Wireshark è un software open source nato per catturare e analizzare pacchetti di rete.
A differenza di altri software come tcpdump, wireshark presenta una interfaccia grafica e interessanti possibilità di ordinamento e filtraggio molto utili in fase di analisi
Il prodotto permette di mostrare i pacchetti catturati raggruppando le informazioni per protocollo, es. TCP, IRC, HTTP, ICMP, DNS ecc.
La lista dei protocolli supportati è veramente completa ed è possibile abilitare o disabilitare un determinato protocollo da “Analize-> Enabled Protocols”
Wireshark è basato sul famosissimo Ethereal e utilizzando la cosiddetta modalità promiscua, è in grado di intercettare tutto il traffico, compreso quello destinato verso altre interfacce della LAN.
Passiamo all’installazione su Linux:
sudo apt-get install wireshark
sudo groupadd wireshark
sudo usermod -a -G wireshark YOUR_USER_NAME
sudo chgrp wireshark /usr/bin/dumpcap
sudo chmod 750 /usr/bin/dumpcap
sudo setcap cap_net_raw,cap_net_admin=eip /usr/bin/dumpcap
sudo getcap /usr/bin/dumpcap
una volta avviato è possibile iniziare a catturare i pacchetti dal menu “Capture”, aggiungendo anche opportuni filtri.
Interessante anche la possibilità di generare reportistica (menu “Statistics”) a partire dai pacchetti catturati.
Un ottimo tool di rete… non vi resta che provare.