WireShark

Manuale d'uso

Scritto da Balestri Paride Socio F028 ImoLUG

Introduzione..........................................................................................................................................3 Prerequisiti.......................................................................................................................................3 Definizioni.......................................................................................................................................3 Operazioni preliminari..........................................................................................................................4 Uso di WireShark.................................................................................................................................7 Selezione dell interfa!!ia di !attura.................................................................................................7 "##io della !attura dei pa!!hetti......................................................................................................$ "rresto della !attura dei pa!!hetti...................................................................................................$ Sezioni dell interfa!!ia...................................................................................................................1% "nalisi di al!uni pa!!hetti..............................................................................................................1% Pa!!hetto 317............................................................................................................................11 Pa!!hetto 31&............................................................................................................................1' Pa!!hetto 31$............................................................................................................................1' Pa!!hetto 3'%............................................................................................................................1' (unzione !omoda di WireShark.........................................................................................................13 (iltri sui pa!!hetti...............................................................................................................................14 (iltro sempli!e...............................................................................................................................14 (iltro !omplesso.............................................................................................................................1) *on!lusioni e +iferimenti...................................................................................................................1,

'

Introduzione
Scopo del manuale Scopo del presente manuale quello di fornire una uida rapida all'utente c!e si approccia a "ireS!ar# per la prima $olta% Il manuale reali&&ato attra$erso l'esperien&a accumulata nel tempo dall'autore con l'utili&&o di tool come "ireS!ar# e simili% 'uesto manuale non sostituisce in alcun modo il manuale specifico del pro ramma%

Prerequisiti
Fondamentale prerequisito per l'uso di questo manuale e del pro ramma "ireS!ar# la conoscen&a( anc!e minima( di c!e cosa sia una rete informatica( di come essa possa essere or ani&&ata( dei protocolli di comunica&ione c!e su essa possono transitare( nonc!) una conoscen&a di sistemi operati$i e di come essi intera iscono con la rete%

Definizioni

Operazioni preliminari
'uesta se&ione dedicata a tutti que li utenti c!e !anno installato una openSUSE 10.3 con KDE In questa release c' un pro*lema di a$$io del pro ramma "ireS!ar# direttamente dal men+ di ,-. se si loggati come root% Se lanciato direttamente dal men+( il pro ramma non parte e dopo circa /0 secondi si c!iude automaticamente% Se $iene a$$iato da una console terminale( in$ece( fun&iona correttamente% .cco come fare per risol$ere il pro*lema% 0% .$iden&iare( sen&a cliccare( il colle amento a "ireS!ar# nel men+ di ,-. 2% Fare clic# con il tasto destro del mouse e sce liere la $oce 1Modifica elemento%%%2

/% 3ella finestra c!e compare

3ella casella

inserire /root o sele&ionarla dal pulsante

'uindi cliccare su

4% Pi+ in *asso nella finestra tro$ate la casella

smarcare la casella quadrata a sinistra di 1.se ui come un altro utente2 in modo c!e la casella risulti come la se uente

5% Sal$are le modific!e cliccando su

e poi c!iudere con File 67 .sci

8% 9 questo punto non do$re**ero pi+ esserci pro*lemi nell'a$$io di "ireS!ar# In alternati$a possi*ile a$$iare "ireS!ar# da una consolle terminale con il comando

wireshark &

Uso di WireShark
Usare "ireS!ar# relati$amente semplice% :utto dipende da cosa si $uole fare% 3el capitoli c!e se uono illustrer; alcune opera&ioni *ase come la cattura dei pacc!etti( la sele&ione di questi ultimi per me&&o dei filtri e alcune fun&ioni c!e tornano comode soprattutto quando c' una rossa mole di dati% Per tutte le altre informa&ioni sull'utili&&o e sulla confi ura&ione si faccia riferimento alla iuda del pro ramma e alle relati$e pa ine man%

Selezione dell'interfaccia di cattura

Per prima cosa occorre sele&ionare l'interfaccia dalla quale si $o liono catturare i pacc!etti c!e transitano% Per sele&ionare l'interfaccia cliccare sul pulsante finestra c!e compare% in alto a sinistra nella

9pparir< la se uente sc!ermata c!e indica le $arie interfacce disponi*ili ed il numero di pacc!etti c!e stanno passando%

