{"id":1759,"date":"2024-11-05T10:57:24","date_gmt":"2024-11-05T09:57:24","guid":{"rendered":"https:\/\/www.fabriziogiancola.eu\/?p=1759"},"modified":"2024-11-21T16:04:29","modified_gmt":"2024-11-21T15:04:29","slug":"wireshark","status":"publish","type":"post","link":"https:\/\/www.fabriziogiancola.eu\/index.php\/2024\/11\/05\/wireshark\/","title":{"rendered":"Wireshark"},"content":{"rendered":"\n<p class=\"has-medium-font-size\">Una breve guida introduttiva a Wireshark: \u201c<em>The world&#8217;s most popular network protocol analyzer<\/em>\u201d.<\/p>\n\n\n\n<figure class=\"wp-block-image size-full is-resized\"><img loading=\"lazy\" decoding=\"async\" width=\"300\" height=\"102\" src=\"https:\/\/www.fabriziogiancola.eu\/wp-content\/uploads\/2024\/11\/wireshark-logo-FE3D32C8FD-seeklogo.com_.png\" alt=\"\" class=\"wp-image-1763\" style=\"width:630px;height:auto\"\/><\/figure>\n\n\n\n<p>Wireshark \u00e8 il pi\u00f9 celebre e diffuso analizzatore di pacchetti di rete, utilizzato ampiamente sia nel mondo accademico che professionale. Originariamente lanciato nel 1998 sotto il nome di \u201c<em>Ethereal<\/em>\u201d, Wireshark ha guadagnato una reputazione solida per la sua efficacia e versatilit\u00e0 nella diagnosi di problemi di rete e nella comprensione approfondita dei protocolli di rete, tanto da essere utilizzato da:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>sistemisti<\/strong>: usano Wireshark per diagnosticare e risolvere problemi di prestazioni della rete;<\/li>\n\n\n\n<li><strong>studenti<\/strong>: trovano in Wireshark uno strumento prezioso per apprendere e visualizzare il funzionamento dei protocolli di rete;<\/li>\n\n\n\n<li><strong>analisti di sicurezza<\/strong>: verificano con Wireshark la presenza di dati non autorizzati o sospetti nella rete.<\/li>\n<\/ul>\n\n\n\n<p class=\"has-dark-gray-color has-very-light-gray-to-cyan-bluish-gray-gradient-background has-text-color has-background has-link-color has-medium-font-size wp-elements-ea3ffd4ce0fb66ffeff571fb016b54b6\"><strong>Caratteristiche principali<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>licenza GPL<\/strong>: Wireshark \u00e8 distribuito con una licenza GPL, rendendolo un software libero e gratuito disponibile per Windows, macOS e GNU\/Linux. Sul <a href=\"https:\/\/www.wireshark.org\/\">sito ufficiale<\/a> \u00e8 possibile trovare i file per l\u2019installazione oltre a una vasta documentazione di riferimento;<\/li>\n\n\n\n<li><strong>formati di file<\/strong>: Il formato nativo per il salvataggio dei dati \u00e8 il .PCAP (Packet Capture), ma Wireshark supporta e pu\u00f2 aprire molti altri formati di file di cattura e permette l\u2019esportazione in vari formati;<\/li>\n\n\n\n<li><strong>riconoscimento dei protocolli<\/strong>: Wireshark \u00e8 in grado di riconoscere automaticamente una vasta gamma di protocolli di rete, consentendo agli utenti di leggere tutti i dettagli relativi ai pacchetti catturati;<\/li>\n\n\n\n<li><strong>filtraggio e ricerca<\/strong>: Il software permette di filtrare i dati catturati e di svolgere ricerche selettive utilizzando una sintassi comprensiva ma accessibile.<\/li>\n<\/ul>\n\n\n\n<p class=\"has-dark-gray-color has-very-light-gray-to-cyan-bluish-gray-gradient-background has-text-color has-background has-link-color has-medium-font-size wp-elements-bbbe176b54e7aecdb230171b822d5008\"><strong>Introduzione a Wireshark<\/strong><\/p>\n\n\n\n<p>Quando si avvia Wireshark, la prima cosa che si nota sar\u00e0 l\u2019elenco delle interfacce di rete rilevate dal proprio sistema. Questo permette di visualizzare facilmente quali interfacce sono attive e di iniziare immediatamente la cattura del traffico con un semplice doppio clic su un\u2019interfaccia specifica. Accanto alle interfacce attive, apparir\u00e0 anche un piccolo grafico che indica l\u2019attivit\u00e0 di rete in tempo reale.<\/p>\n\n\n\n<p id=\"appendice-a\">Funzionalit\u00e0 chiave dell\u2019area di lavoro di Wireshark:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>cattura e analisi di traffico preesistente<\/strong>: oltre a catturare traffico in tempo reale (v. Appendice \u201c<em><a href=\"#filtri-cattura\" data-type=\"internal\" data-id=\"#filtri-cattura\">Wireshark \u2013 uso dei filtri di cattura<\/a><\/em>\u201d), Wireshark permette di aprire e analizzare file di cattura .PCAP esistenti, facilitando l\u2019analisi di dati raccolti in precedenza;<\/li>\n\n\n\n<li><strong>visualizzazione dei dati catturati<\/strong>: una volta avviata la cattura, i dati vengono visualizzati in tempo reale nell\u2019area centrale della finestra di Wireshark, nota come \u201celenco pacchetti\u201d. Qui \u00e8 possibile interrompere la cattura cliccando sull\u2019icona a forma di quadrato situata nella barra degli strumenti principale, sopra l\u2019elenco pacchetti.<\/li>\n<\/ul>\n\n\n\n<p><\/p>\n\n\n\n<figure class=\"wp-block-image size-full is-resized\"><img loading=\"lazy\" decoding=\"async\" width=\"645\" height=\"362\" src=\"https:\/\/www.fabriziogiancola.eu\/wp-content\/uploads\/2024\/11\/immagine.png\" alt=\"\" class=\"wp-image-1769\" style=\"width:630px;height:auto\" srcset=\"https:\/\/www.fabriziogiancola.eu\/wp-content\/uploads\/2024\/11\/immagine.png 645w, https:\/\/www.fabriziogiancola.eu\/wp-content\/uploads\/2024\/11\/immagine-300x168.png 300w\" sizes=\"auto, (max-width: 709px) 85vw, (max-width: 909px) 67vw, (max-width: 984px) 61vw, (max-width: 1362px) 45vw, 600px\" \/><figcaption class=\"wp-element-caption\"><em>Figura 1 \u2013 L\u2019interfaccia di Wireshark<\/em><\/figcaption><\/figure>\n\n\n\n<p>Suddivisione dell\u2019area di lavoro (<em>Figura 1<\/em>)<em>:<\/em><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>elenco dei pacchetti<\/strong>: questa \u00e8 la parte principale dell\u2019interfaccia di Wireshark (<em>lettera A<\/em>), dove tutti i pacchetti di dati catturati o caricati vengono elencati. Ogni riga rappresenta un pacchetto individuale con informazioni di base come il numero di sequenza, il protocollo utilizzato, la lunghezza del pacchetto e altro;\n<ul class=\"wp-block-list\">\n<li><strong>dettagli del pacchetto<\/strong>: selezionando un pacchetto dall\u2019elenco, i dettagli specifici del pacchetto saranno mostrati in questa area (<em>lettera B<\/em>). I dettagli sono organizzati in un formato ad albero, che riflette l\u2019incapsulamento dei protocolli all\u2019interno del pacchetto. Questo aiuta a comprendere come i dati sono strutturati e quali informazioni trasportano;<\/li>\n\n\n\n<li><strong>dati contenuti nel pacchetto<\/strong>: in questa parte dell\u2019interfaccia, il contenuto del pacchetto selezionato viene visualizzato in forma originale, sia in esadecimale che in ASCII (<em>lettera C<\/em>). Questo \u00e8 particolarmente utile per l\u2019analisi a basso livello dei dati e per l\u2019individuazione di specifici pattern o informazioni all\u2019interno del payload del pacchetto.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n<p>Barre degli strumenti e utilit\u00e0:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>barra degli strumenti principale<\/strong>: le icone che permettono di avviare e fermare la cattura, salvare i dati, configurare le opzioni di cattura e accedere ad altre funzioni comuni;\n<ul class=\"wp-block-list\">\n<li><strong>barra degli strumenti di filtraggio<\/strong>: posta sotto la barra degli strumenti principale, questa barra permette di inserire filtri per raffinare la visualizzazione dei pacchetti. Supporta l\u2019evidenziazione sintattica per aiutarti a scrivere correttamente le espressioni di filtro;<\/li>\n\n\n\n<li><strong>barra di stato<\/strong>: situata in fondo alla finestra, mostra il numero di pacchetti catturati e fornisce accesso rapido alle propriet\u00e0 del file di cattura e altre informazioni rilevanti.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n<p>L\u2019elenco dei pacchetti \u00e8 il cuore del flusso di lavoro per l\u2019analisi di una cattura dati in Wireshark. Una volta avviata la cattura, i dati vengono decodificati e ordinati in una tabella, permettendo di seguire la sequenza di cattura dal primo all\u2019ultimo pacchetto.<\/p>\n\n\n\n<p>Informazioni chiave per ciascun pacchetto:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>No.<\/strong>: numero progressivo del pacchetto, iniziando da 1.<\/li>\n\n\n\n<li><strong>Time<\/strong>: istante in cui il pacchetto \u00e8 stato catturato.<\/li>\n\n\n\n<li><strong>Source<\/strong>: indirizzo IP sorgente.<\/li>\n\n\n\n<li><strong>Destination<\/strong>: indirizzo IP di destinazione.<\/li>\n\n\n\n<li><strong>Protocol<\/strong>: protocollo di pi\u00f9 alto livello contenuto nel pacchetto.<\/li>\n\n\n\n<li><strong>Length<\/strong>: dimensione del pacchetto in byte.