Come usare Wireshark: un tutorial completo

Cosa sapere

  • Wireshark è un'applicazione open source che acquisisce e visualizza i dati che viaggiano avanti e indietro su una rete.
  • Poiché può eseguire il drill-down e leggere il contenuto di ogni pacchetto, viene utilizzato per risolvere i problemi di rete e testare il software.

Le istruzioni in questo articolo si applicano a Wireshark 3.0.3 per Windows e Mac.


Cos'è Wireshark?

Originariamente noto come Ethereal, Wireshark visualizza i dati da centinaia di protocolli diversi su tutti i principali tipi di rete. I pacchetti di dati possono essere visualizzati in tempo reale o analizzati offline. Wireshark supporta dozzine di formati di file di acquisizione / traccia, inclusi CAP ed ERF. Gli strumenti di decrittografia integrati visualizzano i pacchetti crittografati per diversi protocolli comuni, inclusi WEP e WPA / WPA2.

Come scaricare e installare Wireshark

Wireshark può essere scaricato gratuitamente dal sito Web di Wireshark Foundation sia per macOS che per Windows. Vedrai l'ultima versione stabile e l'attuale versione di sviluppo. A meno che tu non sia un utente avanzato, scarica la versione stabile.

Durante il processo di installazione di Windows, scegli di installare WinPcap or Npcap se richiesto poiché includono le librerie necessarie per l'acquisizione dei dati in tempo reale.

È necessario accedere al dispositivo come amministratore per utilizzare Wireshark. In Windows 10, cerca Wireshark e seleziona Esegui come amministratore. In macOS, fai clic con il pulsante destro del mouse sull'icona dell'app e seleziona Ottieni informazioni. Nel Condivisione e permessi impostazioni, dai all'amministratore Leggere & Scrivere privilegi.

L'applicazione è disponibile anche per Linux e altre piattaforme simili a UNIX, inclusi Red Hat, Solaris e FreeBSD. I file binari necessari per questi sistemi operativi si trovano nella parte inferiore della pagina di download di Wireshark sotto il file Pacchetti di terze parti sezione. Puoi anche scaricare il codice sorgente di Wireshark da questa pagina.


Come acquisire pacchetti di dati con Wireshark

Quando avvii Wireshark, una schermata di benvenuto elenca le connessioni di rete disponibili sul tuo dispositivo corrente. A destra di ciascuno è visualizzato un grafico a linee in stile ECG che rappresenta il traffico in tempo reale su quella rete.

Per iniziare a catturare i pacchetti con Wireshark:

  1. Seleziona una o più reti, vai alla barra dei menu, quindi seleziona Catturare.

    Per selezionare più reti, tieni premuto il pulsante spostamento mentre effettui la selezione.

  2. Nel Interfacce di acquisizione di Wireshark finestra, selezionare Inizia.

    Esistono altri modi per avviare l'acquisizione dei pacchetti. Seleziona il Pinna di squalo sul lato sinistro della barra degli strumenti di Wireshark, premereCtrl + Eo fare doppio clic sulla rete.

  3. Seleziona Compila il > Salva con nome o scegli un file Esportare opzione per registrare l'acquisizione.

  4. Per interrompere l'acquisizione, premere Ctrl + E. Oppure vai alla barra degli strumenti di Wireshark e seleziona il rosso Stop pulsante che si trova accanto alla pinna di squalo.


Come visualizzare e analizzare il contenuto dei pacchetti

L'interfaccia dei dati acquisiti contiene tre sezioni principali:

  • Il riquadro dell'elenco dei pacchetti (la sezione superiore)
  • Il riquadro dei dettagli del pacchetto (la sezione centrale)
  • Il riquadro dei byte del pacchetto (la sezione inferiore)

Elenco dei pacchetti

Il riquadro dell'elenco dei pacchetti, situato nella parte superiore della finestra, mostra tutti i pacchetti trovati nel file di acquisizione attivo. Ogni pacchetto ha la propria riga e il numero corrispondente assegnato, insieme a ciascuno di questi punti dati:

  • non: Questo campo indica quali pacchetti fanno parte della stessa conversazione. Rimane vuoto fino a quando non si seleziona un pacchetto.
  • Tempo: In questa colonna viene visualizzato il timestamp di quando il pacchetto è stato catturato. Il formato predefinito è il numero di secondi o secondi parziali dalla prima creazione di questo file di acquisizione specifico.
  • Fonte: Questa colonna contiene l'indirizzo (IP o altro) da cui ha avuto origine il pacchetto.
  • Destinazione: Questa colonna contiene l'indirizzo a cui viene inviato il pacchetto.
  • Protocollo: Il nome del protocollo del pacchetto, come TCP, può essere trovato in questa colonna.
  • Lunghezza: La lunghezza del pacchetto, in byte, viene visualizzata in questa colonna.
  • Info: Ulteriori dettagli sul pacchetto sono presentati qui. Il contenuto di questa colonna può variare notevolmente a seconda del contenuto del pacchetto.

