Wireshark è un potentissimo, diffusissimo,utilissimo ma soprattutto divertesntissimo (XD) tool di analisi delle reti. È in grado di analizzare i pacchetti formattati da diversi protocolli ed offre una marea di opzioni di configurazione, come il filtraggio delle informazioni e funzioni di reportistica. Può essere utilizzato per scovare insicurezze di rete, studiare i diversi protocolli di rete ed ottenere informazioni dettagliate sui pacchetti.Wireshark nasce dal suo predecessore Ethereal e quindi da un software solido e usatissimo, lo uso da oggi XD, quindi in questo articolo daremo un’occhiata alle sue funzioni di base, con particolare attenzione scambio di pacchetti tra client MSN Messenger (ma guarda un pò..).
L’interfaccia grafica di Wireshark
Gran parte dell’interfaccia è occupata dalla lista dei pacchetti osservati, se non applichiamo alcun filtro e se sul dispositivo di rete della macchina che stiamo osservando girano parecchi servizi di rete, avremo una lista caotica ed in aggiornamento continuo e rapidissimo. La lista presenta diverse informazioni per ogni pacchetto:
- No: Il numero del pacchetto in esame, utile per riordinare i pacchetti
- Time: Il timestamp del pacchetto
- Source: L’indirizzo della macchina che ha emesso il pacchetto
- Destination: L’indirizzo della macchina che ha ricevuto il pacchetto
- Protocol: il protocollo utilizzato per la comunicazione
- Info: Dettagliate informazioni sul pacchetto, ottenute da wireshark grazie al sistema di riconoscimento del formato in uso
Direttamente sotto alla lista dei pacchetti, troviamo la lista Header, che contiene informazioni riguardanti il protocollo utilizzato dai pacchetti
Al livello ancora più basso troviamo le informazioni riguardanti la decodifica del formato dei pacchetti, mentre in alto, la pulsantiera con la barra per editare i filtri da applicare: per iniziare la scansione, basta premere il pulsante in alto a destra.
Analisi dei pacchetti di una conversazione MSN
Per le comunicazioni MSN, troviamo diversi tipi di pacchetti che informazo client e server delle azioni effettuate dagli utenti:
- JOI: Un client remoto sta cercando di aprire una conversazione
- MSG: Una comunicazione, come ad esempio l’invio dell’header o un vero e proprio messaggio
- USR: Segnala che una connessione è avvenuta con successo
- CAL: Invita un utente ad una conversazione
- BYE: Segnala che un contatto ha lasciato la conversazione
Questi sono solamente alcuni dei tipi di pacchetti del protocollo MSNMS, per una lista completa vi rimando al wiki (unofficial)
Dalla lista dei pacchetti possiamo analizzare una conversazione MSN nella sua totalità, cerchiamo il pacchetto di tipo JOI, ovvero l’apertura della conversazione, ->Click destro->Follow TCP Stream. A questo punto abbiamo una nuova shermata contenente la lista delle informazioni scambiate tra i9 cient, inoltre, essendo basato su Plain Text (testo semplice) da questa schermata possiamo vedere anche i i messaggi inviati tra i clients!, non il massimo della sicurezza dopotutto.
Sempre dalla lista dei pacchetti possiamo vedere i pacchetti USR OK, contenenti gli indirizzi di posta dei client connessi, per quel che riguarda le informazioni sulla password, la totalità (creddei clients di IM, utilizzano una connessione sicura HTTPS. Per procedere al furto di account, bisognerebbe (in caso di password criptata) procedere con un attacco Brute-Force, oppure industriandosi con i soliti falsi servizi di assistenza MSN… Non cè bisogno che io vi ricordi che Queste cose non si fanno vero? 😉
Fat development 
Wireshark è ottimo da io ti consiglio ettercap, e come seguire una telenovelas ogni volta tutto, subito ed in chiaro sul tuo schermo.
Ciao
grazie per il consiglio! proverò e … posterò!!
Ma quando apro il rpogramma è vuoto, non ci sono pacchetti pero sto navigando i internet e chattando
Ciao!!
