Wireshark: uso base per diagnosticare problemi di rete

Wireshark è lo strumento di analisi del traffico di rete più usato al mondo. È gratuito, open source, disponibile per Windows, Linux e macOS, e indispensabile per chiunque gestisca reti, server o impianti VoIP. Questa guida copre i fondamentali per iniziare a usarlo in modo produttivo.

Installazione e interfaccia

Scarica Wireshark da wireshark.org. Su Linux:

sudo apt install wireshark    # Debian/Ubuntu
sudo dnf install wireshark    # Fedora/RHEL

All'avvio, Wireshark mostra la lista delle interfacce di rete disponibili con un grafico del traffico in tempo reale. Seleziona l'interfaccia che ti interessa (es. eth0, wlan0, o l'interfaccia WAN del router) e premi il pulsante blu per avviare la cattura.

L'interfaccia principale è divisa in tre pannelli:

• Packet List (in alto): lista cronologica dei pacchetti catturati
• Packet Details (al centro): struttura del pacchetto selezionato, espandibile layer per layer
• Packet Bytes (in basso): dump esadecimale raw del pacchetto

Filtri di cattura vs filtri di visualizzazione

Wireshark distingue due tipi di filtri, con sintassi diversa:

Capture filter (BPF syntax, applicato prima della cattura — riduce il carico):

host 192.168.1.1
port 5060
net 10.0.0.0/8
not port 443

Display filter (applicato dopo la cattura — non scarta i dati):

ip.addr == 192.168.1.100
tcp.port == 80
sip
rtp
http.request.method == "GET"
dns.qry.name contains "google"

Per la diagnosi quotidiana, i display filter sono più flessibili perché puoi cambiarli senza riavviare la cattura. Inseriscili nella barra verde in alto.

Filtri utili per scenari comuni

Problemi DNS:

dns
dns.flags.response == 1 and dns.flags.rcode != 0   ; solo risposte con errore

Analisi HTTP/HTTPS:

http
tcp.port == 443 and ssl.handshake.type == 1         ; solo ClientHello TLS

Traffico VoIP SIP:

sip
sip.Method == "INVITE"
sip.Status-Code >= 400                               ; solo errori SIP

Pacchetti RTP (audio VoIP):

rtp
rtp.ssrc == 0xABCD1234                              ; filtra per stream specifico

Problemi di latenza TCP:

tcp.analysis.retransmission
tcp.analysis.out_of_order
tcp.analysis.duplicate_ack

Questo ultimo gruppo è particolarmente utile: Wireshark evidenzia già in rosso e nero i pacchetti con problemi TCP (tcp.analysis.*), senza bisogno di filtrarli manualmente.

Seguire una connessione TCP

Seleziona un pacchetto TCP, tasto destro → Follow → TCP Stream. Wireshark ricostruisce l'intera sessione TCP in formato leggibile, mostrando alternando i dati inviati dal client (rosso) e dal server (blu).

Utile per:

• Vedere esattamente cosa invia un'applicazione HTTP
• Verificare l'handshake TLS
• Analizzare risposte SIP complete

Statistiche e I/O Graph

Nel menu Statistics trovi strumenti di analisi aggregata:

• Conversations: lista di tutte le connessioni con byte trasferiti, utile per trovare chi consuma banda
• Protocol Hierarchy: percentuale di traffico per protocollo
• I/O Graph: grafico del throughput nel tempo, configurable per filtrare specifici flussi
• VoIP Calls (Telephony → VoIP Calls): analisi dedicata alle chiamate SIP/RTP, con possibilità di riprodurre l'audio catturato

Cattura remota senza GUI

Su server Linux headless, usa tcpdump per catturare e analizza il file risultante con Wireshark in locale:

# Cattura su server remoto
tcpdump -i eth0 -w /tmp/capture.pcap -s 0 port 5060 or portrange 10000-20000

# Copia il file in locale e apri con Wireshark
scp user@server:/tmp/capture.pcap ./

In alternativa, cattura in tempo reale via SSH senza salvare file:

ssh user@server "tcpdump -i eth0 -w - not port 22" | wireshark -k -i -

Questo pipe apre direttamente Wireshark con il traffico del server remoto in tempo reale, escludendo il traffico SSH stesso per evitare loop.

Diagnosi packet loss e jitter su VoIP

Per un flusso RTP con problemi audio:

1. Cattura il traffico sulla porta RTP (es. portrange 10000-20000)
2. Vai in Telephony → RTP → RTP Streams
3. Seleziona lo stream e clicca Analyze
4. Wireshark mostra: packet loss %, max jitter, delta tra pacchetti

Valori critici:

• Packet loss > 1% → audio degradato
• Jitter > 30ms → artefatti audio
• Delta irregolare → problema di QoS o buffer sul percorso

Salvataggio e condivisione delle catture

Salva le catture in formato .pcapng (il nuovo standard) o .pcap (compatibilità massima). Quando condividi un file di cattura con supporto tecnico o colleghi, considera che può contenere credenziali, password e dati sensibili in chiaro se il traffico non è cifrato. Usa editcap per anonimizzare gli IP se necessario:

editcap --anonymize-fields ip.src,ip.dst capture.pcap anonimizzato.pcap

Wireshark è uno strumento che si impara usandolo. Inizia catturando il traffico della tua rete in un momento normale e familiarizza con i protocolli che vedi quotidianamente — sarà molto più facile riconoscere le anomalie quando si presentano.