Navigaweb.net logo

Sniffare la rete per intercettare richieste e dati in internet

Aggiornato il: Scritto Da: - @pomhey
Guida per sniffare i pacchetti di rete e spiare siti visitati, ricerche su internet e password, da altri computer
sniffing rete

Ogni volta che si visita una pagina web, si invia una mail o si utilizza un'app, il computer scambia migliaia di frammenti di informazioni con i server remoti. Questi frammenti, chiamati pacchetti, viaggiano attraverso la scheda di rete e il router fino a raggiungere la destinazione. In un contesto di rete locale, è tecnicamente possibile intercettare questo flusso per esaminarne il contenuto. Questa pratica è definita sniffing ed è fondamentale per gli amministratori di sistema che devono diagnosticare problemi di connessione o individuare software malevoli che comunicano all'esterno.

Tuttavia, la visibilità di questi dati dipende interamente dai protocolli utilizzati. Se un tempo era banale leggere password e messaggi in chiaro, oggi la crittografia ha eretto barriere significative. Seguire la rotta di Navigaweb in questo ambito significa comprendere non solo come utilizzare gli strumenti di monitoraggio, ma anche come interpretare ciò che si vede, distinguendo tra una connessione sicura e una vulnerabile.

LEGGI ANCHE: Catturare pacchetti e spiare il traffico sulle reti wifi

Cos’è lo Sniffing di Rete?

Lo sniffing di rete è il processo di monitoraggio e cattura dei pacchetti di dati che viaggiano attraverso una rete, come una Wi-Fi domestica o una rete aziendale. Questi pacchetti contengono tutte le informazioni scambiate tra dispositivi: email, richieste web, messaggi e, in alcuni casi, credenziali di accesso. In teoria, uno sniffer (un programma o dispositivo apposito) può "ascoltare" questi dati e analizzarli.

Esistono due tipi principali di sniffing:

  • Passivo: avviene senza interferire attivamente nella rete, ed è più difficile da rilevare. Funziona bene in reti non protette o hub di vecchia generazione.
  • Attivo: richiede un intervento, come l’iniezione di pacchetti o la manipolazione del traffico (ad esempio con un attacco "man-in-the-middle"), ed è più comune in reti moderne con switch.

Come Funziona in Teoria?

Immaginiamo una rete Wi-Fi domestica senza crittografia (o con una protezione debole, come WEP). I dati viaggiano sotto forma di pacchetti, piccoli "blocchi" di informazioni che contengono intestazioni (chi invia, chi riceve) e il payload (il contenuto vero e proprio). Uno sniffer posizionato nella stessa rete può:

  1. Catturare i pacchetti: utilizzando una scheda di rete in "modalità promiscua", che permette di leggere tutto il traffico, non solo quello diretto al dispositivo.
  2. Analizzare i dati: se i pacchetti non sono crittografati (ad esempio, un sito HTTP invece di HTTPS), il contenuto è leggibile in chiaro, incluse password o messaggi.
  3. Ricostruire le informazioni: con strumenti teorici, si possono filtrare i pacchetti per cercare credenziali o altri dati sensibili.

In una rete cablata, invece, lo sniffing è più complesso a causa degli switch, che inviano i pacchetti solo ai dispositivi interessati. Qui entra in gioco un attacco attivo, come l’ARP poisoning, che "inganna" la rete facendo credere che lo sniffer sia il destinatario legittimo del traffico.

La modalità promiscua e i limiti dello switch

Le schede di rete sono progettate per ignorare tutto il traffico non destinato al proprio indirizzo IP. Per poter "ascoltare" l'intera conversazione che avviene sul cavo o nell'aria, è necessario attivare la modalità promiscua. Questo permette al software di analisi di catturare ogni pacchetto grezzo, indipendentemente dal destinatario. Per esempio la scheda di rete con Chipset Realtek RTL8812AU supporta questa modalità, come anche le schede di rete USB di Alfa network

Esiste però un ostacolo fisico nelle reti cablate moderne: lo Switch. A differenza dei vecchi Hub, che ripetevano il segnale su tutte le porte, gli switch inviano i dati solo al dispositivo interessato. Di conseguenza, collegandosi via cavo a uno switch, si vedrà solo il traffico del proprio PC e i messaggi di broadcast. Per analizzare il traffico di altri dispositivi in rete (come una stampante o un altro PC), i professionisti utilizzano tecniche come il Port Mirroring (configurabile sugli switch gestiti) o attacchi attivi come l'ARP Poisoning, che però esulano dalla semplice diagnosi e sconfinano nelle tecniche di intrusione.

Wireshark: lo standard per l'analisi profonda

Lo strumento più completo e potente per l'analisi dei pacchetti è Wireshark. È un software open source, multipiattaforma, capace di dissezionare centinaia di protocolli di rete differenti. Una volta avviato, Wireshark cattura il traffico in tempo reale, mostrando una lista colorata di pacchetti che scorrono rapidamente.

