introduzione a wiresharklioy/01nbe/wireshark_intro.pdf · 2019-03-05 · introduzione a wireshark...
TRANSCRIPT
![Page 1: Introduzione a Wiresharklioy/01nbe/wireshark_intro.pdf · 2019-03-05 · Introduzione a Wireshark Andrea Atzeni < shocked@polito.it > Marco Vallini < marco.vallini@polito.it](https://reader031.vdocumenti.com/reader031/viewer/2022013020/5e6e6508cdca22626e42a00f/html5/thumbnails/1.jpg)
Introduzione a Wireshark
Andrea Atzeni < [email protected] >Marco Vallini < [email protected] >
Politecnico di TorinoDip. Automatica e Informatica
![Page 2: Introduzione a Wiresharklioy/01nbe/wireshark_intro.pdf · 2019-03-05 · Introduzione a Wireshark Andrea Atzeni < shocked@polito.it > Marco Vallini < marco.vallini@polito.it](https://reader031.vdocumenti.com/reader031/viewer/2022013020/5e6e6508cdca22626e42a00f/html5/thumbnails/2.jpg)
Introduzione intercettare traffico diretto alla scheda di rete
identificare gli host di una comunicazione ed i protocolli impiegati
salvataggio del traffico intercettato su file utile per analisi posticipate (anche diverse) nel tempo usato in caso di reti con molto traffico
impiego di filtri identificare solo il traffico di interesse applicabili prima e dopo l’intercettazione
strumento: Wireshark disponibile per Windows, Linux, macOS, ... ultima versione stabile 3.2.x
![Page 3: Introduzione a Wiresharklioy/01nbe/wireshark_intro.pdf · 2019-03-05 · Introduzione a Wireshark Andrea Atzeni < shocked@polito.it > Marco Vallini < marco.vallini@polito.it](https://reader031.vdocumenti.com/reader031/viewer/2022013020/5e6e6508cdca22626e42a00f/html5/thumbnails/3.jpg)
Modalità di intercettazione (per IEEE 802)… una scheda di rete può essere impostata in modalità
normale o “promiscua” … modalità normale
solo traffico destinato alla scheda di rete (identificata attraverso l’indirizzo MAC)
modalità “promiscua” (Monitor Mode) traffico destinato ad altri nodi (anche altri MAC)
es. rete wireless/hub = traffico di tutti i nodi collegati utile per controllo del traffico
es. protocolli usati nella rete, dati scambiati dalle stazioni può intercettare traffico di utenti diversi!
intercettazione fraudolenta = reato penale!
![Page 4: Introduzione a Wiresharklioy/01nbe/wireshark_intro.pdf · 2019-03-05 · Introduzione a Wireshark Andrea Atzeni < shocked@polito.it > Marco Vallini < marco.vallini@polito.it](https://reader031.vdocumenti.com/reader031/viewer/2022013020/5e6e6508cdca22626e42a00f/html5/thumbnails/4.jpg)
Interfaccia iniziale
![Page 5: Introduzione a Wiresharklioy/01nbe/wireshark_intro.pdf · 2019-03-05 · Introduzione a Wireshark Andrea Atzeni < shocked@polito.it > Marco Vallini < marco.vallini@polito.it](https://reader031.vdocumenti.com/reader031/viewer/2022013020/5e6e6508cdca22626e42a00f/html5/thumbnails/5.jpg)
Interfaccia grafica
interfacce disponibili(es. LAN, USB)
![Page 6: Introduzione a Wiresharklioy/01nbe/wireshark_intro.pdf · 2019-03-05 · Introduzione a Wireshark Andrea Atzeni < shocked@polito.it > Marco Vallini < marco.vallini@polito.it](https://reader031.vdocumenti.com/reader031/viewer/2022013020/5e6e6508cdca22626e42a00f/html5/thumbnails/6.jpg)
Interfaccia grafica
Filtri di cattura preimpostati
![Page 7: Introduzione a Wiresharklioy/01nbe/wireshark_intro.pdf · 2019-03-05 · Introduzione a Wireshark Andrea Atzeni < shocked@polito.it > Marco Vallini < marco.vallini@polito.it](https://reader031.vdocumenti.com/reader031/viewer/2022013020/5e6e6508cdca22626e42a00f/html5/thumbnails/7.jpg)
Interfaccia principale
![Page 8: Introduzione a Wiresharklioy/01nbe/wireshark_intro.pdf · 2019-03-05 · Introduzione a Wireshark Andrea Atzeni < shocked@polito.it > Marco Vallini < marco.vallini@polito.it](https://reader031.vdocumenti.com/reader031/viewer/2022013020/5e6e6508cdca22626e42a00f/html5/thumbnails/8.jpg)
Interfaccia principale
![Page 9: Introduzione a Wiresharklioy/01nbe/wireshark_intro.pdf · 2019-03-05 · Introduzione a Wireshark Andrea Atzeni < shocked@polito.it > Marco Vallini < marco.vallini@polito.it](https://reader031.vdocumenti.com/reader031/viewer/2022013020/5e6e6508cdca22626e42a00f/html5/thumbnails/9.jpg)
Opzioni per intercettazione
opzioni di input, output (+ parametri vari)
![Page 10: Introduzione a Wiresharklioy/01nbe/wireshark_intro.pdf · 2019-03-05 · Introduzione a Wireshark Andrea Atzeni < shocked@polito.it > Marco Vallini < marco.vallini@polito.it](https://reader031.vdocumenti.com/reader031/viewer/2022013020/5e6e6508cdca22626e42a00f/html5/thumbnails/10.jpg)
Opzioni per intercettazione
interfaccia da usareper l’intercettazione
![Page 11: Introduzione a Wiresharklioy/01nbe/wireshark_intro.pdf · 2019-03-05 · Introduzione a Wireshark Andrea Atzeni < shocked@polito.it > Marco Vallini < marco.vallini@polito.it](https://reader031.vdocumenti.com/reader031/viewer/2022013020/5e6e6508cdca22626e42a00f/html5/thumbnails/11.jpg)
Opzioni per intercettazionesalvataggio dei
pacchetti catturatisu uno o più file
![Page 12: Introduzione a Wiresharklioy/01nbe/wireshark_intro.pdf · 2019-03-05 · Introduzione a Wireshark Andrea Atzeni < shocked@polito.it > Marco Vallini < marco.vallini@polito.it](https://reader031.vdocumenti.com/reader031/viewer/2022013020/5e6e6508cdca22626e42a00f/html5/thumbnails/12.jpg)
Opzioni per intercettazione
![Page 13: Introduzione a Wiresharklioy/01nbe/wireshark_intro.pdf · 2019-03-05 · Introduzione a Wireshark Andrea Atzeni < shocked@polito.it > Marco Vallini < marco.vallini@polito.it](https://reader031.vdocumenti.com/reader031/viewer/2022013020/5e6e6508cdca22626e42a00f/html5/thumbnails/13.jpg)
Visualizzazione dei pacchetti catturati
![Page 14: Introduzione a Wiresharklioy/01nbe/wireshark_intro.pdf · 2019-03-05 · Introduzione a Wireshark Andrea Atzeni < shocked@polito.it > Marco Vallini < marco.vallini@polito.it](https://reader031.vdocumenti.com/reader031/viewer/2022013020/5e6e6508cdca22626e42a00f/html5/thumbnails/14.jpg)
Filtri per intercettazione applicabili prima dell’intercettazione usati per catturare solo il traffico di interesse
necessario in reti con molto traffico utili per specificare
protocolli udp tcp icmp
informazioni specifiche di un pacchetto es. dst host 10.10.10.1, src host 192.168.1.1
… composizione con operatori logici
es. host 10.10.10.1 and not (port 80 or port 25) documentazione
http://wiki.wireshark.org/CaptureFilters
![Page 15: Introduzione a Wiresharklioy/01nbe/wireshark_intro.pdf · 2019-03-05 · Introduzione a Wireshark Andrea Atzeni < shocked@polito.it > Marco Vallini < marco.vallini@polito.it](https://reader031.vdocumenti.com/reader031/viewer/2022013020/5e6e6508cdca22626e42a00f/html5/thumbnails/15.jpg)
Filtri di intercettazione - esempio
click per le impostazioni
![Page 16: Introduzione a Wiresharklioy/01nbe/wireshark_intro.pdf · 2019-03-05 · Introduzione a Wireshark Andrea Atzeni < shocked@polito.it > Marco Vallini < marco.vallini@polito.it](https://reader031.vdocumenti.com/reader031/viewer/2022013020/5e6e6508cdca22626e42a00f/html5/thumbnails/16.jpg)
Filtri di intercettazione - esempio
inserimento direttoe compilazione
![Page 17: Introduzione a Wiresharklioy/01nbe/wireshark_intro.pdf · 2019-03-05 · Introduzione a Wireshark Andrea Atzeni < shocked@polito.it > Marco Vallini < marco.vallini@polito.it](https://reader031.vdocumenti.com/reader031/viewer/2022013020/5e6e6508cdca22626e42a00f/html5/thumbnails/17.jpg)
Filtri per intercettazione - esempio
filtro specificatoin modo corretto
solo pacchetti TCP inviati/ricevutisulla porta 80/tcp (http)
![Page 18: Introduzione a Wiresharklioy/01nbe/wireshark_intro.pdf · 2019-03-05 · Introduzione a Wireshark Andrea Atzeni < shocked@polito.it > Marco Vallini < marco.vallini@polito.it](https://reader031.vdocumenti.com/reader031/viewer/2022013020/5e6e6508cdca22626e42a00f/html5/thumbnails/18.jpg)
Filtri per visualizzazione applicabili sui pacchetti intercettati
per identificare il traffico di interesse tra quello catturato ATTENZIONE! sintassi diversa dai filtri di cattura
utili per specificare protocolli
es. tcp udp icmp informazioni specifiche di un pacchetto
es. ip.dst == 10.10.10.1 composizione con operatori logici
es. ip == 151.1.67.221 && ! (tcp.port eq 80 or tcp.port eq 25)
documentazione http://wiki.wireshark.org/DisplayFilters
