Come acquisire pacchetti in WireShark?

Wireshark è un prezioso strumento di analisi della rete che traduce i dati che passano attraverso le tue reti in un formato leggibile dall’uomo. Puoi risolvere problemi di rete o di sicurezza, eseguire il debug dell’implementazione di un protocollo o semplicemente monitorare il traffico acquisendo pacchetti con Wireshark.

Dai un’occhiata da vicino a ciò che sta accadendo sulla tua rete, raccogliendo esattamente le informazioni di cui hai bisogno. Ecco come acquisire diversi tipi di pacchetti in Wireshark.

Come catturare i pacchetti

L’avvio del processo di acquisizione in Wireshark richiede solo pochi clic. Tutto quello che devi fare è avviare la modalità di acquisizione e i dati inizieranno ad arrivare senza filtri. Sebbene questa modalità non filtrata sia ottima quando è necessario un resoconto completo di ciò che sta accadendo, la quantità di dati raccolti in questo modo può essere schiacciante. Per renderlo più gestibile, puoi utilizzare filtri e raccogliere solo un certo tipo di dati. Di seguito troverai le istruzioni per questo.

Per ora, vediamo come iniziare a catturare tutti i pacchetti in Wireshark:

• Assicurati di aver installato l’ultima versione di Wireshark. Puoi scaricare il programma gratuitamente dal sito Web ufficiale di Wireshark.

• Esegui il programma. Verrai accolto con una schermata di benvenuto con un elenco di reti scoperte.

• Inizia a catturare i pacchetti in uno dei seguenti modi:
  • Fare doppio clic sulla rete selezionata nell’elenco.
  • Seleziona una o più interfacce di rete, quindi fai clic sull’icona della pinna di squalo nella barra degli strumenti o su “Acquisisci” quindi su “Avvia” nella barra dei menu.

Nota. Puoi impostare le opzioni di acquisizione, come la modalità promiscua, prima di iniziare facendo clic su Acquisisci e quindi su Opzioni.

Non appena premi l’interfaccia di rete o il pulsante di avvio, verrai indirizzato alla schermata di acquisizione. Vedrai come Wireshark acquisisce i pacchetti di dati in tempo reale. Una volta che sei soddisfatto della quantità di dati raccolti, puoi interrompere l’acquisizione facendo clic sul pulsante rosso di arresto nella barra degli strumenti in alto. Inizia ora ad analizzare i tuoi dati o salvali per dopo facendo clic su “File” e poi su “Salva con nome…” dalla barra dei menu.

Come acquisire pacchetti UDP

Seguire i passaggi precedenti richiederà al programma di acquisire tutti i pacchetti. Mentre diversi tipi di traffico sono facilmente distinguibili in Wireshark grazie alla codifica a colori, devi comunque setacciare molti dati. Se stai solo cercando informazioni su determinati pacchetti, puoi utilizzare i filtri per semplificare il tuo lavoro.

Wireshark supporta filtri di acquisizione e visualizzazione. L’uso di un filtro di acquisizione significa che il programma acquisisce solo i pacchetti definiti. I filtri di visualizzazione filtrano semplicemente i pacchetti che sono già stati acquisiti. I due filtri funzionano in modo diverso e utilizzano comandi diversi, quindi devi decidere quale si adatta meglio alle tue esigenze.

Se desideri acquisire solo il traffico UDP, utilizza un filtro di acquisizione prima di avviare il processo di acquisizione.

• Avvia Wireshark.

• Individua il pannello del filtro di acquisizione nella schermata di benvenuto. È quello proprio sopra l’elenco delle reti.

• Digita “udp” nel campo “Filtro di acquisizione” e premi Invio per iniziare a catturare il traffico UDP. Puoi anche aggiungere una porta specifica dopo “udp” se vuoi specificare ulteriormente il tuo filtro.

Consiglio. Un altro modo per impostare i filtri di acquisizione è fare clic su “Acquisisci”, quindi su “Opzioni” dal menu. Il pannello del filtro sarà nella parte inferiore dell’interfaccia di acquisizione.

Wireshark Come acquisire pacchetti DHCP

Per acquisire esclusivamente i pacchetti DHCP, è necessario immettere il numero di porta appropriato nel filtro di acquisizione. Utilizzare il filtro di acquisizione “porta 67” o “porta 68” o una combinazione delle due “porta 67 o porta 68” per acquisire i pacchetti DHCP.

