Benvenuto! Per postare e godere delle funzionalità del forum registrati, occorrono pochi secondi ed è gratis!

[Guida] WIRESHARK - monitoring della rete
(Questo messaggio è stato modificato l'ultima volta il: 22/10/2011, 13:51 da digger.)

Il criceto mannaro
Messaggi: 3,536
Discussioni: 201
Registrato: 03-2011
Mix: 3,737

ATTENZIONE
SE NON SAPETE NIENTE DI NETWORKING NON SARA' IN QUESTI POST DI WIRESHARK CHE CAPIRETE QUALCOSA Asd

Ciao a tutti,
tempo fa promisi a Scai69 una guida su come utilizzare un programmino molto bellino e molto utile per monitorare il traffico di rete.
Eccomi qui pronto a illustrarvi qualcosina su Wireshark

Wireshark è un tool free che si occupa di catturare i pacchetti di rete che passano dalla vostra scheda di rete e ve li fa vedere a video.

Molto utile per analizzare il traffico, a che scopo vedete voi, può essere utile per risolvere dei problemi, utile per hackerare un software, per carpire delle user/password etc etc

Attenzione che giochi protetti come Warrock (credo, non ho provato ma probabilmente è cosi) si accorgono della presenza di programmi come questo



Ma partiamo subito

INSTALLAZIONE:

1. Andiamo su

[Per vedere i link devi REGISTRARTI.]


2. clicchiamo su "Download wireshark"
3. scegliete la versione a 32 o 64 bit a seconda di che os avete e salvate sul disco, sono circa 22 MB di roba

4. lanciate l'exe scaricato
5. lasciate tutto di default e fatelo partire (quindi tutto next next next ok ok ok sisisisi cazzo va bene tutto non rompere !! sisisisi okokokok next next next

PRIMA ESECUZIONE:
1. dal menu di avvio ora avete una voce "Wireshark" lanciatela
2. avremo una cosa cosi:

[Immagine: 01a16-3225c819-d117-42aa-9dca-ee660c3c7903.png]

3. cominciamo subito ad analizzare il traffico, clicchiamo sulla seconda icona da sinitra per impostare i parametri di scansione:

[Immagine: 01a16-54da7b1f-888c-489c-938f-d0100300dfa4.png]

4. comtrolliamo alcuni parametri, vedi immagine:

[Immagine: 01a16-46006ef9-16a5-40ce-87fd-4ccd7cebfc24.png]

al punto (1) si sceglie la scheda di rete da analizzare, nel caso ne abbiate piu di una, di solito è già giusto (se ne avete una sola)

al punto (2) TOGLIETE la flag promiscuous. Se vi interessa sapere cosa significa chiedete e vi sarà risposto

al punto (3) togliete la flag Automatic scrolling, in quanto la trovo molto fastidiosa, ma se a voi piace che l'elenco scrolli continuamente lasciatela pure

5. Clicchiamo "Start" per cominciare

Vediamo che lo schermo, soprattuto se facciamo qualcosa che usa la rete (tipo navigare in internet) ci si riempie di FUFFA:

[Immagine: 01a16-ddc1e05f-dd76-4226-a808-f772fe12e5da.png]

Dopo spieghiamo le aree 1 2 3 ma prima di tutto fermiamo la registrazione del traffico per lavorare a "bocce ferme" come si dice
quindi

6. Stoppiamo la registrazione degli eventi

Ovvero clicchiamo sulla quarta icona da sinistra della toolbar :

[Immagine: 01a16-ea2387be-8b59-455a-8a67-7818d40a025b.png]

7. STRUTTURA FINESTRA

Ora che è tutto fermo possiamo tranquillamente studiare tutti i pacchetti di rete che sono passati per vedere di capire cosa è successo

Prima però spieghiamo come è strutturata la finestra.
E' divisa in 3 aree,

AREA 1
qui c'è l'elenco cronologico di tutti i pacchetti che sono passati dalla nostra scheda di rete, dall'alto verso il basso, ovvero in alto quello piu "vecchio" (passato prima) e in basso quello piu recente (passato per ultimo)
E' l'area di "navigazione" ovvero noi qui andremo in giro a cercare quello che ci interessa, dopo di che useremo le altre 2 aree per vedere i dettagli di quello che ci interessa.
Infatti, l'area 2 è il DETTAGLIO della SINGOLA RIGA evidenziata nell'area 1
Cosi come l'area 3 è il DETTAGLIO del SINGOOLO ELEMENTO evidenziato nell'area 2

