Come catturare i pacchetti in WireShark

Wireshark è uno strumento di analisi di rete inestimabile che traduce i dati che viaggiano attraverso le tue reti in un formato leggibile. Puoi identificare problemi di rete o di sicurezza, eseguire il debug delle implementazioni del protocollo o semplicemente monitorare il traffico acquisendo i pacchetti con Wireshark.

Dai un'occhiata più da vicino a ciò che sta accadendo nella tua rete acquisendo le informazioni esatte di cui hai bisogno. Ecco come acquisire diversi tipi di pacchetti in Wireshark.

Come catturare i pacchetti

L'avvio del processo di acquisizione in Wireshark richiede solo pochi clic. Tutto quello che devi fare è avviare la modalità di acquisizione e i dati inizieranno a riversarsi non filtrati. Sebbene questa modalità non filtrata sia ottima quando hai bisogno di un rapporto completo su ciò che sta accadendo, la quantità di dati acquisiti in questo modo può essere enorme. Per renderlo più gestibile, puoi utilizzare i filtri e acquisire solo un tipo specifico di dati. Troverai i passaggi per farlo più avanti.

Per ora, vediamo come iniziare a catturare tutti i pacchetti in Wireshark:

1. Assicurati di avere installato l'ultima versione di Wireshark. Puoi prendere il programma gratuitamente dal sito Web ufficiale di Wireshark .
   
   
2. Avvia il programma. Sarai accolto dalla schermata di benvenuto, con l'elenco delle reti rilevate.
   
3. Avviare l'acquisizione dei pacchetti in uno dei seguenti modi:
   • Fare doppio clic sulla rete di propria scelta nell'elenco.
     
   • Seleziona una o più interfacce di rete, quindi fai clic sull'icona della pinna di squalo nella barra degli strumenti o su "Cattura", quindi su "Avvia" nella barra dei menu.
     
     

Nota: puoi regolare le opzioni di acquisizione, come la modalità promiscua, prima di iniziare facendo clic su "Cattura" e quindi anche su "Opzioni".

Non appena fai clic sull'interfaccia di rete o sul pulsante di avvio, verrai indirizzato alla schermata di acquisizione. Vedrai Wireshark acquisire pacchetti di dati in tempo reale. Una volta soddisfatto della quantità di dati raccolti, puoi interrompere l'acquisizione facendo clic sul pulsante di arresto rosso nella barra degli strumenti in alto. Inizia subito ad analizzare i dati o salvali per dopo facendo clic su "File" e poi su "Salva con nome..." nella barra dei menu.

Come catturare i pacchetti UDP

Seguendo i passaggi precedenti, il programma richiederà di acquisire tutti i pacchetti. Sebbene diversi tipi di traffico siano facilmente distinguibili in Wireshark grazie alla codifica a colori, dovrai comunque setacciare molti dati. Se stai cercando solo informazioni su determinati pacchetti, puoi utilizzare i filtri per semplificare il tuo lavoro.

Wireshark supporta sia i filtri di acquisizione che quelli di visualizzazione. L'utilizzo di un filtro di acquisizione significa che il programma acquisisce solo i pacchetti definiti. I filtri di visualizzazione si limitano a filtrare i pacchetti già acquisiti. I due filtri funzionano in modo diverso e utilizzano comandi diversi, quindi dovrai decidere quale si adatta meglio alle tue esigenze.

Se desideri acquisire solo il traffico UDP, utilizza un filtro di acquisizione prima di iniziare il processo di acquisizione.

1. Avvia Wireshark.
   
2. Cerca la barra Cattura filtro nella schermata di benvenuto. È quello direttamente sopra il tuo elenco di reti.
   
3. Immettere "udp" nella barra Cattura filtro e premere Invio per avviare l'acquisizione del traffico UDP. Puoi anche aggiungere una porta specifica dopo "udp" se desideri specificare ulteriormente il filtro.
   

Suggerimento: un altro modo per regolare i filtri di acquisizione è fare clic su "Cattura", quindi su "Opzioni" nel menu. La barra dei filtri si trova nella parte inferiore dell'interfaccia di acquisizione.

Wireshark Come acquisire i pacchetti DHCP

Per acquisire esclusivamente pacchetti DHCP, dovrai inserire il numero di porta corrispondente nel filtro di acquisizione. Utilizzare il filtro di acquisizione "porta 67" o "porta 68" o la combinazione delle due "porta 67 o porta 68" per acquisire i pacchetti DHCP.