La forza di Wireshark risiede nel suo motore di filtraggio. Senza filtri, la mole di dati è incomprensibile. Alcune funzioni chiave includono:

  • Filtri di protocollo: Scrivendo http o dns nella barra dei filtri, si isolano solo le richieste web non cifrate o le interrogazioni ai nomi di dominio, utili per capire quali siti vengono visitati.
  • Follow TCP Stream: Cliccando con il tasto destro su un pacchetto e scegliendo questa opzione, il software ricostruisce l'intera conversazione tra client e server in un formato leggibile. Se la connessione non è cifrata (HTTP), si potranno leggere chiaramente testi, codice HTML e persino credenziali.
  • Analisi VoIP: Wireshark è in grado di catturare e riprodurre le chiamate telefoniche che viaggiano su protocollo SIP/RTP non cifrato.

SmartSniff: monitoraggio testuale rapido

Per chi cerca un approccio meno ingegneristico e più immediato, SmartSniff di NirSoft rappresenta una valida alternativa per ambienti Windows. Non richiede installazione complessa e si focalizza sulla visualizzazione dei dati in formato ASCII (testo).

Questo strumento è particolarmente efficace per indagare sul comportamento di programmi installati localmente. Se si sospetta che un software stia inviando dati personali a server sconosciuti, SmartSniff mostra il contenuto della conversazione in modo simile a un file di testo. Per funzionare correttamente e catturare tutto il traffico, richiede la presenza nel sistema di un driver di cattura come Npcap (lo stesso usato da Wireshark).

Fiddler Classic: decifrare il traffico HTTPS

La maggior parte del traffico web moderno viaggia su HTTPS (TLS/SSL). Se si analizza questo traffico con Wireshark, si vedrà solo una sequenza di byte incomprensibili. Per analizzare le richieste web cifrate generate dal proprio computer, lo strumento d'elezione è Fiddler Classic.

Fiddler agisce come un proxy locale. Per leggere il traffico HTTPS, utilizza una tecnica Man-in-the-Middle autorizzata: installa un certificato di sicurezza "fittizio" nel sistema operativo. I browser riconoscono questo certificato come valido e permettono a Fiddler di decifrare i pacchetti, mostrarne il contenuto all'utente, e poi ricifrarli per inviarli al server reale. È lo strumento primario per il web debugging e per scoprire se un'applicazione o un sito web trasmettono dati sensibili (come token di autenticazione) in modi non sicuri all'interno del tunnel cifrato.

PktMon: il monitor integrato in Windows

Molti non sanno che Windows 10 e Windows 11 includono uno strumento di sniffing nativo chiamato PktMon (Packet Monitor). Non ha interfaccia grafica, ma è potente e sempre disponibile, utile in situazioni dove non è possibile installare software di terze parti.

Operando da riga di comando, PktMon permette di intercettare il traffico su specifiche porte o interfacce e salvare il risultato in un file .etl. Questo file può essere successivamente convertito in formato .pcapng per essere aperto e analizzato comodamente con Wireshark. È una risorsa preziosa per diagnosi rapide su server o postazioni aziendali bloccate.

HTTP vs HTTPS: perché le password non si vedono più

Fino a dieci anni fa, era comune trovare siti web che gestivano il login tramite semplice HTTP. In quel contesto, uno sniffer posizionato sulla stessa rete Wi-Fi poteva intercettare username e password con estrema facilità. Oggi, protocolli come TLS 1.3 rendono questo scenario molto raro sui principali servizi web (Google, Facebook, banche).

Tuttavia, lo sniffing rimane efficace per:

  • Dispositivi IoT: Telecamere IP economiche, stampanti di rete e prese smart spesso comunicano ancora in chiaro o utilizzano crittografia debole.
  • Metadati DNS: Anche se il contenuto della pagina è cifrato, la richiesta DNS (che traduce il nome del sito in indirizzo IP) è spesso in chiaro. Un osservatore può quindi sapere quali siti si stanno visitando, anche se non può vederne il contenuto specifico, a meno che non si utilizzi DNS over HTTPS (DoH).
  • Reti FTP e Telnet: Questi vecchi protocolli, ancora usati in ambiti industriali o accademici, trasmettono tutto in testo semplice.

Altri aspetti ricercati sull'argomento

Quando si parla di intercettazione dati, l'interesse si estende spesso a questi ambiti correlati:

  • Analisi traffico su Android: App come PCAPdroid permettono di monitorare le connessioni dello smartphone senza permessi di root, simulando una VPN locale per catturare i pacchetti ed esportarli.
  • Recupero password salvate: Molti confondono lo sniffing con il recupero credenziali. Per trovare password già memorizzate nel browser (non in transito), si usano tool di recupero locale come WebBrowserPassView, che agiscono sul database del software e non sulla rete.
  • Sicurezza Wi-Fi pubblica: L'uso di una VPN è l'unica difesa efficace contro lo sniffing in reti aperte, poiché crea un tunnel cifrato che nasconde tutto il traffico all'amministratore dell'hotspot.

Su un normale PC si può anche installare Kali Linux che include tutti gli strumenti per test di intrusione.

In un altro articolo, altri programmi per attaccare la rete e trovare vulnerabilità intercettando il traffico anche con attacchi Man In The Middle che spiano e cambiano le comunicazioni tra due persone.





Posta un commento


0%