Sniffare pacchetti di rete

Posted on 18 marzo 2022. Filed under: Senza categoria |

In questo articolo vedremo come sniffare i pacchetti di rete.

Sniffare cosa? Tranquilli, non parliamo di droghe e cose simili, ma nel gergo informatico, “sniffare” significa andare a catturare dati che passano da un dispositivo ad un altro, o meglio, dal pc a fuori o da fuori al PC, tramite schede e dispositivi.

Vediamo quindi l’uso del programma più diffuso per catturare pacchetti di rete.

Vediamo prima, anche cosa è un pacchetto di rete.

Per pacchetto di rete si intende il minimo di informazione che può essere suddiviso un file da essere inviato, come ad esempio una email, un file da scaricare e così via. Questo file viene fatto “a pezzi” per creare tanti piccoli pacchetti che poi andranno tramite i livelli 5,6 e 7 della pila ISO/OSI da un dispositivo ad un altro.

Il migliore programma per sniffare tutto quello che passa sulla nostra scheda di rete è Wireshark.

Non lo avevo mai sentito fino a quando ho fatto il corso di Ethical Hacker nel 2020. L’ho provato e smanettato e devo dire che è molto potente, addirittura “cattura” le password in chiaro come ad esempio quelle dei server POP e SMPT sulle classiche porte 110 e 25. Ovviamente sulle SSL/TLS non possiamo catturarle.

Scarichiamo Wireshark da https://www.wireshark.org/#download

Lo installiamo e lo lanciamo.

Una volta aperto, dobbiamo (ovviamente) indicare su quale scheda di rete andare a sniffare.

Dico “ovviamente” perchè noi smanettoni abbiamo almeno 3 schede di rete installate sul proprio PC.

Ad esempio io ho queste interfacce di rete:

Scelgo l’interfaccia Ethernet, quella classica con il cavo.

Facciamo doppio click per avviare la cattura dei pacchetti.

Come vedete viene fuori una lista con anche tante cose strane, che potrebbero essere tentativi di attacco, oppure i vari servizi, driver e applicazioni aperte (ho 100 schede su Edge aperte) e quindi è normale.

Bisognerebbe fare i test quando tutte le finestre sono chiuse.

Ho anche disattivato il firewall per avere più risultati. Mi raccomando, il firewall non va mai disabilitato, oppure se lo fate dovete sapere cosa state facendo e le conseguenze.

Di uno di questi pacchetti possiamo prenderlo e analizzarlo. Ne prendo uno a caso, per aprirlo, fare doppio click su una riga:

Questo pacchetto, catturato il 18/03/2022 alle 22.54 è di tipo ICMP (comando Ping) da 192.168.1.100 a 194.95.249.23.

Come potete vedere, il pacchetto viene descritto al passaggio dei suoi livelli nella scala Iso/Osi.

Bisognerà avere tempo poi per controllare tutto, ma anche un sistemista che non ha altri incarichi o lavori da fare, difficilmente si metterà a controllare tutte le righe, purtroppo.

Per le aziende, pagare uno che si metta tutto il giorno a sniffare pacchetti per mettere in sicurezza la propria infrastruttura è un costo, mentre per l’attaccante che ha un obiettivo, sicuramente controllerà ogni singola riga e troverà qualche falla. Anche perchè l’attaccante ha uno stimolo per provare a entrare in una rete, magari si può trattare di un dipendente licenziato e così via.

In un prossimo articolo vedremo come sviluppare un programma di cattura pacchetti.

Alla prossima.

Make a Comment

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo di WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione /  Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione /  Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione /  Modifica )

Connessione a %s...

Liked it here?
Why not try sites on the blogroll...

%d blogger hanno fatto clic su Mi Piace per questo: