Come analizzare il traffico di una rete con Wireshark per scoprire connessioni sospette o indirizzi non sicuri

Quando ci colleghiamo a internet, o a un computer/server della nostra rete, attraverso la scheda di rete passano dei dati, del traffico, che nella maggior parte dei casi è sicuro e generato da noi, in alcuni momenti può non esserlo perché causato da un malware o da un programma che trasmette informazioni non protette, come delle password in chiaro. Se ci accorgiamo che la nostra rete trasmette troppi dati, anche quando abbiamo il computer acceso ma non stiamo lavorando, allora può essere utile dare una “sniffata” alla rete per vedere cosa succede.

Wireshark, programma disponibile in versione gratuita per Windows, MacOS e Linux, permette di analizzare tutto il traffico di rete che passa attraverso l’interfaccia che avete selezionato, filtrando il tutto tramite numerose opzioni, che potete personalizzare, in modo da ridurre il numero di informazioni visualizzate.

Una doverosa avvertenza prima di cominciare, se cercavate un programma semplice da capire, che appena avviato vi mostri subito dove avete un problema, Wireshark non è sicuramente questo, la prima volta che mi è capitato di utilizzarlo in una rete aziendale, dove avevano rilevato delle anomalie, mi sono trovato davanti a una tale quantità di informazioni che mi sono perso.

Poi, con calma, cominciando ad analizzare meglio i dati, utilizzando i filtri presenti, alla fine ho trovato quello che interessava ai responsabili della rete.

Insomma, Wireshark non è facilissimo da capire, o da utilizzare, per persone non esperte, però, con un certo impegno, potreste scoprire molte cose della vostra rete, grande o piccola che sia.

Anche se Wireshark è scaricabile in versione portable richiede che sia installato Winpcap.

Tra le opzioni del programma dovrebbe esserci anche la lingua italiana, ma dove ho provato rimane tutto in inglese.

Funzionamento

Per prima cosa rendiamo più leggibile il formato dell’ora, così se dobbiamo cercare qualcosa successo in un determinato momento almeno sappiamo dove trovarlo. Andiamo quindi in Edit – Preferences e scegliamo il formato che ci va meglio, Absolute Time è quello che mi sembra più chiaro.

Se non volete vedere l’indirizzo IP del sito ma il suo nome aprite le opzioni e abilitate i Name Resolution.

Tra le informazioni più importanti possiamo vedere il Time del collegamento, il Source e Destination che sono gli indirizzi IP del vostro computer, del sito/computer a cui vi state collegando e da cui state ricevendo dati e il protocollo utilizzato per il collegamento.

Nella parte più bassa della schermata vedrete il pacchetto trasmesso, se si tratta di traffico cifrato sarà illeggibile, ma potreste veder passare delle password in chiaro, come mi è successo in ufficio, se il sito destinazione non è sicuro.

Selezionata l’interfaccia di rete che vogliamo sniffare, siamo pronti e possiamo avviare la scansione, o se sappiamo già cosa cercare applicare dei filtri per ridurre la quantità dei dati rilevati.

Una volta avviato Wireshark, anche se non avete nessun browser aperto, un client di posta attivo o qualsiasi altro programma che utilizzi Internet ci saranno lo stesso dei collegamenti a qualche indirizzo IP. Windows Update, l’antivirus alla ricerca delle ultime definizioni, qualche servizio attivo che deve connettersi per aggiornare Chrome o Flash Player, del traffico ci sarà praticamente sempre, questo è anche il momento migliore per vedere, non essendoci tantissime connessioni, qualcosa di anomalo.

Una volta ottenuti abbastanza dati, tenete conto che un problema potrebbe non verificarsi subito, magari è un malware che si avvia tramite servizio in determinati momenti, quindi lasciate attivo Wireshark per un tempo adeguato, potete fermare la scansione cliccando sul pulsante rosso.

Adesso potete controllare i vari indirizzi Destination/Source per cercare qualcosa che non dovrebbe esserci.

Selezionate una singola riga e ci cliccate sopra per aprire i dettagli, spesso incomprensibili, ma dove potreste vedere il vostro antivirus che si collega per scaricare gli aggiornamenti.

Oppure qualche servizio Microsoft che dialoga con Office installato nel computer.

Se proprio non riuscite a riconoscere l’indirizzo IP basta inserirlo su Google e ci sono moltissimi siti che forniscono questo genere di informazioni.

I filtri

Ci sono una serie di filtri già impostati, oppure se vogliamo selezionare solo il traffico avvenuto con un certo sito, possiamo creare un filtro personalizzato con Manage Display Filters.

Con il + creiamo un nuovo filtro, cliccando sopra il New display filter possiamo cambiare nome a filtro e sostituiamo host.example.con con l’indirizzo IP che abbiamo scelto di controllare.

Abbiamo così aggiunto il nostro filtro personalizzato per visualizzare solo il traffico da e verso TurboLab.it.

La lista delle catture sarà così limitata a questo specifico traffico.

Si possono poi creare dei filtri di cattura, se avete scritto l’espressione giusta sarà evidenziata in verde.

Altrimenti il colore rosa vi avvisa che avete sbagliato qualcosa.

Se volete saperne di più sulla costruzione dei filtri potete consultare questa pagina della Wiki ufficiale, se avete voglia di mettervi a studiare per capirci qualcosa di più, altrimenti avete già abbastanza dati da analizzare con la configurazione standard di Wireshark.

Colori dei pacchetti

Wireshark assegna dei colori ai pacchetti visualizzati nella lista delle catture, potete modificarli o crearne dei nuovi da View - Coloring Rules, con il + ne creiamo di nuovi, altrimenti possiamo modificare quelli già presenti.

Il nero, per esempio, evidenzia dei pacchetti con qualche problema.

Conclusioni

La presente non vuole essere una guida esaustiva dell’uso di Wireshark, ci sono sicuramente possibilità molto avanzate che richiedono competenze di rete che ammetto di non avere.

Spero però di avervi dato la possibilità di dare una sbirciatina a cosa succede “dietro l’angolo” della vostra rete. Se avete la voglia di approfondire ci sono le Wiki e la guida ufficiale a disposizione.