⚠️ Disclaimer legale: Questo articolo è esclusivamente a scopo educativo. Tutte le tecniche descritte vanno praticate SOLO su sistemi propri o su piattaforme autorizzate (TryHackMe, HackTheBox, VulnHub). Attaccare sistemi altrui senza autorizzazione è reato penale ai sensi degli artt. 615-ter e seguenti del Codice Penale italiano.
Wireshark in contesto forense
L'analisi forense di rete consiste nell'esaminare traffico catturato (file .pcap) per identificare attività sospette, estrarre credenziali trasmesse in chiaro, ricostruire comunicazioni o identificare attacchi in corso.
Filtri display essenziali
# Solo HTTP
http
# Credenziali HTTP Basic Auth
http.authorization
# POST request (spesso contengono form data)
http.request.method == "POST"
# DNS query
dns.qry.name
# Connessioni su porte non standard
not tcp.port in {80 443 22 53 25 587}
# Flag TCP: solo SYN (connessioni nuove)
tcp.flags.syn == 1 && tcp.flags.ack == 0
# Ricostruisci stream TCP completo
# Click destro su pacchetto → Follow → TCP StreamTrovare credenziali in chiaro
# FTP (non cifrato)
ftp.request.command == "PASS"
# HTTP Basic Auth
http.authorization contains "Basic"
# Decodifica Base64 del campo Authorization
# Telnet (tutto in chiaro)
telnetAnalisi malware traffic
Pattern tipici di comunicazione C2 (Command & Control):
- Richieste HTTP/DNS periodiche a intervalli regolari (beacon)
- Traffico verso IP su porte non standard (8080, 4444, 1337)
- DNS query verso domini generati algoritmicamente (DGA)
- Trasferimento dati in uscita verso IP sconosciuti
Tshark: Wireshark da CLI
# Estrai tutti i domini DNS da un pcap
tshark -r capture.pcap -Y "dns" -T fields -e dns.qry.name | sort -u
# Estrai URL HTTP
tshark -r capture.pcap -Y "http.request" -T fields -e http.host -e http.request.uri
# Statistiche protocolli
tshark -r capture.pcap -qz io,phs
💬 Commenti (0)
Nessun commento ancora. Sii il primo!