WireShark. Manuale d'uso. Scritto da Balestri Paride Socio F028 ImoLUG



Documenti analoghi
MANUALE D'USO DEL PROGRAMMA IMMOBIPHONE

Con accesso remoto s'intende la possibilità di accedere ad uno o più Personal Computer con un modem ed una linea telefonica.

ALBO PRETORIO WEB MANUALE DELLA PROCEDURA SOMMARIO. Uso del manuale. Informazioni generali. Interfaccia grafica. Guida di riferimento

Sistema operativo. Sommario. Sistema operativo...1 Browser...1. Convenzioni adottate

Guida alla registrazione on-line di un DataLogger

ARCHIVIAZIONE DOCUMENTI

GENERAZIONE RAPPORTO XML

PULSANTI E PAGINE Sommario PULSANTI E PAGINE...1

Guida di Pro PC Secure

NAVIGAORA HOTSPOT. Manuale utente per la configurazione

I TUTORI. I tutori vanno creati la prima volta seguendo esclusivamente le procedure sotto descritte.

Introduzione a Wireshark Andrea Atzeni < shocked@polito.it > Marco Vallini < marco.vallini@polito.it >

Configuration Managment Configurare EC2 su AWS. Tutorial. Configuration Managment. Configurare il servizio EC2 su AWS. Pagina 1

Access. Microsoft Access. Aprire Access. Aprire Access. Aprire un database. Creare un nuovo database

Guida alla configurazione della posta elettronica dell Ateneo di Ferrara sui più comuni programmi di posta

PORTALE CLIENTI Manuale utente

FINE ANNO BOLLE / FATTURE PER E/SATTO

BMSO1001. Virtual Configurator. Istruzioni d uso 02/10-01 PC

Utilizzo del plugin ApSIC Xbench per SDL Trados Studio 2014

CONFIGURARE SAMBA 3 SU SUSE LINUX 9.1/9.2

Configurazione di Outlook Express

EXCEL PER WINDOWS95. sfruttare le potenzialità di calcolo dei personal computer. Essi si basano su un area di lavoro, detta foglio di lavoro,

Documenti Tecnici Informatica e Farmacia Vega S.p.A.

installazione

Guida. Macchina Scratch

Assegnamento di un indirizzo IP temporaneo a dispositivi Barix

Monitor Orientamento. Manuale Utente

Figura 54. Visualizza anteprima nel browser

istruzioni per l uso

Manuale di istruzioni sulle maschere per il calcolo del punteggio e del voto (unico) degli studenti che sostengono la Prova nazionale 2011

Aggiornamento programma da INTERNET

Che cos'è un modulo? pulsanti di opzione caselle di controllo caselle di riepilogo

Guida utenti INDICE: 1. Login. Come accedere all area studenti.

ACCESSO AL SISTEMA HELIOS...

MANUALE EDICOLA 04.05

Guida all uso di Java Diagrammi ER

Guida iscrizione Community. istruzione.social.marche.it

APPENDICE LINEE GUIDA PER SPERIMENTAZIONE WEB

Programma Gestione Presenze Manuale autorizzatore. Versione /08/2010. Area Sistemi Informatici - Università di Pisa

lo PERSONALIZZARE LA FINESTRA DI WORD 2000

Cambio esercizio CONTABILE Flusso operativo

GUIDA AL PRONTUARIO MOBILE

CONTACT CENTER ISTRUZIONI PER L USO

EasyPrint v4.15. Gadget e calendari. Manuale Utente

2015 PERIODO D IMPOSTA

1 SOMMARIO OPERAZIONE DI FIRMA DIGITALE... 2

WORD per WINDOWS95. Un word processor e` come una macchina da scrivere ma. con molte più funzioni. Il testo viene battuto sulla tastiera

Via della Repubblica 9 - Trezzano S/Naviglio (MI) Partita IVA nr

Le Proprietà della Barra delle applicazioni e Menu Start di Giovanni DI CECCA -

APRIRE UN PROGRAMMA DI FOGLIO ELETTRONICO

File, Modifica, Visualizza, Strumenti, Messaggio

Cominciamo dalla barra multifunzione, ossia la struttura a schede che ha sostituito la barra dei menu e la barra delle icone (Figura 1).

