Wireshark è un potentissimo, diffusissimo,utilissimo ma soprattutto divertesntissimo (XD) tool di analisi delle reti. È in grado di analizzare i pacchetti formattati da diversi protocolli ed offre una marea di opzioni di configurazione, come il filtraggio delle informazioni e funzioni di reportistica. Può essere utilizzato per scovare insicurezze di rete, studiare i diversi protocolli di rete ed ottenere informazioni dettagliate sui pacchetti.Wireshark nasce dal suo predecessore Ethereal e quindi da un software solido e usatissimo, lo uso da oggi XD, quindi in questo articolo daremo un’occhiata alle sue funzioni di base, con particolare attenzione scambio di pacchetti tra client MSN Messenger (ma guarda un pò..).
L’interfaccia grafica di Wireshark
Gran parte dell’interfaccia è occupata dalla lista dei pacchetti osservati, se non applichiamo alcun filtro e se sul dispositivo di rete della macchina che stiamo osservando girano parecchi servizi di rete, avremo una lista caotica ed in aggiornamento continuo e rapidissimo. La lista presenta diverse informazioni per ogni pacchetto:
- No: Il numero del pacchetto in esame, utile per riordinare i pacchetti
- Time: Il timestamp del pacchetto
- Source: L’indirizzo della macchina che ha emesso il pacchetto
- Destination: L’indirizzo della macchina che ha ricevuto il pacchetto
- Protocol: il protocollo utilizzato per la comunicazione
- Info: Dettagliate informazioni sul pacchetto, ottenute da wireshark grazie al sistema di riconoscimento del formato in uso
Direttamente sotto alla lista dei pacchetti, troviamo la lista Header, che contiene informazioni riguardanti il protocollo utilizzato dai pacchetti
Al livello ancora più basso troviamo le informazioni riguardanti la decodifica del formato dei pacchetti, mentre in alto, la pulsantiera con la barra per editare i filtri da applicare: per iniziare la scansione, basta premere il pulsante in alto a destra.
Analisi dei pacchetti di una conversazione MSN
Per le comunicazioni MSN, troviamo diversi tipi di pacchetti che informazo client e server delle azioni effettuate dagli utenti:
- JOI: Un client remoto sta cercando di aprire una conversazione
- MSG: Una comunicazione, come ad esempio l’invio dell’header o un vero e proprio messaggio
- USR: Segnala che una connessione è avvenuta con successo
- CAL: Invita un utente ad una conversazione
- BYE: Segnala che un contatto ha lasciato la conversazione
Questi sono solamente alcuni dei tipi di pacchetti del protocollo MSNMS, per una lista completa vi rimando al wiki (unofficial)
Dalla lista dei pacchetti possiamo analizzare una conversazione MSN nella sua totalità, cerchiamo il pacchetto di tipo JOI, ovvero l’apertura della conversazione, ->Click destro->Follow TCP Stream. A questo punto abbiamo una nuova shermata contenente la lista delle informazioni scambiate tra i9 cient, inoltre, essendo basato su Plain Text (testo semplice) da questa schermata possiamo vedere anche i i messaggi inviati tra i clients!, non il massimo della sicurezza dopotutto.
Sempre dalla lista dei pacchetti possiamo vedere i pacchetti USR OK, contenenti gli indirizzi di posta dei client connessi, per quel che riguarda le informazioni sulla password, la totalità (creddei clients di IM, utilizzano una connessione sicura HTTPS. Per procedere al furto di account, bisognerebbe (in caso di password criptata) procedere con un attacco Brute-Force, oppure industriandosi con i soliti falsi servizi di assistenza MSN… Non cè bisogno che io vi ricordi che Queste cose non si fanno vero? 
11 risposte finora ↓
shaytan // Novembre 21, 2007 a 7:17 am |
Wireshark è ottimo da io ti consiglio ettercap, e come seguire una telenovelas ogni volta tutto, subito ed in chiaro sul tuo schermo.
Ciao
fatmatt // Novembre 21, 2007 a 3:05 pm |
grazie per il consiglio! proverò e … posterò!!
Perfydia // Dicembre 2, 2007 a 1:04 pm |
Ma quando apro il rpogramma è vuoto, non ci sono pacchetti pero sto navigando i internet e chattando
fatmatt // Dicembre 2, 2007 a 1:41 pm |
Ciao!!
L’auditing di wireshark non si avvia automaticamente all’avvio del programma,
devi cliccare sull’icona sotto “File” che mostra le interfacce di rete rilevate, dopodichè dalla nuova finestra mostrata, è possibile avviare la “capture” dei pacchetti semplicemente cliccando su Start.
Alex // Dicembre 11, 2007 a 2:25 pm |
ciao!
una volta Click destro->Follow TCP Stream, come faccio a codificare i messaggi inviati tra due client? o meglio a risalire al messaggio inviato tra i client? solo nei miei pacchetti che mando trovo le mie frasi di msn…
gazie ciao!
fatmatt // Dicembre 11, 2007 a 8:21 pm |
Strano, perchè dovresti vederli chiaramente come fai per i tuoi messaggi, ma può dipendere da diversi fattori, come le impostazioni di rete del client usato (alcuni client permettono di attivare delle impostazioni per la cifratura dei messaggi). Oppure le specifiche del protocollo MSN, che viene spesso modificato. Comunque puoi provare a salvare i diump delle conversazioni e poi utilizzare dei programmi esterni.
Coumunqe per sicurezza riprova ! quando clicchi su Follow TCP stream, dovresti trovarti di fronte appunto al flusso del pacchetto e tra le varie informazioni dovresti anche leggere i messaggi dei tuoi contatti msn!!
Ciao!!
Alex // Dicembre 13, 2007 a 7:13 pm |
ciao!
potresti consigliarmi qualche programma da usare per decodificare i messaggi…
grazie ancora ciao!!!
franz // Agosto 16, 2008 a 7:50 am |
a me da lo stesso problema… solo nei miei pacchetti vedo qualcosa, negl’altri non trovo niente, lo stesso vale per altri tipi di pacchetto… da quel poco che ho capito non riesco a decriptare tutti quei pacchetti che non sono miei… XD.
come fare?
grazie anticipatamente per la risposta.
FaTMaTTO! // Agosto 16, 2008 a 8:06 am |
Ciao ^^
Non puoi decriptare pacchetti che non sono i tuoi, a meno che sul tuo computer transitino pacchetti di una rete più grande, ovvero:
sulla tua rete transitano solo i tuoi pacchetti e non quelli degli altri, ad esempio, che senso avrebbe che sul tuo router arrivassero i dati di login dei tuoi contatti msn?
Se invece ti riferisci ai pacchett che ricevi e non quelli che invii, devi consultare le specifiche del protocollo msn e verificare quale algoritmo è stato usato per codificare i messaggi
franz // Agosto 16, 2008 a 11:31 am |
ciao
il problema è che io non vedo i pacchetti inviati dagli utenti connessi alla mia rete wifi composta da un router e due laptop, io con wireshark vedo soltanto i pacchetti che io invio e che ricevo e solo i pacchetti che riceve l’altro utente della rete…
sto sbagliando qualcosa forse… uhm.
ado // Settembre 17, 2008 a 3:47 pm |
E’ davvero una meraviglia! Lo sto usando su una porta mirror di un router. Vorrei monitorare in tempo reale quanti Kbps usa ogni ip della rete… Come posso fare?
(statistics IO graphs e applico il filtro per un ip…ma se volessi vederli tutti allo stesso tempo). qaulche altra applicazione o plugin del programma? grazie….