Folder Open Duotone Icon

Wireshark avanzato: analisi dettagliata e strumenti professionali

Avatar Mario Giagnotti
Mario Giagnotti

·

·

3 min read

In questo articolo, Wireshark avanzato: analisi dettagliata e strumenti professionali, descriviamo le funzioni avanzate di wireshark come il timestamp, le regole di colorazione e la gestione dell’input/output

In questo articolo, Wireshark avanzato: analisi dettagliata e strumenti professionali, descriviamo le funzioni avanzate di wireshark come il timestamp, le regole di colorazione e la gestione dell’input/output

Introduzione

Questa guida approfondita su Wireshark è dedicata a chi ha già una conoscenza di base dello strumento e vuole esplorare funzionalità avanzate: colorazione dei pacchetti, gestione dei timestamp, grafici I/O e analisi degli indirizzi MAC.

Si tratta di concetti utili per laboratori più complessi, esercitazioni avanzate e preparazione a esami tecnici, oltre che per chi vuole comprendere il funzionamento reale delle reti in azienda.

Per chi è alle prime armi, consigliamo di leggere prima la nostra Guida base a Wireshark.

Analisi avanzata dei pacchetti

Regole di colorazione

Wireshark permette di applicare colori diversi ai pacchetti in base a protocolli o condizioni specifiche:

  • Le regole predefinite aiutano a identificare rapidamente traffico TCP, UDP, DNS, HTTP, ecc.
  • È possibile creare regole personalizzate per evidenziare pacchetti critici.
  • Le regole sono esportabili/importabili tramite file colorfilters.

Vantaggio: facilita l’individuazione di pacchetti importanti in grandi catture.

Timestamp e gestione del tempo

Ogni pacchetto catturato ha un timestamp, utile per analizzare il flusso dei dati e individuare anomalie temporali:

  • Colonna “Time” mostra i secondi trascorsi dall’inizio della cattura
  • È possibile modificare il formato di visualizzazione: tempo assoluto, relativo o data/ora
  • Si possono aggiungere colonne multiple con diversi tipi di timestamp per confrontare pacchetti

Grafici Input/Output (I/O)

Wireshark può generare grafici per visualizzare il traffico catturato:

  • Menu: Statistiche → Grafici I/O
  • Asse X: tempo (secondi)
  • Asse Y: numero di pacchetti per secondo

Utilità: identificare picchi di traffico o comportamenti anomali nella rete.

Analisi degli indirizzi MAC

L’indirizzo MAC identifica fisicamente ogni dispositivo in rete:

  • Sul PC locale: ipconfig /all (Windows) o ifconfig/ip a (Linux)
  • Analizzare MAC e IP del router o gateway aiuta a capire il percorso dei pacchetti
  • Strumenti complementari: Zenmap per scansionare la rete e valutare la sicurezza dei servizi attivi

Lavorare con file PCAP avanzati

  • Filtrare pacchetti con espressioni complesse (ip.src==192.168.1.10 && tcp.port==80)
  • Salvare solo i pacchetti filtrati: File → Esporta pacchetti specificati
  • Analizzare più file PCAP insieme per confrontare sessioni diverse

Suggerimenti per esercitazioni avanzate

  1. Catturare traffico tra più dispositivi utilizzando port mirroring
  2. Analizzare pacchetti cifrati (HTTPS) per comprendere handshake e certificati
  3. Applicare filtri e regole di colorazione personalizzate per casi complessi
  4. Creare grafici I/O per monitorare prestazioni e anomalie

Domande di verifica avanzate

  1. Come si applicano filtri complessi in Wireshark?
    Usando espressioni logiche con protocolli, IP e porte (es. ip.src==192.168.1.10 && tcp.port==443).
  2. Qual è la funzione della colorazione dei pacchetti?
    Evidenziare visivamente protocolli o pacchetti critici per un’analisi rapida.
  3. Cosa si intende per timestamp assoluto vs relativo?
    Assoluto: mostra data/ora reale del pacchetto
    Relativo: tempo trascorso dall’inizio della cattura
  4. Perché utilizzare port mirroring in una rete moderna?
    Per catturare tutto il traffico che passa attraverso uno switch, altrimenti i pacchetti destinati ad altre porte non sarebbero visibili.
  5. Come si può analizzare il traffico di più file PCAP insieme?
    Importando i file in Wireshark e applicando filtri e comparazioni per sessione o protocollo.

Conclusione avanzata

Questa guida avanzata a Wireshark consente di:

  • Analizzare pacchetti in modo dettagliato
  • Visualizzare flussi di traffico complessi
  • Individuare problemi o vulnerabilità in laboratorio e in rete reale

💡 Consiglio pratico:
Unire le competenze base e avanzate consente di diventare rapidamente efficienti nell’analisi delle reti. Creare proprie esercitazioni con filtri, grafici e PCAP multipli è il modo migliore per consolidare l’apprendimento.

Analisi degli indirizzi MAC

  • Sul PC locale, in uso, verificare l’indirizzo fisico (in questo caso MAC = E8-F4-08-48-36-45) e l’indirizzo logico (in questo caso IP=192.168.1.40), digitando nel Prompt dei comandi:
    C: >ipconfig /al
  • Rilevare l’indirizzo fisico del Router-Gateway (MAC = DC:00:B0:61:1D:2B).
    Per scoprire l’indirizzo MAC del router si può agire in diversi modi. Uno di questi è
    l’utilizzo dell’applicazione Zenmap, che serve a valutare la sicurezza dei servizi attivi su una rete (l’indirizzo IP del gateway è 192.168.1.254

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *