Cos'è Wireshark, come installarlo, come catturare e analizzare il traffico di rete, i filtri essenziali e casi d'uso pratici. Guida completa in italiano per principianti.
Wireshark è il più potente e diffuso analizzatore di protocolli di rete al mondo. Permette di catturare e analizzare in tempo reale tutti i pacchetti che transitano su un'interfaccia di rete, visualizzandoli in modo dettagliato e stratificato per livello OSI.
È uno strumento fondamentale per network administrator, sviluppatori, studenti di reti e ethical hacker. È gratuito, open source e disponibile per Windows, macOS e Linux.
💡 Wireshark vede tutto il traffico che passa per la tua scheda di rete — credenziali in chiaro, cookie, messaggi non cifrati. Usalo solo su reti di cui sei proprietario o per cui hai autorizzazione esplicita.
Scarica il programma da wireshark.org/download.html, esegui l'installer e installa anche il componente Npcap quando richiesto (necessario per la cattura dei pacchetti).
Kali Linux include Wireshark di default. Se non fosse disponibile:
Per eseguirlo senza privilegi root:
All'avvio compare la lista delle interfacce di rete disponibili con un grafico del traffico in tempo reale. Seleziona l'interfaccia attiva (es. eth0 per cablata, wlan0 per Wi-Fi).
Doppio clic sull'interfaccia oppure clicca la pinna blu in alto a sinistra. Wireshark inizia a catturare tutti i pacchetti in transito — li vedrai scorrere in tempo reale.
Clicca il quadrato rosso per fermare. Ora puoi analizzare i pacchetti catturati con calma senza che la lista continui ad aggiornarsi.
La barra in cima all'elenco pacchetti serve per inserire i filtri di visualizzazione. Digita il filtro e premi Invio — Wireshark mostra solo i pacchetti che corrispondono.
Clicca su un pacchetto per vederne i dettagli nei pannelli inferiori: il pannello centrale mostra i layer OSI espandibili, quello in basso mostra i dati grezzi in esadecimale.
I filtri di visualizzazione di Wireshark sono il tuo strumento principale per isolare il traffico rilevante. Eccoli i più utili:
| Filtro | Cosa mostra |
|---|---|
| http | Solo traffico HTTP |
| https | Solo traffico HTTPS/TLS |
| dns | Solo query DNS |
| tcp | Solo pacchetti TCP |
| udp | Solo pacchetti UDP |
| icmp | Solo ping (ICMP) |
| ip.addr == 192.168.1.1 | Traffico da/verso un IP specifico |
| ip.src == 192.168.1.1 | Traffico proveniente da un IP |
| ip.dst == 192.168.1.1 | Traffico diretto a un IP |
| tcp.port == 80 | Traffico sulla porta 80 |
| tcp.port == 443 | Traffico HTTPS |
| http.request.method == "POST" | Solo richieste POST (form, login) |
| !(arp or dns or icmp) | Esclude ARP, DNS e ping |
| http contains "password" | Pacchetti HTTP che contengono la parola "password" |
⚠️ Solo a scopo didattico su reti proprie. Intercettare credenziali su reti altrui senza autorizzazione è reato ai sensi dell'art. 617-quater del Codice Penale italiano.
Questo esercizio dimostra perché HTTP (senza S) è pericoloso. Su un server di test locale che usa HTTP:
http.request.method == "POST"Questo è il motivo per cui HTTPS è fondamentale — il traffico è cifrato e non leggibile anche se catturato.
Wireshark è anche uno strumento di studio eccellente per capire i protocolli di rete nella pratica. Puoi vedere in diretta:
📖 Nel capitolo 10 del libro Ethical Hacker per Tutti trovi un'intera sezione dedicata all'analisi del traffico con Wireshark, con esempi pratici di cattura e analisi di attacchi reali.
Sì, completamente gratuito e open source. Si scarica da wireshark.org.
Sì, Wireshark è disponibile per Windows, macOS e Linux. Su Windows richiede l'installazione di Npcap per la cattura dei pacchetti.
Puoi catturare i pacchetti TLS ma non decifrarne il contenuto senza la chiave privata del server. Wireshark mostra il traffico cifrato come dati incomprensibili — è esattamente la funzione della crittografia.
Sì, selezionando l'interfaccia wireless. Per catturare il traffico di altri dispositivi sulla stessa rete Wi-Fi servono privilegi di amministratore e, a volte, una scheda Wi-Fi che supporta la modalità monitor.