Come usare Wireshark per rilevare problemi di rete

Se lavori nel settore delle reti, della sicurezza o dello sviluppo e vuoi capire cosa succede sui tuoi cavi e Wi-Fi, lavorare con Wireshark È un elemento essenziale. Questo analizzatore di pacchetti open source con decenni di evoluzione che consentono di catturare, sezionare e studiare il traffico a livello di pacchetto con precisione chirurgica.

In questo articolo lo analizziamo in modo approfondito: dalla licenza e sponsorizzazione ai pacchetti in GNU/Linux, comprese le utilità della console, i formati supportati, i requisiti di compilazione, i permessi di cattura e una panoramica storica e funzionale davvero completa.

Cos'è Wireshark e a cosa serve oggi?

In sostanza, Wireshark è un analizzatore di protocollo e dispositivo di cattura del traffico che consente di mettere un'interfaccia in modalità promiscua o monitor (se il sistema lo supporta) e visualizzare frame che non verrebbero inviati al Mac, analizzare conversazioni, ricostruire flussi, colorare pacchetti secondo regole e applicare filtri di visualizzazione molto espressivi. Inoltre, include TShark (versione terminale) e una serie di utilità per attività quali riordinare, dividere, unire e convertire gli screenshot.

Sebbene il suo utilizzo ricordi tcpdump, fornisce un'interfaccia grafica moderna basata su Qt con filtraggio, ordinamento e dissezione profonda per migliaia di protocolli. Se utilizzi uno switch, ricorda che la modalità promiscua non garantisce la visualizzazione di tutto il traffico: per scenari completi avrai bisogno del mirroring delle porte o dei network tap, che la loro documentazione menziona anche come best practice.

Modello di licenza, fondazione e sviluppo

Wireshark è distribuito sotto GNU GPL v2 e in molti casi, come "GPL v2 o successiva". Alcune utilità nel codice sorgente sono rilasciate con licenze diverse ma compatibili, come lo strumento pidl con GPLv3+, che non influisce sul binario risultante dell'analizzatore. Non vi è alcuna garanzia espressa o implicita; l'utilizzo avviene a proprio rischio e pericolo, come di consueto per il software libero.

La Fondazione Wireshark Coordina lo sviluppo e la distribuzione. Si basa sulle donazioni di individui e organizzazioni il cui lavoro si basa su Wireshark. Il progetto vanta migliaia di autori registrati e personaggi storici come Gerald Combs, Gilbert Ramirez e Guy Harris tra i suoi sostenitori più importanti.

Wireshark funziona su Linux, Windows, macOS e altri sistemi Unix-like (BSD, Solaris, ecc.). I pacchetti ufficiali sono rilasciati per Windows e macOS, mentre su GNU/Linux è solitamente incluso come pacchetto standard o aggiuntivo in distribuzioni come Debian, Ubuntu, Fedora, CentOS, RHEL, Arch, Gentoo, openSUSE, FreeBSD, DragonFly BSD, NetBSD e OpenBSD. È disponibile anche su sistemi di terze parti come Homebrew, MacPorts, pkgsrc o OpenCSW.

Per compilare dal codice, avrai bisogno di Python 3; AsciiDoctor per la documentazione; e strumenti come Perl e GNU Flex (il classico Lex non funzionerà). La configurazione tramite CMake consente di abilitare o disabilitare il supporto specifico, ad esempio, librerie di compressione con -DENABLE_ZLIB=OFF, -DENABLE_LZ4=OFF o -DENABLE_ZSTD=OFFoppure supporto libsmi con -DENABLE_SMI=OFF se preferisci non caricare i MIB.

Pacchetti e librerie nei sistemi basati su Debian

Negli ambienti Debian/Ubuntu e derivati, l'ecosistema Wireshark è diviso in pacchetti multipliDi seguito è riportata una ripartizione con funzionalità, dimensioni approssimative e dipendenze. Questi pacchetti consentono di scegliere tra un'interfaccia utente grafica completa, librerie e strumenti di sviluppo per integrare le dissezioni nelle proprie applicazioni.