<\/li>\n\n\n\n<li><strong>Packet Info<\/strong>: estratto delle informazioni pi\u00f9 rilevanti contenute nel pacchetto.<\/li>\n<\/ul>\n\n\n\n<p>Wireshark, inoltre, utilizza diverse colorazioni per aiutare a identificare rapidamente i tipi di pacchetti.<\/p>\n\n\n\n<p>La barra del menu contiene moltissime funzioni e strumenti utili per gestire e analizzare le catture di rete:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>File<\/strong>: importazione ed esportazione dei dati in diversi formati.<\/li>\n\n\n\n<li><strong>Modifica<\/strong>: ricerca e selezione dei pacchetti, modifica del profilo di configurazione e accesso alle preferenze generali.<\/li>\n\n\n\n<li><strong>Visualizza<\/strong>: gestione delle barre, formato di visualizzazione del tempo di cattura, regole di colorazione.<\/li>\n\n\n\n<li><strong>Vai<\/strong>: navigazione e ricerca nell\u2019elenco pacchetti.<\/li>\n\n\n\n<li><strong>Cattura<\/strong>: opzioni e comandi per la cattura dei dati.<\/li>\n\n\n\n<li><strong>Analizza<\/strong>: costruzione di filtri di visualizzazione e altre funzioni di analisi dei dati.<\/li>\n\n\n\n<li><strong>Statistiche<\/strong>: contiene statistiche pronte per l\u2019analisi del traffico, grafici e propriet\u00e0 del file di cattura.<\/li>\n\n\n\n<li><strong>Telefonia<\/strong>: strumenti per l\u2019analisi e decodifica di flussi VoIP.<\/li>\n\n\n\n<li><strong>Wireless<\/strong>: dedicato al traffico Bluetooth e WiFi.<\/li>\n\n\n\n<li><strong>Strumenti<\/strong>: funzione per la creazione di regole per i firewall.<\/li>\n\n\n\n<li><strong>Aiuto<\/strong>: accesso alla guida web, wiki, FAQ, catture di esempio e altre risorse utili. Include anche informazioni sulla versione di Wireshark e sulle combinazioni di tasti.<\/li>\n<\/ul>\n\n\n\n<p class=\"has-dark-gray-color has-very-light-gray-to-cyan-bluish-gray-gradient-background has-text-color has-background has-link-color has-medium-font-size wp-elements-b82caedec40fb4ba964a4634a793e487\"><strong>Analizzare la cattura dati<\/strong><\/p>\n\n\n\n<p>Tra le diverse funzionalit\u00e0 di analisi fornite da Wireshark vi \u00e8 il menu <strong>statistiche<\/strong>, una risorsa potente per effettuare una prima analisi generale dei dati catturati. Questo menu offre una variet\u00e0 di strumenti che permettono di visualizzare informazioni dettagliate sul traffico di rete, gli host coinvolti, le connessioni stabilite e i protocolli utilizzati. Ecco una panoramica delle voci pi\u00f9 utili disponibili nel menu Statistiche:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>propriet\u00e0 del file di cattura: <\/strong>questa opzione fornisce una visione generale dei metadati del file di cattura, come la dimensione in byte, la data e l\u2019ora di cattura, il nome del file e altre informazioni simili. \u00c8 utile per ottenere un riepilogo rapido delle caratteristiche principali della sessione di cattura;<\/li>\n\n\n\n<li><strong>terminatori (Endpoints):<\/strong> la voce \u201c<em>Endpoint<\/em>\u201d elenca tutti gli host coinvolti nel traffico di rete catturato. Per ciascun host, Wireshark mostra dettagli come gli indirizzi IP, gli indirizzi MAC, e le porte utilizzate per le connessioni TCP e UDP. Questo strumento \u00e8 essenziale per identificare rapidamente gli attori chiave nella rete e per comprendere meglio la distribuzione del traffico;<\/li>\n\n\n\n<li><strong>conversazioni:<\/strong> simile alla voce \u201c<em>Endpoint<\/em>\u201d, \u201c<em>Conversazioni<\/em>\u201d mostra tutte le connessioni presenti nella cattura. Per ogni connessione, vengono dettagliati gli host coinvolti, i loro indirizzi IP, e le porte di connessione. Particolarmente utile per seguire il flusso di comunicazione tra specifici host e per identificare possibili pattern di traffico o connessioni sospette;<\/li>\n\n\n\n<li><strong>gerarchia dei protocolli: <\/strong>elenca tutti i protocolli di rete presenti nella cattura, organizzati per incapsulamento. Mostra chiaramente come i vari protocolli si stratificano e interagiscono tra loro nel flusso di dati, fornendo una visione comprensiva della struttura del traffico;<\/li>\n\n\n\n<li><strong>altre statistiche utili:<\/strong> il menu Statistiche contiene molte altre voci che forniscono dati specifici per protocollo e analisi pi\u00f9 dettagliate, possono includere elementi come flussi di rete, utilizzi di banda, errori di trasmissione;<\/li>\n\n\n\n<li><strong>filtraggio automatico:<\/strong> una funzionalit\u00e0 particolarmente utile di ciascuna voce del menu Statistiche \u00e8 la possibilit\u00e0 di costruire automaticamente filtri di visualizzazione basati sui dati analizzati.<\/li>\n<\/ul>\n\n\n\n<p id=\"appendice-b\">I <strong>filtri di visualizzazione<\/strong> sono uno strumento essenziale in Wireshark per isolare specifiche parti del traffico di rete in base alle necessit\u00e0 di analisi. Questi filtri consentono di affinare la visualizzazione dei dati catturati, rendendo pi\u00f9 efficiente l\u2019analisi di grandi quantit\u00e0 di traffico (v. Appendice \u201c<a href=\"#analizzare-cattura\" data-type=\"internal\" data-id=\"#analizzare-cattura\"><em>Analizzare una cattura usando i filtri di visualizzazione<\/em><\/a>\u201d).<\/p>\n\n\n\n<p>Identificati i pacchetti di interesse in Wireshark, il passo successivo \u00e8 l\u2019analisi approfondita dei dati che contengono. Wireshark offre un riquadro dedicato chiamato <strong>dettagli dei pacchetti<\/strong>, che consente di esplorare in dettaglio l\u2019incapsulamento dei protocolli e i dati trasportati da ciascun pacchetto. I dettagli dei pacchetti sono organizzati gerarchicamente, rispecchiando l\u2019incapsulamento dei protocolli all\u2019interno del pacchetto. Questo permette di visualizzare ogni livello di dati, dal pi\u00f9 esterno al pi\u00f9 interno. Ecco un esempio tipico di come potrebbero essere strutturati i dettagli per un pacchetto contenente dati HTTP:<\/p>\n\n\n\n<figure class=\"wp-block-image size-full is-resized\"><img loading=\"lazy\" decoding=\"async\" width=\"443\" height=\"219\" src=\"https:\/\/www.fabriziogiancola.eu\/wp-content\/uploads\/2024\/11\/immagine-1.png\" alt=\"\" class=\"wp-image-1778\" style=\"width:630px;height:auto\" srcset=\"https:\/\/www.fabriziogiancola.eu\/wp-content\/uploads\/2024\/11\/immagine-1.png 443w, https:\/\/www.fabriziogiancola.eu\/wp-content\/uploads\/2024\/11\/immagine-1-300x148.png 300w\" sizes=\"auto, (max-width: 443px) 85vw, 443px\" \/><figcaption class=\"wp-element-caption\"><em>Figura 2 &#8211; Pacchetto frame<\/em><\/figcaption><\/figure>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Frame: <\/strong>mostra il pacchetto dati catturato completo di tutti i metadati associati, come l\u2019ora di cattura, la lunghezza del frame, e altre informazioni utili (<em>Figura 2<\/em>);<\/li>\n<\/ul>\n\n\n\n<figure class=\"wp-block-image size-full is-resized\"><img loading=\"lazy\" decoding=\"async\" width=\"442\" height=\"131\" src=\"https:\/\/www.fabriziogiancola.eu\/wp-content\/uploads\/2024\/11\/immagine-2.png\" alt=\"\" class=\"wp-image-1781\" style=\"width:630px;height:auto\" srcset=\"https:\/\/www.fabriziogiancola.eu\/wp-content\/uploads\/2024\/11\/immagine-2.png 442w, https:\/\/www.fabriziogiancola.eu\/wp-content\/uploads\/2024\/11\/immagine-2-300x89.png 300w\" sizes=\"auto, (max-width: 442px) 85vw, 442px\" \/><figcaption class=\"wp-element-caption\"><em>Figura 3 &#8211; Trama Ethernet II<\/em><\/figcaption><\/figure>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Ethernet II<\/strong>: mostra la trama Ethernet, il primo livello di incapsulamento, che include dettagli come l\u2019indirizzo MAC sorgente e destinazione e il tipo di protocollo, tipicamente IP (<em>Figura 3<\/em>);<\/li>\n<\/ul>\n\n\n\n<figure class=\"wp-block-image size-full is-resized\"><img loading=\"lazy\" decoding=\"async\" width=\"467\" height=\"188\" src=\"https:\/\/www.fabriziogiancola.eu\/wp-content\/uploads\/2024\/11\/immagine-3.png\" alt=\"\" class=\"wp-image-1783\" style=\"width:630px;height:auto\" srcset=\"https:\/\/www.fabriziogiancola.eu\/wp-content\/uploads\/2024\/11\/immagine-3.png 467w, https:\/\/www.fabriziogiancola.eu\/wp-content\/uploads\/2024\/11\/immagine-3-300x121.png 300w\" sizes=\"auto, (max-width: 467px) 85vw, 467px\" \/><figcaption class=\"wp-element-caption\"><em>Figura 4 &#8211; Pacchetto IPv4<\/em><\/figcaption><\/figure>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>IP Version 4<\/strong>:il pacchetto IP incapsulato dentro la trama Ethernet. Mostra i dettagli come l\u2019indirizzo IP sorgente e destinazione, la versione del protocollo, il tipo di servizio, e altri parametri relativi al protocollo IP (<em>Figura 4<\/em>);<\/li>\n<\/ul>\n\n\n\n<figure class=\"wp-block-image size-full is-resized\"><img