Wireshark è un potentissimo, diffusissimo,utilissimo ma soprattutto divertesntissimo (XD) tool di analisi delle reti. È in grado di analizzare i pacchetti formattati da diversi protocolli ed offre una marea di opzioni di configurazione, come il filtraggio delle informazioni e funzioni di reportistica. Può essere utilizzato per scovare insicurezze di rete, studiare i diversi protocolli di rete ed ottenere informazioni dettagliate sui pacchetti.Wireshark nasce dal suo predecessore Ethereal e quindi da un software solido e usatissimo, lo uso da oggi XD, quindi in questo articolo daremo un’occhiata alle sue funzioni di base, con particolare attenzione scambio di pacchetti tra client MSN Messenger (ma guarda un pò..).
L’interfaccia grafica di Wireshark
Gran parte dell’interfaccia è occupata dalla lista dei pacchetti osservati, se non applichiamo alcun filtro e se sul dispositivo di rete della macchina che stiamo osservando girano parecchi servizi di rete, avremo una lista caotica ed in aggiornamento continuo e rapidissimo. La lista presenta diverse informazioni per ogni pacchetto:
- No: Il numero del pacchetto in esame, utile per riordinare i pacchetti
- Time: Il timestamp del pacchetto
- Source: L’indirizzo della macchina che ha emesso il pacchetto
- Destination: L’indirizzo della macchina che ha ricevuto il pacchetto
- Protocol: il protocollo utilizzato per la comunicazione
- Info: Dettagliate informazioni sul pacchetto, ottenute da wireshark grazie al sistema di riconoscimento del formato in uso
Direttamente sotto alla lista dei pacchetti, troviamo la lista Header, che contiene informazioni riguardanti il protocollo utilizzato dai pacchetti
Al livello ancora più basso troviamo le informazioni riguardanti la decodifica del formato dei pacchetti, mentre in alto, la pulsantiera con la barra per editare i filtri da applicare: per iniziare la scansione, basta premere il pulsante in alto a destra.
Analisi dei pacchetti di una conversazione MSN
Per le comunicazioni MSN, troviamo diversi tipi di pacchetti che informazo client e server delle azioni effettuate dagli utenti:
- JOI: Un client remoto sta cercando di aprire una conversazione
- MSG: Una comunicazione, come ad esempio l’invio dell’header o un vero e proprio messaggio
- USR: Segnala che una connessione è avvenuta con successo
- CAL: Invita un utente ad una conversazione
- BYE: Segnala che un contatto ha lasciato la conversazione
Questi sono solamente alcuni dei tipi di pacchetti del protocollo MSNMS, per una lista completa vi rimando al wiki (unofficial)
Dalla lista dei pacchetti possiamo analizzare una conversazione MSN nella sua totalità, cerchiamo il pacchetto di tipo JOI, ovvero l’apertura della conversazione, ->Click destro->Follow TCP Stream. A questo punto abbiamo una nuova shermata contenente la lista delle informazioni scambiate tra i9 cient, inoltre, essendo basato su Plain Text (testo semplice) da questa schermata possiamo vedere anche i i messaggi inviati tra i clients!, non il massimo della sicurezza dopotutto.
Sempre dalla lista dei pacchetti possiamo vedere i pacchetti USR OK, contenenti gli indirizzi di posta dei client connessi, per quel che riguarda le informazioni sulla password, la totalità (creddei clients di IM, utilizzano una connessione sicura HTTPS. Per procedere al furto di account, bisognerebbe (in caso di password criptata) procedere con un attacco Brute-Force, oppure industriandosi con i soliti falsi servizi di assistenza MSN… Non cè bisogno che io vi ricordi che Queste cose non si fanno vero? 
