Cumu aduprà Wireshark per rilevà i prublemi di rete

Sè vo travagliate in rete, sicurezza, o sviluppu è vulete capisce ciò chì succede nantu à i vostri cavi è Wi-Fi, travaglià cù Wireshark Hè un elementu essenziale. Questu analizzatore di pacchetti open source cù decennii d'evoluzione chì permette di catturà, dissezionà è studià u trafficu à u livellu di i pacchetti cù precisione chirurgica.

In questu articulu l'analizemu in prufundità: da a so licenza è sponsorizazione à i so pacchetti in GNU/Linux, cumprese l'utilità di cunsola, i furmati supportati, i requisiti di compilazione, i permessi di cattura è una panoramica storica è funzionale veramente cumpleta.

Chì ghjè Wireshark è à chì serve oghje?

In sostanza, Wireshark hè un analizzatore di protocolu è dispusitivu di cattura di trafficu chì vi permette di mette una interfaccia in modu promiscuu o monitor (se u sistema u supporta) è di vede fotogrammi chì ùn serianu micca mandati à u vostru Mac, analizà e conversazioni, ricustruisce i flussi, culurisce i pacchetti secondu e regule è applicà filtri di visualizazione assai espressivi. Inoltre, include TShark (versione terminale) è un inseme di utilità per attività cum'è u riordinamentu, a divisione, a fusione è a cunversione di screenshots.

Ancu s'è u so usu hè reminiscente di tcpdump, furnisce una interfaccia grafica muderna basata annantu à Qt cù filtrazione, classificazione è dissezione profonda per migliaia di protokolli. Sè vo site nantu à un switch, ricordate chì a modalità promiscua ùn garantisce micca chì viderete tuttu u trafficu: per scenarii cumpleti avete bisognu di mirroring di portu o tap di rete, chì a so documentazione cita ancu cum'è e migliori pratiche.

Licenza, fundazione è mudellu di sviluppu

Wireshark hè distribuitu sottu GNU GPL v2 è in parechji lochi, cum'è "GPL v2 o più tardi". Certi utilità in u codice surghjente sò licenziate sottu licenze diverse ma cumpatibili, cum'è u strumentu pidl cù GPLv3+, chì ùn influenza micca u binariu risultante di l'analizzatore. Ùn ci hè nisuna garanzia espressa o implicita; adupratelu à u vostru risicu, cum'è di solitu cù u software liberu.

La Fundazione Wireshark Coordina u sviluppu è a distribuzione. Si basa nantu à donazioni da individui è urganisazioni chì u so travagliu hè basatu annantu à Wireshark. U prugettu vanta migliaia d'autori registrati è figure storiche cum'è Gerald Combs, Gilbert Ramirez è Guy Harris trà i so sustenitori più prominenti.

Wireshark funziona nantu à Linux, Windows, macOS, è altri sistemi simili à Unix (BSD, Solaris, ecc.). I pacchetti ufficiali sò liberati per Windows è macOS, è nantu à GNU/Linux hè generalmente inclusu cum'è un pacchettu standard o add-on in distribuzioni cum'è Debian, Ubuntu, Fedora, CentOS, RHEL, Arch, Gentoo, openSUSE, FreeBSD, DragonFly BSD, NetBSD, è OpenBSD. Hè ancu dispunibule nantu à sistemi di terze parti cum'è Homebrew, MacPorts, pkgsrc o OpenCSW.

Per cumpilà da u codice, avete bisognu di Python 3; AsciiDoctor per a ducumentazione; è strumenti cum'è Perl è GNU flex (lex classicu ùn funziona micca). A cunfigurazione cù CMake vi permette di attivà o disattivà u supportu specificu, per esempiu, biblioteche di cumpressione cù -DENABLE_ZLIB=OFF, -DENABLE_LZ4=OFF o -DENABLE_ZSTD=OFF, o supportu libsmi cù -DENABLE_SMI=OFF sè preferite micca caricà i MIB.

