Come catturare il traffico HTTP in Wireshark

Wireshark ti consente di analizzare il traffico all'interno della tua rete con vari strumenti. Se vuoi vedere cosa sta succedendo all'interno della tua rete o hai problemi con il traffico di rete o il caricamento della pagina, puoi usare Wireshark. Ti consente di catturare il traffico, così puoi capire qual è il problema o inviarlo al supporto per ulteriore assistenza. Continua a leggere questo articolo e imparerai come acquisire il traffico http in Wireshark.

Installazione di Wireshark

L'installazione di Wireshark è un processo semplice. È uno strumento gratuito su diverse piattaforme, ed ecco come scaricarlo e installarlo:

Utenti Windows e Mac

1. Apri il browser.
2. Visita https://www.wireshark.org/download.html .
3. Seleziona la versione per il tuo dispositivo.
   
4. Wireshark verrà scaricato sul tuo dispositivo.
5. Installalo seguendo le istruzioni nel pacchetto.
   

Utenti Linux

Se sei un utente Linux, puoi trovare Wireshark nel Software Center di Ubuntu. Scaricalo da lì e installalo secondo le istruzioni nel pacchetto.

Catturare il traffico HTTP in Wireshark

Ora che hai installato Wireshark sul tuo computer, possiamo passare all'acquisizione del traffico http. Ecco i passaggi per farlo:

1. Apri il tuo browser: puoi utilizzare qualsiasi browser.
2. Svuota cache: prima di acquisire il traffico, è necessario svuotare la cache del browser. Puoi farlo se vai nelle impostazioni del tuo browser.
   
3. Apri Wireshark.
   
4. Tocca "Cattura".
   
5. Tocca "Interfacce". Ora vedrai una finestra pop-up sullo schermo.
6. Scegli l'interfaccia. Probabilmente vorrai analizzare il traffico che passa attraverso il tuo driver Ethernet.
   
7. Dopo aver selezionato l'interfaccia, tocca "Start" o tocca "Ctrl + E".
   
8. Ora torna al tuo browser e visita l'URL da cui desideri acquisire il traffico.
   
9. Al termine, interrompi l'acquisizione del traffico. Torna a Wireshark e tocca "Ctrl + E".
   
10. Salva il traffico catturato. Se hai problemi di rete e vuoi inviare il traffico acquisito all'assistenza, salvalo in un file in formato *.pcap.
    

Acquisizione di pacchetti in Wireshark

Oltre a catturare il traffico http, puoi catturare tutti i dati di rete di cui hai bisogno in Wireshark. Ecco come puoi farlo:

1. Apri Wireshark.
   
2. Vedrai un elenco di connessioni di rete disponibili che puoi esaminare. Seleziona quello che ti interessa. Se lo desideri, puoi analizzare più connessioni di rete contemporaneamente premendo "Maiusc + clic sinistro".
   
3. Ora puoi iniziare a catturare i pacchetti. Puoi farlo in diversi modi: il primo è toccando l'icona della pinna di squalo nell'angolo in alto a sinistra. Il secondo tocca "Cattura" e quindi tocca "Avvia". Il terzo modo per avviare l'acquisizione è toccando "Ctrl + E".
   

Durante l'acquisizione, Wireshark visualizzerà tutti i pacchetti acquisiti in tempo reale. Una volta terminata l'acquisizione dei pacchetti, è possibile utilizzare gli stessi pulsanti/scorciatoie per interrompere l'acquisizione.

Filtri Wireshark

Uno dei motivi per cui Wireshark è oggi uno degli analizzatori di protocollo più famosi è la sua capacità di applicare vari filtri ai pacchetti acquisiti. I filtri Wireshark possono essere suddivisi in filtri di acquisizione e visualizzazione.

Cattura filtri

Questi filtri vengono applicati prima dell'acquisizione dei dati. Se Wireshark acquisisce dati che non corrispondono ai filtri, non li salverà e non li vedrai. Quindi, se sai cosa stai cercando, puoi utilizzare i filtri di acquisizione per restringere la ricerca.

Ecco alcuni dei filtri di acquisizione più utilizzati che puoi utilizzare:

• host 192.168.1.2 – Cattura tutto il traffico associato a 192.168.1.2.
• porta 443 – Cattura tutto il traffico associato alla porta 443.
• port not 53 – Cattura tutto il traffico tranne quello associato alla porta 53.

Mostra filtri

A seconda di ciò che stai analizzando, i tuoi pacchetti acquisiti potrebbero essere molto difficili da esaminare. Se sai cosa stai cercando o se vuoi restringere la ricerca ed escludere i dati che non ti servono, puoi utilizzare i filtri di visualizzazione.