On-line Corsi d Informatica sul web

Direzione Centrale per le Politiche dell Immigrazione e dell Asilo

QG Gestione Assenze. Inserimento per Classe. Per la gestione delle assenze accedere dal Menu Giornaliere->Assenze e Giustificazioni

GESTIONE INCASSI SAGRA. Ver. 2.21

MANUALE UTENTE. Computer Palmare WORKABOUT PRO

I.N.A.I.L. Certificati Medici via Internet. Manuale utente

Procedura di abilitazione alla Rete di Lombardia Integrata

Guida all Utilizzo dell Applicazione Centralino

Manuale Utente Amministrazione Trasparente GA

GESGOLF SMS ONLINE. Manuale per l utente

Portale tirocini. Manuale utente Per la gestione del Progetto Formativo

Excel. A cura di Luigi Labonia. luigi.lab@libero.it

LIFE ECOMMERCE OFF LINE Istruzioni per l uso

INDICE. Accesso al Portale Pag. 2. Nuovo preventivo - Ricerca articoli. Pag. 4. Nuovo preventivo Ordine. Pag. 6. Modificare il preventivo. Pag.

Manuale per la configurazione di AziendaSoft in rete

Manuale Utente Albo Pretorio GA

Versione 4.0 Lotti e Scadenze. Negozio Facile

GUIDA ALL INSERIMENTO DEI DATI PAES

Gestione delle informazioni necessarie all attività di validazione degli studi di settore. Trasmissione degli esempi da valutare.

PROCEDURA INVENTARIO DI MAGAZZINO di FINE ESERCIZIO (dalla versione 3.2.0)

Manuale NetSupport v Liceo G. Cotta Marco Bolzon

HORIZON SQL MENU' FILE

FOXWave Gestione gare ARDF IZ1FAL Secco Marco Sezione ARI BIELLA

SOMMARIO... 2 Introduzione... 3 Configurazione Microsoft ISA Server... 4 Microsoft ISA Server Microsoft ISA Server

Manuale Servizio NEWSLETTER

BREVE GUIDA ALL ATTIVAZIONE DEL SERVIZIO DDNS PER DVR SERIE TMX

A destra è delimitata dalla barra di scorrimento verticale, mentre in basso troviamo una riga complessa.

Manuale di Aggiornamento BOLLETTINO. Rel H4. DATALOG Soluzioni Integrate a 32 Bit

I Codici Documento consentono di classificare le informazioni e di organizzare in modo logico l archiviazione dei file.

Assessorato alla Sanità ARPA. Anagrafe Regionale dei Prodotti Amministrabili. Manuale Utente 1.0.0

Accise Settore Prodotti Alcolici Manuale d uso

Guida rapida per i docenti all'uso della piattaforma di e-learning dell'istituto Giua

Procedura di iscrizione alla Piattaforma On Line

Entrare nel sistema. Clicca su Entra per entrare nel sistema. PAGINA 1

RILEVA LIGHT Manuale dell Utente

CTVClient. Dopo aver inserito correttamente i dati, verrà visualizzata la schermata del tabellone con i giorni e le ore.

MANUALE BREVE PER IL DOCENTE TUTOR

15J0460A300 SUNWAY CONNECT MANUALE UTENTE

In caso un ordine sia già stato importato, sarà visualizzato in grigio chiaro, e non sarà selezionato in automatico per l importazione.

Schede ADI ADP ADEM Prestazioni aggiuntive MMG. - Manuale - Data Solution Provider s.r.l.

GUIDA AL SITO DELLE RIPARAZIONI BARWARE SOMMARIO

Tools For Autism 1.0. Manuale d uso

ENTRARE NEL SISTEMA. Clicca su Entra per entrare nel sistema. PAGINA 1

Progetto SOLE Sanità OnLinE

A T I C _W E B G U I D A AL L A N A V I G A Z I O N E S U L S I T O D E L G R U P P O. Rev. 2.1

Il calendario di Windows Vista

Panoramica Masergy Communicator

Transcript:

WireShark Manuale d'uso Scritto da Balestri Paride Socio F028 ImoLUG 1

Introduzione...3 Prerequisiti...3 Definizioni...3 Operazioni preliminari...4 Uso di WireShark...7 Selezione dell'interfaccia di cattura...7 Avvio della cattura dei pacchetti...9 Arresto della cattura dei pacchetti...9 Sezioni dell'interfaccia...10 Analisi di alcuni pacchetti...10 Pacchetto 317...11 Pacchetto 318...12 Pacchetto 319...12 Pacchetto 320...12 Funzione comoda di WireShark...13 Filtri sui pacchetti...14 Filtro semplice...14 Filtro complesso...15 Conclusioni e Riferimenti...16 2

