(pagina 3 di 5)

Cattura di una sessione HTTP

Estrarre il traffico web può tornare utile per ottenere statistiche di utilizzo della rete

Dati web in chiaro

Avviamo Wireshark, clicchiamo su Edit/Preferences/Protocols/HTTP e spuntiamo l’opzione Uncompress entity bodies in modo da lasciare al programma l’onere di decomprimere i contenuti web che inviati compressi. In caso contrario, i dati delle sessioni web non sarebbero interpretabili senza una ulteriore fase di elaborazione.

Solo il traffico Http

Durante la cattura, spostiamoci nel box Filter della finestra principale e impostiamo un filtro per mostrare solo il traffico HTTP: basta scrivere http. Vedremo la finestra popolarsi man mano che gli altri utenti della rete genereranno questo tipo di traffico, ogni pagina richiesta darà vita a un gran numero di pacchetti, ognuno contenente la richiesta di un oggetto da scaricare.

Una richiesta particolare

Scegliamo un request http, selezioniamolo e facciamo clic con il tasto destro scegliendo l’opzione Follow TCP Stream, in questo modo Wireshark aprirà una nuova finestra contenente la ricostruzione in ordine cronologico di tutta la sessione HTTP che ha dato vita al request evidenziato. In questo caso il risultato di una ricerca su Google con tutti i parametri visibili.

 Filtri più sofisticati

Possiamo anche isolare solo le richieste di ricerca effettuate su motori come Google e visualizzare solo i request che ci interessano. Infine, potremo estrarre le parole chiave cercate dagli utenti. Per farlo basta inserire il filtro http.request.uri contains “search”, nel campo Filter, istruendo Wireshark a mostrare solo le richieste nel cui URI compare la parola chiave search.

Difendersi dalla scansione delle porte

Usare Wireshark per identificare e isolare eventuali portscan effettuati sulle macchine della rete

Pagina 3/5