loading=\"lazy\" decoding=\"async\" width=\"416\" height=\"262\" src=\"https:\/\/www.fabriziogiancola.eu\/wp-content\/uploads\/2024\/11\/immagine-4.png\" alt=\"\" class=\"wp-image-1785\" style=\"width:630px;height:auto\" srcset=\"https:\/\/www.fabriziogiancola.eu\/wp-content\/uploads\/2024\/11\/immagine-4.png 416w, https:\/\/www.fabriziogiancola.eu\/wp-content\/uploads\/2024\/11\/immagine-4-300x189.png 300w\" sizes=\"auto, (max-width: 416px) 85vw, 416px\" \/><figcaption class=\"wp-element-caption\"><em>Figura 5 &#8211; Segmento TCP<\/em><\/figcaption><\/figure>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>TCP<\/strong>: il segmento TCP incapsulato dentro il pacchetto IP, include informazioni come le porte sorgente e destinazione, i numeri di sequenza e di conferma, e altri dettagli relativi alla gestione della connessione TCP (<em>Figura 5<\/em>);<\/li>\n<\/ul>\n\n\n\n<figure class=\"wp-block-image size-full is-resized\"><img loading=\"lazy\" decoding=\"async\" width=\"493\" height=\"187\" src=\"https:\/\/www.fabriziogiancola.eu\/wp-content\/uploads\/2024\/11\/immagine-5.png\" alt=\"\" class=\"wp-image-1787\" style=\"width:630px;height:auto\" srcset=\"https:\/\/www.fabriziogiancola.eu\/wp-content\/uploads\/2024\/11\/immagine-5.png 493w, https:\/\/www.fabriziogiancola.eu\/wp-content\/uploads\/2024\/11\/immagine-5-300x114.png 300w\" sizes=\"auto, (max-width: 493px) 85vw, 493px\" \/><figcaption class=\"wp-element-caption\"><em>Figura 6 &#8211; HTTP<\/em><\/figcaption><\/figure>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>HTTP<\/strong>: l\u2019unit\u00e0 di dati HTTP trasportata nel segmento TCP. Qui vengono visualizzate informazioni specifiche dell\u2019HTTP, come il metodo di richiesta (GET, POST, ecc.), l\u2019URL richiesto e gli header HTTP (<em>Figura 6<\/em>).<\/li>\n<\/ul>\n\n\n\n<p class=\"has-dark-gray-color has-very-light-gray-to-cyan-bluish-gray-gradient-background has-text-color has-background has-link-color has-medium-font-size wp-elements-ef0ee40ea77e70ffa7b59197f8b0449b\"><strong>Analisi dei Protocolli di rete su Wireshark<\/strong><\/p>\n\n\n\n<p id=\"arp\">Nel vasto e complesso mondo delle reti, la capacit\u00e0 di monitorare e analizzare il traffico di rete \u00e8 fondamentale per garantire la sicurezza, la stabilit\u00e0 e l\u2019efficienza delle comunicazioni digitali. Wireshark offre gli strumenti necessari per esaminare dettagliatamente il flusso dei dati attraverso una rete, \u00e8 in grado di catturare e visualizzare il contenuto dei pacchetti di rete in tempo reale, permettendo una profonda analisi di vari protocolli essenziali. Tra questi troviamo:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>ARP<\/strong> risolve il problema di mappare un indirizzo IP, utilizzato nei pacchetti di rete, all\u2019indirizzo MAC fisico della scheda di rete. L\u2019analisi del traffico ARP \u00e8 cruciale per (v. Appendice \u201c<em><a href=\"#analizzare-arp\" data-type=\"internal\" data-id=\"#analizzare-arp\">Analizzare il traffico ARP utilizzando Wireshark<\/a><\/em>\u201d):<\/li>\n<\/ul>\n\n\n\n<p>&#8211; <strong>identificare problemi di rete<\/strong>: come conflitti di indirizzi IP o problemi di risoluzione degli indirizzi;<\/p>\n\n\n\n<p id=\"TCP-UDP\">&#8211;  <strong>rilevare attivit\u00e0 sospette<\/strong>: come attacchi di ARP spoofing o ARP poisoning, dove un malintenzionato potrebbe tentare di intercettare o alterare il traffico modificando le risposte ARP.<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>ICMP<\/strong> \u00e8 fondamentale per la gestione e il debug delle reti IP. Viene spesso utilizzato per testare la connettivit\u00e0 e tracciare il percorso dei pacchetti attraverso la rete ad esempio mediante i comandi come <strong>ping<\/strong> e <strong>traceroute<\/strong> (v. Appendice \u201c<em><a href=\"#analizzare-ICMP\" data-type=\"internal\" data-id=\"#analizzare-ICMP\">Come analizzare i messaggi ICMP in Wireshark<\/a><\/em>\u201d)<\/li>\n\n\n\n<li><strong>TCP, UDP e porte associate<\/strong>. Quando si analizza il traffico di rete con Wireshark, \u00e8 possibile vedere l\u2019indirizzo IP e il numero di porta per i protocolli TCP e UDP in ogni pacchetto. Questo aiuta a identificare non solo l\u2019origine e la destinazione dei dati a livello di rete, ma anche l\u2019applicazione specifica a cui i dati sono destinati. L\u2019identificazione delle porte utilizzate pu\u00f2 fornire indizi vitali in scenari di <em>troubleshooting<\/em> di rete, sicurezza informatica e conformit\u00e0 di configurazione di rete (v. Appendice \u201c<em><a href=\"#analizzare-TCP-UDP\" data-type=\"internal\" data-id=\"#analizzare-TCP-UDP\">Analisi di TCP e UDP in Wireshark<\/a><\/em>\u201d).<\/li>\n\n\n\n<li><strong>Domain Name System (DNS)<\/strong>. Traduce i nomi di dominio facilmente memorizzabili in indirizzi IP numerici che le macchine possono comprendere e a cui possono connettersi (v. Appendice \u201c<em><a href=\"#analizzare-DNS\" data-type=\"internal\" data-id=\"#analizzare-DNS\">Analisi del traffico DNS in Wireshark<\/a><\/em>\u201d):<\/li>\n<\/ul>\n\n\n\n<p>&#8211; la maggior parte delle comunicazioni DNS avviene tramite <strong>UDP<\/strong> su porta 53, per la sua efficienza in termini di velocit\u00e0 e utilizzo ridotto delle risorse, ideale per le brevi query DNS;<\/p>\n\n\n\n<p id=\"HTTP\">&#8211; il DNS usa anche <strong>TCP<\/strong>, soprattutto per operazioni che richiedono affidabilit\u00e0 o per risposte che superano il limite di dimensione del pacchetto UDP (512 byte), come nei trasferimenti di zona tra server DNS.<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Hyper Text Transfer Protocol (HTTP).<\/strong> Una conversazione HTTP tipica segue un modello di richiesta e risposta (v. Appendice \u201c<em><a href=\"#analizzare-HTTP\" data-type=\"internal\" data-id=\"#analizzare-HTTP\">Analisi del Traffico HTTP in Wireshark<\/a><\/em>\u201d):<\/li>\n<\/ul>\n\n\n\n<p>&#8211; <strong>richiesta (Request)<\/strong>: il client web invia una richiesta al server per ottenere dati o per inviare informazioni. Le richieste pi\u00f9 comuni includono il metodo <strong>GET<\/strong> per richiedere dati e <strong>POST<\/strong> per inviare dati al server;<\/p>\n\n\n\n<p id=\"HTTPS\">&#8211; <strong>risposta (Response)<\/strong>: il server elabora la richiesta e invia una risposta al client. La risposta include uno status code che indica il successo o il fallimento della richiesta, dati (se richiesti), e <em>header<\/em> che forniscono informazioni aggiuntive.<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>HTTPS (HTTP Secure). <\/strong>Utilizza il protocollo <strong>Transport Layer Security (TLS)<\/strong> per cifrare le comunicazioni tra il client e il server, garantendo cos\u00ec privacy e sicurezza dei dati trasmessi. Wireshark pu\u00f2 essere usato per analizzare il traffico TLS\/SSL, sebbene il contenuto specifico delle comunicazioni sia cifrato e non direttamente leggibile (v. Appendice \u201c<em><a href=\"#analizzare-HTTPS\" data-type=\"internal\" data-id=\"#analizzare-HTTPS\">Analisi del Traffico HTTPS e Decodifica di TLS in Wireshark<\/a><\/em>\u201d). La decodifica del traffico TLS in Wireshark richiede l\u2019accesso alle chiavi di sessione, che non sono trasmesse in rete ma generate localmente da client e server durante l\u2019handshake TLS. Per analizzare i dati HTTPS (nascosti dentro il livello TLS) \u00e8 necessario esportare queste chiavi mentre il browser web stabilisce una connessione TLS (v. Appendice \u201c<em><a href=\"#analizzare-TLS\" data-type=\"internal\" data-id=\"#analizzare-TLS\">Decodifica del traffico TLS in Wireshark utilizzando le chiavi di sessione<\/a><\/em>\u201d). Ogni protocollo ha un ruolo unico e critico nella facilitazione e nella sicurezza delle comunicazioni su Internet e l\u2019analisi di questi protocolli attraverso Wireshark \u00e8 cruciale per diagnosticare problemi di rete, ottimizzarne le prestazioni nonch\u00e9 a mitigare gli attacchi informatici.<\/li>\n<\/ul>\n\n\n\n<p>La decodifica del traffico TLS in Wireshark richiede l\u2019accesso alle chiavi di sessione, che non sono trasmesse in rete ma generate localmente da client e server durante l\u2019handshake TLS. Per analizzare i dati HTTPS (nascosti dentro il livello TLS) \u00e8 necessario esportare queste chiavi mentre il browser web stabilisce una connessione TLS. Ogni protocollo ha un ruolo unico e critico nella facilitazione e nella sicurezza delle comunicazioni su Internet e l\u2019analisi di questi protocolli attraverso Wireshark \u00e8 cruciale per diagnosticare problemi di rete, ottimizzarne le prestazioni nonch\u00e9 a mitigare gli attacchi informatici.