Wireshark è considerato il miglior sniffer in circolazione, anche se non è molto semplice da usare.

Inoltre è dotato di un'ottima gui in Gtk.

Però, come ho fatto più volte notare, non sempre le gui sono migliori del terminale.

Può sembra anacronistico e strano, ma oggi vediamo come usare Wireshark da terminale con Tshark.

La forma più semplice è questa:

# tshark -i eth0

Con l'opzione -i specifichiamo l'interfaccia da usare.

Wireshark è uno dei più sniffer di rete: è molto potente, gratuito, multi piattaforma e cattura una quantità di pacchetti immensa.

Anche se dispone di una comoda interfaccia grafica non è per niente semplice da usare.

Inoltre sul Mac ha sempre qualche problema.

Vediamo come installarlo e farlo funzionare su Snow Leopard.

Prima di tutto scaricate il pacchetto da qua.

Dentro al file .dmg trovate la app e la cartella Utilities.

Mettete la .app dentro la cartella Applicazioni.

Dopo aver spiegato come è possibile scoprire il sistma operativo usato da una macchina in rete usando il comando Ping, ho deciso di spiegare in maniera generale (anche perchè più di così non saprei) come funziona il comando stesso.

Ping è un comando disponibile su tutte le piattaforme e serve per misurare il tempo impiegato tra l’invio di un pacchetto dati e la ricezione della risposta dall’host remoto.

E' usato soprattutto per capire se una macchina è raggiungibile in rete (LAN o Web che sia).

Se non è raggiungibile il comando non ha riposta e la colpa può essere sia del target che del mittente.

Facciamo un esempio di comando lanciato dalla mia macchina con Linux verso il router:

$ ping -c 3 192.168.1.1
PING 192.168.1.1 (192.168.1.1) 56(84) bytes of data.
64 bytes from 192.168.1.1: icmp_seq=1 ttl=255 time=0.569 ms
64 bytes from 192.168.1.1: icmp_seq=2 ttl=255 time=0.627 ms
64 bytes from 192.168.1.1: icmp_seq=3 ttl=255 time=0.601 ms

--- 192.168.1.1 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 1999ms
rtt min/avg/max/mdev = 0.569/0.599/0.627/0.023 ms

Il parametro -c 3 serve per inviare solo 3 ping; in Windows potete ometterlo perchè lo fa di default.

Le macchine comunicano e anche abbastanza velocemente (e ci mancherebbe altro visto che è il router attraverso il quale mi collego).

Ma come funziona di preciso?

Lo scenario è questo: a casa abbiamo più di un pc connesso al router (supponiamo 3) e vogliamo controllare il traffico di rete di due pc.

I motivi possono essere diversi: si riempiono di virus e vogliamo vedere perchè, uno di questi usa troppa banda, vogliamo imparare qualcosa di nuovo, ecc.

Per farlo potremmo tranquillamente installare uno sniffer su quei computer, ma magari il proprietario non vuole.

Come possiamo risolvere?

Semplice: facciamo passare il traffico di quei due pc sul terzo pc!

Vediamo come fare.