Eccoci giunti alla recensione di un programma che ho scoperto da poco, Wireshark.
Per chi ha dimestichezza con i protocolli quest’applicazione è un Must.
Normalmente le schede di rete “ascoltano” solo ciò che è indirizzato a loro; ad esempio in una rete articolata, il computer con indirizzo 192.168.1.25 cattura solo i suoi pacchetti e ignora tutti quelli indirizzati agli altri computer. Avviando questo programma la scheda di rete passa in modalità promiscua, ovvero ascolta tutto ciò che passa nella rete locale.
Il programma è multi piattaforma e si trova precompilato nei repository ufficiali di molte distribuzioni Gnu/Linux.
Per cominciare a catturare il traffico è necessario, innanzitutto, selezionare l’interfaccia utilizzata; per fare ciò basta cliccare la prima icona, sotto la scritta File. Nel caso ci siano problemi nell’individuare la periferica connessa, basta vedere qual’è quella che scambia più pacchetti.
Una volta avviata la cattura la finestra principale si comincerà a riempire di righe: quelli sono i pacchetti che transitano per la rete. Automaticamente il programma riesce a capire il protocollo usato in qualsiasi pacchetto riuscendo così a visualizzare in modo dettagliato cosa il computer individuato dalla colonna “Source” ha “detto” al computer con ip specificato nella colonna “Destination“.
Data la mole di dati che un pc può scambiare nella rete è possibile filtrare la ricerca dei pacchetti a singoli ip o singoli protocolli. Ad esempio è possibile visualizzare solamente i pacchetti inviati nella rete di MSN Messenger impostando come protocollo msnms.
Grazie a Wireshark è anche possibile fare statistiche dell’utilizzo della rete e quindi riuscire ad individuare eventuali problemi.
Il manuale completo ed ufficiale del programma è reperibile qui.