<\/p>\n\n\n\n<p class=\"has-dark-gray-color has-very-light-gray-to-cyan-bluish-gray-gradient-background has-text-color has-background has-link-color has-medium-font-size wp-elements-625d572de57caef3fd237d79b1807f5f\" id=\"area-lavoro\"><strong>Altri strumenti di analisi dei file PCAP e non<\/strong> <\/p>\n\n\n\n<p>Oltre a Wireshark (v. Appendice \u201c<em><a href=\"#personalizzazione\" data-type=\"internal\" data-id=\"#personalizzazione\">Wireshark \u2013 personalizzazione dell\u2019area di lavoro<\/a><\/em>\u201d e Appendice \u201c<em><a href=\"#predisposizione\" data-type=\"internal\" data-id=\"#predisposizione\">Wireshark \u2013 predisposizione dell\u2019area di lavoro<\/a><\/em>\u201d), esistono diversi altri strumenti utili per l\u2019analisi di file PCAP. Questi strumenti offrono funzionalit\u00e0 specializzate che possono completare o estendere le analisi effettuate con Wireshark, particolarmente utili per identificare minacce, analizzare malware, e visualizzare le connessioni di rete:<\/p>\n\n\n\n<p><a href=\"https:\/\/apackets.com\" target=\"_blank\" rel=\"noreferrer noopener\"><strong>A-Packets<\/strong><\/a>, permette<strong>:<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>analisi generale<\/strong>: caricando un file PCAP su A-Packets, si ottiene un report dettagliato che include l\u2019analisi dei protocolli di rete e i file presenti nel traffico;<\/li>\n\n\n\n<li><strong>estrazione di credenziali<\/strong>: il sito offre funzionalit\u00e0 per estrarre le credenziali che possono essere trasmesse nel traffico di rete;<\/li>\n\n\n\n<li><strong>visualizzazione di rete<\/strong>: mostra una rappresentazione grafica degli host e delle loro interconnessioni, facilitando la comprensione delle relazioni di rete.<\/li>\n<\/ul>\n\n\n\n<p><strong>Note<\/strong>: I file caricati su A-Packets diventano pubblicamente accessibili, quindi \u00e8 importante considerare la sensibilit\u00e0 dei dati prima di utilizzare questo servizio.<\/p>\n\n\n\n<p><a href=\"https:\/\/www.hybrid-analysis.com\/\" target=\"_blank\" rel=\"noreferrer noopener\"><strong>Hybrid Analysis<\/strong><\/a>, permette:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>analisi malware<\/strong>: focalizzata sulla verifica della presenza di malware nei file PCAP;<\/li>\n\n\n\n<li><strong>sandbox<\/strong>: offre una sandbox per l\u2019analisi di sicurezza, che pu\u00f2 essere utile per esaminare i file estratti dai PCAP in un ambiente controllato.<\/li>\n<\/ul>\n\n\n\n<p><strong>Note<\/strong>: i risultati sono generalmente molto sintetici e orientati esclusivamente all\u2019identificazione di malware.<\/p>\n\n\n\n<p><a href=\"https:\/\/www.virustotal.com\" target=\"_blank\" rel=\"noreferrer noopener\"><strong>VirusTotal<\/strong><\/a>, permette:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>analisi malware<\/strong>: VirusTotal analizza i file PCAP per la presenza di malware e fornisce risultati dettagliati;<\/li>\n\n\n\n<li><strong>analisi IDS<\/strong>: include un\u2019analisi Intrusion Detection System (IDS) che pu\u00f2 rilevare attivit\u00e0 sospette o malevole;<\/li>\n\n\n\n<li><strong>Community<\/strong>: se il malware \u00e8 noto, la sezione Community pu\u00f2 fornire ulteriori informazioni utili condivise da altri utenti.<\/li>\n<\/ul>\n\n\n\n<p><a href=\"https:\/\/lab.dynamite.ai\/\" target=\"_blank\" rel=\"noreferrer noopener\">PacketTotal<\/a>, permette:<a href=\"https:\/\/lab.dynamite.ai\/\"><\/a><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>analisi di rete<\/strong>: non si concentra sull\u2019analisi di malware, ma offre strumenti per esaminare le connessioni di rete dentro il PCAP;<\/li>\n\n\n\n<li><strong>strumenti integrati<\/strong>: include funzionalit\u00e0 per il whois e la geolocalizzazione;<\/li>\n\n\n\n<li><strong>grafici del traffico<\/strong>: fornisce una rappresentazione grafica dello stream di dati, simile a quella di Wireshark, aiutando a visualizzare il flusso di traffico in maniera intuitiva.<\/li>\n<\/ul>\n\n\n\n<p><a href=\"https:\/\/www.netresec.com\/?page=NetworkMiner\" target=\"_blank\" rel=\"noreferrer noopener\">Network Miner<\/a> \u00e8 un potente strumento forense che si specializza nell\u2019estrarre e visualizzare informazioni dai file PCAP. \u00c8 particolarmente utile per gli analisti che necessitano di un\u2019analisi rapida e diretta delle comunicazioni di rete. Questo strumento \u00e8 spesso usato in complemento a Wireshark per offrire una vista pi\u00f9 orientata ai dati estratti piuttosto che alla pura analisi del traffico:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Hosts<\/strong>: mostra un elenco di host coinvolti nel traffico di rete;<\/li>\n\n\n\n<li><strong>Files<\/strong>: elenca i file trasferiti attraverso la rete, che possono essere esaminati o scaricati direttamente dall\u2019interfaccia;<\/li>\n\n\n\n<li><strong>Sessions<\/strong>: fornisce una panoramica delle sessioni di comunicazione tra i dispositivi;<\/li>\n\n\n\n<li><strong>Credentials<\/strong>: rivela credenziali che potrebbero essere state trasmesse in chiaro.<\/li>\n<\/ul>\n\n\n\n<p><a href=\"https:\/\/any.run\/\" target=\"_blank\" rel=\"noreferrer noopener\">ANY.RUN<\/a> \u00e8 un servizio di analisi malware basato su sandbox che permette agli utenti di eseguire file sospetti in un ambiente controllato e sicuro, garantisce:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>ambiente isolato<\/strong>: utilizza una macchina virtuale (VM) Windows 7 per isolare il malware dal sistema operativo principale e dalla rete locale;<\/li>\n\n\n\n<li><strong>interattivit\u00e0<\/strong>: fornisce un ambiente interattivo, consentendo agli utenti di interagire direttamente con il sistema operativo della VM durante l\u2019analisi;<\/li>\n\n\n\n<li><strong>monitoraggio in tempo reale<\/strong>: durante l\u2019esecuzione del malware, ANY.RUN visualizza in tempo reale le connessioni di rete e l\u2019albero dei processi generati dall\u2019eseguibile;<\/li>\n\n\n\n<li><strong>community e database<\/strong>: gli utenti possono accedere a un database di analisi precedenti, che include i dettagli delle minacce pi\u00f9 comuni e recenti, consentendo uno studio approfondito prima di iniziare nuove analisi.<\/li>\n<\/ul>\n\n\n\n<p><a href=\"https:\/\/gchq.github.io\/CyberChef\/\" target=\"_blank\" rel=\"noreferrer noopener\">CyberChef<\/a>, sviluppato dall\u2019agenzia di intelligence britannica GCHQ, \u00e8 uno strumento versatile per l\u2019analisi e la manipolazione di dati. Viene chiamato \u201c<em>il coltellino svizzero della cyber-security<\/em>\u201d vista la grande quantit\u00e0 di tools di cui dispone.<\/p>\n\n\n\n<p>Tra le tante categorie di operazioni disponibili vi sono:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>operatori aritmetici e logici;<\/li>\n\n\n\n<li>conversione di formato;<\/li>\n\n\n\n<li>codifica e decodifica, crittografia e hashing;<\/li>\n\n\n\n<li>compressione e decompressione dati, strumenti di elaborazione grafica;<\/li>\n\n\n\n<li>estrazione di dati, stringhe e files.<\/li>\n<\/ul>\n\n\n\n<p class=\"has-dark-gray-color has-very-light-gray-to-cyan-bluish-gray-gradient-background has-text-color has-background has-link-color has-medium-font-size wp-elements-7f7c6aa5725e1adcf0df0dd28abb8ef2\"><strong>APPENDICI<\/strong><\/p>\n\n\n\n<p class=\"has-medium-font-size\" id=\"filtri-cattura\"><strong>Wireshark \u2013 uso dei filtri di cattura<\/strong><\/p>\n\n\n\n<p>Wireshark \u00e8 uno strumento estremamente potente per l\u2019analisi di rete e comprendere come utilizzare efficacemente i filtri di cattura pu\u00f2 significativamente migliorare l\u2019efficienza delle sessioni di monitoraggio. Ecco una guida per configurare e applicare filtri di cattura.<\/p>\n\n\n\n<p><strong>Configurazione Iniziale<\/strong><\/p>\n\n\n\n<p>All\u2019avvio, Wireshark mostra l\u2019elenco delle interfacce di rete disponibili:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>grafico dell\u2019interfaccia<\/strong>: accanto a ciascuna interfaccia c\u2019\u00e8 un grafico che mostra l\u2019attivit\u00e0 di rete in tempo reale, facilitando l\u2019identificazione delle interfacce attive;\n<ul class=\"wp-block-list\">\n<li><strong>avvio della cattura<\/strong>: un doppio clic su un\u2019interfaccia avvia la cattura del traffico su quella specifica interfaccia.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n<p><strong>Finestra opzioni di cattura<\/strong><\/p>\n\n\n\n<p>Per accedere:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>dal menu <strong>Cattura<\/strong> selezionare <strong>Opzioni<\/strong>;<\/li>\n\n\n\n<li><strong>Selezione Multipla<\/strong>: seleziona pi\u00f9 interfacce per la cattura simultanea;<\/li>\n\n\n\n<li><strong>File di Cattura<\/strong>: definisce un file per salvare i dati catturati, specifica una dimensione massima e imposta la rotazione del file per gestire grandi quantit\u00e0 di dati;<\/li>\n\n\n\n<li><strong>Risoluzione dei Nomi<\/strong>: abilita la risoluzione dei nomi per gli indirizzi IP e per il livello di trasporto, facilitando la lettura e l\u2019analisi del traffico.