Pacchetti è biblioteche in sistemi basati nantu à Debian

In l'ambienti Debian/Ubuntu è derivati, l'ecosistema Wireshark hè divisu in parechji pacchettiQuì sottu hè una ripartizione cù e caratteristiche, e dimensioni apprussimative è e dipendenze. Quessi pacchetti vi permettenu di sceglie trà una GUI cumpleta è biblioteche è strumenti di sviluppu per integrà dissezioni in e vostre applicazioni.

wireshark

Applicazione grafica per catturà è analizà u trafficu cù una interfaccia Qt. Dimensione stimata: 10.59 MB. Stabilimentu: sudo apt install wireshark

Dipendenze chjave

• libc6, libgcc-s1, libstdc++6
• libgcrypt20, libglib2.0-0t64
• libpcap0.8t64
• Qt 6 (core, gui, widgets, multimedia, svg, supportu di stampa è plugins QPA)
• libwireshark18, libwiretap15, libwsutil16
• libnl-3-200, libnl-genl-3-200, libnl-route-3-200
• libminizip1t64, libspeexdsp1, wireshark-cumune

Trà e so opzioni di partenza truverete parametri per sceglie l'interfaccia (-i), filtri di cattura (-f), limite di snapshot, modu di monitoraghju, liste di tipi di ligami, filtri di visualizazione (-Y), "Decode As" è preferenze, è ancu furmati di output di file è cummenti di cattura. L'applicazione permette ancu prufilatura di cunfigurazione è statistiche funzioni avanzate da l'interfaccia.

shark

Versione di cunsola per a cattura è l'analisi da linea di cummanda. Dimensione stimata: 429 KB. Stabilimentu: sudo apt install tshark

Dipendenze chjave

• libc6, libglib2.0-0t64
• libnl-3-200, libnl-route-3-200
• libpcap0.8t64
• libwireshark18, libwiretap15, libwsutil16
• wireshark-cumune

Vi permette di selezziunà l'interfacce, applicà filtri di cattura è di visualizazione, definisce e cundizioni di fermata (tempu, dimensione, numeru di pacchetti), aduprà buffer circulari, stampà dettagli, dumps esadecimali è JSON, è esportà oggetti è chjave TLS. Pò ancu culurizà l'output in un terminal cumpatibile. aghjustà a registrazione di u registru per duminii è livelli di dettagliu. Si cunsiglia prudenza se attivate BPF JIT à u livellu di u kernel, postu chì pò avè implicazioni di sicurezza.

wireshark-cumune

File cumuni per wireshark è tshark (per esempiu, dizziunarii, cunfigurazioni è utilità di linea). Dimensione stimata: 1.62 MB. Stabilimentu: sudo apt install wireshark-common

Dipendenze chjave

• debconf (o debconf-2.0), libc6
• libcap2 è libcap2-bin
• libgcrypt20, libglib2.0-0t64
• libpcap0.8t64, libpcre2-8-0
• libnl-3-200, libnl-genl-3-200, libnl-route-3-200
• libspeexdsp1, libssh-4, libsystemd0
• libmaxmindb0
• libwireshark18, libwiretap15, libwsutil16
• zlib1g

Stu pacchettu include utilità cum'è capinfos (infurmazioni nantu à u schedariu di cattura: tipu, incapsulamentu, durata, velocità, dimensioni, hash è cumenti), tipu di cap (identificà i tipi di fugliali), tappu di scaricu (dispositivu di cattura ligeru chì usa pcapng/pcap cù autostop è buffer circulari), editcap (mudificà/divide/cunvertisce e catture, aghjustà i timestamp, caccià i duplicati, aghjunghje cummenti o sicreti), mergecap (fusionà o concatenà parechje catture), mmdbresolve (risolve a geolocalizazione IP cù e basi di dati MMDB), randpkt (generatore di pacchetti sintetici multiprotocolu), squalu crudu (dissezione cruda cù output di campu), riordinà u tappu (riordinate per timestamp), squalu (daemon cù API per processà e catture) è testu2pcap (cunvertisce hexdumps o testu strutturatu in catture valide).

libwireshark18 è libwireshark-data

Libreria centrale di dissezione di pacchetti. Fornisce l'analizatori di protocolli utilizati da Wireshark/TShark. Dimensione apprussimativa di a biblioteca: 126.13 MB. Stabilimentu: sudo apt install libwireshark18 y sudo apt install libwireshark-data

Dipartimenti notevuli

• libc6, libglib2.0-0t64
• libgcrypt20, libgnutls30t64
• liblua5.4-0
• libpcre2-8-0
• libxml2-16
• zlib1g, libzstd1, liblz4-1, libsnappy1v5
• libnghttp2-14, libnghttp3-9
• libbrotli1
• libopus0, libsbc1, libspandsp2t64, libbcg729-0
• libcares2
• libk5crypto3, libkrb5-3
• libopencore-amrnb0
• libwiretap15, libwsutil16
• libwireshark-dati

