(pagina 2 di 5)

Catturare il traffico

Avviamo Wireshark tramite il comando sudo wireshark, clicchiamo quindi su Capture/Interfaces e scegliamo l’interfaccia che va verso la rete, in questo caso eth0. Clicchiamo sul pulsante Start, da questo momento in poi il live capture sarà attivo e la nostra interfaccia, grazie alla modalità promiscua, potrà ricevere tutti i pacchetti in transito sulla rete.

Sessione Ftp di esempio

Apriamo un secondo terminale e provvediamo ad effettuare una normale sessione FTP verso l’IP di un server FTP di test. Possiamo semplicemente digitare da console il comando ftp ip, oppure possiamo accedere tramite browser, in ogni caso curiamoci semplicemente di inserire la password per il login e di dare qualche comando, quindi chiudiamo la connessione.

Stop allo sniffing dei dati

Torniamo nella finestra principale di Wireshark. Vedremo che la vista centrale è stata popolata da tutti i pacchetti che sono transitati in rete dal momento in cui abbiamo avviato la cattura. Possiamo ora cliccare sul pulsante Stop Capture (Ctrl+E) per terminare la cattura ed esaminare tutto il traffico appena acquisito.

Password in bella vista

Districarsi tra tutto il traffico non è sicuramente un’operazione semplice, motivo per cui ricorreremo al più basilare dei filtri BPF, vale a dire quello che include nella vista centrale soltanto i pacchetti che fanno parte di una connessione FTP, quindi, nel campo Filter digitiamo ftp. Sarà evidenziato il traffico della nostra sessione e la password, che in questo caso è: graticola.

Dissectors: il cuore di  wireshark

Essenzialmente si tratta di componenti, simili ai plug-in, che consentono di analizzare e “dissezionare” tutti i protocolli supportati. Ma cosa significa dissezionare? Prendiamo come esempio la cattura di una sessione MSN. Dopo aver catturato il traffico, questo sarà rappresentato da una serie di pacchetti TCP che conterranno, al loro interno, i dati dei vari messaggi. Tali dati non saranno comunque immediatamente disponibili, dal momento che saranno incapsulati all’interno del protocollo HTTP che, a sua volta, conterrà il protocollo utilizzato da MSN. Ricostruire una conversazione, quindi, non è un’operazione semplice. I dissector servono proprio a semplificare questo tipo di lavoro, separare e visualizzare tutti i parametri del protocollo utilizzato senza che sia necessaria alcuna estrazione manuale dei dati. Wireshark per questa ragione include centinaia di dissector in grado di analizzare la maggior parte dei protocolli, dai classici TCP/UDP, fino ai protocolli per tutti gli instant messenger, IRC, QUAKE, NetBios, RPC, SSL e molti altri. “Sniffare” le credenziali di accesso a un server FTP o le ricerche portate a termine dai propri utenti è sicuramente divertente, tuttavia non è il miglior utilizzo che si possa fare di Wireshark, infatti questo strumento è stato pensato per eseguire controlli diagnostici sulla rete più che per spiare i propri utenti. Ma possiamo spingerci un gradino oltre, e sfruttare Wireshark per verificare che non ci siano stati attacchi alla nostra rete. Wireshark, grazie alla potenza dei filtri BPF puo’ essere utilizzato anche per evidenziare eventuali attività di port-scanning, uno scopo per cui non è stato esplicitamente pensato dal momento che la natura dei port-scan è sfuggevole per definizione. Si tratta di una notevole dimostrazione di flessibilità che ci viene data da questo fantastico strumento. Tuttavia la sua utilità non termina certo qui, nel prossimo esperimento cercheremo di isolare una sessione MSN tra due client, in modo da estrarne i contatti e i messaggi scambiati.

Pagina 2/5