Le colonne sono:
"No." = un numero sequenziale
"Time" = l'offset di tempo da quando è iniziata la scansione
"Source" = l'indirizzo che ha creato il pacchetto
"Destination" = l'indirizzo dell'host che ha ricevuto il pacchetto
"Protocol" = il protocollo usato
"Lenght" = grandezza del pacchetto
"Info" = informazioni dettagliate sul pacchetto passato

Le cose piu importanti da notare qui sono la colonna "Source" e "Destination" che ci fanno capire se il pacchetto parte dal nostro pc o arriva al pc, oppure se un certo pacchetto è la "risposta" ad una "richiesta" fatta da un programma sul nostro pc e cosi via

Altre cose importanti sono il "Protocol" e la colonna "Info" dove troveremo dettagli molto importtanti per capire se "quella" riga ci interessa.

Protocol è importante perchè se stiamo vedendo traffico Web ci interesserà l'HTTP, se scarichiamo da ftp ci interesserà FTP e cosi via.

Anche nella colonna info compariranno info sui protocolli, attenzione che li si rischiano cantonate perchè usa le porte per decidere il protocollo, e soprattutto sul source usare la porta per decidere il protocollo è una cazzata

AREA 2

Nell'area 2 vediamo il dettaglio della riga selezionata nell'area 1
Dovete sapere che i pacchetti di rete sono strutturati, cioè hanno una struttura ben definita, dove N bytes sono usati per dire questo, N bytes sono usati per dire quello etc etc
In quest'area ci fa vedere appunto tutte le parti conosciute del pacchetto e cosa vuol dire il contenuto trovato in quelle parti.
Qui è visualizzato in modo "umano", leggibile, mentre nell'area 3 man mano che clicchiamo possiamo vedere il contenuto "RAW" ovvero i singoli bytes che compongono questo pacchetto (solitmente non molto utile)

AREA 3
questo è il dettaglio dell'elemento selezionato nell'area 2
come dicevo sopra, qui ci sono i singoli bytes che compongono il pacchetto, e piu precisamente i singoli bytes che compongono la parte di pacchetto che si sta analizzando nell'area 1

Bene per oggi mi sono già rotto.
Vorrei dire solo 2 cose

1. un'altra cosa UTILISSIMA da conoscere con Wireshark sono il FILTRO In CATTURA e il FILTRO IN DISPLAY

il primo (in cattura) ci permetterà di CATTURARE SOLO I PACCHETTI CHE CI INTERESSANO, infatti inutile catturare migliaia di pacchetti che confondono solo le idee
il secondo (in display) ci permette DOPO aver catturato, di filtrare per vedere solo quello che ci interessa

Il secondo è utile per dare un occhio ad un sottoinsieme di quello che si è catturato ed inoltre è piu "umano" nel senso che abbiamo molte piu possibilità di filtrare rispetto al primo

ma lo vedremo in un altro post

2. seconda cosa da dire... SE NON SAPETE NIENTE DI NETWORKING NON SARA' IN QUESTI POST DI WIRESHARK CHE CAPIRETE QUALCOSA Asd

solo per dire che non ho intenzione di spiegare cosa sia un pacchetto, cosa sono le porte e cosi via, cercatevi un bel tutorial sul networking che vi dia le basi e poi tornate qui
Cercare di capire il traffico solo perchè avete wireshark è utopistico

ciao alla prossima
Digger







digger
22/10/2011, 13:51
#1
Cerca
(Questo messaggio è stato modificato l'ultima volta il: 22/10/2011, 14:27 da Skyline@69.)

