Analizzare il traffico di rete è fondamentale per capire cosa accade realmente tra i nodi di un’infrastruttura. Questa fase permette di scoprire password in chiaro, comunicazioni sospette, pacchetti malformati o servizi che si comportano in modo anomalo. I comandi presentati qui vi permetteranno di acquisire pacchetti, filtrare flussi, interpretare protocolli e individuare potenziali falle nei meccanismi di trasmissione.
Gli strumenti da utilizzare
In un mondo dove gli attacchi diventano sempre più sofisticati, saper leggere i bit in transito non è più un’abilità opzionale: è un requisito. Strumenti come Tcpdump e Tshark consentono catture precise a basso livello; Wireshark offre una lente visiva per dissezionare ogni frame; Ngrep facilita la ricerca di pattern nei payload; Mitmproxy permette di ispezionare e manipolare il traffico HTTP/HTTPS in tempo reale. Nel corso di questo articolo mostreremo esempi pratici, workflow e comandi essenziali per partire subito con diagnosi efficaci. Non si tratta solo di strumenti, ma di metodo: impostare filtri efficaci, orientarsi tra protocolli sovrapposti, riconoscere anomalie che sfuggono a un semplice controllo automatizzato. I comandi presentati qui vi permettono di acquisire pacchetti, filtrare flussi, interpretare protocolli e individuare potenziali falle nei meccanismi di trasmissione.
Tcpdump: catturare i pacchetti
Tcpdump è il più leggero e diretto tra gli strumenti di analisi del traffico. Consente di acquisire pacchetti in tempo reale, applicare filtri BPF e salvare i risultati per analisi successive. Per avviare una cattura sulla prima interfaccia attiva:
tcpdump -i eth0
Per catturare solo il traffico sulla porta 80:
tcpdump -i eth0 port 80
E per salvare tutto in un file da analizzare successivamente con Wireshark:
tcpdump -i eth0 -w dump.pcap
Tcpdump è ideale quando servono rapidità, controllo e precisione. Con un po’ di pratica nei filtri potete estrarre solo quello che vi interessa, anche su reti molto trafficate.
Wireshark: l’analisi visuale per eccellenza
Wireshark non è uno strumento da riga di comando, ma lo includiamo per la sua complementarietà con quelli inclusi in questa pagina. È lo strumento grafico più completo per l’analisi del traffico. Permette di esplorare pacchetti uno per uno, decodificare protocolli complessi e seguire i flussi TCP come se foste dentro la comunicazione. Dopo aver avviato la cattura, potete usare filtri come:
http.request.method == “POST”
oppure:
ip.addr == 192.168.1.10 && tcp.port == 21
Wireshark è perfetto per chi deve analizzare in profondità il comportamento di un protocollo o verificare vulnerabilità come credenziali trasmesse in chiaro, errori nei certificati TLS o handshake sospetti. Potete anche caricare i file .pcap ottenuti con tcpdump per analizzarli offline.
Tshark: Wireshark da terminale
Tshark è la controparte a riga di comando di Wireshark. È utilissimo per automatizzare analisi, generare report, estrarre dati specifici o operare in ambienti server senza interfaccia grafica. Per catturare il traffico sulla porta 443:
tshark -f “port 443” -i eth0
Per salvare in un file:
tshark -i eth0 -w output.pcap
E per filtrare in fase di lettura:
tshark -r output.pcap -Y “http.request.method == POST”
Tshark ha una curva di apprendimento ripida, ma consente analisi avanzate e ripetibili. È lo strumento ideale per scrivere script o condurre audit su grandi quantità di traffico senza interagire graficamente.
Ngrep: grep per la rete
Ngrep consente di cercare stringhe all’interno del traffico catturato, come fareste con grep nei file. È molto utile per identificare password, sessioni, token o altri dati sensibili trasmessi in chiaro. Per esempio, per cercare la stringa “password” su una connessione HTTP:
ngrep -q -W byline “password” tcp port 80
Oppure, per monitorare il contenuto dei pacchetti DNS:
ngrep -q -W byline “.” udp port 53
Ngrep non ha la granularità di Wireshark o tshark, ma è velocissimo e perfetto per osservazioni mirate, anche in tempo reale. Potete usarlo in fase di test per verificare se certe informazioni viaggiano in chiaro o se un’applicazione trasmette dati imprevisti.
Mitmproxy: per il traffico HTTPS
Mitmproxy è uno strumento avanzato per l’intercettazione attiva di traffico HTTPS. Agisce come proxy MITM (man-in-the-middle) e permette di osservare e modificare richieste e risposte HTTP/HTTPS in tempo reale. Per avviarlo in modalità interattiva basta eseguire questo comando:
mitmproxy
I client devono essere configurati per usare come proxy l’host su cui gira mitmproxy, sulla porta 8080 di default. Installando il certificato root generato da mitmproxy potete decifrare anche il traffico cifrato. Esistono anche versioni
mitmdump (headless) e mitmweb (con interfaccia Web). È uno strumento ideale per testare sicurezza delle API REST, validare protezioni client-side o intercettare dati sensibili in app mobili.
Leggi anche: “Attacchi ai servizi di rete“
Leggi anche: “I migliori tool per la scansione di rete“
The post L’arte di ascoltare le reti first appeared on Hackerjournal.it.