Wireshark: sniffer per eccellenza

Wireshark, precedentemente conosciuto come Ethereal, è l’analizzatore di rete più famoso al mondo. Come possiamo leggere dalla relativa “User Guide”, Wireshark dispone di un ricco assortimento di funzioni e può essere eseguito su piattaforme Windows, OS X e Linux. E’ utilizzato regolarmente da sistemisti, esperti della sicurezza, sviluppatori, educatori in tutti il mondo e naturalmente da chi desidera imparare qualcosetta in più sui protocolli di rete… Ovviamente è open source 🙂

Alcune caratteristiche che l’hanno reso famoso sono:

• permette di effettuare un’analisi dei dati catturati anche a distanza di tempo (offline);
• dispone di un’interfaccia grafica intuitiva;
• supporta la lettura/scrittura di differenti formati;
• permette di catturare dati da diverse interfacce: Ethernet, Bluetooth, USB, Wireless, ecc;
• è in gradi di decifrare numerosi protocolli: SSL/TLS, WEP, Kerberos, WPA/WPA2, IPsec, ecc;
• l’analisi dei dati è facilitata dalla possibilità di creare regole per applicare una diversa colorazione ai differenti tipi di dati;
• può essere generato un output in diversi formati: XML, PostScript, CSV, testo normale.

Wireshark può essere scaricato da QUI. L’installazione su Windows non dovrebbe comportare problemi, è disponibile il classico installer (*.exe). Per le varie distribuzioni Linux è utilizzabile il codice sorgente oppure, se avete una derivata da Debian, potete usare “apt-get install wireshark”. Volendo, se come me utilizzate Ubuntu, è anche disponibile il pacchetto installabile direttamente da Synaptic. [Nota: se compilate dai sorgenti fate occhio alle dipendenze].

Wireshark analizza le informazioni dei pacchetti e le dispone nelle colonne. Poiché i protocolli di livello più alto potrebbero sovrascrivere le informazioni dei livelli più bassi, vedrete in genere soltanto le informazioni del livello più elevato. Per esempio, guardiamo cosa succede con un pacchetto che contiene un TCP all’interno di un IP all’interno di Ethernet: la parte relativa ad Ethernet scriverà i suoi dati (supponiamo gli indirizzi Ethernet), quella relativa all’IP sovrascriverà questi dati inserendo i propri (gli indirizzi IP) e infine, la parte relativa al TCP sovrascriverà a sua volta i dati inserendo le proprie informazioni.

Ecco un esempio di cattura:

Qual’è il significato delle varie colonne?

• “No.” Indica il numero del pacchetto all’interno del file di cattura. Anche se vengono applicati dei filtri ai dati, il numero assegnato al pacchetto non cambia.
• “Time” Il tempo trascorso tra un pacchetto e l’altro. Può anche essere configurato in modi diversi (ad es. per mostrare la data e l’ora in cui è stato catturato il pacchetto).
• “Source” L’indirizzo di provenienza del pacchetto.
• “Destination” L’indirizzo destinazione del pacchetto.
• “Protocol” La tipologia di protocollo.
• “Info” Maggiori informazioni sul contenuto del pacchetto.

[Nota: è possibile selezionare un pacchetto (una riga) ed aprire un ulteriore menù facendo clic col tasto destro del mouse.]

Selezionando un pacchetto, nel frame sottostante potrete poi vedere ulteriori dettagli (ad es. dimensione del pacchetto, protocolli nel frame, MAC address dell’indirizzo di provenienza, porta usata dall’indirizzo di provenienza e porta usata dall’indirizzo di destinazione, ecc).

Nel frame ancora sottostante sono invece visualizzabili i dati relativi al pacchetto selezionato in uno stile esadecimale. Come di consueto per un “hexdump” nella parte di sinistra viene riportato l’offset relativo ai dati del pacchetto; nella parte centrale i dati sono invece rappresentati sotto forma esadecimale; nella parte di destra vengono infine rappresentati tramite caratteri ASCII.

Come iniziare a catturare pacchetti? Basta selezionare l’interfaccia (Ethernet, Wireless, ecc) e cliccare su “Start”. Per selezionare l’interfaccia è possibile utilizzare la prima icona in alto a sinistra o il menù “Capture >> Interfaces”. Da qua si può anche selezionare un’interfaccia “virtuale” chiamata “any”: verranno così selezionate tutte le interfacce disponibili. Ecco come si presenta il menù in questione:

Le “Opzioni” di base che in genere vengono attivate sono invece queste:

Durante la cattura dei dati è possibile applicare diverse tipologie di filtri in modo da estrarre “al volo” soltanto quanto ci interessa (menù “Capture >> Capture Filters”). E’ possibile trovare vari esempi di filtri qua: http://wiki.wireshark.org/CaptureFilters. La sintassi da utilizzare per i filtri la potete invece trovare qua: http://www.tcpdump.org/tcpdump_man.html.

Un esempio di filtro potrebbe essere il seguente:

che permette di catturare i dati relativi alla sessione telnet (porta 23) riferiti ad un particolare host (10.0.0.5).

Esistono poi anche dei filtri per visualizzare solo determinati pacchetti (attenzione perché in questo caso si tratta di un “display filter”, non di un “capture filter” –> menù “Analyze >> Display Filters”). Ci sono anche tanti filtri “prefabbricati”, utilizzabili grazie alla finestra di dialogo raggiungibile cliccando su “Add Expression”.

Nel caso che Wireshark venga eseguito in remoto (per esempio tramite SSH) è necessario trasportare informazioni aggiuntive (ad esempio, per dirne una, bisogna includere nel filtro i dati riguardanti la connessione SSH): tutto questo lavoro è eseguito automaticamente da Wireshark che riesce a “capire” se è attualmente eseguito in locale o da remoto.

La cattura dei dati può essere interrotta, ripresa ed anche salvata. E’ persino possibile aprire un file proveniente da un altro “programma di cattura”: sono supportati molti formati. Anche i dati provenienti da Wireshark possono essere salvati ed esportati in diversi formati, in modo da renderli appunto compatibili con altre applicazioni.

Tramite la funzione “Merge” è poi possibile unire assieme più file in modo da crearne uno unico.

Le opzioni che Wireshark mette a disposizione dell’utente sono troppo numerose per essere tutte elencate in un modesto articolo come questo. Per maggiori informazioni rimando perciò al relativo wiki.

~ di 2BFree su Maggio 14, 2007.