Allo stesso modo, un filtro di visualizzazione può filtrare i pacchetti DHCP nella schermata di acquisizione. Tuttavia, tieni presente che i filtri di visualizzazione utilizzano una sintassi diversa rispetto ai filtri di acquisizione. Sarà necessario inserire “udp.port == 68” nella riga del filtro di visualizzazione.

Come acquisire pacchetti ping

Il modo migliore per acquisire i pacchetti ping (noti anche come traffico eco ICMP (Internet Control Message Protocol)) in Wireshark consiste nell’utilizzare un filtro di visualizzazione in modalità di acquisizione. Ecco il processo.

• Apri Wireshark e avvia il processo di acquisizione come descritto sopra.

• Apri un prompt dei comandi e esegui il ping dell’indirizzo di tua scelta.

• Torna a Wireshark e interrompi il processo di acquisizione.

• Crea un filtro ping digitando “icmp” nella riga del filtro di visualizzazione e quindi premendo Invio.

Vedrai sia le richieste che le risposte al ping nell’elenco dei pacchetti.

Wireshark Come acquisire pacchetti da un indirizzo IP specifico

Se si desidera focalizzare l’acquisizione su un indirizzo IP specifico, immettere il seguente filtro di acquisizione prima di avviare l’acquisizione: “host [indirizzo IP che si desidera acquisire]”. Ad esempio, per acquisire i pacchetti associati all’indirizzo IP 111.11.1.1, è necessario il filtro “host 111.11.1.1” nel pannello Filtri di acquisizione.

Puoi anche specificare se desideri acquisire il traffico da o verso un indirizzo IP specifico aggiungendo “src” per origine o “dst” per destinazione all’inizio invece di “host:”

• inserire “src 111.11.1.1” per i pacchetti provenienti dall’indirizzo IP in questione
• inserire “dst 111.11.1.1” per i pacchetti inviati all’indirizzo IP in questione

Naturalmente, puoi combinare questi filtri per specificare il traffico che desideri acquisire successivamente. Collega i due filtri con “e” per spostare i pacchetti tra i due indirizzi IP specificati. Ad esempio, “src 111.11.1.1 e dst 222.22.2.2” acquisirà solo i pacchetti inviati da 111.11.1.1 a 222.22.2.2.

Utilizza i filtri di visualizzazione per filtrare i pacchetti associati a un indirizzo IP specifico in un set di dati già acquisito. Per l’indirizzo IP sopra, inserisci “ip.addr == 111.11.1.1” nella riga del filtro di visualizzazione e così via.

Domande frequenti

Come acquisire i pacchetti del router in Wireshark?

Puoi acquisire pacchetti router con Wireshark solo se il tuo router supporta il mirroring delle porte. Innanzitutto, è necessario eseguire il mirroring del traffico sulla porta LAN. Il processo può variare a seconda del dispositivo.

1. Vai alla sezione LAN, quindi al mirror della porta LAN.

2. Abilita il mirroring delle porte.

3. Impostare i punti di inizio e di fine.

Se puoi eseguire il mirroring del tuo traffico in questo modo, dovresti essere in grado di acquisire i pacchetti del router normalmente in modalità di acquisizione Wireshark.

Perché non posso acquisire pacchetti in Wireshark?

Se Wireshark non sta acquisendo pacchetti, considera le seguenti opzioni di risoluzione dei problemi:

• Assicurati di non aver attivato filtri di acquisizione eccessivamente specifici.

• Cerca gli aggiornamenti per Wireshark nel menu Aiuto.

• Assicurati che il firewall non stia bloccando la tua applicazione Wireshark.

Se nessuno dei fattori di cui sopra si applica al tuo caso, il problema è molto probabilmente correlato al tuo hardware.

Devo prendere il controllo di tutto

L’acquisizione di pacchetti con Wireshark richiede solo pochi clic. Questa sarà probabilmente la parte più semplice della tua attività di risoluzione dei problemi. Acquisisci tutto il traffico e filtra i pacchetti in un secondo momento oppure utilizza i filtri di acquisizione per acquisire solo un tipo specifico di dati.

Sei riuscito a catturare i pacchetti giusti con questi suggerimenti? Quali filtri di acquisizione Wireshark ritieni più utili? Fateci sapere nei commenti qui sotto.