Wireshark
ZenithWireshark è probabilmente l’analizzatore di pacchetti più conosciuto e utilizzato di tutti, esso, è gratis, open source ed è disponibile per:
·Windows
·Mac OS X
·Linux
Il software può catturare, salvare, importare ed esportare i pacchetti di rete; include anche un sistema di filtraggio completo e colori diversificati in base al tipo di pacchetto catturato.
Breve introduzione
L'interfaccia non è molto compresa, l'importante è capire dove sono i comandi principali e quali si useranno maggiormente, con il tempo verrà automatico sapere cosa serve e dove trovarlo.
- Titolo: nome del file che state visualizzando;
- Menu: tutte le funzioni che potete usare;
- Icone: le principali e più utilizzate funzioni;
- Gestione dei filtri: uno degli elementi più importanti, serve a filtrare i pacchetti e poterli visualizzare in modo corretto;
- Lista dei pacchetti: tutti i pacchetti catturati, possono essere ordinati in base alle nostre esigenze;
- Dettaglio del pacchetto: questa sezione contiene i dettagli per ogni singolo pacchetto ed è divisa in base ai protocolli utilizzati;
- Byte dei pacchetti: visualizza i pacchetti in HEX dump;
- Barra di stato.
Analisi di un pacchetto
Dopo aver catturato per un po' di tempo, abbiamo a nostra disposizione migliaia di pacchetti
Wireshark ci da molte informazioni, ecco le principali:
- No: numero del pacchetti, sono ordinati in base al tempo di arrivo;
- Time: tempo di arrivo del pacchetto;
- Source: l’indirizzo da cui il pacchetto arriva;
- Destination: l’indirizzo a cui è andato il pacchetto;
- Protocol: il tipo di protocollo che sta utilizzando, in questo caso è una richiesta HTTP;
- Lenght: lunghezza del pacchetto;
- Info: informazioni aggiuntive, in questo caso mostra che è una richiesta GET.
Il pannelo dei dettagli del pacchetto è diviso in base al modello OSI e cambia da pacchetto a pacchetto.
Ecco degli esempi:
Il frame numero 116 contiene 853 bytes e se espandiamo le informazioni che possono esserci utili ,ad esempio, sono i protocolli presenti nel frame analizzato e la stringa da utilizzare nel filtro per visualizzare pacchetti simili.
L’indirizzo di destinazione e la sorgente, con modello e tanto di mac address.
Tipo di protocollo utilizzato, flags, Time to live e altre informazioni del livello di rete.
Livello di Trasporto: in questo caso utilizzo TCP, la porta di destinazione è l’ottanta.
Livello di Applicazione: nell’esempio visualizzo l’host raggiunto, l’user agent del mittente e anche i cookie salvati.
Filtrare i pacchetti
Per poter analizzare il traffico e selezionare un’obbiettivo bisogna necessariamente utilizzare il sistema di filtraggio. Le stringhe di ricerca sono molte e ne esistono di ogni tipo.
Per iniziare si seleziona l'indirizzo ip che ci interessa, cosicché dopodiché, tramite questa query:
ip.src == 10.42.0.121
E da qui, si cercano dati sensibili, es email, password, ecc
Strumenti utili
Nella sezione Statistics si possono trovare altre informazioni che ci possono essere utili, una di esse sono le richieste HTTP; vengono mostrati tutti i siti visitati, che possiamo poi approfondire se applichiamo il loro indirizzo IP come filtro.
N.B.: Se siete alle prime armi, vi consiglio una chiavetta esterna, con un hotspot, alla quale collegare diversi dispositivi, o magari anche solo uno e navigare per qualche minuto. Poi fermate il software e iniziate ad analizzare i pacchetti trovati.