Jacopo SaladiniJacopo SaladiniJacopo Saladini
info@jacoposaladini.it
Jacopo SaladiniJacopo SaladiniJacopo Saladini

METTI IL BOOST AL TUO TROUBLESHOOTING: UTILIZZA I PROFILI WIRESHARK

Come consulente una parte consistente della mia attività è fare troubleshooting , negli anni ho accumulato una certa esperienza nell’utilizzo di programmi di analisi delle reti ma wireshark è sempre stato il RE. Cosa c’è di meglio di vedere direttamente i pacchetti per capire cosa sta succedendo nella tua rete?

In questo articolo, volevo suggerire l’utilizzo di alcuni profili wireshark, che sono utilissimi per  creare delle viste che meglio si adattano all’analisi che si debbono fare.

Su questo sito :  https://github.com/amwalding/wireshark_profiles  trovate sia le istruzioni per importare i profili, sia un repository dove ne troverete molti e fatti bene. In aggiunta , se fate anche troubleshooting su reti wifi, vi suggerisco anche questo profilo : https://support.metageek.com/hc/en-us/articles/115013527388-Wireshark-Configuration-Profile.

PROFILO : DHCP

Prima di tutto bisogna cambiare il profilo cliccando in basso a sinistra e selezionare il profilo in questo caso DHCPv4 :

Fatto questo verranno caricati i filtri di visualizzazione, le regole di colorazione e le colonne che mettono in evidenza ciò che serve per fare analisi sul DHCP:

Io vi suggerisco una piccola modifica a questo profilo, che secondo me, aiuta quando si analizzano una grosse mole di dati, ovvero quello di evidenziare in una colonna, il transaction id, che indentifica in modo univoco un scambio DHCP.

Per aggiungere questa colonna basta, selezione un pacchetto –> espandere la parte DHCP e cliccare con il destro sul campo Transaction ID –> Infine selezionare applica come colonna.

PROFILO: ARP

Questo profilo mette in evidenza tutto ciò che bisogna sapere degli scambi di pacchetti che interessano il protocollo ARP, come si vede in figura le colonne di maggiore interesse sono OPCODE,SENDER MAC ADDRESS,SENDER IP ADDRESS,TARGET MAC ADDRESS,TARGET IP ADDRESS.

Da notare che il profilo, come tanti altri ,  aggiunge degli interessanti filtri specifici per analisi ARP, che possono essere utilizzati durante il troubleshooting .

PROFILO: DNS

Senza DNS non si va da nessuna parte. Con questo profilo si ha la possibilità di controllare che il dns stia effettivamente rispondendo alle nostre richieste ed ottenere precisamente ciò che ci risponde . Un vero è proprio acceleratore al nostro troubleshooting.

PROFILI : DIDATTICI

Infine due profili molto “didattici ”  :  il Better Default + Packet Diagram e il Better TCP Default.

Il primo lo consiglio perché mostra il formato del pacchetto in riquadro in basso a destra. Nella figura sotto stante un esempio per un pacchetto DNS.

Il secondo è molto utile quando si fa l’analisi di una sessione tcp perché nelle colonne sono evidenziati chiaramente i numeri di sequenza dei pacchetti, ack e le win size.

CONCLUSIONI

I profili sono uno strumento potentissimo per accelerare il processo di troubleshooting grazie alla capacità di focalizzare le informazione che più ci interessano del nostro tracciato. L’utilizzo è intuitivo e la possibilità di modificarli a nostro piacimento li rendono davvero utili.Ve li straconsiglio!

Leave A Comment