L’auditing di wireshark non si avvia automaticamente all’avvio del programma,
devi cliccare sull’icona sotto “File” che mostra le interfacce di rete rilevate, dopodichè dalla nuova finestra mostrata, è possibile avviare la “capture” dei pacchetti semplicemente cliccando su Start.
ciao!
una volta Click destro->Follow TCP Stream, come faccio a codificare i messaggi inviati tra due client? o meglio a risalire al messaggio inviato tra i client? solo nei miei pacchetti che mando trovo le mie frasi di msn…
gazie ciao!
Strano, perchè dovresti vederli chiaramente come fai per i tuoi messaggi, ma può dipendere da diversi fattori, come le impostazioni di rete del client usato (alcuni client permettono di attivare delle impostazioni per la cifratura dei messaggi). Oppure le specifiche del protocollo MSN, che viene spesso modificato. Comunque puoi provare a salvare i diump delle conversazioni e poi utilizzare dei programmi esterni.
Coumunqe per sicurezza riprova ! quando clicchi su Follow TCP stream, dovresti trovarti di fronte appunto al flusso del pacchetto e tra le varie informazioni dovresti anche leggere i messaggi dei tuoi contatti msn!!
Ciao!!
ciao!
potresti consigliarmi qualche programma da usare per decodificare i messaggi…
grazie ancora ciao!!!
a me da lo stesso problema… solo nei miei pacchetti vedo qualcosa, negl’altri non trovo niente, lo stesso vale per altri tipi di pacchetto… da quel poco che ho capito non riesco a decriptare tutti quei pacchetti che non sono miei… XD.
come fare?
grazie anticipatamente per la risposta.
Ciao ^^
Non puoi decriptare pacchetti che non sono i tuoi, a meno che sul tuo computer transitino pacchetti di una rete più grande, ovvero:
sulla tua rete transitano solo i tuoi pacchetti e non quelli degli altri, ad esempio, che senso avrebbe che sul tuo router arrivassero i dati di login dei tuoi contatti msn?
Se invece ti riferisci ai pacchett che ricevi e non quelli che invii, devi consultare le specifiche del protocollo msn e verificare quale algoritmo è stato usato per codificare i messaggi
ciao
il problema è che io non vedo i pacchetti inviati dagli utenti connessi alla mia rete wifi composta da un router e due laptop, io con wireshark vedo soltanto i pacchetti che io invio e che ricevo e solo i pacchetti che riceve l’altro utente della rete…
sto sbagliando qualcosa forse… uhm.
E’ davvero una meraviglia! Lo sto usando su una porta mirror di un router. Vorrei monitorare in tempo reale quanti Kbps usa ogni ip della rete… Come posso fare?
(statistics IO graphs e applico il filtro per un ip…ma se volessi vederli tutti allo stesso tempo). qaulche altra applicazione o plugin del programma? grazie….
domanda da 1.000.000 di euroz: se io voglio rinviare un pacchetto sniffato,cioe un http request partito dal mio pc come si fa?????????
ciao la prima cosa da fare è individuare nell’interfaccia di wireshark il pacchetto desiderato, dopodichè lo puoi salvare in uno dei formati che supporta wireshark (ma in genere userei il testo normale). A questo punto ti serve un qualsiasi software presente in rete per creare pacchetti tcp. Possibilmente scelgine uno accurato così che puoi impostare più opzioni e modificare con più precisione gli header.
Non conosco l’uso specifico che devi farne ma quando si tratta di http e web io preferisco usare mozilla firefox con le estensioni “Live Http Headers” ,” Tamper data” e Modify Headers. Appena il browser si ritrova a dover gestire una req queste bloccano la comunicazione e la passano sotto i tuoi occchi e da li puoi decidere cosa fare 😉
At this moment I am going away to do my breakfast, when having my breakfast coming
yet again to read additional news.
Hello, everything is going nicely here and ofcourse every one is sharing data, that’s truly excellent, keep up writing.
Excellent pieces. Keep writing such kind of info on your blog.
Im really impressed by it.
Hey there, You’ve done an excellent job. I will definitely digg it and in my view recommend to my friends. I am sure they’ll be benefited from this website.
I know this website presents quality based content and additional stuff, is there any other web page which provides such things in quality?
Appreciating the time and effort you put into your blog and detailed
information you present. It’s great to come across a blog every once in a while that isn’t the same unwanted rehashed information.
Fantastic read! I’ve bookmarked your site and I’m including your RSS feeds to my Google account.
È possibile una volta sniffato il pacchetto editarlo e ri inviarlo?