<\/li>\n<\/ul>\n\n\n\n<p><strong>Filtri di cattura<\/strong><\/p>\n\n\n\n<p>A differenza dei filtri di visualizzazione, i filtri di cattura limitano i dati al momento dell\u2019acquisizione. Ci\u00f2 significa che i dati non corrispondenti al filtro non saranno disponibili in Wireshark dopo la cattura.<\/p>\n\n\n\n<p><strong>Come inserire un filtro di cattura<\/strong>:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>nella finestra <strong>Opzioni di Cattura<\/strong>, vi \u00e8 un campo dedicato ai filtri di cattura;<\/li>\n\n\n\n<li>scegliere un filtro predefinito cliccando il nastro verde accanto al campo di inserimento o scrivere manualmente il filtro.<\/li>\n<\/ul>\n\n\n\n<p><strong>Esempi di filtri di cattura<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Cattura traffico da un singolo host<\/strong>:<\/li>\n<\/ul>\n\n\n\n<p><em>host 192.168.0.99<\/em><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Cattura traffico da una rete specifica<\/strong>:<\/li>\n<\/ul>\n\n\n\n<p><em>src net 10.1.0.0\/16<\/em><\/p>\n\n\n\n<p>oppure:<\/p>\n\n\n\n<p><em>src net 10.1.0.0 mask 255.255.0.0<\/em><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Cattura traffico HTTP diretto a una porta specifica<\/strong>:<\/li>\n<\/ul>\n\n\n\n<p><em>tcp dst port 80<\/em><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Escludere il traffico IP<\/strong>:<\/li>\n<\/ul>\n\n\n\n<p><em>not ip<\/em><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Cattura traffico non-broadcast<\/strong>:<\/li>\n<\/ul>\n\n\n\n<p><em>not broadcast<\/em><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Cattura pacchetti di dimensione specifica<\/strong>:<\/li>\n<\/ul>\n\n\n\n<p><em>less 250<\/em><\/p>\n\n\n\n<p>oppure:<\/p>\n\n\n\n<p><em>greater 250 and ip<\/em><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Cattura traffico da VLAN specifiche<\/strong>:<\/li>\n<\/ul>\n\n\n\n<p><em>vlan 10 or vlan 20<\/em><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Cattura traffico destinato a un MAC specifico<\/strong>:<\/li>\n<\/ul>\n\n\n\n<p><em>ether dst 01:00:0c:cc:cc:cc<\/em><strong><\/strong><\/p>\n\n\n\n<p>(<a href=\"#appendice-a\" data-type=\"internal\" data-id=\"#appendice-a\">torna su<\/a>)<\/p>\n\n\n\n<p class=\"has-medium-font-size\" id=\"analizzare-cattura\"><strong>Analizzare una cattura usando i filtri di visualizzazione<\/strong><\/p>\n\n\n\n<p>La sintassi di base per creare un\u2019espressione di filtraggio richiede la specifica di un protocollo seguito da un dettaglio del protocollo, utilizzando un formato <strong>protocollo.campo<\/strong>:<\/p>\n\n\n\n<p>Esempio:<strong> ip.addr == 192.168.1.1<\/strong> seleziona tutti i pacchetti che contengono l\u2019indirizzo IP specificato, sia come mittente che come destinatario.<\/p>\n\n\n\n<p>Gli operatori di confronto sono fondamentali nella costruzione dei filtri:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>==<\/strong> oppure <strong>eq<\/strong>: uguale a;<\/li>\n\n\n\n<li><strong>!=<\/strong> oppure <strong>neq<\/strong>: diverso da;<\/li>\n\n\n\n<li><strong>&gt;<\/strong> oppure <strong>gt<\/strong>: maggiore di;<\/li>\n\n\n\n<li><strong>&lt;<\/strong> oppure <strong>lt<\/strong>: minore di.<\/li>\n<\/ul>\n\n\n\n<p>Per combinare pi\u00f9 condizioni, si utilizzano gli operatori logici:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>&amp;&amp;<\/strong> oppure <strong>and<\/strong>: entrambe le condizioni devono essere soddisfatte;<\/li>\n\n\n\n<li><strong>||<\/strong> oppure <strong>or<\/strong>: una delle condizioni deve essere soddisfatta;<\/li>\n<\/ul>\n\n\n\n<p>Esempio: <strong>ip.src == 192.168.1.151 &amp;&amp; ip.dst == 62.10.45.151<\/strong> seleziona solo il traffico dall\u2019indirizzo IP sorgente al destinatario specificato.<\/p>\n\n\n\n<p><strong>Filtraggio per protocollo o porta<\/strong><\/p>\n\n\n\n<p>Per selezionare traffico specifico basato su protocolli o porte, si possono utilizzare espressioni come:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>tcp.port == 80 || http<\/strong>: seleziona tutto il traffico HTTP.<\/li>\n\n\n\n<li><strong>udp.port == 53 || dns<\/strong>: seleziona tutte le query DNS.<\/li>\n<\/ul>\n\n\n\n<p><strong>Ricerca di stringhe con contains<\/strong><\/p>\n\n\n\n<p>L\u2019operatore <strong>contains<\/strong> \u00e8 utilizzato per cercare specifiche stringhe all\u2019interno dei pacchetti:<\/p>\n\n\n\n<p>Esempio: <strong>dns contains \u201cgoogle\u201d<\/strong> trova tutti i pacchetti DNS che includono il termine \u201c<em>google<\/em>\u201d.<\/p>\n\n\n\n<p>(<a href=\"#appendice-b\" data-type=\"internal\" data-id=\"#appendice-b\">torna su<\/a>)<\/p>\n\n\n\n<p class=\"has-medium-font-size\" id=\"analizzare-arp\"><strong>Analizzare il traffico ARP utilizzando Wireshark<\/strong><\/p>\n\n\n\n<p>Per analizzare il traffico ARP utilizzando Wireshark, seguire questi passaggi:<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li><strong>Filtrare il Traffico ARP<\/strong>: digitare <strong>arp<\/strong> nella barra di filtraggio di Wireshark per isolare il traffico ARP. Questo filtro visualizzer\u00e0 tutti i pacchetti ARP scambiati nella rete.<\/li>\n\n\n\n<li><strong>Selezionare un Messaggio ARP<\/strong>: cliccare su un pacchetto ARP nell\u2019elenco per visualizzarne i dettagli nel pannello dei dettagli.<\/li>\n\n\n\n<li><strong>Esaminare i Dettagli del Messaggio ARP<\/strong>: nel Pannello dettagli, sotto la voce \u201cEthernet II\u201d, vi \u00e8 la sezione ARP che include i seguenti campi:\n<ol class=\"wp-block-list\">\n<li><strong>Opcode<\/strong>: indica il tipo di messaggio ARP, dove <strong>1<\/strong> rappresenta una REQUEST e <strong>2<\/strong> un REPLY;<\/li>\n<\/ol>\n<\/li>\n<\/ol>\n\n\n\n<p><strong>indirizzi IP e MAC<\/strong>: mostra gli indirizzi IP e MAC dell\u2019host sorgente e del destinatario. Notare che l\u2019ARP REQUEST \u00e8 inviato al broadcast, cio\u00e8 all\u2019indirizzo MAC di destinazione <strong>ff:ff:ff:ff:ff:ff<\/strong>.<\/p>\n\n\n\n<p>(<a href=\"#arp\" data-type=\"internal\" data-id=\"#arp\">torna su<\/a>)<\/p>\n\n\n\n<p class=\"has-medium-font-size\" id=\"analizzare-ICMP\"><strong>Come analizzare i messaggi ICMP in Wireshark<\/strong><\/p>\n\n\n\n<p>Per analizzare i Messaggi ICMP utilizzando Wireshark, seguire questi passaggi:<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li><strong>filtrare il Traffico ICMP<\/strong>: digitare <strong>icmp<\/strong> nella barra di filtraggio di Wireshark per isolare solo il traffico ICMP;<\/li>\n\n\n\n<li><strong>selezionare un pacchetto ICMP<\/strong>: nella lista dei pacchetti filtrati, selezionare un pacchetto che si desidera analizzare. I pacchetti di Echo Request e Echo Reply sono facilmente identificabili dai loro tipi;<\/li>\n\n\n\n<li><strong>esaminare i dettagli dei pacchetti<\/strong>:<ol><li>nel pannello dei dettagli di Wireshark, cercare la sezione ICMP che si trova subito sotto la sezione di IPv4;<\/li><\/ol><ol><li>osservare il campo <strong>Type<\/strong> per identificare il tipo di messaggio ICMP:<ol><li><strong>Type 8<\/strong>: ICMP Echo Request;<\/li><\/ol><ol><li><strong>Type 0<\/strong>: ICMP Echo Reply;<\/li><\/ol><\/li><\/ol>\n<ol class=\"wp-block-list\">\n<li>il <strong>Timestamp<\/strong> mostra l\u2019orario esatto in cui il messaggio \u00e8 stato inviato dall\u2019host originale, che pu\u00f2 essere utile per calcolare la latenza.<\/li>\n<\/ol>\n<\/li>\n<\/ol>\n\n\n\n<p>(<a href=\"#TCP-UDP\" data-type=\"internal\" data-id=\"#TCP-UDP\">torna su<\/a>)<\/p>\n\n\n\n<p class=\"has-medium-font-size\" id=\"analizzare-TCP-UDP\"><strong>Analisi di TCP e UDP in Wireshark<\/strong><\/p>\n\n\n\n<p>Quando si utilizza Wireshark per analizzare il traffico di rete, comprendere le differenze tra TCP (Transmission Control Protocol) e UDP (User Datagram Protocol) \u00e8 fondamentale per l\u2019interpretazione dei dati di rete. Ecco come analizzare questi due protocolli cruciali usando Wireshark.<\/p>\n\n\n\n<p><strong>Filtraggio TCP e UDP<\/strong><\/p>\n\n\n\n<p>Per iniziare l\u2019analisi:<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li><strong>filtraggio<\/strong>: inserire <strong>tcp<\/strong> o <strong>udp<\/strong> nella barra di filtraggio di Wireshark per isolare il traffico corrispondente;<\/li>\n\n\n\n<li><strong>selezione del pacchetto<\/strong>: scegliere un pacchetto per analizzare i dettagli nel pannello dei dettagli, immediatamente sotto il livello di IPv4.