Navigaweb.net logo

Analizzare pacchetti rete con Wireshark intercettare il traffico dati del PC

Aggiornato il: Scritto Da: - @pomhey
Esamina i dati in transito sul PC, scopri quali server contatta il sistema e diagnostica la rete analizzando i pacchetti con filtri e Wireshark
wireshark catturare rete Wireshark è uno degli strumenti di analisi di rete più famosi al mondo, sia perchè gratuito, sia perchè funziona bene e non è troppo difficile da usare. La sua fama deriva però dal fatto che con questo programma è possibile filtrare, catturare e spiare i pacchetti e le informazioni che passano all'interno di una rete di computer.
Spiare i pacchetti, come visto in una guida generale permette di leggere ogni tipo di informazione che passa in chiaro nella comunicazione tra il pc e internet. Questo significa che, se due persone sono nello stesso ufficio o casa e si collegano alla stessa rete (o lo stesso router) per andare su internet, allora i due pc si vedono e da uno è possibile, usando Wireshark, catturare le informazioni dell'altro, compresi i siti web che visita, le password in chiaro (sui siti non https), le email, le chat e cosi via.

Per comprendere cosa accade realmente sulla linea, non basta un firewall: serve un analizzatore di protocollo. Esaminare il traffico di rete permette di smascherare programmi che "chiamano casa", diagnosticare rallentamenti inspiegabili e capire come i dispositivi dialogano tra loro. Lo standard indiscusso per questa operazione è Wireshark, un software open source che trasforma la scheda di rete in un radar digitale.

LEGGI ANCHE: Entrare in una rete wifi protetta per catturare pacchetti e spiare cosa si fa su internet

Installazione corretta dei driver di cattura

Il primo passo richiede il download di Wireshark. L'installazione su Windows nasconde un dettaglio critico spesso ignorato: la presenza di Npcap. Questo componente è il vero motore che interroga l'hardware; Wireshark è "solo" l'interfaccia che rende i dati leggibili.

Durante il setup, è essenziale confermare l'installazione di Npcap e spuntare l'opzione per supportare la modalità "raw 802.11" se si intende analizzare reti Wi-Fi, anche se su Windows le limitazioni hardware sono frequenti. Senza questo driver, la scheda di rete ignorerebbe qualsiasi pacchetto non indirizzato specificamente al proprio indirizzo IP, rendendo impossibile un'analisi completa. Su sistemi Linux e macOS, l'avvio del programma richiede privilegi elevati (root/sudo) per accedere direttamente all'interfaccia di rete in modalità promiscua.

Avvio dell'analisi e comprensione dei colori

All'apertura, il software presenta una lista di interfacce. I nomi possono essere criptici (es. "Ethernet 2" o codici alfanumerici), ma il grafico a linea ondulatoria accanto al nome rivela dove c'è attività. Selezionando quella corretta e cliccando sull'icona a forma di pinna blu, lo schermo si popola di righe colorate che scorrono velocemente. Ogni riga è un pacchetto dati catturato in tempo reale.

  • Verde (TCP): Traffico standard di connessione, usato dalla maggior parte dei siti web e servizi.
  • Blu scuro (DNS): Le richieste di risoluzione dei nomi. Fondamentale per vedere quali domini (siti) il PC sta cercando.
  • Azzurro/Viola (UDP): Traffico veloce, spesso usato per streaming, giochi online o dal protocollo QUIC di Google.
  • Nero/Rosso: Errori, pacchetti persi o ritrasmissioni che indicano problemi di linea.

Di fronte a migliaia di righe che scorrono, è facile sentirsi disorientati. Per non naufragare in questo mare di dati, mantenere la rotta di Navigaweb significa imparare a ignorare il rumore di fondo e concentrarsi solo su ciò che serve, utilizzando i filtri.