![Page 19: Introduzione a Wiresharklioy/01nbe/wireshark_intro.pdf · 2019-03-05 · Introduzione a Wireshark Andrea Atzeni < shocked@polito.it > Marco Vallini < marco.vallini@polito.it](https://reader031.vdocumenti.com/reader031/viewer/2022013020/5e6e6508cdca22626e42a00f/html5/thumbnails/19.jpg)
Filtri per visualizzazione - esempio
definizione espressione
editor di espressioni
![Page 20: Introduzione a Wiresharklioy/01nbe/wireshark_intro.pdf · 2019-03-05 · Introduzione a Wireshark Andrea Atzeni < shocked@polito.it > Marco Vallini < marco.vallini@polito.it](https://reader031.vdocumenti.com/reader031/viewer/2022013020/5e6e6508cdca22626e42a00f/html5/thumbnails/20.jpg)
Filtri per visualizzazione - esempio
... usando l’editor definiamo l’espressione …
![Page 21: Introduzione a Wiresharklioy/01nbe/wireshark_intro.pdf · 2019-03-05 · Introduzione a Wireshark Andrea Atzeni < shocked@polito.it > Marco Vallini < marco.vallini@polito.it](https://reader031.vdocumenti.com/reader031/viewer/2022013020/5e6e6508cdca22626e42a00f/html5/thumbnails/21.jpg)
Filtri per visualizzazione - esempio
... ed applicando l’espressione …
pacchetti che soddisfano l’espressione
![Page 22: Introduzione a Wiresharklioy/01nbe/wireshark_intro.pdf · 2019-03-05 · Introduzione a Wireshark Andrea Atzeni < shocked@polito.it > Marco Vallini < marco.vallini@polito.it](https://reader031.vdocumenti.com/reader031/viewer/2022013020/5e6e6508cdca22626e42a00f/html5/thumbnails/22.jpg)
Visualizzare elementi aggiuntivi come impostazione di default wireshark visualizza:
ID numerico tempo indirizzo IP sorgente e destinazione protocollo lunghezza del pacchetto (in byte) informazioni sul pacchetto
es: “TCP segment of a reassembled PDU” è possibile aggiungere ulteriori colonne
per visualizzare ulteriori campi del pacchetto eventualmente anche non previsti (opzione “custom”)
![Page 23: Introduzione a Wiresharklioy/01nbe/wireshark_intro.pdf · 2019-03-05 · Introduzione a Wireshark Andrea Atzeni < shocked@polito.it > Marco Vallini < marco.vallini@polito.it](https://reader031.vdocumenti.com/reader031/viewer/2022013020/5e6e6508cdca22626e42a00f/html5/thumbnails/23.jpg)
Aggiunta colonne di visualizzazione
selezionare “Edit”e “Preferences”
![Page 24: Introduzione a Wiresharklioy/01nbe/wireshark_intro.pdf · 2019-03-05 · Introduzione a Wireshark Andrea Atzeni < shocked@polito.it > Marco Vallini < marco.vallini@polito.it](https://reader031.vdocumenti.com/reader031/viewer/2022013020/5e6e6508cdca22626e42a00f/html5/thumbnails/24.jpg)
Aggiunta colonne di visualizzazione
2. selezionare “Add”
1. selezionare “Columns”
3. selezionare il contenutodella nuova colonna
![Page 25: Introduzione a Wiresharklioy/01nbe/wireshark_intro.pdf · 2019-03-05 · Introduzione a Wireshark Andrea Atzeni < shocked@polito.it > Marco Vallini < marco.vallini@polito.it](https://reader031.vdocumenti.com/reader031/viewer/2022013020/5e6e6508cdca22626e42a00f/html5/thumbnails/25.jpg)
Isolare una “network conversation” “network conversation” = comunicazione di rete
traffico scambiato da due specifici endpoint es. indirizzi IP, indirizzi IP + protocollo, …
utile per restringere le analisi tra due endpoint traffico scambiato tra due indirizzi IP traffico scambiato per una quintupla …
soluzioni: definizione manuale di filtri (per l’intercettazione o per la
visualizzazione) definizione assistita di filtri attraverso l’interfaccia Conversations
![Page 26: Introduzione a Wiresharklioy/01nbe/wireshark_intro.pdf · 2019-03-05 · Introduzione a Wireshark Andrea Atzeni < shocked@polito.it > Marco Vallini < marco.vallini@polito.it](https://reader031.vdocumenti.com/reader031/viewer/2022013020/5e6e6508cdca22626e42a00f/html5/thumbnails/26.jpg)
Interfaccia Conversations Statistics Conversations
![Page 27: Introduzione a Wiresharklioy/01nbe/wireshark_intro.pdf · 2019-03-05 · Introduzione a Wireshark Andrea Atzeni < shocked@polito.it > Marco Vallini < marco.vallini@polito.it](https://reader031.vdocumenti.com/reader031/viewer/2022013020/5e6e6508cdca22626e42a00f/html5/thumbnails/27.jpg)
Interfaccia Conversations Statistics Conversations
definizione assistita del filtro