Questo tutorial ti fornirà le basi per catturare i pacchetti, filtrarli e controllarli. È possibile utilizzare Wireshark per ispezionare il traffico di rete di un programma sospetto, analizzare il flusso di traffico sulla rete o risolvere i problemi di rete.
Ottenere Wireshark
È possibile scaricare Wireshark per Windows o macOS dal suo sito Web ufficiale. Se stai usando Linux o un altro sistema simile a UNIX, probabilmente troverai Wireshark nei suoi repository di pacchetti. Ad esempio, se stai usando Ubuntu, troverai Wireshark nel Software Center di Ubuntu.
Solo un avvertimento: molte organizzazioni non consentono Wireshark e strumenti simili sulle loro reti. Non usare questo strumento al lavoro a meno che tu non abbia il permesso.
Catturare i pacchetti
Dopo aver scaricato e installato Wireshark, è possibile avviarlo e fare doppio clic sul nome di un'interfaccia di rete in Capture per avviare l'acquisizione di pacchetti su tale interfaccia. Ad esempio, se si desidera acquisire traffico sulla rete wireless, fare clic sulla propria interfaccia wireless. Puoi configurare le funzioni avanzate facendo clic su Cattura> Opzioni, ma per ora non è necessario.
Se hai attivato la modalità promiscua - è abilitata per impostazione predefinita - vedrai anche tutti gli altri pacchetti sulla rete anziché solo i pacchetti indirizzati alla tua scheda di rete. Per verificare se la modalità promiscua è abilitata, fai clic su Acquisisci> Opzioni e verifica che la casella di controllo "Abilita modalità promiscua su tutte le interfacce" sia attivata nella parte inferiore di questa finestra.
Codificazione del colore
Probabilmente vedrai pacchetti evidenziati in una varietà di colori diversi. Wireshark usa i colori per aiutarti a identificare i tipi di traffico a colpo d'occhio. Per impostazione predefinita, il colore viola chiaro è il traffico TCP, il blu chiaro è il traffico UDP e il nero identifica i pacchetti con errori, ad esempio, potrebbero essere stati consegnati fuori servizio.
Per visualizzare esattamente cosa significano i codici colore, fare clic su Visualizza> Regole di colorazione. Puoi anche personalizzare e modificare le regole di colorazione da qui, se vuoi.
Cattura di campioni
Se non c'è nulla di interessante nella tua rete da ispezionare, la wiki di Wireshark ti copre. Il wiki contiene una pagina di file di esempio che puoi caricare e ispezionare. Fai clic su File> Apri in Wireshark e cerca il file scaricato per aprirne uno.
Puoi anche salvare le tue acquisizioni in Wireshark e aprirle in seguito. Fai clic su File> Salva per salvare i pacchetti catturati.
Pacchetti di filtraggio
Se stai cercando di ispezionare qualcosa di specifico, come il traffico che un programma invia quando telefona a casa, aiuta a chiudere tutte le altre applicazioni usando la rete in modo da limitare il traffico. Tuttavia, probabilmente avrai una grande quantità di pacchetti da setacciare. Ecco dove entrano i filtri di Wireshark.
Il modo più semplice per applicare un filtro è digitandolo nella casella del filtro nella parte superiore della finestra e facendo clic su Applica (o premendo Invio). Ad esempio, digita "dns" e vedrai solo i pacchetti DNS. Quando inizi a digitare, Wireshark ti aiuterà a completare automaticamente il filtro.
Per ulteriori informazioni sulla lingua di filtraggio del display di Wireshark, leggi la pagina delle espressioni del filtro di visualizzazione Building nella documentazione ufficiale di Wireshark.
Vedrai la conversazione TCP completa tra il client e il server. È inoltre possibile fare clic su altri protocolli nel menu Segui per visualizzare le conversazioni complete per altri protocolli, se applicabile.
Ispezionando i pacchetti
Fare clic su un pacchetto per selezionarlo ed è possibile scavare verso il basso per visualizzare i suoi dettagli.
Wireshark è uno strumento estremamente potente, e questo tutorial sta semplicemente scalfendo la superficie di quello che puoi fare con esso. I professionisti lo utilizzano per eseguire il debug delle implementazioni del protocollo di rete, esaminare i problemi di sicurezza e ispezionare internals del protocollo di rete.
È possibile trovare informazioni più dettagliate nella Guida dell'utente di Wireshark e nelle altre pagine di documentazione sul sito Web di Wireshark.