Se volete monitorare in tempo reale il vostro traffico internet, usando un'agevole interfaccia grafica e avendo a disposizione utili impostazioni per il filtraggio dei dati, con anche la possibilità di esportare in formato PCAP il traffico catturato, allora troverete Sniffnet molto interessante. Basato su una tesi di laurea del suo autore, si tratta di un programma gratuito, open source, sicuro, disponibile anche per Linux e Mac, con interfaccia anche in lingua italiana. Per sapere quali modifiche vengono apportate dall'installazione, trovate in allegato il report, disponibile in formato htm e in quello apribile con SoftDetective.
Installazione
L'installazione è rapida, semplice e intuitiva:
Per assicurarsi un buon funzionamento del programma è necessario installare (se non già presente nel computer) Npcap; è possibile farlo direttamente dall'installazione:
Dopo aver messo la spunta su Open Npcap website, si aprirà per un'attimo una finestra blu (PowerShell) e poi verrà chiesto di avviare il nostro browser predefinito, che ci porterà direttamente al sito per scaricare e installare Npcap 1.80
Anche l'installazione di Npcap è facile e ordinaria, sotto l'occhio vigile di Nmap:
Anche se non è selezionato di default, abbiamo aggiunto la spunta su Support raw 802.11 traffic, in modo da cercare di ottenere il meglio nell'analisi delle reti Wi-Fi (semmai ci fossero problemi, conviene reinstallare il programma senza la spunta):
Utilizzo
L'uso di Sniffnet è decisamente intuitivo e user friendly, comunque ricordiamo che è disponibile questa wiki per approfondire o risolvere eventuali perplessità. La schermata iniziale è quella sottostante e per impostare la lingua italiana dobbiamo cliccare sugli "arnesi" in alto a destra, poi andare alla scheda General:
Nella scheda Stile possiamo personalizzare il tema grafico della GUI, mentre in quella Notifiche, è possibile impostare notifiche per soglia pacchetti o byte, o quando c'è traffico attinente i "preferiti", ossia (come vedremo meglio in seguito) alcuni domini che abbiamo intenzione di monitorare.
Le due principali aree d'utilizzo di Sniffnet sono: il monitoraggio in tempo reale del traffico e, facoltativamente, l'annessa cattura ed esportazione di informazioni sul traffico, sotto forma di file PCAP.
Per scegliere il percorso di salvataggio del file PCAP è sufficiente mettere la spunta su Esporta file di cattura e cliccare, come è ben intuibile, sull'icona che raffigura un documento con freccia.
Una volta avviato il monitoraggio e l'eventuale cattura, se compare un messaggio d'attesa, bisogna solo aspettare che si verifichi del traffico di rete:
La schermata di monitoraggio del traffico inizia dalla scheda Panoramica, che si presenta così:
Cliccando sulla stella dei preferiti a sinistra degli host di rete, possiamo aggiungere un host all'elenco dei "sorvegliati speciali", in modo da poterne filtrare il traffico isolatamente ed avere anche degli appositi avvisi acustici (impostati nella suddetta scheda Notifiche).
Più in alto nell'interfaccia, è possibile scegliere se visualizzare i dettagli del traffico usando come unità di misura la quantità di byte o il numero di pacchetti, ossia gli stessi criteri secondo cui è possibile impostare gli alert in Notifiche.
Spostandoci nella scheda Ispeziona, possiamo visualizzare il traffico secondi filtri dettagliati, come: paese, dominio, ASN ("Sistema autonomo" nella GUI), porte e protocolli coinvolti, etc.
Da ricordare che nel campo Paese, vanno usate le sigle a due lettere (ISO Alpha-2): "IT" per Italia, "US" per Stati Uniti e così via. Cliccando su una riga della tabella, aggiornata in real time, si apre il dettaglio specifico del traffico (il punto interrogativo sta per "destinazione sconosciuta", altrimenti sarebbe comparsa la bandiera dello stato di riferimento):
Se abbiamo impostato un host come preferito, nella tab notifiche, abbiamo il rapporto in tempo reale della sua attività:
Per rimuovere un indirizzo dai preferiti, è sufficiente cliccare nuovamente sulla medesima stella che abbiamo usato per inserirlo nella lista preferiti.
Per ridurre la GUI di Sniffnet durante la cattura, si può cliccare su "Modalità miniatura" per ottenere una finestra più discreta con il grafico del traffico, come in questo esempio proposto dall'autore stesso:
Per interrompere il monitoraggio e l'eventuale cattura (se attivata) è necessario cliccare sulla freccia in alto a sinistra:
Da considerare che se si chiude Sniffnet con la consueta "x" in altro a destra, anche se la cattura e il salvataggio del PCAP sono ancora in corso, non comparirà nessuna richiesta di conferma e il programma si chiuderà definitivamente, interrompendo l'eventuale salvataggio del PCAP a quanto già catturato.
Purtroppo Sniffnet non è ancora in grado di aprire i file PCAP della cattura (ma l'autore ha intenzione di implementare questa funzione nella versione 1.4), per cui ad oggi è necessario ricorrere, per l'analisi dei PCAP, ad altri software, come ad esempio NetworkMiner o Wireshark.
