reale del traffico di rete della nostra organizzazione, consentendoci di determinare problemi, eseguire analisi e alcune altre attività che consentono il corretto funzionamento dell'ambiente di rete. Pertanto possiamo concludere che Wireshark è un analizzatore di pacchetti.

Per questo studio utilizzeremo un ambiente Windows 7. Una volta scaricato Wireshark, procediamo con l'installazione come segue:

1. Scarica e installa Wireshark


Il software Wireshark può essere scaricato dal seguente link:

Lì troveremo i file di download compatibili per i sistemi:

  • finestre
  • MAC
  • Linux

Eseguiamo il file per installarlo e il processo avrà inizio. Accettiamo. Faremo clic sul pulsante sono d'accordo Per accettare i termini della licenza, una volta fatto ciò dobbiamo selezionare i componenti per installare Wireshark.

Clicchiamo su Prossimo e possiamo scegliere se aggiungere o meno le icone di collegamento e, per inciso, determinare le estensioni di file associate a Wireshark. Quindi dove verrà installato Wireshark. Quindi lo strumento ci dice se vogliamo installare o meno WinPcap (questo è richiesto per le acquisizioni di pacchetti live), selezioniamo la casella, per impostazione predefinita è, e facciamo clic su Prossimo.

Quindi possiamo scegliere se installare o meno lo strumento USBPcap, è consente di catturare il traffico USB, la cosa più consigliabile è installarlo, segniamo la casella e clicchiamo su Installare per avviare il processo di installazione.

Una volta finito, avremo già installato la nostra applicazione Wireshark Network Analyzer pronto ad andare. Ora in lnos impariamo a conoscere l'uso e il coraggio di questa fantastica applicazione.

2. Come usare Wireshark

Vedremo che le acquisizioni di pacchetti che dobbiamo effettuare sono basate su una connessione alla rete locale, potrebbero apparire altri tipi di connessioni come Wi Fi, Bluetooth, ecc. Facendo doppio clic sulla nostra interfaccia vedremo che viene visualizzato tutto il traffico corrente:

Cliccando sull'icona Possiamo modificare tutte le opzioni della nostra rete, vediamo quale finestra ci mostra quando premiamo questa icona:

INGRANDIRE

Possiamo vedere che abbiamo l'attuale indirizzo IP del sistema, la dimensione del buffer, ecc. Sulla scheda Opzioni Abbiamo alternative che possiamo selezionare come l'aggiornamento dei pacchetti in tempo reale, la risoluzione dei nomi di rete, tra gli altri.

Una volta apportate le modifiche, premeremo Cominciare. Va notato che in questa opzione configuriamo le caratteristiche più importanti di Wireshark, ad esempio abilitare la modalità promiscua (abilita tutti i pacchetti) oppure limitare la dimensione del pacchetto per l'acquisizione. Diamo un'occhiata un po' all'ambiente Wireshark.

Nella prima riga, prima di conoscere un po' il menu, vediamo quanto segue:

Questa linea è così composta:

  • N°: Identificare il numero interno del processo.
  • Volta: Tempo di collegamento tra origine e destinazione
  • Fonte: IP di origine
  • Destinazione: IP di destinazione
  • Protocollo: Protocollo utilizzato per il trasferimento
  • Lunghezza: Dimensione della confezione
  • Informazioni: Ulteriori informazioni sulla destinazione

Se vogliamo salvare il lavoro corrente, possiamo farlo tramite il menu File, l'opzione Salva o Salva con nome Per aprire questo file utilizzeremo l'opzione Apri del menu File.

Come vediamo nel analizzatore di pacchetti abbiamo molte informazioni, ad esempio, se esaminiamo il Colonna protocollo Vedremo che ci sono protocolli ARP, HTTP, TCP tra gli altri, se vogliamo vedere solo i protocolli TCP useremo il filtro, per questo inseriamo il termine TCP nella casella "Applica un filtro di visualizzazione" situato in alto e diamo Invio o premiamo il pulsante Applica questo filtro, vedremo che nella colonna Protocollo ci sono solo i Protocolli TCP.

INGRANDIRE

INGRANDIRE

Possiamo esportare i nostri dati in diversi tipi di formato per una migliore analisi, questi possono essere esportati in HTTP, SMB, TFTP, ecc. Per effettuare l'esportazione andremo nel menu File e sceglieremo Esporta oggetti, sceglieremo l'opzione HTTP.