Introduzione Scopo del manuale Scopo del presente manuale è quello di fornire una guida rapida all'utente che si approccia a WireShark per la prima volta. Il manuale è realizzato attraverso l'esperienza accumulata nel tempo dall'autore con l'utilizzo di tool come WireShark e simili. Questo manuale non sostituisce in alcun modo il manuale specifico del programma. Prerequisiti Fondamentale prerequisito per l'uso di questo manuale e del programma WireShark è la conoscenza, anche minima, di che cosa sia una rete informatica, di come essa possa essere organizzata, dei protocolli di comunicazione che su essa possono transitare, nonché una conoscenza di sistemi operativi e di come essi interagiscono con la rete. Definizioni 3

Operazioni preliminari Questa sezione è dedicata a tutti quegli utenti che hanno installato una opensuse 10.3 con KDE In questa release c'è un problema di avvio del programma WireShark direttamente dal menù di KDE se si è loggati come root. Se lanciato direttamente dal menù, il programma non parte e dopo circa 30 secondi si chiude automaticamente. Se viene avviato da una console terminale, invece, funziona correttamente. Ecco come fare per risolvere il problema. 1. Evidenziare, senza cliccare, il collegamento a WireShark nel menù di KDE 2. Fare click con il tasto destro del mouse e scegliere la voce Modifica elemento... 4

3. Nella finestra che compare Nella casella inserire /root o selezionarla dal pulsante Quindi cliccare su 5

4. Più in basso nella finestra trovate la casella smarcare la casella quadrata a sinistra di Esegui come un altro utente in modo che la casella risulti come la seguente 5. Salvare le modifiche cliccando su e poi chiudere con File -> Esci 6. A questo punto non dovrebbero più esserci problemi nell'avvio di WireShark In alternativa è possibile avviare WireShark da una consolle terminale con il comando wireshark & 6

Uso di WireShark Usare WireShark è relativamente semplice. Tutto dipende da cosa si vuole fare. Nel capitoli che seguono illustrerò alcune operazioni base come la cattura dei pacchetti, la selezione di questi ultimi per mezzo dei filtri e alcune funzioni che tornano comode soprattutto quando c'è una grossa mole di dati. Per tutte le altre informazioni sull'utilizzo e sulla configurazione si faccia riferimento alla giuda del programma e alle relative pagine man. Selezione dell'interfaccia di cattura Per prima cosa occorre selezionare l'interfaccia dalla quale si vogliono catturare i pacchetti che transitano. Per selezionare l'interfaccia cliccare sul pulsante finestra che compare. in alto a sinistra nella Apparirà la seguente schermata che indica le varie interfacce disponibili ed il numero di pacchetti che stanno passando. Interfacce disponibili e relativo indirizzo IP Pacchetti che transitano per ogni interfaccia e relativo ratio (pacchetti al secondo) Pulsanti per avvio cattura pacchetti e impostazione opzioni A seconda di quale interfaccia ci interessa è sufficiente cliccare sul pulsante Start per avviare la cattura dei pacchetti. 7

La cattura dei pacchetti avviene nella schermata principale di WireShark In quest a area compariranno i pacchet t i cat t urat i, compreso la vist a in d et t aglio d el pacchet t o selezionat o Mentre la cattura dei pacchetti è in corso vedrete l'elenco di questi ultimi scorrere automaticamente sullo schermo. Area dei pacchetti Area dettaglio del pacchetto selezionato (in questo esempio il 1 ) Visualizzazione esadecimale e raw del pacchetto 8

WireShark ha, tra le sue varie funzioni, anche quella di presentare a video i pacchetti con colori di sfondo differenti a seconda del tipo di pacchetti. Questi parametri sono impostabili nella sezione di configurazione di WireShark (consultare il manuale) Avvio della cattura dei pacchetti Per avviare la cattura dei pacchetti fare click sul pulsante dell'interfaccia desiderata. a fianco La schermata comincerà a popolarsi di righe colorate. Queste sono i pacchetti che vengono catturati da WireShark Attenzione!! Se avete dei download in corso sull'interfaccia mentre attivate la cattura dei pacchetti, a causa del meccanismo di cattura dei pacchetti, per un istante la connessione sarà interrotta. Questa operazione, a volte, può provocare l'arresto con errore dei download in corso. Arresto della cattura dei pacchetti Per arrestare la cattura dei pacchetti fare click sul pulsante 9