Ecco alcuni dei filtri di visualizzazione che puoi utilizzare:

• http: se hai acquisito un numero di pacchetti diversi, ma desideri visualizzare solo il traffico basato su http, puoi applicare questo filtro di visualizzazione e Wireshark ti mostrerà solo quei pacchetti.
• http.response.code == 404 – Se hai problemi a caricare alcune pagine web, questo filtro potrebbe essere utile. Se lo applichi, Wireshark mostrerà solo i pacchetti in cui "404: pagina non trovata" era una risposta.

È importante notare la differenza tra i filtri di cattura e di visualizzazione. Come hai visto, applichi i filtri di acquisizione prima e visualizzi i filtri dopo aver catturato i pacchetti. Con i filtri di acquisizione, scarti tutti i pacchetti che non rientrano nei filtri. Con i filtri di visualizzazione, non scarti alcun pacchetto. Li nascondi semplicemente dall'elenco in Wireshark.

Funzionalità aggiuntive di Wireshark

Sebbene l'acquisizione e il filtraggio dei pacchetti sia ciò che rende famoso Wireshark, offre anche diverse opzioni che possono semplificare il filtraggio e la risoluzione dei problemi, soprattutto se sei nuovo in questo.

Opzione colorazione

È possibile colorare i pacchetti nell'Elenco pacchetti in base a diversi filtri di visualizzazione. Ciò consente di evidenziare i pacchetti che si desidera analizzare.

Esistono due tipi di regole di colorazione: temporanee e permanenti. Le regole temporanee vengono applicate solo fino alla chiusura del programma e le regole permanenti vengono salvate fino a quando non le modifichi nuovamente.

Puoi scaricare le regole di colorazione di esempio qui , oppure puoi crearne di tue.

Modalità promiscua

Wireshark acquisisce il traffico in entrata o in uscita dal dispositivo su cui è in esecuzione. Abilitando la modalità promiscua, sei in grado di catturare la maggior parte del traffico sulla tua LAN.

Riga di comando

Se stai eseguendo il tuo sistema senza una GUI (interfaccia utente grafica), puoi utilizzare l'interfaccia della riga di comando di Wireshark. Puoi acquisire i pacchetti e rivederli su una GUI.

Statistiche

Wireshark offre un menu "Statistiche" che puoi utilizzare per analizzare i pacchetti acquisiti. Ad esempio, puoi visualizzare le proprietà dei file, analizzare il traffico tra due indirizzi IP, ecc.

Domande frequenti

Come leggo i dati acquisiti in WireShark?

Una volta che hai finito di catturare i pacchetti, Wireshark li mostrerà tutti in un riquadro con l'elenco dei pacchetti. Se vuoi concentrarti su un'acquisizione specifica, fai doppio clic su di essa e puoi leggere ulteriori informazioni a riguardo.

Puoi decidere di aprire una particolare acquisizione in una finestra separata per un'analisi più semplice:

1. Scegli il pacchetto che desideri leggere.

2. Fare clic destro su di esso.

3. Tocca "Visualizza".

4. Tocca "Mostra pacchetto in una nuova finestra".

Ecco alcuni dettagli dal riquadro dell'elenco dei pacchetti che ti aiuteranno a leggere le acquisizioni:

1. No. – Il numero di un pacchetto catturato.

2. Tempo: mostra quando il pacchetto è stato catturato rispetto a quando hai iniziato a catturare. È possibile personalizzare e regolare il valore nel menu "Impostazioni".

3. Origine: è l'origine di un pacchetto acquisito sotto forma di indirizzo.

4. Destinazione: l'indirizzo di destinazione di un pacchetto acquisito.

5. Protocollo: il tipo di pacchetto acquisito.

6. Lunghezza: mostra la lunghezza di un pacchetto acquisito. Questo è espresso in byte.

7. Info – Ulteriori informazioni su un pacchetto acquisito. Il tipo di informazioni visualizzate qui dipende dal tipo di pacchetto catturato.

Tutte le colonne di cui sopra possono essere ristrette con l'uso di filtri di visualizzazione. A seconda di ciò che ti interessa, puoi interpretare le acquisizioni di Wireshark in modo più semplice e veloce applicando diversi filtri.

In un mondo di pesci, sii uno squalo

Ora hai imparato come catturare il traffico http in Wireshark, insieme a informazioni utili sul programma. Se vuoi ispezionare la tua rete, risolvere problemi o assicurarti che tutto sia in ordine, Wireshark è lo strumento giusto per te. È facile da usare e interpretare ed è gratuito.

Hai già usato Wireshark? Raccontacelo nella sezione commenti qui sotto.