Allo stesso modo, un filtro di visualizzazione può filtrare i pacchetti DHCP nella schermata di acquisizione. Tuttavia, ricorda che i filtri di visualizzazione utilizzano una sintassi diversa rispetto ai filtri di acquisizione. Dovrai inserire "udp.port == 68" nella barra dei filtri di visualizzazione.

Come catturare i pacchetti di ping

Il modo migliore per acquisire i pacchetti ping (altrimenti noti come traffico Echo ICMP (Internet Control Message Protocol)) in Wireshark consiste nell'utilizzare un filtro di visualizzazione in modalità di acquisizione. Ecco il processo.

1. Apri Wireshark e avvia il processo di acquisizione come descritto sopra.
   
2. Apri il prompt dei comandi e esegui il ping dell'indirizzo di tua scelta.
   
3. Torna a Wireshark e interrompi il processo di acquisizione.
   
4. Crea un filtro per i pacchetti ping digitando "icmp" nella barra dei filtri del display, quindi premi Invio.
   

Vedrai sia le richieste che le risposte al ping nell'elenco dei pacchetti.

Wireshark Come acquisire pacchetti da un indirizzo IP specifico

Se desideri concentrare la tua acquisizione su un indirizzo IP specifico, inserisci il seguente filtro di acquisizione prima di iniziare l'acquisizione: "host [l'indirizzo IP che desideri registrare]". Ad esempio, l'acquisizione di pacchetti relativi all'indirizzo IP 111.11.1.1 richiederebbe il filtro "host 111.11.1.1" nella barra del filtro di acquisizione.

Puoi anche definire se desideri acquisire il traffico da o verso un indirizzo IP specifico aggiungendo "src" per l'origine o "dst" per la destinazione all'inizio invece di "host:"

• digitare “src 111.11.1.1” per i pacchetti provenienti dall'indirizzo IP in questione
• digitare "dst 111.11.1.1" per i pacchetti inviati all'indirizzo IP in questione

Naturalmente, puoi combinare questi filtri per specificare il traffico che desideri acquisire ulteriormente. Collega i due filtri con "e" per ottenere i pacchetti che viaggiano tra i due indirizzi IP definiti. Ad esempio, "src 111.11.1.1 e dst 222.22.2.2" acquisirà solo i pacchetti inviati da 111.11.1.1 a 222.22.2.2.

Utilizza i filtri di visualizzazione per filtrare i pacchetti relativi a un indirizzo IP specifico in un set di dati già acquisito. Per l'indirizzo IP sopra indicato, inserisci "ip.addr == 111.11.1.1" nella barra dei filtri del display e così via.

Domande frequenti

Come si acquisiscono i pacchetti del router in Wireshark?

Puoi acquisire i pacchetti del router con Wireshark solo se disponi di un router che supporta il mirroring delle porte. Innanzitutto, dovrai eseguire il mirroring del traffico in una porta LAN. Il processo potrebbe variare a seconda del dispositivo.

1. Vai su LAN e poi su LAN Port Mirror.

2. Abilitare il mirroring delle porte.

3. Configurare i punti di origine e di destinazione.

Se riesci a eseguire il mirroring del tuo traffico in questo modo, sarai in grado di acquisire i pacchetti del router normalmente nella modalità di acquisizione di Wireshark.

Perché non riesco a catturare i pacchetti in Wireshark?

Se Wireshark non sta acquisendo alcun pacchetto, esamina le seguenti possibilità per risolvere il problema:

• Assicurarsi di non aver abilitato filtri di acquisizione eccessivamente specifici.

• Cerca gli aggiornamenti di Wireshark nel menu Aiuto.

• Verificare che un firewall non stia bloccando l'applicazione Wireshark.

Se nessuno dei fattori di cui sopra si applica a te, il problema è molto probabilmente con il tuo hardware.

Devo catturare tutto

L'acquisizione di pacchetti con Wireshark richiede solo pochi clic. Probabilmente sarà la parte più semplice della tua attività di risoluzione dei problemi. Cattura tutto il traffico e filtra i pacchetti in un secondo momento o utilizza i filtri di acquisizione per registrare solo un tipo di dati specifico.

Sei riuscito a catturare i pacchetti che volevi usando questi suggerimenti? Quali filtri di acquisizione di Wireshark trovi più utili? Fateci sapere nella sezione commenti qui sotto.