Per modificare il formato dell'ora in qualcosa di più utile (come l'ora del giorno effettiva), selezionare Vedi > Formato di visualizzazione dell'ora.

Quando un pacchetto è selezionato nel riquadro superiore, potresti notare uno o più simboli visualizzati nel file No. colonna. Le parentesi aperte o chiuse e una linea orizzontale diritta indicano se un pacchetto o un gruppo di pacchetti fa parte della stessa conversazione avanti e indietro sulla rete. Una linea orizzontale spezzata significa che un pacchetto non fa parte della conversazione.

Dettagli del pacchetto

Il riquadro dei dettagli, che si trova al centro, presenta i protocolli ei campi del protocollo del pacchetto selezionato in un formato comprimibile. Oltre ad espandere ogni selezione, puoi applicare singoli filtri Wireshark in base a dettagli specifici e seguire flussi di dati in base al tipo di protocollo facendo clic con il pulsante destro del mouse sull'elemento desiderato.

Byte pacchetto

In fondo c'è il riquadro dei byte del pacchetto, che mostra i dati grezzi del pacchetto selezionato in una vista esadecimale. Questo dump esadecimale contiene 16 byte esadecimali e 16 byte ASCII insieme all'offset dei dati.

La selezione di una parte specifica di questi dati evidenzia automaticamente la sezione corrispondente nel riquadro dei dettagli del pacchetto e viceversa. Tutti i byte che non possono essere stampati sono rappresentati da un punto.

Per visualizzare questi dati in formato bit anziché esadecimale, fare clic con il pulsante destro del mouse in un punto qualsiasi del riquadro e selezionare come bit.


Come utilizzare i filtri Wireshark

I filtri di acquisizione indicano a Wireshark di registrare solo i pacchetti che soddisfano i criteri specificati. I filtri possono essere applicati anche a un file di acquisizione che è stato creato in modo che vengano visualizzati solo determinati pacchetti. Questi sono indicati come filtri di visualizzazione.

Wireshark fornisce un gran numero di filtri predefiniti per impostazione predefinita. Per utilizzare uno di questi filtri esistenti, inserisci il suo nome nel file Applica un filtro di visualizzazione campo di immissione situato sotto la barra degli strumenti di Wireshark o nel file Inserisci un filtro di cattura campo situato al centro della schermata di benvenuto.

Ad esempio, se desideri visualizzare i pacchetti TCP, digita tcp. La funzione di completamento automatico di Wireshark mostra i nomi suggeriti quando inizi a digitare, rendendo più facile trovare il moniker corretto per il filtro che stai cercando.

Un altro modo per scegliere un filtro è selezionare il file segnalibro sul lato sinistro del campo di immissione. Scegliere Gestisci espressioni di filtro or Gestisci filtri di visualizzazione per aggiungere, rimuovere o modificare i filtri.

È inoltre possibile accedere ai filtri utilizzati in precedenza selezionando la freccia in basso sul lato destro del campo di immissione per visualizzare un elenco a discesa della cronologia.

I filtri di cattura vengono applicati non appena inizi a registrare il traffico di rete. Per applicare un filtro di visualizzazione, selezionare la freccia destra sul lato destro del campo di immissione.

Regole del colore di Wireshark

Mentre i filtri di acquisizione e visualizzazione di Wireshark limitano i pacchetti registrati o visualizzati sullo schermo, la sua funzione di colorazione fa un ulteriore passo avanti: può distinguere tra diversi tipi di pacchetti in base alla loro tonalità individuale. Questo individua rapidamente determinati pacchetti all'interno di un set salvato in base al colore della riga nel riquadro dell'elenco dei pacchetti.

Wireshark viene fornito con circa 20 regole di colorazione predefinite, ognuna può essere modificata, disabilitata o eliminata. Selezionare Vedi > Regole per colorare per una panoramica di cosa significa ogni colore. Puoi anche aggiungere i tuoi filtri basati sul colore.

Seleziona Vedi > Colora elenco pacchetti per attivare e disattivare la colorazione dei pacchetti.

Statistiche in Wireshark

Altre metriche utili sono disponibili tramite Statistiche menu a discesa. Questi includono informazioni sulla dimensione e sulla tempistica del file di acquisizione, insieme a dozzine di grafici e grafici che spaziano per argomento dalle interruzioni delle conversazioni dei pacchetti alla distribuzione del carico delle richieste HTTP.

I filtri di visualizzazione possono essere applicati a molte di queste statistiche tramite le loro interfacce e i risultati possono essere esportati in formati di file comuni, inclusi CSV, XML e TXT.

Funzionalità avanzate di Wireshark

Wireshark supporta anche funzionalità avanzate, inclusa la capacità di scrivere dissettori di protocollo nel linguaggio di programmazione Lua.


Pagine utili:

Informazioni sul formato .sh

Lascia un commento