Cos’è lo Sniffing?
Lo sniffing è l’attività di intercettazione e analisi del traffico di rete.
Consiste nel:
- catturare pacchetti
- analizzarne header e payload
- studiare protocolli e comunicazioni
Può essere:
- Legittimo → diagnostica, troubleshooting, sicurezza
- Malevolo → intercettazione credenziali, attacco MITM
Concetto chiave: modalità promiscua della scheda di rete.
Architettura tecnica dello Sniffing.
Quando un pacchetto attraversa la rete:
- Frame Ethernet
- Pacchetto IP
- Segmento TCP/UDP
- Dati applicativi
Lo sniffer intercetta i frame a livello:
- Data Link
- Network
- Transport
Tipologie di Sniffing.
Passivo.
- In reti hub-based
- Intercettazione diretta
Attivo.
- In reti switch-based
- Tecniche come ARP spoofing
- Man-in-the-Middle
Concetti collegati:
- ARP poisoning
- Session hijacking
- SSL stripping
Wireshark.
Wireshark è un analizzatore di protocollo open-source utilizzato per:
- Cattura pacchetti
- Analisi traffico
- Debug reti
- Formazione didattica
Caratteristiche:
- Multi-piattaforma
- Supporto centinaia di protocolli
- Filtro potente
- Analisi statistica
Struttura dell’interfaccia.
Wireshark presenta:
- Lista pacchetti
- Dettaglio gerarchico (layer)
- Vista esadecimale
Ogni pacchetto mostra:
- MAC address
- IP sorgente/destinazione
- Porta TCP/UDP
- Flag TCP (SYN, ACK, FIN)
- Payload
Filtri in Wireshark.
Capture filter.
Applicato prima della cattura (es. tcp port 80).
Display filter.
Applicato dopo (es. ip.addr == 192.168.1.1).
Esempi:
tcp
http
dns
ip.src == 192.168.1.10
Analisi TCP con Wireshark.
Concetti osservabili:
- Three-way handshake (SYN, SYN-ACK, ACK)
- Ritrasmissioni
- Segmenti fuori ordine
- Reset connessioni
- Congestione
Wireshark consente:
- Follow TCP Stream
- Statistiche → Conversations
- Analisi RTT
Sicurezza e Sniffing.
Lo sniffing dimostra:
- Perché HTTPS è necessario
- Differenza tra HTTP e TLS
- Importanza della cifratura
Con HTTPS:
- Il contenuto è cifrato
- Si vedono solo header IP/TCP e handshake TLS
Collegamenti:
- VPN
- Firewall
- IDS/IPS
Collegamento alla classe B016.
In laboratorio, Wireshark è uno strumento fondamentale per comprendere il modello TCP/IP in modo empirico, osservando direttamente i pacchetti e verificando il funzionamento dei protocolli studiati teoricamente.
Attività didattiche possibili
- Analisi handshake TCP
- Confronto HTTP vs HTTPS
- Osservazione query DNS
- Analisi traffico FTP
- Studio ritrasmissioni
Competenze sviluppate
- Diagnostica di rete
- Sicurezza informatica
- Comprensione dei protocolli
- Analisi critica del traffico
Inclusione BES/DSA.
- Analisi guidata di un solo protocollo
- Schemi visuali livelli TCP/IP
- Focus su campi principali (IP, porta, flag)
- Lavoro cooperativo
Aspetto etico e normativo.
Molto importante.
Lo sniffing:
- È legale solo su reti autorizzate
- Rientra nella normativa su privacy e accesso abusivo
- Deve essere usato in ambito didattico controllato
Collegamento:
- GDPR
- Sicurezza delle informazioni
- Educazione civica digitale
Chiusura efficace.
Puoi concludere così:
Lo sniffing e l’uso di Wireshark consentono di rendere visibile ciò che normalmente è invisibile nella comunicazione di rete, trasformando lo studio teorico dei protocolli TCP/IP in un’esperienza laboratoriale concreta e formativa, anche dal punto di vista della sicurezza informatica.
Schema rapido da memorizzare.
- Definizione sniffing
- Livelli intercettati
- Passivo vs attivo
- Wireshark
- Filtri
- Analisi TCP
- Sicurezza
- Laboratorio B016
- Normativa
- Conclusione