Interfa!!e disponi-ili e relati#o indirizzo IP

Pa!!hetti !he transitano per o.ni interfa!!ia e relati#o ratio /pa!!hetti al se!ondo0

Pulsanti per a##io !attura pa!!hetti e impostazione opzioni

9 seconda di quale interfaccia ci interessa sufficiente cliccare sul pulsante Start per a$$iare la cattura dei pacc!etti%

La cattura dei pacc!etti a$$iene nella sc!ermata principale di "ireS!ar#

In que st a area compariranno i pacc he t t i cat t urat i, c ompreso l a vist a in d et t agl io d el pacchet t o se le zionat o

Mentre la cattura dei pacc!etti in corso $edrete l'elenco di questi ultimi scorrere automaticamente sullo sc!ermo%

"rea dei pa!!hetti

"rea detta.lio del pa!!hetto selezionato /in questo esempio il 110

2isualizzazione esade!imale e ra3 del pa!!hetto

&

"ireS!ar# !a( tra le sue $arie fun&ioni( anc!e quella di presentare a $ideo i pacc!etti con colori di sfondo differenti a seconda del tipo di pacc!etti% 'uesti parametri sono imposta*ili nella se&ione di confi ura&ione di "ireS!ar# =consultare il manuale>

Avvio della cattura dei pacchetti

Per a$$iare la cattura dei pacc!etti fare clic# sul pulsante dell'interfaccia desiderata% La sc!ermata comincer< a popolarsi di ri !e colorate% 'ueste sono i pacc!etti c!e $en ono catturati da "ireS!ar# a fianco

Attenzione !! Se a$ete dei do?nload in corso sull'interfaccia mentre atti$ate la cattura dei pacc!etti( a causa del meccanismo di cattura dei pacc!etti( per un istante la connessione sar< interrotta% 'uesta opera&ione( a $olte( pu; pro$ocare l'arresto con errore dei do?nload in corso%

Arresto della cattura dei pacchetti

Per arrestare la cattura dei pacc!etti fare clic# sul pulsante

Sezioni dell'interfaccia
@ediamone nel detta lio le se&ioni%

41 pro.ressi#o del pa!!hetto /nella !attura0

Indirizzo IP sor.ente del pa!!hetto 5imestamp della !attura /se!ondi dall a##io0

Proto!ollo Informazioni dal pa!!hetto /alias des!rizione0

Indirizzo IP destinatario del pa!!hetto

Analisi di alcuni pacchetti

Se anali&&iamo nel detta lio i pacc!etti 39 e 399 della fi ura sopra( notiamo c!e i due pacc!etti formano una comunica&ione% 3el detta lioA Pacc!etto /B8 l'indiri&&o IP 0C2%0C%250%000 in$ia il pacc!etto all'indiri&&o 0C2%0C%250%0 il pacc!etto c!e $iene in$iato un pacc!etto IDMP =Internet Dontrol Messa e Protocol> c!e $iene descritto come una ric!iesta di .c!o =altrimenti noto come PI3G> in questo caso il pacc!etto una ric!iesta Pacc!etto /BB l'indiri&&o IP 0C2%0C%250%0 risponde al messa io del pacc!etto /B8 con un altro pacc!etto della stessa tipolo ia =IDMP> c!e per; la risposta alla ric!iesta precedente si noti come il pacc!etto questa $olta parta da 0C2%0C%250%0 e sia destinato a 0C2%0C%250 000 Se osser$iamo la parte di detta lio del pacc!etto /B8 =2a se&ione dell'interfaccia>

1%

notiamo una s$ariata quantit< di informa&ioni% 'uesto il contenuto esatto del pacc!etto /B8% Dliccando sulla freccetta a sinistra di o ni ri a si pu; aprire il detta lio di quest'ultima e osser$are ma iori informa&ioni% Si noti c!e nella 2a ri a $endono indicate anc!e le sc!ede di rete comprensi$e di @endor name =Dle$oE o 9mitE> e il terminale del M9D 9ddress in nota&ione esadecimale =28AaaA8B o 02A8fAB4> 3ella /a ri a $en ono riportati li indiri&&i IP di sor ente e destinatario% La 2a ri a importante in quanto non tutte le comunica&ioni $ia iano a li$ello di indiri&&o IP% 9lcune di esse $en ono ese uite dai sistemi utili&&ando esclusi$amente il M9D 9ddress% 9nali&&iamo un altro ruppo di pacc!etti( questa $olta $ediamo l'esempio dell'instaura&ione di una comunica&ione% Prendiamo i pacc!etti dal /0C al /20