Questo è il risultato della nostra esportazione:

Diamo un'occhiata alle diverse opzioni della barra dei menu in Wireshark.

File> File
All'interno di questo menu troviamo le opzioni di base come apri, salva, esporta, stampa, tra le altre. Abbiamo appena osservato il processo per esportare un file.

Modifica> Modifica
Da questo menu possiamo eseguire attività come copiare, trovare pacchetti, stabilire commenti, ecc. Esamineremo in dettaglio alcune di queste opzioni.

Ad esempio se vogliamo trova tutti i pacchetti DNS all'interno del frame, apriremo il Trova opzione e inseriremo la parola DNS oppure possiamo usare la combinazione CTRL + F:

INGRANDIRE

Possiamo vedere che tutti i pacchetti DNS sono evidenziati. Per aggiungere un commento useremo il Opzione commento pacchetto.

Lo vedremo riflesso nel menu principale:

INGRANDIRE

Visualizza> Visualizza
Da questa opzione possiamo definire i tipi di vista che avrà il nostro Wireshark oltre a definire il formato dell'ora, la dimensione delle colonne, le regole del colore, ecc.

Possiamo eseguire il Opzione Colora regole per determinare, e se vogliamo modificare, i colori assegnati per i diversi protocolli.

Se vuoi creare un nuovo protocollo, basta cliccare su +, definire il nome e il colore e premere OK.

Cattura> Cattura
Con questa opzione possiamo avviare, interrompere o riavviare un'acquisizione di pacchetti

Nel Opzione Filtri di cattura possiamo definire i parametri della cattura.

Analizza> Analisi
All'interno di questo menu possiamo creare filtri, modificare filtri, abilitare o disabilitare i protocolli, tra gli altri compiti.

Possiamo distribuire il Mostra l'opzione Filtri osservare, ed eventualmente modificare, i filtri attuali.

Se vogliamo aggiungere più filtri premiamo il pulsante +, se vogliamo rimuovere un filtro premiamo il pulsante -. Possiamo analizzare l'elenco completo di tutti i protocolli abilitati utilizzando l'opzione Protocolli abilitati oppure utilizzando la combinazione di tasti:

Ctrl + Maiusc + Mi

INGRANDIRE

Lì osserviamo il protocollo e la sua descrizione.

Statistiche> Statistiche
È forse uno dei menu più completi poiché da lì possiamo creare report, grafici e altre utilità per vedere lo stato dei pacchetti.

Come possiamo vedere, abbiamo diverse alternative per vedere le sue statistiche, ad esempio, creeremo un grafico di input e output Grafico I/O.

Nel grafico possiamo creare impostazioni come il colore della linea, l'intervallo di frequenza, il giorno specifico, ecc. Se selezioniamo l'opzione Proprietà del file di cattura Vedremo le proprietà dei file di acquisizione come la loro dimensione, il tipo di crittografia, il primo e l'ultimo pacchetto, tra gli altri dettagli.

Se selezioni l'opzione Statistiche IPv4 e noi scegliamo Tutti gli indirizzi Vedremo il seguente rapporto dettagliato:

Se vogliamo vedere il comportamento del Streaming TCP possiamo usare l'opzione Grafici di flusso TCP e selezionare il tipo di grafico, vedremo quanto segue:

Nel Digitare FastTab possiamo modificare il tipo di grafico. Con opzione Gerarchia del protocollo Possiamo vedere nel dettaglio i pacchi spediti, le dimensioni, ecc.

Telefonia> Telefonia
In questa opzione possiamo analizzare tutto ciò che riguarda i protocolli associati ai mezzi telefonici (Quando usiamo questo mezzo), possiamo vedere informazioni come:

  • Messaggi UCP
  • Messaggi ISUP
  • Statistiche SIP, ecc.

Possiamo aprire una qualsiasi di queste opzioni ma poiché non stiamo lavorando con i protocolli telefonici il risultato sarà zero (0).

senza fili
All'interno di questo menu troviamo le informazioni relative al Dispositivi wireless associati a Wireshark (ad esempio quando lavoriamo con un laptop, un cellulare ecc.)

