tags: wireshark sniffing passive_sniffing
Wireshark è uno degli strumenti più utilizzati per fare monitoraggio della rete perchè offre una interfaccia grafica chiara e molti filtri per la ricerca in dettaglio.
Una volta lanciato il programma (Su Linux è meglio lanciarlo da terminale con l’utilizzo di sudo, altrimenti non snifferà il traffico) e selezionato l’interfaccia di rete lui inizia a monitorare la rete, una volta che abbiamo raccolto abbastanza informazioni possiamo stoppare il monitoraggio con il pulsante Stop capturing packets, l’output lo possiamo salvare andando nelle sezione File e cliccare su Save as.
Ora possiamo utilizzare i filtri di Wireshark per ottenere le informazioni che ci interessano, come per esempio delle richieste POST HTTP, per farlo possiamo andare nella sezione filtro e digitare http.request.method == POST che ci mostrerà solo i pacchetti HTTP POST.
Ora per aumentare ulteriormente la ricerca possiamo andare su Edit>Find Packet e modificare le tre voci che ci si presentano come per esempio mettere al posto di Display Filter il filtro String, al posto di Narrow & Wide ci mettiamo Narrow (UTF-8 / ASCII) e al posto di Packet List ci mettiamo Packet Details, mentre nella sezione di ricerca vicino a find ci mettiamo un qualcosa come username o pwd.
Ecco gli screeshot che mostrano questo processo:
Nei filtri è anche possibile concatenare due o più filtri con i comandi && e || rispettivamente AND e OR.