Include supportu per un gran numeru di protokolli è opzioni cum'è l'attivazione o a disattivazione di dissezioni specifiche, euristiche è "Decode As" da l'interfaccia o da a linea di cummanda; grazie à questu, pudete adattà u dissezione di u trafficu reale di u vostru ambiente.

libwiretap15 è libwiretap-dev

Wiretap hè una biblioteca per leghje è scrive parechji furmati di file di cattura. I so punti di forza sò a varietà di furmati chì supporta; i so limiti sò: Ùn filtra nè esegue a cattura diretta.. Stabilimentu: sudo apt install libwiretap15 y sudo apt install libwiretap-dev

Formati supportati (selezzione)

• libpcap
• Sniffer/Windows Sniffer Pro è NetXRay
• LANalyzer
• Monitor di rete
• snoop
• AIX iptrace
• RADCOM WAN/LAN
• Lucent/Ascend
• HP-UX nettl
• Router ISDN Toshiba
• ISDN4BSD i4btrace
• Registrazione iPLogging di Cisco Secure IDS
• Registri pppd (pppdump)
• VMS TCPTRACE
• DBS Etherwatch (testu)
• Catapulta DCT2000 (.out)

dipendenze di libwiretap15

• libc6, libglib2.0-0t64
• liblz4-1, libzstd1, zlib1g
• libwsutil16

A variante -dev furnisce a biblioteca statica è l'intestazioni C per integrà operazioni di lettura/scrittura in i vostri strumenti. Questu vi permette di sviluppà utilità chì manipulanu i dati. pcap, pcapng è altri cuntenitori cum'è parte di i nostri propri pipelines.

libwsutil16 è libwsutil-dev

Un inseme d'utilità spartute da Wireshark è e biblioteche cunnesse: funzioni ausiliarie per a manipulazione di stringhe, u buffering, a crittografia, ecc. Installazione: sudo apt install libwsutil16 y sudo apt install libwsutil-dev

dipendenze di libwsutil16

• libc6
• libgcrypt20
• libglib2.0-0t64
• libgnutls30t64
• libpcre2-8-0
• zlib1g

U pacchettu -dev include intestazioni è una biblioteca statica in modu chì l'applicazioni esterne possinu ligà utilità cumuni senza reimplementà e rote. Hè a basa di parechje funzioni spartute chì utilizanu Wireshark è TShark.

wireshark-dev

Strumenti è fugliali per creà novi "dissettori". Fornisce script cum'è idl2wrs, è ancu dipendenze per a compilazione è a prova. Dimensione stimata: 621 KB. Stabilimentu: sudo apt install wireshark-dev

Dipendenze

• esnacc
• libc6
• libglib2.0-0t64
• libpcap0.8-dev
• libwireshark-dev
• libwiretap-dev
• libwsutil16
• omniidl
• python3 è python3-ply

Cuntinutu esclusivu - Cliccate quì  Cumu caccià l'ultimu accessu à WhatsApp

Include utilità cum'è asn2deb (genera pacchetti Debian per u monitoraghju BER da ASN.1) è idl2deb (pacchetti per CORBA). È, soprattuttu, idl2wrsStu strumentu trasforma un IDL CORBA in u scheletru di un plugin C per dissezionà u trafficu GIOP/IIOP. Stu flussu di travagliu si basa nantu à script Python (wireshark_be.py è wireshark_gen.py) è supporta a dissezione euristica per difettu. U strumentu cerca i so moduli in PYTHONPATH/pacchetti-di-situ o in u cartulare attuale, è accetta a redirezzione di u schedariu per generà u codice.

wireshark-doc

Documentazione per l'utilizatori, guida di sviluppu è riferimentu Lua. Dimensione stimata: 13.40 MB. Stabilimentu: sudo apt install wireshark-doc

Cunsigliatu sè avete intenzione di approfondire estensioni, scripting è APIA ducumentazione in linea nant'à u situ ufficiale hè aghjurnata cù ogni versione stabile.