Poiché in questo studio stiamo lavorando di più con la rete LAN (non con WiFi) tutte le opzioni in questo menu appariranno come zero o vuote.

Strumenti> Strumenti
All'interno di questo menu troveremo tutto ciò che riguarda LUA app, questa è una console che consente agli sviluppatori di creare script per migliorare o estendere le applicazioni.

Aiuto> Aiuto
Da questo menu possiamo accedere alla guida di Wireshark, vedere schermate su come eseguirlo, accedere al sito Web dell'azienda, tra gli altri. Possiamo rendercene conto con l'opzione Informazioni su Wireshark Possiamo vedere le scorciatoie da tastiera incluse in esso, questo può aiutarci ad accelerare alcuni processi.

Ad esempio, quando utilizziamo i filtri dobbiamo tenere presente che possiamo utilizzare alcuni parametri come:

  • Uguale a: eq o ==
  • Non lo stesso: ne o! =
  • Più grande di: gt o>
  • Più piccolo di: lt o <
  • Maggiore o uguale a: ge o> =
  • Minore o uguale: lui o <=

Possiamo eseguire una ricerca utilizzando la seguente sintassi:

 tcp contiene "solvetic.com"
Per quanto riguarda i protocolli, possiamo menzionare che i seguenti sono i più comuni e con alcune loro aggiunte:
  • ssl > Protocollo SSL (Socket Secure Layer).
  • telnet > Telnet.
  • dns > DNS. (Domain Name System)
  • msnms > Messaggistica istantanea (Messenger).
  • ftp > Protocollo FTP (potremmo vedere il nome utente e la password).
  • ftp-dati > Abilita la visualizzazione dei dati del protocollo FTP.
  • ip > Protocollo IP.
  • ip.src == 192.168.1.10 > Indirizzo IP di origine.
  • ip.dst == 192.168.1.30 > Indirizzo IP di destinazione.
  • tcp > Protocollo TCP
  • tcp.port == 80 > Indichiamo i pacchetti con la porta desiderata.
  • tcp.srcport == 80 > Indichiamo il porto di provenienza.
  • tcp.dstport == 80 > Indichiamo il porto di destinazione.
  • http > Protocollo HTTP
  • http.host == ”www.solvetic.com” > Vogliamo vedere i pacchetti che hanno Solvetic come host.
  • http.date == "Mer 25 maggio 2016 17:08:35 GMT" > Pacchetti riguardanti una data
  • http.content_type == ”applicazione / json” > Il tipo di applicazione può variare
  • http.content_type == ”immagine / png” > Immagini PNG
  • http.content_type == ”immagine / gif.webp” > Immagini GIF.webp
  • http.content_type == ”immagine / jpeg.webp” > Immagini JPEG.webp
  • http.content_type == ”testo / html” > File HTML
  • http.content_type == "testo/css" > Fogli di stile CSS
  • http.content_type == ”video / quicktime” > Video
  • http.content_type == ”applicazione / zip” > File ZIP
  • http.request.method == ”OTTIENI” > OTTIENI il tipo di richiesta
  • http.request.method == ”POST” > Tipo di richiesta POST
  • http.user_agent contiene "Mozilla" > Browser Mozilla
  • http.request.uri corrisponde a "[0-9]" > Uso di espressioni regolari.

Possiamo vedere la grande portata che abbiamo con Wireshark per monitorare il nostro traffico di pacchetti, un semplice esempio per finire, apriamo il sito Web di Solvetic.

Possiamo vedere in Wireshark (Filtraggio per DNS) la query che abbiamo appena fatto (Apri la pagina web di Solvetic).

INGRANDIRE

Se facciamo doppio clic su quella riga possiamo vedere informazioni più dettagliate sul percorso:

Potremo vedere dettagli come l'id dell'interfaccia, l'ora approssimativa di arrivo della richiesta, il tipo di scheda di rete sia di origine che di destinazione, ecc.

Vediamo che abbiamo a nostra disposizione uno strumento molto prezioso (e gratuito) che ci permetterà come amministratori eseguire un monitoraggio costante di tutto il traffico di rete per garantire la qualità della comunicazione e la consegna corretta e sicura di tutte le informazioni.

Correggi DNS su Windows, Linux e Mac

wave wave wave wave wave