Divertiamoci con i filtri di Wireshark

 Articoli, Guide  Add comments
Mar 222012
 

Questo è un mio articolo, pubblicato la prima volta su Wazi
Trovate la prima parte dell’articolo qua

In questo articolo vedremo come applicare i filtri BPF di wireshark per mostrare le caratteristiche di una sessione HTTP, di una di posta e come controllare chi sta visitando un certo sito dalla nostra rete locale.
Infine vi farò un riassunto dei filtri più utili da utilizzare con Wireshark.

Ecco un altro esempio classico – una sessione HTTP. Come prima cosa, avviare Wireshark e iniziare a catturare il traffico dall’interfaccia che esce in rete. Oggi la maggior parte del traffico HTTP è compresso per accelerare lo scambio di informazioni, quindi di default Wireshark decomprime la parte del corpo dei pacchetti HTTP. È possibile fare clic su Modifica ->Preferenze -> Protocols -> HTTP e verificare che “Uncompress entity bodies” sia selezionato.


Durante la cattura, impostare un filtro per visualizzare solo il traffico HTTP inserendo http . Ogni pagina web che gli utenti della vostra rete visitano genererà questo tipo di traffico o voi lo catturerete – questo può generare un sacco di informazioni. Forse siete interessati a seguire un particolare tipo di informazioni, o un determinato utente. Per fare questo, scegliere una richiesta http nel pannello principali, dove si vedono tutti i pacchetti, fate clic con il destro su di essa e scegliete l’opzione “Follow TCP Stream”. Wireshark aprirà una nuova finestra contenente la ricostruzione di quella intera sessione HTTP in ordine cronologico.

È inoltre possibile isolare solo le richieste verso un determinato sito – Facebook, per esempio – per vedere quali sono gli indirizzi IP che lo richiedono, mettete il filtro http.request.uri contains facebook nel campo Filtro.

Ora si supponga di voler vedere tutto il traffico proveniente dentro e fuori ad uno specifico computer. Si potrebbe applicare un filtro per mac-address per essere sicuri di individuare il client giusto. Per ottenere il mac-address del bersaglio all’altro capo della connessione, fate prima un conado ping verso l’hostname o l’URL del computer di destinazione per conoscere il suo indirizzo IP. Quindi eseguire il comando arp :

ping target.com
arp -a

Nella lista restituita dal comando arp , cercate l’indirizzo IP che avete trovato con il comando ping. Una volta che avete l’indirizzo MAC – diciamo, “AA:BB:CC:DD:EE:FF” – scrivetelo nella casella filtro:

eth.addr == AA:BB:CC:DD:EE:FF

In alternativa, è possibile filtrare in base all’indirizzo IP, ma su una rete che utilizza DHCP per assegnare gli indirizzi IP, l’indirizzo IP di destinazione potrebbe cambiare in qualsiasi momento:

ip.addr == 192.168.0.1

Fare clic su Applica e vedrete solo il traffico che proviene da, o va verso quel particolare indirizzo IP o MAC. Con l’opzione “ip” selezionata, tutto il traffico Internet Protocol viene mostrato, che va bene nel 99% dei casi.

Invece del filtro ip.addr è possibile utilizzare il filtro di acquisizione “Host” in questo modo:

host 192.168.0.1

Inserendo questo valore come un filtro cattura, Wireshark cattura tutto il traffico da e verso 192.168.0.1, indipendentemente dal tipo.

Ora si supponga di voler catturare tutto il traffico tramite protocolli specifici generati da un host, come ad esempio pop3, ftp, http, o messenger. Nel box filtro, digitare:

ip.addr == 192.168.0.1 and (http or ftp or messenger or pop)

Questo dice di mostrare tutto il traffico generato o diretto all’indirizzo IP 192.168.0.1 e visualizzare solo http o ftp o pop o i pacchetti di messenger.

È possibile catturare tutto il traffico di questo tipo della vostra rete locale con un indirizzo specifico o da più client:

ip.addr == 192.168.0 and (http or ftp or messenger or pop)


I filtri più comuni per Wireshark

In cima a tutti i filtri che abbiamo guardato finora, qui ci sono alcuni fra le più utili. Per un elenco completo dei possibili filtri, fare riferimento al sito ufficiale di Wireshark riguardante i filtri Capture e Display.

  • ip.addr==192.168.0.1 — mostra tutto il traffico da e per 192.168.0.1
  • tcp.port==80 — Mostra tutto il traffico con la porta 80 come sorgente o destinazione
  • ip.src==192.168.0.1 and ip.dst==10.100.1.1 — Mostra tutto il traffico che inizia da 192.168.0.1 ed ha come destinazione 10.100.1.1
  • ftp — Mostra solo il traffico per il protocollo ftp
  • http — Mostra solo il traffico per il protocollo http
  • dns — Mostra solo il traffico per il protocollo dns
  • http.request.uri contains string — Mostra tutto il traffico http dove la url contiene la parola “string”

La tecnologia dei filtri BPF rende Wireshark potente e versatile, ma questo è solo un accenno di tutto quello che questo strumento può fare. Ci vorrebbe un altro intero articolo o altre due per coprire cose come Wireshark può verificare la presenza di potenziali attacchi DDOS sulla rete, o analizzare la qualità del protocollo SIP per le soluzioni VOIP.

Popular Posts:

    None Found

Flattr this!

 Leave a Reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

(required)

(required)

CAPTCHA

*