<\/li>\n<\/ol>\n\n\n\n<p><strong>Dettagli TCP in Wireshark<\/strong><\/p>\n\n\n\n<p>Con TCP, si troveranno informazioni dettagliate utili per monitorare e diagnosticare la connessione:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Sequence Number e Acknowledge Number<\/strong>: questi numeri sono cruciali per il controllo di flusso e per garantire che i dati siano trasmessi in modo affidabile e in ordine.<\/li>\n\n\n\n<li><strong>flags di TCP<\/strong>: i flags come SYN, ACK, e FIN sono utilizzati per gestire lo stato della connessione. Ad esempio:<ul><li><strong>SYN<\/strong>: utilizzato per iniziare una connessione;<\/li><\/ul><ul><li><strong>SYN-ACK<\/strong>: risposta dal server per accettare la connessione;<\/li><\/ul><ul><li><strong>ACK<\/strong>: utilizzato per confermare la ricezione dei pacchetti;<\/li><\/ul><ul><li><strong>FIN<\/strong>: indica la chiusura di una connessione;<\/li><\/ul>\n<ul class=\"wp-block-list\">\n<li><strong>RST<\/strong>: quando l\u2019handshake a tre vie non viene concluso correttamente, ad esempio per indisponibilit\u00e0 del servizio, il server restituir\u00e0 altri messaggi di controllo, come il RST (reset).<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n<p>L\u2019analisi dei flags \u00e8 importante per identificare il comportamento della connessione, come l\u2019inizio e la conclusione delle sessioni TCP o possibili anomalie nelle connessioni di rete.<\/p>\n\n\n\n<p><strong>Seguire il Flusso TCP<\/strong><\/p>\n\n\n\n<p>Per una visione pi\u00f9 dettagliata della comunicazione tra client e server:<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li><strong>attivare \u201cSegui il Flusso TCP\u201d<\/strong>: dopo aver selezionato un pacchetto TCP, clic destro e selezionare \u201cSegui\u201d e poi \u201cFlusso TCP\u201d. Questo aprir\u00e0 una nuova finestra con i dati trasmessi nel flusso TCP;<\/li>\n\n\n\n<li><strong>analisi del dialogo<\/strong>: I dati vengono visualizzati con i messaggi del client in rosso e quelli del server in blu, facilitando la visualizzazione della conversazione tra i due;<\/li>\n\n\n\n<li><strong>leggibilit\u00e0 dei dati<\/strong>: la facilit\u00e0 di lettura dei dati dipende dal protocollo di livello applicativo trasportato. Per esempio, il traffico HTTP \u00e8 generalmente pi\u00f9 facile da interpretare rispetto ad altri protocolli meno verbosi.<\/li>\n<\/ol>\n\n\n\n<p><strong>Dettagli UDP in Wireshark<\/strong><\/p>\n\n\n\n<p>UDP \u00e8 meno complesso rispetto a TCP in quanto non stabilisce una connessione e non garantisce il controllo di flusso o la conferma di ricezione.<\/p>\n\n\n\n<p>(<a href=\"#TCP-UDP\" data-type=\"internal\" data-id=\"#TCP-UDP\">torna su<\/a>)<\/p>\n\n\n\n<p class=\"has-medium-font-size\" id=\"analizzare-DNS\"><strong>Analisi del traffico DNS con Wireshark<\/strong><\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li><strong>filtraggio del Traffico DNS<\/strong>: per analizzare il traffico DNS in Wireshark, digitare <strong>dns<\/strong> nella barra di filtraggio per isolare solo i pacchetti DNS;<\/li>\n\n\n\n<li><strong>esaminare le Query e le Risposte DNS<\/strong>:<ol><li>nel pannello dei dettagli di Wireshark, \u00e8 possibile vedere la struttura delle query e delle risposte DNS. Questo include i nomi di dominio richiesti, i tipi di record (come A, AAAA, MX), gli indirizzi IP risolti, e altri dettagli DNS;<\/li><\/ol>\n<ol class=\"wp-block-list\">\n<li>ogni pacchetto DNS mostrer\u00e0 se si tratta di una query o di una risposta e includer\u00e0 dettagli come il numero di record nella risposta e gli eventuali errori (es. \u201c<em>Non-Existent Domain<\/em>\u201d).<\/li>\n<\/ol>\n<\/li>\n\n\n\n<li><strong>monitoraggio per anomalie<\/strong>:<ol><li>analizzare il traffico DNS pu\u00f2 aiutare a identificare comportamenti anomali come attivit\u00e0 di malware, che spesso utilizzano query DNS per comunicare con i server di comando e controllo;<\/li><\/ol>\n<ol class=\"wp-block-list\">\n<li>l\u2019alta frequenza di query DNS fallite o un volume insolitamente elevato di query pu\u00f2 essere indicativo di configurazioni errate o attivit\u00e0 sospette.<\/li>\n<\/ol>\n<\/li>\n<\/ol>\n\n\n\n<p>(<a href=\"#TCP-UDP\" data-type=\"internal\" data-id=\"#TCP-UDP\">torna su<\/a>)<\/p>\n\n\n\n<p class=\"has-medium-font-size\" id=\"analizzare-HTTP\"><strong>Analisi del Traffico HTTP in Wireshark<\/strong><\/p>\n\n\n\n<p><strong>Per analizzare il traffico HTTP in Wireshark:<\/strong><\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li><strong>impostare il filtro<\/strong>: digitare <strong>http<\/strong> nella barra di filtraggio di Wireshark per visualizzare solo i pacchetti http;<\/li>\n\n\n\n<li><strong>selezionare un pacchetto<\/strong>: cliccare su un pacchetto di interesse per visualizzare i dettagli nel pannello inferiore.<\/li>\n<\/ol>\n\n\n\n<p><strong>Dettagli del traffico HTTP in Wireshark<\/strong><\/p>\n\n\n\n<p>Nel <strong>pannello dettagli<\/strong> di Wireshark, sotto il livello TCP, si trova il livello HTTP che include:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Content-Type<\/strong>: indica il tipo di dati trasferiti, come <strong>text\/html<\/strong> per le pagine web o <strong>application\/json<\/strong> per dati in formato JSON;<\/li>\n\n\n\n<li><strong>Server<\/strong>: il software server che gestisce la richiesta;<\/li>\n\n\n\n<li><strong>Request URI<\/strong>: l\u2019URI specifico richiesto dal client;<\/li>\n\n\n\n<li><strong>User-Agent<\/strong>: identifica il client web e il sistema operativo utilizzato per fare la richiesta;<\/li>\n\n\n\n<li><strong>Referrer<\/strong>: l\u2019URL della pagina che ha originato la richiesta.<\/li>\n<\/ul>\n\n\n\n<p><strong>Seguire il flusso TCP<\/strong><\/p>\n\n\n\n<p>Per una visione completa della conversazione:<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li><strong>selezionare \u201cSegui Flusso TCP\u201d<\/strong>: clic destro sul pacchetto quindi <strong>Analizza<\/strong> &gt; <strong>Segui<\/strong> &gt; <strong>Flusso TCP<\/strong>. Questo mostra l\u2019intera conversazione tra client e server, inclusi tutti i dati trasmessi;<\/li>\n\n\n\n<li><strong>analisi<\/strong>: la finestra del flusso TCP permette di leggere l\u2019interazione completa, visualizzando i dati trasferiti e gli header HTTP in un formato leggibile.<\/li>\n<\/ol>\n\n\n\n<p><strong>Utilizzare il Menu Statistiche<\/strong><\/p>\n\n\n\n<p>Per una panoramica pi\u00f9 ampia:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>gerarchia di protocolli<\/strong>: nel menu <strong>Statistiche<\/strong>, selezionare <strong>Gerarchia di Protocolli<\/strong> per vedere una sintesi dei protocolli usati nella cattura, inclusi quelli trasportati via http;<\/li>\n\n\n\n<li><strong>esportazione di oggetti HTTP<\/strong>: Da <strong>File<\/strong> &gt; <strong>Esporta Oggetti<\/strong> &gt; <strong>HTTP<\/strong>, \u00e8 possibile esportare elementi come immagini, fogli di stile e script che sono stati trasferiti via HTTP.<\/li>\n<\/ul>\n\n\n\n<p>(<a href=\"#HTTP\" data-type=\"internal\" data-id=\"#HTTP\">torna su<\/a>)<\/p>\n\n\n\n<p class=\"has-medium-font-size\" id=\"analizzare-HTTPS\"><strong>Analisi del traffico HTTPS e decodifica di TLS in Wireshark<\/strong><\/p>\n\n\n\n<p><strong>Analisi di HTTPS &#8211; TLS in Wireshark<\/strong><\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li><strong>filtrare il traffico TLS<\/strong>: inserire <strong>tls<\/strong> nella barra di filtraggio di Wireshark per isolare il traffico TLS;<\/li>\n\n\n\n<li><strong>esaminare i dettagli TLS<\/strong>:<ol><li>nel <strong>pannello dettagli<\/strong>, sotto il livello TCP, si trova il livello TLS;<\/li><\/ol><ol><li><strong>HTTP nascosto<\/strong>: poich\u00e9 il traffico HTTP \u00e8 cifrato, non comparir\u00e0 esplicitamente. Sar\u00e0 indicato come \u201c<em>Encrypted Application Data<\/em>\u201d;<\/li><\/ol><ol><li><strong>dettagli TLS<\/strong>: analizzare i messaggi di \u201c<em>Client Hello<\/em>\u201d e \u201c<em>Server Hello<\/em>\u201d per vedere dettagli come la versione TLS, i metodi di cifratura negoziati e i numeri casuali usati per generare la chiave di sessione;<\/li><\/ol>\n<ol class=\"wp-block-list\">\n<li><strong>chiave pubblica<\/strong>: nel certificato del server, si pu\u00f2 vedere la chiave pubblica usata per la negoziazione della cifratura;<\/li>\n<\/ol>\n<\/li>\n\n\n\n<li><strong>visualizzazione di certificati e handshake<\/strong>: \u00e8 possibile esaminare i certificati scambiati e i dettagli dei messaggi di handshake per avere un\u2019idea di come viene stabilita la sicurezza prima di trasmettere dati sensibili.