In questo esempio si $ede un tipo differente di pacc!etto = :DP e F::P > c!e( come detto prima( $iene colorato in maniera differente da "ireS!ar#% 9nali&&iamoloA

Pacchetto 317

l'indiri&&o 0C2%0C%250%000 in$ia un pacc!etto a 0C2%0C%250%0 usando il protocollo :DP% Dome si $ede dall'ultima colonna il pacc!etto parte dalla porta 2/44C dell'indiri&&o sor ente 0C2%0C%250%000 ed diretto alla porta !ttp =80> del destinatario% 23447 > http 3G:9A 'uando possi*ile( "ireS!ar# sostituisce al numero della porta il nome canonico% continuando ad osser$are la ri a di descri&ione si nota dei caratteri tra parentesi quadre% 'uesto indica il fla del pacc!etto c!e stato settato dal mittenteH in questo caso stato settato il fla di SI3 =sincronismo>H o$$ero $iene c!iesto l'autori&&a&ione ad ini&iare un dialo o% Gltre al fla compaiono anc!eA il 3umero di Sequen&a =SeqJ0> del pacc!etto nel complesso della comunica&ione =trama> la lun !e&&a =LenJ0> la dimensione massima del se mento =o$$ero la dimensione massima della 1scatola2 c!e contiene il messa ioH MSSJ0480 in questo caso 0480 *Kte> il :imeStamp@alue del pacc!etto( o$$ero data e ora =:S@JCBC4822> espresso in numero decimale altre informa&ioni

11

Pacchetto 318

l'indiri&&o 0C2%0C%250%0 risponde a 0C2%0C%250%000 sempre con un pacc!etto :DP con( porte di ori ine e destina&ione ro$esciate http > 23447

3ella descri&ione si nota c!e questo pacc!etto !a 2 fla settatiA SI3 e 9D,% 'uesto si nifica c!e 0C2%0C%250%0 !a accettato la ric!iesta di ini&io di comunica&ione =9D, J 9c#no?led e J Donsenso> e in$ia a 0C2%0C%250%000 un fla di SI3 per completare la fase di FandS!a#in della comunica&ione =il termine !ands!a#in tradotto letteralmente indica 1stretta di mano2H questo in sostan&a la *ase della comunica&ione *idire&ionale sui protocolli :DPLIP *ased> oltre ai fla ( 0C2%0C%250%0 in$ia anc!e il numero di 9D, =9c#J0>% 'uesto numero importante perc! indicatore di quale comunica&ione fa parte il frammento =parte del pacc!etto c!e non 1entra2 nella 1scatola2 definita dall' MSS>% 'uando un pacc!etto de$e essere spe&&ato =e spedito in 1due tempi2> questo numero permette al rice$ente di ricostruire tutto il pacc!etto per intero%

Pacchetto 319

a questo punto(l'indiri&&o 0C2%0C%250%000 sta*ilisce definiti$amente la comunica&ione rimandando un pacc!etto a 0C2%0C%250%0 contenente anc!e lui un fla di 9D, e indicando il numero di 9D, a cui di riferisce% -a questo momento la comunica&ione sta*ilita e l'!ands!a#e !a termine%

Pacchetto 320

a$endo instaurato la comunica&ione l'indiri&&o 0C2%0C%250%000 ric!iede tramite il protocollo F::P l'in$io di dati nello specifico in$ia un a ric!iesta GET del file /menu.htm usando il protocollo F::P $ersione 0%0 HTTP/1.0

