Wireshark, cos'è e come funziona il packet sniffer più famoso

Nel mondo delle reti informatiche le informazioni vengono segmentate in varie unità a sé stanti dette pacchetti: ogni pacchetto è dotato di un’intestazione (header) che contiene le istruzioni necessarie affinché il dato venga consegnato alla destinazione corretta e il numero del pacchetto (non è detto che i pacchetti dati facciano sempre lo stesso percorso; è quindi necessario un meccanismo che ricomponga, nel giusto ordine, i pacchetti non appena questi arriveranno, via a via, sul sistema “ricevente”). La cosiddetta commutazione di pacchetto, alla base del funzionamento della rete Internet, ha l’innegabile vantaggio di non prevedere la “costruzione” di un canale di comunicazione diretto tra sorgente e destinazione dei dati: la rete è a disposizione di più utenti che possono inviare e ricevere simultaneamente informazioni.

WireShark è un packet sniffer o analizzatore di protocollo ovvero un software che partendo dall’utilizzo del medesimo canale di comunicazione condiviso tra più utenti consente di esaminare il contenuto di tutti i pacchetti dati in transito.
Il programma, distribuito come software libero sotto licenza GNU GPL, grazie a speciali criteri di ordinamento e filtraggio consente di estrapolare i dati di interesse dalle informazioni registrate in modo molto rapido ed efficace.

Il software trae vantaggio dall’utilizzo della cosiddetta modalità promiscua: una scheda di rete diventa in grado di “intercettare” tutto il traffico, compreso quello destinato verso altri dispositivi connessi alla rete locale.

Grazie a Wireshark è quindi possibile verificare in tempo reale che cosa avviene sulla rete locale e individuare eventuali credenziali di accesso trasmesse in chiaro, attività sospette e così via.

Appena giunto alla versione 3.0, Wireshark abbandona la storica libreria WinPcap per la cattura dei pacchetti dati. Essa infatti non è più aggiornata e il team di sviluppo di Wireshark ha quindi deciso di passare a Ncap, libreria realizzata dallo stesso autore del celeberrimo port scanner Nmap: Nmap, cos’è e come funziona il re dei port scanner.

Wireshark 3.0 è inoltre capace di gestire una vasta lista di protocolli: tra quelli appena aggiunti ci sono Apple Wireless Direct Link (AWDL), Cisco Meraki Discovery Protocol (MDP), NGAP, XnAP, NR e E1AP.

Il download di Wireshark 3.0 può essere effettuato da questa pagina nelle versioni per Windows e macOS.