Permessi di cattura è di sicurezza

In parechji sistemi, a cattura diretta richiede privilegi elevati. Per questa ragione, Wireshark è TShark deleganu a cattura à un serviziu di terze parti. tappu di scaricuUn binariu cuncipitu per esse eseguitu cù privilegii (set-UID o capacità) per minimizà a superficia d'attaccu. Eseguisce tutta l'interfaccia grafica cum'è root ùn hè micca una bona pratica; hè preferibile catturà cù dumpcap o tcpdump è analizà senza privilegii per riduce i risichi.

A storia di u prugettu include incidenti di sicurezza in i dissettori annantu à l'anni, è alcune piattaforme cum'è OpenBSD anu ritiratu a vechja istanza Ethereal per questa ragione. Cù u mudellu attuale, l'isolamentu da a cattura è l'aghjurnamenti custanti migliuranu a situazione, ma hè sempre cunsigliatu di seguitate l'istruzzioni di sicurezza È, sè rilevate attività suspetta, sapete cumu bluccà e cunnessione di rete suspette è evitate di apre screenshots micca affidabili senza una revisione previa.

Formati di file, cumpressione è caratteri speciali

Wireshark leghje è scrive pcap è pcapng, è ancu furmati da altri analizzatori cum'è snoop, Network General Sniffer, Microsoft Network Monitor, è i numerosi elencati da Wiretap sopra. Pò apre i fugliali compressi s'elli sò stati compilati cù biblioteche per pcapng. GZIP, LZ4 è ZSTDIn particulare, GZIP è LZ4 cù blocchi indipendenti permettenu salti rapidi, migliurendu e prestazioni di l'interfaccia grafica in grandi acquisizioni.

U prugettu documenta funzioni cum'è AIX iptrace (induve un HUP à u daemon si chjude pulitamente), supportu per e tracce Lucent/Ascend, Toshiba ISDN o CoSine L2, è indica cumu catturà l'output testuale in un schedariu (per esempiu, cù telnet <equipo> | tee salida.txt o aduprendu u strumentu scrittura) per impurtà lu dopu cù text2pcap. Sti percorsi vi portanu fora di Catture "cunvinziunali" quandu aduprate apparecchiature chì ùn si ribaltanu micca direttamente sopra pcap.

Utilità di suite è categurie di opzioni

In più di Wireshark è TShark, a distribuzione include parechji strumenti chì coprenu compiti assai specifichiSenza copià u testu d'aiutu à a lettera, eccu un riassuntu urganizatu per categurie per sapè ciò chì ognuna face è quali opzioni truverete:

• tappu di scaricuCattura pcap/pcapng "pura è simplice", selezzione di l'interfaccia, filtri BPF, dimensione di u buffer, rotazione per tempu/dimensione/file, creazione di buffer ad anellu, cummenti di cattura è output in furmatu leggibile da a macchinaMette in guardia contr'à l'attivazione di JIT di BPF per via di risichi putenziali.
• capinfosMostra u tipu di schedariu, l'incapsulazione, l'interfacce è i metadati; numeru di pacchetti, dimensione di u schedariu, lunghezza tutale, limite di snapshot, cronologia (prima/ultima), velocità medie (bps/Bps/pps), dimensione media di i pacchetti, hash è cummenti. Permette output tabulari o dettagliati è furmati leggibili da a macchina.
• tipu di cap: identifica u tipu di schedariu di cattura per una o più entrate cù aiutu è opzioni di versione.
• editcapSelezziunà/cancella intervalli di pacchetti, aggancia/taglia, aghjusta i timestamp (cumpresu l'ordine strettu), elimina i duplicati cù finestre configurabili, aghjusta cummenti per quadru, divide l'output per numeru o tempu, cambia u container è l'incapsulamentu, travaglia cù i sicreti di decifrazione è comprime l'output. Hè u strumentu universale per "pulizia" di e catture.
• mergecap: combina parechje catture in una sola, sia per concatenazione lineare sia per mischju basatu annantu à u timestamp, cuntrolla snaplen, definisce u tipu di output, a modalità di fusione IDB è a cumpressione finale.
• riordinà u tappu: riordina un schedariu per timestamp generendu un output pulitu è, s'ellu hè digià urdinatu, pò evità di scrive u risultatu per salvà I/O.
• testu2pcap: cunverte hexdumps o testu cù regex in cattura valida; ricunnosce offsets in varie basi di dati, timestamps cù furmati strptime (cumprese a precisione frazziunale), rileva ASCII attaccatu se applicabile, è pò antepone intestazioni "dummy" (Ethernet, IPv4/IPv6, UDP/TCP/SCTP, EXPORTED_PDU) cù porti, indirizzi è etichette indicatu.
• squalu cruduLettore orientatu à u campu "crudu"; permette di definisce u protocolu d'incapsulazione o di dissezione, disattivà e risoluzioni di nomi, definisce i filtri di lettura/visualizazione è decide u furmatu di output di u campu, utile per a pipeline cù altri strumenti.
• randpktGenera fugliali cù pacchetti aleatorii di tipi cum'è ARP, BGP, DNS, Ethernet, IPv4/IPv6, ICMP, TCP/UDP, SCTP, Syslog, USB-Linux, ecc., specificendu u contu, a dimensione massima è u cuntainer. Ideale per testi è dimustrazioni.
• mmdbresolveInterrogate e basi di dati MaxMind (MMDB) per visualizà a geolocalizazione di l'indirizzi IPv4/IPv6, specificendu unu o più fugliali di basa di dati.
• squalu: daemon chì espone una API (modu "gold") o un socket classicu (modu "classicu"); supporta i profili di cunfigurazione è hè cuntrullatu da i clienti per a dissezione è e ricerche lato server, utile in l'automatizazione è i servizii.

