
Wireshark, all'attacco della rete con lo squalo
I pirati informatici lo usano per preparare le loro incursioni, gli amministratori per difendersi. Noi vi mostriamo come fanno
(pagina 5 di 5)
La cavia: una sessione di chat
Iniziamo una sessione di chat con
un qualunque contatto della nostra lista, chiaramente tenendo Wireshark
attivo per tutto il tempo, in modo da avere il log completo di tutti i
messaggi che vengono scambiati tra i client ed il server centrale, in
questo modo riusciremo, nel caso ci interessasse, anche a intercettare
la stringa di login.
Tutto il traffico generato
Al termine della conversazione
fermiamo la cattura, vedremo la finestra dei pacchetti popolata con
tutto il traffico generato dalla rete fino a quel momento. Guardando
con attenzione il listato, vedremo alcuni pacchetti il cui protocollo è
MSNMS ovvero MSN Messenger Service, dovremo quindi evidenziare
questi pacchetti e lasciar lavorare il dissector.
Un filtro per le sessioni MSN
Nella finestra
Filter impostiamo il filtro MSNMS per isolare
i pacchetti MSN (colonna Info) e cerchiamo la stringa
JOI che è il marcatore utilizzato dal protocollo MSN quando si avvia
una chat. Evidenziamo il pacchetto, tasto destro e poi clicchiamo su
Follow TCP Stream. Quest’ultima operazione è necessaria per evitare che
il filtro MSNMS escluda alcuni pacchetti utili.
I messaggi scambiati in chat
Scorrendo la finestra
possiamo identificare, oltre ai dati binari scambiati col server, anche
i messaggi di chat. I comandi più interessanti sono i seguenti: MSG
indica l’arrivo di un messaggio, USR conferma l’avvenuta connessione
con un client e BYE appare quando un utente remoto chiude la finestra
dei messaggi,
un’informazione che dal client non è possibile vedere.
Statistiche sul traffico di rete
Wireshark dispone di
alcuni tool per ottenere dati accurati sull’utilizzo della rete. Questi
strumenti (menu Statistics), tra le altre cose, permettono
di creare grafici per visulizzare graficamente l’utilizzo che si fa
della rete: picchi di traffico, numero di indirizzi IP, telefonate
VoIP, traffico P2P e molto altro nacora. Per scoprire come va la rete,
quindi, l’ideale è lasciare Wireshark in ascolto per qualche giorno e
poi passare alla fase di analisi del traffico, magari visualizzandolo
graficamente.
Commenti