Sezioni dell'interfaccia Vediamone nel dettaglio le sezioni. N progressivo del pacchetto (nella cattura) Timestamp della cattura (secondi dall'avvio) Indirizzo IP sorgente del pacchetto Indirizzo IP destinatario del pacchetto Protocollo Informazioni dal pacchetto (alias descrizione) Analisi di alcuni pacchetti Se analizziamo nel dettaglio i pacchetti 398 e 399 della figura sopra, notiamo che i due pacchetti formano una comunicazione. Nel dettaglio: Pacchetto 398 l'indirizzo IP 172.17.250.100 invia il pacchetto all'indirizzo 172.17.250.1 il pacchetto che viene inviato è un pacchetto ICMP (Internet Control Message Protocol) che viene descritto come una richiesta di Echo (altrimenti noto come PING) in questo caso il pacchetto è una richiesta Pacchetto 399 l'indirizzo IP 172.17.250.1 risponde al messaggio del pacchetto 398 con un altro pacchetto della stessa tipologia (ICMP) che però è la risposta alla richiesta precedente si noti come il pacchetto questa volta parta da 172.17.250.1 e sia destinato a 172.17.250 100 Se osserviamo la parte di dettaglio del pacchetto 398 (2a sezione dell'interfaccia) 10

notiamo una svariata quantità di informazioni. Questo è il contenuto esatto del pacchetto 398. Cliccando sulla freccetta a sinistra di ogni riga si può aprire il dettaglio di quest'ultima e osservare maggiori informazioni. Si noti che nella 2a riga vendono indicate anche le schede di rete comprensive di Vendor name (Clevo_ o Amit_) e il terminale del MAC Address in notazione esadecimale (28:aa:69 o 12:8f:94) Nella 3a riga vengono riportati gli indirizzi IP di sorgente e destinatario. La 2a riga è importante in quanto non tutte le comunicazioni viaggiano a livello di indirizzo IP. Alcune di esse vengono eseguite dai sistemi utilizzando esclusivamente il MAC Address. Analizziamo un altro gruppo di pacchetti, questa volta vediamo l'esempio dell'instaurazione di una comunicazione. Prendiamo i pacchetti dal 317 al 320 In questo esempio si vede un tipo differente di pacchetto ( TCP e HTTP ) che, come detto prima, viene colorato in maniera differente da WireShark. Analizziamolo: Pacchetto 317 l'indirizzo 172.17.250.100 invia un pacchetto a 172.17.250.1 usando il protocollo TCP. Come si vede dall'ultima colonna il pacchetto parte dalla porta 23447 dell'indirizzo sorgente 172.17.250.100 ed è diretto alla porta http (80) del destinatario. 23447 > http NOTA: Quando è possibile, WireShark sostituisce al numero della porta il nome canonico. continuando ad osservare la riga di descrizione si nota dei caratteri tra parentesi quadre. Questo indica il flag del pacchetto che è stato settato dal mittente; in questo caso è stato settato il flag di SYN (sincronismo); ovvero viene chiesto l'autorizzazione ad iniziare un dialogo. Oltre al flag compaiono anche: il Numero di Sequenza (Seq=0) del pacchetto nel complesso della comunicazione (trama) la lunghezza (Len=0) la dimensione massima del segmento (ovvero la dimensione massima della scatola che contiene il messaggio; MSS=1460 in questo caso 1460 byte) il TimeStampValue del pacchetto, ovvero data e ora (TSV=7974822) espresso in numero decimale altre informazioni 11

Pacchetto 318 l'indirizzo 172.17.250.1 risponde a 172.17.250.100 sempre con un pacchetto TCP con, porte di origine e destinazione rovesciate http > 23447 Nella descrizione si nota che questo pacchetto ha 2 flag settati: SYN e ACK. Questo significa che 172.17.250.1 ha accettato la richiesta di inizio di comunicazione (ACK = Acknowledge = Consenso) e invia a 172.17.250.100 un flag di SYN per completare la fase di HandShaking della comunicazione (il termine handshaking tradotto letteralmente indica stretta di mano ; questo è in sostanza la base della comunicazione bidirezionale sui protocolli TCP/IP based) oltre ai flag, 172.17.250.1 invia anche il numero di ACK (Ack=1). Questo numero è importante perchè è indicatore di quale comunicazione fa parte il frammento (parte del pacchetto che non entra nella scatola definita dall' MSS). Quando un pacchetto deve essere spezzato (e spedito in due tempi ) questo numero permette al ricevente di ricostruire tutto il pacchetto per intero. Pacchetto 319 a questo punto,l'indirizzo 172.17.250.100 stabilisce definitivamente la comunicazione rimandando un pacchetto a 172.17.250.1 contenente anche lui un flag di ACK e indicando il numero di ACK a cui di riferisce. Da questo momento la comunicazione è stabilita e l'handshake ha termine. Pacchetto 320 avendo instaurato la comunicazione l'indirizzo 172.17.250.100 richiede tramite il protocollo HTTP l'invio di dati nello specifico invia un a richiesta GET del file /menu.htm usando il protocollo HTTP versione 1.0 HTTP/1.0 12

