Linux magazine - Wireshark, all'attacco della rete con lo squalo

Wireshark, all'attacco della rete con lo squalo

I pirati informatici lo usano per preparare le loro incursioni, gli amministratori per difendersi. Noi vi mostriamo come fanno

(pagina 5 di 5)

La cavia: una sessione di chat

Iniziamo una sessione di chat con un qualunque contatto della nostra lista, chiaramente tenendo Wireshark attivo per tutto il tempo, in modo da avere il log completo di tutti i messaggi che vengono scambiati tra i client ed il server centrale, in questo modo riusciremo, nel caso ci interessasse, anche a intercettare la stringa di login.

Tutto il traffico generato

Al termine della conversazione fermiamo la cattura, vedremo la finestra dei pacchetti popolata con tutto il traffico generato dalla rete fino a quel momento. Guardando con attenzione il listato, vedremo alcuni pacchetti il cui protocollo è MSNMS ovvero MSN Messenger Service, dovremo quindi evidenziare questi pacchetti e lasciar lavorare il dissector.

Un filtro per le sessioni MSN

Nella finestra Filter impostiamo il filtro MSNMS per isolare i pacchetti MSN (colonna Info) e cerchiamo la stringa JOI che è il marcatore utilizzato dal protocollo MSN quando si avvia una chat. Evidenziamo il pacchetto, tasto destro e poi clicchiamo su Follow TCP Stream. Quest’ultima operazione è necessaria per evitare che il filtro MSNMS escluda alcuni pacchetti utili.

I messaggi scambiati in chat

Scorrendo la finestra possiamo identificare, oltre ai dati binari scambiati col server, anche i messaggi di chat. I comandi più interessanti sono i seguenti: MSG indica l’arrivo di un messaggio, USR conferma l’avvenuta connessione con un client e BYE appare quando un utente remoto chiude la finestra dei messaggi, un’informazione che dal client non è possibile vedere.

Statistiche sul traffico di rete

Wireshark dispone di alcuni tool per ottenere dati accurati sull’utilizzo della rete. Questi strumenti (menu Statistics), tra le altre cose, permettono di creare grafici per visulizzare graficamente l’utilizzo che si fa della rete: picchi di traffico, numero di indirizzi IP, telefonate VoIP, traffico P2P e molto altro nacora. Per scoprire come va la rete, quindi, l’ideale è lasciare Wireshark in ascolto per qualche giorno e poi passare alla fase di analisi del traffico, magari visualizzandolo graficamente.