1'

unzione comoda di WireShark

Una fun&ione molto comoda quella c!iamata 1Follo? :DP stream2% 'uesta fun&ione permette( in sostan&a( c!iede a "ireS!ar# di anali&&are tutto il catturato e di presentarci tutto il flusso di comunica&ione al quale il pacc!etto sele&ionato appartiene% 'uesta fun&ione risulta molto comoda quando( in un am*iente di rete con pi+ macc!ine si !a un esa erato flusso di informa&ioni c!e rende impossi*ile se uire 1ad occ!io2 la comunica&ione( ma ari da una specifica macc!ina =questo $ale anc!e con la presen&a di pacc!etti frammentati c!e $en ono indicati da "ireS!ar# come [TCP segment of a reassembled PDU]% Per atti$arla sufficiente cliccare con il tasto destro sul pacc!etto c!e ci interessa e sce liere la $oce 1Follo? :DP Stream2 dal men+ c!e compare o( in alternati$a( sele&ionare il men+ 9nalK&e 67 Follo? :DP Stream% Domparir< una finestra simile alla se uente

In questa finestra si pu; $edere la trascri&ione di tutta la comunica&ione% Si pu; sce liere il formato di $isuali&&a&ione =consi lio $i$amente 9SDII a meno c!e non stiate de*u an o comunica&ioni di *us industriali per cui torna pi+ comodo il modo FeM -ump>% 3ella finestra possi*ile $edere in rosso i messa i in$iati dall'indiri&&o 0C2%0C%250%000 e in *lu le risposte di 0C2%0C%250%0

13

iltri sui pacchetti

Una $olta terminata la cattura dei pacc!etti( possi*ile applicar$i dei filtri per ottenere solo le informa&ioni desiderate% Per inserire un filtro possi*ile utili&&are la casella c!e si tro$a nella parte altra sopra la 0a interfaccia

oppure( per filtri pi+ complessi utili&&are il suo editor cliccando sul pulsante 1N .Mpression%%%2 @isto la natura di questo manuale la seconda fun&ione $err< descritta sommariamente% Si $eda la documenta&ione ufficiale per una spie a&ione pi+ puntuale ed esausti$a%

Filtro semplice
Per filtro semplice si intende un filtro scritto direttamente nella casella Filter di cui alla fi ura sopra% La sintassi dei filtri molto sempliceA <protocollo>.<propriet> <operatore_di_confronto> <valore> .sempio ip.addr==172.17.250.100 3ell'esempio si dice a "ireS!ar# di filtrare tutto quello c!e !aA Protocollo J IP Parametro J 9--O quindi tutto quello c!e !a l'indiri&&o IP identico =fatto con 2 'J'> a 0C2%0C%250%000 Una fun&ione comoda l'auto c!ec# della corrette&&a del filtro inserito% Se la sintassi errata la casella si colorer< di rossoLrosa per di$entare poi $erde quando la sintassi sar< corretta% Per applicare il filtro *asta premere In$io o cliccare su 9pplK Per eliminare il filtro *asta cliccare su Dlear

14

Filtro complesso
3el caso si de**a reali&&are un filtro complesso possi*ile utili&&are l'editor interno% Per aprirlo sufficiente cliccare sul pulsante 1N .Mpression%%%2 e apparir< la se uente sc!ermata

'ui possi*ile $edere l'elenco di tutte le propriet< dei $ari protocolli e reali&&are dei filtri pi+ complessi% 3ella reali&&a&ione dei filtri possi*ile utili&&are anc!e li operatori lo ici 93-( GO( 3G:( ecc%%% .sempio (ip.addr eq 172.17.250.100 and ip.addr eq 172.17.250.1) and (tcp.port eq 23446 and tcp.port eq 80) In questo caso esempio $iene filtrato tutto quello c!e !a ip%addr 1eq2 =o$$ero equals cio u uale> a 0C2%0C%250%000 e a 0C2%0C%250%0( in pu+ $iene filtrato tutto quello c!e !a tcp%port u uale 2/448 e 80% 3otare la lo ica delle parentesi per la corretta interpreta&ione delle priorit< de li operatori lo ici%

1)

!onclusioni e "i#erimenti
Dome a$ete potuto $edere "ireS!ar# uno strumento dalle poten&ialit< enormi% .' possi*ile a$$iarlo anc!e da ri a di comando% Per o ni detta lio a iunti$o e per tutte le altre fun&ioni consultate le pa ine man del pro ramma( l'!elp nel pro ramma o $isitate il sito internet !ttpALL???%?ires!ar#%or

1,