<\/li>\n<\/ol>\n\n\n\n<p><strong>Limitazioni nell\u2019analisi di TLS in Wireshark<\/strong><\/p>\n\n\n\n<p><strong>Decifrare i dati TLS<\/strong>: Wireshark non pu\u00f2 decifrare i dati TLS senza le appropriate chiavi di decifrazione. Tuttavia, \u00e8 possibile configurare Wireshark per decifrare il traffico TLS se si ha accesso alle chiavi di sessione o ai parametri di <em>pre-master secret<\/em>.<\/p>\n\n\n\n<p>(<a href=\"#HTTPS\" data-type=\"internal\" data-id=\"#HTTPS\">torna su<\/a>)<\/p>\n\n\n\n<p class=\"has-medium-font-size\" id=\"analizzare-TLS\"><strong>Decodifica del traffico TLS in Wireshark utilizzando le chiavi di sessione<\/strong><\/p>\n\n\n\n<p>Ecco come farlo utilizzando Firefox e configurando Wireshark per utilizzare il file di log delle chiavi.<\/p>\n\n\n\n<p><strong>Configurazione di Firefox per esportare le chiavi di sessione TLS<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>impostazione della variabile di ambiente SSLKEYLOGFILE<\/strong>:<ul><li><strong>chiudere Firefox e Wireshark<\/strong>: assicurarsi che entrambe le applicazioni siano chiuse prima di modificare le impostazioni;<\/li><\/ul><ul><li><strong>aprire le impostazioni di sistema<\/strong>:<ul><li>nel menu di Avvio cercare \u201c<em>env<\/em>\u201d o \u201c<em>environment variables<\/em>\u201d.<\/li><\/ul><ul><li>cliccare su \u201c<em>Modifica le variabili d\u2019ambiente per il tuo account<\/em>\u201d;<\/li><\/ul><\/li><\/ul><ul><li><strong>aggiungere la variabile SSLKEYLOGFILE<\/strong>:<ul><li>clicca su \u201c<em>Nuova&#8230;<\/em>\u201d per creare una nuova variabile d\u2019ambiente;<\/li><\/ul><ul><li>assegnare come nome della variabile <strong>SSLKEYLOGFILE<\/strong>;<\/li><\/ul><ul><li>come valore della variabile, impostare un percorso per il file di log, ad esempio: <strong>%USERPROFILE%\\Documents\\sslkey.log<\/strong>.<\/li><\/ul><\/li><\/ul>\n<ul class=\"wp-block-list\">\n<li><strong>salvare e chiudere<\/strong>: confermare e chiudi tutte le finestre di dialogo;<\/li>\n<\/ul>\n<\/li>\n\n\n\n<li><strong>verifica della configurazione<\/strong>:<ul><li>riaprire Firefox e visitare un sito HTTPS;<\/li><\/ul>\n<ul class=\"wp-block-list\">\n<li>verificare che il file <strong>sslkey.log<\/strong> sia stato creato nel percorso specificato e controllare se contiene le chiavi di sessione;<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n<p><strong>Importazione delle chiavi di sessione in Wireshark<\/strong><\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li><strong>avviare Wireshark e iniziare una cattura<\/strong>: avviare una cattura di rete in Wireshark mentre si usa Firefox per generare traffico HTTPS;<\/li>\n\n\n\n<li><strong>configurazione delle preferenze di Wireshark per TLS<\/strong>:<ol><li>da <strong>Modifica<\/strong> \u2192 <strong>Preferenze<\/strong> \u2192 <strong>Protocols<\/strong> \u2192 <strong>TLS<\/strong>;<\/li><\/ol><ol><li>trovare la voce \u201c<em>(Pre)-Master-Secret log filename<\/em>\u201d e cliccare su <strong>Sfoglia&#8230;<\/strong>.<\/li><\/ol>\n<ol class=\"wp-block-list\">\n<li>selezionare il file <strong>sslkey.log<\/strong> che si \u00e8 precedentemente configurato e confermare;<\/li>\n<\/ol>\n<\/li>\n\n\n\n<li><strong>analizzare il traffico decodificato<\/strong>:<ol><li>con le chiavi di sessione importate, Wireshark sar\u00e0 in grado di decodificare il traffico TLS e mostrare i dati HTTP in chiaro;<\/li><\/ol>\n<ol class=\"wp-block-list\">\n<li>per esaminare un flusso di comunicazione specifico, cliccare con il tasto destro su un pacchetto e selezionare <strong>Segui<\/strong> \u2192 <strong>Flusso TLS<\/strong> o <strong>Flusso HTTP<\/strong> per visualizzare l\u2019intera conversazione tra client e server.<\/li>\n<\/ol>\n<\/li>\n<\/ol>\n\n\n\n<p>(<a href=\"#HTTPS\" data-type=\"internal\" data-id=\"#HTTPS\">torna su<\/a>)<\/p>\n\n\n\n<p class=\"has-medium-font-size\" id=\"personalizzazione\"><strong>Wireshark &#8211; personalizzazione dell&#8217;area di lavoro<\/strong><\/p>\n\n\n\n<p>Wireshark offre ampie possibilit\u00e0 di personalizzazione per adattarsi meglio alle esigenze specifiche di ciascun utente o tipo di analisi. La personalizzazione pu\u00f2 aiutare a migliorare l\u2019efficienza nell\u2019analisi del traffico di rete.<\/p>\n\n\n\n<p><strong>Creazione e gestione dei profili di configurazione<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Creare un nuovo profilo<\/strong>:<ul><li>da <strong>Modifica<\/strong> \u2192 <strong>Profili di configurazione<\/strong>;<\/li><\/ul>\n<ul class=\"wp-block-list\">\n<li>cliccare su <strong>Nuovo<\/strong> e assegnare un nome al nuovo profilo. Questo permette di personalizzare e salvare le impostazioni senza alterare il profilo Default.<\/li>\n<\/ul>\n<\/li>\n\n\n\n<li><strong>Cambio del profilo<\/strong>: \u00e8 possibile cambiare profilo ogni qual volta \u00e8 necessario adattarsi a diversi scenari di analisi. Selezionare semplicemente il profilo desiderato dall\u2019elenco nel menu dei profili di configurazione.<\/li>\n\n\n\n<li><strong>Esportazione e importazione di un profilo<\/strong>: questo \u00e8 utile per trasferire le personalizzazioni su un\u2019altra installazione di Wireshark. Dallo stesso menu dei profili, \u00e8 possibile esportare un profilo e poi importarlo su un\u2019altra macchina.<\/li>\n<\/ul>\n\n\n\n<p><strong>Modifica delle regole di colorazione<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Accesso alle regole di colorazione<\/strong>:<ul><li>da <strong>Visualizza<\/strong> \u2192 <strong>Regole di colorazione<\/strong>;<\/li><\/ul>\n<ul class=\"wp-block-list\">\n<li>modificare le regole esistenti o aggiungerne di nuove cliccando sul simbolo <strong>+<\/strong>.<\/li>\n<\/ul>\n<\/li>\n\n\n\n<li><strong>Personalizzazione dei colori<\/strong>: ogni regola \u00e8 legata a un filtro di visualizzazione specifico. Definire il colore del testo e dello sfondo per rendere pi\u00f9 intuitiva l\u2019analisi visiva del traffico.<\/li>\n<\/ul>\n\n\n\n<p><strong>Configurazione delle colonne<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Modifica delle colonne<\/strong>:<ul><li>da <strong>Modifica<\/strong> \u2192 <strong>Preferenze<\/strong> \u2192 <strong>Aspetto<\/strong>;<\/li><\/ul>\n<ul class=\"wp-block-list\">\n<li>eliminare colonne non necessarie o aggiungerne di nuove.<\/li>\n<\/ul>\n<\/li>\n\n\n\n<li><strong>Aggiunta di nuove colonne<\/strong>:<ul><li>assegna un nome alla nuova colonna e seleziona il dettaglio da visualizzare, come indirizzi IP o porte;<\/li><\/ul>\n<ul class=\"wp-block-list\">\n<li>\u00e8 possibile visualizzare i nomi risolti o mantenere i numeri con l\u2019opzione <strong>resolved<\/strong> o <strong>unresolved<\/strong>.<\/li>\n<\/ul>\n<\/li>\n\n\n\n<li><strong>Riorganizzazione delle colonne<\/strong>: \u00e8 possibile trascina le colonne nella posizione desiderata per un\u2019analisi pi\u00f9 efficiente.<\/li>\n<\/ul>\n\n\n\n<p><strong>Memorizzazione dei filtri di visualizzazione<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Aggiunta di filtri personalizzati<\/strong>:<ul><li>utilizzare il pulsante <strong>+<\/strong> vicino alla barra di filtraggio per salvare i filtri utilizzati frequentemente.<\/li><\/ul>\n<ul class=\"wp-block-list\">\n<li>assegnare un nome al filtro e, se necessario, aggiungere un commento per descriverne l\u2019uso.<\/li>\n<\/ul>\n<\/li>\n\n\n\n<li><strong>Utilizzo dei filtri salvati<\/strong>: i filtri salvati appariranno come pulsanti nella barra di filtraggio e saranno applicabili rapidamente con un clic.<\/li>\n<\/ul>\n\n\n\n<p>(<a href=\"#area-lavoro\" data-type=\"internal\" data-id=\"#area-lavoro\">torna su<\/a>)<\/p>\n\n\n\n<p class=\"has-medium-font-size\" id=\"predisposizione\"><strong>Wireshark &#8211; predisposizione dell&#8217;area di lavoro<\/strong><\/p>\n\n\n\n<p>Per rafforzare la capacit\u00e0 di rilevamento di malware nel traffico di rete, \u00e8 possibile configurare specificamente Wireshark per analizzare le sessioni HTTP e HTTPS:<\/p>\n\n\n\n<p><strong>Creazione di un nuovo profilo di configurazione:<\/strong> da <strong>Modifica<\/strong> \u2192 <strong>Profili di configurazione<\/strong> e creare un nuovo profilo, es. \u201cAnalyst\u201d.<\/p>\n\n\n\n<p><strong>Modifica delle colonne per analisi HTTP\/HTTPS<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>aprire le preferenze<\/strong>: da <strong>Modifica<\/strong> \u2192 <strong>Preferenze<\/strong> \u2192 <strong>Aspetto<\/strong>.<\/li>\n\n\n\n<li><strong>configurazione delle colonne<\/strong>: rimuovere le colonne non necessarie e aggiungere le seguenti per ottimizzare l\u2019analisi del traffico web:<ul><li><strong>Time<\/strong>: imposta il formato su UTC per garantire che l\u2019ora sia uniforme e confrontabile globalmente;<\/li><\/ul><ul><li><strong>Src e Dst<\/strong>: aggiungere colonne per gli indirizzi IP sorgente e destinatario;<\/li><\/ul><ul><li><strong>Port<\/strong>: colonne per le porte sorgente e destinatario, utili per identificare il tipo di traffico;<\/li><\/ul><ul><li><strong>Host<\/strong>: una colonna personalizzata che usa il filtro <strong>http.host<\/strong> o <strong>tls.handshake.extensions_server_name<\/strong> per visualizzare i nomi dei server web.