Wireshark

Wireshsrk è un analizzatore di protocollo grafico, disponibile sia per Linux che per Windows, dalle grandi possibilità.

E' in pratica un'interfaccia grafica alla cattura pacchetti basata su un sottostante tcpdump.

Permette anche l'analisi di pacchetti già catturati in un file. Se il file è lo standard input consente di analizzare pacchetti catturati da un tcpdump o altro analizzatore separato.

Installazione di Wireshark

In Linux è solitamente disponibile nei repositories di distribuzione. Per esempio in Ubuntu o simili, viene installato con:

sudo apt update
sudo apt install-qt

Wireshark è costruito con l'interfaccia grafica QT delle librerie del desktop manager KDE. Ha molti pacchetti di dipendenza, quando il desktop manager in uso è Gnome.

Lancio di Wireshark

Occorrono i permessi di root. Non basta un semplice sudo wireshark, poichè il tool lancia anche dei processi figli di cattura e questi non avrebbero i permessi di root.

Con solo:

sudo wireshark

la cattura pacchetti può solo essere fornita da un analizzatore esterno.

Per una cattura pacchetti locale è necessario procedere come segue:

su
wireshark

Selezionare l'interfaccia di cattura pacchetti tra quelle automaticamente sentite sullo host corrente.

Poi procedere col menù Capture -> Start. Si apre la finestra di cattura pacchetti.

Nel riquadro superiore è la lista di pacchetti catturati. Nel riquadro inferiore i dettagli del pacchetto in evidenza.

E' possibile un drilldown a vari livelli.