Wireshark

Applicazione grafica per l'acquisizione e l'analisi del traffico con un'interfaccia Qt. Dimensione stimata: 10.59 MB. Facilità: sudo apt install wireshark

Dipendenze chiave

• libc6, libgcc-s1, libstdc++6
• libgcrypt20, libglib2.0-0t64
• libpcap0.8t64
• Qt 6 (core, gui, widget, multimedia, svg, printsupport e plugin QPA)
• libwireshark18, libwiretap15, libwsutil16
• libnl-3-200, libnl-genl-3-200, libnl-route-3-200
• libminizip1t64, libspeexdsp1, wireshark-common

Tra le sue opzioni di avvio troverai i parametri per scegliere l'interfaccia (-i), filtri di cattura (-f), limite snapshot, modalità monitor, elenchi di tipi di collegamento, filtri di visualizzazione (-Y), "Decodifica come" e preferenze, nonché formati di output dei file e commenti di acquisizione. L'applicazione consente inoltre profilazione e statistiche di configurazione funzionalità avanzate dall'interfaccia.

tshark

Versione console per l'acquisizione e l'analisi da riga di comando. Dimensione stimata: 429 KB. Facilità: sudo apt install tshark

Dipendenze chiave

• libc6, libglib2.0-0t64
• libnl-3-200, libnl-route-3-200
• libpcap0.8t64
• libwireshark18, libwiretap15, libwsutil16
• wireshark-comune

Permette di selezionare interfacce, applicare filtri di cattura e visualizzazione, definire condizioni di arresto (tempo, dimensione, numero di pacchetti), utilizzare buffer circolari, stampare dettagli, dump esadecimali e JSON ed esportare oggetti e chiavi TLS. Può anche colorare l'output in un terminale compatibile. regolare la registrazione del registro per domini e livelli di dettaglio. Si consiglia cautela se si abilita BPF JIT a livello di kernel, poiché potrebbe avere implicazioni per la sicurezza.

wireshark-comune

File comuni per wireshark e tshark (ad esempio dizionari, configurazioni e utilità di riga). Dimensione stimata: 1.62 MB. Facilità: sudo apt install wireshark-common

Dipendenze chiave

• debconf (o debconf-2.0), libc6
• libcap2 e libcap2-bin
• libgcrypt20, libglib2.0-0t64
• libpcap0.8t64, libpcre2-8-0
• libnl-3-200, libnl-genl-3-200, libnl-route-3-200
• libspeexdsp1, libssh-4, libsystemd0
• libmaxminddb0
• libwireshark18, libwiretap15, libwsutil16
• zlib1g

Questo pacchetto include utilità come capinfos (informazioni sul file di acquisizione: tipo, incapsulamento, durata, velocità, dimensioni, hash e commenti), tipo di cappa (identificare i tipi di file), cappa (dispositivo di acquisizione leggero che utilizza pcapng/pcap con autostop e buffer circolari), modifica cap (modificare/dividere/convertire le catture, regolare i timestamp, rimuovere i duplicati, aggiungere commenti o segreti), mergecap (unire o concatenare più catture), mmdbresolve (risolvere la geolocalizzazione IP con i database MMDB), pacchetto rand (generatore di pacchetti sintetici multiprotocollo), squalo crudo (dissezione grezza con uscita di campo), riordinare il tappo (riordina per timestamp), squalo (demone con API per elaborare le catture) e testo2pcap (converte hexdump o testo strutturato in acquisizioni valide).

libwireshark18 e libwireshark-data

Libreria centrale per la dissezione dei pacchetti. Fornisce gli analizzatori di protocollo utilizzati da Wireshark/TShark. Dimensione approssimativa della libreria: 126.13 MB. Facilità: sudo apt install libwireshark18 y sudo apt install libwireshark-data

Dipartimenti degni di nota

• libc6, libglib2.0-0t64
• libgcrypt20, libgnutls30t64
• liblua5.4-0
• libpcre2-8-0
• libxml2-16
• zlib1g, libzstd1, liblz4-1, libsnappy1v5
• libnghttp2-14, libnghttp3-9
• libbrotli1
• libopus0, libsbc1, libspandsp2t64, libbcg729-0
• libcares2
• libk5crypto3, libkrb5-3
• libopencore-amrnb0
• libwiretap15, libwsutil16
• libwireshark-data

Include il supporto per un numero enorme di protocolli e opzioni come l'abilitazione o la disabilitazione di dissezioni specifiche, euristiche e "Decode As" dall'interfaccia o dalla riga di comando; grazie a questo, è possibile adattare il dissezione del traffico reale del tuo ambiente.

libwiretap15 e libwiretap-dev

Wiretap è una libreria per la lettura e la scrittura di diversi formati di file di acquisizione. I suoi punti di forza sono la varietà di formati supportati; i suoi limiti sono: Non filtra né esegue acquisizioni dirette.. Facilità: sudo apt install libwiretap15 y sudo apt install libwiretap-dev

Formati supportati (selezione)

• libcap
• Sniffer/Windows Sniffer Pro e NetXRay
• Analizzatore LAN
• Network Monitor
• curiosare
• AIX iptrace
• RADCOM WAN/LAN
• Lucente/Ascendente
• HP-UX nettl
• Router ISDN Toshiba
• ISDN4BSD i4btrace
• Cisco Secure IDS iplogging
• Registra pppd (pppdump)
• VMS TCPTRACE
• DBS Etherwatch (testo)
• Catapulta DCT2000 (.out)

dipendenze libwiretap15

• libc6, libglib2.0-0t64
• liblz4-1, libzstd1, zlib1g
• libwsutil16

La variante -dev fornisce la libreria statica e gli header C per integrare le operazioni di lettura/scrittura nei tuoi strumenti. Questo ti consente di sviluppare utility per la manipolazione dei dati. pcap, pcapng e altri contenitori come parte dei nostri oleodotti.

libwsutil16 e libwsutil-dev

Un set di utilità condivise da Wireshark e librerie correlate: funzioni ausiliarie per la manipolazione delle stringhe, il buffering, la crittografia, ecc. Installazione: sudo apt install libwsutil16 y sudo apt install libwsutil-dev

dipendenze libwsutil16

• libc6
• libgcrypt20
• libglib2.0-0t64
• libgnutls30t64
• libpcre2-8-0
• zlib1g

Il pacchetto -dev include intestazioni e una libreria statica in modo che le applicazioni esterne possano collegare utilità comuni senza reimplementare le ruote. È il fondamento di più funzioni condivise che utilizzano Wireshark e TShark.

Wireshark-dev

Strumenti e file per la creazione di nuovi "dissector". Fornisce script come idl2wrs, nonché dipendenze per la compilazione e il test. Dimensione stimata: 621 KB. Facilità: sudo apt install wireshark-dev

annessi

• esnacc
• libc6
• libglib2.0-0t64
• libpcap0.8-dev
• libwireshark-dev
• libwiretap-dev
• libwsutil16
• omniidl
• python3 e python3-ply

Contenuti esclusivi: clicca qui  Come migliorare la sicurezza del browser?

Include utilità come asn2deb (genera pacchetti Debian per il monitoraggio BER da ASN.1) e idl2deb (pacchetti per CORBA). E, soprattutto, idl2wrsQuesto strumento trasforma un IDL CORBA nello scheletro di un plugin C per analizzare il traffico GIOP/IIOP. Questo flusso di lavoro si basa su script Python (wireshark_be.py e wireshark_gen.py) e supporta la dissezione euristica di default. Lo strumento cerca i suoi moduli in PYTHONPATH/pacchetti-sito o nella directory corrente e accetta il reindirizzamento dei file per generare il codice.

wireshark-doc

Documentazione utente, guida allo sviluppo e riferimento Lua. Dimensione stimata: 13.40 MB. Facilità: sudo apt install wireshark-doc

Consigliato se si vuole approfondire estensioni, scripting e APILa documentazione online sul sito web ufficiale viene aggiornata con ogni versione stabile.

Permessi di cattura e sicurezza

In molti sistemi, l'acquisizione diretta richiede privilegi elevati. Per questo motivo, Wireshark e TShark delegano l'acquisizione a un servizio di terze parti. cappaUn binario progettato per essere eseguito con privilegi (set-UID o capabilities) per ridurre al minimo la superficie di attacco. Eseguire l'intera GUI come root non è una buona pratica; è preferibile acquisire con dumpcap o tcpdump e analizzare senza privilegi per ridurre i rischi.

La storia del progetto include incidenti di sicurezza nei dissector nel corso degli anni, e alcune piattaforme come OpenBSD hanno ritirato la vecchia istanza di Ethereal per questo motivo. Con il modello attuale, l'isolamento dalla cattura e gli aggiornamenti costanti migliorano la situazione, ma è sempre consigliabile seguire le note di sicurezza E se rilevi attività sospette, sappi come bloccare le connessioni di rete sospette ed evitare di aprire screenshot non attendibili senza una preventiva revisione.

Formati di file, compressione e font speciali

Wireshark legge e scrive pcap e pcapng, così come formati di altri analizzatori come Snoop, Network General Sniffer, Microsoft Network Monitor e i molti elencati da Wiretap sopra. Può aprire file compressi se compilati con librerie per pcapng. GZIP, LZ4 e ZSTDIn particolare, GZIP e LZ4 con blocchi indipendenti consentono salti rapidi, migliorando le prestazioni dell'interfaccia utente grafica nelle acquisizioni di grandi dimensioni.

Il progetto documenta funzionalità come AIX iptrace (dove un HUP al demone si chiude in modo pulito), supporto per tracce Lucent/Ascend, Toshiba ISDN o CoSine L2 e indica come catturare l'output testuale in un file (ad esempio, con telnet <equipo> | tee salida.txt o utilizzando lo strumento copione) per importarlo in seguito con text2pcap. Questi percorsi ti portano fuori da catture “convenzionali” quando si utilizzano apparecchiature che non ribaltano direttamente il pcap.

Utilità della suite e categorie di opzioni

Oltre a Wireshark e TShark, la distribuzione include diversi strumenti che coprono compiti molto specificiSenza copiare alla lettera il testo della guida, ecco un riepilogo organizzato per categorie, così saprai cosa fa ciascuna e quali opzioni troverai:

• cappa: acquisizione pcap/pcapng “pura e semplice”, selezione dell'interfaccia, filtri BPF, dimensione del buffer, rotazione per tempo/dimensione/file, creazione di buffer ad anello, commenti di acquisizione e output in formato leggibile dalla macchinaMette in guardia contro l'attivazione del JIT del BPF a causa dei potenziali rischi.
• capinfosVisualizza tipo di file, incapsulamento, interfacce e metadati; numero di pacchetti, dimensione del file, lunghezza totale, limite di snapshot, cronologia (primo/ultimo), velocità medie (bps/Bps/pps), dimensione media del pacchetto, hash e commenti. Consente l'output in formato tabellare o dettagliato e in formati leggibili dalle macchine.
• tipo di cappa: identifica il tipo di file di acquisizione per una o più voci con opzioni di aiuto e versione.
• modifica capSeleziona/elimina intervalli di pacchetti, esegue snap/cut, regola i timestamp (incluso l'ordine rigoroso), rimuove i duplicati con finestre configurabili, aggiunge commenti per frame, divide l'output per numero o ora, modifica il contenitore e l'incapsulamento, lavora con i segreti di decrittazione e comprime l'output. È lo strumento multiuso per "pulire" le acquisizioni.
• mergecap: combina più acquisizioni in una, tramite concatenazione lineare o mixaggio basato su timestamp, controlla snaplen, definisce il tipo di output, la modalità di unione IDB e la compressione finale.
• riordinare il tappo: riordina un file in base al timestamp generando un output pulito e, se è già ordinato, può evitare di scrivere il risultato per risparmiare I/O.
• testo2pcap: converte hexdump o testo con regex in una cattura valida; riconosce offset in vari database, timestamp con formati strptime (inclusa la precisione frazionaria), rileva ASCII allegato se applicabile e può anteporre intestazioni "fittizie" (Ethernet, IPv4/IPv6, UDP/TCP/SCTP, EXPORTED_PDU) con porte, indirizzi ed etichette indicato.
• squalo crudo: lettore orientato al campo "raw"; consente di impostare il protocollo di incapsulamento o dissezione, disabilitare le risoluzioni dei nomi, impostare filtri di lettura/visualizzazione e decidere il formato di output del campo, utile per la pipeline con altri strumenti.
• pacchetto randGenera file con pacchetti casuali di tipo ARP, BGP, DNS, Ethernet, IPv4/IPv6, ICMP, TCP/UDP, SCTP, Syslog, USB-Linux, ecc., specificando l'account, la dimensione massima e il contenitore. Ideale per test e demo.
• mmdbresolve: Interroga i database MaxMind (MMDB) per visualizzare la geolocalizzazione degli indirizzi IPv4/IPv6, specificando uno o più file di database.
• squalo: demone che espone un'API (modalità "gold") o un socket classico (modalità "classic"); supporta profili di configurazione ed è controllato dai client per analisi e ricerche lato server, utile nell'automazione e nei servizi.