WarRock Hacks Coder
Messaggi: 940
Discussioni: 47
Registrato: 03-2011
Mix: 0
good +1 Smile
Aspetto con ansia la prossima Blush
Già mi stavo gasando nel vedere tutte quelle stringhe che scorrevano Asd Asd

EDIT:
Con una piccola ricerca ci sono arrivato a vedere la famosa password ftp Asd Asd

Secondo te si può fare pure con warrock?? Asd

22/10/2011, 14:15
#2
Cerca

Amministratore
Messaggi: 2,334
Discussioni: 231
Registrato: 03-2011
Mix: 2,570
Prima o poi mi servirà questo programma Happywide


[Per vedere i link devi REGISTRARTI.]

Prima di aprire ogni contenuto scaricato su siti esterni ad HackMix, scansionatelo su VirusTotal.
22/10/2011, 14:50
#3
Cerca

Il criceto mannaro
Messaggi: 3,536
Discussioni: 201
Registrato: 03-2011
Mix: 3,737
(22/10/2011, 14:15)Skyline@69 Ha scritto:

[Per vedere i link devi REGISTRARTI.]

Secondo te si può fare pure con warrock?? Asd


non ho mai provato, ma come ho scritto temo che warrock se ne accorgerebbe che ce l'hai aperto.
Una soluzione sarebbe usare un hub (un hub, non uno switch! sempre che se ne trovino ancora in giro) e collegare il pc all'hub e l'hub al router, poi attaccare all'hub un altro pc con wireshark, usare la flag "promiscuous" e a quel punto vedresti il traffico e warrock non avrebbe nessun modo di sapere quello che stai combinando Asd




digger
22/10/2011, 15:40
#4
Cerca

WarRock Hacks Coder
Messaggi: 940
Discussioni: 47
Registrato: 03-2011
Mix: 0
eheh comunque warrock non lo rileva....però è tutto incomprensibile Asd...riesco solo a scorgere una stringa in cui compare la parola gamersfirst Asd Asd

22/10/2011, 16:27
#5
Cerca

Il criceto mannaro
Messaggi: 3,536
Discussioni: 201
Registrato: 03-2011
Mix: 3,737
(22/10/2011, 16:27)Skyline@69 Ha scritto:

[Per vedere i link devi REGISTRARTI.]

eheh comunque warrock non lo rileva....però è tutto incomprensibile Asd...riesco solo a scorgere una stringa in cui compare la parola gamersfirst Asd Asd

beh prevedibile, a parte il fatto che magari vedi anche pacchetti che con warrock non c'entrano, ma comuqnue è abbastanza immaginabile che buona parte di quello che passa in rete sia cryptato



digger
22/10/2011, 19:34
#6
Cerca

WarRock Hacks Coder
Messaggi: 940
Discussioni: 47
Registrato: 03-2011
Mix: 0
già...si vedono dei protocolli di cui non si parla nemmeno nei libri di ingegneria informatica Asd Asd

23/10/2011, 9:04
#7
Cerca

Il criceto mannaro
Messaggi: 3,536
Discussioni: 201
Registrato: 03-2011
Mix: 3,737
ahah quello è colpa dei programmini che scrivi tu sul tuo pc Asd



digger
23/10/2011, 17:16
#8
Cerca

Iscritto
Messaggi: 519
Discussioni: 164
Registrato: 09-2011
Mix: 0
molto utile,
mi serve....+1 Wink

23/10/2011, 23:55
#9
Cerca

1 Life, 1 Avatar <3
Messaggi: 9,074
Discussioni: 271
Registrato: 08-2011
Mix: 0
(22/10/2011, 13:51)digger Ha scritto:

[Per vedere i link devi REGISTRARTI.]

ATTENZIONE
SE NON SAPETE NIENTE DI NETWORKING NON SARA' IN QUESTI POST DI WIRESHARK CHE CAPIRETE QUALCOSA Asd

haha questo è stato molto utile XD

24/10/2011, 15:00
#10
Cerca


Discussioni simili
Discussione Autore Risposte Letto Ultimo messaggio
  [richiesta] Aumentare velocità della ventola Pocciox 0 529 21/06/2013, 18:06
Ultimo messaggio: Pocciox
  Problema scheda di rete hamachi Giniu 6 1,841 28/03/2013, 22:13
Ultimo messaggio: MAUROW
  Esperimenti con il wireless - rete di backup digger 8 933 21/04/2012, 14:21
Ultimo messaggio: NosOne1



Utenti che stanno guardando questa discussione: 1 Ospite(i)