<\/li><\/ul>\n<ul class=\"wp-block-list\">\n<li><strong>Info<\/strong>: per dettagli generali sulla trasmissione.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n<p><strong>Impostazioni di data e ora<\/strong>: assicurarsi che il tempo sia impostato su UTC per la consistenza attraverso il menu <strong>Visualizza<\/strong> \u2192 <strong>Formato visualizzazione tempo<\/strong> \u2192 <strong>Data e ora del tempo UTC<\/strong>.<\/p>\n\n\n\n<p><strong>Creazione di pulsanti di filtraggio<\/strong><\/p>\n\n\n\n<p>Usare il pulsante <strong>+<\/strong> accanto alla barra di filtraggio per creare filtri rapidi:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>(http.request or tls.handshake.type eq 1) and !(ssdp)<\/strong>: filtra le richieste HTTP e i nomi di dominio HTTPS, escludendo il traffico SSDP;<\/li>\n\n\n\n<li><strong>(http.request or tls.handshake.type eq 1 or tcp.flags eq 0x0002 or dns) and !(ssdp)<\/strong>: aggiunge TCP SYN e DNS alle sessioni HTTP e HTTPS.<\/li>\n<\/ul>\n\n\n\n<p><strong>Analisi delle conversazioni di rete e ricerca di minacce<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Gerarchia dei protocolli<\/strong>: da <strong>Statistiche<\/strong> \u2192 <strong>Gerarchia di protocolli<\/strong> per vedere la distribuzione dei dati tra i protocolli;<\/li>\n\n\n\n<li><strong>Endpoint e conversazioni<\/strong>: utilizzare le opzioni sotto <strong>Statistiche<\/strong> per visualizzare gli endpoint e le conversazioni, che possono aiutare a identificare i \u201c<em>top talkers<\/em>\u201d o le connessioni sospette.<\/li>\n\n\n\n<li><strong>HTTP Requests<\/strong>: <strong>Statistiche<\/strong> \u2192 <strong>HTTP<\/strong> \u2192 <strong>Richieste<\/strong> per un elenco di richieste a server web, che pu\u00f2 rivelare connessioni a domini sconosciuti o maligni.<\/li>\n<\/ul>\n\n\n\n<p><strong>Uso avanzato dei filtri di visualizzazione<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>udp.port eq 67<\/strong>: visualizza i messaggi DHCP inviati dai client che contengono l\u2019indirizzo IP, l\u2019indirizzo MAC e l\u2019hostname;<\/li>\n\n\n\n<li><strong>nbns<\/strong>: mostra il traffico Netbios utilizzato tipicamente dagli host Windows, utile per ricavare l\u2019hostname degli endpoint;<\/li>\n\n\n\n<li><strong>http.request:<\/strong> mostra tutte le richieste di accesso ai server web, che contengono utili info;<\/li>\n\n\n\n<li><strong>udp and !(dns)<\/strong>: visualizza le connessioni UDP non attinenti al trasporto di DNS;<\/li>\n\n\n\n<li><strong>dns.qry.name contains dominio<\/strong>: mostra le richieste di risoluzione per il dominio indicato;<\/li>\n\n\n\n<li><strong>frame contains \u201cMZ\u201d and frame contains \u201cDOS\u201d<\/strong>: trova il trasferimento di eseguibili Windows. Le stringhe specificate sono i cosiddetti <em>magic numbers<\/em> (o anche file signatures<a href=\"#_ftn1\" id=\"_ftnref1\">[1]<\/a>), piccole sequenze di caratteri poste all\u2019inizio di ogni file grazie alle quali \u00e8 possibile identificare il tipo di file; il magic number MZ identifica un file eseguibile per Windows.<\/li>\n\n\n\n<li>l\u2019operatore <strong>matches<\/strong>: simile a <strong>contains<\/strong> ma abilita l\u2019uso delle espressioni regolari:<ul><li><strong>frame matches \u201c\\.(?i)(exe|zip|doc|xls|ppt|jar)\u201d<\/strong>: visualizza i pacchetti che contengono file;<\/li><\/ul><ul><li><strong>frame matches \u201c(?i)(username|password)\u201d<\/strong>: trova i pacchetti con credenziali;<\/li><\/ul>\n<ul class=\"wp-block-list\">\n<li><strong>frame matches \u201cUser-Agent: Mozilla.*\u201d<\/strong>: visualizza solo le richieste HTTP dei client Mozilla<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n<p><strong>Attivazione della geolocalizzazione con MaxMind<\/strong><\/p>\n\n\n\n<p>Durante la ricerca di una minaccia risulta utile avere informazioni sulla provenienza geografica ovvero la nazionalit\u00e0 degli host coinvolti nelle conversazioni di rete; di base Wireshark non fornisce tali informazioni ma possono essere integrati grazie al database fornito dal sito di <a href=\"https:\/\/dev.maxmind.com\/geoip\/geolite2-free-geolocation-data\">MAXMIND<\/a>:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>download dei database MaxMind<\/strong>: registrarsi e scaricare i file <strong>.mmdb<a href=\"#_ftn2\" id=\"_ftnref2\"><strong>[2]<\/strong><\/a><\/strong> da MaxMind;<\/li>\n\n\n\n<li><strong>configurazione in Wireshark<\/strong>:<ul><li>da <strong>Modifica<\/strong> \u2192 <strong>Preferenze<\/strong> \u2192 <strong>Name Resolution<\/strong>;<\/li><\/ul>\n<ul class=\"wp-block-list\">\n<li>aggiungere la directory contenente i file <strong>.mmdb<\/strong>.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n<p><strong>Utilizzo dei Filtri di Display per la Geolocalizzazione<\/strong><\/p>\n\n\n\n<p>Completata l\u2019attivazione dei file di database si troveranno subito le nuove informazioni:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>nel pannello dettagli di un pacchetto selezionato, espandendo il livello IPv4;<\/li>\n\n\n\n<li>nella finestra dedicata alle statistiche per i terminatori di rete (endpoint), scheda IPv4, il pulsante <strong>Mappa<\/strong> posto a sinistra nella finestra permette di osservare gli indirizzi IP su di una mappa geografica.<\/li>\n<\/ul>\n\n\n\n<p>Wireshark permette di utilizzare i dati di geolocalizzazione per filtrare il traffico di rete in base alla localit\u00e0 geografica:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>questo filtro visualizza tutti i pacchetti che hanno origine o destinazione nella citt\u00e0 di Roma:<\/li>\n<\/ul>\n\n\n\n<p><em>ip.geoip.city == \u201cRome\u201d<\/em><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>filtro specifico per la citt\u00e0 di destinazione:<\/li>\n<\/ul>\n\n\n\n<p><em>ip.geoip.dst_city == \u201cDublin\u201d<\/em><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>filtro per nazione di destinazione:<\/li>\n<\/ul>\n\n\n\n<p><em>ip.geoip.dst_country == \u201cItaly\u201d<\/em><\/p>\n\n\n\n<p>(<a href=\"#area-lavoro\" data-type=\"internal\" data-id=\"#area-lavoro\">torna su<\/a>)<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<p><a href=\"#_ftnref1\" id=\"_ftn1\">[1]<\/a> https:\/\/en.wikipedia.org\/wiki\/List_of_file_signatures<\/p>\n\n\n\n<p><a href=\"#_ftnref2\" id=\"_ftn2\">[2]<\/a> GeoLite2 ASN, GeoLite2 City e GeoLite2 Country<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Una breve guida introduttiva a Wireshark: \u201cThe world&#8217;s most popular network protocol analyzer\u201d. Wireshark \u00e8 il pi\u00f9 celebre e diffuso analizzatore di pacchetti di rete, utilizzato ampiamente sia nel mondo accademico che professionale. Originariamente lanciato nel 1998 sotto il nome di \u201cEthereal\u201d, Wireshark ha guadagnato una reputazione solida per la sua efficacia e versatilit\u00e0 nella &hellip; <a href=\"https:\/\/www.fabriziogiancola.eu\/index.php\/2024\/11\/05\/wireshark\/\" class=\"more-link\">Leggi tutto<span class=\"screen-reader-text\"> &#8220;Wireshark&#8221;<\/span><\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"iawp_total_views":2,"footnotes":""},"categories":[12,15,17],"tags":[],"class_list":["post-1759","post","type-post","status-publish","format-standard","hentry","category-cyber-security","category-ethical-hacking","category-networking"],"_links":{"self":[{"href":"https:\/\/www.fabriziogiancola.eu\/index.php\/wp-json\/wp\/v2\/posts\/1759","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.fabriziogiancola.eu\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.fabriziogiancola.eu\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.fabriziogiancola.eu\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.fabriziogiancola.eu\/index.php\/wp-json\/wp\/v2\/comments?post=1759"}],"version-history":[{"count":65,"href":"https:\/\/www.fabriziogiancola.eu\/index.php\/wp-json\/wp\/v2\/posts\/1759\/revisions"}],"predecessor-version":[{"id":1877,"href":"https:\/\/www.fabriziogiancola.eu\/index.php\/wp-json\/wp\/v2\/posts\/1759\/revisions\/1877"}],"wp:attachment":[{"href":"https:\/\/www.fabriziogiancola.eu\/index.php\/wp-json\/wp\/v2\/media?parent=1759"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.fabriziogiancola.eu\/index.php\/wp-json\/wp\/v2\/categories?post=1759"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.fabriziogiancola.eu\/index.php\/wp-json\/wp\/v2\/tags?post=1759"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}