Funzione comoda di WireShark Una funzione molto comoda è quella chiamata Follow TCP stream. Questa funzione permette, in sostanza, chiede a WireShark di analizzare tutto il catturato e di presentarci tutto il flusso di comunicazione al quale il pacchetto selezionato appartiene. Questa funzione risulta molto comoda quando, in un ambiente di rete con più macchine si ha un esagerato flusso di informazioni che rende impossibile seguire ad occhio la comunicazione, magari da una specifica macchina (questo vale anche con la presenza di pacchetti frammentati che vengono indicati da WireShark come [TCP segment of a reassembled PDU]. Per attivarla è sufficiente cliccare con il tasto destro sul pacchetto che ci interessa e scegliere la voce Follow TCP Stream dal menù che compare o, in alternativa, selezionare il menù Analyze -> Follow TCP Stream. Comparirà una finestra simile alla seguente In questa finestra si può vedere la trascrizione di tutta la comunicazione. Si può scegliere il formato di visualizzazione (consiglio vivamente ASCII a meno che non stiate debuggango comunicazioni di bus industriali per cui torna più comodo il modo Hex Dump). Nella finestra è possibile vedere in rosso i messaggi inviati dall'indirizzo 172.17.250.100 e in blu le risposte di 172.17.250.1 13

Filtri sui pacchetti Una volta terminata la cattura dei pacchetti, è possibile applicarvi dei filtri per ottenere solo le informazioni desiderate. Per inserire un filtro è possibile utilizzare la casella che si trova nella parte altra sopra la 1a interfaccia oppure, per filtri più complessi utilizzare il suo editor cliccando sul pulsante + Expression... Visto la natura di questo manuale la seconda funzione verrà descritta sommariamente. Si veda la documentazione ufficiale per una spiegazione più puntuale ed esaustiva. Filtro semplice Per filtro semplice si intende un filtro scritto direttamente nella casella Filter di cui alla figura sopra. La sintassi dei filtri è molto semplice: <protocollo>.<proprietà> <operatore_di_confronto> <valore> Esempio ip.addr==172.17.250.100 Nell'esempio si dice a WireShark di filtrare tutto quello che ha: Protocollo = IP Parametro = ADDR quindi tutto quello che ha l'indirizzo IP identico (fatto con 2 '=') a 172.17.250.100 Una funzione comoda è l'auto check della correttezza del filtro inserito. Se la sintassi è errata la casella si colorerà di rosso/rosa per diventare poi verde quando la sintassi sarà corretta. Per applicare il filtro basta premere Invio o cliccare su Apply Per eliminare il filtro basta cliccare su Clear 14

Filtro complesso Nel caso si debba realizzare un filtro complesso è possibile utilizzare l'editor interno. Per aprirlo è sufficiente cliccare sul pulsante + Expression... e apparirà la seguente schermata Qui è possibile vedere l'elenco di tutte le proprietà dei vari protocolli e realizzare dei filtri più complessi. Nella realizzazione dei filtri è possibile utilizzare anche gli operatori logici AND, OR, NOT, ecc... Esempio (ip.addr eq 172.17.250.100 and ip.addr eq 172.17.250.1) and (tcp.port eq 23446 and tcp.port eq 80) In questo caso esempio viene filtrato tutto quello che ha ip.addr eq (ovvero equals cioè uguale) a 172.17.250.100 e a 172.17.250.1, in puù viene filtrato tutto quello che ha tcp.port uguale 23446 e 80. Notare la logica delle parentesi per la corretta interpretazione delle priorità degli operatori logici. 15

Conclusioni e Riferimenti Come avete potuto vedere WireShark è uno strumento dalle potenzialità enormi. E' possibile avviarlo anche da riga di comando. Per ogni dettaglio aggiuntivo e per tutte le altre funzioni consultate le pagine man del programma, l'help nel programma o visitate il sito internet http://www.wireshark.org 16

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back