Architettura, caratteristiche e limitazioni

Wireshark si basa su libpcap/Npcap per l'acquisizione e su un ecosistema di librerie (libwireshark, libwiretap, libwsutil) che separano dissezione, formati e utilità. Consente il rilevamento delle chiamate VoIP, la riproduzione audio nelle codifiche supportate, l'acquisizione del traffico USB raw e il filtraggio sulle reti Wi-Fi (se attraversano Ethernet monitorate). plugin per nuovi protocolli Scritto in C o Lua. Può anche ricevere traffico remoto incapsulato (ad esempio, TZSP) per l'analisi in tempo reale da un'altra macchina.

Non è un IDS, né emette avvisi; il suo ruolo è passivo: ispeziona, misura e visualizza. Ciononostante, strumenti ausiliari forniscono statistiche e flussi di lavoro, e materiali di formazione sono facilmente reperibili (incluse app didattiche orientate al 2025 che insegnano filtri, sniffing, fingerprinting di base del sistema operativo, analisi in tempo reale, automazione, traffico crittografato e integrazione con le pratiche DevOps). Questo aspetto formativo integra le funzionalità principali di diagnosi e risoluzione dei problemi.

Compatibilità ed ecosistema

Le piattaforme di costruzione e collaudo includono Linux (Ubuntu), Windows e macOSIl progetto menziona anche un'ampia compatibilità con altri sistemi Unix-like e la distribuzione tramite gestori di terze parti. In alcuni casi, le versioni precedenti del sistema operativo richiedono rami precedenti (ad esempio, Windows XP con versione 1.10 o precedente). In genere, è possibile installare da repository ufficiali o binari nella maggior parte degli ambienti senza particolari problemi.

Si integrano con simulatori di rete (ns, OPNET Modeler) e strumenti di terze parti (ad esempio, Aircrack per 802.11) possono essere utilizzati per produrre acquisizioni che Wireshark apre senza difficoltà. Per conto di rigorosa legalità ed eticaRicordatevi di effettuare acquisizioni solo su reti e in scenari per i quali avete un'autorizzazione espressa.

Nome, siti web ufficiali e dati di controllo

Il sito ufficiale è wireshark.orgcon download nella sua sottodirectory /download e documentazione online per utenti e sviluppatori. Ci sono pagine con controllo dell'autorità (ad esempio, GND) ed elenchi di link al repository del codice, al bug tracker e al blog del progetto, utili per tenersi aggiornati sulle novità e segnalare problemi.

Prima di iniziare l'acquisizione, verifica i permessi e le capacità del tuo sistema, decidi se utilizzare dumpcap/tcpdump per eseguire il dump su disco e analizzare senza privilegi e prepara filtri di acquisizione e visualizzazione coerenti con il tuo obiettivo. Con una buona metodologia, Wireshark semplifica la complessità e ti fornisce esattamente le informazioni giuste. La visibilità di cui hai bisogno per diagnosticare, apprendere o verificare reti di qualsiasi dimensione.