Come si usa Wireshark per intercettare il traffico di rete

Guida sintetica al programma gratuito Wireshark, il numero uno per monitorare una rete e spiare i dati trasferiti tra computer e via internet

Wireshark è uno degli strumenti di analisi di rete più famosi al mondo, sia perchè gratuito, sia perchè funziona bene e non è troppo difficile da usare.
La sua fama deriva però dal fatto che con questo programma è possibile filtrare, catturare e spiare i pacchetti e le informazioni che passano all'interno di una rete di computer.
Spiare i pacchetti, come visto in una guida generale (Entrare in una rete wifi protetta per catturare pacchetti e spiare cosa si fa su internet), permette di leggere ogni tipo di informazione che passa in chiaro nella comunicazione tra il pc e internet.
Questo significa che, se due persone sono nello stesso ufficio o casa e si collegano alla stessa rete (o lo stesso router) per andare su internet, allora i due pc si vedono e da uno è possibile, usando Wireshark, catturare le informazioni dell'altro, compresi i siti web che visita, le password in chiaro (sui siti non https), le email, le chat e cosi via.

Wireshark però è soprattutto un programma di analisi delle reti molto potente usato anche dai tecnici professionisti e vediamo allora come usarlo in modo serio.

È possibile scaricare Wireshark per Windows o Mac OS X dal suo sito ufficiale.
Se si utilizza Linux o un altro sistema UNIX-like, Wireshark dovrebbe essere nel repository software della distribuzione.

Dopo il download e l'installazione di Wireshark, lo si può avviare e si deve subito selezionare la corretta interfaccia di rete da analizzare.
Ad esempio, se si desidera acquisire il traffico sulla rete wireless, cliccare la scheda di rete wifi altrimenti, se la rete usata è via cavo, bisogna scegliere la connessione LAN e cosi via.
Non appena si seleziona un'interfaccia, si vedrà subito che ogni informazione che passa sulla rete è visibile in un elenco a scorrimento continuo.
Se si attiva il controllo su una rete condivisa da più computer (come una wifi), ed è stata attivata l'acquisizione di dati in modalità promiscua, si vedranno anche i pacchetti di altri computer collegati alla stessa rete.
L'acquisizione in modalità promiscua è possibile da un pc Windows solo installando i driver WinPCap che sono compresi nel pacchetto di installazione di Wireshark.

Nell'angolo superiore sinistro si può fermare il processo di cattura in tempo reale ed interrompere l'acquisizione del traffico.
Wireshark mostra i dati intercettati colorati in modo diverso per aiutare ad identificare i tipi di traffico in modo più semplice.
Da impostazione predefinita, il traffico TCP è verde, il traffico DNS è blu scuro, il traffico UDP è invece blu chiaro; quelli in nero sono pacchetti TCP con problemi.
Per iniziare e vedere se funziona, bisogna verificare che, mentre si naviga su internet aprendo un po' di siti web, i dati e le informazioni vengano catturate da Wireshark.
Le chiamate HTTP sono quelle relative al traffico internet che possono essere le più interessanti se si intende trovare informazioni di navigazione come i siti visitati.
Si può anche scaricare un file di esempio da analizzare in Wireshark per

Importante per non perdersi nel mare di dati generato è usare le regole di filtraggio dei pacchetti.
Il modo più semplice per applicare un filtro è digitare una chiave di ricerca nella casella filtro in alto nella finestra e cliccare su Applica.
Ad esempio, digitando "http" si vedranno soltanto le connessioni fatte tramite il browser su internet.
Ogni pacchetto può essere ispezionato e basta cliccarci sopra col tasto destro per vedere maggiori dettagli ed il TCP Stream ossia la cronologia di passaggi fatti (ad esempio, se si cerca con Google più cose, si può rivedere l'intero flusso).
Dal menu Analyze si possono applicare filtri più specifici.

Durante l'acquisizione di pacchetti, potrebbe essere scomodo e difficile da capire il flusso di dati e informazioni sniffate sulla rete perchè sono visualizzati solo gli indirizzi IP.
È possibile però convertire gli indirizzi IP in nomi di dominio (per il traffico http questo significa vedere i nomi dei siti web) attivando la funzionalità dal menu Edit - > Preferences -> Name Resolution ed attivare "Enable Network Name Resolution".
Quando si attiva questa opzione, si vedranno i nomi di dominio invece che gli indirizzi IP ma, siccome Wireshark dovrà cercare ogni nome di dominio, aumentarano le richieste DNS aumentando il flusso di dati.

Se si vuol configurare una cattura automatica dei pacchetti sul proprio computer, si può creare un collegamento sul desktop per l'avvio veloce di Wireshark.
Dopo aver creato il collegamento, cliccare col tasto destro, entrare nelle proprietà e, dove è scritto "Destinazione", aggiungere alla riga, dopo le virgolette finale, uno spazio e poi -i # -k .
al posto di # si deve mettere il numero della scheda di rete da controllare, secondo l'ordine che Wireshark dà in fase di selezione.

La cattura di traffico da altri computer collegati alla stessa rete è forse il suo scopo più divertente che ci fa diventare un po' hacker nel nostro piccolo (non è però cosi facile).
Se si vuol registrare il traffico di rete e spiare le informazioni che passano attraverso un router, un server o un altro computer, si deve usare la cattura remota di Wireshark che, su Windows, sfrutta il driver WinPcap.
Dopo che è stato installato, si deve aprire la finestra dei servizi di Windows (cliccare su Start e scrivere sulla casella Ricerca o Esegui, il comando Services.msc).
Nella lista dei servizi, trovare ed attivare quello che si chiama Remote Packet Capture Protocol.
Questo servizio è disattivato per impostazione predefinita.
Cliccare su Options Capture nella finestra iniziale di Wireshark e selezionare Remote dalla casella Interface.
Immettere poi l'indirizzo del sistema remoto (ad es. 192.168.2.3) e come porta la 2002.
Per funzionare, si deve avere accesso alla porta 2002 sul sistema remoto quindi bisognerà aprire questa porta sul firewall del computer o sul router.
Dopo la connessione, è possibile selezionare un'interfaccia sul sistema remoto dalla casella dove sono elencate le schede di rete e cliccare su Avvia per iniziare la registrazione delle connessioni effettuate da quel computer.

In questo video si può vedere un tutorial introduttivo fatta molto bene per imparare a usare Wireshark.


Wireshark è uno strumento estremamente potente anche se solo i più esperti possono capirlo a fondo ed usarlo per fare ogni tipo di operazione in una rete.
Questo tutorial è appena introduttivo rispetto tutto quello che si può fare (qui c'è il manuale completo in inglese); basti sapere che i professionisti lo utilizzano per eseguire il debug nelle installazioni di protocolli di rete, per aanalizzare problemi di sicurezza e controllare il traffico nelle aziende.
Per finire, un'ultima raccomandazione: molte organizzazioni non consentono che Wireshark o strumenti simili possano agire sulle loro reti (questione di privacy) quindi non bisognerebbe rischiare di utilizzarlo in ufficio a meno che non si disponga dell'autorizzazione.

Se si vuol provare con programmi più semplici, consiglio di scaricare i tool Nirsoft per sniffare la rete di pc e vedere siti visitati, ricerche su internet e password.