Filtrare il traffico per trovare le risposte

La barra in alto non è una ricerca testuale classica, ma un campo per istruzioni logiche. Un filtro valido colora la barra di verde. Ecco i comandi più efficaci per l'analisi quotidiana:

  • Isolare una conversazione: Se si sospetta di un IP specifico, digitare ip.addr == 192.168.1.50 (sostituendo l'IP) mostra solo i dati in entrata e uscita da quella macchina.
  • Vedere i siti visitati: Il comando dns è il più utile per la privacy. Rivela in chiaro i nomi dei domini interrogati, smascherando eventuali spyware o telemetrie nascoste che inviano dati a server sconosciuti.
  • Escludere il traffico web cifrato: Per concentrarsi su protocolli più semplici o insicuri, si può usare !ssl && !tcp.port == 443.
  • Analisi connessioni TCP: Cliccando con il tasto destro su un pacchetto e scegliendo Follow > TCP Stream, il software ricostruisce l'intera sessione leggibile, eliminando i tecnicismi e mostrando solo il contenuto scambiato (se non cifrato).

Il nodo della crittografia: HTTPS e QUIC

È necessario chiarire un limite tecnico importante: oggi, oltre il 90% del traffico web è cifrato (HTTPS/TLS). Aprendo Wireshark mentre si naviga sulla propria banca o su un social network, non si vedranno password o messaggi in chiaro, ma solo una sequenza indecifrabile di byte sotto la voce "Application Data".

Inoltre, molti servizi moderni (come YouTube o i servizi Google) utilizzano il protocollo QUIC (visualizzato come UDP), che è cifrato di default e progettato per la velocità. Tuttavia, l'analisi rimane preziosa per i metadati:

  1. Server Name Indication (SNI): Anche in una connessione HTTPS, il primo pacchetto di saluto (Client Hello) contiene spesso il nome del sito web a cui ci si sta collegando in chiaro.
  2. Analisi dei volumi: Si può capire quanto traffico sta generando un'applicazione, anche se non si vede il contenuto.
  3. Decrittazione locale: Esiste un metodo avanzato che prevede l'impostazione di una variabile di sistema chiamata SSLKEYLOGFILE. I browser come Chrome e Firefox, rilevando questa variabile, salvano le chiavi di sessione in un file di testo sul PC. Inserendo questo file nelle impostazioni di Wireshark, è possibile decifrare il traffico HTTPS generato dal proprio computer (ma mai quello degli altri).

Strumenti diagnostici e statistiche globali

Quando la rete è lenta, l'analisi dei singoli pacchetti può essere troppo dispersiva. Il menu Statistics offre una visione d'insieme immediata.

La voce Conversations è particolarmente utile: genera una tabella ordinabile per quantità di byte. Se la connessione è satura, qui apparirà immediatamente l'indirizzo IP responsabile del maggior consumo di banda. Un'altra funzione critica è I/O Graphs, che disegna l'andamento del traffico nel tempo, permettendo di correlare un picco di latenza a un preciso istante temporale.

Domande frequenti e dubbi legali

  • È legale utilizzare questo software?
    Sì, è uno strumento standard per amministratori di rete. L'uso è lecito sulla propria rete o su reti dove si ha esplicita autorizzazione. Intercettare traffico altrui su reti pubbliche o aziendali senza consenso è un reato penale.
  • Posso vedere le password del Wi-Fi del vicino?
    No. Il traffico WPA2/WPA3 è cifrato. Anche catturando i pacchetti (handshake), non contengono la password in chiaro, ma solo dati che richiederebbero anni di tentativi di forza bruta per essere decifrati.
  • Perché vedo solo il mio traffico e non quello degli altri dispositivi?
    Le reti moderne usano "switch" (e non vecchi "hub") che isolano il traffico. Inoltre, le schede Wi-Fi standard non entrano facilmente in Monitor Mode su Windows. Per vedere tutto il traffico aereo di una stanza, servono adattatori USB specifici e solitamente un ambiente Linux.
Se si vuol provare con programmi più semplici, consiglio di scaricare i tool Nirsoft per sniffare la rete di pc e vedere siti visitati, ricerche su internet e password.



Posta un commento


0%