Architettura, caratteristiche è limitazioni

Wireshark si basa nantu à libpcap/Npcap per a cattura, è nantu à un ecosistema di biblioteche (libwireshark, libwiretap, libwsutil) chì separanu a dissezione, i furmati è l'utilità. Permette a rilevazione di chjamate VoIP, a riproduzione audio in codifiche supportate, a cattura di trafficu USB grezzu è u filtraggio nantu à e rete Wi-Fi (s'elle attraversanu Ethernet monitoratu). plugins per novi protocolli scrittu in C o Lua. Pò ancu riceve trafficu remotu incapsulatu (per esempiu, TZSP) per analisi in tempu reale da un'altra macchina.

Ùn hè micca un IDS, nè emette avvisi; u so rolu hè passivu: ispeziona, misura è visualizza. Eppuru, l'arnesi ausiliari furniscenu statistiche è flussi di travagliu, è i materiali di furmazione sò facilmente dispunibili (cumprese l'applicazioni educative orientate versu u 2025 chì insegnanu filtri, sniffing, fingerprinting di basa di u sistema operatore, analisi in tempu reale, automatizazione, trafficu criptatu è integrazione cù e pratiche DevOps). Questu aspettu educativu cumplementa a funzionalità di basa di diagnosi è risoluzione di i prublemi.

Compatibilità è ecosistema

E piattaforme di custruzzione è di prova includenu Linux (Ubuntu), Windows è macOSU prugettu cita ancu una larga cumpatibilità cù altri sistemi simili à Unix è a distribuzione via gestori di terze parti. In certi casi, e versioni più vechje di u sistema operativu richiedenu rami precedenti (per esempiu, Windows XP cù a versione 1.10 o precedente). In generale, pudete installà da repositori ufficiali o binari in a maiò parte di l'ambienti senza prublemi maiò.

S'integranu cù simulatori di rete (ns, OPNET Modeler), è strumenti di terze parti (per esempiu, Aircrack per 802.11) ponu esse aduprati per pruduce catture chì Wireshark apre senza difficultà. Per contu di legalità è etica strettaRicurdatevi di catturà solu nantu à e rete è in scenarii per i quali avete una autorizazione espressa.

Nome, siti web ufficiali è dati di cuntrollu

U situ ufficiale hè wireshark.orgcù scaricamenti in u so sottucartulare /download è documentazione in linea per utilizatori è sviluppatori. Ci sò pagine cù cuntrollu di l'autorità (per esempiu, GND) è liste di ligami à u repositoriu di codice, u tracker di bug è u blog di u prugettu, utili per stà à ghjornu cù e nutizie è segnalà i prublemi.

Prima di principià a cattura, verificate i permessi è e capacità di u vostru sistema, decidete se aduprerete dumpcap/tcpdump per fà un dump nant'à u discu è analizà senza privilegi, è preparate filtri di cattura è di visualizazione coerenti cù u vostru scopu. Cù una bona metodologia, Wireshark simplifica u cumplessu è vi dà esattamente l'infurmazioni ghjuste. A visibilità chì avete bisognu per diagnosticà, amparà o verificà e rete di qualsiasi dimensione.